GDPR съответствие за български сайтове — пълен чеклист 2026

GDPR (Регламент EU 2016/679) се прилага за всеки сайт, който събира лични данни на граждани от EU — без значение къде се хоства. Българската КЗЛД (Комисия за защита на личните данни) активно санкционира. Този чеклист обхваща минимума, който трябва да имате.

1. Privacy policy

Задължителна страница, лесно достъпна от всеки футър. Трябва да съдържа:

• Кои сте (име на администратор, контакт)
• Какви данни събирате
• За какво ги използвате
• Правно основание (съгласие, договор, легитимен интерес)
• Колко време ги пазите
• На кого ги предоставяте
• Правата на потребителя
• Как да упражнят правата си
• Право на жалба до КЗЛД

Не копирайте чужда политика — тя трябва да отговаря на реалните практики.

2. Cookies политика и банер

• Технически бисквитки — не изискват съгласие.
• Аналитични и маркетингови (GA4, Meta Pixel) — изискват предварително изрично съгласие.
• Банерът трябва да има поне "Приеми всички" + "Само необходимите". Само "Приеми" е невалидно.
• Потребителят трябва да може да оттегли съгласието по всяко време.

3. Контактна форма / форми за абонамент

• Изричен checkbox за съгласие — не може да е "тикнат по подразбиране".
• Линк към privacy policy в близост до checkbox.
• Запис на момента на даване на съгласие (timestamp + IP).
• Newsletter checkbox отделен от основното съгласие.

4. SSL и сигурност

• Сайтът трябва да работи изцяло на HTTPS.
• Пароли трябва да се хешират (bcrypt, argon2).
• Регулярни ъпдейти на CMS, плъгини, теми.
• Защита срещу SQL injection, XSS и CSRF.

5. Бекъп и план за реакция при пробив

• Ежедневен автоматичен бекъп с retention поне 14 дни.
• Поне един бекъп off-site.
• Тест за възстановяване (минимум веднъж годишно).
• Документиран процес: 72 часа уведомление при пробив.

6. Договори с обработващи (DPA)

Ако използвате трети страни — хостинг, имейл, CRM, аналитика — трябва да имате Data Processing Agreement с всеки.

7. Трансфер на данни извън EU

Прехвърляне към САЩ изисква правна основа — adequacy decision (EU-US Data Privacy Framework), SCCs или съгласие.

8. Логове и обработка

• Записвайте кои данни се обработват, защо и колко време.
• Поддържайте Register of Processing Activities (RoPA).
• IP логове в access log също са лични данни — настройте rotation.

9. Права на потребителя

Имате 30 дни да отговорите. Подгответе: имейл за заявки, процедура за идентификация, шаблони, възможност за export, изтриване от всички системи.

10. Санкции

Максимална глоба е 20 милиона евро или 4% от глобалния годишен оборот. Малки бизнеси често получават глоби от 5 000–50 000 лв.

Бърз self-check

1. ☐ Privacy policy достъпна от футъра
2. ☐ Cookies политика + банер
3. ☐ Аналитика не зарежда преди съгласие
4. ☐ Контактна форма с consent checkbox
5. ☐ HTTPS навсякъде
6. ☐ Бекъп + тест за възстановяване
7. ☐ DPA с хостинг, email, CRM
8. ☐ Процес при заявки от потребители
9. ☐ Процес при пробив

Това е резюме, не правен съвет. За пълен одит — свържете се с нас.