Suvestinė redakcija nuo 2024-08-15

 

Įsakymas paskelbtas: TAR 2023-05-15, i. k. 2023-09097

 

 

 

LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTRAS

 

ĮSAKYMAS

Dėl Vidaus reikalų ministerijos ir įstaigų prie Vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų duomenų tvarkymo ir peržiūros veiksmų auditavimo taisyklių patvirtinimo

 

2023 m. gegužės 15 d. Nr. 1V-287

Vilnius

 

 

Vadovaudamasi Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymo 17 straipsnio 1 dalimi ir įgyvendindama 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrojo duomenų apsaugos reglamento) 24 straipsnio 1 dalį ir Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, 10 punktą:

1Tvirtinu Vidaus reikalų ministerijos ir įstaigų prie Vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų duomenų tvarkymo ir peržiūros veiksmų auditavimo taisykles (pridedama).

2Nustatau, kad kuriant ar modernizuojant registrus ir valstybės informacines sistemas, veikiančius Informatikos ir ryšių departamento prie Lietuvos Respublikos vidaus reikalų ministerijos informacinių technologijų techninėje infrastruktūroje, registro ir valstybės informacinės sistemos duomenų tvarkymo ir peržiūros teisėtumui užtikrinti turi būti naudojama Vidaus reikalų integracinės platformos audito posistemė, nurodyta šiuo įsakymu patvirtintų taisyklių 6 punkte.

3Pripažįstu netekusiu galios Lietuvos Respublikos vidaus reikalų ministro 2005 m. kovo 9 d. įsakymą Nr. 1V-68 „Dėl Vidaus reikalų informacinės sistemos centrinio duomenų banko duomenų peržiūros kontrolės taisyklių patvirtinimo“.

 

 

 

Vidaus reikalų ministrė                                                                                          Agnė Bilotaitė

 

PATVIRTINTA

Lietuvos Respublikos vidaus reikalų ministro

2023 m. gegužės 15 d. įsakymu Nr. 1V-287

 

 

VIDAUS REIKALŲ MINISTERIJOS ir įstaigų prie VIDAUS REIKALŲ MINISTERIJOS VALDOMŲ REGISTRŲ ir VALSTYBĖS INFORMACINIŲ SISTEMŲ DUOMENŲ TVARKYMO IR PERŽIŪROS veiksmų AUDITAVIMO TAISYKLĖS

 

I SKYRIUS

Bendrosios nuostatos

 

1Vidaus reikalų ministerijos ir įstaigų prie Vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų duomenų tvarkymo ir peržiūros veiksmų auditavimo taisyklės (toliau – Taisyklės) nustato Lietuvos Respublikos vidaus reikalų ministerijos ir įstaigų prie Vidaus reikalų ministerijos valdomų bei Informatikos ir ryšių departamento prie Lietuvos Respublikos vidaus reikalų ministerijos (toliau – Informatikos ir ryšių departamentas) tvarkomų registrų ir valstybės informacinių sistemų, įskaitant Europos Sąjungos informacines sistemas, prie kurių prieigą užtikrina Informatikos ir ryšių departamentas, (toliau – informacinės sistemos) duomenų ir asmens duomenų (toliau – duomenys) tvarkymo ir peržiūros veiksmų kontrolės tvarką.

2.  Duomenų tvarkymo ir peržiūros veiksmų kontrolės tikslas – užtikrinti informacinių sistemų duomenų tvarkymo ir peržiūros teisėtumą ir informacinių sistemų naudotojų veiksmų auditavimą, duomenų saugą, duomenų subjektų teises, sumažinti galimų duomenų tvarkymo pažeidimų atsiradimo riziką, užtikrinti žvalgybos institucijų, kriminalinės žvalgybos subjektų ir ikiteisminio tyrimo įstaigų vykdomų duomenų tvarkymo ir peržiūros veiksmų konfidencialumą, siekiant užtikrinti netrukdomus žvalgybos institucijų, kriminalinės žvalgybos subjektų ir ikiteisminio tyrimo įstaigų vykdomus tyrimus.

3.  Duomenų tvarkymo ir peržiūros veiksmų kontrolės uždaviniai:

3.1. užkirsti kelią neteisėtam duomenų įvedimui ir neteisėtam duomenų tikrinimui, keitimui arba ištrynimui informacinėse sistemose;

3.2. užtikrinti, kad būtų galima patikrinti ir nustatyti, kokius duomenis, kada, kas ir kokiu tikslu tvarkė informacinėje sistemoje;

3.3. užtikrinti, kad kiekviena institucija, turinti prieigos prie informacinių sistemų teisę, imtųsi savikontrolės priemonių, kad būtų laikomasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymo, kitų teisės aktų, reglamentuojančių informacinių sistemų duomenų naudojimo sąlygas ir tvarką, reikalavimų, ir prireikus galėtų atlikti duomenų saugumo pažeidimo tyrimą bei bendradarbiauti su priežiūros institucija – Lietuvos Respublikos valstybine duomenų apsaugos inspekcija.

4.  Taisyklės parengtos vadovaujantis šiais teisės aktais:

4.1. 2008 m. liepos 9 d. Europos Parlamento ir Tarybos reglamentu (EB) Nr. 767/2008 dėl Vizų informacinės sistemos (VIS) ir apsikeitimo duomenimis apie trumpalaikes vizas tarp valstybių narių (VIS reglamentas), su visais pakeitimais;

4.2. Reglamentu (ES) 2016/679;

4.3. 2017 m. lapkričio 30 d. Europos Parlamento ir Tarybos reglamento (ES) 2017/2226, kuriuo sukuriama atvykimo ir išvykimo sistema (AIS), kurioje registruojami trečiųjų šalių piliečių, kertančių valstybių narių išorės sienas, atvykimo ir išvykimo bei atsisakymo leisti jiems atvykti duomenys, nustatomos prieigos prie AIS teisėsaugos tikslais sąlygos ir iš dalies keičiama Konvencija dėl Šengeno susitarimo įgyvendinimo ir reglamentai (EB) Nr. 767/2008 ir (ES) Nr. 1077/2011, su visais pakeitimais, 43 straipsniu;

4.4. 2018 m. rugsėjo 12 d. Europos Parlamento ir Tarybos reglamento (ES) 2018/1240, kuriuo sukuriama Europos kelionių informacijos ir leidimų sistema (ETIAS) ir iš dalies keičiami reglamentai (ES) Nr. 1077/2011, (ES) Nr. 515/2014, (ES) 2016/399, (ES) 2016/1624 ir (ES) 2017/2226, su visais pakeitimais, 59 straipsniu;

4.5. 2018 m. lapkričio 28 d. Europos Parlamento ir Tarybos reglamentu (ES) 2018/1860 dėl Šengeno informacinės sistemos naudojimo neteisėtai esančių trečiųjų šalių piliečių grąžinimui, su visais pakeitimais;

4.6. 2018 m. lapkričio 28 d. Europos Parlamento ir Tarybos reglamentu (ES) 2018/1861 dėl Šengeno informacinės sistemos (SIS) sukūrimo, eksploatavimo ir naudojimo patikrinimams kertant sieną, kuriuo iš dalies keičiama Konvencija dėl Šengeno susitarimo įgyvendinimo ir iš dalies keičiamas bei panaikinimas Reglamentas (EB) Nr. 1987/2006, su visais pakeitimais;

4.7. 2018 m. lapkričio 28 d. Europos Parlamento ir Tarybos reglamentu (ES) 2018/1862 dėl Šengeno informacinės sistemos (SIS) sukūrimo, eksploatavimo ir naudojimo policijos bendradarbiavimui ir teisminiam bendradarbiavimui baudžiamosiose bylose, kuriuo iš dalies keičiamas ir panaikinamas Tarybos sprendimas 2007/533/TVR ir panaikinamas Europos Parlamento ir Tarybos reglamentas (EB) Nr. 1986/2006 ir Komisijos sprendimas 2010/261/ES, su visais pakeitimais;

4.8. 2019 m. balandžio 17 d. Europos Parlamento ir Tarybos reglamento (ES) 2019/816, kuriuo Europos nuosprendžių registrų informacinei sistemai papildyti sukuriama centralizuota valstybių narių, turinčių informacijos apie priimtus trečiųjų šalių piliečių ir asmenų be pilietybės apkaltinamuosius nuosprendžius, nustatymo sistema (ECRIS-TCN) ir kuriuo iš dalies keičiamas Reglamentas (ES) 2018/1726, su visais pakeitimais, 31 straipsniu;

4.9. 2019 m. gegužės 20 d. Europos Parlamento ir Tarybos reglamento (ES) 2019/817 dėl ES informacinių sistemų sienų ir vizų srityje sąveikumo sistemos sukūrimo, kuriuo iš dalies keičiami Europos Parlamento ir Tarybos reglamentai (EB) Nr. 767/2008, (ES) 2016/399, (ES) 2017/2226, (ES) 2018/1240, (ES) 2018/1726 ir (ES) 2018/1961 bei Tarybos sprendimai 2004/512/EB ir 2008/633/TVR, su visais pakeitimais, 36 straipsnio 2 dalimi;

4.10.  2019 m. gegužės 20 d. Europos Parlamento ir Tarybos reglamento (ES) 2019/818 dėl ES informacinių sistemų policijos ir teisminio bendradarbiavimo, prieglobsčio ir migracijos srityje sąveikumo sistemos sukūrimo, kuriuo iš dalies keičiami reglamentai (ES) 2018/1726, (ES) 2018/1862 ir (ES) 2019/816, su visais pakeitimais, 24 straipsnio 5 dalimi;

4.11.  Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

4.12.  Lietuvos Respublikos kriminalinės žvalgybos įstatymu;

4.13.  Lietuvos Respublikos žvalgybos įstatymu;

4.14.  Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu;

4.15.  Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatymu;

4.16.  Lietuvos Respublikos kibernetinio saugumo įstatymu;

4.17Asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymu;

4.18.  Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

4.19Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

4.20. Kai kurių Lietuvos Respublikos vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2017 m. gruodžio 22 d. įsakymu Nr. 1V-883 „Dėl Kai kurių Lietuvos Respublikos vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų duomenų saugos nuostatų patvirtinimo“;

4.21. Kai kurių Lietuvos Respublikos vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų naudotojų administravimo taisyklėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2018 m. lapkričio 26 d. įsakymu Nr. 1V-871 „Dėl Kai kurių Lietuvos Respublikos vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklių, naudotojų administravimo taisyklių ir veiklos tęstinumo valdymo plano patvirtinimo“;

4.22. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

4.23. kitais teisės aktais, reglamentuojančiais informacinių sistemų duomenų tvarkymą.

5.  Taisyklėse vartojamos pagrindinės sąvokos:

5.1. duomenų tvarkymo pažeidimas – informacinės sistemos naudotojo atlikti veiksmai, nesilaikant Europos Sąjungos ir (arba) Lietuvos Respublikos teisės aktų nuostatų, reglamentuojančių duomenų saugumą ir asmens duomenų apsaugą;

5.2. informacinės sistemos duomenų teikimo kitiems registrams ir informacinėms sistemoms procedūra informacinės sistemos duomenų teikimas duomenų gavėjams automatiniu būdu pagal duomenų teikimo sutartį registrų ir (ar) informacinių sistemų sąveikai užtikrinti;

5.3. informacinės sistemos naudotojo teisių pažeidimas – neteisėtas informacinės sistemos naudotojo atpažinimo duomenų (informacinės sistemos naudotojo vardo ir slaptažodžio) ir (arba) teisių panaudojimas;

5.4. informacinės sistemos naudotojo veiksmas – vienkartinis informacinės sistemos naudotojo duomenų tvarkymo veiksmas: prisijungimas, atsijungimas, paieška, peržiūra, spausdinimas, sukūrimas, keitimas, naikinimas, atliekamas siekiant tvarkyti informacinės sistemos duomenis, naudojant informacinės sistemos duomenų tvarkymo ir (ar) kitas duomenų paieškos taikomąsias programas;

5.5. ypatingasis informacinės sistemos naudotojas – žvalgybos institucijos, kriminalinės žvalgybos subjekto ar ikiteisminio tyrimo įstaigos pareigūnas, kuriam atitinkamos įstaigos vadovas ar jo įgaliotas asmuo, atsižvelgdamas į pareigūno vykdomas funkcijas, įsakymu suteikė ypatingojo informacinės sistemos naudotojo statusą ir apie kurio vykdytus duomenų tvarkymo ir peržiūros veiksmus be ypatingojo informacinės sistemos naudotojo įstaigos vadovo ar jo įgalioto asmens leidimo draudžiama perduoti (atskleisti) kitiems asmenims;

5.6. suinteresuotos institucijos – ne Vidaus reikalų ministerijos reguliavimo srities institucijos ar įstaigos – informacinių sistemų tvarkytojai arba informacinių sistemų duomenų gavėjai, kurių darbuotojams suteiktos informacinių sistemų naudotojų teisės;

5.7. kitos Taisyklėse vartojamos sąvokos atitinka sąvokas, apibrėžtas Taisyklių 4 punkte nurodytuose teisės aktuose.

 

II SKYRIUS

Informacinių sistemų audito posistemė

 

6.   Informacinių sistemų duomenų tvarkymo ir peržiūros teisėtumui užtikrinti naudojama Vidaus reikalų integracinės platformos audito posistemė (toliau – audito posistemė). Audito posistemės taikomoji programinė įranga skirta audito posistemėje sukauptiems duomenims analizuoti, atliekant informacinės sistemos naudotojo duomenų tvarkymo veiksmų patikrinimus, informacinės sistemos naudotojų teisių pažeidimams aiškinti ir Taisyklių nustatyta tvarka audito posistemės duomenims teikti. Audito posistemėje kaupiami duomenys apie informacinės sistemos naudotojų prisijungimus prie informacinių sistemų, atsijungimus, vykdytas užklausas ir gautus rezultatus, kitus duomenų tvarkymo veiksmus, informacinės sistemos duomenų teikimo kitiems registrams ir informacinėms sistemoms procedūras.

7.   Informacinės sistemos naudotojo veiksmų ir bandymų juos atlikti įrašai ar užfiksuoti informacinės sistemos duomenų teikimo kitiems registrams ir informacinėms sistemoms procedūrų įrašai (toliau – audito įrašai) audito posistemėje įrašomi automatiniu būdu. Audito posistemėje taip pat fiksuojamos užklausos, pagal kurias informacinės sistemos naudotojas negavo užklausą tenkinančių rezultatų.

8.   Audito posistemėje esančius audito įrašus galima eksportuoti į informacinę rinkmeną – duomenų tvarkymo ir peržiūros kontrolės veiksmų sąrašą.

9. Informacinių sistemų duomenų tvarkymo veiksmų patikrą bei audito įrašų peržiūrą audito posistemėje gali atlikti Informatikos ir ryšių departamentas – dėl visų informacinių sistemų naudotojų vykdytų duomenų tvarkymo ir peržiūros veiksmų, Policijos departamentas prie Lietuvos Respublikos vidaus reikalų ministerijos (toliau – Policijos departamentas) bei Valstybės sienos apsaugos tarnyba prie Lietuvos Respublikos vidaus reikalų ministerijos (toliau – Valstybės sienos apsaugos tarnyba) – dėl šių įstaigų informacinių sistemų naudotojų vykdytų duomenų tvarkymo ir peržiūros veiksmų jų valdomose bei kitose informacinėse sistemose, taip pat dėl kitų institucijų naudotojų vykdyto duomenų tvarkymo ir peržiūros veiksmų jų valdomose informacinėse sistemose. Šių įstaigų vadovai paskiria už duomenų peržiūros kontrolę atsakingus asmenis, kuriems Informatikos ir ryšių departamentas suteikia teises vykdyti audito įrašų peržiūrą.

Punkto pakeitimai:

Nr. 1V-495, 2024-08-13, paskelbta TAR 2024-08-14, i. k. 2024-14500

 

10. Informacinių sistemų tvarkytojams ir suinteresuotoms institucijoms, siekiantiems atlikti informacinės sistemos naudotojų veiksmų audito įrašų analizę ir įsitikinti, ar paieškos informacinėse sistemose yra teisėtos, vykdyti duomenų tvarkymo teisėtumo stebėseną ir savikontrolę bei užtikrinti duomenų vientisumą bei saugumą, neviršijant jų kompetencijos ir jiems paprašius, Informatikos ir ryšių departamentas parengia informacinę rinkmeną – duomenų tvarkymo ir peržiūros kontrolės veiksmų sąrašą pagal informacinės sistemos tvarkytojo ir suinteresuotų institucijų nustatytus patikros kriterijus.

 

III SKYRIUS

Audito posistemės duomenys

 

11.     Audito posistemėje tvarkomi šie duomenys:

11.1. informacinės sistemos naudotojo duomenys:

11.1.1. indentifikavimo kodas;

11.1.2. vardas;

11.1.3. pavardė;

11.1.4. asmens kodas;

11.1.5. pareigos;

11.2. informacinės sistemos naudotojo kompiuterio IP adresas;

11.3. informacinės sistemos naudotojo atliktos užklausos unikalus numeris (suteikiamas automatiškai);

11.4. informacinės sistemos naudotojo atliktos užklausos tipas (prisijungimas, atsijungimas, paieška, peržiūra, spausdinimas, sukūrimas, keitimas, naikinimas);

11.5. taikomosios programos, kurią naudojant buvo atlikta užklausa, pavadinimas ar identifikavimo kodas;

Papunkčio pakeitimai:

Nr. 1V-495, 2024-08-13, paskelbta TAR 2024-08-14, i. k. 2024-14500

 

11.6. informacinės sistemos ar registro informacinės sistemos, kurios duomenys buvo tvarkomi / gaunami, pavadinimas ar identifikavimo kodas;

Papildyta papunkčiu:

Nr. 1V-495, 2024-08-13, paskelbta TAR 2024-08-14, i. k. 2024-14500

 

11.7. užklausos data ir laikas;

Papunkčio numeracijos pakeitimas:

Nr. 1V-495, 2024-08-13, paskelbta TAR 2024-08-14, i. k. 2024-14500

 

11.8. duomenų paieškos pagrindas;

Papunkčio numeracijos pakeitimas:

Nr. 1V-495, 2024-08-13, paskelbta TAR 2024-08-14, i. k. 2024-14500

 

11.9. duomenų paieškos pagrindo patikslinimas;

Papunkčio numeracijos pakeitimas:

Nr. 1V-495, 2024-08-13, paskelbta TAR 2024-08-14, i. k. 2024-14500

 

11.10. duomenų objektą informacinėje sistemoje identifikuojantis kodas;

Papunkčio numeracijos pakeitimas:

Nr. 1V-495, 2024-08-13, paskelbta TAR 2024-08-14, i. k. 2024-14500

 

11.11.  informacinės sistemos duomenų paieškos ir peržiūros duomenys:

Papunkčio numeracijos pakeitimas:

Nr. 1V-495, 2024-08-13, paskelbta TAR 2024-08-14, i. k. 2024-14500

 

11.11.1. duomenų paieškos kriterijai (duomenys), pagal kuriuos vykdyta duomenų paieška;

11.11.2. informacinės sistemos naudotojo peržiūrėtų paieškos rezultatų turinys (užklausos rezultato tekstas);

11.12.  kai atliekami informacinės sistemos duomenų tvarkymo (sukūrimo, keitimo, naikinimo) veiksmai – šių duomenų kitimo duomenys (duomenų keitimo istorija):

Papunkčio numeracijos pakeitimas:

Nr. 1V-495, 2024-08-13, paskelbta TAR 2024-08-14, i. k. 2024-14500

 

11.12.1. reikšmė prieš duomenų pakeitimą;

11.12.2. reikšmė po duomenų pakeitimo;

11.13.  informacinės sistemos duomenų teikimo kitiems registrams ir informacinėms sistemoms procedūros duomenys:

Papunkčio numeracijos pakeitimas:

Nr. 1V-495, 2024-08-13, paskelbta TAR 2024-08-14, i. k. 2024-14500

 

11.13.1. data ir laikas;

11.13.2. informacinė sistema / registras, kuriems teikiami duomenys;

11.13.3. pateikti duomenys;

11.13.4. informacinių sistemų duomenų paieškos pagrindų sąrašas (priedas).

 

IV SKYRIUS

Audito posistemės duomenų tvarkymas

 

12. Siekiant užtikrinti teisėtą duomenų tvarkymą ir peržiūrą informacinėse sistemose, informacinės sistemos naudotojui sudaryta galimybė naudotis duomenų paieškos taikomosiomis programomis tik tuomet, kai jis nurodo informacinių sistemų duomenų paieškos pagrindą ir su šiuo pagrindu susijusius papildomus duomenis (priedas). Duomenų paieškos pagrindas nurodomas apibendrintai, pavyzdžiui, kai ieškomi asmens duomenys atliekant ikiteisminį tyrimą, iš galimų paieškos pagrindų sąrašo (priedas) pasirenkamas pagrindas „Ikiteisminis tyrimas“ ir nurodomi papildomi duomenys. Jeigu nė vienas iš siūlomų pagrindų nėra tinkamas, pasirenkamas pagrindas „Kitas tarnybinis naudojimas“ ir įrašomas tekstas, tiksliausiai apibūdinantis duomenų paieškos pagrindą ir jo teisėtumą.

13. Užklausų fiksavimo funkcija turi vienodai veikti bet kurioje informacinių sistemų duomenų tvarkymo ar paieškos taikomojoje programoje, taip pat elektroninių paslaugų portaluose, t. y. atliekant asmens duomenų paiešką visuomet fiksuojami Taisyklių 11 punkte nurodyti duomenys. Šis reikalavimas privalomai įtraukiamas į informacinių sistemų taikomųjų programinių priemonių, skirtų asmens duomenims tvarkyti, technines specifikacijas.

14. Naudojimasis audito įrašų duomenimis taip pat kontroliuojamas ir fiksuojamas audito posistemėje. Audito įrašų duomenys pasiekiami tik kompetentingam asmeniui, turinčiam prieigą prie audito posistemės.

 

V SKYRIUS

Audito posistemės duomenų teikimas

 

15.  Audito posistemės duomenys teikiami esant vienam iš šių pagrindų:

15.1. atliekamas informacinės sistemos naudotojo vykdytų duomenų tvarkymo ir peržiūros veiksmų teisėtumo ar duomenų saugumo pažeidimo tyrimas;

15.2. atliekamas planinis ar kontrolinis (esant pažeidžiamumo įtarimui prevencijos tikslais), duomenų tvarkymo ir peržiūros informacinėse sistemose teisėtumo ir saugumo užtikrinimo pažeidžiamumo patikrinimas;

15.3. informacinės sistemos duomenų vientisumo pažeidimų nustatymo ir pažeistų duomenų atkūrimo bei dokumentavimo atvejais;

15.4. audito posistemės duomenų pagrindu taip pat teikiami duomenys įgyvendinant duomenų subjektų teises, vadovaujantis Reglamentu (ES) 2016/679 ar Asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymu.

16.  Duomenys viešai neskelbiami ir kitais pagrindais neteikiami.

17.  Audito posistemės duomenis, esant bent vienam Taisyklių 15 punkte nurodytam pagrindui, teikia:

17.1.   Informatikos ir ryšių departamentas – dėl visų informacinių sistemų naudotojų vykdytų duomenų tvarkymo ir peržiūros veiksmų; duomenis dėl ypatingųjų informacinių sistemų naudotojų vykdytų duomenų tvarkymo ir peržiūros veiksmų Informatikos ir ryšių departamentas gali teikti tik gavęs ypatingojo informacinės sistemos naudotojo įstaigos vadovo ar jo įgalioto asmens sutikimą (leidimą);

17.2. Policijos departamentas, Valstybės sienos apsaugos tarnyba – dėl šių įstaigų informacinių sistemų naudotojų vykdytų duomenų tvarkymo ir peržiūros veiksmų jų valdomose bei kitose informacinėse sistemose, taip pat dėl kitų institucijų naudotojų vykdyto duomenų tvarkymo ir peržiūros veiksmų jų valdomose informacinėse sistemose. Duomenys dėl ypatingųjų informacinių sistemų naudotojų vykdytų duomenų tvarkymo ir peržiūros veiksmų gali būti teikiami tik gavus ypatingojo informacinės sistemos naudotojo įstaigos vadovo ar jo įgalioto asmens sutikimą (leidimą).

Papunkčio pakeitimai:

Nr. 1V-495, 2024-08-13, paskelbta TAR 2024-08-14, i. k. 2024-14500

 

18.  Audito įrašų duomenys, kai kreipiamasi Taisyklių 15.1–15.3 papunkčiuose nurodytais pagrindais, teikiami pagal rašytinius paklausimus, pasirašytus:

18.1. ypatingojo informacinės sistemos naudotojo įstaigos vadovo ar jo įgalioto asmens, ar padalinio vadovo – dėl šios įstaigos ar jos padalinių informacinių sistemų naudotojų ir ypatingųjų informacinių sistemų naudotojų vykdyto duomenų tvarkymo ir peržiūros, taip pat dėl kitų įstaigų naudotojų veiksmų, jei tai susiję su atliekamu tyrimu;

18.2. įstaigos, taip pat suinteresuotų institucijų, vadovo ar jo įgalioto asmens, ar padalinio vadovo – tik dėl jų vadovaujamų įstaigų ar padalinių informacinių sistemų naudotojų vykdyto duomenų tvarkymo ir peržiūros.

19.   Rašytiniame paklausime dėl duomenų gavimo iš audito posistemės būtina nurodyti duomenis pasirinktinai:

19.1. paklausimo pagrindą, tikrinamo informacinių sistemų naudotojo asmens kodą, vardą, pavardę, užklausos datą arba vykdymo laikotarpį, informaciją, ar tikrinamas naudotojas yra (nėra) ypatingasis informacinių sistemų naudotojas, jei kreipiamasi dėl konkretaus informacinių sistemų naudotojo vykdyto duomenų tvarkymo ir peržiūros teisėtumo;

19.2. paklausimo pagrindą, asmens duomenų subjektų, kurių, kaip numanoma, asmens duomenų buvo ieškoma, asmens kodus, gimimo datas, pavardes, vardus, ir kitus žinomus duomenis, numanomą užklausos datą arba užklausos vykdymo laikotarpį, jei kreipiamasi dėl asmens duomenų peržiūros teisėtumo ar asmens duomenų saugumo pažeidimo tyrimo;

19.3. paklausimo pagrindą, duomenų peržiūros datą ar vykdymo laikotarpį, jei kreipiamasi dėl informacinių sistemų duomenų vientisumo pažeidimų nustatymo ir pažeistų duomenų atkūrimo ir dokumentavimo atvejų.

20.  Jei duomenų užklausą atliko ypatingasis informacinių sistemų naudotojas, duomenys apie duomenų tvarkymą ir peržiūrą be žvalgybos institucijos, kriminalinės žvalgybos subjekto ar ikiteisminio tyrimo vadovo arba įgalioto asmens ar padalinio vadovo sutikimo (leidimo) neteikiami.

21.  Pagal žvalgybos institucijos, kriminalinės žvalgybos subjekto ar ikiteisminio tyrimo vadovo arba jo įgalioto asmens ar padalinio vadovo paklausimą atlikus paiešką audito posistemėje ir gavus duomenų apie kitų žvalgybos institucijų, kriminalinės žvalgybos subjektų ar ikiteisminio tyrimo įstaigų ypatingųjų informacinių sistemų naudotojų vykdytą duomenų peržiūrą, paklausimą pateikusiam subjektui siunčiami tik su jo informacinių sistemų naudotojais ar ypatingaisiais informacinių sistemų naudotojais susiję duomenys, likusi informacija neteikiama.

22.   Informacinių sistemų naudotojų įstaigos ne rečiau kaip kartą per metus atlieka planinį duomenų tvarkymo ir peržiūros veiksmų teisėtumo patikrinimą. Įstaigos, valdančios ypatingos svarbos informacinius išteklius, ne rečiau kaip kartą per mėnesį atlieka ypatingos svarbos informacinių išteklių naudotojų veiksmų audito įrašų analizę.

23.   Patikrinimo ataskaitos, kurių informacinių sistemų naudotojų (ar ypatingųjų informacinių sistemų naudotojų) duomenų tvarkymo ir peržiūros veiksmai buvo tikrinti, teikiamos institucijų ar įstaigų vadovams. Vadovai užtikrina, kad jų vadovaujamų įstaigų informacinių sistemų naudotojų veiksmai būtų patikrinti ir, jeigu nustatomas informacinės sistemos naudotojo teisių pažeidimo ar duomenų tvarkymo pažeidimo faktas (toliau – pažeidimas), būtų pradėtas tyrimas dėl informacinės sistemos naudotojo duomenų tvarkymo veiksmų teisėtumo.

24.   Pradėjus tyrimą dėl informacinės sistemos naudotojo duomenų tvarkymo veiksmų teisėtumo, naudotojas informuojamas, kad pradėtas tyrimas ir jo teisės naudotis informacine sistema yra sustabdytos. Apie tai informacinės sistemos naudotojo įstaiga raštu informuoja atitinkamos informacinės sistemos naudotojų teisių administratorių, kuris informacinių sistemų naudotojų administravimo taisyklių nustatyta tvarka nedelsdamas turi sustabdyti prieigą.

 

VI SKYRIUS

Audito posistemės Duomenų saugojimas, naikinimas

 

25.   Naudotojo atliktų veiksmų ir bandymų juos atlikti įrašai saugomi audito posistemės duomenų bazėje 3 metus nuo užklausos ar kito duomenų tvarkymo veiksmo įvykdymo dienos, jeigu informacinės sistemos nuostatuose ar kituose jos duomenų tvarkymą reglamentuojančiuose teisės aktuose nenustatyta kitaip.

26.   Audito posistemėje duomenys, pasibaigus saugojimo terminui, automatiškai sunaikinami.

27.   Audito posistemėje duomenys nekeičiami, jų priežiūrą ir saugą užtikrina Informatikos ir ryšių departamentas.

 

VII SKYRIUS

Baigiamosios nuostatos

 

28.  Asmenys, duomenų tvarkymo ar peržiūros procese pažeidę Taisykles, atsako Lietuvos Respublikos teisės aktų, nustatančių atsakomybę už asmens duomenų ar informacinių sistemų duomenų tvarkymo pažeidimą, nustatyta tvarka.

_________________________

 

Vidaus reikalų ministerijos ir įstaigų prie Vidaus

reikalų ministerijos valdomų registrų ir valstybės

informacinių sistemų duomenų tvarkymo ir

peržiūros veiksmų auditavimo taisyklių

priedas

 

INFORMACINIŲ SISTEMŲ DUOMENŲ PAIEŠKOS

PAGRINDŲ SĄRAŠAS

 

Eil. Nr.

Pagrindai (pasirenkami iš sąrašo)

Papildomai įvedami duomenys

1. 

Administracinio nusižengimo tyrimas

Administracinio nusižengimo registro objekto identifikavimo kodas (ROIK); tarnybinio pranešimo data, numeris

2. 

Ikiteisminis tyrimas

Ikiteisminio tyrimo data, numeris

3. 

Nusikalstamos veikos tyrimas*

Tyrimo data, numeris

4. 

Nusikaltimo tyrimas*

Tyrimo data, numeris

5. 

Kriminalinės žvalgybos tyrimas

Medžiagos registracijos data, numeris

6. 

Pranešimo, pavedimo, paklausimo tyrimas

Pranešimo, pavedimo, paklausimo registracijos data, numeris

7. 

Skundo, prašymo, pareiškimo tyrimas

Skundo, prašymo, pareiškimo registracijos data, numeris, siuntėjas

8. 

Teisės pažeidimo tyrimas

Teisės pažeidimo tyrimo medžiagos registracijos data, numeris; tarnybinio pranešimo data, numeris

9. 

Tarnybinis patikrinimas

Tarnybinio pranešimo data, numeris

10.

Paklausimo vykdymas

Rašto data, numeris, siuntėjas

11.

Pažymos rengimas

Pažymos tipas, data, numeris

12.

Dokumentų išdavimas, tikrinimas, keitimas

Prašymo, rašto registracijos data, numeris

13.

Licencijavimo veiklos funkcijos vykdymas

Medžiagos registracijos data, numeris

14.

Paklausimas iš diplomatinės įstaigos

Diplomatinės įstaigos paklausimo registracijos data, numeris, siuntėjas

15.

Lietuvos Respublikos pilietybės klausimų sprendimas

Medžiagos registracijos data, numeris

16.

Migracijos klausimų sprendimas

Medžiagos registracijos data, numeris

17.

Asmens teisinės padėties Lietuvos Respublikoje nustatymas

Medžiagos registracijos data, numeris

18.

Duomenų patikslinimas, sutikrinimas

Su paieškos pagrindu susiję duomenys

19.

Kitas tarnybinis naudojimas

Su paieškos pagrindu susiję duomenys

20.

Vykdomos teroristinių ir su teroristine veikla susijusių nusikaltimų, taip pat kitų nusikaltimų atskleidimo arba prevencinės priemonės

Su paieškos pagrindu susiję duomenys

* – taikomas tik archyviniams duomenims.

_______________________________

Priedo pakeitimai:

Nr. 1V-495, 2024-08-13, paskelbta TAR 2024-08-14, i. k. 2024-14500

 

 

 

Pakeitimai:

 

1.

Lietuvos Respublikos vidaus reikalų ministerija, Įsakymas

Nr. 1V-495, 2024-08-13, paskelbta TAR 2024-08-14, i. k. 2024-14500

Dėl vidaus reikalų ministro 2023 m. gegužės 15 d. įsakymo Nr. 1V-287 „Dėl Vidaus reikalų ministerijos ir įstaigų prie Vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų duomenų tvarkymo ir peržiūros veiksmų auditavimo taisyklių patvirtinimo“ pakeitimo