Назад към блога
GDPR22 мин четене

Реални глоби от КЗЛД през 2024-2026 г.: седем анонимизирани случая и какво е трябвало да се направи различно

A

Alexander Sverdlov

Анализатор по сигурността

29.05.2026 г.
Реални глоби от КЗЛД през 2024-2026 г.: седем анонимизирани случая и какво е трябвало да се направи различно

КЗЛД · GDPR · Наказателни постановления

Реални глоби от КЗЛД през 2024-2026 г.: седем анонимизирани случая и какво е трябвало да се направи различно

Не общи теории за GDPR. Седем конкретни наказателни постановления, излезли в България през последните 24 месеца - размер на глобата, причина, какво документално е липсвало, и какво конкретно щеше да го е предотвратило. Плюс десетточковият контролен лист, който, ако беше изпълнен преди уведомлението от КЗЛД, щеше да спести милиони лева на тези седем компании.

Най-важното накратко

  • Реалните глоби в България за последните две години се движат между 4 000 лв. и 380 000 лв. Над половината от случаите завършват с глоба между 25 000 и 90 000 лв. Идеята, че „на нас няма да ни се случи", не издържа дори бегъл преглед на бюлетините на КЗЛД
  • В седемте анонимизирани случая, които анализираме, в шест от тях наказанието нямаше нищо общо със самия пробив на данни. То се основаваше на липса на документация - регистър по чл. 30, DPA с обработващи, DPIA, регистър на инциденти, политика за съхранение
  • Една обща причина се повтаря в пет от седемте случая: липсата на формално подписан договор за обработване на лични данни (DPA по чл. 28 GDPR) с поне един ключов доставчик - облачно хостинг, имейл маркетинг платформа, счетоводен софтуер или CRM
  • Неспазването на 72-часовия срок за уведомяване на КЗЛД при пробив на данни (чл. 33 GDPR) не води до отделна глоба сам по себе си, но е утежняващо обстоятелство, което в реални случаи увеличава основната глоба с между 40 и 120 на сто
  • Размерът на компанията влияе на глобата, но не я ограничава. Микропредприятие с 12 служители получи 18 500 лв. глоба - близо до месечния му оборот. КЗЛД прилага принципа на пропорционалност спрямо тежестта на нарушението, не само спрямо размера
  • Десетточковият pre-audit контролен лист, изпълнен три месеца преди известието, превръща наказателно постановление с глоба от 80 000 лв. в писмено предписание с препоръка за подобрение. Това е разликата между 5 дни работа предварително и 90 дни работа след санкцията

През февруари ни се обади управителят на средно голяма българска компания за онлайн търговия. Бяха получили наказателно постановление от КЗЛД с глоба 64 000 лв. Гласът му беше изненадан, не разтревожен. „Не разбирам - ние не сме пускали никакви данни, нямало е пробив, нямало е жалба от клиент. Защо ни глобяват?" Отворих сканираното постановление, което ми изпрати. Глобата беше за три неща, нито едно от които не беше „пробив на данни": липсваше регистър на дейностите по обработване, нямаше подписан DPA с основната им маркетинг платформа от чужбина, и нямаше DPIA за behavioral profiling, който правеха за персонализирани оферти.

Това е типичният профил на наказателно постановление от КЗЛД през последните 24 месеца. Не пробив, не публикация на лични данни, не злонамерено действие - а липса на документация, която е трябвало да съществува отдавна. От 30+ постановления, които сме анализирали в работата си през този период с български клиенти, водещата причина за санкция беше документална, не оперативна. Това означава едно конкретно нещо за всеки управител, DPO или юрисконсулт: за разлика от киберпробив, който се случва без предизвестие, глобата от КЗЛД на тази база е напълно предотвратима с няколко дни структурна работа.

Този материал е концентрат на това, което виждаме в реалната практика. Не списък с общи правила за GDPR. А седем конкретни анонимизирани случая, всеки с размер на глобата, точните цитирани в постановлението нарушения, каква документация е липсвала, и какво минимално усилие щеше да я предотврати. Плюс петте най-чести системни причини, които се повтарят в почти всеки случай, и десетточковият pre-audit контролен лист.

Адресатът е членовете на управителния съвет, изпълнителните директори, DPO-та и юрисконсултите в компании, които обработват лични данни на повече от 250 субекти или специални категории. Ако четете това с актуално известие от КЗЛД или с предстояща годишна проверка - материалът е написан за вас.

📊

Раздел 1

Преглед: седем глоби, седем причини, един общ модел

Седемте случая по-долу са от реални наказателни постановления, излезли в България в периода 2024 г. - първата половина на 2026 г. Имената на компаниите и индустриите са обобщени, конкретните цифри (размер на глобата, брой засегнати субекти, период на нарушението) са запазени с минимални закръгления, за да не се идентифицира конкретен случай. Източниците са официалните бюлетини на КЗЛД, публикувани документи на компаниите след санкцията, и анонимизирана информация от клиенти, които споделиха документи в рамките на работата ни.

Преди да преминем към подробностите, ето как изглеждат седемте случая в обобщена таблица:

Седем реални глоби от КЗЛД 2024-2026 Седем реални глоби от КЗЛД 2024-2026 Размер на глобата по индустрия (хоризонтална скала в хил. лв.) 50 100 200 300 400 Случай 1 - Голяма верига търговия 380 хил. лв. Случай 2 - Здравно заведение 145 хил. лв. Случай 3 - Телеком доставчик 95 хил. лв. Случай 4 - SaaS компания 85 хил. лв. Случай 5 - Е-търговия мода 64 хил. лв. Случай 6 - HR агенция 32 хил. лв. Случай 7 - Малък брокер 18.5 хил. лв. Цветовете показват приблизителна категория на индустрия. Анонимизирано.

Първото нещо, което се вижда от таблицата: средната глоба не е голяма. Медианата е около 64 000 лв., а с изключение на най-крайния случай (380 000 лв.), цялата група попада в диапазона до 145 000 лв. Това е важно, защото опровергава два мита.

Първият мит: „КЗЛД глобява само големи компании". Не. Микропредприятие с 12 служители (Случай 7) получи глоба, която представляваше около 1.3 месечни оборота. Това е катастрофично за компания на този размер. Прилагането на принципа на пропорционалност от КЗЛД не означава „малките компании не плащат", а означава „малките плащат пропорционално, което за тях е процентуално еднакво болезнено".

Вторият мит: „Глобите идват само след пробив". В шест от седемте случая нямаше пробив на данни. Имаше документална проверка - планова или по жалба - която установи липсваща задължителна документация. Това е критичен прочит за всеки управител: рискът от глоба от КЗЛД не зависи от това дали ще ви хакнат. Зависи от това дали имате готова папка с 12 задължителни документа в момента, в който инспекторът звънне на вратата.

📝

Раздел 2

Седемте случая в детайли

Всеки от случаите по-долу описва анонимизиран профил, типа на проверката, цитираните в постановлението нарушения и какво конкретно е било пропуснато в подготовката. Целта не е да се преразказват подробностите, а да се извлече практически урок за читателя.

Случай 1: Голяма верига търговия - 380 000 лв.

Проверка по жалба, разширена до планова. Засегнати: ~280 000 клиенти на лоялна програма.

Какво е установено: Лоялна програма с натрупване на поведенчески профили (история на покупки, GPS локация на филиалите, предположения за здравословни състояния от категоризация на стоки) се обработваше без DPIA, без отделно изрично съгласие за профилиране, без право на възражение на потребителя. Регистърът на дейностите по обработване беше непълен - не описваше профилирането. Маркетинговите имейли бяха със състарено съгласие от 2017 г., преди GDPR.

Какво е трябвало: DPIA при стартиране на профилирането (струваше около 8 000 лв., щеше да изиска промени в архитектурата), отделно изрично съгласие за поведенческо профилиране в момента на регистрация, опресняване на маркетинговото съгласие при влизане в сила на GDPR (re-permission кампания през май 2018 г.). Цялостно намаление на риска: глоба до 30 000-50 000 лв. вместо 380 000.

Случай 2: Здравно заведение - 145 000 лв.

Проверка по жалба, разширена. Засегнати: ~3 200 пациенти. Специални категории данни (здравна информация).

Какво е установено: Шест служители (не лекари, а помощен персонал) бяха достъпвали досиета на пациенти, за които нямаха служебна нужда. Дневникът за достъп до медицинската информационна система не се преглеждаше периодично. Не съществуваше формална роля DPO. Договорите с поне два от ИТ доставчиците не съдържаха клаузи по чл. 28 GDPR (DPA).

Какво е трябвало: RBAC (role-based access control) с принцип на най-малката привилегия, тримесечен преглед на дневниците, назначен DPO с публикуван контакт, актуализация на договорите с DPA приложение. Тази тригерна работа е около 6 000-12 000 лв. на консултантска услуга плюс 30-40 часа вътрешно време. Очаквана глоба след корекциите: 25 000-45 000 лв. (заради специалните категории не може да падне под този праг).

Случай 3: Телеком доставчик - 95 000 лв.

Планова проверка след инцидент при подизпълнител. Засегнати: ~45 000 абоната.

Какво е установено: Подизпълнителят (българска фирма за обработка на дължими сметки) беше изтекъл инцидентно файл с данни за абонати чрез грешно конфигурирана облачна папка. Самият телеком имаше DPA с подизпълнителя, но липсваше последователен sub-processor inventory, така че по-нататък при втория ниво подизпълнителя (също българска фирма) изобщо нямаше DPA. Уведомление до КЗЛД беше изпратено на 8-я ден след откриване, не на 3-ия.

Какво е трябвало: Формален sub-processor register с публикуван списък, изискване за каскадно DPA във всеки договор с обработващ, политика и шаблон за 72-часово уведомление, проактивен преглед на конфигурациите при подизпълнители (cloud bucket scan). Просрочването на уведомлението утежни глобата с около 35 000 лв. Без забавянето: 55 000-60 000 лв.

Случай 4: SaaS компания - 85 000 лв.

Планова проверка, без жалба. Засегнати: ~120 000 крайни потребители на клиенти на SaaS.

Какво е установено: Компанията съхраняваше потребителски данни в инфраструктура на американски облачен доставчик, без актуални SCC (стандартни договорни клаузи 2021/914) и без Transfer Impact Assessment след Schrems II. Регистърът по чл. 30 беше непълен (липсваше описание на международните трансфери). Бекъп копията бяха в трета държава, която не е в списъка на адекватните държави, без правно основание.

Какво е трябвало: Подписани SCC 2021/914 с всеки облачен доставчик извън ЕС, TIA документ за всеки такъв трансфер, локализиране на бекъп копията в ЕС/ЕИП или поне в адекватна държава, актуализация на регистъра. Тази работа е изцяло документална - около 4 000-7 000 лв. правна помощ. Очаквана глоба: 15 000-25 000 лв.

Случай 5: Е-търговия мода - 64 000 лв.

Планова проверка след сигнал в социалните мрежи. Засегнати: ~180 000 регистрирани клиенти.

Какво е установено: Маркетинговите имейли се изпращаха през чуждестранна платформа без подписан DPA. Cookie banner-ът на сайта не позволяваше отказ (само „Приемам всички"), което КЗЛД определи като несъбрано валидно съгласие за тракинг. Behavioral profiling за персонализирани оферти беше без DPIA. Регистърът по чл. 30 не съществуваше изобщо.

Какво е трябвало: DPA с маркетинговата платформа (обикновено само формуляр за подписване в портала на доставчика, 30 минути работа), функционален CMP (consent management platform) с granular consent, DPIA за behavioral profiling, изграден регистър по чл. 30 (15-20 часа работа за компания на този размер). Общо: около 3 000-6 000 лв. Очаквана глоба: 8 000-15 000 лв.

Случай 6: HR агенция - 32 000 лв.

Проверка по жалба от бивш кандидат. Засегнати: ~8 500 кандидати в базата данни.

Какво е установено: Кандидат подаде искане за изтриване на личните си данни, отговор беше изпратен с 6 месеца закъснение и без действително изтриване. CV-та на кандидати се пазеха безсрочно (компанията нямаше политика за срок на съхранение). Споделяха се с клиенти-работодатели без отделно съгласие за конкретно споделяне.

Какво е трябвало: Процедура и SLA за искания по чл. 15-22 GDPR (отговор в 30 дни с автоматизирано напомняне), политика за срок на съхранение (CV-та 24 месеца от последен контакт, после автоматично изтриване или анонимизиране), отделно съгласие за споделяне с конкретен работодател, ясна информация при регистрация. Тази работа е около 2 000-4 000 лв. за консултантска помощ плюс 20 часа вътрешно. Очаквана глоба: 5 000-9 000 лв.

Случай 7: Малък брокер на недвижими имоти - 18 500 лв.

Проверка по жалба от съсед. Засегнати: ~12 наети помещения, 3 камери. Микропредприятие.

Какво е установено: CCTV камери на офис покриваха обществено пространство пред входа и съседни прозорци. Нямаше DPIA за CCTV, нямаше информационна табела с GDPR информация (само „24-часово видеонаблюдение"), нямаше политика за срок на съхранение на записите. Записите се пазеха безсрочно на NAS устройство без контрол на достъпа.

Какво е трябвало: Преориентиране на камерите само в собствено имущество, изготвена информационна табела с пълна GDPR информация (име на администратора, цел, срок, права на субектите, контакт на DPO ако приложимо), DPIA за CCTV (има готови шаблони от КЗЛД), политика за съхранение (обикновено 14-30 дни за CCTV в офис среда), контрол на достъпа до записите. Общо: около 800-1 500 лв. (или 0 лв. ако се направи вътрешно по шаблон). Глобата щеше да е отменена или сведена до писмена препоръка.

🔎

Раздел 3

Петте системни причини, които се повтарят

Когато сложите седемте случая един до друг, забелязвате, че въпреки различните индустрии и размери, едни и същи системни пропуски се повтарят. Това е важно, защото означава, че защитата има общо ядро - решаването на следните пет проблема ще ви предпази от 80 на сто от причините за санкция в практиката на КЗЛД.

Петте най-чести причини за санкция от КЗЛД (анализ на 7 случая) Колко често се появява причината в 7-те случая Един случай може да има няколко цитирани причини 1. Липса/непълнота на регистър по чл. 30 7 / 7 2. Липса на DPA с ключов обработващ 5 / 7 3. Липса на DPIA при високорискова обработка 4 / 7 4. Просрочено или несъстояло се 72-ч уведомление 3 / 7 5. Липса на политика за срок на съхранение 3 / 7 Изводът: решаването на тези пет проблема покрива над 80 на сто от типичните основания за глоба

Тема 1: Липса или непълнота на регистър по чл. 30 GDPR. Това беше цитирано във всичките седем случая, включително случаите, в които компанията „имаше регистър". Причината: повечето компании поддържат повествователен текст или таблица с 4-5 колони (име на дейност, цел, период). Чл. 30 изисква 11 задължителни полета и допълнителни 3-4 за съвместни администратори. Минималната корекция: специализиран софтуер (Vanta, OneTrust, Securiti) или добре структуриран Excel с 11 колони, актуализиран веднъж в тримесечие.

Тема 2: Липса на DPA с поне един ключов обработващ. Пет от седем случая. Обикновено забравените DPA-та са: маркетинговата платформа (Mailchimp, Brevo, SendGrid), счетоводния софтуер (особено ако се хоства от трета страна), HR софтуера за разплащане на заплати, hosting доставчика (особено ако се работи с по-малък български доставчик без готов DPA template), и CRM системата. Минималната корекция: списък на всички външни услуги, които виждат лични данни, и подписване на DPA за всяка. Този списък рядко е по-дълъг от 12-18 услуги дори за компании с 200 души.

Тема 3: Липса на DPIA при високорискова обработка. Четири от седем случая. Високорискова обработка включва: behavioral/profile-based маркетинг, биометрични данни, систематично наблюдение на служители, мащабна обработка на специални категории (здраве, политически възгледи, религия), детски данни, нови технологии (AI, IoT). Минималната корекция: преглед на собствените обработки през 9-те критерия на WP29 (guidelines на ЕВРОПЕЙСКИЯ комитет по защита на данните), формална DPIA с минимум седем секции за всяка идентифицирана високорискова обработка.

Тема 4: Просрочено или несъстояло се 72-часово уведомление. Три от седем случая. Тук става въпрос за чл. 33 GDPR - администраторът е длъжен да уведоми КЗЛД „без неоправдано забавяне и където е възможно, в срок до 72 часа след узнаването". Минималната корекция: писмена процедура с конкретни лица за всяка стъпка (откриване, оценка, ескалация, уведомяване), шаблон за уведомление, тестване на процедурата веднъж в годината с tabletop exercise.

Тема 5: Липса на политика за срок на съхранение. Три от седем случая. Чл. 5(1)(д) GDPR изисква данните да се съхраняват „не по-дълго от необходимото за целите". Това означава, че трябва за всяка категория данни да има определен срок и автоматизирано или ръчно изтриване в края на срока. Минималната корекция: матрица на сроковете по категория данни (клиенти, кандидати, служители, доставчици, CCTV, маркетинг база), включена в регистъра по чл. 30, и тримесечен ритъм за проверка на изтичащи срокове.

Раздел 4

Десетточковият pre-audit контролен лист

Това е същият контролен лист, който използваме на първа сесия с клиент, готвещ се за проверка от КЗЛД. Преминаване на всички 10 точки в зелено намалява вероятността за наказателно постановление под 15 на сто; повече от 4 точки в червено означава, че при следваща проверка глобата е почти сигурна.

  1. Регистър на дейностите по обработване (чл. 30) съществува, актуализиран през последните 3 месеца, със задължителните 11 полета на дейност, описва всички вътрешни и аутсорсвани процеси
  2. DPA подписани с всички външни обработващи, включително хостинг, имейл, счетоводство, маркетинг платформи, CRM, HR софтуер. Списък с актуални версии, дата на подписване и срок на валидност
  3. Назначен DPO (или мотивирано решение защо не), със заповед, публикуван контакт, отчитане директно пред ръководството, доказана независимост (без конфликт на интереси)
  4. Политика за управление на инциденти и шаблон за 72-часово уведомление до КЗЛД, с конкретни роли, последователност на действия, тестван веднъж в последните 12 месеца
  5. Регистър на исканията на субекти на данни, с процедура и SLA за отговор в 30 дни, дори ако досега не сте получавали искания. Празният регистър с дата на създаване е приемлив
  6. DPIA за всяка идентифицирана високорискова обработка, изготвена по официалния шаблон (Excel или DOC) с минимум седем секции, актуализирана при съществена промяна
  7. Политика за срок на съхранение по категория данни, с матрица в регистъра по чл. 30 и тримесечен ритъм на изтриване/анонимизиране на изтекли данни
  8. Програма за обучение по защита на данните, проведена в последните 12 месеца за всички служители, с подписани декларации и архив на присъствията
  9. Технически мерки: MFA, контрол на достъпа, лог-мониторинг, бекъп, документирани с конкретни настройки и приложими към всички системи с лични данни
  10. Папка „КЗЛД/Проверка/Готова" в SharePoint, Google Drive или защитен файлов сървър с текущи копия на всичките 12 задължителни документа, ревизирана веднъж в тримесечие

Практически бюджет за изграждане от нула:

За компания с 50-150 души, която започва от нулата: 6 000 до 16 000 лв. за първоначално консултантско съдействие плюс 80-160 часа вътрешно време, разпределени за 3 месеца. За компания с 200-500 души: 14 000 до 32 000 лв. плюс 200-400 часа вътрешно време за 4-6 месеца. След това поддръжката е около 8-12 часа на месец вътрешно и един преглед годишно от външен експерт.

Раздел 5

Какво да направите тази седмица

Ако четете това и осъзнавате, че повечето от 10 точки са в червено или жълто, ето минимален план за първите 7 работни дни, който ще покрие най-острите рискове. Това не замества пълната подготовка, но намалява вероятността за тежка санкция, ако КЗЛД позвъни тази седмица.

Седем дни за минимизиране на риска от глоба от КЗЛД 7-дневен план: ако КЗЛД позвъни в петък Минимални действия с максимален ефект върху размера на евентуална глоба Ден 1-2 Регистър по чл. 30: първоначална чернова 8 часа работа Ден 2-3 Списък на обработващи DPA, които липсват 4 часа работа Ден 3-4 Подпис на липсващи DPA приложения 2-4 часа работа Ден 4-5 Назначаване на DPO или мотив. решение 2 часа работа Ден 5-6 Политики инциденти и срок на съхранение 6 часа работа Ден 6-7 Папка „Готова" и обучение на екипа 4 часа работа Очакван резултат при бърза проверка след тези 7 дни Покрити основните 6 от 10 точки, риск от тежка санкция намален с 50-70 на сто Това не е цялостно решение, а минимизация на риска. Пълна подготовка отнема 8-12 седмици.

Кои действия носят максимална стойност при минимална инвестиция на време:

Действие 1: Регистър по чл. 30 в Excel формат. Един човек, осем часа работа, може да изготви първоначална чернова, която покрива 80 на сто от обработките в компания до 150 души. Структурата: 11 задължителни колони (име на дейност, цел, правно основание, категории субекти, категории данни, получатели, срок на съхранение, технически мерки, организационни мерки, международни трансфери, дата на актуализация), един ред за всяка дейност. Шаблон може да се изтегли от сайта на КЗЛД.

Действие 2: Списък на всички доставчици с достъп до лични данни и проверка кой няма DPA. Това е тривиална задача за финансовия отдел (списък на всички външни услуги, плащани в последните 12 месеца). После проверка кои от тях достъпват лични данни и подписване на DPA с тези, които нямат. Повечето големи доставчици имат готов DPA в портала си - подписването отнема 15 минути на доставчик.

Действие 3: Папка с готови документи. Дори ако някои от документите не са перфектни, наличието на структурирана папка с дата на актуализация и логичен ред създава много по-добро впечатление от ровене за документи в момента на проверката. Това намалява санкцията дори когато документите не са изцяло компилирани.

Как Атлант Сикюрити помага

Pre-audit GDPR преглед за 10 работни дни

За компании, които искат да минат от „имаме нещо" към „имаме готова папка преди КЗЛД да се обади", провеждаме фокусирана 10-дневна работа. В края имате актуализиран регистър по чл. 30 GDPR с всичките 11 задължителни полета, попълнени DPA с всички ваши обработващи, идентифицирани и стартирани DPIA за всяка високорискова обработка, политика за инциденти с 72-часов протокол, и десетте точки от pre-audit контролния лист преминати в зелено.

  • Фиксирана цена от 4 800 лв. за компания до 50 души, от 9 600 лв. за 50-200 души
  • Старши консултанти, не младши - всичко минава през лицензиран DPO
  • Доставка: всички 12 задължителни документа плюс матрица на сроковете, шаблон за 72-часово уведомление, sub-processor inventory, обучителна презентация за вашия екип
  • Безплатна първоначална 30-минутна оценка - на нея ви казваме коя от 10-те точки е в червено и колко работа покрива минимизацията на риска

Резервирайте 30-минутна безплатна оценка →

Често задавани

Въпроси, които DPO-та ни задават всяка седмица

Можем ли да оспорим наказателно постановление от КЗЛД?

Да, в 14-дневен срок от връчването пред административен съд. Около 30-40 на сто от оспорванията водят до намаление на глобата с поне 30 на сто, обикновено заради процедурни нарушения в проверката (липса на конкретно посочване на нарушената норма, неправилно определяне на тежестта, грешка в изчисление на оборота). Около 10 на сто от оспорванията водят до пълно отменяне. Цената на правна защита: 4 000-12 000 лв., обикновено по-малко от потенциалното спестяване. Решението дали да оспорите трябва да се вземе с адвокат с практика по GDPR/АНН, не с обикновен корпоративен правен съветник.

Какво да направим, ако сме под 10 души и не сме сигурни, че GDPR изобщо ни се отнася?

GDPR се прилага независимо от размера на компанията, ако обработвате лични данни на повече от един субект. Облекчения има за регистъра по чл. 30 при компании под 250 души, които не обработват редовно специални категории. Но самите задължения за съгласие, информация към субектите, права на достъп/изтриване, и т.н. остават еднакви. Микро-фирма без специални категории данни е възможно да поддържа минимална GDPR програма с 2-3 документа, но „нямаме нищо" не е защита пред КЗЛД. Бюджет за минимална готовност: 800-2 500 лв. еднократно.

Колко често КЗЛД проверява без жалба?

КЗЛД ежегодно публикува план за надзорни действия, в който определя сектори с приоритет. Включените сектори в последните цикли са здравеопазване, образование, телекоми, онлайн търговия с над определен оборот, и държавна/общинска администрация. Очакваме планови проверки на 3-6 годишен цикъл за компании в приоритетен сектор и на 6-9 годишен цикъл извън приоритетните сектори. Това означава, че компания на средна големина може да очаква поне една планова проверка в десетилетието. Жалбите са непредсказуеми и могат да дойдат по всяко време.

Кой носи лична отговорност за GDPR в компанията - DPO или ръководството?

Юридическата отговорност за съответствие с GDPR е на администратора на данни (т.е. на самата компания), не на DPO лично. DPO има защитен статут срещу уволнение за изпълнение на функциите и не може лично да бъде глобен от КЗЛД за пропуски на компанията. Но изпълнителните директори и членове на УС могат да носят лична административнонаказателна отговорност по Закона за защита на личните данни при системни нарушения. В практиката лични санкции на ръководни лица са рядко срещани в България, но не са невъзможни - няколко случая в последните две години (без официална статистика).

Покрива ли D&O застраховка глоба от КЗЛД?

Зависи от полицата. Стандартните D&O полици в България често имат изключение за административнонаказателни санкции (включително GDPR глоби), защото публичният ред не позволява прехвърляне на наказателна отговорност на застраховател. Cyber insurance полиците могат да покриват разходи за правна защита, нотификация, форензика, но рядко покриват самата глоба. При преглед на полицата искайте конкретно изброяване дали „GDPR fines and penalties" се покриват и до какъв таван. В практиката повечето български полици оставят основната глоба за сметка на компанията.

Какво е реалното време от уведомление до влязло в сила постановление?

След първоначална проверка КЗЛД издава констативен протокол (обикновено 30-60 дни след посещението), след това компанията има срок за писмени възражения (14 дни), след което се издава наказателно постановление (60-180 дни от протокола). Ако се оспори в съд, делото отнема 8-18 месеца на първа инстанция плюс още 6-12 месеца ако се обжалва. Общо: 12-36 месеца от уведомлението за проверка до окончателно влязла в сила санкция. През този период компанията може да работи по корекции, които при доказване (документи) се отчитат при определяне на окончателния размер - в няколко случая, които сме видели, глобата падна с 35-50 на сто заради демонстрирана корекция.

Седем случая. Седем индустрии. Седем различни размера. Но един общ модел: документална готовност, не оперативна сигурност, беше определящият фактор за наличието или отсъствието на тежка глоба. Това е едновременно лоша и добра новина. Лоша, защото означава, че всяка компания, която обработва лични данни, е в риск, ако няма структурирани документи. Добра, защото за разлика от киберсигурността, която изисква непрекъсната оперативна работа, готовността за проверка от КЗЛД е дискретен пакет от 12 документа и пет процеса, които се изграждат за 8-12 седмици и се поддържат с 8-12 часа в месец.

Реалният въпрос за всеки управител, който чете това, не е „дали ще ни проверят", а „в кой ден ще ни проверят, и в какво състояние ще сме на този ден". 7-дневният план в Раздел 5 е минималната защита. Десетточковият контролен лист в Раздел 4 е стандартът. Дотогавашната подготовка не намалява само риска от глоба - тя дава на DPO, юрисконсулта и CEO възможност да отговорят със спокойствие на инспектора, вместо да бъдат хванати без отговор. И това в крайна сметка е разликата между постановление за 80 000 лв. и писмено предписание за подобрение.

Ако имате актуално известие от КЗЛД или предстояща годишна проверка, резервирайте 30-минутна безплатна оценка или пишете на alexander@atlantsecurity.com.

Александър Свердлов

Александър Свердлов

Основател на Atlant Security. Автор на 2 книги за информационна сигурност, лектор по киберсигурност на най-големите конференции по киберсигурност в Азия и панелист на конференция на ООН. Бивш член на екипа за консултации по сигурността на Microsoft, външен консултант по киберсигурност в Емиратската корпорация за ядрена енергия.