Suvestinė redakcija nuo 2021-05-03
Įsakymas paskelbtas: TAR 2020-08-05, i. k. 2020-16948
LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRAS
ĮSAKYMAS
DĖL LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRO 2008 M.
SAUSIO 14 D. ĮSAKYMO Nr. V-19 „DĖL UŽKREČIAMŲJŲ LIGŲ IR JŲ SUKĖLĖJŲ VALSTYBĖS INFORMACINĖS SISTEMOS NUOSTATŲ PATVIRTINIMO“ PAKEITIMO
2020 m. liepos 31 d. Nr. V-1762
Vilnius
1. Pakeičiu Užkrečiamųjų ligų ir jų sukėlėjų valstybės informacinės sistemos nuostatus, patvirtintus Lietuvos Respublikos sveikatos apsaugos ministro 2008 m. sausio 14 d. įsakymu
Nr. V-19 „Dėl Užkrečiamųjų ligų ir jų sukėlėjų valstybės informacinės sistemos nuostatų patvirtinimo“:
1.1. Pakeičiu 3 punktą ir jį išdėstau taip:
„3. Informacinės veiklos sritį reglamentuojantys teisės aktai, kuriais vadovaujantis kuriama ir tvarkoma Informacinė sistema:
3.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);
3.10. Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo”;
3.11. Bendrųjų elektroninės informacijos saugos reikalavimų aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas);
3.12. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas);
3.13. Valstybės informacinių sistemų gyvavimo ciklo valdymo metodika, patvirtinta Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos direktoriaus 2014 m. vasario 25 d. įsakymu Nr. T-29 „Dėl Valstybės informacinių sistemų gyvavimo ciklo valdymo metodikos patvirtinimo“;
3.14. Elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinės sistemos nuostatai, patvirtinti Lietuvos Respublikos Vyriausybės 2011 m. rugsėjo 7 d. nutarimu Nr. 1057 „Dėl Elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinės sistemos nuostatų patvirtinimo“;
3.15. Lietuvos Respublikos sveikatos apsaugos ministro 2015 m. gegužės 26 d. įsakymas Nr. V-657 „Dėl Elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinės sistemos naudojimo tvarkos aprašo patvirtinimo“;
3.16. Lietuvos Respublikos sveikatos apsaugos ministro 2002 m. gruodžio 24 d. įsakymas Nr. 673 „Dėl Privalomojo epidemiologinio registravimo objektų registravimo ir informacijos apie juos teikimo tvarkos aprašo patvirtinimo“;
3.17. Lietuvos Respublikos sveikatos apsaugos ministro 1999 m. lapkričio 29 d. įsakymas Nr. 515 „Dėl sveikatos priežiūros įstaigų veiklos apskaitos ir atskaitomybės tvarkos“ (toliau – sveikatos apsaugos ministro 1999 m. lapkričio 29 d. įsakymas Nr. 515);
3.18. Lietuvos Respublikos sveikatos apsaugos ministro 2005 m. vasario 10 d. įsakymas Nr. V-109 „Dėl užkrečiamųjų ligų statistinių ataskaitos ir apskaitos formų patvirtinimo“ (toliau – sveikatos apsaugos ministro 2005 m. vasario 10 d. įsakymas Nr. V-109);
3.19. Lietuvos Respublikos sveikatos apsaugos ministro 2009 m. gegužės 27 d. įsakymas Nr. V-414 „Dėl pranešimų apie užkrečiamąsias ligas ir jų sukėlėjus formų patvirtinimo“;
1.2. Pakeičiu 9 punktą ir jį išdėstau taip:
„9. Informacinės sistemos valdytojas ir tvarkytojas ir asmens duomenų valdytojas yra Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (toliau – NVSC), kuris vykdo šias funkcijas:
9.1. vykdo Reglamente (ES) 2016/679, Valstybės informacinių išteklių valdymo įstatyme ir kituose įstatymuose nurodytas teises ir pareigas:
9.1.1. užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą;
9.1.2. vadovaudamasis Nuostatais, kitais teisės aktais, reglamentuojančiais Informacinės sistemos saugą, imasi visų priemonių, kurių reikalaujama pagal Reglamento (ES) 2016/679 32 straipsnį – techninėmis ir organizacinėmis priemonėmis užtikrina Informacinės sistemos saugą, Informacinės sistemos tvarkomų asmens duomenų konfidencialumą, vientisumą ir prieinamumą, apsaugą nuo netyčinio arba neteisėto sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jų ir nuo bet kokio kito neteisėto tvarkymo, taip pat saugų duomenų perdavimą kompiuteriniais tinklais;
9.1.3. užtikrina duomenų subjektų teisių, nustatytų Reglamento (ES) 2016/679 III skyriuje, įgyvendinimą Informacinės sistemos valdytojo nustatyta tvarka;
9.1.4. Nuostatų, kitų teisės aktų, reglamentuojančių Informacinės sistemos veiklą, nustatyta tvarka užtikrina, kad būtų laikomasi Reglamento (ES) 2016/679 32–36 straipsniuose nustatytų prievolių, atsižvelgdamas į asmens duomenų tvarkymo pobūdį;
9.1.5. asmens duomenų saugumo pažeidimai tiriami vadovaujantis Asmens duomenų saugumo pažeidimų valdymo tvarkos aprašu, patvirtintu Nacionalinio visuomenės sveikatos centro prie Sveikatos apsaugos ministerijos direktoriaus 2019 m. gruodžio 30 d. įsakymu Nr. VKE-596 „Dėl Asmens duomenų saugumo pažeidimų valdymo tvarkos aprašo patvirtinimo“;
9.2. analizuoja teisines, technines, technologines, metodines ir organizacines Informacinės sistemos veikimo problemas ir pagal savo kompetenciją priima sprendimus, reikalingus Informacinės sistemos veiklai užtikrinti;
9.3. atlieka duomenų ir kitos informacijos, reikalingos sergamumui užkrečiamosiomis ligomis ir užkrečiamųjų ligų sukėlėjų plitimui stebėti ir sprendimams priimti, poreikio analizę;
9.5. rengia užkrečiamųjų ligų sukėlėjų, išskirtų asmens ir Nacionalinės visuomenės sveikatos priežiūros laboratorijose, ataskaitų formas;
9.6. teisės aktų nustatyta tvarka teikia apibendrintą informaciją apie sergamumą užkrečiamosiomis ligomis ir išskirtų užkrečiamųjų ligų sukėlėjų paplitimą šalyje;
9.7. rengia ir skelbia tinklalapyje oficialiąsias suvestines (statistines ataskaitas apie sergamumą užkrečiamosiomis ligomis šalyje);
9.8. užtikrina, kad nebūtų įrašyta klaidingų, nereikalingų arba neišsamių duomenų, kad registravimo duomenys atitiktų faktinius;
9.9. užtikrina operatyvų tarpinstitucinį grįžtamąjį ryšį su Nacionaline visuomenės sveikatos priežiūros laboratorija (toliau – NVSPL) ir asmens sveikatos priežiūros įstaigomis (toliau – ASPĮ);
1.4. Pakeičiu 16 punktą ir jį išdėstau taip:
„16. Duomenų teikėjai teikia šiuos duomenis:
16.1. Sveikatos apsaugos ministerija teikia Nuostatų 11.1 – 11.3 papunkčiuose nurodytus tuos duomenis, kurie pagal ESPBI IS nuostatus yra kaupiami ESPBI IS;
1.5. Pakeičiu 5 skyrių ir jį išdėstau taip:
„V SKYRIUS
INFORMACINĖS SISTEMOS DUOMENŲ TEIKIMAS IR NAUDOJIMAS
18. Informacinės sistemos nuasmeninti apibendrinti duomenys yra vieši ir teikiami institucijoms, kitiems juridiniams ir fiziniams asmenims. Informacinėje sistemoje tvarkomi asmens duomenys teikiami ir naudojami Reglamente (ES) 2016/679 nustatyta tvarka.
19. Informacinės sistemos apibendrinti duomenys gali būti:
20. Informacinės sistemos duomenų gavėjai gautus duomenis ir informaciją gali naudoti tik tokiam tikslui, tokios apimties ir tokiu būdu, kaip nurodyta duomenų teikimo sutartyje arba prašyme. Informacinės sistemos duomenų gavėjas negali keisti iš Informacinės sistemos gautų duomenų ir informacijos ir juos naudodamas privalo nurodyti duomenų šaltinį.
21. Informacinės sistemos duomenis teikia Informacinės sistemos valdytojas:
21.1. Duomenys duomenų gavėjams teikiami tokio turinio ir tokios formos, kokie yra naudojami Informacinėje sistemoje ir kurių nereikia papildomai apdoroti. Valstybės informacinių išteklių valdymo įstatymo 35 straipsnio 3 dalyje nurodytais atvejais Vyriausybės nustatyta tvarka duomenys gali būti pateikiami duomenų gavėjo prašomos formos ir turinio;
21.2. Informacinės sistemos duomenys Europos Sąjungos valstybių narių ir (arba) Europos ekonominės erdvės valstybių fiziniams, judriniams asmenims, juridinio statuso neturintiems subjektams, jų filialams ir atstovybėms teikiami vadovaujantis Įstatymu ir Reglamentu (ES)2016/679;
21.3. kitų valstybių, išskyrus Europos Sąjungos valstybes nares ir Europos ekonominės erdvės valstybes, fiziniams, juridiniams asmenims, juridinio asmens statuso neturintiems subjektams, jų filialams ir atstovybėms duomenys teikiami, jeigu tai neprieštarauja Lietuvos Respublikos įstatymams, Reglamentui (ES) 2016/679, tarptautinėms sutartims, Europos Sąjungos teisės aktams ir kitiems norminiams teisės aktams;
22. Daugkartinio teikimo atveju Informacinės sistemos duomenys teikiami pagal Informacinės sistemos valdytojo ir duomenų gavėjo sudarytą duomenų teikimo sutartį.
23. Vienkartinio teikimo atveju Informacinės sistemos duomenys teikiami pagal gavėjo prašymą pateiktą Informacinės sistemos valdytojui. Prašyme turi būti nurodytas duomenų naudojimo tikslas, teikimo ir gavimo teisinis pagrindas, prašomų pateikti duomenų apimtis.
24. Kai atsisakoma teikti Informacinės sistemos tvarkomus duomenis, asmeniui, pateikusiam prašymą juos gauti, Informacinės sistemos valdytojas praneša apie priimtą sprendimą atsisakyti tenkinti asmens prašymą ir suteikia informaciją apie tokio sprendimo apskundimo tvarką.
25. Informacinės sistemos valdytojo sprendimai atsisakyti teikti Informacinės sistemos duomenis gali būti skundžiami Lietuvos Respublikos teisės aktų nustatyta tvarka.
26. Informacinės sistemos sudaryti dokumentų rinkiniai teikiami pakartotinai panaudoti bei publikuojami, vadovaujantis Lietuvos Respublikos teisės gauti informaciją iš valstybės ir savivaldybių institucijų ir įstaigų įstatymo 19–21 straipsnių nuostatomis.
27. Duomenų gavėjai, duomenų subjektai, registro ar valstybės informacinės sistemos tvarkytojai, kiti asmenys turi teisę reikalauti ištaisyti netikslius duomenis. Gavęs šį reikalavimą, Informacinės sistemos valdytojas privalo per 5 darbo dienas nuo reikalavimo ir jame nurodytus faktus patvirtinančių dokumentų gavimo ištaisyti nurodytus netikslumus ir informuoti apie tai netikslius duomenis ištaisyti reikalavusį asmenį.“
1.6. Pakeičiu 31 punktą ir jį išdėstau taip:
„31. Valdytojas ir duomenų teikėjai, tvarkydami Informacinėje sistemoje esančius duomenis, privalo juos saugoti Reglamento (ES) 2016/679, Asmens duomenų teisinės apsaugos įstatymo, kitų teisės aktų, reglamentuojančių saugų duomenų tvarkymą ir teikimą, nustatyta tvarka. Už duomenų tvarkymo metu įvedamų duomenų apsaugą atsako Informacinės sistemos tvarkytojo darbuotojai.“
1.7. Pakeičiu 32 punktą ir jį išdėstau taip:
„32. Informacinėje sistemoje tvarkomų duomenų apsauga užtikrinama vadovaujantis:
32.4. Lietuvos standartu LST ISO/IEC 27002 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“;
32.6. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu;
32.7. Užkrečiamųjų ligų ir jų sukėlėjų valstybės informacinės sistemos duomenų saugos nuostatais, patvirtintais Nacionalinio visuomenės sveikatos centro prie Sveikatos apsaugos ministerijos direktoriaus įsakymu;
1.8. Pakeičiu 37 punktą ir jį išdėstau taip:
1.9. Pakeičiu 38 punktą ir jį išdėstau taip:
„38. Duomenų subjekto teisių, susijusių su informavimu apie jo asmens duomenų tvarkymą, supažindinimu su tvarkomais savo asmens duomenimis ir reikalavimu ištaisyti, teisę reikalauti ištrinti asmens duomenis („teisė būti pamirštam“) arba teisę apriboti jo asmens duomenų tvarkymą, išskyrus saugojimą, savo asmens duomenų tvarkymo veiksmus, įtvirtintų Reglamente (ES) 2016/679, įgyvendinimo tvarką nustato Informacinės sistemos valdytojas.“
2. P e r d u o d u Užkrečiamųjų ligų ir jų sukėlėjų valstybės informacinės sistemos valdytojo ir tvarkytojo ir asmens duomenų valdytojo teises ir pareigas Nacionaliniam visuomenės sveikatos centrui prie Sveikatos apsaugos ministerijos nuo 2020 rugpjūčio 5 d.
3. P a v e d u:
3.1. Nacionalinio visuomenės sveikatos centro prie Sveikatos apsaugos ministerijos direktoriui paskirti Užkrečiamųjų ligų ir jų sukėlėjų valstybės informacinės sistemos informacinės sistemos duomenų valdymo įgaliotinį, saugos įgaliotinį, informacinės sistemos administratorių;
3.2. Užkrečiamųjų ligų ir AIDS centrui iki 2020 rugpjūčio 4 d. perduoti Nacionaliniam visuomenės sveikatos centrui prie Sveikatos apsaugos ministerijos:
3.2.1. Užkrečiamųjų ligų ir jų sukėlėjų valstybės informacinės sistemos dokumentus (saugos dokumentai, naudotojų ir administratorių vadovai, sutartys su duomenų teikėjais).
3.2.2. Užkrečiamųjų ligų ir jų sukėlėjų valstybės informacinės sistemos techninę įrangą, ar prieigas prie informacinės sistemos serverių, jei administruojami ir informacinės sistemos duomenys tvarkomi išoriniame duomenų centre.
TAR pastaba: Lietuvos vyriausiojo administracinio teismo 2021-05-03 sprendimu įsakymo 3.2. papunktis ta dalimi, kiek joje nustatytas terminas „iki 2020 rugpjūčio 4 d.“ prieštarauja teisinės valstybės principui.
Papunkčio pakeitimai:
Nr. 2021-05-03 Nr. AB-9314-3-66-3-00028-2020-2, 2021-05-03, paskelbta TAR 2021-05-11, i. k. 2021-10391
Sveikatos apsaugos ministras Aurelijus Veryga
SUDERINTA Lietuvos Respublikos ekonomikos ir inovacijų ministerijos 2020 m. liepos 16 d. raštu Nr. 3-2839 |
SUDERINTA Valstybinės duomenų apsaugos inspekcijos
2020 m. liepos 21 d. raštu Nr. 2R-3654 (3.33) |
|
|
SUDERINTA Nacionalinės visuomenės sveikatos priežiūros laboratorijos 2020 m. liepos 3 d. elektroniniu laišku |
SUDERINTA Nacionalinio kibernetinio saugumo centro prie Krašto apsaugos ministerijos 2020 m. birželio 29 d. raštu Nr. (4.1 E) 6K-415 |
Pakeitimai:
1.
Lietuvos vyriausiasis administracinis teismas, Sprendimas
Nr. 2021-05-03 Nr. AB-9314-3-66-3-00028-2020-2, 2021-05-03, paskelbta TAR 2021-05-11, i. k. 2021-10391
Nuasmenintas sprendimas 2021-05-03 Nr. AB-9314-3-66-3-00028-2020-2