PATVIRTINTA

Lietuvos Respublikos vidaus reikalų ministro

2023 m. gegužės 15 d. įsakymu Nr. 1V-287

VIDAUS REIKALŲ MINISTERIJOS ir įstaigų prie VIDAUS REIKALŲ MINISTERIJOS VALDOMŲ REGISTRŲ ir VALSTYBĖS INFORMACINIŲ SISTEMŲ DUOMENŲ TVARKYMO IR PERŽIŪROS veiksmų AUDITAVIMO TAISYKLĖS

I SKYRIUS

Bendrosios nuostatos

1. Vidaus reikalų ministerijos ir įstaigų prie Vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų duomenų tvarkymo ir peržiūros veiksmų auditavimo taisyklės (toliau – Taisyklės) nustato Lietuvos Respublikos vidaus reikalų ministerijos ir įstaigų prie Vidaus reikalų ministerijos valdomų bei Informatikos ir ryšių departamento prie Lietuvos Respublikos vidaus reikalų ministerijos (toliau – Informatikos ir ryšių departamentas) tvarkomų registrų ir valstybės informacinių sistemų, įskaitant Europos Sąjungos informacines sistemas, prie kurių prieigą užtikrina Informatikos ir ryšių departamentas, (toliau – informacinės sistemos) duomenų ir asmens duomenų (toliau – duomenys) tvarkymo ir peržiūros veiksmų kontrolės tvarką.

2. Duomenų tvarkymo ir peržiūros veiksmų kontrolės tikslas – užtikrinti informacinių sistemų duomenų tvarkymo ir peržiūros teisėtumą ir informacinių sistemų naudotojų veiksmų auditavimą, duomenų saugą, duomenų subjektų teises, sumažinti galimų duomenų tvarkymo pažeidimų atsiradimo riziką, užtikrinti žvalgybos institucijų, kriminalinės žvalgybos subjektų ir ikiteisminio tyrimo įstaigų vykdomų duomenų tvarkymo ir peržiūros veiksmų konfidencialumą, siekiant užtikrinti netrukdomus žvalgybos institucijų, kriminalinės žvalgybos subjektų ir ikiteisminio tyrimo įstaigų vykdomus tyrimus.

3. Duomenų tvarkymo ir peržiūros veiksmų kontrolės uždaviniai:

3.1. užkirsti kelią neteisėtam duomenų įvedimui ir neteisėtam duomenų tikrinimui, keitimui arba ištrynimui informacinėse sistemose;

3.2. užtikrinti, kad būtų galima patikrinti ir nustatyti, kokius duomenis, kada, kas ir kokiu tikslu tvarkė informacinėje sistemoje;

3.3. užtikrinti, kad kiekviena institucija, turinti prieigos prie informacinių sistemų teisę, imtųsi savikontrolės priemonių, kad būtų laikomasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymo, kitų teisės aktų, reglamentuojančių informacinių sistemų duomenų naudojimo sąlygas ir tvarką, reikalavimų, ir prireikus galėtų atlikti duomenų saugumo pažeidimo tyrimą bei bendradarbiauti su priežiūros institucija – Lietuvos Respublikos valstybine duomenų apsaugos inspekcija.

4. Taisyklės parengtos vadovaujantis šiais teisės aktais:

4.1. 2008 m. liepos 9 d. Europos Parlamento ir Tarybos reglamentu (EB) Nr. 767/2008 dėl Vizų informacinės sistemos (VIS) ir apsikeitimo duomenimis apie trumpalaikes vizas tarp valstybių narių (VIS reglamentas), su visais pakeitimais;

4.2. Reglamentu (ES) 2016/679;

4.3. 2017 m. lapkričio 30 d. Europos Parlamento ir Tarybos reglamento (ES) 2017/2226, kuriuo sukuriama atvykimo ir išvykimo sistema (AIS), kurioje registruojami trečiųjų šalių piliečių, kertančių valstybių narių išorės sienas, atvykimo ir išvykimo bei atsisakymo leisti jiems atvykti duomenys, nustatomos prieigos prie AIS teisėsaugos tikslais sąlygos ir iš dalies keičiama Konvencija dėl Šengeno susitarimo įgyvendinimo ir reglamentai (EB) Nr. 767/2008 ir (ES) Nr. 1077/2011, su visais pakeitimais, 43 straipsniu;

4.4. 2018 m. rugsėjo 12 d. Europos Parlamento ir Tarybos reglamento (ES) 2018/1240, kuriuo sukuriama Europos kelionių informacijos ir leidimų sistema (ETIAS) ir iš dalies keičiami reglamentai (ES) Nr. 1077/2011, (ES) Nr. 515/2014, (ES) 2016/399, (ES) 2016/1624 ir (ES) 2017/2226, su visais pakeitimais, 59 straipsniu;

4.5. 2018 m. lapkričio 28 d. Europos Parlamento ir Tarybos reglamentu (ES) 2018/1860 dėl Šengeno informacinės sistemos naudojimo neteisėtai esančių trečiųjų šalių piliečių grąžinimui, su visais pakeitimais;

4.6. 2018 m. lapkričio 28 d. Europos Parlamento ir Tarybos reglamentu (ES) 2018/1861 dėl Šengeno informacinės sistemos (SIS) sukūrimo, eksploatavimo ir naudojimo patikrinimams kertant sieną, kuriuo iš dalies keičiama Konvencija dėl Šengeno susitarimo įgyvendinimo ir iš dalies keičiamas bei panaikinimas Reglamentas (EB) Nr. 1987/2006, su visais pakeitimais;

4.7. 2018 m. lapkričio 28 d. Europos Parlamento ir Tarybos reglamentu (ES) 2018/1862 dėl Šengeno informacinės sistemos (SIS) sukūrimo, eksploatavimo ir naudojimo policijos bendradarbiavimui ir teisminiam bendradarbiavimui baudžiamosiose bylose, kuriuo iš dalies keičiamas ir panaikinamas Tarybos sprendimas 2007/533/TVR ir panaikinamas Europos Parlamento ir Tarybos reglamentas (EB) Nr. 1986/2006 ir Komisijos sprendimas 2010/261/ES, su visais pakeitimais;

4.8. 2019 m. balandžio 17 d. Europos Parlamento ir Tarybos reglamento (ES) 2019/816, kuriuo Europos nuosprendžių registrų informacinei sistemai papildyti sukuriama centralizuota valstybių narių, turinčių informacijos apie priimtus trečiųjų šalių piliečių ir asmenų be pilietybės apkaltinamuosius nuosprendžius, nustatymo sistema (ECRIS-TCN) ir kuriuo iš dalies keičiamas Reglamentas (ES) 2018/1726, su visais pakeitimais, 31 straipsniu;

4.9. 2019 m. gegužės 20 d. Europos Parlamento ir Tarybos reglamento (ES) 2019/817 dėl ES informacinių sistemų sienų ir vizų srityje sąveikumo sistemos sukūrimo, kuriuo iš dalies keičiami Europos Parlamento ir Tarybos reglamentai (EB) Nr. 767/2008, (ES) 2016/399, (ES) 2017/2226, (ES) 2018/1240, (ES) 2018/1726 ir (ES) 2018/1961 bei Tarybos sprendimai 2004/512/EB ir 2008/633/TVR, su visais pakeitimais, 36 straipsnio 2 dalimi;

4.10. 2019 m. gegužės 20 d. Europos Parlamento ir Tarybos reglamento (ES) 2019/818 dėl ES informacinių sistemų policijos ir teisminio bendradarbiavimo, prieglobsčio ir migracijos srityje sąveikumo sistemos sukūrimo, kuriuo iš dalies keičiami reglamentai (ES) 2018/1726, (ES) 2018/1862 ir (ES) 2019/816, su visais pakeitimais, 24 straipsnio 5 dalimi;

4.11. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

4.12. Lietuvos Respublikos kriminalinės žvalgybos įstatymu;

4.13. Lietuvos Respublikos žvalgybos įstatymu;

4.14. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu;

4.15. Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatymu;

4.16. Lietuvos Respublikos kibernetinio saugumo įstatymu;

4.17. Asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymu;

4.18. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

4.19. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

4.20. Kai kurių Lietuvos Respublikos vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2017 m. gruodžio 22 d. įsakymu Nr. 1V-883 „Dėl Kai kurių Lietuvos Respublikos vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų duomenų saugos nuostatų patvirtinimo“;

4.21. Kai kurių Lietuvos Respublikos vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų naudotojų administravimo taisyklėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2018 m. lapkričio 26 d. įsakymu Nr. 1V-871 „Dėl Kai kurių Lietuvos Respublikos vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklių, naudotojų administravimo taisyklių ir veiklos tęstinumo valdymo plano patvirtinimo“;

4.22. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

4.23. kitais teisės aktais, reglamentuojančiais informacinių sistemų duomenų tvarkymą.

5. Taisyklėse vartojamos pagrindinės sąvokos:

5.1. duomenų tvarkymo pažeidimas – informacinės sistemos naudotojo atlikti veiksmai, nesilaikant Europos Sąjungos ir (arba) Lietuvos Respublikos teisės aktų nuostatų, reglamentuojančių duomenų saugumą ir asmens duomenų apsaugą;

5.2. informacinės sistemos duomenų teikimo kitiems registrams ir informacinėms sistemoms procedūra – informacinės sistemos duomenų teikimas duomenų gavėjams automatiniu būdu pagal duomenų teikimo sutartį registrų ir (ar) informacinių sistemų sąveikai užtikrinti;

5.3. informacinės sistemos naudotojo teisių pažeidimas – neteisėtas informacinės sistemos naudotojo atpažinimo duomenų (informacinės sistemos naudotojo vardo ir slaptažodžio) ir (arba) teisių panaudojimas;

5.4. informacinės sistemos naudotojo veiksmas – vienkartinis informacinės sistemos naudotojo duomenų tvarkymo veiksmas: prisijungimas, atsijungimas, paieška, peržiūra, spausdinimas, sukūrimas, keitimas, naikinimas, atliekamas siekiant tvarkyti informacinės sistemos duomenis, naudojant informacinės sistemos duomenų tvarkymo ir (ar) kitas duomenų paieškos taikomąsias programas;

5.5. ypatingasis informacinės sistemos naudotojas – žvalgybos institucijos, kriminalinės žvalgybos subjekto ar ikiteisminio tyrimo įstaigos pareigūnas, kuriam atitinkamos įstaigos vadovas ar jo įgaliotas asmuo, atsižvelgdamas į pareigūno vykdomas funkcijas, įsakymu suteikė ypatingojo informacinės sistemos naudotojo statusą ir apie kurio vykdytus duomenų tvarkymo ir peržiūros veiksmus be ypatingojo informacinės sistemos naudotojo įstaigos vadovo ar jo įgalioto asmens leidimo draudžiama perduoti (atskleisti) kitiems asmenims;

5.6. suinteresuotos institucijos – ne Vidaus reikalų ministerijos reguliavimo srities institucijos ar įstaigos – informacinių sistemų tvarkytojai arba informacinių sistemų duomenų gavėjai, kurių darbuotojams suteiktos informacinių sistemų naudotojų teisės;

5.7. kitos Taisyklėse vartojamos sąvokos atitinka sąvokas, apibrėžtas Taisyklių 4 punkte nurodytuose teisės aktuose.

II SKYRIUS

Informacinių sistemų audito posistemė

6. Informacinių sistemų duomenų tvarkymo ir peržiūros teisėtumui užtikrinti naudojama Vidaus reikalų integracinės platformos audito posistemė (toliau – audito posistemė). Audito posistemės taikomoji programinė įranga skirta audito posistemėje sukauptiems duomenims analizuoti, atliekant informacinės sistemos naudotojo duomenų tvarkymo veiksmų patikrinimus, informacinės sistemos naudotojų teisių pažeidimams aiškinti ir Taisyklių nustatyta tvarka audito posistemės duomenims teikti. Audito posistemėje kaupiami duomenys apie informacinės sistemos naudotojų prisijungimus prie informacinių sistemų, atsijungimus, vykdytas užklausas ir gautus rezultatus, kitus duomenų tvarkymo veiksmus, informacinės sistemos duomenų teikimo kitiems registrams ir informacinėms sistemoms procedūras.

7. Informacinės sistemos naudotojo veiksmų ir bandymų juos atlikti įrašai ar užfiksuoti informacinės sistemos duomenų teikimo kitiems registrams ir informacinėms sistemoms procedūrų įrašai (toliau – audito įrašai) audito posistemėje įrašomi automatiniu būdu. Audito posistemėje taip pat fiksuojamos užklausos, pagal kurias informacinės sistemos naudotojas negavo užklausą tenkinančių rezultatų.

8. Audito posistemėje esančius audito įrašus galima eksportuoti į informacinę rinkmeną – duomenų tvarkymo ir peržiūros kontrolės veiksmų sąrašą.

9. Informacinių sistemų duomenų tvarkymo veiksmų patikrą bei audito įrašų peržiūrą audito posistemėje gali atlikti Informatikos ir ryšių departamentas – dėl visų informacinių sistemų, Policijos departamentas prie Vidaus reikalų ministerijos bei Valstybės sienos apsaugos tarnyba prie Vidaus reikalų ministerijos – dėl jų valdomų informacinių sistemų. Migracijos departamentas prie Vidaus reikalų ministerijos – dėl Migracijos departamento prie Vidaus reikalų ministerijos naudotojų vykdytų duomenų tvarkymo ir peržiūros veiksmų. Šių įstaigų vadovai paskiria už duomenų peržiūros kontrolę atsakingus asmenis, kuriems Informatikos ir ryšių departamentas suteikia teises vykdyti audito įrašų peržiūrą.

10. Informacinių sistemų tvarkytojams ir suinteresuotoms institucijoms, siekiantiems atlikti informacinės sistemos naudotojų veiksmų audito įrašų analizę ir įsitikinti, ar paieškos informacinėse sistemose yra teisėtos, vykdyti duomenų tvarkymo teisėtumo stebėseną ir savikontrolę bei užtikrinti duomenų vientisumą bei saugumą, neviršijant jų kompetencijos ir jiems paprašius, Informatikos ir ryšių departamentas parengia informacinę rinkmeną – duomenų tvarkymo ir peržiūros kontrolės veiksmų sąrašą pagal informacinės sistemos tvarkytojo ir suinteresuotų institucijų nustatytus patikros kriterijus.

III SKYRIUS

Audito posistemės duomenys

11. Audito posistemėje tvarkomi šie duomenys:

11.1. informacinės sistemos naudotojo duomenys:

11.1.1. indentifikavimo kodas;

11.1.2. vardas;

11.1.3. pavardė;

11.1.4. asmens kodas;

11.1.5. pareigos;

11.2. informacinės sistemos naudotojo kompiuterio IP adresas;

11.3. informacinės sistemos naudotojo atliktos užklausos unikalus numeris (suteikiamas automatiškai);

11.4. informacinės sistemos naudotojo atliktos užklausos tipas (prisijungimas, atsijungimas, paieška, peržiūra, spausdinimas, sukūrimas, keitimas, naikinimas);

11.5. taikomosios programos, kurią naudojant buvo atlikta užklausa, pavadinimas ar identifikavimo kodas informacinių sistemų naudotojų administravimo posistemėje;

11.6. užklausos data ir laikas;

11.7. duomenų paieškos pagrindas;

11.8. duomenų paieškos pagrindo patikslinimas;

11.9. duomenų objektą informacinėje sistemoje identifikuojantis kodas;

11.10. informacinės sistemos duomenų paieškos ir peržiūros duomenys:

11.10.1. duomenų paieškos kriterijai (duomenys), pagal kuriuos vykdyta duomenų paieška;

11.10.2. informacinės sistemos naudotojo peržiūrėtų paieškos rezultatų turinys (užklausos rezultato tekstas);

11.11. kai atliekami informacinės sistemos duomenų tvarkymo (sukūrimo, keitimo, naikinimo) veiksmai – šių duomenų kitimo duomenys (duomenų keitimo istorija):

11.11.1. reikšmė prieš duomenų pakeitimą;

11.11.2. reikšmė po duomenų pakeitimo;

11.12. informacinės sistemos duomenų teikimo kitiems registrams ir informacinėms sistemoms procedūros duomenys:

11.12.1. data ir laikas;

11.12.2. informacinė sistema / registras, kuriems teikiami duomenys;

11.12.3. pateikti duomenys;

11.12.4. informacinių sistemų duomenų paieškos pagrindų sąrašas (priedas).

IV SKYRIUS

Audito posistemės duomenų tvarkymas

12. Siekiant užtikrinti teisėtą duomenų tvarkymą ir peržiūrą informacinėse sistemose, informacinės sistemos naudotojui sudaryta galimybė naudotis duomenų paieškos taikomosiomis programomis tik tuomet, kai jis nurodo informacinių sistemų duomenų paieškos pagrindą ir su šiuo pagrindu susijusius papildomus duomenis (priedas). Duomenų paieškos pagrindas nurodomas apibendrintai, pavyzdžiui, kai ieškomi asmens duomenys atliekant ikiteisminį tyrimą, iš galimų paieškos pagrindų sąrašo (priedas) pasirenkamas pagrindas „Ikiteisminis tyrimas“ ir nurodomi papildomi duomenys. Jeigu nė vienas iš siūlomų pagrindų nėra tinkamas, pasirenkamas pagrindas „Kitas tarnybinis naudojimas“ ir įrašomas tekstas, tiksliausiai apibūdinantis duomenų paieškos pagrindą ir jo teisėtumą.

13. Užklausų fiksavimo funkcija turi vienodai veikti bet kurioje informacinių sistemų duomenų tvarkymo ar paieškos taikomojoje programoje, taip pat elektroninių paslaugų portaluose, t. y. atliekant asmens duomenų paiešką visuomet fiksuojami Taisyklių 11 punkte nurodyti duomenys. Šis reikalavimas privalomai įtraukiamas į informacinių sistemų taikomųjų programinių priemonių, skirtų asmens duomenims tvarkyti, technines specifikacijas.

14. Naudojimasis audito įrašų duomenimis taip pat kontroliuojamas ir fiksuojamas audito posistemėje. Audito įrašų duomenys pasiekiami tik kompetentingam asmeniui, turinčiam prieigą prie audito posistemės.

V SKYRIUS

Audito posistemės duomenų teikimas

15. Audito posistemės duomenys teikiami esant vienam iš šių pagrindų:

15.1. atliekamas informacinės sistemos naudotojo vykdytų duomenų tvarkymo ir peržiūros veiksmų teisėtumo ar duomenų saugumo pažeidimo tyrimas;

15.2. atliekamas planinis ar kontrolinis (esant pažeidžiamumo įtarimui prevencijos tikslais), duomenų tvarkymo ir peržiūros informacinėse sistemose teisėtumo ir saugumo užtikrinimo pažeidžiamumo patikrinimas;

15.3. informacinės sistemos duomenų vientisumo pažeidimų nustatymo ir pažeistų duomenų atkūrimo bei dokumentavimo atvejais;

15.4. audito posistemės duomenų pagrindu taip pat teikiami duomenys įgyvendinant duomenų subjektų teises, vadovaujantis Reglamentu (ES) 2016/679 ar Asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymu.

16. Duomenys viešai neskelbiami ir kitais pagrindais neteikiami.

17. Audito posistemės duomenis, esant bent vienam Taisyklių 15 punkte nurodytam pagrindui, teikia:

17.1. Informatikos ir ryšių departamentas – dėl visų informacinių sistemų naudotojų vykdytų duomenų tvarkymo ir peržiūros veiksmų; duomenis dėl ypatingųjų informacinių sistemų naudotojų vykdytų duomenų tvarkymo ir peržiūros veiksmų Informatikos ir ryšių departamentas gali teikti tik gavęs ypatingojo informacinės sistemos naudotojo įstaigos vadovo ar jo įgalioto asmens sutikimą (leidimą);

17.2. Policijos departamentas prie Vidaus reikalų ministerijos, Valstybės sienos apsaugos tarnyba prie Vidaus reikalų ministerijos – dėl šių įstaigų informacinių sistemų naudotojų vykdytų duomenų tvarkymo ir peržiūros veiksmų, taip pat dėl kitų institucijų naudotojų vykdyto duomenų tvarkymo ir peržiūros veiksmų jų valdomose informacinėse sistemose; Migracijos departamentas prie Vidaus reikalų ministerijos – dėl Migracijos departamento prie Vidaus reikalų ministerijos naudotojų vykdytų duomenų tvarkymo ir peržiūros veiksmų; duomenys dėl ypatingųjų informacinių sistemų naudotojų vykdytų duomenų tvarkymo ir peržiūros veiksmų gali būti teikiami tik gavus ypatingojo informacinės sistemos naudotojo įstaigos vadovo ar jo įgalioto asmens sutikimą (leidimą).

18. Audito įrašų duomenys, kai kreipiamasi Taisyklių 15.1–15.3 papunkčiuose nurodytais pagrindais, teikiami pagal rašytinius paklausimus, pasirašytus:

18.1. ypatingojo informacinės sistemos naudotojo įstaigos vadovo ar jo įgalioto asmens, ar padalinio vadovo – dėl šios įstaigos ar jos padalinių informacinių sistemų naudotojų ir ypatingųjų informacinių sistemų naudotojų vykdyto duomenų tvarkymo ir peržiūros, taip pat dėl kitų įstaigų naudotojų veiksmų, jei tai susiję su atliekamu tyrimu;

18.2. įstaigos, taip pat suinteresuotų institucijų, vadovo ar jo įgalioto asmens, ar padalinio vadovo – tik dėl jų vadovaujamų įstaigų ar padalinių informacinių sistemų naudotojų vykdyto duomenų tvarkymo ir peržiūros.

19. Rašytiniame paklausime dėl duomenų gavimo iš audito posistemės būtina nurodyti duomenis pasirinktinai:

19.1. paklausimo pagrindą, tikrinamo informacinių sistemų naudotojo asmens kodą, vardą, pavardę, užklausos datą arba vykdymo laikotarpį, informaciją, ar tikrinamas naudotojas yra (nėra) ypatingasis informacinių sistemų naudotojas, jei kreipiamasi dėl konkretaus informacinių sistemų naudotojo vykdyto duomenų tvarkymo ir peržiūros teisėtumo;

19.2. paklausimo pagrindą, asmens duomenų subjektų, kurių, kaip numanoma, asmens duomenų buvo ieškoma, asmens kodus, gimimo datas, pavardes, vardus, ir kitus žinomus duomenis, numanomą užklausos datą arba užklausos vykdymo laikotarpį, jei kreipiamasi dėl asmens duomenų peržiūros teisėtumo ar asmens duomenų saugumo pažeidimo tyrimo;

19.3. paklausimo pagrindą, duomenų peržiūros datą ar vykdymo laikotarpį, jei kreipiamasi dėl informacinių sistemų duomenų vientisumo pažeidimų nustatymo ir pažeistų duomenų atkūrimo ir dokumentavimo atvejų.

20. Jei duomenų užklausą atliko ypatingasis informacinių sistemų naudotojas, duomenys apie duomenų tvarkymą ir peržiūrą be žvalgybos institucijos, kriminalinės žvalgybos subjekto ar ikiteisminio tyrimo vadovo arba įgalioto asmens ar padalinio vadovo sutikimo (leidimo) neteikiami.

21. Pagal žvalgybos institucijos, kriminalinės žvalgybos subjekto ar ikiteisminio tyrimo vadovo arba jo įgalioto asmens ar padalinio vadovo paklausimą atlikus paiešką audito posistemėje ir gavus duomenų apie kitų žvalgybos institucijų, kriminalinės žvalgybos subjektų ar ikiteisminio tyrimo įstaigų ypatingųjų informacinių sistemų naudotojų vykdytą duomenų peržiūrą, paklausimą pateikusiam subjektui siunčiami tik su jo informacinių sistemų naudotojais ar ypatingaisiais informacinių sistemų naudotojais susiję duomenys, likusi informacija neteikiama.

22. Informacinių sistemų naudotojų įstaigos ne rečiau kaip kartą per metus atlieka planinį duomenų tvarkymo ir peržiūros veiksmų teisėtumo patikrinimą. Įstaigos, valdančios ypatingos svarbos informacinius išteklius, ne rečiau kaip kartą per mėnesį atlieka ypatingos svarbos informacinių išteklių naudotojų veiksmų audito įrašų analizę.

23. Patikrinimo ataskaitos, kurių informacinių sistemų naudotojų (ar ypatingųjų informacinių sistemų naudotojų) duomenų tvarkymo ir peržiūros veiksmai buvo tikrinti, teikiamos institucijų ar įstaigų vadovams. Vadovai užtikrina, kad jų vadovaujamų įstaigų informacinių sistemų naudotojų veiksmai būtų patikrinti ir, jeigu nustatomas informacinės sistemos naudotojo teisių pažeidimo ar duomenų tvarkymo pažeidimo faktas (toliau – pažeidimas), būtų pradėtas tyrimas dėl informacinės sistemos naudotojo duomenų tvarkymo veiksmų teisėtumo.

24. Pradėjus tyrimą dėl informacinės sistemos naudotojo duomenų tvarkymo veiksmų teisėtumo, naudotojas informuojamas, kad pradėtas tyrimas ir jo teisės naudotis informacine sistema yra sustabdytos. Apie tai informacinės sistemos naudotojo įstaiga raštu informuoja atitinkamos informacinės sistemos naudotojų teisių administratorių, kuris informacinių sistemų naudotojų administravimo taisyklių nustatyta tvarka nedelsdamas turi sustabdyti prieigą.

VI SKYRIUS

Audito posistemės Duomenų saugojimas, naikinimas

25. Naudotojo atliktų veiksmų ir bandymų juos atlikti įrašai saugomi audito posistemės duomenų bazėje 3 metus nuo užklausos ar kito duomenų tvarkymo veiksmo įvykdymo dienos, jeigu informacinės sistemos nuostatuose ar kituose jos duomenų tvarkymą reglamentuojančiuose teisės aktuose nenustatyta kitaip.

26. Audito posistemėje duomenys, pasibaigus saugojimo terminui, automatiškai sunaikinami.

27. Audito posistemėje duomenys nekeičiami, jų priežiūrą ir saugą užtikrina Informatikos ir ryšių departamentas.

VII SKYRIUS

Baigiamosios nuostatos

28. Asmenys, duomenų tvarkymo ar peržiūros procese pažeidę Taisykles, atsako Lietuvos Respublikos teisės aktų, nustatančių atsakomybę už asmens duomenų ar informacinių sistemų duomenų tvarkymo pažeidimą, nustatyta tvarka.

_________________________

Eil. Nr.	Pagrindai (pasirenkami iš sąrašo)	Papildomai įvedami duomenys
1.	Administracinio nusižengimo tyrimas	Administracinio nusižengimo registro objekto identifikavimo kodas (ROIK); tarnybinio pranešimo data, numeris
2.	Ikiteisminis tyrimas	Ikiteisminio tyrimo data, numeris
3.	Kriminalinės žvalgybos tyrimas	Medžiagos registracijos data, numeris
4.	Pranešimo, pavedimo, paklausimo tyrimas	Pranešimo, pavedimo, paklausimo registracijos data, numeris
5.	Skundo, prašymo, pareiškimo tyrimas	Skundo, prašymo, pareiškimo registracijos data, numeris, siuntėjas
6.	Tarnybinis patikrinimas	Tarnybinio pranešimo data, numeris
7.	Teisės pažeidimo tyrimas	Teisės pažeidimo tyrimo medžiagos registracijos data, numeris; tarnybinio pranešimo data, numeris
8.	Paklausimo vykdymas	Rašto data, numeris, siuntėjas
9.	Pažymos rengimas	Pažymos tipas, data, numeris
10.	Dokumentų išdavimas, tikrinimas, keitimas	Prašymo, rašto registracijos data, numeris
11.	Licencijavimo veiklos funkcijos vykdymas	Medžiagos registracijos data, numeris
12.	Paklausimas iš diplomatinės įstaigos	Diplomatinės įstaigos paklausimo registracijos data, numeris, siuntėjas
13.	Lietuvos Respublikos pilietybės klausimų sprendimas	Medžiagos registracijos data, numeris
14.	Migracijos klausimų sprendimas	Medžiagos registracijos data, numeris
15.	Asmens teisinės padėties Lietuvos Respublikoje nustatymas	Medžiagos registracijos data, numeris
16.	Duomenų patikslinimas, sutikrinimas	Su paieškos pagrindu susiję duomenys
17.	Kitas tarnybinis naudojimas	Su paieškos pagrindu susiję duomenys