Блог · Киберсигурност · 28 декември 2026 · 8 мин четене

Автоматизация на GDPR заявките: 30 дни са малко, ако търсите на ръка

Един имейл „изтрийте данните ми“ пуска срок от един месец. Как се намират данните на едно лице във всички системи и как заявката се обработва по процес.

Заявката за упражняване на правата по GDPR (на английски DSAR — искане за достъп до лични данни) е момент, в който едно физическо лице пита фирмата: „Какви мои данни пазите и какво правите с тях?“ или казва: „Изтрийте ги.“ От гледна точка на закона това е ясно очертано право. От гледна точка на фирмата това е задача с краен срок, която трябва да мине през процес, а не през паника — защото данните на този човек почти никога не са на едно място.

Какво всъщност иска законът?

Две права стоят в основата на повечето заявки. Чл. 15 GDPR — правото на достъп — дава на субекта право да получи потвърждение дали се обработват негови данни и копие от тях, заедно с информация за целите, категориите данни, получателите, срока на съхранение и правата си. Чл. 17 GDPR — правото на изтриване, познато и като „правото да бъдеш забравен“ — важи при отпаднало основание, оттеглено съгласие и подобни случаи.

Важното, което често се пропуска: правото на изтриване не е абсолютно. То не се прилага например когато обработването е необходимо за спазване на правно задължение, за упражняване на правото на изразяване или за установяване, упражняване и защита на правни претенции (чл. 17, ал. 3). Затова изтриването никога не е „бутон“ — то е решение, което човек трябва да прецени за всеки конкретен случай.

Защо един месец не е много време?

Часовникът тръгва от момента на получаване на заявката. По чл. 12(3) GDPR администраторът действа „без ненужно забавяне и във всеки случай в срок от един месец“. Срокът може да се удължи с още два месеца при сложни или многобройни заявки, но само ако уведомите лицето за удължаването и причините в рамките на първия месец. С други думи, мълчанието не е опция.

Тежката част не е да напишете отговора — тежката част е да намерите данните. При типична фирма данните на едно лице живеят едновременно в CRM, в ERP, в пощата, в електронни таблици, в архиви и понякога в резервни копия. Ако търсите на ръка, всяка система е отделно ровене, а всеки пропуснат ъгъл е риск отговорът да е непълен. Точно затова регистърът на дейностите по обработване по чл. 30 GDPR е толкова полезен — той предварително описва къде и защо се държат данни, тоест къде да търсите. Основите на тази дисциплина сме описали в статията GDPR и защита на данните за МСП.

Как автоматизацията свива дните до часове?

Идеята не е машината да реши вместо вас — а да свърши търсенето, проследяването и подготовката, за да остане на човека само преценката. Ето как изглежда процесът:

1. Приемане и регистриране. Заявката влиза през един канал (форма или обозначен имейл), записва се с дата и час и веднага получава номер и краен срок. Оттук нататък никоя заявка не се губи в нечия поща.

2. Проверка на самоличността. Преди да дадете данни на някого, трябва да сте сигурни, че той е този, за когото се представя. Системата поисква и отбелязва потвърждението, преди да продължи.

3. Оркестрирано търсене. По зададените места от регистъра на дейностите системата пита всяка свързана система за записи, отговарящи на лицето, и събира намереното на едно място — вместо шест отделни ръчни справки.

4. Сглобяване на отговора. За заявка по чл. 15 системата подготвя копието и придружаващата информация; за заявка по чл. 17 подрежда какво е намерено и къде, за да може човек да реши какво подлежи на изтриване и какво попада в изключение.

5. Проследяване на срока. Часовникът е видим за целия екип, с напомняния преди изтичане на месеца и подсказка, ако случаят е кандидат за удължаване по правилата.

6. Одитна следа. Всяка стъпка — кой, кога, какво е решил — се записва, така че при проверка да можете да докажете как е обработена заявката.

Ключово

Автоматизацията не решава вместо вас дали да изтриете — тя намира данните, пази срока и подготвя фактите. Правната преценка остава при човека; машината просто гарантира, че той разполага с всичко навреме.

Къде човекът остава задължителен?

На две места най-вече. Първо — при изтриването: заради изключенията по чл. 17, ал. 3 някой трябва да прецени дали конкретен запис не е нужен за правно задължение или за защита на претенция, преди да го премахне. Второ — при преценката за такса или отказ: по правило информацията и действията са безплатни (чл. 12(5) GDPR), но при явно неоснователни или прекомерни, например повтарящи се, заявки администраторът може да поиска разумна такса или да откаже — като носи тежестта да го докаже. Това е човешко решение, което системата само подкрепя с данни.

Струва си да се помни и кой стои отсреща: надзорният орган в България е КЗЛД (Комисията за защита на личните данни), а националната рамка е ЗЗЛД (Законът за защита на личните данни). Чистата одитна следа е това, което превръща една проверка в разговор с доказателства вместо в опит да си спомните какво е станало преди четири месеца.

С какво да започнете?

Не с инструмента, а с картата. Първо опишете къде живеят личните данни — това е регистърът по чл. 30 и същевременно списъкът със системи, които търсенето трябва да обхожда. Когато едни и същи данни за човек стоят на няколко места, поддържането им в синхрон намалява пропуските; за тази основа е полезна статията Синхронизация на основните данни. Заявката по GDPR е и добър пример защо изобщо си струва да превърнете ръчните стъпки в процес — темата, която разглеждаме в основната статия Какво е автоматизация на бизнес процеси.

Оттам нататък изграждането на приемането, търсенето и одитната следа е работа, която съчетава процес и защита на данните — точно фокусът на услугата Киберсигурност. А как изглежда подобна дисциплина на практика, когато документите на много клиенти минават през един поток, показваме в Решение: дигитализация на документопотока в счетоводна кантора.

Често задавани въпроси

Наистина ли имаме само 30 дни, за да отговорим на заявка по GDPR?

По чл. 12(3) GDPR администраторът действа по заявката без ненужно забавяне и във всеки случай в срок от един месец от получаването ѝ. Срокът може да бъде удължен с още два месеца при сложни или многобройни заявки, но лицето трябва да бъде уведомено за удължаването и причините за него в рамките на първия месец.

Длъжни ли сме винаги да изтрием данните, ако някой поиска?

Не. Правото на изтриване по чл. 17 GDPR не е абсолютно — то не се прилага например когато обработването е необходимо за спазване на правно задължение или за установяване, упражняване или защита на правни претенции (чл. 17, ал. 3). Всеки случай изисква човешка преценка, а системата само подготвя данните за нея.

Ще успеете ли да намерите данните за един човек за месец?

Безплатна консултация — картографираме къде живеят личните данни и как заявките да минават по процес, а не по паника.

Свържете се →
Blog · Cybersecurity · 28 December 2026 · 8 min read

DSAR automation: 30 days is not long if you are searching by hand

One email — "delete my data" — starts a one-month clock. How you find one person's data across every system, and how the request gets handled by a process instead of a scramble.

A data subject access request (DSAR) is the moment a person asks your company: "What data of mine do you hold, and what are you doing with it?" — or simply says: "Erase it." In the eyes of the law this is a clearly defined right. From the company's side it is a task with a deadline that has to run through a process, not a panic — because that person's data is almost never in one place.

What does the law actually ask for?

Two rights sit behind most requests. Art. 15 GDPR — the right of access — gives the subject the right to confirmation of whether their data is being processed and a copy of it, along with information about the purposes, the categories of data, the recipients, the storage period and their rights. Art. 17 GDPR — the right to erasure, also known as "the right to be forgotten" — applies when the basis for processing has fallen away, consent has been withdrawn and similar cases.

The part that is often missed: the right to erasure is not absolute. It does not apply, for example, where processing is necessary for compliance with a legal obligation, for exercising the right of expression, or for the establishment, exercise or defence of legal claims (Art. 17(3)). So erasure is never a "button" — it is a judgement someone has to make for each specific case.

Why is one month not much time?

The clock starts the moment the request is received. Under Art. 12(3) GDPR the controller acts "without undue delay and in any event within one month". That period can be extended by two further months for complex or numerous requests, but only if you inform the person of the extension and the reasons within the first month. In other words, silence is not an option.

The hard part is not writing the reply — the hard part is finding the data. In a typical company, one person's data lives at once in the CRM, the ERP, email, spreadsheets, archives and sometimes backups. If you search by hand, every system is a separate dig, and every corner you miss is a risk that the answer is incomplete. This is exactly why the record of processing activities under Art. 30 GDPR is so useful — it describes in advance where and why data is held, that is, where to look. We cover the foundations of this discipline in the article GDPR and data protection for SMEs.

How does automation shrink days into hours?

The idea is not for the machine to decide for you — but to do the searching, the tracking and the preparation, so that only the judgement is left to a person. Here is what the process looks like:

1. Intake and logging. The request comes in through one channel (a form or a designated inbox), is recorded with a date and time, and is immediately given a reference and a deadline. From here on, no request gets lost in someone's inbox.

2. Identity check. Before you hand data to anyone, you have to be sure they are who they claim to be. The system requests and notes the confirmation before it continues.

3. Orchestrated search. Across the places listed in the record of processing activities, the system asks every connected system for records matching the person and gathers what it finds in one place — instead of six separate manual lookups.

4. Assembling the response. For an Art. 15 request the system prepares the copy and the accompanying information; for an Art. 17 request it lays out what was found and where, so a person can decide what is subject to erasure and what falls under an exception.

5. Deadline tracking. The clock is visible to the whole team, with reminders before the month runs out and a prompt if the case is a candidate for an extension under the rules.

6. Audit trail. Every step — who decided what, and when — is recorded, so that under inspection you can prove how the request was handled.

Key point

Automation does not decide for you whether to erase — it finds the data, keeps the deadline and prepares the facts. The legal judgement stays with a person; the machine simply makes sure they have everything in time.

Where does a human stay essential?

In two places above all. First — with erasure: because of the exceptions in Art. 17(3), someone has to judge whether a specific record is not needed for a legal obligation or for defending a claim before removing it. Second — with the call on a fee or a refusal: as a rule information and actions are free of charge (Art. 12(5) GDPR), but for manifestly unfounded or excessive requests — for example, repetitive ones — the controller may charge a reasonable fee or refuse, while bearing the burden of demonstrating this. That is a human decision the system merely supports with data.

It is also worth remembering who sits on the other side: the supervisory authority in Bulgaria is the Bulgarian data-protection authority (КЗЛД), and the national framework is the Personal Data Protection Act (ЗЗЛД). A clean audit trail is what turns an inspection into a conversation backed by evidence.

Where should you start?

Not with the tool, but with the map. First describe where personal data lives — this is the Art. 30 record and, at the same time, the list of systems the search has to walk through. When the same data about a person sits in several places, keeping it in sync reduces the misses; for that foundation the article Master data synchronisation is useful. A DSAR is also a good example of why it is worth turning manual steps into a process at all — the topic we cover in the pillar article What is business process automation.

From there, building the intake, the search and the audit trail is work that combines process and data protection — precisely the focus of our Cybersecurity service. And what this kind of discipline looks like in practice, when the documents of many clients pass through a single flow, we show in Case study: digitalizing document flow in an accounting firm.

Frequently asked questions

Do we really only have 30 days to answer a GDPR request?

Under Art. 12(3) GDPR the controller acts on the request without undue delay and in any event within one month of receiving it. The period can be extended by two further months for complex or numerous requests, but the person must be informed of the extension and the reasons for it within the first month.

Are we always obliged to erase the data if someone asks?

No. The right to erasure under Art. 17 GDPR is not absolute — it does not apply, for example, where processing is necessary for compliance with a legal obligation or for the establishment, exercise or defence of legal claims (Art. 17(3)). Every case needs a human judgement, and the system only prepares the data for it.

Could you find one person's data within a month?

A free consultation — we map where personal data lives and how requests can run through a process instead of a scramble.

Get in touch →