AI и GDPR в България: какво трябва да знае всеки собственик на бизнес

Регулациите за AI се промениха значително в Европейския съюз. GDPR е в сила от 2018 г. и не отива никъде. EU AI Act влезе в сила постепенно от 2024 г. и продължава да добавя задължения. През 2026 г. вече има конкретни задължения за бизнеси, които използват AI — дори ако само ги ползват като инструмент, не ги произвеждат сами.

Тази статия описва какво трябва да знае собственик на български бизнес преди да внедри AI система. Не е заместител на юридическа консултация — преди подписване на договор за AI, прегледайте всичко с юрист, който разбира както GDPR, така и AI Act. Но след тази статия знаете кои въпроси да задавате.

GDPR — какво се прилага за AI

GDPR се отнася за всяка обработка на лични данни. AI системите често обработват лични данни, дори когато не изглежда така — име в имейл, телефон в текст, IP адрес в журнал, биометрично разпознаване в снимка. Това задейства всички задължения на GDPR, без изключение.

Основните задължения, които се прилагат при AI:

• Правно основание за обработката (член 6) — съгласие, договор, законен интерес или друго основание. Без правно основание, обработката е незаконна.
• Информираност (членове 13-14) — субектът на данни трябва да знае, че данните му се обработват с AI, за каква цел, на какво основание, колко дълго.
• Право на човешка намеса при автоматизирани решения (член 22) — ако AI взема решение, което има значителен ефект върху лицето (отказ на кредит, прекратяване на услуга, оценка за работа), лицето има право да поиска човешка преценка.
• Минимизация (член 5) — AI системата може да обработва само минимално необходимите данни, не всичко „в случай че трябва".
• Срок на съхранение (член 5) — данните се изтриват, когато целта на обработката е изпълнена. Безкрайно съхранение „за обучение на модели" не е допустимо без отделно правно основание.

EU AI Act — нов слой задължения

AI Act категоризира AI системите според риск:

Забранени практики (член 5)

Включват системи за социално оценяване по модел на Китай, манипулативни системи, използващи уязвимости на хората, и реално-времево биометрично разпознаване на публични места (с няколко изключения). Тези системи са напълно забранени в ЕС.

Високорискови системи (член 6)

Включват AI за критични инфраструктури, образование, заетост (системи за подбор), достъп до основни услуги (банкиране, застраховане), правоприлагане, миграция и съдебна система. За тези има строги задължения: оценка на риска, документация, прозрачност, човешки контрол, регистрация в база данни на ЕС.

Повечето SMB проекти НЕ попадат в тази категория. Чатбот за поддръжка, автоматизация на фактури, AI асистент за резервации — всички тези са нискорискови. Но AI система за подбор на персонал или за оценка на заем — те са високорискови.

Системи с ограничен риск (член 50)

Чатботове, AI генерирано съдържание, deepfakes. Главното задължение: прозрачност. Клиентът трябва да знае, че взаимодейства с AI, а не с човек. На практика — чатботът трябва да започне разговора с „Здравейте, аз съм AI асистент".

Минимален риск

Всичко останало — спам филтри, AI препоръки за продукти, автоматично обобщение на имейли. Няма специфични задължения от AI Act (но GDPR остава).

Какво да изисквате от доставчик

Преди подписване на договор за AI внедряване, изисквайте писмени отговори на следните въпроси:

1. Къде се хостват данните? Отговор „европейска инфраструктура" не е достатъчен. Искайте конкретен регион — Frankfurt, Dublin, Stockholm, и т.н.
2. Кой има достъп до данните? Само Вашата фирма? Доставчикът? Подизпълнители? Доставчикът на AI модела (OpenAI, Anthropic)? Всеки трябва да е изброен и обоснован.
3. Ще се ползват ли данните Ви за обучение на бъдещи AI модели? Сериозните доставчици казват: „Не. Имаме договор с производителя на модела, който изключва това."
4. Какъв е процесът при заявка за изтриване на лични данни (член 17 на GDPR)? Колко време отнема? Има ли остатъци в обучителни данни?
5. Има ли DPA (Data Processing Agreement) между Вас и доставчика? Това е задължително според член 28 на GDPR при ползване на процесор.
6. Кой ще бъде вписан като контролер и кой като процесор в DPA? Обикновено Вие сте контролерът, доставчикът е процесорът.
7. Има ли регистрация в ЕС база данни според AI Act, ако системата е високорискова?
8. Има ли документация за оценка на въздействието върху защитата на данните (DPIA) според член 35 на GDPR за чувствителни обработки?

Глоби и реални рискове

GDPR глоби могат да достигнат до 4% от глобалния годишен оборот или 20 милиона евро (което е по-голямото). AI Act глоби — до 7% от глобалния годишен оборот или 35 милиона евро за най-сериозните нарушения.

За реалистично оценяване: за SMB в България през 2026 г. най-вероятните рискове са:

• Жалба от клиент към КЗЛД (Комисията за защита на личните данни) — води до проверка, която може да продължи 6-12 месеца. Дори без глоба, разходите за защита са значителни.
• Загуба на доверие след инцидент — особено във B2B, където клиентите изискват писмена гаранция за обработката на данните им.
• Невъзможност за работа с регулирани сектори — банки, застрахователи, здравни заведения. Те ще изискват подробни DPA и сертификации.

Практическият минимум за SMB

Дори за нискорискова AI система, ето минималните стъпки за съответствие:

1. Регистър на обработката — списък на всички AI системи, какво обработват, на какво основание. Изискване на GDPR член 30.
2. Политика за поверителност с описание на AI обработката. Не общо „използваме AI" — конкретно кой модел, за каква цел, кой има достъп.
3. DPA с доставчика. Стандартни клаузи на ЕС за случаите, когато доставчикът е извън ЕС.
4. Обозначение в потребителския интерфейс — клиентът знае, че говори с AI, не с човек.
5. Процедура при заявка от субект на данни (право на достъп, на изтриване, на портативност).
6. Периодична оценка на риска — ежегодно за нискорискови системи, веднъж на 6 месеца за тези с по-чувствителни данни.

Често задавани въпроси

Ако ползвам ChatGPT или Claude за работа, подлежа ли на тези регулации?

Да, ако влагате лични данни. Например ако копирате имейл от клиент в ChatGPT, за да формулирате отговор, обработвате лични данни на трета страна. Това попада под GDPR. Трябва правно основание и информираност на клиента. На практика — много компании го правят без да си дават сметка, и това е проблем, който чака да се случи.

Длъжен ли съм да имам DPO (Data Protection Officer)?

Според член 37 на GDPR, DPO е задължителен ако: основната дейност включва редовно и систематично следене на лица в голям мащаб, или ако основната дейност обработва специални категории данни (здравни, биометрични, и т.н.) в голям мащаб. За повечето SMB не е задължително, но е разумно да имате назначено лице за защита на данните (без формална длъжност DPO).

Какво се случва, ако клиент поиска да се изтрият данните му?

Имате 30 дни да отговорите (член 12). Трябва да изтриете данните от всички системи, включително AI базите данни и журналите. Един от най-честите проблеми с AI: данните често остават в обучителни набори и не могат да се изтрият селективно. Доставчикът Ви трябва да има отговор на този въпрос преди да подпишете договор.

Има ли разлика дали данните са в облака или локално (on-premise)?

Юридически основните принципи са същите. Технически локалното разполагане дава по-малко въпроси за прехвърляне извън ЕС, но изисква по-добра вътрешна сигурност. За повечето SMB облакът на европейски доставчик е по-добрият избор — професионална сигурност, която не можете да си позволите вътрешно.

Имате конкретен случай и не сте сигурни как се отнасят регулациите? Опишете го в чата на началната страница — отговорът ще включва оценка на регулаторния риск и какво да включите в техническото задание.