LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRAS
ĮSAKYMAS
DĖL LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRO 2015 M. BIRŽELIO 22 D. ĮSAKYMO NR. V-780 „DĖL VAIKŲ SVEIKATOS STEBĖSENOS INFORMACINĖS SISTEMOS NUOSTATŲ IR DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO“ PAKEITIMO
2019 m. balandžio 23 d. Nr. V-489
Vilnius
Vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 32 straipsnio 2 dalimi:
2. P a k e i č i u Vaikų sveikatos stebėsenos informacinės sistemos nuostatus, patvirtintus Lietuvos Respublikos sveikatos apsaugos ministro 2015 m. birželio 22 d. įsakymu Nr. V-780 „Dėl Vaikų sveikatos stebėsenos informacinės sistemos nuostatų ir duomenų saugos nuostatų patvirtinimo“, ir juos išdėstau nauja redakcija (pridedama).
3. P a k e i č i u Vaikų sveikatos stebėsenos informacinės sistemos duomenų saugos nuostatus, patvirtintus Lietuvos Respublikos sveikatos apsaugos ministro 2015 m. birželio 22 d. įsakymu Nr. V-780 „Dėl Vaikų sveikatos stebėsenos informacinės sistemos nuostatų ir duomenų saugos nuostatų patvirtinimo“, ir juos išdėstau nauja redakcija (pridedama).
PATVIRTINTA
Lietuvos Respublikos sveikatos apsaugos ministro
2015 m. birželio 22 d. įsakymu Nr. V-780
(Lietuvos Respublikos sveikatos apsaugos ministro 2019 m. balandžio 23 d. įsakymo Nr. V-489
redakcija)
VAIKŲ SVEIKATOS STEBĖSENOS INFORMACINĖS SISTEMOS NUOSTATAI
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Vaikų sveikatos stebėsenos informacinės sistemos nuostatai (toliau – Nuostatai) reglamentuoja Vaikų sveikatos stebėsenos informacinės sistemos (toliau – Informacinė sistema) steigimo pagrindą, tikslus, uždavinius bei pagrindines funkcijas, organizacinę, informacinę ir funkcinę struktūras, duomenų teikimą ir naudojimą, duomenų saugos reikalavimus, finansavimą, modernizavimą ir likvidavimą.
2. Informacinės sistemos steigimo pagrindas – Visuomenės sveikatos priežiūros organizavimo mokykloje tvarkos aprašo, patvirtinto Lietuvos Respublikos sveikatos apsaugos ministro ir Lietuvos Respublikos švietimo ir mokslo ministro 2005 m. gruodžio 30 d. įsakymu Nr. V‑1035/ISAK-2680 „Dėl Visuomenės sveikatos priežiūros organizavimo mokykloje tvarkos aprašo patvirtinimo“, 17.1 papunktis, Lietuvos Respublikos sveikatos apsaugos ministerijos nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 1998 m. liepos 24 d. nutarimu Nr. 926 „Dėl Lietuvos Respublikos sveikatos apsaugos ministerijos nuostatų patvirtinimo“, 10.2.3 papunktis.
3. Informacinė sistema kuriama ir tvarkoma vadovaujantis:
3.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1) (toliau – Reglamentas (ES) 2016/679);
3.8. Lietuvos Respublikos teisės gauti informaciją iš valstybės ir savivaldybių institucijų ir įstaigų įstatymu;
3.9. Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;
3.10. Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“ (toliau – Aprašas);
3.11. Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Saugos dokumentas);
3.12. Lietuvos Respublikos sveikatos apsaugos ministro 2004 m. gruodžio 24 d. įsakymu Nr. V-951 „Dėl statistinės apskaitos formos Nr. 027-1/a „Vaiko sveikatos pažymėjimas“ patvirtinimo“;
3.13. Lietuvos Respublikos sveikatos apsaugos ministro ir Lietuvos Respublikos švietimo ir mokslo ministro 2005 m. gruodžio 30 d. įsakymu Nr. V-1035/ISAK-2680 „Dėl Visuomenės sveikatos priežiūros organizavimo mokykloje tvarkos aprašo patvirtinimo“;
3.14. Lietuvos Respublikos sveikatos apsaugos ministro 2010 m. balandžio 22 d. įsakymu Nr. V-313 „Dėl Lietuvos higienos normos HN 75:2016 „Ikimokyklinio ir priešmokyklinio ugdymo programų vykdymo bendrieji sveikatos saugos reikalavimai“ patvirtinimo“;
3.15. Lietuvos Respublikos sveikatos apsaugos ministro 2011 m. rugpjūčio 10 d. įsakymu Nr. V-773 „Dėl Lietuvos higienos normos 21:2011 „Mokykla, vykdanti bendrojo ugdymo programas. Bendrieji sveikatos saugos reikalavimai“, patvirtinimo“;
3.16. Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos direktoriaus 2014 m. vasario 25 d. įsakymu Nr. T-29 „Dėl Valstybės informacinių sistemų gyvavimo ciklo valdymo metodikos patvirtinimo“;
4. Nuostatuose vartojamos sąvokos atitinka Reglamente (ES) 2016/679, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos visuomenės sveikatos priežiūros įstatyme vartojamas sąvokas.
5. Informacinės sistemos tikslai:
5.1. informacinių technologijų priemonėmis statistikos tikslais centralizuotai valdyti duomenis apie mokinių sveikatą ir rizikos veiksnius;
6. Asmens duomenų tvarkymo tikslai:
6.1. analizuoti mokinių, lankančių ikimokyklinio ugdymo, bendrojo ugdymo mokyklas ir profesinio mokymo įstaigas, asmens duomenis apie sveikatą;
7. Informacinės sistemos uždaviniai:
7.1. automatizuoti mokinių, lankančių ikimokyklinio ugdymo, bendrojo ugdymo mokyklas ir profesinio mokymo įstaigas (toliau – ugdymo įstaigos), duomenų apie sveikatą ir rizikos veiksnius rinkimą;
8. Pagrindinės Informacinės sistemos funkcijos:
II SKYRIUS
INFORMACINĖS SISTEMOS ORGANIZACINĖ STRUKTŪRA
9. Informacinės sistemos organizacinė struktūra:
9.1. Informacinės sistemos valdytoja ir asmens duomenų valdytoja – Lietuvos Respublikos sveikatos apsaugos ministerija;
9.2. Informacinės sistemos pagrindinis tvarkytojas ir asmens duomenų tvarkytojas statistikos tikslais – Higienos institutas;
10. Informacinės sistemos valdytojas ir asmens duomenų valdytojas:
10.1. atlieka Reglamento (ES) 2016/679, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo nustatytas funkcijas, turi šiuose teisės aktuose nurodytas teises ir pareigas;
10.2. analizuoja teisines, technines, technologines, metodines ir organizacines Informacinės sistemos veikimo problemas ir pagal savo kompetenciją priima sprendimus, reikalingus Informacinės sistemos veiklai užtikrinti;
11. Informacinės sistemos pagrindinis tvarkytojas ir asmens duomenų tvarkytojas:
11.1. atlieka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo nustatytas funkcijas, turi šiame įstatyme nurodytas teises ir pareigas;
11.2. atlieka Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo, Reglamento (ES) 2016/679 nustatytas funkcijas, turi Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, Reglamente (ES) 2016/679 nurodytas teises ir pareigas, tvarkydamas asmens duomenis, įskaitant sveikatos duomenis, statistikos tikslais;
11.3. užtikrina Informacinės sistemos sąveiką su kitais susijusiais registrais ir informacinėmis sistemomis;
11.4. sudaro duomenų teikimo sutartis ir pagal šias sutartis ir prašymus teikia Informacinės sistemos duomenis duomenų gavėjams;
11.5. prireikus teikia Informacinės sistemos valdytojui siūlymus, susijusius su asmens duomenų tvarkymu ir duomenų sauga, Informacinės sistemos kūrimu, plėtra, likvidavimu, modernizavimu, priežiūra, administravimu;
11.7. dalyvauja rengiant su Informacinės sistemos įteisinimu, veikla, informacinių ir ryšių technologijų infrastruktūra, asmens duomenų tvarkymu ir sauga susijusius teisės aktų projektus;
11.8. pagal kompetenciją registruoja Informacinės sistemos naudotojus, vadovaudamiesi Informacinės sistemos naudotojų administravimo taisyklėmis;
11.9. pagal kompetenciją užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikoma atitinkama konfidencialumo prievolė;
11.10. atsižvelgdami į duomenų tvarkymo pobūdį duomenų valdytojo nustatyta tvarka padeda duomenų valdytojui, taikydami tinkamas technines ir organizacines priemones, įvykdyti duomenų valdytojo prievolę atsakyti į prašymus pasinaudoti Reglamento (ES) 2016/679 III skyriuje nustatytomis duomenų subjekto teisėmis;
11.11. duomenų valdytojo nustatyta tvarka pagal kompetenciją padeda duomenų valdytojui užtikrinti Reglamento (ES) 2016/679 32–36 straipsniuose nustatytų prievolių laikymąsi, atsižvelgdami į asmens duomenų tvarkymo pobūdį ir duomenų tvarkytojo turimą informaciją;
11.12. pagal duomenų valdytojo pasirinkimą, užbaigus teikti su asmens duomenų tvarkymu susijusias paslaugas, ištrina arba grąžina duomenų valdytojui visus asmens duomenis ir ištrina esamas jų kopijas, išskyrus atvejus, kai teisės aktuose reikalaujama asmens duomenis saugoti;
11.13. pagal kompetenciją pateikia duomenų valdytojui visą informaciją, būtiną siekiant įrodyti, kad vykdomos Reglamento (ES) 2016/679 nustatytos prievolės, ir sudaro sąlygas bei padeda duomenų valdytojui arba kitam duomenų valdytojo įgaliotam auditoriui atlikti auditą, įskaitant patikrinimus. Nedelsdami informuoja duomenų valdytoją, jei, jų nuomone, nurodymas pateikti informaciją pažeidžia Reglamentą (ES) 2016/679 ar kitas duomenų apsaugos nuostatas;
11.14. informuoja raštu ir (ar) el. paštu (nedelsiant, bet ne ilgiau kaip per 24 valandas) duomenų valdytoją pagal Reglamento 2016/679 33 straipsnio 2 dalį apie įvykusį asmens duomenų saugumo pažeidimą ir pateikia pranešimą duomenų valdytojo nustatyta tvarka;
11.15. pagal kompetenciją užtikrina, kad Informacinės sistemos duomenys būtų tvarkomi vadovaujantis Nuostatais ir kitais juose nurodytais teisės aktais;
11.16. konsultuoja Informacinės sistemos naudotojus, duomenų teikėjus ir duomenų gavėjus su Informacinės sistemos veikla susijusiais klausimais;
11.17. organizuoja pasiūlymų dėl Informacinės sistemos asmens duomenų tvarkymo tobulinimo surinkimą;
11.18. imasi visų priemonių, kurių reikalaujama pagal Reglamento (ES) 2016/679 32 straipsnį – organizacinėmis, techninėmis, technologinėmis ir metodinėmis priemonėmis užtikrina Informacinės sistemos saugą, Informacinėje sistemoje tvarkomų asmens duomenų konfidencialumą, vientisumą ir prieinamumą, apsaugą nuo neteisėto sunaikinimo, pakeitimo, atskleidimo ar kitokio neteisėto tvarkymo, taip pat saugų duomenų perdavimą kompiuteriniais tinklais;
12. Kiti Informacinės sistemos tvarkytojai ir asmens duomenų tvarkytojai:
12.1. atlieka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo nustatytas funkcijas, turi šiame įstatyme nurodytas teises ir pareigas;
12.2. atlieka Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo, Reglamento (ES) 2016/679 nustatytas funkcijas, turi Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, Reglamente (ES) 2016/679 nurodytas teises ir pareigas, tvarkydami asmens duomenis, įskaitant sveikatos duomenis, statistikos tikslais;
12.3. prireikus teikia Informacinės sistemos pagrindiniam tvarkytojui siūlymus, susijusius su asmens duomenų tvarkymu ir duomenų sauga, Informacinės sistemos kūrimu, plėtra, likvidavimu, modernizavimu, priežiūra, administravimu;
12.4. pagal kompetenciją registruoja Informacinės sistemos naudotojus, vadovaudamiesi Informacinės sistemos naudotojų administravimo taisyklėmis;
12.5. pagal kompetenciją užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikoma atitinkama konfidencialumo prievolė;
12.6. atsižvelgdami į duomenų tvarkymo pobūdį, duomenų valdytojo nustatyta tvarka, taikydami tinkamas technines ir organizacines priemones, padeda duomenų valdytojui įvykdyti duomenų valdytojo prievolę atsakyti į prašymus pasinaudoti Reglamento (ES) 2016/679 III skyriuje nustatytomis duomenų subjekto teisėmis;
12.7. duomenų valdytojo nustatyta tvarka pagal kompetenciją padeda duomenų valdytojui užtikrinti Reglamento (ES) 2016/679 32–36 straipsniuose nustatytų prievolių laikymąsi, atsižvelgdami į duomenų tvarkymo pobūdį ir duomenų tvarkytojo turimą informaciją;
12.8. pagal kompetenciją pateikia duomenų valdytojui visą informaciją, būtiną siekiant įrodyti, kad vykdomos Reglamento (ES) 2016/679 nustatytos prievolės, ir sudaro sąlygas bei padeda duomenų valdytojui arba kitam duomenų valdytojo įgaliotam auditoriui atlikti auditą, įskaitant patikrinimus. Nedelsdami informuoja duomenų valdytoją, jei, jų nuomone, nurodymas pateikti informaciją pažeidžia Reglamentą (ES) 2016/679 ar kitas duomenų apsaugos nuostatas;
12.9. pagal kompetenciją užtikrina, kad Informacinės sistemos duomenys būtų tvarkomi vadovaujantis Nuostatais, juose nurodytais ir kitais teisės aktais;
12.10. pagal kompetenciją imasi visų priemonių, kurių reikalaujama pagal Reglamento (ES) 2016/679 32 straipsnį, užtikrina organizacinėmis, techninėmis, technologinėmis ir metodinėmis priemonėmis saugų Informacinės sistemos duomenų tvarkymą;
12.11. atsako už Informacinės sistemos asmens duomenų tvarkymo ir teikimo teisėtumą, duomenų patikimumą teisės aktų nustatyta tvarka pagal jiems suteiktus įgaliojimus;
12.12. informuoja raštu ir (ar) el. paštu (nedelsiant, bet ne ilgiau kaip per 24 valandas) duomenų valdytoją pagal Reglamento 2016/679 33 straipsnio 2 dalį apie įvykusį asmens duomenų saugumo pažeidimą ir pateikia pranešimą duomenų valdytojo nustatyta tvarka;
13. Duomenų teikėjai:
13.1. Sveikatos apsaugos ministerija teikia Elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinės sistemos (toliau – ESPBI) duomenis;
13.3. Švietimo informacinių technologijų centras teikia Mokinių registro bei Švietimo ir mokslo institucijų registro duomenis;
13.5. Valstybinė ligonių kasa prie Sveikatos apsaugos ministerijos teikia Privalomojo sveikatos draudimo informacinės sistemos „Sveidra“ duomenis;
13.6. Lietuvos Respublikos socialinės apsaugos ir darbo ministerija teikia Socialinės paramos šeimai informacinės sistemos duomenis;
III SKYRIUS
INFORMACINĖS SISTEMOS INFORMACINĖ STRUKTŪRA
14. Informacinės sistemos struktūrą sudaro:
14.1. Mokinių sveikatos būklės duomenų bazė:
15. Mokinių, lankančių ikimokyklinio ugdymo mokyklas, sveikatos būklės duomenų bazėje tvarkomi šie vaiko asmens duomenys:
15.15. mokinio fizinės būklės įvertinimas:
15.16. sveikatos būklės įvertinimo išvada:
15.17. bendros rekomendacijos žyma:
15.18. specialios rekomendacijos:
15.23. mokinio sveikatos pažymėjimą užpildžiusio šeimos gydytojo (vaikų ligų gydytojo, vidaus ligų gydytojo) arba slaugytojo vardas, pavardė, parašas;
15.27. mokinio sveikatos pažymėjimą užpildžiusio gydytojo odontologo arba gydytojo odontologo specialisto arba burnos higienisto vardas, pavardė, parašas;
16. Mokinių, lankančių bendrojo ugdymo mokyklas ir profesinio mokymo įstaigas, sveikatos būklės duomenų bazėje tvarkomi Nuostatų 15.1–15.27, 15.29–15.30 papunkčiuose nurodyti asmens duomenys.
17. Statistinių duomenų bazėje tvarkomi:
17.6. stacionaro epikrizės duomenys:
17.6.1. diagnozės:
17.6.4. išvykimo informacija:
17.7. ambulatorinio apsilankymo aprašymo duomenys:
17.7.1. diagnozės:
17.8. vakcinacijos įrašo duomenys:
17.9. medicininio mirties liudijimo duomenys:
17.10. medicininės apskaitos formos 066/a-LK „Stacionare gydomo asmens statistinė kortelė“, patvirtintos Lietuvos Respublikos sveikatos apsaugos ministro 1998 m. lapkričio 26 d. įsakymu Nr. 687 „Dėl medicininės apskaitos dokumentų formų tvirtinimo“, stacionarinio gydymo informacija:
17.10.5. etapo metu nustatytos diagnozės kodai (TLK-10-AM kodas, pagrindinė diagnozė, komplikacijos ir gretutinės ligos);
17.11. medicininės apskaitos formos 025/a-LK „Asmens ambulatorinio gydymo apskaitos kortelė“, patvirtintos Lietuvos Respublikos sveikatos apsaugos ministro 1998 m. lapkričio 26 d. įsakymu Nr. 687 „Dėl medicininės apskaitos dokumentų formų tvirtinimo“, ambulatorinio gydymo informacija:
18. Savivaldybių visuomenės sveikatos biuro visuomenės sveikatos specialistas, kuriam priskirta vaiko lankoma ugdymo įstaiga, tvarko mokinių asmens duomenis, nurodytus Nuostatų 15, 16 punktuose.
19. Informacinės sistemos administratorius, techninę priežiūrą vykdantys asmenys, vykdydami savo funkcijas, turi teisę tvarkyti Nuostatų 15–17 punktuose nurodytus duomenis tik pasirašę pasižadėjimą saugoti Informacinėje sistemoje tvarkomų asmens ir kitų duomenų paslaptį, laikytis duomenų saugos reikalavimų.
20. Statistikos tikslais tvarkomi Nuostatų 17 punkte nurodyti duomenys. Šie asmens duomenys, juos apibendrinus, nedelsiant sunaikinami.
21. Naudotojų duomenų bazėje kaupiami duomenys:
22. Klasifikatorių duomenys:
22.1. Tarptautinės statistinės ligų ir susijusių sveikatos sutrikimų klasifikacijos dešimtasis pataisytas ir papildytas leidimas „Sisteminis ligų sąrašas“ (Australijos modifikacija, TLK-10-AM);
23. Duomenų teikėjai teikia šiuos duomenis:
23.4. iš Adresų registro – Adresų registro duomenų bazės tekstinių duomenų išrašą ir tarpinį Adresų registro duomenų bazės tekstinių duomenų išrašą – Informacinėje sistemoje tvarkomiems adresams patikslinti;
23.5. iš Švietimo ir mokslo institucijų registro – Nuostatų 15.4–15.6 papunkčiuose nurodytus duomenis;
23.6. iš Privalomojo sveikatos draudimo informacinės sistemos „Sveidra“ – Nuostatų 17.10 ir 17.11 papunkčiuose nurodytus duomenis;
23.7. iš Socialinės paramos šeimai informacinės sistemos – Nuostatų 17.1–17.3 papunkčiuose nurodytus duomenis;
23.8. iš Mirties atvejų ir jų priežasčių valstybės registro – Nuostatų 17.9 papunktyje nurodytus duomenis;
IV SKYRIUS
INFORMACINĖS SISTEMOS FUNKCINĖ STRUKTŪRA
25. Informacinės sistemos funkcinę struktūrą sudaro:
26. Administravimo ir naudotojų apskaitos posistemės pagrindinės funkcijos:
26.2. Informacinės sistemos naudotojų teisių valdymas pagal identifikavimo duomenis, užtikrinant duomenų saugos reikalavimus;
27. Duomenų įvedimo į duomenų bazes posistemės pagrindinės funkcijos:
27.1. naudotojui prisijungus prie Informacinės sistemos duomenų įvedimas pagal Administravimo ir naudotojų apskaitos posistemėje esančius požymius;
28. Duomenų mainų posistemės pagrindinės funkcijos:
V SKYRIUS
INFORMACINĖS SISTEMOS DUOMENŲ TEIKIMAS IR NAUDOJIMAS
30. Informacinės sistemos nuasmeninti apibendrinti duomenys apie mokinių sveikatą yra vieši ir teikiami neatlygintinai valstybės ir savivaldybės institucijoms, mokslo įstaigoms, kitiems juridiniams ir fiziniams asmenims.
31. Informacinės sistemos nuasmeninti apibendrinti duomenys (ataskaitos, suvestinės) apie mokinių sveikatą ir rizikos veiksnius teikiami raštu, žodžiu ir (arba) elektroninių ryšių priemonėmis. Duomenis galima peržiūrėti leidžiamosios kreipties būdu internete ar kitais elektroninių ryšių tinklais. Duomenys gali būti perduodami automatiniu būdu elektroninių ryšių tinklais. Informacinės sistemos nuasmeninti apibendrinti duomenys pakartotinio panaudojimo tikslais (statistinėms ataskaitoms) teikiami pagal duomenų teikimo sutartis, kuriose nurodomas duomenų gavimo teisinis pagrindas, tvarka, duomenų naudojimo tikslas ir apimtis, formatas ir gavimo būdas.
32. Duomenys teikiami tokio turinio ir tokios formos, kokie yra naudojami Informacinėje sistemoje, ir nereikalauja papildomo duomenų apdorojimo.
33. Daugkartinio teikimo atveju Informacinės sistemos duomenys, tarp jų ir asmens duomenys, teikiami pagal pagrindinio duomenų tvarkytojo ir duomenų gavėjo sudarytą duomenų teikimo sutartį, kurioje turi būti nurodytas teikiamų duomenų naudojimo tikslas, teikimo ir gavimo teisinis pagrindas, sąlygos, tvarka ir teikiamų duomenų apimtys.
34. Vienkartinio teikimo atveju Informacinės sistemos duomenys, tarp jų ir asmens duomenys, teikiami pagal gavėjo prašymą. Prašyme turi būti nurodytas duomenų naudojimo tikslas, teikimo ir gavimo teisinis pagrindas, prašomų pateikti asmens duomenų apimtis.
35. Informacinės sistemos asmens duomenys tvarkomi vadovaujantis Reglamentu (ES) 2016/679 ir kitais teisės aktais, reglamentuojančiais asmens duomenų gavimą ir teikimą. Informacinės sistemos asmens duomenys teikiami duomenų gavėjams vadovaujantis Reglamento (ES) 2016/679 nustatytais reikalavimais ir teisėto tvarkymo kriterijais bei kitais teisės aktais, reglamentuojančiais asmens duomenų teikimą fiziniams ir juridiniams asmenims. Informacinės sistemos asmens duomenys neteikiami, jeigu duomenų gavėjui gauti šiuos duomenis nėra teisinio pagrindo, numatyto Lietuvos Respublikos įstatymuose ir (ar) Europos Sąjungos teisės aktuose. Kai atsisakoma teikti Informacinėje sistemoje tvarkomus duomenis, asmeniui, pateikusiam prašymą juos gauti, pranešama apie priimtą sprendimą atsisakyti tenkinti prašymą ir suteikiama informacija apie tokio sprendimo apskundimo tvarką. Atsisakymas teikti duomenis gali būti skundžiamas teismui Lietuvos Respublikos įstatymų nustatyta tvarka.
36. Duomenų gavėjai Informacinės sistemos duomenų negali keisti, privalo juos naudoti tik duomenų teikimo sutartyje ar prašyme nurodytu tikslu ir apimtimi, gauti – tik duomenų teikimo sutartyje ar prašyme nurodytu gavimo būdu.
37. Informacinės sistemos duomenys Europos Sąjungos valstybių narių ir (arba) Europos šalių ekonominės erdvės valstybių, trečiųjų šalių duomenų gavėjams ir kitiems subjektams teikiami Valstybės informacinių išteklių valdymo įstatymo nustatyta tvarka.
38. Informacinės sistemos apibendrintus duomenis apie mokinių sveikatos būklę pagal amžių, mokyklas, teritorinį suskirstymą teikia Informacinės sistemos tvarkytojai ir pagrindinis tvarkytojas.
39. Informacinės sistemos statistiniai duomenys skelbiami Higienos instituto interneto svetainėje. Prieiga prie skelbiamų duomenų yra laisva.
40. Kai atsisakoma teikti Informacinės sistemos tvarkomus duomenis, asmeniui, pateikusiam prašymą juos gauti, pranešama apie priimtą sprendimą atsisakyti tenkinti jo prašymą ir suteikiama informacija apie tokio sprendimo apskundimo tvarką.
41. Informacinės sistemos tvarkytojo, pagrindinio tvarkytojo sprendimai atsisakyti teikti Informacinės sistemos duomenis gali būti skundžiami Informacinės sistemos valdytojui. Informacinės sistemos valdytojo veiksmai (neveikimas) gali būti skundžiami teismui Lietuvos Respublikos įstatymų nustatyta tvarka.
42. Duomenų subjektai, jų įstatyminiai atstovai, duomenų gavėjai, registro ar kitos valstybės informacinės sistemos tvarkytojai, kiti asmenys turi teisę reikalauti ištaisyti netikslius duomenis. Gavęs šį reikalavimą, Informacinės sistemos tvarkytojas privalo per 5 darbo dienas nuo reikalavimo ir jame nurodytus faktus patvirtinančių dokumentų gavimo ištaisyti nurodytus netikslumus ir informuoti apie tai netikslius duomenis ištaisyti reikalavusį asmenį.
43. Informacinės sistemos valdytojas analizuoja nuasmenintus, apibendrintus duomenis apie mokinių sveikatą.
VI SKYRIUS
INFORMACINĖS SISTEMOS DUOMENŲ SAUGA
45. Informacinės sistemos duomenų sauga užtikrinama Reglamentu (ES) 2016/679, Saugos dokumentu, Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“. Informacinės sistemos duomenų saugą nustato Informacinės sistemos duomenų saugos nuostatai, patvirtinti Lietuvos Respublikos sveikatos apsaugos ministro 2015 m. birželio 22 d. įsakymu Nr. V-780 „Dėl Vaikų sveikatos stebėsenos informacinės sistemos nuostatų ir duomenų saugos nuostatų patvirtinimo“ ir kiti saugos politiką įgyvendinantys dokumentai, kurie rengiami, derinami ir tvirtinami Saugos dokumento nustatyta tvarka.
46. Už Informacinės sistemos duomenų saugą teisės aktų nustatyta tvarka pagal kompetenciją atsako Informacinės sistemos valdytojas ir Informacinės sistemos tvarkytojai.
47. Asmenys, kurie tvarko asmens duomenis, įpareigojami saugoti asmens duomenų paslaptį, jeigu šie asmens duomenys neskirti skelbti viešai. Ši pareiga galioja jiems pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas, pasibaigus jų darbo ar sutartiniams santykiams.
48. Informacinėje sistemoje asmenų, lankančių ugdymo įstaigas, asmens duomenys, įskaitant sveikatos duomenis, nurodyti Nuostatų 15, 16 punktuose, tvarkomi, kol pateikiama nauja statistinės apskaitos forma Nr. 027-1/a „Vaiko sveikatos pažymėjimas“, ir po to yra sunaikinami. Nuostatų 17 punkte nurodyti statistikos tikslais surinkti asmens, įskaitant sveikatos, duomenys nedelsiant pakeičiami taip, kad nebūtų galima nustatyti duomenų subjekto tapatybės. Nuasmeninti statistiniai duomenys, parengti panaudojus asmens duomenis, saugomi duomenų bazių archyvuose iki Informacinės sistemos likvidavimo. Informacinės sistemos duomenys sunaikinami Lietuvos vyriausiojo archyvaro nustatyta tvarka.
VII SKYRIUS
FINANSAVIMAS
49. Informacinės sistemos kūrimas finansuotas 2009–2014 m. Norvegijos finansinio mechanizmo programos Nr. LT11 „Visuomenės sveikatai skirtos iniciatyvos“ projekto „Vaikų sveikatos stebėsenos informacinės sistemos, skirtos sistemingam vaikų sveikatos būklės stebėjimui ir kryptingam sveikatos politikos formavimui, sukūrimas ir įgyvendinimas“ lėšomis. Informacinės sistemos modernizacija finansuojama 2014–2020 m. Europos Sąjungos fondų investicijų veiksmų programos 8 prioriteto „Socialinės įtraukties didinimas ir kova su skurdu“ įgyvendinimo priemonės Nr. 08.4.2-ESFA-V-622 „Vaikų ligų, traumų ir nelaimingų atsitikimų profilaktika, sveikatos priežiūros paslaugų vaikams prieinamumo ir kokybės gerinimas“ lėšomis.
VIII SKYRIUS
INFORMACINĖS SISTEMOS MODERNIZAVIMAS IR LIKVIDAVIMAS
51. Informacinė sistema modernizuojama arba likviduojama Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo ir Aprašo nustatyta tvarka.
IX SKYRIUS
BAIGIAMOSIOS NUOSTATOS
PATVIRTINTA
Lietuvos Respublikos
sveikatos apsaugos ministro
2015 m. birželio 22 d. įsakymu Nr. V-780
(Lietuvos Respublikos sveikatos apsaugos
ministro 2019 m. balandžio 23 d.
įsakymo Nr. V-489
redakcija)
VAIKŲ SVEIKATOS STEBĖSENOS INFORMACINĖS SISTEMOS
duomenų SAUGOS NUOSTATAI
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Vaikų sveikatos stebėsenos informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Vaikų sveikatos stebėsenos informacinės sistemos (toliau – Informacinė sistema) elektroninės informacijos saugos politiką ir kibernetinio saugumo politiką (toliau – elektroninės informacijos saugos politika), organizacines, technines ir kitas priemones, užtikrinančias saugų informacijos tvarkymą.
2. Saugos nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų saugos reikalavimų aprašas), Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašas), kituose teisės aktuose ir Lietuvos Respublikos „Informacijos technologija. Saugumo metodai“ grupės standartuose.
3. Elektroninės informacijos saugos politikos tikslas – užtikrinti Informacinės sistemos konfidencialumą, prieinamumą ir vientisumą, sudaryti sąlygas saugiai tvarkyti asmens duomenis.
4. Elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys:
4.1. organizacinių, techninių, programinių, teisinių ir kitų priemonių, skirtų Informacinės sistemos duomenų saugai užtikrinti, įgyvendinimas ir šių priemonių kontrolė;
5. Elektroninės informacijos saugos politika įgyvendinama pagal Lietuvos Respublikos sveikatos apsaugos ministro tvirtinamus Saugos nuostatus ir saugos politiką įgyvendinančius dokumentus: Saugaus elektroninės informacijos tvarkymo taisykles, Naudotojų administravimo taisykles, Veiklos tęstinumo valdymo planą (toliau visi kartu – saugos dokumentai).
6. Saugos nuostatų reikalavimai taikomi:
6.1. Informacinės sistemos valdytojai – Lietuvos Respublikos sveikatos apsaugos ministerijai, Vilniaus g. 33, LT-01506 Vilnius;
6.2. Informacinės sistemos tvarkytojams:
6.2.1. pagrindiniam Informacinės sistemos tvarkytojui – Higienos institutui, Didžioji g. 22, LT-01128 Vilnius;
7. Už elektroninės informacijos saugą pagal kompetenciją atsako Informacinės sistemos valdytojas ir Informacinės sistemos tvarkytojai.
8. Informacinės sistemos naudotojai, duomenų valdymo įgaliotinis ir administratorius privalo įsipareigoti saugoti duomenų ir informacijos paslaptį bei pasirašyti konfidencialumo pasižadėjimą. Įsipareigojimas saugoti duomenų ir informacijos paslaptį galioja ir nutraukus su Informacine sistema susijusią veiklą.
9. Informacinės sistemos valdytojas atlieka Informacinės sistemos nuostatuose nustatytas funkcijas, taip pat:
9.1. tvirtina saugos politiką įgyvendinančius dokumentus, kitus dokumentus, susijusius su elektroninės informacijos sauga, ir jų pakeitimus;
9.2. priima sprendimus dėl techninių ir programinių priemonių, būtinų Informacinės sistemos elektroninės informacijos saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo;
9.3. nagrinėja Informacinės sistemos tvarkytojų pasiūlymus dėl Informacinės sistemos elektroninės informacijos saugos priemonių tobulinimo ir priima sprendimus dėl jų finansavimo;
9.4. atlieka kitas Valstybės informacinių išteklių valdymo įstatyme, Kibernetinio saugumo įstatyme, Bendrųjų saugos reikalavimų apraše, Organizacinių ir techninių kibernetinio saugumo reikalavimų apraše, Informacinės sistemos nuostatuose bei kituose teisės aktuose nustatytas funkcijas, susijusias su elektroninės informacijos sauga.
10. Informacinės sistemos pagrindinis tvarkytojas atlieka Informacinės sistemos nuostatuose nustatytas funkcijas, taip pat:
10.1. pagal kompetenciją atsako už Informacinės sistemos elektroninės informacijos tvarkymo teisėtumą ir saugą;
10.2. pagal kompetenciją įgyvendina Informacinės sistemos saugos dokumentų ir kitų saugos politiką įgyvendinančių teisės aktų reikalavimus;
10.3. teikia pasiūlymus Informacinės sistemos valdytojui dėl Informacinės sistemos techninių ir programinių priemonių, būtinų Informacinės sistemos elektroninės informacijos saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo, organizuoja jų įdiegimą ir modernizavimą;
10.4. skiria Informacinės sistemos duomenų valdymo įgaliotinį, Informacinės sistemos saugos įgaliotinį ir Informacinės sistemos administratorių;
11. Kitų Informacinės sistemos tvarkytojų funkcijos ir atsakomybė:
11.2. užtikrina, kad jų įstaigose dirbantys Informacinės sistemos naudotojai laikytųsi Informacinės sistemos saugos dokumentuose ir kituose teisės aktuose, reglamentuojančiuose elektroninės informacijos saugą, nurodytų reikalavimų;
12. Informacinės sistemos saugos įgaliotinis:
12.1. koordinuoja ir prižiūri Informacinės sistemos elektroninės informacijos saugos politikos įgyvendinimą;
12.2. teikia Informacinės sistemos pagrindinio tvarkytojo vadovui siūlymus dėl:
12.3. teikia pasiūlymus Informacinės sistemos valdytojui dėl Informacinės sistemos saugos dokumentų priėmimo, keitimo arba naikinimo;
12.5. organizuoja Informacinės sistemos rizikos įvertinimą ir parengia rizikos įvertinimo ataskaitą;
12.6. teikia Informacinės sistemos administratoriui ir Informacinės sistemos naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su elektroninės informacijos saugos politikos įgyvendinimu;
12.7. turi teisę pagal savo įgaliojimus duoti privalomus vykdyti nurodymus ir pavedimus kitų Informacinės sistemos tvarkytojų darbuotojams, jeigu tai būtina saugos politikai įgyvendinti;
12.8. supažindina Informacinės sistemos administratorių ir Informacinės sistemos naudotojus su Informacinės sistemos saugos politiką įgyvendinančių dokumentų reikalavimais ir atsakomybe už reikalavimų nesilaikymą, organizuoja Informacinės sistemos naudotojų mokymą elektroninės informacijos saugos klausimais, informuoja juos apie elektroninės informacijos saugos problemas;
13. Informacinės sistemos administratoriaus funkcijos ir atsakomybė:
13.2. diegia ir prižiūri programinę įrangą, reikalingą pagrindinio Informacinės sistemos tvarkytojo funkcijoms vykdyti;
13.3. suteikia teisę Informacinės sistemos naudotojams naudotis elektronine informacija, reikalinga jų funkcijoms atlikti;
13.4. užtikrina Informacinės sistemos komponentų (tarnybinių stočių, operacinių sistemų, taikomųjų programų, duomenų bazės valdymo sistemų, ugniasienių, įsilaužimo aptikimo sistemų ir kt.) tinkamą veikimą ir priežiūrą, pagal kompetenciją nustato pažeidžiamas Informacinės sistemos vietas;
13.6. pagal kompetenciją teikia pagrindinio Informacinės sistemos tvarkytojo vadovui pasiūlymus dėl Informacinės sistemos palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir elektroninės informacijos saugos užtikrinimo;
13.7. informuoja Informacinės sistemos saugos įgaliotinį apie elektroninės informacijos saugos incidentus ir teikia pasiūlymus dėl elektroninės informacijos saugos incidentų pašalinimo;
14. Pagrindinio Informacinės sistemos tvarkytojo vadovo paskirtas kompetentingas asmuo, atsakingas už kibernetinio saugumo organizavimą ir užtikrinimą Higienos institute (toliau – kibernetinio saugumo vadovas), vykdo funkcijas, nustatytas Kibernetinio saugumo įstatyme, Organizacinių ir techninių kibernetinio saugumo reikalavimų apraše ir kituose kibernetinį saugumą reglamentuojančiuose teisės aktuose.
15. Teisės aktai, kuriais vadovaujamasi tvarkant Informacinės sistemos elektroninę informaciją ir užtikrinant jos saugumą:
15.4. Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimas Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;
15.6. Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;
15.7. Vaikų sveikatos stebėsenos informacinės sistemos nuostatai, patvirtinti Lietuvos Respublikos sveikatos apsaugos ministro 2015 m. birželio 22 d. įsakymu Nr. V-780 „Dėl Vaikų sveikatos stebėsenos informacinės sistemos nuostatų ir duomenų saugos nuostatų patvirtinimo“;
15.8. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;
15.9. Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo metodai“ grupės standartai, nustatantys saugų elektroninės informacijos tvarkymą;
II SKYRIUS
ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
16. Vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Elektroninės informacijos svarbos nustatymo gairių aprašas), 8.1 ir 8.2 papunkčiais, Informacinėje sistemoje tvarkoma elektroninė informacija priskiriama prie svarbios informacijos kategorijos.
17. Vadovaujantis Elektroninės informacijos svarbos nustatymo gairių aprašo 12.2 papunkčiu, Informacinė sistema priskiriama prie antrosios kategorijos informacinių sistemų – Informacinėje sistemoje tvarkoma svarbi informacija.
18. Informacinės sistemos saugos priemonės parenkamos įvertinus galimus rizikos Informacinės sistemos duomenų vientisumui, konfidencialumui ir prieinamumui veiksnius.
19. Informacinės sistemos saugos įgaliotinis, naudodamasis Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistema (toliau – ARSIS), kasmet atlieka Informacinės sistemos rizikos veiksnių vertinimą.
20. Informacinės sistemos grėsmių ir pažeidžiamumų, galinčių turėti įtakos informacinės sistemos kibernetiniam saugumui, vertinimas atliekamas kartu su Informacinės sistemos rizikos vertinimu. Informacinės sistemos rizikos vertinimo metu gali būti atliekamas pažeidžiamumų testavimas imituojant kibernetines atakas bei vykdant kibernetinių incidentų imitavimo pratybas.
21. Pagrindinės Informacinės sistemos rizikos mažinimo priemonės išdėstomos rizikos įvertinimo ataskaitoje, kurią kasmet iki gruodžio 31 d. rengia saugos įgaliotinis, įvertinęs galinčius turėti įtakos elektroninės informacijos saugai rizikos veiksnius, iš kurių svarbiausi yra šie:
21.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kita);
21.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacine sistema elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);
21.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.
22. Rizikos įvertinimo ataskaitas, rizikos valdymo priemonių plano, jei toks buvo parengtas, duomenis bei jų kopijas pagrindinis Informacinės sistemos tvarkytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų patvirtinimo pateikia ARSIS Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“ (toliau – ARSIS nuostatai) nustatyta tvarka.
23. Elektroninės informacijos saugos būklė gerinama techninėmis, programinėmis ir organizacinėmis saugos priemonėmis, kurios pasirenkamos atsižvelgiant į Informacinės sistemos valdytojo skiriamus išteklius, vadovaujantis šiais principais:
24. Siekiant įvertinti saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę, kartą per dvejus metus organizuojamas Informacinės sistemos informacinių technologijų saugos reikalavimų atitikties vertinimas.
25. Informacinės sistemos informacinių technologijų saugos reikalavimų atitikties vertinimui naudojama ARSIS.
26. Atlikus Informacinės sistemos informacinių technologijų saugos reikalavimų atitikties vertinimą, rengiama Informacinės sistemos saugos atitikties vertinimo ataskaita, kurią tvirtina pagrindinis Informacinės sistemos tvarkytojas.
III SKYRIUS
ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
28. Programinės įrangos, skirtos Informacinei sistemai apsaugoti nuo kenksmingosios programinės įrangos (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir pan.), naudojimo nuostatos ir atnaujinimo reikalavimai:
28.1. Informacinės sistemos tarnybinėse stotyse ir pagrindinio Informacinės sistemos tvarkytojo kompiuterizuotose darbo vietose turi būti naudojamos centralizuotai valdomos kenksmingosios programinės įrangos aptikimo priemonės, nuolat ieškančios ir blokuojančios kenksmingąją programinę įrangą, kurios turi atsinaujinti automatiniu būdu ne rečiau kaip kartą per 24 valandas;
28.2. programinė įranga turi automatiškai elektroniniu paštu informuoti Informacinės sistemos administratorių apie pagrindinio Informacinės sistemos tvarkytojo kompiuterizuotas darbo vietas ir tarnybines stotis, kuriose kenksmingosios programinės įrangos aptikimo priemonės netinkamai funkcionuoja, yra išjungtos arba neatsinaujino per 24 valandas;
29. Programinės įrangos, įdiegtos tarnybinėse stotyse ir kompiuterizuotose darbo vietose, naudojimo nuostatos:
29.1. Informacinės sistemos darbui turi būti naudojama tik legali, Informacinės sistemos funkcijoms vykdyti būtina programinė įranga;
29.3. Informacinės sistemos programinės įrangos diegimą, šalinimą ir konfigūravimą atlieka tik Informacinės sistemos administratorius;
30. Informacinės sistemos programinis kodas privalo būti apsaugotas nuo atskleidimo neturintiems teisės su juo susipažinti asmenims.
31. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kita) pagrindinės naudojimo nuostatos:
31.1. Informacinės sistemos elektroninės informacijos perdavimo tinklai nuo viešųjų telekomunikacijų tinklų (interneto) turi būti atskirti ugniasienėmis, DOS ir DDOS atakų prevencijai skirta įranga bei įsilaužimų aptikimo ir prevencijos įranga;
32. Leistinos kompiuterių naudojimo ribos:
32.1. stacionarieji ir nešiojamieji Informacinės sistemos naudotojų kompiuteriai turi būti naudojami tik tiesioginėms pareigoms atlikti. Iš perduodamų remontuoti ar techninei priežiūrai atlikti kompiuterių turi būti pašalinti visi Informacinės sistemos duomenys ir Informacinės sistemos informacija;
32.2. nešiojamaisiais kompiuteriais, skirtais Informacinės sistemos duomenims registruoti, kaupti ir naudoti, gali dirbti tik įgalioti asmenys;
32.3. nešiojamuosiuose kompiuteriuose turi būti naudojamas įjungimo slaptažodis, jie turi būti atskirti nuo viešojo interneto tinklo užkarda;
33. Metodai, kuriais užtikrinamas saugus Informacinės sistemos elektroninės informacijos teikimas ir (ar) gavimas:
33.1. užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą iš kitų valstybės institucijų, naudojami saugūs ryšio kanalai, kuriais perduodami šifruoti duomenys;
33.2. Informacinės sistemos elektroninė informacija iš susijusių registrų ir valstybės informacinių sistemų gaunama tik pagal duomenų teikimo ir gavimo sutartyse nustatytas perduodamų duomenų specifikacijas, perdavimo sąlygas ir tvarką;
33.3. prieiga prie Informacinės sistemos elektroninės informacijos leidžiama tik per registravimosi slaptažodžių sistemą. Prieigos prie Informacinės sistemos elektroninės informacijos valdymas apibrėžtas Informacinės sistemos naudotojų administravimo taisyklėse;
33.4. pasibaigus Informacinės sistemos naudotojo darbo sutarčiai, teisė naudotis Informacinės sistemos elektronine informacija turi būti panaikinta. Informacinės sistemos naudotojui prieiga prie Informacinės sistemos turi būti ribojama ar sustabdoma, kai vyksta Informacinės sistemos naudotojo veiklos tyrimas, naudotojas yra ilgalaikėse atostogose arba keičiasi jo atliekamos ir (ar) pareigybės aprašyme nurodytos funkcijos.
34. Pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:
34.1. Informacinės sistemos elektroninės informacijos kopijos turi būti daromos automatiniu būdu kas 24 valandas; prireikus jas atkurti turi teisę Informacinės sistemos administratorius;
35. Turi būti užtikrintas kibernetinių incidentų, įvykusių Informacinėje sistemoje, registravimas, informavimas, tyrimas ir analizė Nacionalinio kibernetinių incidentų valdymo plano, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. gruodžio 5 d. nutarimu Nr. 1209 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Planas) nustatyta tvarka:
35.1. registruojami Informacinėje sistemoje įvykę kibernetiniai incidentai ir nedelsiant į juos reaguojama techninėmis ir programinėmis priemonėmis. Kibernetiniai incidentai valdomi Plano nustatyta tvarka;
36. Ne rečiau kaip kartą per mėnesį turi būti atliekama ugniasienių užfiksuotų įvykių analizė ir pastebėtos neatitiktys saugumo reikalavimams nedelsiant šalinamos.
37. Informacinės sistemos naudotojai, pastebėję saugos dokumentuose nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias saugos užtikrinimo priemones, privalo nedelsdami pranešti apie tai Informacinės sistemos administratoriui ar Informacinės sistemos saugos įgaliotiniui.
38. Perkant paslaugas, darbus ar įrangą, susijusius su Informacine sistema, jo projektavimu, kūrimu, diegimu, modernizavimu, priežiūra, palaikymu, saugos užtikrinimu, auditavimu, elektroninės informacijos perdavimo tinklais, taip pat kitus, suteikiančius teisę ir galimybę prieiti prie elektroninės informacijos, pirkimo dokumentuose turi būti nustatyta, kad paslaugų teikėjas, darbų atlikėjas ar įrangos tiekėjas privalo laikytis Informacinės sistemos saugos dokumentuose nustatytų reikalavimų ir užtikrinti teikiamų paslaugų, vykdomų darbų ar tiekiamos įrangos atitiktį Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašo reikalavimams.
IV SKYRIUS
REIKALAVIMAI PERSONALUI
40. Informacinės sistemos saugos įgaliotinis ir kibernetinio saugumo vadovas privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, tobulinti kvalifikaciją elektroninės informacijos saugos srityje, savo darbe vadovautis Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą. Informacinės sistemos saugos įgaliotinis ar kibernetinio saugumo vadovas, pažeidęs Saugos nuostatų ar kitų saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.
41. Informacinės sistemos saugos įgaliotiniu, Informacinės sistemos administratoriumi ir kibernetinio saugumo vadovu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.
42. Informacinės sistemos administratorius pagal kompetenciją privalo išmanyti elektroninės informacijos saugos, kibernetinio saugumo užtikrinimo principus, mokėti užtikrinti Informacinės sistemos duomenų saugą, darbo su duomenų perdavimo tinklais principus, administruoti ir prižiūrėti Informacinės sistemos duomenų bazę, gebėti užtikrinti techninės ir programinės įrangos nepertraukiamą funkcionavimą, stebėti jos veikimą, atlikti jos profilaktinę priežiūrą.
43. Informacinės sistemos administratorius ir Informacinės sistemos naudotojai turi būti susipažinę su Informacinės sistemos saugos dokumentais ir pagal kompetenciją su kitais teisės aktais, reglamentuojančiais elektroninės informacijos saugą.
44. Informacinės sistemos naudotojai, tvarkantys asmens duomenis, raštu pasirašytinai įpareigojami saugoti asmens duomenų paslaptį. Įsipareigojimas saugoti asmens duomenų paslaptį galioja ir pasibaigus darbo santykiams, per visą asmens duomenų teisinės apsaugos laiką.
45. Informacinės sistemos naudotojai, pastebėję saugos dokumentuose nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias saugos užtikrinimo priemones, privalo nedelsdami pranešti apie tai Informacinės sistemos administratoriui ar Informacinės sistemos saugos įgaliotiniui.
46. Informacinės sistemos saugos įgaliotinio, kibernetinio saugumo vadovo, Informacinės sistemos naudotojų ir Informacinės sistemos administratoriaus mokymų planavimo, organizavimo ir vykdymo tvarka:
46.1. Informacinės sistemos saugos įgaliotiniui, kibernetinio saugumo vadovui, Informacinės sistemos naudotojams ir Informacinės sistemos administratoriui turi būti organizuojami mokymai elektroninės informacijos saugos klausimais;
46.2. Informacinės sistemos naudotojams turi būti įvairiais būdais primenama apie elektroninės informacijos saugos problemas (pvz., svarbios informacijos priminimai elektroniniu paštu, informacijos skelbimas Higienos instituto intranete, lankstinukai-atmintinės ir pan.);
46.3. mokymai elektroninės informacijos saugos klausimais turi būti planuojami ir mokymo būdai parenkami atsižvelgiant į elektroninės informacijos saugos užtikrinimo prioritetines kryptis ir tikslus, įdiegtas ar planuojamas įdiegti technologijas (techninę ar programinę įrangą), Informacinės sistemos naudotojų ar Informacinės sistemos administratoriaus poreikius;
46.4. mokymai gali būti vykdomi tiesioginiu (pvz., paskaitos, seminarai, konferencijos ir kiti teminiai renginiai) ar nuotoliniu būdu (pvz., vaizdo konferencijos, mokomosios medžiagos pateikimas elektroninėje erdvėje ir pan.). Mokymus gali vykdyti Informacinės sistemos saugos įgaliotinis ar kitas Informacinės sistemos valdytojo ar Informacinės sistemos tvarkytojo darbuotojas, išmanantis elektroninės informacijos saugos užtikrinimo principus, arba elektroninės informacijos saugos mokymų paslaugų teikėjas. Informacinės sistemos saugos įgaliotinio ir kibernetinio saugumo vadovo mokymus gali vykdyti tik aukštos kvalifikacijos elektroninės informacijos saugos mokymų paslaugų teikėjas;
46.5. Informacinės sistemos naudotojų mokymai turi būti organizuojami periodiškai, ne rečiau kaip kartą per dvejus metus. Informacinės sistemos saugos įgaliotinio, kibernetinio saugumo vadovo, Informacinės sistemos administratoriaus mokymai turi būti organizuojami pagal poreikį. Už mokymų organizavimą atsakingas Informacinės sistemos saugos įgaliotinis ar kitas pagrindinio Informacinės sistemos tvarkytojo paskirtas darbuotojas.
V SKYRIUS
INFORMACINĖS SISTEMOS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS
DOKUMENTAIS PRINCIPAI
47. Tvarkyti Informacinės sistemos asmens duomenis ir gauti elektroninę informaciją gali tik Informacinės sistemos naudotojai, supažindinti su Informacinės sistemos saugos dokumentais ir pasirašę pasižadėjimus saugoti asmens duomenų paslaptį. Pakartotinis supažindinimas su minėtais dokumentais vykdomas jiems pasikeitus.
48. Už Informacinės sistemos naudotojų supažindinimą su Informacinės sistemos saugos dokumentais ir kitais saugos politikos įgyvendinamaisiais teisės aktais ir atsakomybe už šių reikalavimų nesilaikymą atsakingi Informacinės sistemos saugos įgaliotinis bei kitų Informacinės sistemos tvarkytojų vadovų paskirti atsakingi asmenys.
49. Saugos nuostatai skelbiami Teisės aktų registre ir pagrindinio Informacinės sistemos tvarkytojo interneto svetainėje.