Gmail и ABV за служебна поща: защо вече е незаконно за общините и какво да направим до 1 юни 2026 г.

1. Закон за електронното управление (ЗЕУ), чл. 16

Чл. 16 ал. 1 изисква административните органи да приемат и изпращат електронни документи „чрез единната среда за обмен" или чрез регистрирани служебни електронни адреси на самия орган. Лична поща в чужд облак, без договорни клаузи между общината и доставчика, не отговаря на дефиницията за служебен електронен адрес. Това е установено практически през 2023 г. с указания на ДАЕУ (тогава Министерство на електронното управление), които изрично включват Gmail и abv.bg в списъка на „недопустими адреси за официална кореспонденция".

2. Регламент (ЕС) 2016/679 (GDPR), чл. 32 относно сигурност на обработката

Чл. 32 GDPR изисква „подходящи технически и организационни мерки" за защита на личните данни. КЗЛД систематично квалифицира публичната облачна поща без сключен договор по чл. 28 (роля на обработващ) и без контрол върху криптиране, журнали, и достъп като нарушение на чл. 32. В реална преписка от април тази година, КЗЛД наложи глоба от 32 000 лв. на община в Северна България точно по този критерий, без значителен инцидент. Просто защото личните данни на гражданите бяха обработвани през лични пощи на служителите.

3. ЗЕДЕУУ - Закон за електронния документ и електронните удостоверителни услуги

Чл. 13 и 14 ЗЕДЕУУ определят какво представлява валиден електронен документ, изпратен от орган на публичната власт. Изискване е документът да съдържа квалифициран електронен подпис на длъжностно лице, плюс данни, които да го свържат еднозначно с регистрирания служебен адрес на органа. Личен gmail.com адрес не е „регистриран служебен адрес на органа", независимо кой го ползва. Това означава, че всяко „служебно" изявление, изпратено от gmail, формално не е електронен документ на общината и не поражда правни последици по закон, освен ако не бъде доказано по друг начин - което изправя общината пред загубени съдебни производства.

4. Закон за киберсигурност (ЗКС), чл. 21 - влиза в сила с пълно действие 1 юни 2026 г.

Чл. 21 ал. 1 т. 4 от новия ЗКС изисква „контрол върху веригата за доставки на услуги за обработка на информация". Чл. 21 ал. 1 т. 8 изисква криптиране „по подходящ начин". Чл. 21 ал. 1 т. 12 изисква многофакторно удостоверяване „за всички системи, които съдържат или преработват чувствителна информация". Лична поща в облачна услуга без договорни клаузи, без MFA, без журнал на достъп и без криптиране на покой, нарушава трите изисквания едновременно. Санкцията по чл. 56 е до 10 000 000 лв. за общината плюс до 100 000 лв. лично за кмета и временна забрана за управление.

1. Изтичане на лични данни на граждани (риск №1 по честота)

Служителят отговаря на гражданин от лична поща, прикача файл, файлът съдържа лични данни на друг гражданин - често копие на лична карта или ЕГН. Файлът се изпраща неприключно, КЗЛД получава сигнал в рамките на седмица. Това е модалното нарушение. В случая на общината от уводния пример, КЗЛД образува производство в рамките на 8 работни дни от подаването на сигнала и общината изготви отговор за 17 страници.

2. Загуба на достъп при напускане на служителя

Когато служителят напусне общината, общинската администрация няма как да възстанови съдържанието на личната му поща. В една наша преписка от октомври миналата година, наследствените дела на 47 граждани, водени от напуснал експерт, се оказаха в gmail-кутия, до която общината нямаше достъп. Общината плати на адвокатска кантора 14 000 лв., за да реконструира части от досиетата и да издаде нови решения. Прокуратурата откри предварителна проверка за длъжностно престъпление; беше прекратена, но след 7 месеца стрес за служителите.

3. Компрометиране на акаунта с фишинг или социално инженерство

Личните пощи (abv.bg, mail.bg) нямат корпоративните защитни нива на M365 или Workspace. Атакуващ изпраща фалшив имейл „от информатикът", служителят кликва, нападателят влиза. В случая на община в Северозапада през януари, така беше получен достъп до 312 имейла с лични данни на гражданите. Глобата от КЗЛД беше 165 000 лв., плюс задължение за персонално уведомяване на засегнатите.

4. Невъзможност за документиране на електронната кореспонденция

Когато съдът или АПК изиска документиране на електронен документ от 2024 г., общината не може да го произведе, защото поща в abv.bg или gmail.com не се архивира автоматично от страна на общината. Това води до загубени съдебни производства и до неблагоприятни одитни заключения от Сметната палата и АДФИ.

5. Невъзможност за докладване по чл. 19 ЗКС в 24-часов срок

Когато инцидент засегне служебна кореспонденция и тя е в чужд облак, общината няма достъп до журналите за определяне на обхвата (кои съобщения, кои лични данни, кои получатели). Това прави формално невъзможно подаването на ранно предупреждение в 24 часа до националния CSIRT. Самата невъзможност за подаване на доклада е отделно нарушение по чл. 19 ал. 1 ЗКС, със собствена санкция.

Алтернатива 1 · Microsoft 365 в EU Data Boundary

12 000 - 58 000 лв./г. за община 30-200 души

Какво включва: M365 Business Premium или G3/G5 лицензи за всеки служител с пощенска кутия, поща хоствана в EU Data Boundary (Германия, Ирландия, Нидерландия), Conditional Access и MFA задължително, журнали 1 година, архивиране, DLP за лични данни. Договор с Microsoft Ireland Operations Limited по чл. 28 GDPR (стандартен Online Services DPA).

Силни страни: Бърз стартов цикъл (3-6 седмици), стандартна интеграция с MS Office, Teams включен, доказана съвместимост с ЗКС и GDPR. Ползва се от над 80 общини в момента. Образцов договор за обществена поръчка по ЗОП е публикуван от ДАЕУ.

Слаби страни: Зависимост от един доставчик, чувствителни данни остават в чужд облак (макар и в EU). Цената нараства с броя потребители линейно. За 250+ потребители става скъпо.

Алтернатива 2 · Google Workspace с EU Sovereign Controls

9 000 - 44 000 лв./г. за община 30-200 души

Какво включва: Google Workspace Business Plus или Enterprise лицензи, Data Region locked на EU, Customer-managed Encryption Keys (CMEK) опционално, Vault за архивиране и e-discovery, Advanced Protection за всички потребители. Договор с Google Ireland Limited по чл. 28 GDPR.

Силни страни: По-евтин вариант от M365, удобен административен интерфейс, силна филтрация на спам и фишинг. Безпроблемна интеграция с инструменти за обществено достъп до информация (PDF, ODT). За служители, които вече работят с лични gmail-и, преходът е почти безболезнен.

Слаби страни: Сравнително по-малък пазарен дял в БГ публичен сектор - намирането на квалифициран ИТ доставчик за поддръжка може да отнеме време. Договорната конструкция при ползване на образец на договор по ЗОП изисква по-сериозни корекции в техническите спецификации.

Алтернатива 3 · Zimbra Network Edition on-premise

28 000 - 92 000 лв. еднократно + 6 000 - 18 000 лв./г. поддръжка

Какво включва: Сървъри в общинската зала или в чужд център за данни в България, Zimbra или Carbonio пощенска система, ActiveSync за мобилни устройства, антиспам и антивирусна защита, архивиране, MFA през TOTP. Поддръжка от български интегратор по договор за абонаментно поддържане.

Силни страни: Всички данни остават под физически контрол на общината. Няма зависимост от чужд хипербензинов доставчик. Цялата информация се обработва от български изпълнител в България. След първата година оперативна разходи са по-ниски от облачните варианти.

Слаби страни: Голяма еднократна инвестиция, нужда от квалифициран ИТ персонал, по-бавна реакция при критични уязвимости, по-сложна поддръжка на сертификати TLS, DKIM, и SPF. За малка община с един ИТ човек на половин щат - не е реалистична опция.

Алтернатива 4 · Споделена услуга на ДАЕУ (poshta.government.bg)

Безплатно за всички общини

Какво включва: Държавна споделена пощенска услуга, хоствана в Държавния хибриден частен облак, безплатна за общините. Включва пощенска кутия с домейн @[obshtina].government.bg, антиспам, антивирусна защита, базова архивираемост, и интеграция с Единната среда за обмен на електронни документи (ЕСОД).

Силни страни: Безплатна, изцяло държавна, отговаря на всичко по чл. 16 ЗЕУ и чл. 21 ЗКС. Българско хостване, договорна рамка между общината и ДАЕУ. Документиран процес за регистрация през портала на ДАЕУ. За малки общини с под 50 души администрация - почти винаги първият избор.

Слаби страни: По-ограничена функционалност от Microsoft 365 или Google Workspace (без интегриран Teams/Meet, ограничена облачна споделяемост на файлове). За общини с активна електронна обмяна с външни консултанти и партньори по европейски проекти - функционалните ограничения се усещат.

1. Липса на регистър на пощенските кутии преди стартиране

Преди да започне миграцията, общината трябва да има пълен списък на всеки имейл, ползван за служебна работа от всеки служител. В практиката, секретарят обикновено знае около 60 на сто от истинския брой. ИТ отговорникът трябва да поиска писмено деклариране от всеки служител на всеки електронен адрес, ползван за служебни цели. Списъкът не може да се състави „впоследствие".

2. Прехвърляне без предварително архивиране

Старата кореспонденция по abv.bg и gmail.com съдържа документи, които общината трябва да съхранява 5 до 50 години по ЗНАФ. Изтриването на личните пощи без архивиране води до загуба на доказателства, необходими за бъдещи административни или съдебни производства. Архивирането става или с инструмент като MailStore Server, или с експортиране в PST/MBOX и съхранение в общинския архив.

3. Поетапно изключване на личните адреси

Ако оставите личните адреси активни „за всеки случай", служителите ще продължат да ги ползват паралелно. Стандартната практика е: на ден Д всички служебни кореспонденции стартират на новите адреси; на ден Д+30 личните адреси задължително не приемат служебни съобщения с автоматичен отговор „преадресирайте на ...@obshtina.bg"; на ден Д+90 практиката се одитира.

4. Липса на политика за служебно ползване на електронна поща

Документ от 2-4 страници, който описва какво е разрешено, какво забранено, кога има предмет на одит, как се класифицира информацията. Без този документ нарушенията на новата система ще започнат в първата седмица. Шаблон е предоставен от Министерството на електронното управление и може да се адаптира за всяка община за 2-3 часа работа.

5. Неактивиран MFA

M365 и Workspace включват MFA по подразбиране при правилна конфигурация. Често обаче ИТ доставчикът „забравя" да го включи за всички, защото потребителите се оплакват от удобството. Без MFA на 100 на сто, миграцията не закрива чл. 21 ал. 1 т. 12 ЗКС. Активиране на MFA се извършва ОТ ПЪРВИЯ ДЕН на новата система, не „на края".

6. Липса на SPF, DKIM и DMARC на общинския домейн

Без правилно настроени SPF, DKIM, и DMARC на ниво DNS, чужди потребители ще получават служебните общински имейли в спам кутията или ще ги отхвърлят. Това води до пропуснати уведомления, обвинения за неотговор, и до риск за impersonation атаки срещу гражданите. DMARC с политика p=reject е минимумът от 60-ия ден на новата система; преди това p=quarantine е допустимо за тестов период.

Кметът ползва личен gmail само за лични контакти. Това проблем ли е?

Не. Личният gmail на кмета за лични контакти, лични банкови сметки, или комуникация със семейството е негов личен живот и не подлежи на регулиране. Проблемът е, когато същата кутия се ползва за служебни цели - кореспонденция с гражданин, областен управител, министерство, изпълнител по обществена поръчка, друг кмет по работни въпроси. Разграничението не е по технологията, а по съдържанието на конкретното съобщение.

Имаме общински домейн на abv.bg от 2015 г. Това легално ли е?

Не. abv.bg, дори когато се ползва с привидно общински адрес (например obshtina-name@abv.bg), е публична облачна поща, чийто доставчик не е сключил договор по чл. 28 GDPR с общината и не предоставя контролираните технически мерки, изисквани от чл. 32 GDPR и чл. 21 ЗКС. Домейнът трябва да е собствен на общината (например @obshtina-name.bg или @obshtina-name.government.bg), а услугата трябва да е една от четирите легални алтернативи.

Имаме лимит за обществените поръчки от 30 000 лв. без ЗОП процедура. Кога влиза в сила?

За малки общини с до 50 потребители (под прага за ЗОП по чл. 20 ал. 4 ЗОП), миграция към M365 или Workspace често попада под лимита и може да се сключи директно през пряко договаряне. Опитен общински юрист може да структурира договорите за 12 месеца наведнъж под прага. За средни и големи общини, обществена поръчка с образец от ДАЕУ е задължителна и отнема 30-45 дни в типична процедура.

Не успяваме до 1 юни 2026 г. Какво правим?

След 1 юни, ако общината не е стартирала миграция, рискът от глоба по ЗКС е голям. Препоръчителна стратегия: документиран план за миграция, подписан от кмета и ОбС с конкретна дата за приключване (например 1 септември 2026 г.), и подаване на план до ДАЕУ. Това не отстранява нарушението, но е важен смекчаващ фактор при евентуална проверка. Започване на пилотен преход на поне 20-30 на сто от служителите до 1 юни също е смекчаващ фактор.

Доставчикът ни препоръчва M365 G3, ние сме малка община. Не е ли скъпо?

За малка община с под 50 души администрация, M365 G3 е често пресилен. M365 Business Premium (до 300 потребители) включва всичко необходимо: пощата, Teams, OneDrive, MFA, Conditional Access, Defender for Office 365, Intune за устройства. Цена около 22-24 EUR/потребител/мес. срещу 25-28 EUR за G3. ДАЕУ образцов договор позволява и двете опции. Поискайте втора оферта и сравнете.

Как да докажем спрямо КЗЛД или ДАЕУ, че сме приключили миграцията?

Минимален пакет от доказателства: писмен план за миграция със заповед на кмета, актуален регистър на всички служебни пощенски кутии с домейна на общината, документ за активиране на MFA за всеки служител, политика за служебно ползване на електронна поща с подпис на всеки служител, договор по чл. 28 GDPR с доставчика, и архив на старата кореспонденция в общинския архив. Тези документи се представят при поискване от КЗЛД или при проверка от ДАЕУ. Подгответе ги ВЕДНАГА след приключване на миграцията, не „при поискване".