Блог · Киберсигурност · 16 октомври 2025 · 10 мин четене

GDPR и защита на данните за МСП — практично, без юридически жаргон

Какво реално изисква регламентът от среден бизнес и кои мерки покриват най-много риск с най-малко усилие.

GDPR изисква от среден бизнес три неща на практика: да знаете какви лични данни държите и защо, да ги пазите с разумни технически и организационни мерки и да можете да реагирате, ако нещо се обърка. Всичко останало — регистри, политики, съгласия — е обслужващо на тези три. Компаниите, които се провалят, обикновено не са тези с най-малкия бюджет, а тези, които третират GDPR като еднократна папка с документи вместо като начин на работа.

Какво реално изисква GDPR от среден бизнес?

Регламентът не изисква скъп софтуер или армия юристи. Изисква да имате контрол върху личните данни, които обработвате. Това означава да можете да отговорите на четири прости въпроса: какви данни държите, къде се съхраняват, кой има достъп до тях и колко дълго ги пазите. Ако не можете да отговорите уверено, нямате проблем с документацията — имате проблем с видимостта. И точно тази видимост, а не поредната подписана декларация, е това, което ви пази при проверка или при истински пробив.

На практика съответствието стъпва на два стълба. Организационният стълб са правилата: кой какво може да прави с данните, как обучавате хората, какво се случва при напускане на служител. Техническият стълб са мерките, които реално пазят данните — контрол на достъпа, криптиране, резервни копия, разделяне на права. Голяма част от техническия стълб съвпада с обикновената добра киберхигиена, затова услугата Киберсигурност и GDPR съответствието се движат ръка за ръка.

Кои лични данни обработвате, без да сте забелязали?

Първата стъпка към съответствие е инвентаризация — списък на всички места, където живеят лични данни. Повечето фирми се изненадват колко много са те. Не става дума само за клиентската база в CRM-а. Лични данни има в счетоводството (ЕГН, банкови сметки), в HR папките (трудови досиета, здравна информация), в имейл кутиите на търговците, в екселски таблици по десктопите, във формите за контакт на сайта, в записите от камери и в системата за пропуски.

Направете картата честно, процес по процес. За всяка категория данни запишете: защо ги събирате (основанието), къде се съхраняват, кой има достъп и кога трябва да бъдат изтрити. Тази карта е основата на всичко следващо — без нея политиките са само текст, който не описва реалността.

Ключово

GDPR не се доказва с папка на рафта, а с реален контрол върху данните. Ако не знаете къде са данните и кой ги вижда, никаква политика няма да ви защити при проверка или пробив.

Кои технически мерки покриват най-много риск?

Не всички мерки са еднакво ефективни. Ако имате ограничен бюджет и време, ето подредбата, която покрива най-голям риск с най-малко усилие:

1. Многофакторна автентикация. Най-евтината мярка с най-голям ефект. Дори открадната парола не отваря достъп, когато има втори фактор. Разгледали сме я подробно в MFA: най-евтината защита, която повечето фирми пропускат.

2. Ред в паролите. Общи пароли в екселска таблица са пробив, който чака да се случи. Правилният подход описваме в Пароли и мениджъри на пароли за фирми.

3. Обучен екип. Повечето пробиви започват от човек, който кликва там, където не трябва. Как да подготвите хората обяснява статията Фишинг: как да обучите екипа си да го разпознава.

4. Резервни копия и контрол на достъпа. Данните трябва да преживеят и хардуерна повреда, и криптовирус, а достъп до тях трябва да имат само хората, на които реално им е нужен за работата.

Какво да направите при пробив в данните?

GDPR изисква при пробив, който застрашава правата на хората, да уведомите надзорния орган — по правило в кратък срок след установяването му — а в по-тежките случаи и самите засегнати лица. Това звучи стресиращо само ако нямате план. Компаниите, които реагират спокойно, са тези, които са написали процедурата предварително: кой ръководи реакцията, кого уведомяваме, какво документираме.

Затова уведомяването при пробив не е самостоятелна тема, а част от по-широката ви готовност за инциденти. Ако още нямате изградена такава, започнете от независима оценка — Одит на киберсигурността: как протича и какво получавате показва откъде да тръгнете.

Какви права имат хората и как да ги обслужите?

GDPR дава на всеки конкретни права спрямо неговите данни: да поиска копие от тях, да ги коригира, при определени условия да поиска изтриване, да оттегли дадено съгласие. За среден бизнес важното не е да ги помни наизуст, а да има ясен вътрешен ред — кой поема такова искане, как проверявате самоличността на подателя и в какъв срок отговаряте. Искане, което се затрупа в общата поща и остане без отговор, е точно толкова проблем, колкото и техническият пробив.

Тук инвентаризацията се отплаща втори път. Ако данните на един клиент са разпръснати в CRM, счетоводство, три екселски таблици и нечия поща, дори простото „дайте ми копие от моите данни“ се превръща в дни ръчно търсене. Когато знаете къде живее всяка категория данни, обслужването на едно право е въпрос на минути, а не на паника — затова редът върху данните е практична полза, не само формалност.

Как да не превърнете GDPR в мъртва хартия?

Най-честата грешка е да платите за пакет документи, да ги подпишете и да ги забравите в едно чекмедже. Година по-късно реалността в бизнеса вече не съвпада с това, което пише в папката — нови системи, нови хора, нови процеси. Съответствието не е събитие, а поддръжка: преглеждате картата на данните веднъж годишно, обновявате правата при промени в екипа, проверявате дали мерките още работят.

За фирми, които попадат в обхвата на новите изисквания за мрежова и информационна сигурност, поддръжката става още по-важна — измененията в Закона за киберсигурност са в сила от 17 февруари 2026 г. Практична пътека през тях описваме в NIS2 съответствие: пълният checklist за 2026. За повечето средни компании добрата новина е, че мерките за GDPR и за киберсигурност се припокриват — веднъж изградени, работят и за двете.

Често задавани въпроси

Трябва ли малка фирма да има длъжностно лице по защита на данните?

Не винаги. Длъжностно лице (DPO) е задължително само при определени видове обработка — например мащабно наблюдение или обработка на чувствителни данни като основна дейност. Повечето малки фирми нямат това задължение, но пак трябва да отговарят на останалите изисквания на GDPR.

Колко голяма е глобата при нарушение на GDPR?

Глобите могат да достигнат значителни размери, но за средния бизнес по-честият риск не е максималната глоба, а разходите и загубата на доверие след пробив. Реалната защита е да намалите вероятността от инцидент, а не да разчитате, че няма да ви проверят.

Нужно ли е съгласие за всяка обработка на лични данни?

Не. Съгласието е само едно от няколкото законови основания. Изпълнение на договор, законово задължение и легитимен интерес често са по-подходящи. Важно е за всяка обработка да можете да посочите ясно на кое основание стъпва.

Не сте сигурни къде стоите с GDPR?

Безплатна консултация — ще прегледаме данните и мерките ви и ще ви кажем честно какво липсва.

Свържете се →
Blog · Cybersecurity · 16 October 2025 · 10 min read

GDPR and data protection for SMEs — practical, no legalese

What the regulation actually demands of a mid-market company and which measures cover the most risk with the least effort.

In practice the GDPR asks three things of a mid-market company: to know what personal data you hold and why, to protect it with reasonable technical and organisational measures, and to be able to react if something goes wrong. Everything else — records, policies, consents — serves those three. The companies that fail are usually not the ones with the smallest budget, but the ones that treat the GDPR as a one-off folder of documents rather than a way of working.

What does the GDPR actually demand of a mid-market company?

The regulation does not require expensive software or an army of lawyers. It requires you to have control over the personal data you process. That means being able to answer four simple questions: what data do you hold, where is it stored, who has access to it, and how long do you keep it. If you cannot answer confidently, you do not have a documentation problem — you have a visibility problem. And it is precisely that visibility, not another signed declaration, that protects you during an inspection or a real breach.

In practice, compliance rests on two pillars. The organisational pillar is the rules: who may do what with the data, how you train people, what happens when an employee leaves. The technical pillar is the measures that actually protect the data — access control, encryption, backups, separation of rights. Much of the technical pillar overlaps with ordinary good cyber hygiene, which is why our cybersecurity service and GDPR compliance go hand in hand.

Which personal data are you processing without noticing?

The first step towards compliance is an inventory — a list of every place where personal data lives. Most companies are surprised how many there are. It is not just the customer base in the CRM. Personal data sits in accounting (national ID numbers, bank accounts), in HR files (employment records, health information), in the sales team's inboxes, in spreadsheets on desktops, in the website's contact forms, in camera recordings and in the access-pass system.

Map it honestly, process by process. For each category of data write down: why you collect it (the legal basis), where it is stored, who has access, and when it must be deleted. This map is the foundation of everything that follows — without it, policies are just text that does not describe reality.

Key point

The GDPR is not proven by a folder on a shelf, but by real control over the data. If you do not know where the data is and who sees it, no policy will protect you during an inspection or a breach.

Which technical measures cover the most risk?

Not all measures are equally effective. If you have limited budget and time, here is the order that covers the most risk with the least effort:

1. Multi-factor authentication. The cheapest measure with the biggest effect. Even a stolen password does not open access when there is a second factor. We look at it in detail in MFA: the cheapest protection most companies skip.

2. Order in passwords. Shared passwords in a spreadsheet are a breach waiting to happen. We describe the right approach in Passwords and password managers for companies.

3. A trained team. Most breaches begin with a person who clicks where they should not. How to prepare your people is explained in Phishing: training your team to spot it.

4. Backups and access control. Data must survive both a hardware failure and ransomware, and access to it should be given only to the people who genuinely need it for their work.

What should you do in the event of a data breach?

The GDPR requires that, in the event of a breach that threatens people's rights, you notify the supervisory authority — as a rule within a short window after discovering it — and in more serious cases the affected individuals themselves. This only sounds stressful if you have no plan. The companies that react calmly are the ones that wrote the procedure in advance: who leads the response, whom we notify, what we document.

Breach notification is therefore not a standalone topic but part of your wider incident readiness. If you have not built any yet, start with an independent assessment — Cybersecurity audit: how it works and what you get shows you where to begin.

What rights do people have and how do you serve them?

The GDPR gives everyone specific rights over their data: to request a copy of it, to correct it, under certain conditions to ask for its deletion, and to withdraw a consent they have given. For a mid-market business the point is not to memorise them, but to have a clear internal routine — who handles such a request, how you verify the sender's identity, and within what deadline you respond. A request that gets buried in a shared inbox and left unanswered is just as much a problem as a technical breach.

This is where the inventory pays off a second time. If one customer's data is scattered across the CRM, accounting, three spreadsheets and someone's inbox, even a simple "give me a copy of my data" turns into days of manual searching. When you know where each category of data lives, serving a single right is a matter of minutes rather than panic — which is why order over your data is a practical benefit, not merely a formality.

How do you keep the GDPR from becoming dead paper?

The most common mistake is to pay for a pack of documents, sign them, and forget them in a drawer. A year later the reality of the business no longer matches what the folder says — new systems, new people, new processes. Compliance is not an event but maintenance: you review the data map once a year, update rights when the team changes, and check whether the measures still work.

For companies that fall within the new network and information security requirements, maintenance matters even more — the amendments to the Cybersecurity Act are in force from 17 February 2026. We describe a practical path through them in NIS2 compliance: the complete 2026 checklist. For most mid-market companies the good news is that GDPR and cybersecurity measures overlap — once built, they work for both.

Frequently asked questions

Does a small company need a data protection officer?

Not always. A data protection officer (DPO) is mandatory only for certain types of processing — for example large-scale monitoring or processing of sensitive data as a core activity. Most small companies do not have this obligation, but they still have to meet the rest of the GDPR's requirements.

How large is the fine for a GDPR breach?

Fines can reach significant amounts, but for a mid-market business the more common risk is not the maximum fine but the cost and loss of trust after a breach. The real protection is to reduce the likelihood of an incident, not to bet that you will not be inspected.

Is consent needed for every processing of personal data?

No. Consent is only one of several legal bases. Performance of a contract, a legal obligation and legitimate interest are often more appropriate. What matters is that for every processing activity you can clearly state which basis it rests on.

Not sure where you stand with the GDPR?

A free consultation — we'll review your data and measures and tell you honestly what is missing.

Get in touch →