GDPR ДОКУМЕНТАЦИЯ Последна актуализация: 17 март 2026 12 мин четене

DPIA — кога и как да направите оценка на въздействието върху защитата на данните

Оценката на въздействието върху защитата на данните (DPIA) е задължителен анализ по чл. 35 от GDPR, който администраторът трябва да извърши преди обработване, което може да породи висок риск за правата и свободите на физическите лица. DPIA е задължителна при мащабно профилиране, систематично видеонаблюдение и обработване на специални категории данни. КЗЛД поддържа списък с видовете операции, изискващи DPIA в България.

Съдържание

  1. Какво е DPIA
  2. Кога е задължителна
  3. КЗЛД „черен списък“
  4. Какво трябва да съдържа DPIA
  5. Стъпка по стъпка процес
  6. Предварителна консултация с КЗЛД
  7. Практически примери
  8. Шаблони и инструменти
  9. Санкции
  10. Често задавани въпроси

Какво е DPIA

Оценката на въздействието върху защитата на данните (Data Protection Impact Assessment, DPIA) е процес, регламентиран в чл. 35(1) от GDPR, чрез който администраторът на лични данни оценява рисковете за правата и свободите на физическите лица преди да започне дадена обработка.

Когато даден вид обработване, по-специално при използване на нови технологии и предвид естеството, обхвата, контекста и целите на обработването, е вероятно да породи висок риск за правата и свободите на физическите лица, администраторът извършва, преди обработването, оценка на въздействието на предвидените операции по обработване върху защитата на личните данни.
— чл. 35(1) GDPR

Ключовият принцип е проактивност: DPIA не е формалност, която се попълва след факта. Тя е инструмент за идентифициране и минимизиране на рисковете още на етапа на проектиране. Този подход е в съответствие с принципа „защита на данните на етапа на проектирането“ (Privacy by Design) по чл. 25 от GDPR.

DPIA vs. оценка на риска

DPIA не е обикновена оценка на риска за сигурността на информацията. Докато оценката на риска разглежда заплахите за организацията, DPIA се фокусира върху рисковете за физическите лица — субектите на данни. Тя обхваща не само киберрискове, но и рискове от дискриминация, загуба на контрол върху данните, ограничаване на права и други.

Кога е задължителна DPIA

Съгласно чл. 35(3) от GDPR, DPIA е задължителна в три изрично посочени случая:

  1. Систематична и мащабна оценка/профилиране с правни последици

    Систематично и мащабно оценяване на лични аспекти на физически лица, основаващо се на автоматизирано обработване, включително профилиране, въз основа на което се вземат решения, пораждащи правни последици за лицето или го засягат значително по подобен начин.

    чл. 35(3)(а)

  2. Мащабна обработка на специални категории данни

    Мащабна обработка на специални категории данни по чл. 9(1) (расов/етнически произход, политически убеждения, религиозни вярвания, генетични данни, биометрични данни, здравни данни, сексуален живот) или на данни, свързани с присъди и нарушения по чл. 10.

    чл. 35(3)(б)

  3. Систематично мащабно наблюдение на публично достъпна зона

    Систематично мащабно наблюдение на публично достъпна зона. Типичен пример: мащабно видеонаблюдение на обществени пространства, транспортни възли, търговски центрове.

    чл. 35(3)(в)

9-те критерия на ЕКЗД (WP248 rev.01)

Освен трите изрични случая, Европейският комитет по защита на данните (ЕКЗД, бивша Работна група по чл. 29) дефинира в Насоки WP248 rev.01 девет критерия. Ако обработването покрива два или повече от тях, DPIA по правило е задължителна:

  1. Оценяване или точкуване (scoring), включително профилиране и прогнозиране
  2. Автоматизирано вземане на решения с правни или значителни последици
  3. Систематично наблюдение — проследяване на лица, включително онлайн
  4. Чувствителни данни или данни от изключително личен характер
  5. Мащабна обработка — голям обем данни, много засегнати лица, дълъг период
  6. Съпоставяне или комбиниране на набори от данни от различни източници
  7. Данни на уязвими лица (деца, работници, пациенти, възрастни хора)
  8. Иновативно използване или прилагане на нови технологии (AI, IoT, биометрия)
  9. Блокиране на права/достъп до услуга/договор въз основа на обработката

Правило на двата критерия

Ако вашата обработка покрива два или повече от горните критерии, извършването на DPIA е силно препоръчително (и в повечето случаи — задължително). Дори при покриване само на един критерий, администраторът трябва внимателно да прецени дали обработката може да породи висок риск.

КЗЛД „черен списък“ (чл. 35(4))

Съгласно чл. 35(4) от GDPR, всеки национален надзорен орган съставя и публикува списък с видове операции по обработване, за които задължително се изисква DPIA. Комисията за защита на личните данни (КЗЛД) е изготвила такъв списък за България, базиран на становището на ЕКЗД.

Основните категории обработки, за които КЗЛД изисква задължителна DPIA, включват:

  1. Мащабно видеонаблюдение

    Систематично наблюдение с видеокамери на публично достъпни зони или работни места, особено при комбиниране с биометрични технологии за разпознаване на лица.

  2. Биометрични данни за идентификация

    Обработка на биометрични данни (пръстови отпечатъци, лицево разпознаване, ирисово сканиране) за целите на уникалната идентификация на физически лица.

  3. Генетични данни

    Обработка на генетични данни извън контекста на индивидуалното здравно обслужване.

  4. Мащабно профилиране

    Систематично и мащабно профилиране на физически лица за оценка на кредитоспособност, поведение, местоположение, здраве, предпочитания, включително при използване на изкуствен интелект.

  5. Мащабна обработка на здравни данни

    Обработка на данни за здравето в мащаб, който надхвърля индивидуалната лекарска/медицинска практика — напр. болнични информационни системи, здравни приложения с голям брой потребители.

  6. Систематично наблюдение на служители

    Мониторинг на електронни комуникации, интернет активност, GPS проследяване, видеонаблюдение на работното място или контрол на работното време чрез биометрични устройства.

  7. Комбиниране на масиви от данни

    Съпоставяне, свързване или комбиниране на набори от лични данни, получени от различни операции по обработване, с различни цели или от различни администратори, по начин, който надхвърля разумните очаквания на субектите.

  8. Обработка на данни на уязвими лица в мащаб

    Мащабна обработка на данни на деца, лица с увреждания, пациенти или други уязвими групи, особено при автоматизирано вземане на решения.

  9. Иновативни технологии с лични данни

    Прилагане на нови технологии (AI, машинно обучение, IoT, свързани автомобили, умни домове) за обработка на лични данни, когато технологията може да генерира непредвидими рискове за правата на субектите.

Пълният актуален списък е достъпен на уебсайта на КЗЛД. Препоръчваме да го проверявате периодично, тъй като може да бъде актуализиран.

Какво трябва да съдържа DPIA

Чл. 35(7) от GDPR определя четири задължителни елемента, които всяка DPIA трябва да включва:

  1. Систематично описание на обработването

    Описание на предвидените операции по обработване и целите на обработването, включително, когато е приложимо, преследвания от администратора легитимен интерес. Включете: какви данни се събират, от кого, по какъв начин, къде се съхраняват, кой има достъп, на кого се предават.

    чл. 35(7)(а)

  2. Оценка на необходимостта и пропорционалността

    Оценка на необходимостта и пропорционалността на операциите по обработване спрямо целите. Можете ли да постигнете същата цел с по-малко данни? С по-малко инвазивен метод? Обоснуйте защо именно тази обработка е необходима.

    чл. 35(7)(б)

  3. Оценка на рисковете за правата и свободите

    Оценка на рисковете за правата и свободите на субектите на данни. Анализирайте: вероятност за настъпване и тежест на последиците. Разгледайте рискове от: неоторизиран достъп, загуба на данни, дискриминация, финансови вреди, увреждане на репутацията, загуба на контрол.

    чл. 35(7)(в)

  4. Мерки за справяне с рисковете

    Предвидените мерки за справяне с рисковете, включително гаранции, мерки за сигурност и механизми за осигуряване на защита на личните данни и за доказване на съответствие с GDPR. Примери: псевдонимизация, криптиране, контрол на достъпа, обучения, политики за запазване.

    чл. 35(7)(г)

Допълнителни елементи (препоръчителни)

Въпреки че не са изрично изискуеми от чл. 35(7), добрата практика включва и: становище на DPO, становище на субектите на данни (когато е уместно), план за преразглеждане и актуализация, матрица на рисковете с оценка преди и след прилагане на мерките.

Стъпка по стъпка процес за извършване на DPIA

Следният процес следва методологията на ЕКЗД и е адаптиран за практическо приложение от български бизнеси. Съгласно чл. 35(2), администраторът задължително иска становището на DPO (ако е назначено такова) при извършването на DPIA.

  1. Идентифицирайте необходимостта от DPIA

    Преди да започнете ново обработване (или при съществена промяна на вече съществуващо), проверете дали попада в задължителните случаи по чл. 35(3), в списъка на КЗЛД или покрива 2+ критерия на ЕКЗД. Ако не сте сигурни — извършете DPIA превантивно.

  2. Опишете обработването

    Документирайте: какви лични данни се обработват, от кого се събират, за какви цели, на какво правно основание, кой има достъп, на кого се предават, къде се съхраняват, за какъв период. Включете схема на потоците от данни (data flow diagram).

  3. Оценете необходимостта и пропорционалността

    Обосновете: защо тази обработка е необходима за постигане на целта? Може ли целта да се постигне с по-малко данни или по-малко инвазивен метод? Спазени ли са принципите на минимизиране на данните (чл. 5(1)(в)) и ограничение на целите (чл. 5(1)(б))?

  4. Идентифицирайте и оценете рисковете

    За всяка операция идентифицирайте потенциалните рискове за субектите: неоторизиран достъп, загуба/унищожаване, неправомерно разкриване, дискриминация, манипулация. Оценете вероятността (ниска/средна/висока) и тежестта (минимална/значителна/тежка) на всеки риск.

  5. Определете мерки за смекчаване

    За всеки идентифициран риск определете конкретни технически и организационни мерки: криптиране, псевдонимизация, контрол на достъпа, логване, обучения, процедури за реагиране при инцидент. Преоценете остатъчния риск след прилагане на мерките.

  6. Документирайте резултатите

    Изгответе писмен доклад с всички елементи по чл. 35(7). Включете становището на DPO (чл. 35(2)). Запазете доклада — ще го представите на КЗЛД при поискване. Документацията е доказателство за вашата отчетност (accountability) по чл. 5(2).

  7. Преразглеждайте и актуализирайте

    DPIA не е еднократен документ. Съгласно чл. 35(11), администраторът извършва преглед, когато има промяна в риска от операциите по обработване. Добра практика: преглед поне веднъж годишно или при всяка значителна промяна в обработването, технологиите или контекста.

Предварителна консултация с КЗЛД (чл. 36)

Съгласно чл. 36(1) от GDPR, когато DPIA покаже, че обработването би породило висок риск, ако администраторът не предприеме мерки за смекчаване, и когато тези мерки не са достатъчни за намаляване на риска до приемливо ниво, администраторът се консултира с надзорния орган преди обработването.

С други думи: ако след извършване на DPIA и прилагане на всички разумни мерки остатъчният риск остава висок, вие трябва да се обърнете към КЗЛД, преди да започнете обработката.

Какво включва предварителната консултация:

КЗЛД разполага с 8 седмици (удължаеми с още 6 седмици при сложни случаи) за писмен отговор с препоръки. През този период не трябва да започвате обработването.

Важно: Не чакайте КЗЛД за всяка DPIA

Предварителната консултация е задължителна само когато остатъчният риск остава висок след мерките за смекчаване. В повечето случаи, ако DPIA идентифицира рисковете и ги адресира адекватно, консултация с КЗЛД не е необходима. DPIA се съхранява от администратора и се предоставя при проверка.

Практически примери

Следната таблица илюстрира кога DPIA е необходима и кога не е:

Обработка DPIA? Обяснение
Мащабно видеонаблюдение на търговски център ДА Систематично наблюдение на публично достъпна зона — чл. 35(3)(в). Вж. ръководство за видеонаблюдение
Мониторинг на служители — имейли, уеб трафик, GPS ДА Систематично наблюдение + данни на уязвими лица (работници) — 2+ критерия на ЕКЗД
Обработка на здравни данни от болнична информационна система ДА Мащабна обработка на специални категории данни — чл. 35(3)(б). Вж. GDPR за медицински заведения
AI/профилиране за кредитен scoring на клиенти ДА Систематично профилиране с правни последици — чл. 35(3)(а) + иновативни технологии
Биометрично разпознаване за контрол на достъпа ДА Обработка на биометрични данни (специални категории) + систематично наблюдение
Здравно приложение с голям брой потребители, проследяващо физическа активност и здравни показатели ДА Мащабна обработка на здравни данни + иновативни технологии + уязвими лица
Стандартна HR обработка — ведомости, договори, отпуски (до 250 служители) НЕ Не е мащабна, без специални категории данни, без систематично наблюдение
Базова клиентска база — имена, имейли, поръчки в малък онлайн магазин НЕ Стандартна обработка за изпълнение на договор, без профилиране или мащабно наблюдение
Една охранителна камера на входа на малък офис НЕ Не е мащабно наблюдение, не обхваща публично достъпна зона
Единичен лекар, обработващ данни на своите пациенти НЕ Съображение 91 от GDPR изрично изключва индивидуалната лекарска практика от „мащабна обработка“

Когато не сте сигурни — направете DPIA

ЕКЗД изрично препоръчва: когато не е ясно дали DPIA е задължителна, извършете я. Тя е полезен инструмент за отчетност и ви помага да демонстрирате спазване на GDPR. Никога няма да бъдете санкционирани за „излишна“ DPIA — но можете да бъдете санкционирани за липсваща такава.

Шаблони и инструменти

За да улесните процеса, можете да използвате следните безплатни инструменти:

Независимо кой инструмент изберете, уверете се, че покривате всички четири задължителни елемента по чл. 35(7) и документирате становището на вашето длъжностно лице по защита на данните.

Санкции при неизвършване на DPIA

Глоби по чл. 83(4)(а) от GDPR

Неизвършването на DPIA, когато е задължителна, или извършването й по неправилен начин, е нарушение, което попада под чл. 83(4)(а) от GDPR. Надзорният орган може да наложи:

Глоба до 10 000 000 EUR или до 2% от общия годишен световен оборот на предприятието за предходната финансова година, което от двете е по-високо.

Допълнително, КЗЛД може да наложи временно или окончателно ограничаване на обработването (чл. 58(2)(е)), което може да блокира ключови бизнес процеси. Непровеждането на предварителна консултация по чл. 36, когато е задължителна, подлежи на същите санкции.

В практиката на европейските надзорни органи вече има множество решения за нарушения на чл. 35:

Често задавани въпроси

Задължителна ли е DPIA за всеки вид обработка на лични данни?

Не. DPIA е задължителна само когато обработването е вероятно да породи висок риск за правата и свободите на физическите лица. Чл. 35(3) от GDPR посочва три конкретни случая, а КЗЛД и ЕКЗД допълнително дефинират списъци с операции, изискващи DPIA. За стандартни обработки (базова HR, клиентска база за изпълнение на договор) DPIA обикновено не е необходима.

Кой извършва DPIA — администраторът или DPO?

Администраторът на лични данни носи отговорността за извършване на DPIA. DPO (длъжностното лице по защита на данните) има консултативна роля съгласно чл. 35(2) — администраторът задължително иска становището на DPO, но крайното решение и изпълнение остават при администратора. На практика DPIA се извършва от екип, включващ IT, правен отдел и бизнес звена, координиран от DPO.

Какво се случва, ако не направя DPIA, когато е задължителна?

Неизвършването на DPIA, когато е задължителна, е нарушение на чл. 35 от GDPR. Съгласно чл. 83(4)(а), надзорният орган може да наложи глоба до 10 000 000 евро или до 2% от общия годишен световен оборот на предприятието. Освен глобата, КЗЛД може да наложи ограничаване или забрана на обработването, което може да блокира бизнес процеси.

Трябва ли DPIA да се изпраща до КЗЛД?

Не автоматично. DPIA се съхранява от администратора и се предоставя на КЗЛД при поискване или при проверка. Единствено ако DPIA покаже, че обработването ще породи висок остатъчен риск, който не може да бъде смекчен с подходящи мерки, тогава съгласно чл. 36 е задължителна предварителна консултация с КЗЛД преди започване на обработването.

Тази статия отразява правното положение към 17 март 2026 г. Информацията е с информативен характер и не представлява правна консултация. За конкретен правен съвет, моля свържете се с нас.

Нуждаете се от DPIA за вашия бизнес?

Извършването на качествена DPIA изисква правна, техническа и бизнес експертиза. Нашият екип ви помага на всяка стъпка.

Заявете безплатна консултация →

Свързани статии

GDPR · 14 мин

Видеонаблюдение и GDPR — правила и изисквания

Кога видеонаблюдението изисква DPIA, правни основания и задължения.
GDPR · 12 мин

Проследяване на служители — граници по GDPR

Мониторинг на имейли, GPS, камери на работното място и правата на служителите.
GDPR · AI · 14 мин

AI и GDPR — какво трябва да знае бизнесът в България

Изкуствен интелект, профилиране, автоматизирани решения и DPIA.
GDPR · 12 мин

DPO — длъжностно лице по защита на данните

Кога е задължително DPO, роля при DPIA и отговорности.
Сподели:

Получавайте нови статии директно в пощата си

Практически анализи по GDPR и киберсигурност. Без спам.

Можете да се отпишете по всяко време. Политика за поверителност

Адв. Десислава Димитрова
Адв. Десислава Димитрова & Адв. Йордан Чолаков
Dimitrova, Cholakov & Partners · Innovires

Адв. Димитрова е CIPP/E сертифициран специалист по защита на лични данни с дългогодишен опит в правото на ЕС. Адв. Чолаков е експерт по GDPR съответствие, международни трансфери на данни и whistleblowing. Заедно консултират над 90 компании за пълно GDPR съответствие.