GDPR изисква от среден бизнес три неща на практика: да знаете какви лични данни държите и защо, да ги пазите с разумни технически и организационни мерки и да можете да реагирате, ако нещо се обърка. Всичко останало — регистри, политики, съгласия — е обслужващо на тези три. Компаниите, които се провалят, обикновено не са тези с най-малкия бюджет, а тези, които третират GDPR като еднократна папка с документи вместо като начин на работа.
Какво реално изисква GDPR от среден бизнес?
Регламентът не изисква скъп софтуер или армия юристи. Изисква да имате контрол върху личните данни, които обработвате. Това означава да можете да отговорите на четири прости въпроса: какви данни държите, къде се съхраняват, кой има достъп до тях и колко дълго ги пазите. Ако не можете да отговорите уверено, нямате проблем с документацията — имате проблем с видимостта. И точно тази видимост, а не поредната подписана декларация, е това, което ви пази при проверка или при истински пробив.
На практика съответствието стъпва на два стълба. Организационният стълб са правилата: кой какво може да прави с данните, как обучавате хората, какво се случва при напускане на служител. Техническият стълб са мерките, които реално пазят данните — контрол на достъпа, криптиране, резервни копия, разделяне на права. Голяма част от техническия стълб съвпада с обикновената добра киберхигиена, затова услугата Киберсигурност и GDPR съответствието се движат ръка за ръка.
Кои лични данни обработвате, без да сте забелязали?
Първата стъпка към съответствие е инвентаризация — списък на всички места, където живеят лични данни. Повечето фирми се изненадват колко много са те. Не става дума само за клиентската база в CRM-а. Лични данни има в счетоводството (ЕГН, банкови сметки), в HR папките (трудови досиета, здравна информация), в имейл кутиите на търговците, в екселски таблици по десктопите, във формите за контакт на сайта, в записите от камери и в системата за пропуски.
Направете картата честно, процес по процес. За всяка категория данни запишете: защо ги събирате (основанието), къде се съхраняват, кой има достъп и кога трябва да бъдат изтрити. Тази карта е основата на всичко следващо — без нея политиките са само текст, който не описва реалността.
GDPR не се доказва с папка на рафта, а с реален контрол върху данните. Ако не знаете къде са данните и кой ги вижда, никаква политика няма да ви защити при проверка или пробив.
Кои технически мерки покриват най-много риск?
Не всички мерки са еднакво ефективни. Ако имате ограничен бюджет и време, ето подредбата, която покрива най-голям риск с най-малко усилие:
1. Многофакторна автентикация. Най-евтината мярка с най-голям ефект. Дори открадната парола не отваря достъп, когато има втори фактор. Разгледали сме я подробно в MFA: най-евтината защита, която повечето фирми пропускат.
2. Ред в паролите. Общи пароли в екселска таблица са пробив, който чака да се случи. Правилният подход описваме в Пароли и мениджъри на пароли за фирми.
3. Обучен екип. Повечето пробиви започват от човек, който кликва там, където не трябва. Как да подготвите хората обяснява статията Фишинг: как да обучите екипа си да го разпознава.
4. Резервни копия и контрол на достъпа. Данните трябва да преживеят и хардуерна повреда, и криптовирус, а достъп до тях трябва да имат само хората, на които реално им е нужен за работата.
Какво да направите при пробив в данните?
GDPR изисква при пробив, който застрашава правата на хората, да уведомите надзорния орган — по правило в кратък срок след установяването му — а в по-тежките случаи и самите засегнати лица. Това звучи стресиращо само ако нямате план. Компаниите, които реагират спокойно, са тези, които са написали процедурата предварително: кой ръководи реакцията, кого уведомяваме, какво документираме.
Затова уведомяването при пробив не е самостоятелна тема, а част от по-широката ви готовност за инциденти. Ако още нямате изградена такава, започнете от независима оценка — Одит на киберсигурността: как протича и какво получавате показва откъде да тръгнете.
Какви права имат хората и как да ги обслужите?
GDPR дава на всеки конкретни права спрямо неговите данни: да поиска копие от тях, да ги коригира, при определени условия да поиска изтриване, да оттегли дадено съгласие. За среден бизнес важното не е да ги помни наизуст, а да има ясен вътрешен ред — кой поема такова искане, как проверявате самоличността на подателя и в какъв срок отговаряте. Искане, което се затрупа в общата поща и остане без отговор, е точно толкова проблем, колкото и техническият пробив.
Тук инвентаризацията се отплаща втори път. Ако данните на един клиент са разпръснати в CRM, счетоводство, три екселски таблици и нечия поща, дори простото „дайте ми копие от моите данни“ се превръща в дни ръчно търсене. Когато знаете къде живее всяка категория данни, обслужването на едно право е въпрос на минути, а не на паника — затова редът върху данните е практична полза, не само формалност.
Как да не превърнете GDPR в мъртва хартия?
Най-честата грешка е да платите за пакет документи, да ги подпишете и да ги забравите в едно чекмедже. Година по-късно реалността в бизнеса вече не съвпада с това, което пише в папката — нови системи, нови хора, нови процеси. Съответствието не е събитие, а поддръжка: преглеждате картата на данните веднъж годишно, обновявате правата при промени в екипа, проверявате дали мерките още работят.
За фирми, които попадат в обхвата на новите изисквания за мрежова и информационна сигурност, поддръжката става още по-важна — измененията в Закона за киберсигурност са в сила от 17 февруари 2026 г. Практична пътека през тях описваме в NIS2 съответствие: пълният checklist за 2026. За повечето средни компании добрата новина е, че мерките за GDPR и за киберсигурност се припокриват — веднъж изградени, работят и за двете.
Често задавани въпроси
Трябва ли малка фирма да има длъжностно лице по защита на данните?
Не винаги. Длъжностно лице (DPO) е задължително само при определени видове обработка — например мащабно наблюдение или обработка на чувствителни данни като основна дейност. Повечето малки фирми нямат това задължение, но пак трябва да отговарят на останалите изисквания на GDPR.
Колко голяма е глобата при нарушение на GDPR?
Глобите могат да достигнат значителни размери, но за средния бизнес по-честият риск не е максималната глоба, а разходите и загубата на доверие след пробив. Реалната защита е да намалите вероятността от инцидент, а не да разчитате, че няма да ви проверят.
Нужно ли е съгласие за всяка обработка на лични данни?
Не. Съгласието е само едно от няколкото законови основания. Изпълнение на договор, законово задължение и легитимен интерес често са по-подходящи. Важно е за всяка обработка да можете да посочите ясно на кое основание стъпва.