Теч на лични данни — какво да направите в първите 72 часа
Уведомлението за нарушение на сигурността на лични данни е задължителна процедура по чл. 33 от GDPR, при която администраторът трябва да уведоми надзорния орган (КЗЛД) в срок до 72 часа след узнаването на теча. При висок риск за правата на засегнатите лица се изисква и уведомяване на субектите на данни по чл. 34. Неспазването на тези срокове може да доведе до глоби до 10 милиона евро.
Съдържание
Какво е теч на лични данни по смисъла на GDPR
Съгласно чл. 4, т. 12 от Регламент (ЕС) 2016/679 (GDPR), „нарушение на сигурността на лични данни" означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин.
Това определение е по-широко, отколкото повечето хора предполагат. Теч на данни не е само хакерска атака. Той включва:
Нарушение на поверителността
Неоторизиран достъп или разкриване на данни — напр. имейл, изпратен до грешен получател, или служител, достъпил записи без основание.
Нарушение на наличността
Загуба на достъп до данни — напр. ransomware атака, изгубен лаптоп, повреда на сървър без бекъп.
Нарушение на целостта
Неоторизирана промяна на данни — напр. манипулиране на бази данни, повредени записи.
Комбинирани инциденти
Много инциденти засягат едновременно поверителност, наличност и цялост — напр. кибератака с кражба и криптиране на данни.
Важно уточнение
Не всяко нарушение на сигурността е теч на лични данни. Ако инцидентът засяга само системи, без да включва лични данни на физически лица, GDPR задълженията за уведомяване не се прилагат. Ключов е въпросът: засегнати ли са данни, чрез които може да се идентифицира конкретно физическо лице?
72-часовата хронология — стъпка по стъпка
Съгласно чл. 33, пар. 1 от GDPR, администраторът на лични данни е длъжен да уведоми надзорния орган (в България — КЗЛД) без ненужно забавяне и когато това е осъществимо — не по-късно от 72 часа след като е разбрал за нарушението. Ето какво трябва да се случи в този критичен период:
-
0hЧас 0 — Откриване на инцидента
Незабавни действия за ограничаване
72-часовият срок започва да тече от момента, в който разберете за нарушението — не от момента, в който е настъпило. Съгласно Насоки 9/2022 на ЕКЗД, администраторът се счита за „узнал", когато има разумна степен на сигурност, че е настъпил инцидент, засягащ лични данни.
- Изолирайте засегнатите системи (не ги изключвайте — запазете доказателствата)
- Активирайте екипа за реакция при инциденти
- Започнете да документирате всичко от този момент
-
4hЧасове 1–4 — Първоначална оценка
Определете обхвата и риска
Дайте отговор на ключовите въпроси:
- Какъв тип данни са засегнати? (Обикновени или специални категории по чл. 9 — здравни, биометрични, генетични?)
- Колко физически лица са засегнати?
- Какъв е вероятният риск за правата и свободите на тези лица?
- Инцидентът продължава ли или е овладян?
-
24hЧасове 4–24 — Подготовка на уведомлението
Съберете информацията за КЗЛД
Съгласно чл. 33, пар. 3 от GDPR, уведомлението до надзорния орган трябва да съдържа минимум:
- (а) Естество на нарушението — категории и приблизителен брой засегнати лица и записи
- (б) Данни за контакт на DPO или друго лице за контакт
- (в) Описание на вероятните последици от нарушението
- (г) Описание на предприетите или предложени мерки за справяне с нарушението
-
72hЧасове 24–72 — Краен срок
Подайте уведомлението до КЗЛД
Подайте уведомлението. Ако не разполагате с цялата информация, GDPR позволява поетапно уведомяване (чл. 33, пар. 4) — подайте каквото имате и допълнете впоследствие.
- Вземете решение дали да уведомите и засегнатите лица (чл. 34)
- Уведомете обработващите лични данни, ако инцидентът ги засяга
- Продължете разследването и документирането
Какво да НЕ правите
Не изтривайте логове, не рестартирайте засегнати системи и не се опитвайте да прикриете инцидента. Всички тези действия могат да утежнят санкцията. Съгласно чл. 83, пар. 2, б. „з" от GDPR, начинът, по който надзорният орган е узнал за нарушението, е фактор при определяне на глобата — самостоятелното уведомяване работи във ваша полза.
Как да уведомите КЗЛД
В България уведомяването се извършва до Комисията за защита на личните данни (КЗЛД). Процедурата е следната:
- Онлайн — чрез електронна поща на kzld@cpdp.bg (с квалифициран електронен подпис) или чрез портала за електронни услуги
- На хартия — на адрес: гр. София 1592, бул. „Проф. Цветан Лазаров" № 2
- По пощата — с обратна разписка за доказване на спазения срок
Задължително съдържание на уведомлението (чл. 33, пар. 3 GDPR)
- Естество на нарушението — кратко описание на инцидента
- Категории и приблизителен брой засегнати субекти на данни
- Категории и приблизителен брой засегнати записи на лични данни
- Име и данни за контакт на DPO или друго лице за връзка
- Описание на вероятните последици от нарушението
- Описание на предприетите мерки за справяне и за минимизиране на последиците
Ако обработващ лични данни (напр. IT доставчик, облачна платформа) открие нарушението, той е длъжен без ненужно забавяне да уведоми администратора (чл. 33, пар. 2 от GDPR). Важно: 72-часовият срок тече от момента, в който администраторът узнае, не обработващият.
Кога трябва да уведомите засегнатите лица
Съгласно чл. 34, пар. 1 от GDPR, когато нарушението може да породи висок риск за правата и свободите на физическите лица, администраторът е длъжен да ги уведоми без ненужно забавяне. Уведомлението до лицата трябва да е на ясен и разбираем език.
Кога рискът е „висок"? Съгласно Насоки 9/2022 на ЕКЗД, висок риск е налице при:
- Изтичане на финансови данни (банкови сметки, кредитни карти)
- Разкриване на ЕГН, копия на лични документи
- Изтичане на здравни данни, данни за съдимост, сексуална ориентация
- Данни, които могат да доведат до кражба на самоличност
- Данни на уязвими лица (деца, пациенти, служители)
Не е необходимо уведомяване на лицата (чл. 34, пар. 3), ако:
- (а) Данните са били криптирани или направени неразбираеми за неоторизирани лица
- (б) Администраторът е предприел мерки, които изключват висок риск
- (в) Уведомяването би изисквало непропорционално усилие — в такъв случай се прави публично съобщение
Задължително документиране
Дори ако решите, че нарушението не изисква уведомяване на КЗЛД, чл. 33, пар. 5 от GDPR изисква да документирате всяко нарушение — фактите, последиците и предприетите мерки. Тази документация трябва да позволи на КЗЛД да провери спазването на задълженията ви.
Вътрешният регистър на нарушенията трябва да съдържа:
- Дата и час на откриване на нарушението
- Описание на естеството на нарушението
- Категории и брой на засегнатите лица и записи
- Вероятни последици
- Предприети коригиращи мерки
- Решение за уведомяване/неуведомяване на КЗЛД (с мотиви)
- Решение за уведомяване/неуведомяване на засегнатите лица (с мотиви)
- Хронология на действията (кой, какво, кога)
Глоби и санкции в България
Санкциите за неспазване на задълженията при теч на данни са сред най-сериозните в GDPR. Нарушение на чл. 33 и чл. 34 може да доведе до глоба до 10 000 000 евро или 2% от годишния оборот (чл. 83, пар. 4 от GDPR). Ако нарушението е свързано с основните принципи за обработване (чл. 5, чл. 6), глобата може да достигне 20 000 000 евро или 4% от оборота.
Ето какво се е случило в България:
Факторите, които КЗЛД и съдилищата вземат предвид при определяне на глобата (чл. 83, пар. 2 от GDPR), включват:
- Естеството и тежестта на нарушението — колко хора са засегнати, какъв тип данни
- Умишлен или небрежен характер — дали организацията е знаела за рисковете
- Предприетите мерки за смекчаване на последиците
- Степен на сътрудничество с надзорния орган
- Начинът на узнаване — самостоятелно уведомяване работи в полза на администратора
- Предходни нарушения и наложени мерки
Реален риск за малки фирми
Не мислете, че глобите са само за големи корпорации. КЗЛД налага санкции и на малки и средни предприятия. Съгласно годишния доклад на КЗЛД за 2024 г., общият размер на наложените глоби е 74 700 лв., като санкции са налагани на организации от различен мащаб. Липсата на план за реакция при инцидент е утежняващо обстоятелство.
Превенция — как да се подготвите предварително
Най-ефективната защита срещу тежки последици от теч на данни е подготовката преди инцидента. Организациите, които имат план за реакция, ограничават щетите средно с 54% спрямо тези без план (IBM Cost of a Data Breach Report 2024).
Изгответе план за реакция
Определете екип, роли и отговорности. Включете DPO, IT, правен отдел и ръководство. Планът трябва да е написан, достъпен и тестван.
Провеждайте GDPR одит регулярно
Идентифицирайте какви данни обработвате, къде се съхраняват и кой има достъп. Не можете да защитите това, което не познавате.
Криптирайте чувствителни данни
Криптирането може да елиминира задължението за уведомяване на засегнатите лица (чл. 34, пар. 3, б. „а") и значително намалява риска.
Обучавайте служителите
Човешката грешка е причина за над 80% от нарушенията. Регулярните обучения са най-ефективната инвестиция в превенция.
Ако нямате вътрешен капацитет за изготвяне на план за реакция при инциденти, нашият екип може да ви помогне — от оценка на рисковете до пълна документация и обучение.
Често задавани въпроси
Какво представлява теч на лични данни по смисъла на GDPR?
Съгласно чл. 4, т. 12 от GDPR, нарушение на сигурността на лични данни е всяко нарушение, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни. Това включва хакерски атаки, загубени устройства, погрешно изпратени имейли и ransomware.
Винаги ли трябва да уведомя КЗЛД при теч на данни?
Не винаги. Съгласно чл. 33, пар. 1 от GDPR, уведомяването не е необходимо, ако нарушението е малко вероятно да породи риск за правата и свободите на физическите лица. Дори и в този случай обаче сте длъжни да документирате инцидента вътрешно (чл. 33, пар. 5).
Какво се случва, ако пропусна 72-часовия срок?
Ако уведомлението е подадено след 72 часа, то трябва да бъде придружено от мотивирано обяснение за забавянето (чл. 33, пар. 1 от GDPR). Неуведомяването изобщо може да доведе до глоба до 10 млн. евро или 2% от годишния оборот (чл. 83, пар. 4).
Трябва ли да уведомя и засегнатите лица?
Да, ако нарушението може да породи висок риск за правата и свободите на физическите лица (чл. 34, пар. 1 от GDPR). Изключения: ако данните са криптирани, ако рискът е елиминиран чрез последващи мерки, или ако уведомяването изисква непропорционално усилие (тогава се прави публично съобщение).
Каква е глобата при теч на лични данни в България?
Глобите варират значително. НАП беше глобена с 5,1 млн. лв. (~2,6 млн. евро) за мащабен теч, а Банка ДСК — с 1 млн. лв. (~500 хил. евро). Максималната глоба по GDPR за нарушение на принципите е 20 млн. евро или 4% от годишния оборот — което е по-голямо.
Тази статия отразява правното положение към 16 март 2026 г. Информацията е с информативен характер и не представлява правна консултация. За конкретен правен съвет, моля свържете се с нас.
Нужна ви е помощ при теч на данни?
Нашият екип за реакция при инциденти може да ви помогне в рамките на часове — от първоначалната оценка до уведомяването на КЗЛД и засегнатите лица.
- Спешна правна консултация при инцидент
- Изготвяне на уведомление до КЗЛД
- Комуникация със засегнатите лица
- Изготвяне на план за реакция при инциденти (превантивно)
- Пълен GDPR одит и документация
Получавайте нови статии директно в пощата си
Практически анализи по GDPR и киберсигурност. Без спам.
Можете да се отпишете по всяко време. Политика за поверителност
Адв. Димитрова е CIPP/E сертифициран специалист по защита на лични данни с дългогодишен опит в правото на ЕС. Адв. Чолаков е експерт по GDPR съответствие, международни трансфери на данни и whistleblowing. Заедно консултират над 90 компании за пълно GDPR съответствие.