Ръководства

GDPR и изкуственият интелект: какво да знаете

GDPR и изкуственият интелект: какво да знаете за личните данни, автоматизираното решение и КЗЛД.

От aiReview · 2026-04-30 · 2 мин. четене

GDPR и българският Закон за защита на личните данни (ЗЗЛД) са най-прекият набор от правила, когато използвате AI с лични данни. Надзорът се осъществява от КЗЛД.

AI и трансфер на данни

Изпращането на лични данни на клиенти към AI/облачна услуга извън ЕС/ЕИП (например към американски или китайски LLM API) е трансфер на данни към трета държава по GDPR (Глава V) и изисква валидно правно основание (например рамката ЕС–САЩ за защита на данните, стандартни договорни клаузи или дерогация). Ако искате данните да останат в ЕС, решението е self-hosting на отворен модел, облак с ЕС регион или локално пускане.

Автоматизирани решения

Според член 22 от GDPR субектът на данни по правило има право да не бъде обект на решение, основано единствено на автоматизирана обработка (включително профилиране), което поражда правни последици за него или го засяга съществено (например кредит, наемане на работа) — с изключения и с изискване за човешки контрол. Българският ЗЗЛД възпроизвежда това. Ако използвате AI за такива решения, дръжте човек в процеса и проверявайте актуалните изисквания.

Надзор и практика за фирмите

В България няма един-единствен „орган за ИИ“, а към юни 2026 г. националният компетентен орган по Акта за изкуствения интелект все още не е официално определен. Министерството на електронното управление (МЕУ) координира прилагането; проект на решение на Министерския съвет предлага Изпълнителна агенция „Българска служба за акредитация“ (ИА БСА) за нотифициращ орган (още неприет), а разпределението на пазарния надзор „все още не е определено“. България е определила седем органа за защита на основните права (сред които КЗЛД, КЗП, Омбудсмана, ЦИК, КЗД, ДАЗД и ИА ГИТ). Надзорният орган по GDPR е Комисията за защита на личните данни (КЗЛД / CPDP, cpdp.bg), а правната рамка е GDPR (Регламент (ЕС) 2016/679) + Законът за защита на личните данни (ЗЗЛД). Не определяйте предварително „български орган за ИИ“ като вече назначен. Искайте съгласие там, където е необходимо, минимизирайте личните данни, изпращани към AI, и при чувствителни данни обмислете self-hosting/ЕС регион. Тази статия е обща информация, не правен или данъчен съвет — правилата, цените и сроковете може да се променят. Проверявайте официалните източници.

Ако искате да преминете от експериментиране с AI към това наистина да го вградите в реалната си работа, съществуват платформи, които събират на едно място чата, автоматизацията и приложенията — например osFoundry, агентна AI платформа, в която включвате собствения си модел (BYO модел)

Прочетете също

Тази статия е обща информация, не правен или данъчен съвет.

Често задавани въпроси

Какво е GDPR?

Европейският Общ регламент за защита на данните ((ЕС) 2016/679), допълнен в България със ЗЗЛД, с надзора на КЗЛД.

Може ли AI да се използва с данните на клиенти?

Да, с валидно правно основание; изпращането на данни извън ЕС/ЕИП е трансфер към трета държава по Глава V.

Какво казват правилата за автоматичните решения?

Член 22 от GDPR по правило дава право да не сте обект на решение, основано единствено на автоматизирана обработка със съществен ефект.

Как да намаля риска?

Минимизирайте личните данни, изпращани към AI, искайте съгласие и обмислете self-hosting или ЕС регион.