Suvestinė redakcija nuo 2024-05-01
Įsakymas paskelbtas: TAR 2023-06-09, i. k. 2023-11538
LIETUVOS RESPUBLIKOS APLINKOS MINISTRAS
ĮSAKYMAS
DĖL NUOTEKŲ TVARKYMO INFORMACINĖS SISTEMOS NUOSTATŲ IR DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
2023 m. birželio 9 d. Nr. D1-188
Vilnius
Vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 8 straipsnio 3 dalimi, 30 straipsnio 1 dalimi, 33 straipsnio 1 dalimi ir 44 straipsnio 2 dalimi, Lietuvos Respublikos geriamojo vandens tiekimo ir nuotekų tvarkymo įstatymo 6 straipsnio 12 punktu ir 17 straipsniu, įgyvendindamas Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, 11 punktą ir Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7, 11, 19 ir 26 punktus:
Preambulės pakeitimai:
Nr. D1-139, 2024-04-29, paskelbta TAR 2024-04-30, i. k. 2024-07957
1. Tvirtinu pridedamus:
2. Skiriu Vitalijų Auglį, Lietuvos Respublikos aplinkos ministerijos Taršos prevencijos politikos grupės vadovą, Nuotekų tvarkymo informacinės sistemos (toliau – NTIS) duomenų valdymo įgaliotiniu.
3. Pavedu:
3.1. Aplinkos ministerijos Taršos prevencijos politikos grupei ne vėliau kaip per 6 mėnesius nuo NTIS duomenų saugos nuostatų patvirtinimo pagal Saugos dokumentų turinio gairių aprašą, patvirtintą Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, parengti ir su krašto apsaugos ministro įgaliota institucija, įgyvendinančia valstybės informacinių išteklių saugos politiką, suderinti ir pateikti aplinkos ministrui tvirtinti šiuos NTIS saugos dokumentus:
3.2. Aplinkos apsaugos departamentui prie Aplinkos ministerijos:
Papunkčio pakeitimai:
Nr. D1-139, 2024-04-29, paskelbta TAR 2024-04-30, i. k. 2024-07957
PATVIRTINTA
Lietuvos Respublikos aplinkos ministro
2023 m. birželio 9 d. įsakymu Nr. D1-188
NUOTEKŲ TVARKYMO INFORMACINĖS SISTEMOS NUOSTATAI
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Nuotekų tvarkymo informacinės sistemos nuostatai (toliau – Nuostatai) reglamentuoja Nuotekų tvarkymo informacinės sistemos (toliau – NTIS) steigimo teisinį pagrindą, tikslus, uždavinius, pagrindines funkcijas, asmens duomenų tvarkymo tikslą, organizacinę, informacinę ir funkcinę struktūras, nustato duomenų teikimo ir naudojimo tvarką, duomenų saugos reikalavimus, finansavimą, modernizavimą ir likvidavimą.
2. NTIS yra valstybės informacinė sistema, kaip ji suprantama Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme.
3. NTIS steigimo teisinis pagrindas:
3.2. Vandenų srities plėtros 2017–2023 metų programos įgyvendinimo veiksmų plano, patvirtinto 2017 m. gegužės 5 d. Lietuvos Respublikos aplinkos ministro ir Lietuvos Respublikos žemės ūkio ministro įsakymu Nr. D1-375/3D-312 „Dėl Vandenų srities plėtros 2017–2023 metų programos įgyvendinimo veiksmų plano patvirtinimo“, priemonė Nr. 15.4 „Sukurti individualių nuotekų tvarkymo sistemų registrą, susiejant jį su kitomis sistemomis dėl duomenų analizės ir jų panaudojimo kontrolės funkcijoms, individualių sistemų priežiūros paslaugų teikimui ir kt.“.
4. NTIS tvarkoma vadovaujantis šiais teisės aktais:
4.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) Nr. 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) su visais pakeitimais (toliau – Reglamentas (ES)2016/679);
4.2. 1992 m. Helsinkio konvencija Dėl Baltijos jūros baseino jūrinės aplinkos apsaugos, ratifikuota Lietuvos Respublikos įstatymu dėl 1992 m. Helsinkio konvencijos Dėl Baltijos jūros baseino jūrinės aplinkos apsaugos ratifikavimo;
4.20. Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“;
4.21. Lietuvos Respublikos elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų įstatymu;
4.22. Lietuvos Respublikos Vyriausybės 2009 m. gruodžio 16 d. nutarimu Nr. 1659 „Dėl Viešojo administravimo institucijų informacinių sistemų sąveikumo sistemos naudojimo teikiant viešąsias ir administracines paslaugas elektroninėje erdvėje“;
4.23. Vandenų srities plėtros 2017–2023 metų programa, patvirtinta Lietuvos Respublikos Vyriausybės 2017 m. vasario 1 d. nutarimu Nr. 88 „Dėl Vandenų srities plėtros 2017–2023 metų programos patvirtinimo“;
4.24. Nuotekų valymo kainos už padidėjusią ir specifinę taršą skaičiavimo tvarkos aprašu, patvirtintu Valstybinės kainų ir energetikos kontrolės komisijos 2011 m. liepos 29 d. nutarimu Nr. O3-217 „Dėl Nuotekų valymo kainos už padidėjusią ir specifinę taršą skaičiavimo tvarkos aprašo patvirtinimo“;
4.25. Geriamojo vandens tiekimo ir (arba) nuotekų tvarkymo viešosios sutarties standartinių sąlygų aprašu, patvirtintu Lietuvos Respublikos Vyriausybė 2007 m. sausio 31 d. nutarimu Nr. 126 „Dėl Geriamojo vandens tiekimo ir (arba) nuotekų tvarkymo viešosios sutarties standartinių sąlygų aprašo patvirtinimo“;
4.26. Atsiskaitymo už patiektą geriamąjį vandenį ir suteiktas nuotekų tvarkymo paslaugas aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2007 m. sausio 31 d. nutarimu Nr. 127 „Dėl Atsiskaitymo už patiektą geriamąjį vandenį ir suteiktas nuotekų tvarkymo paslaugas aprašo patvirtinimo“;
4.27. Nuotekų tvarkymo reglamentu, patvirtintu Lietuvos Respublikos aplinkos ministro 2006 m. gegužės 17 d. įsakymu Nr. D1-236 „Dėl Nuotekų tvarkymo reglamento patvirtinimo“;
4.28. Paviršinių nuotekų tvarkymo reglamentu, patvirtintu Lietuvos Respublikos aplinkos ministro 2007 m. balandžio 2 d. įsakymu Nr. D1-193 „Dėl Paviršinių nuotekų tvarkymo reglamento patvirtinimo“;
4.29. Nuotekų valymo įrenginių taikymo reglamentu, patvirtintu Lietuvos Respublikos aplinkos ministro 2006 m. rugsėjo 11 d. įsakymu Nr. D1-412 „Dėl Nuotekų valymo įrenginių taikymo reglamento patvirtinimo“;
4.30. Nuotekų kaupimo rezervuarų ir septikų įrengimo, eksploatavimo ir kontrolės tvarkos aprašu, patvirtintu Lietuvos Respublikos aplinkos ministro 2015 m. sausio 9 d. įsakymu Nr. D1-18 „Dėl Nuotekų kaupimo rezervuarų ir septikų įrengimo, eksploatavimo ir kontrolės tvarkos aprašo patvirtinimo“;
4.31. Geriamojo vandens tiekimo ir nuotekų tvarkymo infrastruktūros plėtros planų rengimo taisyklėmis, patvirtintomis Lietuvos Respublikos aplinkos ministro 2006 m. gruodžio 29 d. įsakymu Nr. D1-636 „Dėl Geriamojo vandens tiekimo ir nuotekų tvarkymo infrastruktūros plėtros planų rengimo taisyklių patvirtinimo“;
4.32. Geriamojo vandens tiekimo ir nuotekų tvarkymo paslaugų kokybės reikalavimais, patvirtintais Lietuvos Respublikos aplinkos ministro 2006 m. gruodžio 29 d. įsakymu Nr. D1-639 „Dėl Geriamojo vandens tiekimo ir nuotekų tvarkymo paslaugų kokybės reikalavimų patvirtinimo“;
4.33. Naujų abonentų ir vartotojų prijungimo prie geriamojo vandens tiekimo ir nuotekų tvarkymo infrastruktūros reikalavimais, patvirtintais Lietuvos Respublikos aplinkos ministro 2015 m. birželio 23 d. įsakymu Nr. D1-500 „Dėl Naujų abonentų ir vartotojų prijungimo prie geriamojo vandens tiekimo ir nuotekų tvarkymo infrastruktūros reikalavimų patvirtinimo“;
4.34. Nuotekų filtravimo sistemų įrengimo aplinkosaugos taisyklėmis, patvirtintomis Lietuvos Respublikos aplinkos ministro 2001 m. gegužės 9 d. įsakymu Nr. 252 „Dėl Nuotekų filtravimo sistemų įrengimo aplinkosaugos taisyklių patvirtinimo“;
4.35. Informacijos apie geriamojo vandens tiekimą ir nuotekų tvarkymą teikimo abonentams tvarkos aprašu, patvirtintu Lietuvos Respublikos aplinkos ministro 2006 m. gruodžio 15 d. įsakymu Nr. D1-594 „Dėl Informacijos apie geriamojo vandens tiekimą ir nuotekų tvarkymą teikimo abonentams tvarkos aprašo patvirtinimo“;
4.36. Geriamojo vandens tiekimo ir nuotekų tvarkymo infrastruktūros naudojimo ir priežiūros taisyklėmis, patvirtintomis Lietuvos Respublikos aplinkos ministro 2006 m. gruodžio 29 d. įsakymu Nr. D1-629 „Dėl Geriamojo vandens tiekimo ir nuotekų tvarkymo infrastruktūros naudojimo ir priežiūros taisyklių patvirtinimo“;
4.37. statybos techniniu reglamentu STR 1.07.03:2017 „Statinių techninės ir naudojimo priežiūros tvarka. Naujų nekilnojamojo turto kadastro objektų formavimo tvarka“, patvirtintu Lietuvos Respublikos aplinkos ministro 2016 m. gruodžio 30 d. įsakymas Nr. D1-971 „Dėl statybos techninio reglamento STR 1.07.03:2017 „Statinių techninės ir naudojimo priežiūros tvarka. Naujų nekilnojamojo turto kadastro objektų formavimo tvarka“ patvirtinimo“;
4.38. statybos techniniu reglamentu STR 2.07.01:2003 „Vandentiekis ir nuotekų šalintuvas. Pastato inžinerinės sistemos. Lauko inžineriniai tinklai“, patvirtintu Lietuvos Respublikos aplinkos ministro 2003 m. liepos 21 d. įsakymu Nr. Dl-390 „Dėl statybos techninio reglamento STR 2.07.01:2003 „Vandentiekis ir nuotekų šalintuvas. Pastato inžinerinės sistemos. Lauko inžineriniai tinklai“ patvirtinimo“;
4.39. statybos techniniu reglamentu STR 2.20.01:2004 „Gyvenamieji pastatai“, patvirtintu Lietuvos Respublikos aplinkos ministro 2003 m. gruodžio 24 d. įsakymu Nr. 705 „Dėl statybos techninio reglamento STR 2.20.01:2004 „Gyvenamieji pastatai“ patvirtinimo“;
4.40. statybos techniniu reglamentu STR 2.02.05:2004 „Nuotekų valyklos. Pagrindinės nuostatos“, patvirtintu Lietuvos Respublikos aplinkos ministro 2004 m. liepos 8 d. įsakymu Nr. Dl‑376 „Dėl statybos techninio reglamento STR 2.02.05:2004 „Nuotekų valyklos. Pagrindinės nuostatos“ patvirtinimo“;
4.41. statybos techniniu reglamentu STR 2.02.09:2005 „Vienbučiai ir dvibučiai gyvenamieji pastatai“, patvirtintu Lietuvos Respublikos aplinkos ministro 2005 m. liepos 1 d. įsakymu Nr. Dl-338 „Dėl statybos techninio reglamento STR 2.02.09:2005 „Vienbučiai ir dvibučiai gyvenamieji pastatai“ patvirtinimo“;
4.42. Atliekų tvarkymo taisyklėmis, patvirtintomis 1999 m. liepos 14 d. Lietuvos Respublikos aplinkos ministro įsakymu Nr. 217 „Dėl Atliekų tvarkymo taisyklių patvirtinimo“;
4.43. Nuotekų dumblo tvarkymo ir panaudojimo reikalavimais, patvirtintais Lietuvos Respublikos aplinkos ministro 2001 m. birželio 29 d. įsakymu Nr. 349 „Dėl Nuotekų dumblo tvarkymo ir panaudojimo reikalavimų patvirtinimo“;
4.44. Atliekų susidarymo ir tvarkymo apskaitos ir ataskaitų teikimo taisyklėmis, patvirtintomis Lietuvos Respublikos aplinkos ministro 2011 m. gegužės 3 d. įsakymu Nr. D1-367 „Dėl Atliekų susidarymo ir tvarkymo apskaitos ir ataskaitų teikimo taisyklių patvirtinimo“;
4.45. Ūkio subjektų veiklos planinių ir neplaninių patikrinimų, vykdant aplinkos apsaugos valstybinę kontrolę, taisyklėmis, patvirtintomis Aplinkos apsaugos departamento prie Aplinkos ministerijos direktorius 2020 m. gruodžio 14 d. įsakymu Nr. AD1-378 „Dėl Ūkio subjektų veiklos planinių ir neplaninių patikrinimų, vykdant aplinkos apsaugos valstybinę kontrolę, taisyklių patvirtinimo“;
5. NTIS tikslas – naudojantis informacinėmis technologijomis ir geografinėmis informacinėmis sistemomis (toliau – GIS) užtikrinti individualių nuotekų tvarkymo sistemų (toliau – INTS) apskaitą ir kontrolę, optimizuoti Europos Komisijai reikalingų duomenų apie individualiai tvarkomas nuotekas surinkimą.
6. NTIS uždaviniai:
6.1. užtikrinti interaktyvų, GIS grįstos informacijos apie INTS tvarkymą sudarant sąlygas fiziniams ir juridiniams asmenims, valstybės įmonėms, savivaldybėms ir viešiesiems geriamojo vandens tiekėjams ir nuotekų tvarkytojams įvesti ir tvarkyti duomenis apie INTS tipus, būklę ir būseną, kitus duomenis, padedančius vykdyti INTS stebėseną ir kontrolę informacinių technologijų priemonėmis;
6.2. automatizuoti Geriamojo vandens tiekimo ir nuotekų tvarkymo įstatyme nustatytų INTS apskaitos ir kontrolės funkcijų vykdymą;
7. Pagrindinės NTIS funkcijos:
7.1. kaupti, apdoroti, sisteminti, saugoti INTS duomenis, įskaitant atributinius ir geografinius (įskaitant duomenų įvedimo mobiliais įrenginiais funkciją);
7.2. fiksuoti, tvarkyti, saugoti INTS eksploatacijos ir priežiūros rezultatus – duomenis apie išvežamas nuotekas, važtaraščių, technines apžiūras;
7.3. fiksuoti, tvarkyti, saugoti iš INTS paimtų išvalytų nuotekų ir dumblo atliktų tyrimų rezultatus, INTS aptarnavimo ir atliktų INTS patikrinimų duomenis;
7.5. kaupti INTS savininkų ir nuotekų vežėjų ir (ar) INTS savininkų ir viešųjų geriamojo vandens ir nuotekų tvarkytojų sutarčių duomenis;
8. Asmens duomenų tvarkymo NTIS tikslai:
8.4. identifikuoti asmenis, užsakiusius ir suteikusius INTS priežiūros techninių darbų, nuotekų ir (ar) dumblo išvežimo ir laboratorinių tyrimų paslaugas;
9. Nuostatuose vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Reglamente (ES)2016/679, Valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas).
II SKYRIUS
NTIS ORGANIZACINĖ STRUKTŪRA
10. Organizacinę NTIS struktūrą sudaro:
10.4. NTIS duomenų teikėjai – pagrindinio NTIS tvarkytojo ir (arba) kitų NTIS tvarkytojų pasitelktos įstaigos duomenims į NTIS teikti;
10.5. Aplinkos ministerijos pavaldžių institucijų (išskyrus Aplinkos apsaugos departamento prie Aplinkos ministerijos (toliau – AAD) darbuotojai, paskirti vykdyti NTIS tvarkytojo funkcijas) arba kitų institucijų ir įstaigų, su kuriomis sudaromos duomenų teikimo sutartys, darbuotojai, kurių atliekamos funkcijos susijusios su nuotekų tvarkymo stebėsena ir (arba) kontrole ir kurie jungiasi prie NTIS jiems sukurtose darbo vietose naudodamiesi NTIS programine įranga ir kompiuterių tinklu, užtikrinančiu saugų informacijos perdavimą, ir teikia informaciją apie INTS (toliau – Registruoti NTIS naudotojai);
Papunkčio pakeitimai:
Nr. D1-139, 2024-04-29, paskelbta TAR 2024-04-30, i. k. 2024-07957
11. Registruotų NTIS naudotojų teisės ir pareigos:
11.1. turi teisę teikti duomenis į NTIS, pagal pateiktus duomenis stebėti INTS naudojimo, tvarkymo ir kontrolės procesus, vykdyti INTS naudojimo priežiūrą, planuoti INTS veikimo vertinimą ir tikrinimą;
12. Viešų NTIS naudotojų teisės ir pareigos:
12.1. turi teisę teikti į NTIS duomenis apie sau priklausančius arba valdomus INTS, stebėti kitų institucijų teikiamą informaciją apie sau priklausančius INTS;
14. Pagrindinis NTIS tvarkytojas ir asmens duomenų tvarkytojas yra AAD.
Punkto pakeitimai:
Nr. D1-139, 2024-04-29, paskelbta TAR 2024-04-30, i. k. 2024-07957
15. Kiti NTIS tvarkytojai yra savivaldybių administracijos, viešieji geriamojo vandens tiekėjai ir nuotekų tvarkytojai, tyrimų laboratorijos, turinčios Aplinkos apsaugos agentūros išduotus leidimus tirti nuotekų kokybę, ir (arba) Europos Sąjungoje notifikuotos laboratorijos (toliau – laboratorijos), nuotekų vežėjai, kurie prisijungia prie NTIS ir ja naudojasi.
16. NTIS valdytojas:
16.1. atlieka Reglamente (ES)2016/679 nustatytas duomenų valdytojo prievoles, Valstybės informacinių išteklių valdymo įstatymo nustatytas funkcijas, turi šiame įstatyme nurodytas teises ir pareigas;
16.3. priima sprendimus, susijusius su NTIS kūrimu, plėtra, likvidavimu, modernizavimu, priežiūra, administravimu, ir kontroliuoja, kaip jie vykdomi;
16.6. nagrinėja pasiūlymus, kaip tobulinti NTIS, tvirtina NTIS kūrimo, plėtros planus ir projektus, NTIS tvarkymo ir administravimo veiklos planus ir ataskaitas, kontroliuoja, kaip jie vykdomi;
16.7. analizuoja teisines, technines, technologines, metodines ir organizacines NTIS tvarkymo problemas ir pagal kompetenciją priima sprendimus, kurių reikia NTIS veiklai užtikrinti;
16.8. prireikus sudaro sutartis su NTIS duomenų teikėjais ir duomenų gavėjais arba įgalioja sudaryti šias sutartis pagrindinį NTIS tvarkytoją;
17. Pagrindinis NTIS tvarkytojas ir kiti NTIS tvarkytojai atlieka Valstybės informacinių išteklių valdymo įstatymo nustatytas bendrąsias tvarkytojų funkcijas, turi šiame įstatyme nustatytas teises ir pareigas.
18. Pagrindinis NTIS tvarkytojas taip pat atlieka šias funkcijas:
18.2. imasi veiksmų pagal duomenų subjekto prašymą pasinaudoti Reglamento (ES) 2016/679 III skyriuje nustatytomis duomenų subjekto teisėmis;
18.3. vykdo NTIS priežiūrą, palaiko ją ir užtikrina jos prieinamumą, užtikrina NTIS būtinos techninės ir programinės įrangos priežiūrą, įdiegimą, NTIS nepertraukiamą funkcionavimą ir atnaujinimą;
18.6. inventorizuoja NTIS duomenis, sudaro NTIS duomenų rinkinius ir juos skelbia, kaip tai nustatyta Teisės gauti informaciją ir duomenų pakartotinio naudojimo įstatyme, užtikrina, kad sudaryti NTIS duomenų rinkiniai būtų pateikti skelbti Lietuvos atvirų duomenų portale naudojantis Valstybės duomenų valdysenos informacinės sistemos funkcionalumu Lietuvos statistikos departamento nustatyta tvarka;
18.7. dalyvauja rengiant su NTIS informacinių ir ryšių technologijų infrastruktūra ir duomenų sauga susijusius teisės aktų projektus;
18.8. dalyvauja rengiant NTIS tvarkymo ir administravimo veiklos planus, juos vykdo ir rengia šių planų vykdymo ataskaitas;
18.11. teikia NTIS valdytojui pasiūlymus dėl:
18.17. nuolat konsultuoja NTIS naudotojus, duomenų teikėjus ir duomenų gavėjus su NTIS veikla susijusiais klausimais;
19. Pagrindinis NTIS tvarkytojas turi teisę:
19.2. teikti NTIS valdytojui pasiūlymus dėl NTIS tvarkymą reglamentuojančių teisės aktų rengimo ar tobulinimo;
20. Kiti NTIS tvarkytojai taip pat atlieka šias funkcijas:
21. pagrindinis NTIS tvarkytojas, nurodytas Nuostatų 14 punkte (toliau – duomenų tvarkytojas), vykdo Reglamento (ES)2016/679 duomenų tvarkytojui nustatytas prievoles:
21.1. asmens duomenų valdytojo įgaliotas imasi veiksmų ir padeda NTIS valdytojui, kiek tai įmanoma, taikyti tinkamas technines ir organizacines priemones, kad būtų įvykdyta duomenų valdytojo prievolė atsakyti į prašymus pasinaudoti Reglamento (ES) 2016/679 III skyriuje nustatytomis duomenų subjekto teisėmis;
21.2. padeda NTIS valdytojui užtikrinti Reglamento (ES) 2016/679 32–36 straipsniuose nustatytų prievolių laikymąsi, atsižvelgdamas į duomenų tvarkymo pobūdį ir duomenų tvarkytojo turimą informaciją;
21.4. užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikoma atitinkama konfidencialumo prievolė;
21.5. nepasitelkia kito asmens duomenų tvarkytojo be išankstinio konkretaus arba bendro rašytinio NTIS valdytojo leidimo. Bendro rašytinio leidimo atveju asmens duomenų tvarkytojas informuoja NTIS valdytoją apie visus planuojamus pakeitimus, susijusius su kitų asmens duomenų tvarkytojų pasitelkimu ar pakeitimu, ir taip suteikia NTIS valdytojui galimybę nesutikti su tokiais pakeitimais;
21.6. kai konkrečiai duomenų tvarkymo veiklai NTIS valdytojo vardu atlikti pasitelkia kitą asmens duomenų tvarkytoją (subtvarkytoją), subtvarkytojui nustatomos tos pačios asmens duomenų apsaugos prievolės, kaip ir asmens duomenų tvarkytojui, visų pirma – prievolė užtikrinti, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos taip, kad duomenų tvarkymas atitiktų Reglamento (ES) 2016/679 reikalavimus. Kai subtvarkytojas nevykdo duomenų apsaugos prievolių, asmens duomenų tvarkytojas išlieka atsakingas NTIS valdytojui už subtvarkytojo prievolių vykdymą;
21.8. organizacinėmis, techninėmis, technologinėmis ir metodinėmis priemonėmis užtikrina saugų NTIS duomenų tvarkymą atsižvelgdamas į Reglamento (ES) 2016/679 32 straipsnio reikalavimus – techninėmis ir organizacinėmis priemonėmis užtikrina duomenų saugą, tvarkomų asmens duomenų konfidencialumą, vientisumą ir prieinamumą, apsaugą nuo netyčinio arba neteisėto sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jų ir nuo bet kokio kito neteisėto tvarkymo, taip pat saugų duomenų perdavimą elektroninių ryšių tinklais;
21.9. užbaigus teikti su duomenų tvarkymu susijusias paslaugas, grąžina NTIS valdytojui visus asmens duomenis ir ištrina esamas jų kopijas, išskyrus atvejus, kai Europos Sąjungos ar Lietuvos teisės aktai reikalauja asmens duomenis saugoti;
21.10. NTIS valdytojui pareikalavus, pateikia visą informaciją, būtiną įrodyti, kad vykdomos Reglamente (ES)2016/679 nustatytos prievolės, susijusios su asmens duomenų apsauga, sudaro sąlygas ir padeda NTIS valdytojui arba kitam NTIS valdytojo įgaliotam auditoriui atlikti auditą, įskaitant asmens duomenų saugos reikalavimų laikymosi patikrinimus.
22. NTIS duomenų teikėjai:
22.1. Žemės ūkio duomenų centras (toliau – ŽŪDC), kuris teikia Georeferencinio pagrindo kadastro (toliau – GRPK) (valdytojas – ŽŪDC) duomenis, nurodytus Nuostatų 23.10 papunktyje, per NTIS integracinę posistemę;
22.2. AAD, kuris tiesiogiai teikia duomenis į NTIS, kai tie duomenys neteikiami iš registrų, kadastrų ar kitų informacinių sistemų (tokiais atvejais duomenys perimami per NTIS integracinę posistemę) – gali įvesti informaciją apie INTS buvimo vietą, skaitmeniniame žemėlapyje nurodydami INTS vietą, priskirtą sklypui ir (arba) konkrečiam INTS savininkui ir valdytojui, jeigu toks paskirtas;
22.3. Aplinkos apsaugos agentūra, kuri teikia duomenis apie gyventojų ekvivalentą (toliau – GE), kaip jis suprantamas Geriamojo vandens tiekimo ir nuotekų tvarkymo įstatyme;
22.4. Lietuvos geologijos tarnyba prie Aplinkos ministerijos, kuri teikia Žemės gelmių registro (toliau – ŽGR) (valdytojas – Lietuvos geologijos tarnyba prie Lietuvos Respublikos aplinkos ministerijos) duomenis per NTIS integracinę posistemę;
22.5. valstybės įmonė Registrų centras, kuri teikia:
22.5.1. Juridinių asmenų registro (toliau – JAR) (valdytojas – Lietuvos Respublikos teisingumo ministerija) duomenis, nurodytus Nuostatų 23.14.1–23.14.3 ir 23.14.5 papunkčiuose;
22.5.2. Lietuvos Respublikos gyventojų registro (toliau – GR) (valdytojas – Teisingumo ministerija) duomenis, nurodytus Nuostatų 23.13.1–23.13.6 papunkčiuose;
22.5.3. Lietuvos Respublikos nekilnojamojo turto registro (toliau – NTR) ( valdytojas – Teisingumo ministerija) duomenis;
22.5.4. Lietuvos Respublikos adresų registro (toliau – AR) (valdytojas – Teisingumo ministerija) duomenis;
22.6. savivaldybių administracijos ir (arba) viešieji geriamojo vandens tiekėjai ir nuotekų tvarkytojai, kurie tiesiogiai teikia duomenis apie INTS buvimo vietą, skaitmeniniame žemėlapyje nurodydami INTS vietą (pažymi sklypo (ar teritorijos, jeigu nėra suformuoto sklypo) centro koordinates, jeigu neturima tikslesnės informacijos), priskirtą sklypui ir (arba) konkrečiam INTS savininkui (-ams) ar jo (jų) paskirtam atsakingam asmeniui (toliau – INTS valdytojas), apie INTS statybos būklę, eksploatacijos ir priežiūros stebėseną;
22.7. nuotekų vežėjai, kurie:
22.7.1. tiesiogiai teikia informaciją apie nuotekų ir (ar) nuotekų dumblo išvežimą per NTIS techninės priežiūros modulį (elektroninių važtaraščių formoje);
22.8. viešieji geriamojo vandens tiekėjai ir nuotekų tvarkytojai (toliau – vandentvarkos įmonės) kurie:
22.8.1. kai vandentvarkos įmonės teikia tokias paslaugas gyventojams, tiesiogiai teikia informaciją apie nuotekų ir (ar) nuotekų dumblo išvežimą per NTIS važtaraščių pildymo modulį;
22.8.2. tiesiogiai teikia informaciją apie sutartis, sudarytas su INTS savininkais ir (arba) valdytojais dėl nuotekų ir (ar) nuotekų dumblo išvežimo per NTIS sutarčių modulį;
22.8.3. tiesiogiai teikia informaciją apie sutartis, sudarytas su nuotekų vežėjais dėl nuotekų ir (ar) nuotekų dumblo priėmimo, per NTIS sutarčių modulį;
22.9. INTS gamintojai, tiekėjai ir įmonės, teikiančios INTS aptarnavimo paslaugas:
22.9.1. tiesiogiai teikia informaciją apie su INTS savininkais sudarytas sutartis dėl INTS priežiūros per sutarčių modulį;
22.11. Lietuvos Respublikos ekonomikos ir inovacijų ministerija, kuri teikia Valstybės informacinių išteklių sąveikumo platformos (toliau – VIISP) duomenis (gaunami prisijungimo prie NTIS metu);
22.12. registruoti NTIS naudotojai, kurie atlieka ir (arba) organizuoja individualių nuotekų tvarkymo stebėseną ir (arba) kontrolę:
22.12.1. registruotus NTIS naudotojus administruoja pagrindinio NTIS tvarkytojo paskirtas atsakingas asmuo;
III SKYRIUS
NTIS INFORMACINĖ STRUKTŪRA
23. NTIS duomenų bazėje kaupiami ir tvarkomi šie duomenys:
23.1. INTS duomenys:
23.1.2. informacija apie pastatą, kurį aptarnauja INTS:
23.1.3. INTS tipas, techniniai duomenys ir informacija apie priimtuvus (duomenys įvedami INTS savininkų, savivaldybių administracijų ir (arba) viešųjų geriamojo vandens tiekėjų ir nuotekų tvarkytojų, AAD pareigūnų, INTS aptarnaujančių įmonių ar kitų registruotų vartotojų);
23.2. informacija apie prašymus suteikti paslaugas (suvedama INTS savininkų arba INTS priežiūros paslaugas teikiančių įmonių):
23.3. paslaugų teikimo sutarčių duomenys (suvedami nuotekų vežėjų ir (arba) INTS priežiūros paslaugas teikiančių įmonių):
23.4. techninių darbų užsakymas (suvedama INTS savininko arba valdytojo):
23.5. įrašas apie atliktus techninius darbus (suvedama INTS priežiūros paslaugas teikiančių įmonių):
23.5.6. paslaugų teikėjas (įmonė iš NTIS esančių įmonių sąrašo arba fizinis asmuo, kaip nustatyta Nuostatų 23.13 papunktyje);
23.6. nuotekų ir (ar) dumblo išvežimo užsakymas (suvedama INTS savininko arba valdytojo):
23.6.1. duomenys apie INTS, iš kurios užsakomas nuotekų ir (ar) dumblo išvežimas, nurodyti Nuostatų 23.1 papunktyje;
23.7. nuotekų ir (ar) dumblo išvežimo įrašas (suvedama INTS priežiūros paslaugas teikiančių įmonių arba nuotekų vežėjų):
23.7.1. informacija apie INTS, iš kurio užsakyta nuotekų ir (ar) dumblo išvežimo paslauga (INTS identifikacinis Nr., savininkas ar valdytojas (kaip nustatyta Nuostatų 23.13 arba 23.14 papunktyje), INTS tipas, kt.);
23.7.6. nuotekų vežėjas (duomenys apie juridinį asmenį, nurodyti Nuostatų 23.14 papunktyje, duomenys apie transporto priemonę (markė, valstybinis transporto priemonės numeris));
23.8. nuotekų ir (ar) dumblo pristatymo išvalyti įrašas (suvedama nuotekas priimančios vandentvarkos įmonės):
23.8.1. duomenys apie INTS, iš kurios paimtos nuotekos ir (ar) dumblas, nurodyti Nuostatų 23.1 papunktyje;
23.8.6. transporto priemonė (suvedama paslaugų teikėjų per institucijų ir paslaugų teikėjų administravimo modulį);
23.8.7. nuotekų vežėjas (įmonė iš NTIS esančių įmonių sąrašo arba fizinis asmuo, kaip nustatyta Nuostatų 23.14 papunktyje);
23.8.8. vandentvarkos įmonė (įmonė iš NTIS esančių įmonių sąrašo arba fizinis asmuo, kaip nustatyta Nuostatų 23.14 papunktyje);
23.9. į aplinką išleidžiamų nuotekų užterštumo tyrimų duomenys (laboratorijų):
23.9.1. INTS, kurios laboratorinius tyrimus užsakyta atlikti, duomenys, nurodyti Nuostatų 23.1 papunktyje;
23.10. paieškai ir (ar) peržiūrai žemėlapiuose naudojami duomenys (gaunama iš GRPK):
23.11. gręžinių duomenys (gaunama iš ŽGR):
23.11.2. gręžinio koordinatės valstybinėje 1994 metų Lietuvos koordinačių sistemoje (toliau – LKS-94);
23.11.6. gręžinį įrengusio fizinio arba juridinio asmens duomenys (juridinio asmens duomenys, kaip nurodyta Nuostatų 23.13 ir 23.14 papunkčiuose);
23.12. aglomeracijų duomenys (gaunama iš savivaldybių, įvedama Aplinkos apsaugos agentūros):
23.13. fizinių asmenų duomenys:
23.14. juridinių asmenų duomenys:
23.14.3. juridinio asmens buveinė (adresas) (gaunama iš JAR, kai tokių duomenų nėra JAR arba NTIS, suvedama NTIS naudotojo);
23.14.4. juridinio asmens vadovo vardas ir pavardė, asmens kodas (gaunama iš JAR, kai tokių duomenų nėra JAR arba NTIS, suvedama NTIS naudotojo). Kai juridinio asmens vadovas yra užsienio fizinis asmuo, teikiamas ir valstybės, kuri išdavė asmens dokumentus, pavadinimas;
23.15. institucijų (NTIS duomenų tvarkytojų) darbuotojų, atliekančių priežiūros funkcijas, duomenys (suvedama NTIS duomenų tvarkytojų įgaliotų asmenų):
23.16. adresų objektų, susijusių su INTS, duomenys (gaunama iš AR):
23.16.1. bendrieji adresų objektų duomenys:
23.16.2. specialieji AR objektų duomenys:
23.16.2.1. apskritį apibūdinantys duomenys:
23.16.2.2. savivaldybę apibūdinantys duomenys:
23.16.2.3. seniūniją apibūdinantys duomenys:
23.16.2.4. gyvenamąją vietovę apibūdinantys duomenys:
23.16.2.4.4. savivaldybės, kurios teritorijoje yra gyvenamoji vietovė, pavadinimas ir identifikavimo kodas;
23.16.2.5. gatvę apibūdinantys duomenys:
23.16.2.6. duomenys, apibūdinantys adresą:
23.16.2.6.8. nustatyta tvarka universaliųjų pašto paslaugų teikėjo adresui priskirti:
23.16.2.6.9. suteiktą gyvenamajai ar negyvenamajai patalpai, suformuotai kaip atskiras nekilnojamasis daiktas:
23.17. paslaugų teikėjų duomenys (suvedama paslaugų teikėjų):
23.18. NTIS naudotojų asmens duomenys (suvedama NTIS naudotojų):
IV SKYRIUS
NTIS FUNKCINĖ STRUKTŪRA
24. NTIS sudedamosios dalys:
24.1. INTS duomenų posistemė:
24.1.1. statinių duomenų modulis kuriame tvarkomi pastatų, INTS ir jų savininkų duomenys. Šis modulis apima pastatų paiešką, pastatų duomenų gavimą iš NTR, nuotekų tvarkymo informaciją (kaip tvarkomos pastato naudotojų nuotekos) ir galimybę kurti INTS savininkų bei valdytojų sąrašus pagal atitinkamus atributus, atlikti paiešką pagal pasirinktus kriterijus, vykdyti kitus veiksmus INTS savininkui ar valdytojui nustatyti;
24.1.2. aglomeracijų modulis, kuriame įvedami ir tvarkomi aglomeracijų ribų duomenys. NTIS aglomeracijų duomenys turi būti tvarkomi vadovaujantis Lietuvos erdvinės informacijos infrastruktūros erdvinių duomenų rinkinių kūrimo tvarkos aprašu, patvirtintu Lietuvos Respublikos žemės ūkio ministro 2017 m. spalio 24 d. įsakymu Nr. 3D-670 „Dėl Lietuvos erdvinės informacijos infrastruktūros erdvinių duomenų rinkinių kūrimo tvarkos aprašo patvirtinimo“, ir teikiami į Lietuvos erdvinės informacijos (toliau – LEI ) portalą;
24.3. INTS priežiūros ir eksploatacijos posistemė:
24.3.1. sutarčių sudarymo modulis nuotekų ir (ar) nuotekų dumblo išvežimo paslaugos teikimo, INTS įrenginių priežiūros paslaugos teikimo sutartims sudaryti su paslaugų teikėjais. Modulis apims sutarčių sudarymo ir pasirašymo el. būdu funkcijas;
24.3.2. sutarčių tvarkymo modulis sudarytoms nuotekų ir (ar) nuotekų dumblo išvežimo, INTS įrenginių priežiūros vykdymo, nuotekų laboratorinių tyrimų atlikimo paslaugų teikimo sutartims su nuotekų vežėjais ir (ar) INTS įrenginių priežiūros paslaugų teikėjais ar kitais paslaugų teikėjais tvarkyti. Modulis apima ir rankiniu būdu (ne sistemos priemonėmis) sudarytų sutarčių duomenų įvedimo, įkeliant skenuotą sutarties dokumentą, funkciją, nuotekų vežėjų ir (ar) tvarkytojų automatinės atrankos pagal teritoriją ir pasirinktu spinduliu funkcijas, naudotojų informavimą apie pasibaigusias ar besibaigiančias sutartis;
24.3.3. techninės priežiūros modulis, skirtas duomenims apie INTS atliekamus priežiūros darbus periodiškai teikti, kaupti ir tvarkyti . Įrašą apie INTS priežiūros vykdymo paslaugų užsakymą NTIS gali atlikti pats INTS savininkas (ar valdytojas) arba INTS įrenginių priežiūros (įskaitant nuotekų ir (ar) dumblo išvežimą) paslaugų teikėjas;
24.4. administravimo posistemė:
24.4.1. naudotojų administravimo modulis sistemos naudotojams, jų teisėms, vaidmenims ir naudotojų grupėms administruoti;
24.4.2. sistemos administravimo modulis NTIS parametrams, klasifikatoriams, informaciniams pranešimams administruoti;
24.4.3. institucijų ir paslaugų teikėjų administravimo modulis institucijų ir paslaugų teikėjų, kuriems suteikiama prieiga prie NTIS, funkcijoms administruoti;
24.5. INTS stebėsenos posistemė:
24.5.1. ataskaitų modulis ataskaitoms formuoti iš NTIS saugomų duomenų, pasirinkto formato ataskaitų dokumentams generuoti ir saugoti, suformuotų ataskaitų peržiūrai;
24.6. erdvinių duomenų posistemė:
24.6.1. žemėlapių aplikacijų kūrimo modulis erdviniams duomenims saugoti, tvarkyti, teikti, interneto technologijomis grįstiems žemėlapiams, web aplikacijoms kurti;
24.7. integracinis komponentas, kurio paskirtis – įgyvendinti duomenų apsikeitimo (gavimo ir teikimo, kreipimosi į išorines informacines sistemas ir registrus ir duomenų priėmimo ar perdavimo) su šiomis informacinėmis sistemomis funkcijas:
24.7.3. E. pristatymo sistema – teikiami el. siuntų INTS savininkams ir valdytojams duomenys. El. siuntose yra įspėjimų dėl potencialių pažeidimų duomenys;
24.7.5. JAR – gaunami juridinių asmenų, kurie yra INTS savininkai ir (ar) valdytojai, INTS priežiūros paslaugų teikėjai, kitų NTIS dalyvių duomenys, nurodyti Nuostatų 23.14 papunktyje;
24.7.7. GR – gaunami fizinių asmenų, kurie yra INTS savininkai ir (ar) valdytojai, duomenys, nurodyti Nuostatų 23.13 papunktyje;
V SKYRIUS
NTIS DUOMENŲ TEIKIMAS IR NAUDOJIMAS
25. NTIS duomenys, išskyrus asmens duomenis, yra vieši ir teikiami institucijoms, kitiems juridiniams ir fiziniams asmenims (toliau – duomenų gavėjai), jeigu Lietuvos Respublikos įstatymai ir (ar) Europos Sąjungos (toliau – ES) teisės aktai nenustato kitaip. Asmens duomenys tvarkomi ir teikiami vadovaujantis Asmens duomenų teisinės apsaugos įstatymo reikalavimais ir Reglamentu (ES) 2016/679.
26. NTIS duomenys (tarp jų – ir asmens duomenys) gali būti teikiami raštu, žodžiu ir (arba) elektroninių ryšių priemonėmis, taip pat automatizuotomis priemonėmis, per integracinius informacinių sistemų modulius.
27. NTIS duomenų (įskaitant asmens duomenis, jeigu paklausime dėl duomenų teikimo nurodoma, kad reikalingi konkretūs asmens duomenys) duomenų gavėjams teikimo būdai:
27.1. vienkartinis duomenų teikimas:
27.1.1. duomenys teikiami pagal duomenų gavėjo prašymą, kuriame nurodomas šių duomenų gavimo ir teikimo teisinis pagrindas, jų naudojimo tikslas, apimtis, teikimo būdas ir teikiamų duomenų formatas;
27.2. daugkartinis duomenų teikimas – šiuo atveju NTIS duomenys ir informacija teikiami pagal duomenų teikimo sutartį, kurioje nurodoma:
28. NTIS duomenys (išskyrus asmens duomenis) skelbiami interneto svetainėje teisės aktų nustatyta tvarka. Nuoroda į NTIS skelbiama oficialioje Aplinkos ministerijos svetainėje.
29. NTIS duomenys duomenų gavėjams gali būti teikiami peržiūrėti leidžiamosios kreipties būdu internetu arba elektroninių ryšių tinklais, perduodami automatiniu būdu elektroninių ryšių tinklais, teikiami raštu arba žodžiu ir (ar) elektroninių ryšių priemonėmis.
30. Duomenys (išskyrus asmens duomenis) duomenų gavėjams teikiami tokie ir tokiu formatu, kurie naudojami NTIS ir nereikalauja papildomo duomenų apdorojimo. Valstybės informacinių išteklių valdymo įstatymo 35 straipsnio 3 dalyje nurodytais atvejais Lietuvos Respublikos Vyriausybės nustatyta tvarka NTIS duomenys gali būti teikiami duomenų gavėjo prašomo formato ir turinio.
31. Duomenų gavėjai iš NTIS gautų duomenų negali keisti, privalo naudoti tik tuos ir tik tokiu tikslu, kurie nurodyti duomenų sutartyje ar prašyme.
32. NTIS asmens duomenys ES valstybių narių ar Europos ekonominei erdvei (EEE) priklausančių valstybių, trečiųjų šalių fiziniams ir juridiniams asmenims, juridinio asmens statuso neturintiems subjektams, jų filialams ir atstovybėms teikiami vadovaujantis Reglamentu (ES) 2016/679 ir Valstybės informacinių išteklių valdymo įstatymu.
34. NTIS duomenų teikimas apribojamas Valstybės informacinių išteklių valdymo įstatymo nustatytais pagrindais.
35. Kai atsisakoma teikti NTIS duomenis, asmeniui, pateikusiam prašymą juos gauti, raštu arba elektroninių ryšių priemonėmis pranešama apie priimtą sprendimą ir atsisakymo tenkinti jo prašymą motyvus, suteikiama informacija apie tokio sprendimo apskundimo tvarką. Atsisakymas teikti duomenis gali būti grindžiamas tik Lietuvos Respublikos įstatymais ir (arba) Europos Sąjungos teisės aktais ir jeigu tai kenkia duomenų subjekto ar kito asmens teisių ir laisvių apsaugai. Atsisakymas teikti duomenis gali būti skundžiamas Lietuvos Respublikos administracinių bylų teisenos įstatymo nustatyta tvarka.
36. Duomenų gavėjas, NTIS naudotojas, registro ar kitos valstybės informacinės sistemos tvarkytojas, kiti asmenys turi teisę reikalauti ištaisyti neteisingus, netikslius, neišsamius NTIS duomenis (toliau – netikslūs duomenys). Atitinkamas NTIS tvarkytojas turi būti informuojamas apie pastebėtus netikslumus pateikiant rašytinį prašymą ištaisyti netikslius duomenis. Toks prašymas gali būti pateiktas asmeniškai, paštu ar elektroninių ryšių priemonėmis.
37. NTIS duomenų tikslinimas:
37.1. Atitinkamas NTIS tvarkytojas, gavęs duomenų subjekto rašytinį prašymą ištaisyti netikslius duomenis, ne vėliau kaip per 5 darbo dienas patikrina duomenis NTIS.
37.2. Jeigu prašymas pagrįstas, NTIS tvarkytojas ištaiso netikslius duomenis arba, jeigu nusprendžia, kad duomenų tikslinti nėra pagrindo, arba duomenų tikslinimas viršija NTIS tvarkytojo kompetencijos ribas, kreipiasi į duomenų teikėją, pateikusį tikslintinus duomenis, dėl pateiktų duomenų tikslinimo arba motyvuotai atsako, jeigu duomenų tikslinti nėra pagrindo, arba, jeigu duomenų tikslinimas viršija NTIS tvarkytojo kompetencijos ribas, nurodo pirminį tokių duomenų šaltinį ir jų valdytoją.
37.3. Pranešimas apie netikslių duomenų ištaisymą arba motyvuotą atsisakymą tai padaryti ne vėliau kaip per vieną mėnesį nuo patikslinimo arba sprendimo jų netikslinti siunčiamas asmeniui, pateikusiam rašytinį prašymą ištaisyti netikslius duomenis, paštu ir (ar) elektroninių ryšių priemonėmis. Mėnesio laikotarpis prireikus gali būti pratęstas dar dviem mėnesiams, atsižvelgiant į prašymų sudėtingumą ir skaičių. NTIS valdytojas per vieną mėnesį nuo prašymo gavimo informuoja duomenų subjektą apie tokį pratęsimą ir nurodo vėlavimo priežastis.
37.4. Ištaisęs netikslius duomenis, atitinkamas NTIS tvarkytojas per vieną darbo dieną nuo jų ištaisymo apie tai praneša NTIS duomenų gavėjams, kuriems perduoti netikslūs duomenys.
38. Jeigu fizinio arba juridinio asmens pateikti duomenys apie INTS nesutampa su duomenimis, gautais iš registrų ir kitų valstybės informacinių sistemų, arba tokių duomenų minėtuose šaltiniuose nėra, duomenys papildomai gali būti tikrinami kitomis priemonėmis (siunčiami oficialūs paklausimai ir pan.).
VI SKYRIUS
NTIS DUOMENŲ SAUGA
39. NTIS duomenų saugą nustato NTIS valdytojo patvirtinti NTIS duomenų saugos nuostatai ir NTIS saugos politikos įgyvendinamieji dokumentai, kurie rengiami, derinami ir tvirtinami Lietuvos Respublikos Vyriausybės nustatyta tvarka.
40. NTIS duomenų saugos administracinės, organizacinės, techninės, programinės ir kitos priemonės nustatomos ir duomenų sauga užtikrinama vadovaujantis:
40.4. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, Saugos dokumentų turinio gairių aprašu ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;
40.5. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;
40.6. Elektroninio keitimosi duomenimis su Europos Sąjungos ir valstybių narių administracijomis taisyklėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2004 m. vasario 24 d. įsakymu Nr. 1V-50 „Dėl Elektroninio keitimosi duomenimis su Europos Sąjungos ir valstybių narių administracijomis taisyklių patvirtinimo“;
40.7. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;
40.8. Lietuvos standartais LST ISO/IEC 27001 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“, LST ISO/IEC 27002 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“;
41. Už NTIS duomenų ir elektroninės informacijos saugą (konfidencialumą, vientisumą ir prieinamumą) pagal kompetenciją atsako NTIS valdytojas ir tvarkytojas.
42. Asmens duomenų valdytojo, asmens duomenų tvarkytojo ir jų pasitelktų kitų subjektų (kaip jie suprantami Reglamento (ES) 2016/679 kontekste) darbuotojai, kurie tvarko asmens duomenis, privalo saugoti asmens duomenų paslaptį, jeigu šie asmens duomenys neskirti skelbti viešai. Ši pareiga galioja ir jiems pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas, pasibaigus jų darbo, sutartiniams ar kitiems santykiams.
44. NTIS duomenys kaupiami ir saugomi NTIS duomenų saugykloje ir NTIS duomenų archyve. NTIS duomenys (įskaitant NTIS tvarkomus asmens duomenis) duomenų saugykloje saugomi, kol funkcionuoja INTS, ir nuo INTS funkcionavimo pabaigos, kai duomenys NTIS nenaudojami, 5 metus. Duomenys apie asmens duomenų tvarkytojų darbuotojus, atliekančius priežiūros funkcijas, nurodyti Nuostatų 23.15 papunktyje, saugomi metus nuo paskutinio jų prisijungimo prie NTIS. Pasibaigus šiam laikotarpiui, NTIS duomenų bazės duomenys perkeliami į NTIS duomenų archyvą ir saugomi 5 metus. Pasibaigus duomenų saugojimo archyve terminui, jie sunaikinami vadovaujantis NTIS valdytojo nustatyta duomenų naikinimo tvarka.
45. Asmens duomenų tvarkytojas, nustatęs asmens duomenų saugumo pažeidimą, nedelsdamas (ne vėliau kaip per 24 val.) informuoja asmens duomenų valdytoją apie įvykusius asmens duomenų saugumo pažeidimus – raštu ir (ar) el. paštu pateikia pranešimą pagal Reglamento (ES) 2016/679 33 straipsnio 3 dalies reikalavimus. Asmens duomenų saugumo pažeidimai nagrinėjami vadovaujantis pranešimų apie asmens duomenų saugumo pažeidimus teikimo ir nagrinėjimo tvarkos aprašu, kurį tvirtina NTIS valdytojas.
VII SKYRIUS
NTIS FINANSAVIMAS
VIII SKYRIUS
NTIS MODERNIZAVIMAS IR LIKVIDAVIMAS
47. NTIS likviduojama ar modernizuojama Valstybės informacinių išteklių valdymo įstatymo ir Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo nustatyta tvarka.
IX SKYRIUS
BAIGIAMOSIOS NUOSTATOS
PATVIRTINTA
Lietuvos Respublikos aplinkos ministro
2023 m. birželio 9 d. įsakymu Nr. D1-188
NUOTEKŲ TVARKYMO INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Nuotekų tvarkymo informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Nuotekų tvarkymo informacinės sistemos (toliau – NTIS) elektroninės informacijos saugos politiką ir kibernetinio saugumo politiką (toliau – saugos politika), nustato organizacinius ir techninius reikalavimus, reikalavimus personalui ir supažindinimo su saugos dokumentais principus.
2. Saugos nuostatų tikslai:
2.1. nustatyti tinkamo tarnybinių stočių, kompiuterių tinklo, kompiuterizuotų darbo vietų (toliau – KDV) techninės ir programinės įrangos veikimo ir saugaus šios įrangos naudojimo reikalavimus, saugiai automatizuotomis priemonėmis tvarkyti NTIS elektroninę informaciją, užtikrinti elektroninės informacijos konfidencialumą, prieinamumą ir vientisumą;
3. NTIS elektroninės informacijos saugos užtikrinimo prioritetinės kryptys:
3.1. organizacinių, techninių, programinių, teisinių ir kitų priemonių NTIS duomenų saugai užtikrinti įgyvendinimas ir kontrolė;
4. NTIS valdytoja, NTIS asmens duomenų valdytoja yra Lietuvos Respublikos aplinkos ministerija (A. Jakšto g. 4, LT-01105 Vilnius);
5. Pagrindinis NTIS tvarkytojas ir asmens duomenų tvarkytojas yra Aplinkos apsaugos departamentas prie Aplinkos ministerijos (Smolensko g. 15, LT-03201 Vilnius);
6. Saugos nuostatai taikomi tvarkant NTIS. Saugos nuostatai privalomi NTIS valdytojui ir visiems NTIS tvarkytojams, NTIS saugos įgaliotiniui, NTIS administratoriui, NTIS naudotojams, kitiems asmenims, teikiantiems informaciją NTIS ir NTIS priežiūros paslaugas.
7. Kiti NTIS tvarkytojai yra savivaldybių administracijos, viešieji geriamojo vandens tiekėjai ir nuotekų tvarkytojai, tyrimų laboratorijos, turinčios Aplinkos apsaugos agentūros išduotus leidimus tirti nuotekų kokybę, ir (arba) Europos Sąjungoje notifikuotos laboratorijos (toliau – laboratorijos), nuotekų vežėjai, kurie prisijungia prie NTIS ir ja naudojasi.
8. NTIS elektroninės informacijos saugos politika įgyvendinama pagal NTIS valdytojo tvirtinamus NTIS saugos politikos įgyvendinamuosius dokumentus (toliau – saugos politikos įgyvendinamieji dokumentai):
9. NTIS valdytojo funkcijos yra šios:
9.1. atlikti 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) Nr. 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) su visais pakeitimais (toliau – Reglamentas (ES)2016/679) nurodytas duomenų valdytojo prievoles, taip pat Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo nustatytas funkcijas;
9.3. priimti sprendimus, susijusius su NTIS kūrimu, plėtra, likvidavimu, modernizavimu, priežiūra, administravimu, ir kontroliuoti, kaip jie vykdomi;
9.6. skirti saugos įgaliotinį, kibernetinio saugumo vadovą ir NTIS administratorių (-ius) arba pavesti šiuos asmenis paskirti atitinkamiems NTIS tvarkytojams;
9.7. nagrinėti pasiūlymus dėl NTIS tobulinimo, tvirtinti NTIS kūrimo, plėtros planus ir projektus, NTIS tvarkymo ir administravimo veiklos planus ir ataskaitas, kontroliuoti patvirtintų dokumentų įgyvendinimą;
9.8. analizuoti teisines, technines, technologines, metodines ir organizacines NTIS tvarkymo problemas ir pagal kompetenciją priimti sprendimus NTIS veiklai užtikrinti;
9.9. prireikus sudaryti sutartis su NTIS duomenų teikėjais ir duomenų gavėjais arba įgalioti sudaryti šias sutartis pagrindinį NTIS tvarkytoją;
10. Pagrindinio NTIS tvarkytojo funkcijos yra šios:
10.2. užtikrinti NTIS elektroninės informacijos saugą ir saugų elektroninės informacijos perdavimą elektroninių ryšių tinklais (automatiniu būdu);
10.4. užtikrinti tinkamą Aplinkos ministerijos priimtų teisės aktų ir rekomendacijų įgyvendinimą elektroninės informacijos saugos srityje;
10.6. rengti ir įgyvendinti techninių ir programinių priemonių kūrimo ir plėtros planus, investicinius projektus;
10.8. ne rečiau kaip kartą per metus organizuoti kibernetinį saugumą reglamentuojančių teisės aktų peržiūrą;
10.9. organizuoti NTIS naudotojams mokomuosius ir pažintinius kursus NTIS kaupiamos elektroninės informacijos tvarkymo klausimais;
11. Kitų NTIS tvarkytojų funkcijos yra šios:
11.2. nustatyti darbo organizavimo principus ir tvarką, kurie užtikrintų saugų NTIS elektroninės informacijos tvarkymą;
11.3. užtikrinti, kad NTIS būtų tvarkoma laikantis NTIS saugos politikos įgyvendinamuosiuose dokumentuose nustatytų reikalavimų;
12. NTIS valdytojas atsako už elektroninės informacijos saugos politikos formavimą, įgyvendinimo organizavimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą.
13. Už elektroninės informacijos saugą pagal kompetenciją atsako NTIS valdytojas ir visi NTIS tvarkytojai.
14. Visi NTIS tvarkytojai ir valstybės debesijos paslaugų teikėjai atsako už reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi saugos politikos įgyvendinamuosiuose dokumentuose nustatyta tvarka.
15. NTIS saugos įgaliotinio funkcijos yra šios:
15.1. koordinuoti elektroninės informacijos saugos ir kibernetinių incidentų (toliau – saugos incidentai), įvykusių NTIS, valdymą, tyrimą ir bendradarbiauti su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, saugos incidentus, neteisėtas veikas, susijusias su elektroninės informacijos sauga;
15.2. teikti duomenis apie elektroninės informacijos saugos reikalavimų įgyvendinimą, kaip tai nustatyta Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatuose, patvirtintuose Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“;
15.3. teikti NTIS valdytojui pasiūlymus dėl:
15.3.2. NTIS informacinių technologijų saugos atitikties Informacinių technologijų saugos atitikties vertinimo metodikoje, patvirtintoje Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“ (toliau – Saugos atitikties vertinimo metodika), nustatyta tvarka;
15.4. informuoti NTIS valdytoją ir kompetentingas institucijas apie neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeisiančią NTIS saugą;
15.6. teikti NTIS naudotojams ir NTIS administratoriui privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu;
15.7. supažindinti NTIS naudotojus su NTIS saugos dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, užtikrinant jos saugumą ir atsakomybę už šiuose dokumentuose nustatytų reikalavimų nesilaikymą;
15.9. organizuoti NTIS naudotojų ir NTIS administratoriaus mokymą elektroninės informacijos saugos klausimais, informuoti juos apie elektroninės informacijos saugos problemas;
17. NTIS administratoriaus funkcijos:
17.1. registruoti NTIS naudotojus NTIS testavimo ir (ar) darbo aplinkoje, suteikti jiems prisijungimo vardus ir slaptažodžius (autentifikavimo duomenis), teises ir nustatyti NTIS leidžiamus veiksmus (autorizavimo duomenis), administruoti NTIS naudotojų duomenis;
17.2. pagal kompetenciją teikti pagrindiniam NTIS tvarkytojui ir saugos įgaliotiniui pasiūlymus dėl NTIS palaikymo, priežiūros ir elektroninės informacijos saugos;
17.3. administruoti NTIS komponentus, priklausančius NTIS valdytojui ir (arba) NTIS tvarkytojui (pvz., kompiuterius, juose esančias operacines sistemas, elektroninės informacijos perdavimo tinklus, bylų serverius ir kitus komponentus), nustatyti NTIS pažeidžiamas ir (ar) pažeistas vietas ir saugumo reikalavimų atitiktį, vykdyti stebėseną;
17.4. teikti NTIS saugos įgaliotiniui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę;
17.5. ne rečiau kaip kartą per metus ir (arba) atlikus NTIS pakeitimus tikrinti (peržiūrėti) NTIS sąranką ir NTIS būsenos rodiklius;
17.9. dalyvauti atkuriant NTIS elektroninę informaciją iš elektroninės informacijos atsarginių kopijų;
17.10. perkelti NTIS elektroninę informaciją į NTIS duomenų archyvą ir tvarkyti elektroninės informacijos perkėlimo įrašų žurnalą;
17.11. naikinti NTIS elektroninę informaciją NTIS duomenų archyvuose ir tvarkyti elektroninės informacijos naikinimo įrašų žurnalą;
17.13. vykdyti saugos įgaliotinio nurodymus ir pavedimus, susijusius su NTIS saugos politikos įgyvendinimu;
17.14. reaguoti į saugos incidentus, registruoti saugos incidentus ir informuoti apie juos NTIS saugos įgaliotinį, teikti pasiūlymus dėl minėtų incidentų šalinimo, informuoti NTIS saugos įgaliotinį apie nusikalstamos veikos požymius, neveikiančias arba netinkamai veikiančias saugos užtikrinimo priemones;
17.17. vykdyti NTIS funkcionavimą užtikrinančios techninės ir programinės įrangos, infrastruktūros ir informacinių technologijų paslaugų administravimą, NTIS naudotojų ir registravimo vardų skyrimą, prieigos prie NTIS teisių nustatymą;
18. Valstybės debesijos paslaugų teikėjas atlieka šias funkcijas:
18.2. užtikrina NTIS virtualių serverių rezervinių kopijų darymą pagal su NTIS valdytoju suderintą tvarkaraštį;
18.3. vykdo NTIS komponentų (operacinių sistemų, duomenų bazių, užkardų, duomenų perdavimo tinklų) administravimą, NTIS komponentų sąrankos aprašymo dokumentacijos parengimą ir atnaujinimą, saugos priemonių NTIS pažeidžiamoms vietoms parinkimą ir jų atitiktį Saugos nuostatų ir kitų saugos dokumentų reikalavimams;
18.4. pagal kompetenciją reaguoja į elektroninės informacijos saugos incidentus ir teikia NTIS saugos įgaliotiniui informaciją apie juos;
18.6. informuoja NTIS saugos įgaliotinį apie saugos politiką įgyvendinančių dokumentų reikalavimų pažeidimus, nusikalstamos veikos požymius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones;
19. NTIS elektroninė informacija tvarkoma ir jos sauga užtikrinama vadovaujantis:
19.5. Nacionaline kibernetinio saugumo strategija, patvirtinta Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Nacionalinė kibernetinio saugumo strategija);
19.6. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Saugumo reikalavimų aprašas);
19.7. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrieji elektroninės informacijos saugos reikalavimai);
19.8. Saugos dokumentų turinio gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Saugos dokumentų turinio gairės);
19.9. Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Elektroninės informacijos klasifikavimo gairės);
19.10. Nuotekų tvarkymo informacinės sistemos nuostatais, tvirtinamais tuo pačiu Lietuvos Respublikos aplinkos ministro įsakymu, kaip ir Saugos nuostatai (toliau – NTIS nuostatai);
19.11. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;
19.12. Lietuvos standartais LST EN ISO/IEC 27001 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“, LST EN ISO/IEC 27002 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“ (toliau – Lietuvos standartai LST ISO/IEC 27001 ir LST ISO/IEC 27002);
20. Saugos nuostatuose vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos:
II SKYRIUS
Elektroninės informacijos SAUGOS VALDYMAS
21. Įvertinus elektroninės informacijos konfidencialumo, vientisumo ir (ar) prieinamumo galimo praradimo neigiamą poveikį, vadovaujantis Elektroninės informacijos klasifikavimo gairių 8.3 ir 8.6 papunkčių nuostatomis, NTIS tvarkoma elektroninė informacija priskiriama svarbios informacijos kategorijai.
22. Atsižvelgiant į elektroninės informacijos svarbos kategoriją, vadovaujantis Elektroninės informacijos klasifikavimo gairių 12.2 papunkčio nuostata, NTIS priskiriama antrajai informacinių sistemų klasifikavimo kategorijai.
23. Pagrindiniai rizikos veiksniai, galintys turėti įtakos NTIS elektroninės informacijos saugai:
23.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, ištrynimas, klaidingas teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);
23.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis NTIS elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugos pažeidimai, vagystės ir kita);
23.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.
24. NTIS rizikos vertinimas (toliau – rizikos vertinimas) atliekamas vadovaujantis šiomis nuostatomis:
24.1. Rizikos vertinimas atliekamas ne rečiau kaip kartą per metus, jeigu teisės aktai nenustato kitaip.
24.2. Neeilinis rizikos vertinimas atliekamas padarius esminius NTIS funkcinius pakeitimus arba kai įvyksta dideli Aplinkos ministerijos organizaciniai pokyčiai, arba kai atsiranda naujų informacinių technologijų saugos srities reikalavimų, arba po saugos incidento, kurio metu buvo sutrikdyta NTIS veikla, sugadinta ar prarasta NTIS tvarkoma elektroninė informacija.
24.3. Atliekant rizikos vertinimą vadovaujamasi Saugos nuostatų 19.12 papunktyje nurodytais standartais, geriausiomis praktikomis (COBIT (angl. Control Objectives for Information and Related Technologiesar) ar kitomis) ir kitais elektroninės informacijos saugą reglamentuojančiais teisės aktais.
24.4. Atliekant rizikos vertinimą taikoma detali rizikos analizės strategija, kokybiniai rizikos analizės metodai.
24.5. Atsižvelgiant į Bendrųjų elektroninės informacijos saugos reikalavimų aprašo 36 punkto nuostatas, įvertinami rizikos veiksniai, galintys turėti įtakos elektroninės informacijos saugai, jų galima žala, pasireiškimo tikimybė ir pobūdis, galimi rizikos valdymo būdai, rizikos priimtinumo kriterijai. Kartu su pagrindiniu informacinės sistemos rizikos vertinimu organizuojamas ir atliekamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos informacinės sistemos kibernetiniam saugumui, vertinimas.
25. Rizikos vertinimas apima:
25.1. vertinamų informacinių išteklių sąrašo sudarymą ir pagrindinių informacinių išteklių savybių nustatymą (informacinių išteklių įtaka, priklausomybė, vieta, už jų saugų tvarkymą atsakingi asmenys ir pan.);
25.4. potencialaus įvykio kiekvienam informaciniam ištekliui ir priskirtos grėsmės tikimybės nustatymą;
26. Rizikos vertinimą, vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo 35 punkto nuostatomis, organizuoja ir atlieka NTIS saugos įgaliotinis. Prireikus NTIS valdytojo ar pagrindinio NTIS tvarkytojo pavedimu NTIS rizikos vertinimui atlikti gali būti perkamos rizikos vertinimo paslaugos.
27. NTIS rizikos vertinimo rezultatai išdėstomi rizikos vertinimo ataskaitoje, kuri pateikiama NTIS pagrindinio tvarkytojo vadovui. Rengiant NTIS rizikos vertinimo ataskaitą įvertinami rizikos veiksniai, galintys turėti įtakos elektroninės informacijos saugai, jų galima žala, pasireiškimo tikimybė ir pobūdis, galimi rizikos valdymo būdai, rizikos priimtinumo kriterijai. NTIS saugos įgaliotinis dalyvauja rengiant NTIS rizikos vertinimo ataskaitą, jeigu rizikos vertinimą atlieka trečioji šalis.
28. Atsižvelgęs į ataskaitą, NTIS valdytojas prireikus tvirtina pagrindinio NTIS tvarkytojo parengtą NTIS rizikos vertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų priemonių NTIS rizikos valdymo priemonėms įgyvendinti poreikis.
29. NTIS rizikos vertinimo ataskaitos, rizikos vertinimo ir rizikos valdymo priemonių plano kopijas NTIS valdytojas ne vėliau kaip per penkias darbo dienas nuo šių dokumentų priėmimo pateikia į Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemą (toliau – ARSIS) Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatuose nustatyta tvarka.
30. Siekiant užtikrinti Saugos nuostatuose ir kituose saugos politikos įgyvendinamuosiuose dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę, NTIS informacinių technologijų saugos atitikties vertinimas atliekamas ne rečiau kaip kartą per metus, jeigu teisės aktai nenustato kitaip:
30.1. NTIS informacinių technologijų saugos atitikties vertinimą atlieka pagrindinio NTIS tvarkytojo sudaryta darbo grupė; prireikus NTIS informacinių technologijų saugos atitikties vertinimą pagal sutartį gali atlikti tretieji asmenys.
30.2. Atliekant NTIS informacinių technologijų saugos atitikties vertinimą tikrinama:
30.2.1. kaip NTIS veikimas atitinka Saugos nuostatų, kitų elektroninės informacijos saugą reglamentuojančių teisės aktų ir dokumentų reikalavimus;
30.2.2. įdiegtos antivirusinės ir apsaugos nuo nepageidaujamos programinės įrangos filtravimo sistemų naudojimas, centralizuotas jų valdymas ir atnaujinimas;
31. Įvertinusi NTIS informacinių technologijų saugos atitiktį, darbo grupė parengia informacinių technologijų saugos atitikties vertinimo ataskaitą, kurią pateikia atitinkamo NTIS tvarkytojo vadovui, ir, jeigu reikia, pastebėtų trūkumų šalinimo planą, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato NTIS valdytojas.
32. Informacinių technologijų saugos atitikties vertinimo ataskaitos ir pastebėtų trūkumų šalinimo plano kopijas NTIS valdytojas ne vėliau kaip per penkias darbo dienas nuo šių dokumentų priėmimo pateikia į ARSIS sistemą Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.
33. Elektroninės informacijos saugos priemonės parenkamos tokios, kurios leidžia užtikrinti:
34. Elektroninės informacijos saugos priemonės turi garantuoti:
34.1. elektroninės informacijos saugą jos registravimo ir perdavimo ryšio kanalais, saugojimo, apdorojimo, teikimo ir naudojimo metu;
III SKYRIUS
ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
35. Programinės įrangos, skirtos NTIS ir KDV apsaugoti nuo kenksmingos programinės įrangos (pvz., šnipinėjimo, virusų, nepageidaujamo elektroninio pašto ir kt.), naudojimo nuostatos ir jos atnaujinimo reikalavimai:
35.1. NTIS programinė įranga turi atitikti techninius informacinių sistemų saugos reikalavimus, nurodytus Saugos nuostatų 19.11 papunktyje.
35.4. Prieš paleidžiant NTIS programinę įrangą, turi būti atliktas šios programinės įrangos pažeidžiamumo, pritaikomumo ir infrastruktūros atsparumo skverbimuisi vertinimas. Programinė įranga gali būti patvirtinta tik tada, kai yra pasiektas reikiamas saugumo lygis.
35.6. Tarnybinėse stotyse ir KDV privalo būti įdiegta centralizuotai valdoma apsauga nuo kenksmingos programinės įrangos.
35.8. Apsaugai nuo kenksmingos programinės įrangos naudojama programinė įranga privalo atsinaujinti ne rečiau kaip kartą per 24 valandas.
35.9. Apsaugos nuo kenksmingos programinės įrangos sistema turi automatiškai elektroniniu paštu informuoti atsakingus darbuotojus apie KDV ir tarnybines stotis, kuriose apsaugos nuo kenksmingos programinės įrangos sistema funkcionuoja netinkamai, yra išjungta arba neatsinaujino per 24 valandas.
36. Programinės įrangos, įdiegtos kompiuteriuose ir serveriuose, naudojimo nuostatos:
36.2. NTIS naudotojų KDV draudžiama naudoti programinę įrangą, nesusijusią su tiesiogine jų veikla ir funkcijomis.
36.4. Programinę įrangą diegia, šalina ir konfigūruoja tik atitinkami administratoriai; kiti asmenys (paslaugų teikėjų specialistai) gali diegti programinę įrangą tik prižiūrimi administratorių.
37. Leistinos kompiuterių naudojimo ribos:
37.1. Naudotojų kompiuteriai privalo būti naudojami tik tiesioginėms pareigoms atlikti. Iš kompiuterių, kurie perduodami remontuoti ar techninei priežiūrai atlikti, turi būti pašalinti visi NTIS duomenys.
37.2. NTIS administratoriaus, duomenų saugos įgaliotinio, registruotų naudotojų, dirbančių nuotoliniu būdu, nešiojamiems kompiuteriams prieiga prie NTIS suteikiama specialiu tuneliu (VPN), praleidžiančiu tik tam tikru būdu šifruotus duomenų paketus.
37.3. Iš NTIS valdytojo ar bet kurio NTIS tvarkytojo patalpų išnešamiems nešiojamiesiems kompiuteriams turi būti taikomos papildomos saugos priemonės (elektroninės informacijos šifravimas, papildomas tapatybės patvirtinimas, prisijungimo ribojimai, rakinimo įrenginių naudojimas).
37.6. NTIS administratoriaus KDV privalo būti naudojama tik su NTIS ir su kitomis pagrindinio NTIS tvarkytojo naudojamomis informacinėmis sistemomis pagal naudotojo kompetenciją susijusioms funkcijoms vykdyti.
37.7. NTIS administratoriaus, duomenų saugos įgaliotinio, registruotų naudotojų KDV esantys kompiuteriai turi būti įjungiamas naudojant įjungimo (angl. power on) slaptažodį. Slaptažodžių sudarymo, keitimo tvarka ir jų galiojimo trukmė nustatoma NTIS valdytojo tvirtinamose naudotojų administravimo taisyklėse.
38. Kompiuterių tinklo filtravimo (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kita) programinės įrangos naudojimo nuostatos:
38.1. NTIS naudojami kompiuterių tinklai nuo kitų kompiuterių tinklų privalo būti atskirti tinklo užkardomis.
38.2. NTIS naudojamame kompiuterių tinkle turi būti įdiegtos ir veikti automatinės įsilaužimo aptikimo sistemos.
38.4. Turi būti naudojama programinė įranga, leidžianti atlikti NTIS naudojamų kompiuterių tinklų stebėseną ir užtikrinanti šių tinklų saugos prevencines priemones.
39. Saugaus elektroninės informacijos teikimo ir gavimo metodai:
39.1. Siekiant užtikrinti saugų elektroninės informacijos teikimą kitoms valstybės institucijoms ir (ar) gavimą iš jų, naudojamas šifruotas virtualus privatus tinklas (VPN) arba Saugus valstybinis duomenų perdavimo tinklas. Elektronine informacija keičiamasi naudojant TCP/IP (angl. Transmission Control Protocol/Internet Protocol) protokolą realiu laiku („On-line“ režimu) žiniatinklio paslaugų metodu (XML formatu) arba duomenų bazių užklausomis. Duomenys teikiami ir (ar) gaunami automatizuotomis priemonėmis, taikant tik duomenų teikimo sutartyje nustatytas elektroninių duomenų perdavimo technologijas, jų šifravimo mechanizmus, specifikacijas, duomenų perdavimo sąlygas ir tvarką.
40. Pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:
40.2. Elektroninės informacijos atsarginės kopijos turi būti daromos ir saugomos, informacija iš jų atkuriama vadovaujantis NTIS valdytojo patvirtintomis NTIS saugaus elektroninės informacijos tvarkymo taisyklėmis.
40.3. Elektroninės informacijos atsarginės kopijos turi būti daromos automatiškai kiekvieną dieną nuo tarnybinių stočių patalpų nutolusiose patalpose esančiame elektroninės informacijos kopijų darymo įrenginyje.
40.4. Elektroninė informacija į duomenų archyvą perkeliama pasibaigus elektroninės informacijos saugojimo NTIS laikui.
40.5. Elektroninės informacijos atsarginėms kopijoms daryti turi būti naudojama speciali programinė įranga.
40.6. Periodiškai (ne rečiau kaip kartą per metus) turi būti testuojamas informacijos atkūrimo iš atsarginių kopijų procesas. Testavimo eiga ir rezultatai įforminami kopijų darymo žurnale.
40.7. Už atsarginių kopijų darymą ir saugojimą, elektroninės informacijos atkūrimą iš atsarginių kopijų atsakingas NTIS administratorius.
40.8. Elektroninė informacija atsarginėse kopijose turi būti šifruota (šifravimo raktai saugomi atskirai nuo atsarginių kopijų).
41. Pakeitimai, galintys daryti neigiamą įtaką elektroninės informacijos konfidencialumui, vientisumui ar prieinamumui, turi būti patikrinti bandomojoje aplinkoje, kurioje nėra konfidencialių ir asmens duomenų ir kuri atskirta nuo eksploatuojamos NTIS.
42. Pakeitimai, galintys sutrikdyti ar sustabdyti NTIS darbą, turi būti suderinti su NTIS valdytojo vadovu ir vykdomi tik gavus jo rašytinį pritarimą.
43. NTIS pakeitimus gali inicijuoti saugos įgaliotinis ar administratorius, o įgyvendina administratorius.
44. Duomenų naikinimo ir šalinimo reikalavimai:
44.1. Prieš pašalinant bet kokią duomenų laikmeną, turi būti sunaikinti visi joje esantys duomenys naudojant programinę įrangą, kuri palaiko patikimus duomenų naikinimo algoritmus. Jeigu to padaryti neįmanoma (pvz., DVD laikmenos), turi būti įvykdytas fizinis duomenų laikmenos sunaikinimas be galimybės atkurti.
44.2. Prieš šalinant laikmenas, turi būti atliktas daugybinis visų šalinamų laikmenų programinės įrangos perrašymas.
IV SKYRIUS
REIKALAVIMAI PERSONALUI
46. Saugos įgaliotinis privalo išmanyti šiuolaikinių informacinių technologijų taikymo ypatumus, žinoti elektroninės informacijos saugos užtikrinimo principus ir metodus, savo darbe vadovautis Bendraisiais elektroninės informacijos saugos reikalavimais, Saugos atitikties vertinimo metodika, Saugos nuostatais, saugos politikos įgyvendinamaisiais dokumentais, standartų ir kitų Lietuvos Respublikos ir Europos Sąjungos teisės aktų nuostatomis, reglamentuojančiomis elektroninės informacijos saugą, kibernetinį saugumą, būti susipažinęs su esminiais NTIS duomenų saugos reikalavimais. Saugos įgaliotinis privalo sugebėti prižiūrėti, kaip įgyvendinama saugos politika. Saugos įgaliotinis privalo tobulinti kvalifikaciją elektroninės informacijos saugos srityje.
47. Saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už pažeidimus ir (arba) paskirtų nuobaudų už nusižengimus, nurodytus Bendrųjų elektroninės informacijos saugos reikalavimų 20 punkte:
47.1. neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui;
47.2. paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje ir nuo nuobaudos paskyrimo praėję ne mažiau kaip vieni metai;
47.3. paskirtą administracinę nuobaudą už elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą ir nuo nuobaudos paskyrimo praėję ne mažiau kaip vieni metai;
47.4. paskirtą administracinę nuobaudą už elektroninių ryšių tinklo gadinimą, savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, prijungimą ir nuo nuobaudos paskyrimo praėję ne mažiau kaip vieni metai;
48. NTIS administratorius (-iai) privalo išmanyti kompiuterizuotos veiklos procesus, elektroninės informacijos saugos užtikrinimo metodus ir principus, būti susipažinęs (-ę) su geografinių informacinių sistemų (GIS) metodais, naudojamų duomenų bazių organizavimo principais, gebėti jas administruoti, žinoti tarnybinių stočių veikimo principus.
49. Naudotojai privalo rūpintis tvarkomų duomenų saugumu – vadovaudamiesi saugos politikos įgyvendinamaisiais dokumentais, nuolat rūpintis NTIS sauga, o pastebėję pažeidimų, neveikiančias duomenų saugos užtikrinimo priemones, nusikalstamos veikos požymių, privalo nedelsdami apie tai pranešti NTIS administratoriui arba saugos įgaliotiniui.
50. Saugos įgaliotinis NTIS administratoriui ir naudotojams periodiškai, bet ne rečiau kaip kartą per dvejus metus organizuoja mokymą elektroninės informacijos saugos ir kibernetinio saugumo klausimais, primena apie saugumo problemas (pvz., siunčia pranešimus elektroniniu paštu, instruktuoja naujus darbuotojus ir pan.) ir, jeigu žinoma, apie galimas taikyti prevencines ar kitas reagavimo priemones, taip pat turi atitikti reikalavimus, nurodytus Bendrųjų elektroninės informacijos saugos reikalavimų 20 punkte.
V SKYRIUS
NTIS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
51. Tvarkyti NTIS duomenis gali tik darbuotojai, kurie yra susipažinę su Saugos nuostatais, saugos politikos įgyvendinamaisiais dokumentais, su atsakomybe už Reglamento (ES) 2016/679 ar elektroninės informacijos saugą reglamentuojančių teisės aktų nuostatų pažeidimus ir pasirašę pasižadėjimą saugoti asmens duomenų paslaptį. Ši pareiga galioja ir pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas arba pasibaigus darbo, sutartiniams ar kitiems santykiams.
52. NTIS naudotojų ir NTIS administratoriaus (-ių) supažindinimą su Saugos nuostatais, saugos politikos įgyvendinamaisiais dokumentais ar kitais elektroninės informacijos saugą reglamentuojančiais teisės aktais atlieka saugos įgaliotinis programinėmis NTIS priemonėmis arba pasirašytinai.
53. NTIS administratorių su Saugos nuostatais ir atsakomybe už jų reikalavimų nesilaikymą pasirašytinai supažindina NTIS saugos įgaliotinis per 10 darbo dienų nuo NTIS administratoriaus paskyrimo, o su saugos politikos įgyvendinamaisiais dokumentais – per 10 darbo dienų nuo šių dokumentų patvirtinimo.
54. NTIS saugos įgaliotinis raštu informuoja NTIS naudotojus apie tai, kur jie gali susipažinti su Saugos nuostatais, saugos politikos įgyvendinamaisiais dokumentais ar kitais elektroninės informacijos saugą reglamentuojančiais teisės aktais.
55. NTIS saugos įgaliotinis atsakingas už tai, kad NTIS naudotojai būtų raštu informuoti apie Saugos nuostatų, saugos politikos įgyvendinamųjų dokumentų ar kitų elektroninės informacijos saugą reglamentuojančių teisės aktų priėmimą, pakeitimą ar pripažinimą netekusiais galios.
56. Saugos nuostatai ir kiti saugos politikos įgyvendinamieji teisės aktai skelbiami NTIS naudotojams pasiekiamame tinklalapyje.
57. Pakartotinai su Saugos nuostatais, saugos politikos įgyvendinamaisiais dokumentais ar kitais elektroninės informacijos saugą reglamentuojančiais teisės aktais NTIS naudotojai supažindinami tik iš esmės pasikeitus informacijos saugą reglamentuojantiems teisės aktams. Informacija apie teisės aktų pakeitimus siunčiama elektroniniu būdu.
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
58. NTIS saugos įgaliotinis organizuoja saugos politikos įgyvendinamųjų dokumentų svarstymą (peržiūrą) ne rečiau kaip kartą per metus. Saugos politikos įgyvendinamieji dokumentai svarstomi (peržiūrimi) atlikus rizikos analizę ar informacinių technologijų saugos reikalavimų atitikties vertinimą arba įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams.
59. Saugos įgaliotinis, pagrindinis NTIS tvarkytojas, NTIS duomenų tvarkytojai, NTIS naudotojai, NTIS administratorius (-iai), pažeidę Saugos nuostatų, saugos politikos įgyvendinamųjų dokumentų ar kitų elektroninės informacijos saugą reglamentuojančių teisės aktų reikalavimus, atsako Lietuvos Respublikos teisės aktų, reglamentuojančių duomenų saugą, nustatyta tvarka.
Pakeitimai:
1.
Lietuvos Respublikos aplinkos ministerija, Įsakymas
Nr. D1-139, 2024-04-29, paskelbta TAR 2024-04-30, i. k. 2024-07957
Dėl Lietuvos Respublikos aplinkos ministro 2023 m. birželio 9 d. įsakymo Nr. D1-188 „Dėl Nuotekų tvarkymo informacinės sistemos nuostatų ir duomenų saugos nuostatų patvirtinimo“ pakeitimo