Назад към блога
Регулации15 мин четене

Външен DPO за български компании: кога е задължителен, какво прави и колко струва

A

Alexander Sverdlov

Анализатор по сигурността

11.06.2026 г.
Външен DPO за български компании: кога е задължителен, какво прави и колко струва

КЗЛД · GDPR · Чл. 37-39 · Юни 2026

Външен DPO за български компании: цена, задължения и как да изберете правилния партньор

Верига от 12 аптеки в Централна България получи писмо от КЗЛД - искане за информация дали е назначен DPO и какви са контактните му данни. Управителят беше сигурен, че IT директорът "се занимава с тия неща". Оказа се, че IT директорът никога не е бил официално назначен за DPO, не е публикуван контакт на сайта, и КЗЛД не е уведомен. Проверката продължи 6 месеца. В края на нея компанията плати 45 000 лв. глоба, назначи външен DPO и преработи цялата документация от нулата. Ето какво трябваше да знаят преди това.

Основни изводи

  • DPO е задължителен по чл. 37 GDPR за три категории организации: публични органи, компании с мащабно систематично наблюдение на лица, и компании с мащабна обработка на специални категории данни. В България това засяга болници, общини, банки, телекоми, охранителни фирми и онлайн търговци с профилиране
  • Управителят, IT директорът и HR мениджърът почти никога не могат законно да бъдат DPO на собствената си компания поради конфликт на интереси по чл. 38(6) GDPR - DPO не може да получава инструкции как да изпълнява задачите си
  • Реални цени за външен DPO в България: 400-700 лв./мес. за малка фирма, 900-1 800 лв./мес. за средна фирма, 2 500-5 500 лв./мес. за регулирана или голяма компания. Еднократна такса за setup е отделна и обикновено е между 800 и 4 000 лв.
  • Регистрацията на DPO пред КЗЛД е задължителна и безплатна; контактните данни трябва да се публикуват на сайта на организацията. Липсата на регистрация е самостоятелно нарушение, различно от липсата на DPO
  • DPO "на хартия" - лице, назначено формално без реална работа - е по-лош вариант от липса на DPO, тъй като компанията поема задълженията, без да получава защитата. КЗЛД проверява реалното изпълнение на функциите по чл. 39
  • Санкциите при липса на задължителен DPO или при DPO с конфликт на интереси са по чл. 83(4) GDPR до 10 млн. EUR или 2% от годишния оборот. КЗЛД е наложила глоби от 8 000 до 180 000 лв. по тази категория нарушения само в последните три години

Получих обаждане от изпълнителния директор на онлайн магазин с 40 000 активни клиенти, базиран в Пловдив. Компанията продаваше хранителни добавки, прилагаше профилиране на поведението за персонализирани препоръки и съхраняваше история на покупките. Клиент беше подал жалба до КЗЛД, тъй като не получил отговор на искане за заличаване на данни в законовия срок от 30 дни. При проверката КЗЛД поиска контактите на DPO. Изпълнителният директор отговорил, че "отговорен е правният отдел". Правният отдел се оказа един адвокат на граждански договор, без формално назначение по чл. 37.

За компании с мащабно профилиране DPO е задължителен по чл. 37(1)(б) GDPR. Нямаше как да се избегне. Проблемът беше решим - имаше квалифицирани кандидати, имаше пазар на услуги за външен DPO, и конкретната фирма можеше да получи адекватен DPO за около 700 лв. на месец. Но без тази стъпка да е направена, КЗЛД имаше основание за санкция. Проверката завърши с препоръка и шестмесечен срок за отстраняване, в рамките на който компанията назначивъншен DPO и публикува контактите му.

В практиката ни виждаме три типа ситуации при клиенти в България. Първата: компанията изобщо не знае дали й трябва DPO и никога не се е запитала. Втората: компанията знае, че й трябва, но е назначила вътрешно лице в конфликт на интереси. Третата: компанията е наела "DPO" на хартия, платила е минималната такса на консултант, и няма ни документация, ни реални процеси. И трите ситуации са значим регулаторен риск, особено когато КЗЛД извършва планова или жалбова проверка.

По-долу е практическото ръководство, което използваме в реални ангажименти с български клиенти - как да разберете дали ви трябва DPO, защо вътрешното назначение най-вероятно е грешка, какво реално прави добриятвъншен DPO, и какво да очаквате да платите в България.

Раздел 1

Кога DPO е задължителен: трите критерия по чл. 37 GDPR

Чл. 37(1) GDPR предвижда задължително назначаване на DPO при три хипотези, изброени изчерпателно. Важно е да разберете, че критериите са алтернативни - достатъчно е да попадате в едно от трите основания, за да е задължението безусловно. ЗЗЛД (Законът за защита на личните данни в редакцията от 2019 г.) не добавя допълнителни основания за задължително назначаване отвъд тези в GDPR, но чл. 23 ЗЗЛД потвърждава задължението за публичните органи.

Основание 1: Публични органи и органи на публичната власт (чл. 37(1)(а)). Тук попадат всички общински администрации, районни администрации, министерства, агенции, болници към системата на Министерство на здравеопазването, ВУЗ-ове, и всеки друг орган по смисъла на Закона за администрацията. За тях DPO е задължителен без оглед на мащаба на обработването или вида данни. В тази категория попадат и значителна част от общинските дружества - ако основната дейност включва изпълнение на публични функции.

Основание 2: Мащабно, редовно и систематично наблюдение на физически лица (чл. 37(1)(б)). Трите прилагателни трябва да са изпълнени едновременно. "Мащабно" означава значителен брой субекти или значителен обем данни. "Редовно" означава непрекъснато или периодично по зададен ритъм. "Систематично" означава по предварително определена схема или методология. В Bulgarian контекст тук попадат: телекомуникационни оператори (Vivacom, A1, Теленор), банки, застрахователни дружества, онлайн магазини с профилиране (поведенчески анализ, персонализирани препоръки), охранителни фирми с видеонаблюдение на обществени места или търговски зони, и кол-центрове, обработващи обаждания и записи в мащаб.

Основание 3: Мащабна обработка на специални категории данни или данни за присъди (чл. 37(1)(в)). Специалните категории по чл. 9 GDPR включват: здравни данни, биометрични данни, генетични данни, расов или етнически произход, религиозни убеждения, политически възгледи, данни за членство в синдикати, сексуален живот или сексуална ориентация. В България тук попадат: частни болници и медицински центрове, лаборатории, верижни аптеки (здравни данни от рецепти), дружества за охрана с биометрична идентификация (пръстови отпечатъци за контрол на достъп), HR компании с обработка на медицински листа за целите на ТРЗ.

Дърво за решение: задължителен ли е DPO за вас по чл. 37 GDPR Задължителен ли е DPO за вашата организация? Дърво за решение по чл. 37(1) GDPR - три самостоятелни основания Вашата организация администратор или обработващ? Публичен орган или орган на публичната власт? (чл. 37(1)(а)) ДА DPO е ЗАДЪЛЖИТЕЛЕН НЕ Основна дейност = мащабно, редовно и систематично наблюдение? (чл. 37(1)(б)) ДА НЕ Основна дейност = мащабна обработка на специални категории данни? (чл. 37(1)(в)) ДА НЕ DPO не е задължителен по GDPR Препоръчан е доброволно за добра практика DPO е ЗАДЪЛЖИТЕЛЕН Трите основания са алтернативни - достатъчно е едно от тях да е изпълнено. Препоръчваме консултация при съмнение дали "основна дейност" и "мащабно" са изпълнени.
Фигура 1. Дърво за решение по чл. 37(1) GDPR: трите самостоятелни основания за задължителен DPO.

Практически: ако вашата компания обработва рецептурни лекарства (специални здравни данни) за 800 клиенти месечно, тя обработва специални категории данни, но "мащабно" е под въпрос. ЕКЗД дава ориентири в Guidelines 07/2020 on the concepts of controller and processor: мащабът включва брой субекти, обем данни, географски обхват и продължителност на обработването. Отделна аптека с 300 клиенти най-вероятно не достига прага. Верига от 12 аптеки с 40 000 пациентски профила - достига. При всяко съмнение препоръчваме писмена правна оценка с документиране на извода.

Реален случай от практиката: Охранителна фирма с 18 обекта, управлявала видеонаблюдение на търговски центрове в пет града, считаше, че DPO не е задължителен, защото "само записва камерите". При проверка по жалба КЗЛД прие, че систематичното, непрекъснато и мащабно наблюдение на хиляди лица дневно, с разпознаване и проследяване, отговаря на чл. 37(1)(б). Дружеството нямаше назначен DPO, нямаше публикувани контакти и нямаше регистрация пред КЗЛД. Санкцията беше 38 000 лв. по чл. 83(4) GDPR.

📋

Раздел 2

Осемте задачи на DPO по чл. 39 GDPR - какво реално трябва да се прави

Чл. 39(1) GDPR описва изчерпателно задачите на DPO. Разбирането им е важно не само за самия DPO, но и за ръководството на компанията, за да може да оцени дали нает DPO действително изпълнява функцията. DPO "на хартия", който само подписва документи, нарушава не само духа, но и буквата на регламента.

Задача 1 - Информиране и консултиране

DPO информира администратора, обработващия и служителите за задълженията им по GDPR, ЗЗЛД и приложимите секторни норми. В практически план това означава: отговаряне на въпроси на служители и мениджмънт, участие в срещи при нови проекти, преглед на нови процеси и договори. Консултирането е превантивно - DPO трябва да е включен в ранния етап на планиране, не само след като проблемът е вече факт.

Задача 2 - Наблюдение на съответствието

DPO наблюдава спазването на GDPR, ЗЗЛД и политиките на администратора, включително разпределяне на отговорности, повишаване на осведомеността, и вътрешни одити. Тук влизат: преглед на регистъра на дейностите по обработване (чл. 30), проверка на актуалността на политиките за поверителност, одит на договорите с обработващи (DPA). Наблюдението трябва да е документирано с конкретни констатации и препоръки, не просто с декларация "всичко е наред".

Задача 3 - Обучения

DPO осигурява или организира обучения за служителите, работещи с лични данни. Добрата практика включва: въводно обучение при наемане на нов служител, ежегодно обновление за всички, и специализирани модули за звена с висок риск (HR, финанси, IT). Обученията трябва да са документирани с присъстващи, дата, и резюме на темите.

Задача 4 - Консултиране по DPIA

При дейности с висок риск за правата на физическите лица администраторът е длъжен да извърши оценка на въздействието (DPIA по чл. 35). DPO консултира при извършването на DPIA и наблюдава изпълнението. В България ДPIA е задължителна например при въвеждане на биометрична идентификация, при мащабна система за видеонаблюдение с аналитика, и при системи за профилиране с автоматизирани решения.

Задачи 5 до 8 - Контакт с КЗЛД и субектите на данни

DPO сътрудничи с надзорния орган (КЗЛД) - чл. 39(1)(д). Действа като точка за контакт за КЗЛД при проверки, запитвания и предварителни консултации. Освен това DPO е точка за контакт за субектите на данни: отговаря на запитвания относно обработването, координира изпълнението на правата (достъп, поправка, заличаване, ограничаване, преносимост, възражение). Задача 8 е изрично упомената в Guidelines на ЕКЗД: мониторинг на инциденти и координация при уведомления по чл. 33 и 34 GDPR.

Задача (чл. 39) Минимална честота Очакван резултат
Информиране и консултиране При нужда + месечна наличност Писмени становища при нови проекти
Наблюдение на съответствието Тримесечен одит Одитен доклад с констатации и мерки
Обучения Минимум веднъж годишно Списък с присъстващи и материали
Консултиране по DPIA При всеки нов проект с висок риск Документирано становище към DPIA
Сътрудничество с КЗЛД При запитвания и проверки Кореспонденция, записи от контакти
Контакт за субекти на данни Публикуван имейл + отговор до 30 дни Регистър на запитванията и отговорите
Управление на инциденти При всеки инцидент Регистър по чл. 33(5) и уведомления
Актуализиране на документацията Годишно и при промяна в дейността Актуален регистър по чл. 30 и политики
⚖️

Раздел 3

Вътрешен срещувъншен срещу частичен DPO: конфликти и компромиси

Чл. 37(6) GDPR позволява DPO да бъде служител на организацията или да изпълнява задачата въз основа на договор за услуги. Чл. 38(6) обаче въвежда ключовото ограничение: DPO може да изпълнява и други задачи, но само ако те "не водят до конфликт на интереси". В практиката на КЗЛД и ЕКЗД конфликтът на интереси се преценява по конкретния случай, но Guidelines 07/2016 на бивша WP29 дават ясна насока: всяка ролята, в която лицето определя целите и средствата на обработване, е несъвместима с ролята на DPO.

Кой НЕ може да е DPO

В Bulgarian контекст, въз основа на Guidelines WP29/07-2016 и практика на КЗЛД: управителят и изпълнителният директор (определят целите и средствата), IT директорът или CISO (могат да вземат решения за сигурността, което е предмет на надзора от DPO), главен счетоводител (определя какви финансови данни се съхраняват), HR директор (определя как се обработват данните на служителите). В малки компании допускането на "hat-stacking" е по-голямо, но при компании с над 50 служители КЗЛД го оспорва редовно.

Частичен DPO (shared DPO)

Чл. 37(3) GDPR позволява група дружества да назначат общ DPO, и чл. 37(4) разрешава DPO за групи публични органи. Частичният DPO може да обслужва няколко дружества от една група едновременно. Привъншен DPO е нормалната практика - един consultant-DPO работи за 8-15 клиента едновременно. Ключовото условие е DPO да е "достъпен лесно" (чл. 38(3)) - изисква се реална наличност, не само имейл адрес на сайта.

Сравнение: вътрешен срещу външен срещу частичен DPO Три модела за DPO: сравнение по ключови параметри Изберете модела спрямо размер, сложност и бюджет на организацията ВЪТРЕШЕН DPO ВЪНШЕН DPO ЧАСТИЧЕН DPO Месечна цена Наличност Независимост Конфликт на интереси Опит / Кръгозор Подходящ за Риск при напускане 3 500-8 000 лв./мес. Пълно работно време Ниска (служебна зависимост) Висок риск при двойна роля Опит само в 1 компания Регулирани сектори >300 чов. Висок - знанието напуска 400-5 500 лв./мес. По SLA (обичайно 4-8 ч./ден) Висока (независим договор) Нисък - ясно разделени роли Мулти-индустриален опит Малки до средни компании Нисък - знанието е у доставчика Споделена такса Планирана наличност Добра (юрид. независим) Нисък Опит в сектора Групи дружества (чл. 37(3)) Нисък
Фигура 2. Сравнение на трите модела за DPO по наличност, цена, независимост и подходяща употреба.

Практически тест за конфликт на интереси: Задайте въпроса "Може ли тази роля да получи инструкции как да обработва лични данни?" Ако отговорът е "да" - ролята е в конфликт с DPO функцията. Управителят получава инструкции от Съвета на директорите. CISO получава инструкции от CTO. HR директорът получава инструкции за обработка на данни за служители. DPO не може да получава инструкции от никого относно начина, по който упражнява своите задачи (чл. 38(3) GDPR). Ако не можете да гарантирате тази независимост вътрешно, изборът евъншен DPO.

💰

Раздел 4

Реални цени завъншен DPO в България: диапазони и какво включват

Пазарът навъншен DPO в България е все още нематуриран. Цените варират значително в зависимост от опита на доставчика, сектора на клиента и обхвата на задачите. По-долу са реалистичните пазарни диапазони, основани на информация от последните 18 месеца, с конкретни примери за включени услуги. Всички суми са без ДДС.

Малка компания (10-50 служители, нерегулиран сектор)

Типичен профил: онлайн магазин или дигитална агенция с мащабно профилиране (задължителен DPO), малка охранителна фирма, медицинска практика с 3 лекари. Месечен абонамент: 400-700 лв./мес. (200-360 EUR). Включва: регистрация на DPO пред КЗЛД, публикуване на контакт, отговор на до 3 запитвания от субекти на данни на месец, ежегоден одит (1 ден), обучение на екипа (1 сесия годишно), поддръжка по имейл до 2 часа на месец. Еднократна такса за setup: 800-1 600 лв.

Средна компания (50-250 служители)

Типичен профил: верига от магазини с лоялни карти, производствена компания с 120 служители (биометрична система за достъп), частна болница или медицински център, кол-център с 80 оператора. Месечен абонамент: 900-1 800 лв./мес. (460-920 EUR). Включва: всичко от малкия пакет, плюс тримесечен одит, участие в 4 срещи на месец (включително по нови проекти), обработка на до 10 запитвания от субекти, поддръжка до 6 часа на месец, консултиране при инциденти (стандартно работно време), и DPIA за до 1 нов проект годишно. Eднократна такса за setup: 1 600-3 000 лв.

Регулирана или голяма компания (>250 служители или финансов/здравен сектор)

Типичен профил: банка или кредитна институция, застраховател, телеком оператор, голяма болница, общинска администрация с мащабни системи. Месечен абонамент: 2 500-5 500 лв./мес. (1 280-2 820 EUR). Включва: всичко от средния пакет, плюс пълно покритие на запитванията от субекти, седмични работни сесии с екипа, 24/7 реакция при инциденти (или покритие извън работно време с допълнителен ретайнер), участие в заседания на управителните органи, координация с КЗЛД и регулаторни органи, неограничен брой DPIA, правна поддръжка от партниращ адвокат включена. Eднократна такса за setup: 3 000-6 000 лв.

Ценови диапазони завъншен DPO в България по типове компании Ценови диапазони завъншен DPO в България (без ДДС) Месечен абонамент по категория компания - 2026 г., пазарни данни лв. / месец 0 1 000 2 000 3 000 4 000 5 000 5 500 400-700 лв./мес. Малка фирма 10-50 служители ~205-360 EUR/мес. 900-1800 лв./мес. Средна фирма 50-250 служители ~460-920 EUR/мес. 2500-5500 лв./мес. Регулирана/голяма >250 служители или финансов/здравен сектор + Еднократна такса за setup: 800-6 000 лв. (еднократно)
Фигура 3. Ценови диапазони завъншен DPO в България (без ДДС, юни 2026). Всички суми са пазарни ориентири.

Важно: цената навъншен DPO трябва да се оцени не само спрямо абсолютната сума, но и спрямо алтернативата. Назначаване на вътрешен DPO в средна компания (трудов договор, обучение, сертификация) струва 60 000-90 000 лв. годишно при реалистична заплата за квалифициран специалист в България. Сравнено свъншен DPO при 1 200 лв./мес. (14 400 лв./год.) разликата е значима.

Внимание при "изгодни" оферти: Предложения под 300 лв./мес. с обхват "пълен DPO" обикновено означават DPO "на хартия" - лице, което подписва документите, но не извършва реална работа. Проверявайте: включено ли е реално обучение? Колко часа месечно са предвидени в договора? Как се реагира при инцидент? Ако отговорите са неясни, изберете друг доставчик.

🔒

Раздел 5

Регистрация на DPO пред КЗЛД и публикуване на контакти

Чл. 37(7) GDPR изисква администраторите и обработващите да публикуват данните за контакт на DPO и да ги уведомят на надзорния орган. В България надзорният орган е КЗЛД, и регистрацията се извършва чрез портала на КЗЛД (cpdp.bg). Процедурата е безплатна и не изисква одобрение - КЗЛД регистрира DPO-то и издава потвърждение. Регистрацията е задължение на администратора, а не само на DPO-то.

Какво се регистрира

Пред КЗЛД се подават: три имена на DPO, имейл адрес за контакт, телефон (опционален), и данни за организацията (ЕИК, наименование, адрес). Привъншен DPO се посочва и наименованието на дружеството-доставчик, ако DPO е юридическо лице или действа чрез дружество. Имейл адресът, публикуван пред КЗЛД, и имейл адресът, публикуван на сайта на организацията, трябва да съвпадат.

Публикуване на сайта

Данните за контакт на DPO трябва да са лесно достъпни за субектите на данни. Добрата практика включва: страница "Политика за поверителност" с раздел "DPO / Длъжностно лице по защита на данните" съдържащ имена и имейл, линк в footer-а на сайта към тази страница, и при електронна търговия - видимо поставен линк на страниците за регистрация и поръчка. Не е задължително да се публикуват физическите данни на конкретното физическо лице, ако DPO е чрез дружество - достатъчен е функционален имейл адрес (напр. dpo@firma.bg).

Актуализация при смяна на DPO

При смяна на DPO регистрацията в КЗЛД трябва да се актуализира без необосновано забавяне. На практика препоръчваме да се актуализира в рамките на 5 работни дни от промяната. Разминаването между DPO в регистъра на КЗЛД и реалното лице, управляващо функцията, е самостоятелно нарушение и се открива при всяка проверка. Привъншен DPO предимство е, че смяната на конкретния консултант не изисква нова регистрация, ако дружеството-доставчик остава същото и имейл адресът не се променя.

🔍

Раздел 6

Как да изберетевъншен DPO: критерии, договор и червени флагове

Изборът навъншен DPO е по-близо до наемане на ключов служител, отколкото до покупка на стандартна услуга. DPO ще знае чувствителна вътрешна информация за вашата компания, ще участва в критични решения при инциденти, и ще представлява организацията ви пред КЗЛД. Изборът заслужава задълбочена оценка.

Минимални изисквания към квалификацията

Чл. 37(5) GDPR изисква DPO да е назначен въз основа на "професионални качества и специализирани познания в областта на правото и практиките за защита на данните". Признати сертификации включват: CIPP/E (IAPP), CIPM (IAPP), GDPR Practitioner (BCS), или еквивалентни академични програми. В България КЗЛД не е въвела задължителен изпит завъншен DPO, но практиката показва, че при проверки КЗЛД проверява квалификацията и документирания опит.

Какво да съдържа договорът

Договорът завъншен DPO трябва да включва: ясно описание на задачите по чл. 39 и кои от тях са включени в цената, SLA за реакция при инциденти (препоръчваме максимум 4 часа в работно време, 8 часа извън), брой часове на месец включени в абонамента и цена за допълнителни, конфиденциалност и обработка на лични данни (DPA по чл. 28), период на предизвестие при прекратяване (препоръчваме минимум 3 месеца за плавен transition), задължение за поддържане на актуалност с промени в регулацията, и клауза за независимост на DPO съгласно чл. 38(3) GDPR.

Критерий за оценка Добър знак Червен флаг
Квалификация CIPP/E, CIPM или правно образование + доказан опит Само онлайн курс от 8 часа без практика
Брой клиенти 8-15 клиента на консултант 50+ клиента - физически невъзможно
SLA при инциденти 4-8 часа реакция в договора Без SLA или само "при работно време"
Отчетност Месечни/тримесечни доклади с констатации Без отчетност, само при запитване
Обучения Поне 1 сесия годишно включена Само при доплащане, без база
Прекратяване 3+ месеца предизвестие и transition план 1 месец предизвестие без transition
🚫

Раздел 7

Санкции при липса на DPO или при формален DPO без реални функции

Нарушенията, свързани с DPO, попадат в чл. 83(4) GDPR: максимална глоба до 10 000 000 EUR или, ако е предприятие, до 2% от общия световен годишен оборот от предходната финансова година, в зависимост кое е по-голямо. В практиката на КЗЛД от последните три години глобите по тази разпоредба в България варират от 8 000 до 180 000 лв. Санкционираните нарушения включват четири основни категории:

Категория 1: Липса на задължителен DPO. Компанията попада в хипотезата на чл. 37(1), но не е назначила DPO. Примери от практиката: болница без DPO, охранително дружество с видеонаблюдение без DPO, онлайн магазин с мащабно профилиране без DPO. При тези случаи КЗЛД обикновено дава срок за отстраняване, но при повторно нарушение или при съпътстващи нарушения глобата е неизбежна.

Категория 2: DPO с конфликт на интереси. Компанията е назначила DPO, но лицето е в позиция с конфликт на интереси (например управителят е едновременно DPO). КЗЛД оспорва такива назначения при проверка и изисква разделяне на функциите. Независимо от наличието на конфликт, документацията, подписана от такъв DPO, може да бъде оспорена.

Категория 3: Непубликуване и нерегистриране. DPO е назначен, но контактните му данни не са публикувани или не са съобщени на КЗЛД. Самостоятелно нарушение по чл. 37(7). Отстранява се лесно, но при проверка по жалба е допълнителна санкция върху основното нарушение.

Категория 4: DPO "на хартия" без реална дейност. Най-трудно доказуемо, но и най-опасно, тъй като компанията декларира съответствие, без реално да го постига. При проверка КЗЛД иска: одитни доклади, доказателства за обучения, кореспонденция, становища по DPIA. Ако тези документи липсват, КЗЛД установява, че DPO-то е формално и налага санкция.

Важно за малките компании: Ако вашата компания не попада в хипотезата на чл. 37(1) GDPR, назначаването на DPO е доброволно. Доброволно назначен DPO се ползва с всички гаранции по чл. 38 (независимост, защита при освобождаване) и всички задължения по чл. 39. Доброволното назначаване е добра практика и улеснява работата с корпоративни клиенти и партньори от ЕС, много от които изискват DPO контакт при оценка на доставчик.

📅

Раздел 8

Годишният ритъм навъншен DPO: какво се случва всеки месец и тримесечие

Добриятвъншен DPO работи по структуриран годишен календар, а не само при запитвания. По-долу е примерен ритъм, базиран на реална практика с български клиенти. Той осигурява, че всички задачи по чл. 39 са покрити системно, а не само реактивно.

Годишен ритъм навъншен DPO: месечни и тримесечни задачи по чл. 39 GDPR Годишен ритъм навъншен DPO Месечни, тримесечни и годишни задачи по чл. 39 GDPR ● Всеки месец Отговор на запитвания от субекти Преглед на нови договори с обработващи (DPA клаузи) Мониторинг на инциденти Актуализация при регулаторни промени (КЗЛД, ЕКЗД решения) Консултиране по нови проекти Отговори на вътрешни въпроси от служители и мениджмънт Документира се: Дневник на дейностите, регистър на запитванията, регистър на инцидентите по чл. 33(5) ● Всяко тримесечие Вътрешен одит на съответствието (sample check на политики) Преглед на регистъра по чл. 30 Одит на DPA договори с нови обработващи от предходното тримесечие Преглед на политиката за поверителност на сайта Доклад към ръководство (констатации и препоръки) Документира се: Тримесечен одитен доклад, протокол от среща с ръководство, план за корективни действия ● Всяка година Обучение на целия персонал Пълен преглед на регистъра на дейностите по чл. 30 Преглед и обновяване на всички политики и процедури DPIA за нови или изменени високорискови дейности Tabletop exercise за инцидент Актуализация на регистрацията пред КЗЛД (при промени) Документира се: Годишен доклад за статуса на съответствието, списък с присъстващи на обучение, актуализирани политики Реактивни задачи (инциденти, запитвания от КЗЛД, нови проекти) се добавят към всеки период при нужда.
Фигура 4. Примерен годишен ритъм навъншен DPO: месечни, тримесечни и годишни задачи по чл. 39 GDPR.

Ритъмът по-горе е реалистичен за средна компания с външен DPO в пакет от 900-1 400 лв./мес. За малката компания месечните задачи са по-редки и могат да се изпълнят с по-малко часове. За регулирана компания тримесечните одити стават месечни и годишният plan включва допълнителни DPIA и взаимодействие с регулатора.

ЧЗВ

Шест въпроса, които чуваме от всеки нов клиент

Нашата компания има само 25 служители. Нужен ли ни е DPO?

Броят на служителите не е критерият. Критерият е дейността. Ако вашите 25 служители управляват система за профилиране на десетки хиляди клиенти, DPO е задължителен. Ако управляват класическа сервизна дейност без мащабно наблюдение, DPO не е задължителен. Направете оценка по трите критерия на чл. 37(1) и я документирайте писмено. Ако извода е "не е задължителен", пазете документацията - при проверка тя доказва, че сте разгледали въпроса съзнателно.

Можем ли да назначим нашия адвокат за DPO?

Адвокат може да бъдевъншен DPO, ако не е в конфликт на интереси и ако разполага с необходимите специализирани познания в областта на защитата на данните. Важно: правното образование само по себе си не е достатъчно - GDPR изисква и специфичен опит. Освен това адвокатът, обслужващ вашата компания по общо правно обслужване, рискува конфликт на интереси, ако трябва едновременно да консултира бизнес решения и да наблюдава съответствието им с GDPR. Препоръчваме да потърсите специализиран DPO доставчик, дори ако е адвокатско дружество специализирано в защита на данните.

Как КЗЛД проверява дали DPO е реален или "на хартия"?

При проверка КЗЛД иска конкретни документи: одитни доклади с подпис на DPO, становища по DPIA, програма и записи от обучения, кореспонденция на DPO с ръководство и служители, регистър на запитванията от субекти на данни с отговорите на DPO. Ако тези документи липсват или са шаблонни без конкретно съдържание, КЗЛД установява, че DPO е формален. Освен документите КЗЛД може да проведе и интервю с DPO, за да прецени реалните му познания за конкретната организация.

Можем ли да освободим DPO, ако не сме доволни от работата му?

Чл. 38(3) GDPR забранява освобождаването или санкционирането на DPO поради изпълнението на задачите му. Това означава, че не можете да освободите DPO, защото е дал "неудобно" становище по проект или е констатирал нарушение. Можете да прекратите договора при обективни причини (фалит на доставчика, изтичане на срок, промяна в дейността), но не поради задачи по чл. 39. Привъншен DPO договорът обикновено съдържа разпоредби, отразяващи тази защита. Прекратяването трябва да е документирано с обективна причина.

Задължени ли сме да публикуваме имената на DPO или само имейл адреса?

Чл. 37(7) GDPR изисква публикуване на "данните за контакт", а не задължително на имената. Публикуване на функционален имейл адрес (например dpo@firma.bg) е достатъчно за целите на публичното оповестяване. Привъншен DPO чрез дружество е обичайна практика да се публикува имейл на дружеството, без да се посочва конкретното физическо лице. Пред КЗЛД обаче трябва да са регистрирани данните на конкретното физическо лице, изпълняващо функцията. Двата реда са независими изисквания.

Каква е разликата между DPO и консултант по GDPR?

Консултантът по GDPR ви помага да изградите системата - регистри, политики, DPIA, обучения. Работата му обикновено е проектна, с начало и край. DPO е постоянна функция по чл. 37-39 GDPR, с точка за контакт пред КЗЛД, задължение за наблюдение и съответствие, и независимост по чл. 38. Много компании наемат консултант за еднократен setup и след товавъншен DPO за текущата функция. Смесването им в едно е рисковано: ако консултантът е изградил системата и след това я "наблюдава" като DPO, той наблюдава собствената си работа - потенциален конфликт на интереси.

Следваща стъпка

Нужен ли ви е DPO и какъв е правилният модел за вашата компания?

Правим безплатна 30-минутна оценка: дали сте задължени по чл. 37(1) GDPR, дали текущото ви назначение е в конфликт на интереси, и какъв пакетвъншен DPO отговаря на мащаба на вашата обработка. Без ангажимент за покупка - само конкретни отговори.

Заявете безплатна оценка →
Александър Свердлов

Александър Свердлов

Основател на Atlant Security. Автор на 2 книги за информационна сигурност, лектор по киберсигурност на най-големите конференции по киберсигурност в Азия и панелист на конференция на ООН. Бивш член на екипа за консултации по сигурността на Microsoft, външен консултант по киберсигурност в Емиратската корпорация за ядрена енергия.