Новият DPIA шаблон на EDPB: какво трябва да знаят организациите за оценката на въздействието върху защитата на данните

EDPB, или Европейският комитет по защита на данните, публикува проект на общоевропейски шаблон за DPIA — оценка на въздействието върху защитата на данните.

Защо DPIA отново влиза във фокуса на GDPR практиката

Оценката на въздействието върху защитата на данните, по-позната с английското съкращение DPIA, често се възприема като тежък юридически документ, който се прави само когато „някой го поиска“. В действителност DPIA е един от най-практичните инструменти в GDPR. Тя помага на организацията да разбере какви лични данни обработва, защо ги обработва, какви рискове създава за хората и как тези рискове могат да бъдат намалени.

През 2026 г. темата стана още по-актуална, защото Европейският комитет по защита на данните, EDPB, публикува проект на общоевропейски шаблон за DPIA. Целта е организациите в Европейския съюз да разполагат с по-ясна, по-последователна и по-практична структура за документиране на оценките на въздействието.

Това е важна новина не само за юристи и длъжностни лица по защита на данните. Тя засяга и мениджъри, HR отдели, IT екипи, маркетинг специалисти, финансови институции, застрахователи, онлайн магазини, обучителни платформи, доставчици на софтуер и всички организации, които използват лични данни по начин, който може да създаде по-висок риск за физическите лица.

Какво представлява DPIA

DPIA означава Data Protection Impact Assessment, или на български: оценка на въздействието върху защитата на данните. Това е процес, чрез който организацията предварително оценява дали дадено обработване на лични данни може да засегне правата и свободите на хората.

DPIA не е просто формуляр. Тя е начин да се отговори на няколко много конкретни въпроса:

Какви лични данни ще обработваме?

Защо са ни необходими?

На какво правно основание ги използваме?

Кои лица ще бъдат засегнати?

Има ли чувствителни данни?

Ще има ли профилиране, автоматизирано вземане на решения или наблюдение?

Кой има достъп до данните?

Колко дълго ще ги съхраняваме?

Какво може да се обърка?

Какви мерки сме предприели, за да намалим риска?

Точно тук е практическата стойност на DPIA. Тя не служи само за доказване на съответствие. Добре направената оценка може да предотврати скъпи грешки, репутационни щети, регулаторни проблеми и загуба на доверие от страна на клиенти, служители и партньори.

Какво ново предлага шаблонът на EDPB

Новият шаблон на EDPB има за цел да внесе повече ред и последователност. Досега различните държави и организации често използваха различни формати за DPIA. Това създаваше несигурност, особено за компании, които работят в повече от една държава от Европейския съюз.

Шаблонът на EDPB предлага обща структура, която може да се използва като основа за документиране на DPIA. След приключване на обществената консултация се очаква националните органи по защита на данните да предприемат стъпки за приемане на шаблона или за съгласуване на своите национални шаблони с него.

Важно е да се подчертае, че към момента на публикуване на тази статия шаблонът е проект, подложен на обществена консултация. Това означава, че финалната версия може да бъде променена. Въпреки това документът ясно показва посоката, в която се развива европейската практика: DPIA трябва да бъде по-структурирана, по-доказуема и по-тясно свързана с реалното управление на риска.

Основната промяна: от формален документ към управленско решение

Много организации досега са подхождали към DPIA формално. Попълва се документ, записват се няколко общи риска, добавя се текст, че има технически и организационни мерки, и файлът се прибира в папка.

Новият подход на EDPB е различен. Той изисква да се покаже логиката на оценката. Не е достатъчно да се напише, че рискът е нисък. Трябва да се обясни защо е нисък. Не е достатъчно да се каже, че има мерки за сигурност. Трябва да се посочи какви са тези мерки, какъв е техният статус и как влияят върху риска.

Това прави DPIA по-близка до реален управленски инструмент. Тя вече не е само юридическа проверка, а документ, който свързва правото, информационната сигурност, бизнес процесите, техническата архитектура и защитата на хората.

Как е структуриран новият DPIA шаблон

Шаблонът на EDPB е разделен на няколко основни части. Всяка от тях има конкретна функция и насочва организацията към по-пълно описание на обработването.

1. Общ преглед на обработването

Първата част събира основна информация за обработването. Тук се посочва кой е администраторът, има ли съвместни администратори, кои са обработващите лични данни, какво е името на процеса и кога се очаква да започне.

На пръв поглед това изглежда административно, но всъщност е много важно. В практиката често не е ясно кой носи отговорност за дадено обработване. IT отделът мисли, че отговорността е на бизнеса. Бизнес отделът мисли, че отговорността е на юристите. Юристите очакват техническа информация от IT екипа.

DPIA започва именно с изясняване на отговорностите. Кой решава защо и как се обработват данните? Кой поддържа системата? Кой има достъп? Кой може да промени настройките? Без тези отговори оценката на риска остава непълна.

2. Систематично описание на обработването

Това е сърцето на DPIA. Организацията трябва да опише какви лични данни ще се обработват, за какви цели, за кои категории лица, през какви системи и в какъв жизнен цикъл.

Тук не е достатъчно да се каже „обработваме клиентски данни“. Трябва да е ясно какви точно данни се събират: име, имейл, телефон, ЕГН, адрес, история на покупки, данни за поведение, запис от камера, здравна информация, финансови данни, данни за обучение, резултати от тестове или друга информация.

Особено важно е да се опише какво се случва с данните от момента на събирането им до тяхното изтриване. Например:

данните се събират чрез онлайн форма;

записват се в CRM система;

достъп до тях имат търговският отдел и поддръжката;

част от данните се изпращат към външен доставчик;

съхраняват се за определен срок;

след това се архивират или изтриват.

Този жизнен цикъл е изключително важен, защото рисковете често възникват не в самото събиране на данните, а при достъпа, споделянето, съхранението или изтриването им.

3. Анализ на законосъобразността

След като обработването е описано, идва въпросът: имаме ли право да го правим?

Тук се анализират правното основание, целите на обработването, принципите на GDPR, сроковете за съхранение и мерките за спазване на правата на субектите на данни.

Една от честите грешки в практиката е изборът на правно основание „по навик“. Например организацията посочва съгласие, въпреки че реално лицето няма свободен избор. Или посочва легитимен интерес, без да е направила баланс между интереса на организацията и правата на лицето.

DPIA изисква по-задълбочено мислене. За всяка цел на обработването трябва да има ясно основание. Ако данните се използват за първоначална услуга, за маркетинг, за статистика и за автоматизиран анализ, това може да са различни цели, които изискват отделна преценка.

4. Необходимост и пропорционалност

Това е една от най-важните и често подценявани части. GDPR не пита само дали обработването е полезно за организацията. Въпросът е дали е необходимо и пропорционално.

С други думи: може ли целта да бъде постигната с по-малко данни, с по-кратък срок на съхранение, с по-ограничен достъп или с по-малко навлизаща в личната сфера технология?

Пример: ако една компания иска да измерва ефективността на служителите си, не е автоматично оправдано да следи всяко тяхно действие в реално време. Ако онлайн платформа иска да подобри обучението, не е задължително да събира прекомерно подробна поведенческа аналитика за всеки потребител. Ако магазин иска да прави маркетинг, не е нужно да съхранява данни безсрочно.

Тази част на DPIA принуждава организацията да защити избора си. Ако има по-малко рискова алтернатива, тя трябва да бъде разгледана.

5. Оценка на риска

Рискът в DPIA не е рискът за организацията, а рискът за хората. Това е ключов момент.

Много компании мислят за риска като за глоба, загуба на приходи или репутационна щета. GDPR обаче се интересува най-вече от това как обработването може да засегне физическите лица.

Възможните вреди могат да включват:

загуба на контрол върху личните данни;

дискриминация;

финансова загуба;

кражба на самоличност;

увреждане на репутацията;

нежелано разкриване на чувствителна информация;

ограничаване на права;

психологически или социален натиск;

неправилно решение, взето въз основа на неточни данни.

Затова рискът трябва да се оценява през гледната точка на лицето, не само през гледната точка на организацията.

6. Мерки за намаляване на риска

След идентифициране на рисковете организацията трябва да посочи какви мерки ще предприеме. Те могат да бъдат технически, организационни, договорни или процедурни.

Примери за такива мерки са:

ограничаване на достъпа само до служители, които имат реална нужда;

многофакторна автентикация;

криптиране;

псевдонимизация;

логове за достъп;

ясни срокове за съхранение;

процедура за изтриване;

обучение на служителите;

договори с обработващи лични данни;

тестване на сигурността;

процедура при инцидент;

преглед на настройките по подразбиране;

документиране на решенията.

Много важно е да се отбележи статусът на мерките. Една мярка може да бъде планирана, частично внедрена или реално въведена. Това е съществена разлика. В DPIA не е достатъчно да се обещае, че нещо ще бъде направено. Трябва да е ясно дали вече работи и дали може да бъде доказано.

7. Остатъчен риск и крайно решение

След прилагане на мерките се оценява остатъчният риск. Това е рискът, който остава въпреки предприетите действия.

Ако остатъчният риск е приемлив, обработването може да продължи. Ако рискът остава висок, организацията може да трябва да промени проекта, да въведе допълнителни мерки, да се консултира с надзорния орган или изобщо да не започва обработването.

Тази част е особено важна, защото показва, че DPIA не е просто анализ. Тя трябва да завърши с управленско решение.

Кога една организация трябва да направи DPIA

DPIA е необходима, когато дадено обработване е вероятно да породи висок риск за правата и свободите на физическите лица. Това може да включва случаи като:

мащабно обработване на чувствителни данни;

системно наблюдение на публично достъпни зони;

профилиране;

автоматизирано вземане на решения;

обработка на данни на служители чрез нови технологии;

използване на AI системи;

обработка на данни за здраве, финанси, застраховане или поведение;

обработка на данни на уязвими групи;

комбиниране на данни от различни източници;

масово проследяване на потребителско поведение.

В много случаи организацията трябва първо да направи предварителна преценка дали DPIA е необходима. Ако реши, че не е необходима, добре е това решение също да бъде документирано.

Защо темата е особено важна при AI системи

С развитието на изкуствения интелект DPIA става още по-важна. AI системите често работят с големи обеми данни, правят изводи, създават профили, подпомагат решения или автоматизират процеси, които могат да засегнат хората.

Например AI инструмент може да се използва за подбор на персонал, оценка на клиентски риск, анализ на поведение, персонализиране на оферти, автоматизирана комуникация с клиенти или наблюдение на ефективността на служители.

В тези случаи въпросът не е само дали данните са защитени от хакерска атака. Въпросът е и дали самият модел на обработване е справедлив, прозрачен, необходим и пропорционален. Може ли системата да доведе до дискриминация? Може ли да използва неточни данни? Може ли човек да бъде неблагоприятно засегнат от автоматизирано решение? Има ли човешки контрол? Разбира ли лицето какво се случва с неговите данни?

Точно тези въпроси правят DPIA незаменим инструмент при внедряване на AI решения.

Какво означава това за работодателите

Работодателите обработват голям обем лични данни: трудови досиета, заплати, оценки, отсъствия, обучения, резултати от тестове, достъп до системи, видеонаблюдение, служебна комуникация и понякога чувствителни данни.

Когато се въвеждат нови HR системи, платформи за обучение, инструменти за мониторинг, AI решения или аналитика на представянето, DPIA може да бъде задължителна или поне силно препоръчителна.

Особено внимание трябва да се обърне на баланса между интереса на работодателя и правата на служителите. В трудов контекст съгласието често е проблематично, защото служителят не винаги е в равнопоставена позиция. Затова правното основание и пропорционалността трябва да бъдат внимателно анализирани.

Какво означава това за онлайн магазини и дигитални услуги

Онлайн магазините и дигиталните платформи често обработват данни за клиенти, поръчки, плащания, поведение, предпочитания, маркетинг комуникация и потребителски профили.

Не всяко обработване изисква DPIA. Но ако се използват сложни механизми за профилиране, персонализирани оферти, автоматизирани решения, поведенческа реклама или комбиниране на данни от различни източници, необходимостта от DPIA трябва да бъде сериозно разгледана.

Особено важно е организациите да не мислят само за техническата защита на сайта. GDPR изисква да се мисли и за прозрачност, минимизиране на данните, срокове за съхранение, права на потребителите и контрол върху доставчиците.

Какво означава това за LMS платформи и електронно обучение

Платформите за електронно обучение обработват повече лични данни, отколкото често се предполага. Те могат да съдържат имена, имейли, длъжности, отдели, резултати от тестове, напредък в обучението, сертификати, активност в системата, време за преминаване, отговори на въпроси и данни за представяне.

В корпоративна среда тези данни могат да се използват за доказване на изпълнение на задължително обучение по GDPR, за вътрешен контрол, за оценка на компетентности или за регулаторна отчетност.

Ако LMS системата се използва за мащабно наблюдение, оценка, профилиране или автоматизирано вземане на решения, DPIA може да бъде много важна. Това важи особено за финансови институции, застрахователни дружества, здравни организации, публични структури и други регулирани сектори.

Най-честите грешки при DPIA

Първата грешка е DPIA да се прави твърде късно. Ако оценката се прави след внедряване на системата, възможностите за промяна са ограничени. DPIA трябва да се прави още при проектирането на процеса или системата.

Втората грешка е да се попълва формално, без реален анализ. Общи фрази като „данните са защитени“ или „достъпът е ограничен“ не са достатъчни.

Третата грешка е фокусът да бъде само върху информационната сигурност. Сигурността е много важна, но DPIA разглежда и други рискове: непропорционално обработване, прекомерно събиране на данни, непрозрачност, дискриминация, неправилни решения, твърде дълги срокове за съхранение.

Четвъртата грешка е липсата на участие на правилните хора. Добрата DPIA изисква участие на бизнес собственика на процеса, IT екипа, юрист или DPO, информационна сигурност и понякога представители на засегнатите лица.

Петата грешка е липсата на последващ преглед. DPIA не е документ, който се прави веднъж завинаги. Ако процесът се промени, ако се добавят нови данни, ако се смени доставчикът или ако технологията се развие, оценката трябва да бъде прегледана.

Как организациите могат да се подготвят

Първата стъпка е да направят инвентаризация на процесите, при които се обработват лични данни. Без ясна карта на обработванията няма как да се прецени къде е необходима DPIA.

Втората стъпка е да определят критерии кога ще се прави DPIA. Това трябва да бъде част от вътрешната политика за защита на личните данни.

Третата стъпка е да обучат хората, които участват в процесите. DPIA не е задача само на DPO или юрист. Мениджърите, HR екипите, IT специалистите, маркетинг отделите и собствениците на бизнес процеси трябва да разбират основната логика на оценката.

Четвъртата стъпка е да се използва структуриран шаблон. Новият проект на EDPB е добра основа, защото помага да не се пропускат важни елементи.

Петата стъпка е да се събират доказателства. В GDPR не е достатъчно организацията да спазва правилата. Тя трябва да може да докаже, че ги спазва.

Защо обучението по GDPR става все по-важно

Много нарушения на защитата на личните данни не започват от злонамерена атака. Те започват от неразбиране. Служител изпраща файл на грешен получател. Мениджър изисква повече данни, отколкото са необходими. Маркетинг екип използва база с контакти без достатъчно ясно основание. IT екип внедрява нова система, без да провери настройките за поверителност. HR отдел въвежда инструмент за оценка, без да прецени ефекта върху служителите.

Затова обучението за защита на личните данни не трябва да бъде формалност. То трябва да помага на хората да разпознават рисковете в реални ситуации.

Добре структурираното обучение по GDPR обяснява не само какво казва регламентът, а как се прилага в ежедневната работа: при имейл комуникация, при работа с клиенти, при използване на облачни услуги, при маркетинг, при видеонаблюдение, при работа с доставчици, при AI инструменти и при внедряване на нови системи.

Обучения по GDPR от store.nit.bg

Ако вашата организация обработва лични данни, работи с клиенти, служители, партньори или използва дигитални платформи, GDPR обучението не е просто административно изискване. То е част от управлението на риска.

В store.nit.bg ще намерите онлайн обучения, които могат да подпомогнат организациите в изграждането на по-добра култура за защита на личните данни. Те са подходящи за служители, мениджъри, HR екипи, административен персонал, търговски екипи и специалисти, които работят с лични данни в ежедневната си работа.

Обучението помага на участниците да разберат основните принципи на GDPR, правата на субектите на данни, задълженията на организациите, рисковете при обработване на лични данни и практическите мерки за защита.

За организации, които въвеждат нови системи, използват AI инструменти или обработват данни с по-висок риск, подобно обучение е важна първа стъпка към по-добро съответствие и по-отговорно управление на данните.

Заключение

Новият DPIA шаблон на EDPB показва ясно накъде се движи европейската практика по защита на личните данни. Очакването вече не е организациите просто да имат документи. Очакването е да могат да покажат, че разбират процесите си, оценяват рисковете, вземат разумни решения и защитават правата на хората още при проектирането на нови дейности и системи.

DPIA е един от най-силните инструменти за това. Тя помага да се видят проблемите преди да са станали инциденти. Помага да се намали рискът преди да се стигне до жалба, проверка или санкция. И най-важното: помага на организацията да изгради по-зряло отношение към личните данни.

В свят на изкуствен интелект, автоматизация, онлайн услуги и постоянен обмен на информация защитата на личните данни вече не е странична юридическа тема. Тя е част от доверието, сигурността и професионалното управление на всяка съвременна организация.

DPIA е съкращение от Data Protection Impact Assessment. На български се превежда като оценка на въздействието върху защитата на данните. Това е процес, чрез който една организация предварително анализира дали дадено обработване на лични данни може да създаде висок риск за правата и свободите на хората. DPIA помага да се опишат обработваните данни, целите, правните основания, възможните рискове и мерките за тяхното намаляване.

EDPB е съкращение от European Data Protection Board. На български: Европейски комитет по защита на данните. Това е независим европейски орган, който подпомага еднаквото прилагане на GDPR в държавите от Европейския съюз. В него участват националните органи по защита на данните, включително българската Комисия за защита на личните данни. EDPB публикува насоки, становища, препоръки и други документи, които помагат на организациите и надзорните органи да тълкуват и прилагат правилата за защита на личните данни.