Настоящият документ описва процедурата, която Българска Асоциация за Електромобилност (БАЕМ) прилага при нарушение на сигурността на личните данни, в съответствие с изискванията на Общия регламент за защита на данните (GDPR), по-специално членове 33 и 34.

I. ОПРЕДЕЛЕНИЯ

Чл. 1. За целите на настоящата процедура:

• Нарушение на сигурността на личните данни означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин.

• Администратор е Сдружение „Българска Асоциация за Електромобилност" (ЕИК: 206010829).

• Надзорен орган е Комисията за защита на личните данни (КЗЛД).

II. ВИДОВЕ НАРУШЕНИЯ

Чл. 2. Нарушенията на сигурността могат да включват, но не се ограничават до:

1. Нарушения на поверителността: Неоторизиран достъп до лични данни или разкриване на данни на неоторизирани лица.

2. Нарушения на наличността: Загуба на достъп до лични данни (напр. криптовирусна атака, технически срив).

3. Нарушения на целостта: Неоторизирана промяна на лични данни.

III. ОТКРИВАНЕ И ДОКЛАДВАНЕ

Чл. 3. Всеки служител, член на Управителния съвет или доброволец, който открие или подозира нарушение на сигурността, е длъжен незабавно да уведоми:

• Председателя на Управителния съвет

• Техническия администратор на системата

• Електронна поща: [email protected]

Чл. 4. При докладване се предоставя следната информация (доколкото е известна):

• Дата и час на откриване на инцидента

• Описание на естеството на нарушението

• Приблизителен брой засегнати субекти на данни

• Категории засегнати данни

• Предприети незабавни мерки

IV. ОЦЕНКА НА РИСКА

Чл. 5. При получаване на сигнал за нарушение, Управителният съвет извършва оценка на риска в рамките на 24 часа, включваща:

1. Естество на засегнатите данни (обикновени или чувствителни)

2. Брой на засегнатите лица

3. Вероятност за настъпване на вреди за субектите на данни

4. Тежест на потенциалните последици

V. УВЕДОМЯВАНЕ НА НАДЗОРНИЯ ОРГАН

Чл. 6. Съгласно чл. 33 от GDPR, при нарушение на сигурността, което може да породи риск за правата и свободите на физическите лица, Администраторът уведомява Комисията за защита на личните данни (КЗЛД):

• Срок: В рамките на 72 часа от узнаването за нарушението

• Начин: Чрез официалния формуляр на КЗЛД или електронно на адрес [email protected]

Чл. 7. Уведомлението до КЗЛД съдържа:

1. Описание на естеството на нарушението, включително категориите и приблизителния брой засегнати субекти и записи

2. Данни за контакт на лицето, от което може да се получи допълнителна информация

3. Описание на вероятните последици от нарушението

4. Описание на предприетите или предложените мерки за справяне с нарушението

VI. УВЕДОМЯВАНЕ НА ЗАСЕГНАТИТЕ ЛИЦА

Чл. 8. Съгласно чл. 34 от GDPR, когато нарушението може да породи висок риск за правата и свободите на физическите лица, Администраторът уведомява засегнатите субекти на данни:

• Срок: Без ненужно забавяне след потвърждаване на нарушението

• Начин: Чрез имейл на регистрирания адрес и/или системно известие в платформата

Чл. 9. Уведомлението до засегнатите лица съдържа:

1. Ясно и разбираемо описание на естеството на нарушението

2. Данни за контакт за допълнителна информация

3. Описание на вероятните последици

4. Описание на предприетите мерки и препоръки за защита

VII. ДОКУМЕНТИРАНЕ

Чл. 10. Администраторът поддържа регистър на всички нарушения на сигурността на личните данни, независимо дали са уведомени надзорният орган или засегнатите лица. Регистърът съдържа:

• Факти, свързани с нарушението

• Последиците от нарушението

• Предприетите коригиращи действия

• Решението за уведомяване/неуведомяване с обосновка

VIII. ПРЕВАНТИВНИ МЕРКИ

Чл. 11. БАЕМ прилага следните технически и организационни мерки за предотвратяване на нарушения:

• Криптиране на данни при пренос (SSL/TLS)

• Хеширане на пароли (bcrypt)

• Двуфакторна автентикация (2FA)

• Редовно архивиране на данни

• Ограничен достъп до административни функции

• Периодичен преглед на сигурността

IX. КОНТАКТ

Чл. 12. За въпроси относно настоящата процедура или за докладване на инцидент:

• Електронна поща: [email protected]

• Адрес: гр. София, п.к. 1000, ул. „Рачо Димчев" № 1A, ап. 1