КЗЛД · GDPR · Проверка на място

Проверка от КЗЛД през 2026 г.: как да я преминете без наказателно постановление

Уведомлението за проверка пристига в петък следобед. Имате 10 работни дни до първото посещение на инспекторите. Този материал ви показва точно какви документи ще поискат, какви въпроси задават на място, как изглежда добре подготвен Регистър на дейностите по обработване, и десетте проверки, които трябва да направите в подготовката, за да не получите наказателно постановление в края.

Най-важното накратко

• КЗЛД провежда три различни типа проверки (по жалба, планова и последваща), всяка с различни срокове, обхват и тон. Идентифицирането на типа в първите 24 часа определя цялата стратегия за защита
• Инспекторът никога не идва празноръчен - той носи предварителен списък от 14 до 22 документа, които ще иска веднага. Тяхното изготвяне в нощта преди посещението е невъзможно
• Около 70 на сто от наказателните постановления се основават на липса на Регистър на дейностите по обработване (чл. 30 GDPR), липса на DPIA или на проследима следа от обучение на персонала, а не на самия пробив на данни
• Реалните глоби, наложени от КЗЛД през последните 24 месеца, са в диапазона от 4 000 до 380 000 лв. за български компании. Средна стойност при системни нарушения: около 28 000 лв.
• Пред инспектора говорите един оторизиран представител (DPO, юрисконсулт или CEO). Допускането на 5 различни служители да отговарят на въпроси е най-честата процедурна грешка, която удвоява времето за проверка
• Десетточковата pre-flight подготовка е същата за всичките три типа проверки. Започната 3 месеца преди известието, тя превръща наказателно постановление в препоръка

Не всяка проверка от КЗЛД е една и съща. Тонът, обемът на исканата документация, продължителността и вероятността за наказателно постановление зависят от типа на проверката, и този тип трябва да идентифицирате още в първия час след получаване на известието. Грешен прочит в първите 24 часа води до подготовка не на правилните документи, отговори не на правилните въпроси и до пропуснати възможности за процедурна защита.

Тримата вида проверки, които КЗЛД провежда през 2026 г. и тяхното практическо разграничение:

Тип 1: Проверка по жалба. Това е най-честият случай за български компании. Субект на данни (клиент, бивш служител, кандидат за работа) подава жалба до КЗЛД, твърдейки конкретно нарушение - неправомерно обработване, отказ за достъп до личните данни, неотговорено искане за изтриване, изпратен маркетингов имейл без съгласие, изтичане на данни без уведомление. КЗЛД задължително разглежда жалбата и в около 60 на сто от случаите я последва с проверка. Обхватът е тесен (конкретното твърдение), но тонът е целеви - инспекторите търсят доказателства за или против твърдението на жалбоподателя. Срокът от получаване на известието до първото посещение е кратък, обикновено 7 до 21 работни дни. Вероятността за наказателно постановление е най-висока от трите типа, защото вече има конкретно твърдение и обикновено КЗЛД не започва проверка без поне минимална индикация за нарушение.

Тип 2: Планова проверка. КЗЛД ежегодно публикува план за надзорни действия, в който определя сектори, които ще проверява системно през следващата година. През последните 24 месеца секторите с висок приоритет включват: здравеопазване (болници, клиники, ДКЦ-та), образование (университети, гимназии), онлайн търговия с над определен оборот, обработка на чувствителни данни (религиозни, политически, биометрия), доставчици на телекомуникационни и облачни услуги, държавна и общинска администрация. Тригерът тук не е жалба, а риск-базиран избор. Обхватът е по-широк - инспекторите искат да видят цялата ваша GDPR програма, не само конкретна обработка. Срокът до посещение е по-дълъг, обикновено 14 до 30 дни. Тонът е по-документален - системен преглед на политики, регистър на дейностите, DPIA, договори с обработващи. Вероятността за наказателно постановление е средна и зависи изключително от качеството на документацията ви.

Тип 3: Последваща проверка (контролна). Това е проверка на изпълнение на предходно предписание. Ако сте получили задължителни указания от КЗЛД със срок за изпълнение (обикновено 1 до 6 месеца), след изтичането му инспекторите ще проверят дали и как сте ги изпълнили. Тригерът е изтекъл срок на предписание. Обхватът е тесен и точно дефиниран - проверяват само точките от предписанието. Тонът е верификация по точки. Срокът до посещение е кратък, 7 до 14 дни, но в практиката КЗЛД често просто иска документи по имейл без посещение на място. Вероятността за санкция при последваща проверка е ниска, ако сте изпълнили предписанието с конкретни доказателства; ако не сте, санкцията е почти сигурна и често по-висока от първоначалната, защото е налице рецидив.

Един от най-вредните митове за проверките на КЗЛД е, че инспекторите идват „да разгледат как работите". Не идват. Те носят предварителен списък от документи, който е стандартизиран и почти неизменен от 2020 г. насам. Между 14 и 22 документа в зависимост от типа проверка. Ако ги нямате готови в часа на посещението, имате 5 до 10 работни дни да ги предоставите, но забавянето вече се отбелязва в протокола и работи срещу вас при определяне на размера на евентуална глоба.

Дванадесетте задължителни документа, които се искат на всяка проверка (без значение от типа), плюс още 4 до 10 в зависимост от обстоятелствата:

Има още един документ, който не се иска поименно, но почти винаги се проверява косвено: дневник на достъпа до личните данни в основните системи (CRM, HR, ERP, базата с клиенти). Инспекторът може да поиска „покажете кой е достъпвал досието на г-н Иванов през последните 6 месеца и с каква цел". Ако системата ви не води такъв дневник или ако нямате процес за периодичен преглед на дневника, това е тежък пропуск, дори да нямате реален неправомерен достъп.

Практическата препоръка: подгответе папка „КЗЛД/Проверка/Готова" в SharePoint, Google Drive или защитен файлов сървър, в която поддържате текущите версии на 12-те задължителни документа плюс относимите допълнителни. Папката трябва да се актуализира поне веднъж в тримесечие. Никога не подготвяйте документи в нощта на първото известие - инспекторът разпознава новосъздадените файлове по метаданните и това е допълнителна тежест при определяне на санкцията.

Самото посещение от КЗЛД продължава между 4 и 8 часа в първия ден и може да включва втори ден на по-сложни случаи. Двама или трима инспектори се появяват на адрес обикновено в 9:30 или 10:00 ч. сутринта, легитимират се със служебни карти и представят писмена заповед за извършване на проверка. Заповедта посочва правното основание, обхвата на проверката, имената на инспекторите и срока. Прочетете я внимателно и поискайте копие за вашия архив.

След запознаването следва структуриран разговор от около 15 до 30 въпроса. Не става въпрос за разпит и не е добре да го третирате така - но не е и приятелски разговор. Инспекторите са обучени на стандартен въпросник, който се разраства в зависимост от вашите отговори. Конкретните стандартни въпроси:

Правилата за отговаряне са пет, и трябва да бъдат предадени на всеки служител, който може да бъде попитан:

Следва анонимизиран реален случай от март-април 2026 г. Името на компанията е променено, данните за района и сектора са обобщени; всички процедурни моменти, цифри и решения са точни, както са се случили в действителност. Описанието е дадено в съгласие с клиента, защото вярваме, че урокът може да помогне на други в подобна ситуация.

Контекст. Компанията „Софт-Едж" (псевдоним) е софтуерна фирма с около 80 служители, седалище в София, главно разработка на B2B SaaS платформа за европейски корпоративни клиенти. Оборот около 7 млн. евро. Обработка на: служителски данни (около 80 субекта), данни на кандидати за работа (около 1200 субекта годишно), данни на лица за контакт от клиенти (около 4500 субекта), маркетингови списъци (около 18 000 субекта). Не обработват специални категории данни. Имат DPO на половин ставка, политики на сайта, един курс по GDPR от 2023 г. ISO 27001-сертифицирана от 2024 г.

Тригерът. Бивш служител, чийто трудов договор е прекратен преди 8 месеца, подава жалба до КЗЛД. Твърдението: компанията продължава да изпраща маркетингови имейли към личния му имейл (попаднал е в маркетинговия списък през корпоративен webinar преди 4 години), не е отговорила на изпратеното от него искане за изтриване по чл. 17 GDPR, изпратено преди 6 месеца. Компанията е пропуснала имейла, защото бил изпратен на info@ адрес, който се обработва от търговския екип, а не от DPO.

Какво се намери при проверката. Инспекторите установиха пет точки на нарушение в първоначалния протокол. След представените от компанията допълнения и обяснения, три от тях бяха снети. Останалите две:

• Нарушение по чл. 17 ал. 1 GDPR (право на изтриване): искането на жалбоподателя не е било обработено в едномесечния срок. Това е безспорно нарушение. Глоба 8 500 лв.
• Нарушение по чл. 30 ал. 1 GDPR (Регистър на дейностите): Регистърът не е актуален, липсват 2 от обработките (нов CRM модул, въведен през 2025 г., и нова интеграция с маркетинг платформа). Не наложена глоба, дадено предписание за актуализация в 60 дни.

Какво беше намерено отлично и не доведе до санкция. Имаха ISO 27001 сертификация, която помогна с покритие на техническите мерки. Бяха демонстрирали MFA за всички служители, контрол на достъпа на base of need-to-know, бекъп процедура с тест веднъж в тримесечие, log-мониторинг 12 месеца назад. Договорите с основните обработващи (Google Workspace, AWS, основният CRM доставчик) бяха актуализирани с актуални DPA по чл. 28 GDPR. Регистърът на инциденти беше празен, но добре структуриран с дата на създаване от 2024 г.

Какво направихме различно от стандартния подход. Идентифицирахме типа проверка като „по жалба" в първия час. Това означаваше, че фокусът трябва да бъде върху конкретното твърдение (искането за изтриване по чл. 17), не върху цялата GDPR програма. Когато открихме изпуснатото искане на Д9, взехме решение за доброволно действие (изпълнение и уведомяване) преди да дойде инспекторът. Това превърна потенциалното голямо наказание в по-ниска глоба, защото показваше добра воля и сътрудничество с регулатора.

Поука. Без подготовката от Д3 до Д11, същата проверка би довела до глоба в диапазона 25 000 до 60 000 лв., защото регистрите щяха да изглеждат хаотично, договорите с обработващи щяха да са непълни, а нарушението по чл. 17 щеше да изглежда като системно (не като еднократен пропуск). 11 работни дни подготовка с правилен фокус намалиха експозицията над 3 пъти.

Тази подготовка покрива и трите типа проверки на КЗЛД. Тя е разделена на действия, които можете да правите СЕГА (преди да получите известие), и действия в първите 5 работни дни след известието. Чек-листът е итеративен - минавате го веднъж на тримесечие, отбелязвате какво е изпълнено и какво остава. След 2 до 3 итерации, повечето точки стават рутина, която отнема между 1 и 3 работни дни.

Детайлни обяснения за всяка от десетте точки:

Теоретичният максимум по чл. 83 GDPR е 20 милиона евро или 4 на сто от глобалния годишен оборот за тежките нарушения и 10 милиона евро или 2 на сто за административните. На практика, КЗЛД през последните 24 месеца е наложила глоби в диапазона от 4 000 лв. до 380 000 лв. за български компании, със средна стойност около 28 000 лв. при системни нарушения и около 6 500 лв. при еднократни процедурни пропуски. Тези стойности са много по-предсказуеми от теоретичните максимуми и трябва да са референтната точка във вашата вътрешна оценка на риска.

Седем анонимизирани реални случая от практиката на КЗЛД и нашата работа с български компании през последните 24 месеца:

Освен паричната глоба, КЗЛД може да наложи и допълнителни мерки: предписание за коригиращи действия с конкретен срок (обикновено 1 до 6 месеца), временно или окончателно ограничение на конкретна обработка, публикуване на решението в КЗЛД сайта (репутационен ефект, понякога по-тежък от паричната санкция за B2B компании). Последицата за репутацията е особено сериозна за компании, които работят с европейски корпоративни клиенти - публикуваното решение става част от due diligence процеса на следващия им клиент.

Когато оценявате собствения риск, не работете с теоретичните максимуми. Работете с реалните диапазони:

• Един процедурен пропуск (липсващ DPA, забавено искане): 4 000 до 12 000 лв.
• Системно нарушение в Регистъра на дейностите: 22 000 до 58 000 лв.
• Пробив на данни без уведомление в 72ч.: 62 000 до 150 000 лв.
• Системно нарушение по чл. 32 (липса на технически и организационни мерки): 120 000 до 380 000 лв.
• Рецидив (неизпълнено предписание): 1,5 до 3 пъти увеличение спрямо първоначалната глоба

За компания с 50 до 150 души това означава, че бюджет от 4 до 9 хил. лв. за тримесечен ритъм на pre-flight подготовка е финансово рационален при който и да е реалистичен сценарий на проверка. Инвестицията в подготовка винаги е по-малка от средната глоба, плюс ви предпазва от репутационни вреди.

Едно нещо разграничава компаниите, които преминават проверки на КЗЛД с минимална глоба или с препоръка, от тези, които получават голяма глоба и публикувано решение: ритъмът на подготовка. Компаниите, които работят на „пожарникарски" принцип (всичко се прави в нощта на известието), почти винаги получават по-висока глоба. Компаниите, които работят на тримесечен ритъм, преминават проверките като рутина.

Реалистична стратегия за дългосрочна готовност за компания с 50 до 250 души:

Q4 е най-важният цикъл. Tabletop упражнение с сценарий „КЗЛД дойде утре" - 1 ден на годината с външен консултант, който играе ролята на инспектор. Резултатът е писмен доклад с конкретни пропуски, които изграждат плана за следващите 3 цикъла. Без тази симулация, повечето компании не знаят какво не знаят. Tabletop-ът превръща абстрактната готовност в осезаема. Цена: 4 до 8 хил. лв. за външен консултант за 1-2 дни.

Алтернативата на тримесечния ритъм за компании, които нямат вътрешен капацитет, е външен GDPR одит веднъж годишно с фокус върху pre-flight готовност, на цена 8 до 18 хил. лв. за компания с 50 до 150 души. Резултатът е писмен доклад с конкретни препоръки, които вие после изпълнявате с вътрешни ресурси. Това е по-малко строг режим от тримесечния ритъм, но е значително по-добре от никаква подготовка.

Често задавани въпроси

Pre-flight GDPR одит за вашата компания

Преди да дойде известието от КЗЛД, проверете готовността си с външен поглед. Покриваме всичките 10 точки от pre-flight чек-листа, идентифицираме пропуските в Регистъра на дейностите, DPA-та и техническите мерки, и ви даваме конкретен план за корекция в 30-дневен срок. За компании от 30 до 250 души.