AI Consult Digital

Защита на данните при AI решения: Практическо ръководство за GDPR и EU AI Act (2026)

Радослав Гешев
Радослав Гешев
Two professionals reviewing GDPR compliance documentation for AI deployment at an office desk
Статия

Регулаторната рамка се промени. През 2025 г. европейските надзорни органи са наложили над 1,15 млрд. евро глоби по GDPR — рекорд от влизането на регламента в сила. Едновременно с това EU AI Act вече е в действие: от февруари 2025 г. са забранени определени AI практики, а на 2 август 2026 г. влизат в сила изискванията за AI системи с висок риск с глоби до €35 млн. или 7% от глобалния оборот.

Ако вашата компания ползва AI инструменти за обработка на клиентски данни, HR решения, кредитен скоринг или медицинска информация — регулаторният натиск вече засяга и вас. Добрата новина е, че съответствието е постижимо. Тази статия ви дава конкретните стъпки.

Разберете двойната регулаторна рамка: GDPR + EU AI Act

Повечето компании са запознати с GDPR. По-малко разбират, че EU AI Act добавя втори слой задължения — и двата се прилагат едновременно при работа с лични данни в AI системи.

GDPR (Регламент 2016/679) урежда обработката на лични данни — на какво основание, как, за колко дълго и с какви права за субектите. За AI системите ключови са:

  • Член 5 — принципи за обработка (минимизация, целева ограниченост, точност)
  • Член 22 — права при автоматизирано вземане на решения
  • Член 35 — задължителна оценка на въздействието върху защитата на данните (DPIA)

EU AI Act (Регламент 2024/1689) класифицира AI системите по риск и задава технически и документационни изисквания. AI системи с висок риск по Приложение III — сред тях са системи за подбор на персонал, кредитен скоринг, медицинска диагностика и образователна оценка — трябва да преминат пълна процедура за съответствие преди 2 август 2026 г.

Важно: когато AI система с висок риск обработва лични данни, се изискват едновременно DPIA по GDPR чл. 35 и Оценка на въздействието върху основни права (FRIA) по чл. 27 от AI Act. Провеждайте ги като единен процес — не поотделно.

Стъпка 1: Инвентаризирайте своите AI системи

Не можете да защитите това, което не сте идентифицирали. Много компании са изненадани колко AI инструменти реално ползват — от ChatGPT за вътрешна комуникация до автоматизирани системи за оценка на заявления.

Какво да включите в инвентара

Документирайте всяка AI система, включително:

  • Инструменти на трети страни, интегрирани в процесите ви (CRM, HRM, финансови платформи)
  • Генеративни AI инструменти, ползвани от служителите
  • AI функционалности, вградени в съществуващ софтуер (напр. предсказателна аналитика в ERP)

За всяка система определете: категория риск по AI Act, правно основание за обработка на данни по GDPR, дали се обработват специални категории данни.

Класификация на риска

Приложение III на AI Act включва осем категории с висок риск. Тези, които най-често засягат българските компании:

  • Системи за набиране и подбор на персонал
  • Системи за кредитен скоринг
  • AI в медицината и здравеопазването
  • Системи за оценка в образованието

Ако AI система не попада в нито една от тези категории и не представлява риск за основни права — тя вероятно е с минимален риск и изисква само базова AI грамотност.

Стъпка 2: Проведете DPIA преди внедряването

DPIA (Data Protection Impact Assessment) не е формалност — тя е правно задължение по GDPR член 35 при висок риск за правата на физическите лица. Пропускането й е сред основните причини за глоби: само в Хърватия, DPA наложи глоба от 4,5 млн. евро частично заради липса на оценка на риска при прехвърляне на данни.

Кога DPIA е задължителна

Трябва да проведете DPIA при:

  • Систематична обработка на специални категории данни (здравни, биометрични, данни за расов произход)
  • Автоматизирано профилиране с правни или значими последици за лицата
  • Мащабно наблюдение на публично достъпни пространства
  • Всяка AI система с висок риск по AI Act, която обработва лични данни

Структура на DPIA за AI системи

Добрата DPIA за AI трябва да покрива четири области:

  1. Описание на обработката — какви данни, за каква цел, на какво правно основание (чл. 6 GDPR), кой е администратор и кой обработващ
  2. Оценка на необходимостта — дали обработването е пропорционално на целта; дали е приложен принципът на минимизация на данните
  3. Оценка на рисковете — идентифициране на конкретни заплахи (неточни решения, дискриминация, изтичане на данни, нарушения на поверителност) и вероятността и тежестта им
  4. Мерки за намаляване на риска — технически и организационни мерки; дали остатъчният риск е приемлив

При AI системи с висок риск по AI Act разширете тази структура с FRIA елементите: въздействие върху уязвими групи, алгоритмична пристрастност, прозрачност на решенията.

Стъпка 3: Изградете технически мерки за защита

Нормативното съответствие изисква конкретни технически решения — не само политики и документация.

Минимизация на данните и псевдонимизация

AI моделите се обучават по-добре с повече данни, но GDPR изисква минимизация. Балансът е постижим: обучавайте с псевдонимизирани набори от данни и отделяйте идентификаторите от аналитичните данни. EDPB подчертава, че LLM рядко постигат пълна анонимизация — при съмнение третирайте данните като лични.

Криптиране и контрол на достъпа

  • Криптиране в покой и в движение (AES-256 за съхранение, TLS 1.3 за трансфер)
  • Role-based access control — служителите имат достъп само до данните, нужни за работата им
  • Одитна следа на всички достъпи до чувствителни данни

On-premise, hybrid cloud или SaaS?

Изборът на инфраструктура директно влияе на съответствието. При on-premise решения данните остават в ЕС и контролът е пълен, но изискват по-голям капацитет. Hybrid cloud позволява чувствителните данни да се обработват локално, докато по-малко рискови процеси се изнасят в облак. При SaaS AI инструменти трябва да проверите: в коя юрисдикция се обработват данните, дали доставчикът е подписал Data Processing Agreement (DPA) и дали трансферите извън ЕС са покрити от стандартни договорни клаузи (SCC).

Внимание: EDPB наложи глоба от €530 млн. на TikTok именно заради незаконни трансфери на европейски данни към Китай. Проверете договорите с AI доставчиците си.

Privacy by Design при внедряване на AI

Privacy by Design не е опция — по GDPR член 25 е задължение. На практика означава:

  • Защитата на данните да е заложена в архитектурата на системата от самото начало
  • Настройките по подразбиране да са с максимална защита (privacy by default)
  • Данните да не се събират превантивно "за всеки случай"

Стъпка 4: Осигурете прозрачност и права на субектите

GDPR дава на физическите лица конкретни права, които AI системите компликират, но не отменят.

Автоматизирано вземане на решения

Член 22 GDPR дава право на лицата да не бъдат обект на решения, основани единствено на автоматизирана обработка, ако тези решения имат правни или сходни значими последици. За HR AI, кредитен скоринг и подобни системи трябва да предвидите: право на човешка намеса, право на оспорване на решението и ясно обяснение на логиката.

Темата е особено актуална — EDPB е избрал за координирана надзорна акция за 2026 г. спазването на задълженията за прозрачност и информиране по чл. 12-14 GDPR.

Уведомяване на субектите

Ако AI система обработва данни на ваши клиенти или служители, те трябва да бъдат информирани: какви данни, на какво основание, за каква цел, дали се взимат автоматизирани решения. Уведомяването трябва да е ясно и разбираемо — не скрито в 40 страници общи условия.

Стъпка 5: Въведете Data Governance и мониторинг

Еднократното съответствие не е достатъчно. AI системите се развиват, регулациите се обновяват, а рисковете се менят.

Документация и регистри

GDPR изисква воденето на регистър на дейностите по обработване. За AI системи той трябва да включва и: версия на модела, правно основание, данни за обучение, периоди на съхранение.

По AI Act, системите с висок риск изискват допълнителна техническа документация по Приложение IV и автоматизирано логиране за проследяемост.

Редовни одити

Планирайте минимум веднъж годишно:

  • Проверка на правното основание за всяка обработка
  • Тест за предубеденост на AI моделите (bias testing)
  • Преглед на договорите с доставчици на AI инструменти
  • Актуализация на DPIA при съществени промени в системата

Кой отговаря?

Ако обработвате данни в голям мащаб или систематично — вероятно трябва Длъжностно лице по защита на данните (DPO). DPO не е само GDPR изискване; при AI системи с висок риск е и практическа необходимост за координиране между правните, IT и бизнес екипите.

Чести грешки и как да ги избегнете

Грешка

Последствие

Решение

Внедряване на AI без DPIA

Директно нарушение на чл. 35 GDPR; глоби до €20 млн.

Провеждайте DPIA преди, не след внедряването

Прехвърляне на данни към AI доставчик без DPA

Нарушение на чл. 28 GDPR; риск от глоба

Изисквайте подписан DPA преди използване

LLM инструменти без проверка на данни за обучение

Неясно правно основание; риск от нарушение на авторски права

Използвайте корпоративни версии с гарантиран data isolation

Автоматизирани HR решения без право на обжалване

Нарушение на чл. 22 GDPR

Осигурете задължителна стъпка за човешки преглед

Класификацията на AI системата е пропусната

При висок риск: глоби до €15 млн. по AI Act от август 2026

Инвентаризирайте и класифицирайте сега, не след дедлайна

Какво предстои: дедлайни, които не може да пропуснете

  • 2 август 2026 — пълно прилагане на изискванията за AI системи с висок риск по AI Act; завършени conformity assessments, CE маркировка, регистрация в EU база данни
  • 2026 (в процес) — EDPB и Европейската комисия ще публикуват съвместни насоки за взаимодействието между AI Act и GDPR
  • 2026 (координирана акция) — EDPB проверява спазването на задълженията за прозрачност по чл. 12-14 GDPR в компании из целия ЕС

Ако вашата компания използва AI система, която попада в категориите с висок риск, времето за подготовка е сега. Conformity assessment за сложни системи отнема 6-12 месеца.

Защитата на данните при AI не е само правно задължение — тя е конкурентно предимство. Клиентите и партньорите ви все по-често питат как обработвате данните им. Компаниите с ясна data protection стратегия печелят доверие и избягват регулаторен риск едновременно.

Ако не сте сигурни откъде да започнете, нашият екип по AI стратегия и консултиране може да направи преглед на вашите AI системи и да идентифицира регулаторните пропуски. Можете също да оцените готовността на вашата компания за AI с нашия безплатен инструмент.

За конкретни въпроси или консултация — свържете се с нас.

Източници

Радослав Гешев

Статията е написана от

Радослав Гешев

Специалист по AI стратегия и автоматизация на бизнес процеси с над 15 години опит в технологичния сектор. Работи с компании в процес на внедряване на AI решения в реални операции.