Представям си, че влизам в ресторант, за да хапна спокойно с приятели. Сядам, поръчвам, разговаряме. Не подозирам, че камера над главата ми в този момент сканира лицето ми, определя пола и възрастта ми, прави предположение за етническата ми принадлежност и анализира емоционалното ми състояние. Звучи като сцена от научнофантастичен филм, но се оказва, че точно това се случва в някои ресторанти в България.
Българската верига ресторанти Happy Bar & Grill, както и свързаната с нея верига Burrata Italiana, използват система за лицево разпознаване, разработена от българската компания IP Biometrix. Официално системата е представена като инструмент за „мониторинг на усмивките" на персонала – тя следи дали служителите се усмихват на клиентите и генерира класации за тяхното представяне.
Проблемът е, че системата не работи само върху служителите. От портфолиото на самия доставчик IP Biometrix (достъпно чрез архива на Wayback Machine от 2 януари 2026 г., тъй като впоследствие е премахнато от сайта) става ясно, че камерите обработват биометричните данни и на клиентите. Демонстрационни изображения показват, че за всеки заснет човек системата събира данни за:
Не. Към момента в ресторантите на Happy Bar & Grill и Burrata Italiana не са поставени видими информационни табели, които да уведомяват клиентите, че лицата им се сканират и анализират. Политиката за поверителност на сайта happy.bg също не споменава нищо за лицево разпознаване, биометрично обработване или системи с изкуствен интелект в ресторантите.
Важно! Ако съм клиент и никъде не ме информират, че биометричните ми данни се събират, аз на практика нямам никаква възможност да дам или да откажа съгласието си. Просто влизам, за да се нахраня, а данните ми вече се обработват.
Тук нещата стават наистина сериозни. Лицевото разпознаване означава обработване на биометрични данни, а те са „специална категория лични данни" по смисъла на чл. 9 от Общия регламент за защита на данните (GDPR). Обработването им по принцип е забранено, освен ако не е налице някое от изрично предвидените изключения – например изричното съгласие на лицето.
Но може ли да се приеме, че като вляза в ресторант, давам съгласие лицето ми да бъде сканирано? Отговорът е категорично „не".
Комисията за защита на личните данни (КЗЛД) се произнесе по този въпрос със Становище с рег. № ПНМД-01-52 от 30.04.2025 г. В него КЗЛД ясно приема, че поставянето на указателни табели или стикери и фактическото влизане на клиента в обект не могат да се приравнят на изрично съгласие по смисъла на чл. 9, пар. 2 от GDPR. С други думи, дори ако ресторантът беше поставил табела „тук има лицево разпознаване", самото ми влизане не означава, че съм съгласен.
Освен това КЗЛД посочва, че нито едно от другите изключения по чл. 9 от GDPR не е приложимо при подобна система в търговски обект. „Легитимният интерес" на собственика – например да следи усмивките на персонала или да анализира демографията на клиентите – не е основание за обработване на биометрични данни.
Важно! Когато системата разпознава етническа принадлежност, тя обработва данни, разкриващи „расов или етнически произход" – още една специална категория, която е под засилена защита по GDPR.
Тъй като лицевото разпознаване е технология, използваща изкуствен интелект, приложим е и Регламент (ЕС) 2024/1689 – т.нар. Акт за изкуствения интелект (AI Act). Той забранява биометричната категоризация за извеждане на защитени характеристики (като етнос), както и класифицира системите за дистанционна биометрична идентификация като високорискови.
Нещо повече – българският Законопроект за използването и развитието на изкуствения интелект, внесен в Народното събрание на 8 октомври 2025 г., предвижда в чл. 12 пълна забрана за използване на системи за дистанционна биометрична идентификация, без значение от контекста. Ако законопроектът бъде приет, подобни системи ще бъдат изрично незаконни в България, а санкциите могат да достигнат до 5 000 000 лв.
Ако съм посещавал ресторант на Happy Bar & Grill или Burrata Italiana, имам право да:
Важно! Не е необходимо да доказвам, че точно моите данни са обработени. Достатъчно е да съм посещавал обект, в който системата работи, за да имам основание да подам искане за достъп или жалба.
Към март 2026 г. нито Happy Bar & Grill, нито Burrata Italiana са направили публично изявление по случая. IP Biometrix е премахнала портфолиото от сайта си при негово преструктуриране, но верижните ресторанти все още фигурират в секцията „Партньори" на сайта на доставчика.
На 11 март 2026 г. темата привлече широко обществено внимание след публикация в Reddit (r/bulgaria), която бързо събра хиляди прегледи и стотици коментари.
Биометричното наблюдение в ресторанти без знанието и съгласието на клиентите е сериозно нарушение на правото на защита на личните данни. То противоречи на GDPR, на позицията на КЗЛД и вероятно на бъдещото българско законодателство за изкуствения интелект. Като клиент имам право да знам какво се случва с данните ми – и имам инструменти да потърся защита, ако правата ми са нарушени.
Автор и дата на последна актуализация на текста спрямо законодателството:
