DĖL ŽALOS ATLYGINIMO INFORMACINĖS SISTEMOS NUOSTATŲ IR ŽALOS ATLYGINIMO INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

PATVIRTINTA

Valstybinės ligonių kasos

prie Sveikatos apsaugos ministerijos

direktoriaus 2015 m. liepos 15 d.

įsakymu Nr. 1K-192

ŽALOS IŠIEŠKOJIMO INFORMACINĖS SISTEMOS NUOSTATAI

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Žalos išieškojimo informacinės sistemos (toliau – ŽIIS) nuostatai (toliau – Nuostatai) reglamentuoja debetinių įsipareigojimų (teisės aktų) ir piniginių įplaukų iš bankų (pajamų) paskirstymo ir kontrolės vidaus administravimo informacinės sistemos steigimo pagrindą, tikslus ir uždavinius, funkcijas, asmens duomenų tvarkymo tikslą, jos valdytoją, tvarkytojus, jų teises ir pareigas, ŽIIS organizacinę, informacinę ir funkcinę struktūras, ŽIIS duomenų teikimą ir naudojimą, ŽIIS duomenų saugos reikalavimus bei ŽIIS finansavimą, modernizavimą ir likvidavimą.

2. ŽIIS duomenys tvarkomi vadovaujantis:

2.1. Lietuvos Respublikos sveikatos draudimo įstatymu;

2.2. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

2.3. Lietuvos Respublikos kibernetinio saugumo įstatymu;

2.4. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu;

2.5. Lietuvos Respublikos pacientų teisių ir žalos sveikatai atlyginimo įstatymu;

2.6. Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“;

2.7. Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“;

2.8. Bendraisiais reikalavimais organizacinėms ir techninėms asmens duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“;

2.9. Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos 2010 m. liepos 12 d. įsakymu Nr. 1K-136 „Dėl Žalos Privalomojo sveikatos draudimo fondo biudžetui atlyginimo tvarkos aprašo patvirtinimo“ (toliau – Žalos atlyginimo tvarkos aprašas);

2.10. Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos nuostatais, patvirtintais Lietuvos Respublikos sveikatos apsaugos ministro 2003 m. sausio 23 d. įsakymu Nr. V-35 „Dėl Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos nuostatų patvirtinimo“;

2.11. Duomenų subjektų teisių įgyvendinimo Valstybinėje ligonių kasoje prie Sveikatos apsaugos ministerijos ir teritorinėse ligonių kasose tvarkos aprašu, patvirtintu Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos 2015 m. birželio 3 d. įsakymu Nr. 1K-155 „Dėl duomenų subjektų teisių įgyvendinimo valstybinėje ligonių kasoje prie sveikatos apsaugos ministerijos ir teritorinėse ligonių kasose tvarkos aprašo patvirtinimo“;

2.12. Nuostatais ir kitais teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą, saugojimą ir sunaikinimą.

3. Nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, ir kituose teisės aktuose vartojamas sąvokas.

4. ŽIIS steigimo pagrindą sudaro Lietuvos Respublikos sveikatos draudimo įstatymo 15 straipsnio 1 dalies 6 punktas, 30 straipsnis, 34 straipsnio 10 punktas ir Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos 2010 m. liepos 12 d. įsakymas Nr. 1K-136 „Dėl Žalos Privalomojo sveikatos draudimo fondo biudžetui atlyginimo tvarkos aprašo patvirtinimo“.

5. ŽIIS tikslas – informacinių technologijų priemonėmis apdoroti į ŽIIS rankiniu būdu įvestus Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos (toliau – VLK) ir teritorinių ligonių kasų (toliau – TLK) veiklos duomenis apie debetinių įsipareigojimų (teisės aktų) ir piniginių įplaukų iš bankų (pajamų) paskirstymą ir vykdyti žalos Privalomojo sveikatos draudimo fondo (toliau – PSDF) biudžetui atlyginimo kontrolę.

6. Diegiant ŽIIS įgyvendinami šie uždaviniai:

6.1. koordinuoti žalos PSDF biudžetui išieškojimo procesą;

6.2. koordinuoti debetinių įsipareigojimų ir piniginių įplaukų paskirstymo procedūras.

7. ŽIIS funkcijos:

7.1. vykdyti žalos PSDF biudžetui atlyginimo proceso stebėseną ir kontrolę;

7.2. rengti ikiteisminio tyrimo institucijoms ir teismams teikiamus procesinius dokumentus duomenis imant iš pirminių dokumentų;

7.3. paskirstyti ir kontroliuoti įplaukas iš bankų;

7.4. formuoti statistines ataskaitas.

II SKYRIUS

ORGANIZACINĖ STRUKTŪRA

8. ŽIIS organizacinę struktūrą sudaro:

8.1. ŽIIS valdytoja – VLK;

8.2. ŽIIS duomenų tvarkytojai:

8.2.1. VLK;

8.2.2. teritorinės ligonių kasos:

8.2.2.1. Vilniaus teritorinė ligonių kasa,

8.2.2.2. Kauno teritorinė ligonių kasa,

8.2.2.3. Klaipėdos teritorinė ligonių kasa,

8.2.2.4. Šiaulių teritorinė ligonių kasa,

8.2.2.5. Panevėžio teritorinė ligonių kasa.

9. ŽIIS valdytojas ir ŽIIS duomenų tvarkytojai atlieka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo nustatytas funkcijas ir kitas Nuostatuose nurodytas funkcijas.

10. ŽIIS valdytojui ir tvarkytojams yra priskirtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme nustatytos teisės ir pareigos.

11. VLK, kaip ŽIIS valdytoja, atlieka šias funkcijas:

11.1. analizuoja ir sprendžia metodologines ir organizacines ŽIIS veikimo problemas;

11.2. nagrinėja ŽIIS tobulinimo pasiūlymus, juos apibendrina, priima sprendimus dėl ŽIIS modernizavimo darbų tikslingumo;

11.3. užtikrina ŽIIS tvarkomų duomenų konfidencialumą, vientisumą ir prieinamumą, apsaugą nuo neteisėto sunaikinimo, pakeitimo, atskleidimo, kokio nors kitokio neteisėto tvarkymo;

11.4. teikia ŽIIS duomenų tvarkytojams metodinę pagalbą ŽIIS naudojimo, tvarkymo ir duomenų saugos klausimais;

11.5. nustato ŽIIS saugos politiką ir prižiūri jos įgyvendinimą;

11.6. sudaro duomenų teikimo sutartis su valstybės informacinių sistemų ir valstybės registrų valdytojais arba šias funkcijas paveda vykdyti TLK;

12. VLK, kaip ŽIIS tvarkytoja, atlieka šias funkcijas:

12.1. užtikrina ŽIIS techninės ir programinės įrangos diegimą ir funkcionavimą;

12.2. koordinuoja ir kontroliuoja kitų ŽIIS duomenų tvarkytojų veiklą;

12.3. užtikrina ŽIIS duomenų bazių administravimą;

12.4. sprendžia ŽIIS plėtros klausimus;

12.5. organizacinėmis, techninėmis, technologinėmis ir metodinėmis priemonėmis užtikrina ŽIIS duomenų bazėse kaupiamų duomenų saugą, duomenų patikimumą, vientisumą ir saugų duomenų perdavimą kompiuteriniais tinklais;

12.6. tvarko ŽIIS esančius įstaigos veiklos duomenis, susijusius su teismų išduotais vykdomaisiais raštais bei teismų įsakymais;

12.7. tvarko ŽIIS esančius įstaigos veiklos duomenis, susijusius su žalos PSDF biudžetui atlyginimo įplaukomis.

13. TLK, kaip ŽIIS tvarkytojos, atlieka šias funkcijas:

13.1. tvarko ŽIIS esančius veiklos duomenis, nurodytus Nuostatų 14 punkte ir susijusius tik su TLK aptarnaujama teritorija;

13.2. skiria darbuotojus, atsakingus už ŽIIS duomenų tvarkymą;

13.3. užtikrina duomenų subjektų, kurių asmens duomenis tvarko, teisių įgyvendinimą, vadovaudamasi Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, Lietuvos Respublikos sveikatos draudimo įstatymu, Nuostatais ir kitais teisės aktais;

13.4. užtikrina TLK tvarkomų ŽIIS duomenų patikimumą ir vientisumą;

13.5. teikia ŽIIS valdytojui pasiūlymus dėl ŽIIS tobulinimo.

III SKYRIUS

INFORMACINĖ STRUKTŪRA

14. ŽIIS duomenų bazėse tvarkomi šioms duomenų grupėms priskiriami:

14.1. bendrieji duomenų subjektų duomenys;

14.2. bendrieji informacinio pranešimo duomenys;

14.3. duomenys apie pretenziją draudimo bendrovei;

14.4. duomenys apie baudžiamąją bylą;

14.5. duomenys apie civilinę bylą;

14.6. duomenys apie žalos PSDF biudžetui atlyginimo sutartį;

14.7. duomenys apie teismo įsakymo pareiškimą;

14.8. bendrieji vykdomojo rašto duomenys;

14.9. vykdomojo rašto pateikimo antstoliui duomenys;

14.10. įplaukų duomenys.

15. Bendrieji duomenų subjektų duomenys:

15.1. asmens kodas;

15.2. vardas (-ai);

15.3. pavardė (-ės);

15.4. gimimo data;

15.5. lytis;

15.6. gyvenamoji vieta; jeigu neturi gyvenamosios vietos – savivaldybė, kurioje gyvena;

15.7. duomenų subjekto kontaktiniai duomenys: korespondencijos adresas, telefono ryšio numeris, elektroninio pašto adresas.

16. Bendrieji informacinio pranešimo duomenys:

16.1. pranešimo gavimo data;

16.2. pranešimo išsiuntimo data;

16.3. informacinio pranešimo raštinės registracijos numeris;

16.4. tyrimo numeris;

16.5. pranešimo siuntimo registracijos numeris;

16.6. užregistruotos žalos PSDF biudžetui suma;

16.7. ikiteisminio tyrimo institucijos duomenys;

16.8. pasirašiusio atsakingo asmens pareigos, vardas, pavardė;

16.9. prokuratūros (įstaigos) duomenys;

16.10. prokuroro duomenys (vardas, pavardė);

16.11. informacinio pranešimo būsena.

17. Duomenys apie pretenziją draudimo bendrovei:

17.1. eismo įvykio data;

17.2. transporto priemonės valstybinis numeris;

17.3. transporto priemonę apdraudusios draudimo kompanijos duomenys;

17.4. draudimo serijos numeris;

17.5. pretenzijos suma;

17.6. pretenzijos išsiuntimo data;

17.7. pretenzijos būsena.

18. Duomenys apie baudžiamąją bylą:

18.1. ieškinio baudžiamojoje byloje sudarymo data;

18.2. šaukimo į teismo posėdį data, laikas;

18.3. ieškinio suma;

18.4. baudžiamosios bylos numeris;

18.5. teismo duomenys (pavadinimas, adresas);

18.6. teisėjo duomenys (vardas, pavardė);

18.7. informacija, ar priteistas žalos atlyginimas;

18.8. ieškinio baudžiamojoje byloje būsena.

19. Duomenys apie civilinę bylą:

19.1. ieškinio registracijos numeris;

19.2. raginimo data;

19.3. ieškinio parengimo data;

19.4. ieškinio suma;

19.5. šaukimo į teismo posėdį data, laikas;

19.6. civilinės bylos numeris;

19.7. teismo duomenys (pavadinimas, adresas);

19.8. teisėjo duomenys (vardas, pavardė);

19.9. ieškinio civilinėje byloje būsena.

20. Duomenys apie žalos PSDF biudžetui atlyginimo sutartį:

20.1. sutarties sudarymo data;

20.2. sutarties įsigaliojimo data;

20.3. sutarties terminas (mėnesiais);

20.4. sutarties pabaigos data;

20.5. sutarties suma;

20.6. įmokos suma;

20.7. pirmos įmokos data;

20.8. pirmos įmokos suma;

20.9. sutarties vykdymo būsena.

21. Duomenys apie teismo įsakymo pareiškimą:

21.1. teismo įsakymo data;

21.2. ieškinio data;

21.3. teismo įsakymo bylos numeris;

21.4. ieškinio bylos numeris;

21.5. reikalavimo suma;

21.6. palūkanos;

21.7. teismo duomenys (pavadinimas, adresas);

21.8. teisėjo duomenys (vardas, pavardė);

21.9. teismo įsakymo būsena.

22. Bendrieji vykdomojo rašto duomenys:

22.1. vykdomojo rašto numeris;

22.2. vykdomojo rašto registracijos data;

22.3. teismo sprendimo įsiteisėjimo data;

22.4. teismo sprendimo vykdymo atidėjimo terminas;

22.5. teismo sprendimo vykdymo atidėjimo termino pabaiga;

22.6. vykdomąjį raštą išdavusios institucijos pavadinimas;

22.7. bendrieji fizinių / juridinių asmenų (nukentėjusiųjų / kaltininkų / skolininkų) duomenys;

22.8. vykdomojo rašto suma.

23. Vykdomojo rašto pateikimo antstoliui duomenys:

23.1. antstolių kontoros, kuriai perduotas vykdomasis raštas, duomenys;

23.2. vykdomojo rašto išsiuntimo antstolių kontorai data;

23.3. priverstinio žalos išieškojimo būtinųjų vykdymo išlaidų suma.

24. Įplaukų duomenys:

24.1. įplaukos data;

24.2. mokėtojas;

24.3. mokėtojo kodas;

24.4. mokėjimo paskirtis;

24.5. suma.

25. Naudotojų (VLK ir TLK darbuotojų) duomenys:

25.1. identifikaciniai duomenys (vardas ir pavardė, IP adresas, įstaigos / jos padalinio pavadinimas);

25.2. prisijungimo prie ŽIIS įrašai: prisijungimo identifikatorius, data ir laikas, lentelės prie kurių jungtasi, atlikti veiksmai su duomenimis (įvedimas, peržiūra, keitimas, naikinimas ir kiti duomenų tvarkymo veiksmai), programos versija.

IV SKYRIUS

FUNKCINĖ STRUKTŪRA

26. ŽIIS funkcijos:

26.1. informacinio pranešimo, ieškinių civilinėse bylose, ieškinių baudžiamosiose bylose, pretenzijų draudimo bendrovėms, sutarčių dėl žalos atlyginimo, kreipimosi dėl teismo įsakymų išdavimo registravimas, apdorojimas ir stebėsena;

26.2. duomenų subjektų kūrimas ir redagavimas;

26.3. ataskaitų generavimas ir saugojimas;

26.4. dokumentų generavimas pagal šablonus;

26.5. vykdomųjų raštų registravimas, jų perdavimas antstoliams priverstiniam išieškojimui vykdyti, vykdomųjų raštų vykdymo stebėsena.

V SKYRIUS

DUOMENŲ TEIKIMO IR NAUDOJIMO TVARKA

27. ŽIIS duomenys turi būti tikslūs ir nuolat atnaujinami (jei to reikia duomenims apdoroti). Netikslūs ar neišsamūs duomenys turi būti tikslinami, taisomi, papildomi, sunaikinami arba jų tvarkymas turi būti sustabdomas. Neteisingų, neišsamių, netikslių duomenų tvarkymo ŽIIS duomenų bazėse procedūra detaliai aprašoma ŽIIS valdytojo tvirtinamuose ŽIIS duomenų saugos nuostatuose, ŽIIS saugaus elektroninės informacijos tvarkymo taisyklėse ir kituose teisės aktuose, reglamentuojančiuose saugų ŽIIS duomenų tvarkymą.

28. ŽIIS duomenys teikiami neatlygintinai.

29. ŽIIS tvarkomi duomenys teikiami Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo nustatytais atvejais pagal duomenų gavėjo prašymą ir / arba pagal duomenų teikimo sutartį. Sutartyje turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo ir gavimo teisinis pagrindas, sąlygos, tvarka ir teikiamų asmens duomenų apimtis. Prašyme turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo bei gavimo teisinis pagrindas ir prašomų pateikti asmens duomenų apimtis.

30. ŽIIS duomenų gavėjai atsako už gaunamų duomenų saugą teisės aktų nustatyta tvarka.

31. Teikiant ŽIIS duomenis pagal vienkartinį prašymą, duomenų teikimo sąlygos ir duomenų apimtis turi būti suderinti su ŽIIS duomenų valdymo įgaliotiniu ir (ar) ŽIIS saugos įgaliotiniu.

32. Iš ŽIIS gauti duomenys negali būti keičiami, juos naudojant privaloma nurodyti jų šaltinį. Tretiesiems asmenims, turintiems teisinį pagrindą gauti ŽIIS duomenis, šie duomenys gali būti teikiami tik tokiu tikslu, tokia apimtimi ir tokiu būdu, kokie buvo numatyti prieš juos gaunant.

33. ŽIIS informacija yra vieša ir Lietuvos Respublikos įstatymų, Europos Sąjungos teisės aktų ir (arba) kituose teisės aktuose nustatyta tvarka teikiama institucijoms ir kitiems juridiniams ir fiziniams asmenims. Fizinių asmenų asmens duomenys teikiami vadovaujantis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, Lietuvos Respublikos pacientų teisių ir žalos sveikatai atlyginimo įstatymu, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu ir kitais teisės aktais, reglamentuojančiais asmens duomenų teikimą fiziniams ir juridiniams asmenims.

34. ŽIIS duomenys Europos Sąjungos valstybių (narių) ir (ar) Europos ekonominės erdvės valstybių, trečiųjų šalių fiziniams ir juridiniams asmenims, juridinio asmens statuso neturintiems subjektams, jų filialams ir atstovybėms teikiami Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo nustatyta tvarka, o asmens duomenys – ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo nustatyta tvarka.

35. Visi ŽIIS duomenų gavėjai, įskaitant registrų ar kitų valstybės informacinių sistemų tvarkytojus, duomenų teikėjai ir fiziniai asmenys, kurių asmens duomenys tvarkomi ŽIIS, turi teisę reikalauti, kad būtų ištaisyti neteisingi, neišsamūs, netikslūs duomenys. Tokiu atveju ŽIIS valdytojas ir (ar) tvarkytojas privalo per 5 darbo dienas nuo reikalavimo ir dokumentų, patvirtinančių reikalavime pateiktus faktus, gavimo dienos ištaisyti nurodytus netikslumus ir nedelsiant raštu, elektroniniu paštu ar telefonu informuoti apie tai reikalavimą pateikusį asmenį ar įgaliotąjį atstovą ir užtikrinti, kad ŽIIS duomenų gavėjai, kuriems buvo pateikti neteisingi, netikslūs, neišsamūs duomenys, būtų nedelsiant informuoti apie ištaisytus netikslumus.

VI SKYRIUS

DUOMENŲ SAUGA

36. ŽIIS duomenų saugą nustato ŽIIS duomenų saugos nuostatai ir kiti saugos politikos įgyvendinamieji dokumentai, kurie rengiami, derinami ir tvirtinami Lietuvos Respublikos teisės aktų nustatyta tvarka.

37. Už ŽIIS duomenų saugą pagal kompetencija atsako ŽIIS valdytojas ir ŽIIS tvarkytojai.

38. ŽIIS naudotojai privalo saugoti asmens duomenų paslaptį, jeigu šie asmens duomenys neskirti skelbti viešai. Šie asmenys privalo pasirašyti pasižadėjimus, kad saugos asmens duomenis ir nepažeis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo. Už šių įsipareigojimų nesilaikymą naudotojai atsako Lietuvos Respublikos teisės aktų nustatyta tvarka.

39. Asmens duomenų saugumas užtikrinamas vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, reikalavimais, Bendraisiais reikalavimais organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms patvirtinimo“, ir kitais asmens duomenų saugą užtikrinančiais teisės aktais.

40. Tvarkant ir saugant ŽIIS duomenis turi būti įgyvendintos duomenų saugos organizacinės, programinės, techninės, patalpų apsaugos ir administracinės priemonės, skirtos ŽIIS duomenų konfidencialumui, prieinamumui teisėtiems tvarkytojams, vientisumui bei autentiškumui užtikrinti ir apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, naudojimo, atskleidimo, taip pat – nuo bet kokio kito neteisėto tvarkymo. Nurodytos priemonės turi užtikrinti tokio lygio saugumą, kuris atitiktų saugotinų ŽIIS duomenų pobūdį. Šios priemonės, ŽIIS saugaus duomenų tvarkymo reikalavimai ir jų įgyvendinimas nustatomi ŽIIS duomenų saugos nuostatuose.

41. ŽIIS duomenys saugomi duomenų bazėse ne ilgiau, nei to reikalauja duomenų tvarkymo tikslai. Kai duomenų tvarkymo tikslams ŽIIS duomenys tampa nebereikalingi, jie yra perkeliami į duomenų bazių archyvus (saugyklas). ŽIS duomenys duomenų bazių archyvuose saugomi 5 metus, vėliau jie nuasmeninami ir saugomi duomenų bazių archyvuose iki ŽIIS likvidavimo.

VII SKYRIUS

FINANSAVIMAS

42. ŽIIS kūrimas, plėtra ir eksploatavimas finansuojami iš PSDF biudžeto lėšų arba iš kitų teisės aktuose numatytų finansavimo šaltinių.

VIII SKYRIUS

MODERNIZAVIMAS IR LIKVIDAVIMAS

43. ŽIIS modernizuojama arba likviduojama Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo ir Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, nustatyta tvarka.

44. Sprendimą dėl ŽIIS modernizavimo, techninių ir programinių priemonių kūrimo, plėtros priemonių įgyvendinimo ar likvidavimo priima ŽIIS valdytojas teisės aktų nustatyta tvarka.

45. Likviduojamos ŽIIS duomenys perduodami kitai informacinei sistemai arba sunaikinami, perduodami valstybės archyvams Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka.

IX SKYRIUS

BAIGIAMOSIOS NUOSTATOS

46. ŽIIS valdytojas ir ŽIIS tvarkytojai įgyvendina duomenų subjekto teises vadovaudamiesi Lietuvos Respublikos asmens duomenų apsaugos įstatymo ir kitų teisės aktų nustatyta tvarka.

47. ŽIIS tvarkomi asmens duomenys negali būti teikiami be duomenų subjekto sutikimo, išskyrus atvejus, nurodytus Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme.

48. Tvarkant ir teikiant ŽIIS duomenis, privalo būti užtikrinamos duomenų subjekto teisės Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo, Lietuvos Respublikos pacientų teisių ir žalos sveikatai atlyginimo įstatymo ir kitų teisės aktų nustatyta tvarka.

49. ŽIIS naudotojui suteiktų prieigos teisių lygmuo, parodantis jam prieinamų duomenų apimtį, nustatomas atsižvelgiant į ŽIIS naudotojo funkcijas, t. y. ŽIIS naudotojui gali būti prieinama tik tokia ŽIIS duomenų apimtis, kuri būtina jo funkcijoms vykdyti.

___________________

PATVIRTINTA

Valstybinės ligonių kasos

prie Sveikatos apsaugos ministerijos

direktoriaus 2015 m. liepos 15 d.

įsakymu Nr. 1K-192

ŽALOS IŠIEŠKOJIMO INFORMACINĖS SISTEMOS

DUOMENŲ SAUGOS NUOSTATAI

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Žalos išieškojimo informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Žalos išieškojimo informacinės sistemos (toliau – ŽIIS) saugos politiką, nustato administracines, technines ir kitas priemones, užtikrinančias saugų ŽIIS elektroninių duomenų tvarkymą.

2. Saugos nuostatai parengti vadovaujantis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu, Lietuvos Respublikos kibernetinės saugos įstatymu, Bendraisiais elektroninės informacijos saugos reikalavimais (toliau – Bendrieji reikalavimai), Saugos dokumentų turinio gairių aprašu ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašu (toliau – Gairių aprašas), patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, Ligonių kasų žalos išieškojimo informacinės sistemos nuostatais (toliau – ŽIIS nuostatai), Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos (toliau – VLK) direktoriaus 2012 m. rugpjūčio 27 d. įsakymu Nr. 1K-204 „Dėl veiklos tęstinumo bei rizikos valdymo, informacijos saugos valdymo bei informacinių technologijų paslaugų valdymo sistemų organizacinės struktūros“.

3. Saugos nuostatose vartojamos sąvokos:

3.1. Informacijos saugos įgaliotinis – VLK darbuotojas, atsakingas už informacijos saugos įgyvendinimą VLK ir teritorinėse ligonių kasose, paskirtas VLK direktoriaus įsakymu, ir yra atsakingas už VLK ir teritorinių kasų valdomą rašytinę bei elektroninę informaciją.

3.2. ŽIIS saugos įgaliotinis – VLK direktoriaus įsakymu paskirtas darbuotojas, atsakingas už ŽIIS duomenų saugos įgyvendinimą.

3.3. ŽIIS naudotojas – VLK ar teritorinės ligonių kasos valstybės tarnautojas ar pagal darbo sutartį dirbantis darbuotojas, turintis teisę naudotis ŽIIS ištekliais pareigybių aprašyme nustatytoms funkcijoms atlikti.

3.4. Ligonių kasos – VLK ir teritorinės ligonių kasos.

3.5. Kitos Saugos nuostatose vartojamos sąvokos atitinka Saugos nuostatų 2 punkte nurodytuose teisės aktuose vartojamas sąvokas.

4. ŽIIS duomenų saugos tikslas – sudaryti sąlygas saugiai tvarkyti ŽIIS duomenis, išsaugant konfidencialumą, vientisumą ir prieinamumą.

5. ŽIIS duomenų saugos užtikrinimo prioritetinės kryptys:

5.1. administracinių, techninių ir kitų priemonių, skirtų ŽIIS duomenų saugai užtikrinti, įgyvendinimas ir kontrolė;

5.2. ŽIIS veiklos tęstinumo užtikrinimas.

6. ŽIIS saugos politika įgyvendinama vadovaujantis šiais ŽIIS valdytojo patvirtintais teisės aktais (toliau – saugos politikos įgyvendinamieji teisės aktai):

6.1. Saugos nuostatais;

6.2. Saugaus elektroninės informacijos tvarkymo taisyklėmis;

6.3. Naudotojų administravimo taisyklėmis;

6.4. Veiklos tęstinumo valdymo planu.

7. Saugos nuostatai taikomi ŽIIS valdytojui, ŽIIS tvarkytojams, ŽIIS naudotojams, ŽIIS saugos įgaliotiniui, ŽIIS administratoriui.

8. ŽIIS valdytojas yra VLK (Europos aikštė 1, LT-03505 Vilnius).

9. ŽIIS valdytojas atlieka šias funkcijas:

9.1. prižiūri, kaip laikomasi ŽIIS duomenų saugos reikalavimų;

9.2. tvirtina teisės aktus, susijusius su ŽIIS duomenų tvarkymu ir jų sauga;

9.3. skiria saugos įgaliotinį ir ŽIIS administratorių;

9.4. priima sprendimus dėl ŽIIS informacinių technologijų atitikties saugos reikalavimams vertinimo atlikimo;

9.5. priima sprendimus dėl ŽIIS techninių ir programinių priemonių, būtinų ŽIIS duomenų saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo;

9.6. atsako už ŽIIS duomenų saugą;

9.7. atlieka kitas ŽIIS nuostatais, Saugos nuostatais ir kitais duomenų saugą reglamentuojančiais teisės aktais jam priskirtas funkcijas.

10. ŽIIS tvarkytojai yra:

10.1. VLK (Europos a. 1, LT-03505 Vilnius);

10.2. teritorinės ligonių kasos:

10.2.1. Vilniaus teritorinė ligonių kasa (Ž. Liauksmino g. 6, LT-01101Vilnius);

10.2.2. Kauno teritorinė ligonių kasa (Aukštaičių g. 10, LT-44147 Kaunas);

10.2.3. Klaipėdos teritorinė ligonių kasa (Pievų tako g. 38, LT-92236 Klaipėda);

10.2.4. Šiaulių teritorinė ligonių kasa (Vilniaus g. 273, LT-76332 Šiauliai);

10.2.5. Panevėžio teritorinė ligonių kasa (Respublikos g. 66, LT-35158 Panevėžys).

11. ŽIIS tvarkytojai atlieka šias funkcijas:

11.1. pagal kompetenciją atsako už saugų ŽIIS duomenų tvarkymą;

11.2. užtikrina tinkamą ŽIIS valdytojo priimtų ŽIIS duomenų tvarkymą ir jų saugą reglamentuojančių teisės aktų įgyvendinimą;

11.3. pagal kompetenciją užtikrina, kad ŽIIS duomenų gavėjams būtų perduodami tik tie duomenys, kuriuos jie turi teisę gauti;

11.4. pagal kompetenciją teikia ŽIIS naudotojams metodinę ir informacinę pagalbą ŽIIS saugos klausimais;

11.5. atlieka kitas ŽIIS nuostatais, Saugos nuostatais ir kitais duomenų saugą reglamentuojančiais teisės aktais jiems priskirtas funkcijas ir ŽIIS valdytojo pavestas užduotis.

12. ŽIIS saugos įgaliotinis yra tiesiogiai pavaldus VLK informacijos saugos įgaliotiniui.

13. ŽIIS saugos įgaliotinis, savo veiksmus derindamas su VLK informacijos saugos įgaliotiniu, atlieka šias funkcijas:

13.1. teikia ŽIIS valdytojui pasiūlymus dėl:

13.1.1. ŽIIS administratoriaus skyrimo;

13.1.2. ŽIIS informacinių technologijų saugos atitikties saugos reikalavimams vertinimo atlikimo;

13.2. rengia ŽIIS saugos dokumentų projektus, teikia juos vertinti VLK informacijos saugos įgaliotiniui;

13.3. derina ir teikia ŽIIS saugos dokumentus ŽIIS valdytojui tvirtinti;

13.4. organizuoja ir koordinuoja ŽIIS duomenų saugos incidentų tyrimą;

13.5. teikia ŽIIS administratoriui privalomus vykdyti nurodymus ir pavedimus;

13.6. ne rečiau kaip vieną kartą per metus inicijuoja ŽIIS naudotojų mokymą duomenų saugos klausimais, įvairiais būdais informuoja juos apie ŽIIS duomenų saugos problemas (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės naujiems darbuotojams ir kt.);

13.7. pagal kompetenciją dalyvauja atliekant duomenų saugos rizikos vertinimą;

13.8. atsako už ŽIIS duomenų saugos įgyvendinimą;

13.9. atlieka kitas ŽIIS nuostatais, Saugos nuostatais ir kitais duomenų saugą reglamentuojančiais teisės aktais jam priskirtas funkcijas, informacijos saugos įgaliotinio ar ŽIIS valdytojo pavestas užduotis.

14. Kai nėra ŽIIS saugos įgaliotinio, jo funkcijas atlieka VLK informacijos saugos įgaliotinis.

15. ŽIIS administratorius atlieka šias funkcijas:

15.1. registruoja ŽIIS naudotojus, suteikia jiems prisijungimo vardus ir slaptažodžius, priskiria jiems funkcijas ir teises numatytoms funkcijoms vykdyti;

15.2. nustato ŽIIS pažeidžiamas vietas;

15.3. rengia ir tikrina ŽIIS sudarančių komponentų sąranką;

15.4. kontroliuoja ŽIIS veikimą, organizuoja ŽIIS konfigūravimą;

15.5. atsako už nepertraukiamą ŽIIS veikimą;

15.6. diegia ir atnaujina ŽIIS programinę įrangą;

15.7. prižiūri ŽIIS techninę ir programinę įrangą;

15.8. atsako už atsarginių ŽIIS elektroninių duomenų kopijų darymą;

15.9. pagal kompetenciją konsultuoja ŽIIS naudotojus;

15.10. informuoja ŽIIS saugos įgaliotinį apie saugos politikos pažeidimus, nusikalstamos veikos požymius, neveikiančias arba netinkamai veikiančias ŽIIS duomenų saugos užtikrinimo priemones, ŽIIS pažeidžiamas vietas;

15.11. teikia pasiūlymus ŽIIS saugos įgaliotiniui dėl ŽIIS saugos organizavimo;

15.12. vykdo ŽIIS saugos įgaliotinio nurodymus ir pavedimus, susijusius su ŽIIS duomenų saugos užtikrinimu;

15.13. atlieka kitas ŽIIS nuostatais, Saugos nuostatais ir kitais duomenų saugą reglamentuojančiais teisės aktais jam priskirtas funkcijas.

16. ŽIIS duomenys tvarkomi ir jų saugumas užtikrinamas vadovaujantis šiais teisės aktais:

16.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

16.2. Saugos nuostatų 2 punkte nurodytais teisės aktais;

16.3. Lietuvos standartais LST ISO/IEC 27002 : 2009 ir LST ISO/IEC 27001 : 2013, kitais Lietuvos Respublikos ir tarptautiniais „Informacijos technologija. Saugumo metodai“ grupės standartais, kuriais naudojamasi kaip informacijos saugos užtikrinimo rekomendacinėmis priemonėmis;

16.4. ŽIIS nuostatais, Saugos nuostatais, saugos politikos įgyvendinamaisiais teisės aktais, ligonių kasų saugos dokumentais, nurodytais Informacijos saugos nuostatuose, kitais duomenų saugą reglamentuojančiais teisės aktais.

II SKYRIUS

INFORMACIJOS SAUGOS VALDYMAS

17. Vadovaujantis Gairių aprašo 4.3, 4.3.1. ir 4.3.4 papunkčiais, ŽIIS tvarkoma informacija priskiriama žinybinės svarbos elektroninės informacijos kategorijai.

18. Vadovaujantis Gairių aprašo 5.3 papunkčiu, ŽIIS priskiriama trečios kategorijos informacinėms sistemoms.

19. Atsižvelgiant į saugotinų asmens duomenų pobūdį, jų tvarkymo keliamą riziką ir vadovaujantis Bendraisiais reikalavimais organizacinėms ir techninėms asmens duomenų saugojimo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“, ŽIIS duomenys priskiriami antrajam saugumo lygiui.

20. ŽIIS rizikos vertinimas yra sudėtinė ligonių kasų informacijos saugos rizikos vertinimo dalis, kuri atliekama kartą per metus.

21. Vertinant duomenų saugos riziką turi būti atsižvelgiama į ŽIIS rizikos vertinimui skirtas nuostatas:

21.1. rizikos vertinimas atliekamas ne rečiau kaip kartą per metus, jeigu teisės aktai nenustato kitaip; prireikus gali būti organizuojamas neeilinis ŽIIS rizikos vertinimas. Neeilinis rizikos vertinimas gali būti atliekamas dėl šių esminių įvykių:

21.1.1. teisės aktų, reglamentuojančių valstybinę privalomojo sveikatos draudimo sistemą, pasikeitimų;

21.1.2. esminių ligonių kasų veiklos nuostatų ir pagrindinių veiklos procesų pasikeitimų;

21.1.3. ligonių kasų veiklos sutrikimų, dėl kurių prireikia įgyvendinti veiklos tęstinumo atkūrimo planus;

21.1.4. ŽIIS veiklos sutrikimų, dėl kurių prireikia įgyvendinti ŽIIS veiklos tęstinumo atkūrimo planus;

21.1.5. ŽIIS duomenų saugos incidentų, sukeliančių sunkių padarinių, ir kitais atvejais.

22. ŽIIS rizikos vertinimas išdėstomas VLK ir teritorinių ligonių kasų informacijos saugos rizikos įvertinimo ataskaitoje (toliau – Rizikos įvertinimo ataskaita). Svarbiausi ŽIIS rizikos veiksniai yra šie:

22.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacinių technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);

22.2. subjektyvūs tyčiniai (nusikalstami, neleistini veiksmai, nesankcionuotas naudojimasis ŽIIS duomenimis, jų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugos pažeidimai, vagystės ir kita);

22.3. atsitiktiniai (gedimai, nelaimės ir kita).

23. Siekiant užtikrinti Saugos nuostatuose ir kituose saugos politikos įgyvendinamuosiuose teisės aktuose išdėstytų nuostatų įgyvendinimo kontrolę, vertinant ligonių kasų informacijos saugos riziką, privalo būti atsižvelgiama į šias ŽIIS saugos rizikos vertinimo nuostatas:

23.1. turi būti įvertinta ŽIIS saugos atitiktis Saugos nuostatų, kitų ligonių kasų dokumentų, reglamentuojančių duomenų saugą, reikalavimams;

23.2. turi būti inventorizuojama ŽIIS techninė ir programinė įranga;

23.3. turi būti patikrinama ne mažiau kaip 10 procentų atsitiktinai parinktų ŽIIS naudotojų kompiuterinių darbo vietų ir visose tarnybinėse stotyse įdiegta ŽIIS programinė įranga;

23.4. turi būti patikrinama ŽIIS naudotojams suteiktų teisių atitiktis jų vykdomoms funkcijoms;

23.5. turi būti įvertinamas pasirengimas atkurti ŽIIS veiklą, įvykus ŽIIS duomenų saugos incidentui.

24. ŽIIS saugos įgaliotinis, atsižvelgdamas į Rizikos įvertinimo ataskaitą, teikia siūlymus VLK informacijos saugos įgaliotiniui dėl priemonių, kuriomis būtų mažinama ŽIIS rizika, įrašymo į Informacijos saugos rizikos tvarkymo planą. Turi būti pasirenkamos ŽIIS duomenų saugos priemonės, kurios leidžia:

24.1. užtikrinti patalpų saugą;

24.2. užtikrinti kompiuterinės ir programinės įrangos veikimo saugą;

24.3. užtikrinti kompiuterių tinklų veikimo saugą;

24.4. užtikrinti ŽIIS naudotojų mokymą ir informavimą apie duomenų tvarkymo saugą.

25. ŽIIS duomenų saugos priemonės turi garantuoti ŽIIS duomenų saugą:

25.1. jų registravimo ir perdavimo ryšio kanalais, saugojimo, apdorojimo, teikimo ir naudojimo metu;

25.2. apsaugoti nuo nesankcionuoto ar neteisėto naudojimo, kaupimo, keitimo, perdavimo, skelbimo ir sunaikinimo.

III SKYRIUS

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

26. Priemonės ir metodai, taikomi užtikrinant prieigą prie ŽIIS, nustatomi ŽIIS naudotojų administravimo taisyklėse.

27. Programinės įrangos, užtikrinančios saugų ŽIIS veikimą, naudojimo nuostatos ir reikalavimai:

27.1. ŽIIS turi būti naudojama tik teisėta programinė įranga;

27.2. tarnybinėse stotyse ir ŽIIS naudotojų kompiuterinėse darbo vietose privalo būti naudojama programinė įranga, apsauganti nuo virusų, kenksmingos programinės įrangos, nepageidaujamo elektroninio pašto ir atnaujinama ne rečiau kaip kartą per parą;

27.3. ŽIIS privalo būti realizuota galimybė identifikuoti ŽIIS naudotojus, fiksuoti jų atliekamus ŽIIS duomenų tvarkymo ir kitus veiksmus;

27.4. ŽIIS naudotojams prieiga prie ŽIIS suteikiama tik per registravimosi ir slaptažodžių sistemą;

27.5. ŽIIS naudotojų kompiuterinėse darbo vietose draudžiama naudoti programinę įrangą, nesusijusią su tiesiogine jų veikla ir funkcijomis;

27.6. ŽIIS naudotojų kompiuterinės darbo vietos, programinė įranga, jos sertifikatai ir licencijos kasmet turi būti inventorizuojami.

28. Už saugų ŽIIS kompiuterių tinklų veikimą pagal kompetenciją atsako ŽIIS tvarkytojų kompiuterių tinklų administratoriai.

29. Prieigai prie ŽIIS naudojami kompiuteriai gali būti naudojami ir kitoms ligonių kasų darbuotojo funkcijoms, numatytoms pareigybių aprašyme, atlikti.

30. Nešiojamieji ŽIIS naudotojų kompiuteriai ne ŽIIS tvarkytojo patalpose privalo būti naudojami tik tiesioginėms pareigoms vykdyti.

31. Nešiojamiesiems ŽIIS naudotojų kompiuteriams privalomos papildomos saugos priemonės, skirtos ŽIIS duomenims perduoti saugiu šifruotu duomenų perdavimo protokolu.

32. ŽIIS naudojamo telekomunikacinio tinklo apsaugos priemonės:

32.1. tinklo segmentavimas;

32.2. prieigos kontrolės sąrašai;

32.3. tinklo išorinis perimetras apsaugomas internete prieigos ugniasiene;

32.4. tinklo adresų transliavimas.

33. ŽIIS duomenų atsarginės kopijos daromos ir ŽIIS duomenys atkuriami Elektroninių duomenų kopijų darymo tvarkos aprašo, patvirtinto VLK direktoriaus 2012 m. sausio 24 d. įsakymu Nr. 1K-14 „Dėl Elektroninių duomenų kopijų darymo tvarkos aprašo patvirtinimo“, nustatyta tvarka.

34. ŽIIS duomenų saugos valdymo procesą koordinuoja Informacijos saugos įgaliotinis.

IV SKYRIUS

REIKALAVIMAI PERSONALUI

35. ŽIIS saugos įgaliotinis privalo išmanyti duomenų saugos užtikrinimo principus, savo darbe vadovautis Bendraisiais reikalavimais, Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“, kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais informacinių sistemų informacijos tvarkymą, standartais ir ligonių kasų saugos dokumentais, turėti atitinkamą kvalifikaciją, sugebėti prižiūrėti, kaip įgyvendinami ligonių kasų saugos dokumentų, reglamentuojančių ligonių kasų informacinių sistemų ir registrų saugą, reikalavimai, taip pat turėti darbo su duomenų bazėmis, operacinėmis sistemomis, taikomosiomis programomis patirties.

36. ŽIIS administratorius privalo išmanyti duomenų saugos principus, darbą su kompiuterių tinklais, mokėti užtikrinti jų saugą, taip pat administruoti ir prižiūrėti duomenų bazes, turi būti susipažinęs su Saugos nuostatais ir kitais ligonių kasų dokumentais, reglamentuojančiais ligonių kasų informacinių sistemų ir registrų saugą, taip pat kitomis ligonių kasų vidaus ir darbo saugos taisyklėmis.

37. ŽIIS naudotojai privalo turėti pagrindinius darbo kompiuteriu įgūdžius, mokėti tvarkyti ŽIIS duomenis ir būti susipažinę su Saugos nuostatais, kitais ligonių kasų dokumentais, reglamentuojančiais informacinių sistemų ir registrų saugą.

38. ŽIIS saugos įgaliotinis ir administratorius turi nuolat tobulinti kvalifikaciją duomenų saugos srityje.

39. ŽIIS naudotojai turi būti mokomi dirbti su ŽIIS. Mokymus pagal kompetenciją organizuoja ŽIIS valdytojas.

V SKYRIUS

ŽIIS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

40. Už ŽIIS naudotojų supažindinimą su Saugos nuostatais, saugos politikos įgyvendinamaisiais teisės aktais, kitais teisės aktais, kuriais vadovaujamasi tvarkant duomenis, ir atsakomybe už šių reikalavimų nesilaikymą yra atsakingas ŽIIS saugos įgaliotinis.

41. ŽIIS naudotojui Informacijos saugos nuostatuose nustatyta tvarka pasirašytinai susipažinus su ŽIIS saugą reglamentuojančiais dokumentais, ŽIIS saugos įgaliotinis Informacijos saugos nuostatuose nustatyta tvarka teikia ŽIIS naudotojui pasirašyti konfidencialumo pasižadėjimą, kurį perduoda VLK informacijos saugos įgaliotiniui.

42. Visi ŽIIS saugos politiką reglamentuojantys teisės aktai skelbiami ŽIIS naudotojams pasiekiamoje interneto svetainėje adresu: http://vlknet/docs/SitePages/Pagrindinis.aspx.

http://vlknet/docs/SitePages/Pagrindinis.aspx

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

43. Saugos nuostatai ir saugos politikos įgyvendinamieji teisės aktai turi būti apsvarstomi ne rečiau kaip kartą per kalendorinius metus, atlikus ligonių kasų informacijos saugos rizikos vertinimą ar informacinių technologijų saugos atitikties saugos reikalavimams vertinimą, ar įvykus esminiams organizaciniams, technologiniams ir kitiems ŽIIS pokyčiams.

44. ŽIIS valdytojas, tvarkytojai, saugos įgaliotinis, administratorius ir ŽIIS naudotojai privalo įgyvendinti Saugos nuostatuose ir duomenų tvarkymą reglamentuojančiuose teisės aktuose nustatytas organizacines ir technines priemones, skirtas ŽIIS duomenų saugai užtikrinti.

45. Saugos įgaliotinis, ŽIIS naudotojai, administratorius, kiti asmenys, pažeidę Saugos nuostatų ir saugos politikos įgyvendinamųjų teisės aktų reikalavimus, atsako įstatymų ir kitų teisės aktų nustatyta tvarka.

_______________________