VALSTYBĖS SKAITMENINIŲ SPRENDIMŲ AGENTŪROS

DIREKTORIUS

 

ĮSAKYMAS

DĖL NACIONALINĖS ELEKTRONINĖS atpažinties INFORMACINĖS SISTEMOS PERTVARKYMO IR NACIONALINĖS ELEKTRONINĖS atpažinties INFORMACINĖS SISTEMOS NUOSTATŲ PATVIRTINIMO

 

2025 m. sausio 21 d. Nr. T-4(2025)

Vilnius

 

 

Atsižvelgdamas į Europos Parlamento ir Tarybos 2014 m. liepos 23 d. reglamentą (ES) Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje, kuriuo panaikinama direktyva 1999/93/EB, vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 24 straipsnio 2 dalies 2 punktu, Lietuvos Respublikos elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų įstatymo 3 straipsnio 3 dalies 2 punktu:

1Pertvarkau Nacionalinės elektroninės atpažinties informacinę sistemą.

2. Tvirtinu Nacionalinės elektroninės atpažinties informacinės sistemos nuostatus (pridedama).

3. Nustatau, kad Nacionalinės elektroninės atpažinties informacinės sistemos valdytojas ir duomenų valdytojas yra Valstybės skaitmeninių sprendimų agentūra.

4. Nustatau, kad šis įsakymas įsigalioja 2025 m. vasario 24 d.

 

 

 

Direktorius                                                                                                                    Tomas Misevičius

 

 

PATVIRTINTA

Valstybės skaitmeninių sprendimų agentūros

direktoriaus 2025  m. sausio 21 d. įsakymu

Nr. T-4(2025)

 

 

NACIONALINĖS ELEKTRONINĖS ATPAŽINTIES INFORMACINĖS SISTEMOS NUOSTATAI

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1.  Nacionalinės elektroninės atpažinties informacinės sistemos nuostatai (toliau – Nuostatai) reglamentuoja Nacionalinės elektroninės atpažinties informacinės sistemos (toliau – NETAIS) steigimo teisinį pagrindą, tikslą, uždavinius, funkcijas, organizacinę, informacinę ir funkcinę struktūras, duomenų teikimą ir naudojimą, duomenų saugą, finansavimą, atnaujinimą, pertvarkymą ir likvidavimą.

2.  Asmens duomenų tvarkymo NETAIS tikslas – užtikrinti elektroninės atpažinties schemų sąveikumą nustatant Europos Sąjungos šalių narių asmenų tapatybę.

3.  NETAIS steigimo teisinis pagrindas - Lietuvos Respublikos elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų įstatymas (toliau – Elektroninės atpažinties įstatymas).

4Teisės aktai, kuriais vadovaujantis kuriama ir tvarkoma NETAIS:

4.1.   Reglamentas (ES) Nr. 910/2014;

4.2.   Europos Parlamento ir Tarybos 2016 m. balandžio 27 d. reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau vadinama – Reglamentas (ES) 2016/679);

4.3.   Elektroninės atpažinties įstatymas;

4.4.   Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

4.5.   Lietuvos Respublikos asmens tapatybės kortelės įstatymas;

4.6.   Lietuvos Respublikos kibernetinio saugumo įstatymas;

4.7.   Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas (toliau – Išteklių valdymo įstatymas);

4.8.   Lietuvos Respublikos viešojo administravimo įstatymas;

4.9.   Informacinių sistemų steigimo, kūrimo, atnaujinimo, pertvarkymo ir likvidavimo tvarkos aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2024 m. gegužės 15 d. nutarimu Nr. 349 „Dėl Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo įgyvendinimo“;

4.10. Kibernetinio saugumo reikalavimų aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Saugos aprašas);

4.11. Nacionalinė kibernetinio saugumo strategija, patvirtinta Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Nacionalinės kibernetinio saugumo strategijos pavirtinimo“;

4.12. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“.

5.  NETAIS tikslas – įgyvendinti tapatumo nustatymo mechanizmą, kurį taikant fiziniai ir juridiniai asmenys naudojasi elektroninės atpažinties priemone, kad patvirtintų pasikliaujančiai šaliai savo tapatybę.

6.  NETAIS uždaviniai:

6.1. teikti Lietuvos Respublikos fizinių ir juridinių asmenų elektroninės atpažinties duomenis Lietuvos Respublikos ir Europos Sąjungos šalyje (toliau – ESŠ) veikiančioms sistemoms, informacinėmis ir ryšių technologinėmis priemonėmis teikiančioms elektroninės atpažinties duomenis nacionalinėms ir kitų ESŠ elektroninės atpažinties sistemoms (toliau – ESŠ elektroninės atpažinties sistemos) ir naudoti Lietuvos Respublikos elektroninės atpažinties sistemų fizinių ir juridinių asmenų elektroninės atpažinties duomenis, tokiu būdu sudaryti prielaidas Lietuvos Respublikos fiziniams ir juridiniams asmenims naudotis ESŠ teikiamomis elektroninėmis paslaugomis ir  ESŠ fiziniams ir juridiniams asmenims naudotis Lietuvos Respublikoje teikiamomis elektroninėmis paslaugomis;

6.2. įgyvendinti ryšius su Lietuvos Respublikos ir ESŠ elektroninės atpažinties sistemomis;

6.3. kontroliuoti tapatumo nustatymo patikimumą.

7.  Pagrindinės NETAIS funkcijos:

7.1. asmens tapatybės duomenų surinkimas ir suformavimas pasikliaujančiajai šaliai;

7.2. duomenų apie elektroninės atpažinties, tapatumo nustatymo ir duomenų perdavimo faktus kaupimas;

7.3. asmens tapatybės duomenų teikimas asmens sutikimu pasikliaujančiai šaliai;

7.4. NETAIS komponenčių, jų sąrankos būklės stebėsena.

8.  Nuostatuose vartojamos sąvokos atitinka Europos Parlamento ir Tarybos 2014 m. liepos 23 d. reglamente Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje, kuriuo panaikinama direktyva 1999/93/EB,  Išteklių valdymo įstatyme, Reglamente (ES) 2016/679, Elektroninės atpažinties įstatyme, Lietuvos Respublikos viešojo administravimo įstatyme ir Saugos apraše apibrėžtas sąvokas.

 

II SKYRIUS

NETAIS ORGANIZACINĖ STRUKTŪRA

 

9.  NETAIS valdytojas ir tvarkytojas ir NETAIS duomenų valdytojas ir tvarkytojas yra Valstybės skaitmeninių sprendimų agentūra (toliau – NETAIS valdytojas).

10.  NETAIS duomenų valdytojas ir tvarkytojas atlieka Išteklių valdymo įstatyme ir Reglamente (ES) 2016/679 nustatytas funkcijas, turi šiuose teisės aktuose nustatytas teises ir pareigas, taip pat:

10.1. vadovaudamasis Nuostatais ir valstybės informacinių sistemų veiklą reglamentuojančiais teisės aktais, eksploatuoja ir prižiūri NETAIS infrastruktūros, technines ir programines priemones;

10.2. užtikrina, kad tapatumo nustatymas būtų teikiamas nepertraukiamai;

10.3. rengia ir įgyvendina NETAIS techninių ir programinių priemonių kūrimo ir plėtros planus, investicinius projektus;

10.4. priima ir įgyvendina sprendimus dėl NETAIS plėtros;

10.5. sudaro duomenų teikimo sutartis su asmens tapatybės duomenų teikėjais ir elektroninių paslaugų teikėjais;

10.6. bendradarbiauja su ESŠ elektroninės atpažinties sistemas valdančiais ar tvarkančiais subjektais;

10.7. įdiegia sąsajas su elektroninėje atpažintyje dalyvaujančiomis sistemomis.

11.    NETAIS duomenų teikėjai:

11.1. Valstybės skaitmeninių sprendimų agentūra teikia Valstybės informacinių išteklių sąveikumo platformos (toliau – VIISP) (valdytoja – Ekonomikos ir inovacijų ministerija) fizinio asmens tapatybės duomenis, nurodytus Nuostatų 13.2.1. papunkčiuose;

11.2. Elektroninės atpažinties paslaugų teikėjai teikia tapatumo nustatymo duomenis, nurodytus Nuostatų 13.2.1. papunkčiuose, fizinio asmens, kuriam išduota elektroninės atpažinties priemonė, tapatybės duomenis.

12.    NETAIS duomenų gavėjai:

12.1. Fizinio asmens tapatybės, juridinio asmens atstovavimo, tapatybės patvirtinimo bei kiti, atsižvelgiant į inicijuojamą paslaugą, NETAIS duomenys perduodami elektroninių paslaugų teikėjams;

12.2. Nuostatų 13.1. ir 13.2. papunkčiuose nurodyti duomenys perduodami VIISP;

12.3. Įstatymų nustatytais atvejais – kitos įstaigos bei organizacijos, turinčios teisę gauti NETAIS tvarkomus duomenis, teismai.

 

III SKYRIUS

NETAIS INFORMACINĖ STRUKTŪRA

 

13.    NETAIS informacinę struktūrą sudaro:

13.1  NETAIS tvarkomi duomenys apie elektroninės atpažinties, tapatumo nustatymo ir duomenų perdavimo faktus:

13.1.1.   duomenys (įrašai) apie duomenų apsikeitimo ryšius:

13.1.1.1. duomenys apie asmens tapatybės duomenų teikėjų informacines sistemas – informacinės sistemos pavadinimas, duomenys apie teikiamų duomenų rinkinius, suteiktą patikimumo kategoriją;

13.1.1.2. duomenys apie elektronines paslaugas teikiančių informacinių sistemų, kurioms tapatumo nustatymo metu perduodami asmens tapatybės duomenys – informacinės sistemos pavadinimas, reikalaujamas pateikti duomenų rinkinys, tarpusavio sutartyse apibrėžti elektroninės atpažinties schemų saugumo užtikrinimo reikalavimai;

13.1.1.3. duomenys apie elektroninės atpažinties ESŠ sistemas – šalis, sistemos pavadinimas, galimi duomenų rinkiniai, perduodamiems bei gaunamiems duomenims suteikta patikimumo kategorija;

13.1.2. apskaitos duomenys apie elektroninės atpažinties ir tapatumo nustatymo faktus:

13.1.2.1. tapatumo nustatymo būdas ir laikas;

13.1.2.2. asmens tapatybės duomenų sąrašas (be reikšmių);

13.1.2.3. ryšio sesijos identifikatorius;

13.1.2.4. elektroninės atpažinties identifikatorius;

13.1.2.5. elektroninės atpažinties ir tapatumo nustatymo liudijimo išdavimo data ir laikas;

13.1.2.6. elektroninės atpažinties galiojimo laikotarpis;

13.1.2.7. informacinę sistemą, kuriai perduodami asmens tapatybės duomenys, identifikuojantys duomenys;

13.1.2.8. tapatumo nustatymo proceso rezultatas (pateikta, atmesta, atšaukta);

13.1.2.9. tapatumo nustatymo duomenų vientisumo ir autentiškumo patvirtinimui reikalingi duomenys;

13.1.2.10. tapatumo nustatymo duomenų perdavimo sesijos parametrai.

13.2. NETAIS tapatumo nustatymo procese (proceso metu) gaunami duomenys:

13.2.1.   fizinio asmens tapatybės duomenys:

13.2.1.1. fizinio asmens vardas ir pavardė;

13.2.1.2. gimimo data;

13.2.1.3. fizinio asmens kodas;

13.2.1.4. gyvenamosios vietos adresas;

13.2.2. juridinio asmens duomenys:

13.2.2.1. juridinio asmens kodas;

13.2.2.2. juridinio asmens pavadinimas.

13.3. NETAIS komponenčių sąrankos duomenys.

14.  NETAIS tapatumo nustatymo procesui reikalingi duomenys gaunami iš šių Nuostatų 11 punkte nurodytų NETAIS duomenų teikėjų (konkretūs duomenų elementai apibrėžiami duomenų teikimo sutartyse).

 

IV SKYRIUS

NETAIS FUNKCINĖ STRUKTŪRA

 

15.    NETAIS funkcinę struktūrą sudaro:

15.1. NETAIS elektroninės atpažinties duomenų surinkimo, suformavimo ir apsikeitimo komponentė, kuri:

15.1.1. surenka asmens tapatybės duomenis iš NETAIS duomenų teikėjų ir juos patvirtina NETAIS elektroniniu sertifikatu;

15.1.2. vykdo duomenų mainus su elektroninių paslaugų teikėjų sistemomis, kurioms yra pateikiami tapatumo nustatymo duomenys;

15.1.3. vykdo duomenų mainus su pasikliaujančiomis šalimis;

15.2. NETAIS asmens tapatybės duomenų patikros komponentė, kuri patikrina pateiktus tapatybės užklausų duomenis su galimų asmens tapatybės duomenų teikėjų sąrašais ir patikrina tapatumo nustatymo saugos užtikrinimo lygį;

15.3. NETAIS elektroninės atpažinties apskaitos įrašų valdymo komponentė, kuri įrašo ir kaupia apskaitos įrašus apie elektroninės atpažinties, tapatumo nustatymo ir duomenų perdavimo faktus;

15.4. NETAIS administravimo ir duomenų mainų valdymo komponentė, kuri skirta:

15.4.1. registruoti ir konfigūruoti sisteminius duomenų mainų parametrus;

15.4.2. administruoti  NETAIS funkcionavimo procesus, informacinės sistemos naudotojus ir jų teises;

15.4.3. tvarkyti komponenčių sąrankas;

15.4.4. stebėti ir fiksuoti saugumo įvykius, įstatymų nustatyta tvarka teikti informaciją apie elektroninės atpažinties, tapatumo nustatymo ir duomenų perdavimo faktus subjektams, turintiems teisę ją gauti;

15.4.5. tvarkyti elektroninėje atpažintyje dalyvaujančių sistemų sąveikos sąranką.

 

V SKYRIUS

NETAIS DUOMENŲ TEIKIMAS IR NAUDOJIMAS

 

16. NETAIS duomenų gavėjai yra Lietuvos Respublikos ir ESŠ juridiniai asmenys, valdantys ar tvarkantys sistemas, kuriomis teikiamos elektroninės paslaugos, prie kurių prisijungiant reikalinga elektroninė atpažintis.

17. Tapatumo nustatymo duomenys elektroninių paslaugų teikėjų sistemoms teikiami vadovaujantis SAML (angl. Security Assertion Markup Language) standartu XML pagrindu sukurtu saugiu protokolu, skirtu apsikeisti asmens tapatybės duomenimis tarp asmens tapatybės duomenų teikėjų ir elektroninių paslaugų teikėjų sistemų, nustatyta asmens tapatybės duomenų apimtimi.

18. Duomenys NETAIS duomenų gavėjams iš ESŠ, trečiųjų šalių teikiami pagal Reglamentą (ES) 2016/679 ir vadovaujantis Reglamentu (ES) Nr. 910/2014.

19. NETAIS kaupiami ir saugomi techniniai duomenys apie elektroninės atpažinties, tapatumo nustatymo ir duomenų perdavimo faktus, naudojami tik vidinei statistinei procesų analizei ir šių Nuostatų 16 punkte nurodytiems duomenų gavėjams neteikiami, išskyrus atvejus, kai šie duomenys yra naudojami tapatumo nustatymo procedūrose arba kai pagal prašymą teikiami subjektams, teisės aktų nustatyta tvarka turintiems teisę gauti tokius duomenis.

 

VI SKYRIUS

NETAIS DUOMENŲ SAUGA

 

20. NETAIS duomenų saugą nustato NETAIS duomenų saugos nuostatai ir saugos politiką įgyvendinantys dokumentai, kurie rengiami, derinami ir tvirtinami Saugos aprašo nustatyta tvarka.

21. NETAIS priskiriama svarbių valstybės informacinių išteklių rūšiai.

22. Už duomenų saugą atsako NETAIS valdytojas, kuris privalo NETAIS duomenų saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose dokumentuose nustatyta tvarka užtikrinti reikiamas administracines, metodines, technines ir organizacines duomenų saugos priemones ir tokių priemonių laikymąsi.

23. NETAIS tvarkomų asmens duomenų saugumas užtikrinamas vadovaujantis Reglamentu (ES) 2016/679, Išteklių valdymo įstatymu, Saugos aprašu ir kitais teisės aktais, reglamentuojančiais asmens duomenų tvarkymą.

24. NETAIS duomenų saugos reikalavimai yra įgyvendinami vadovaujantis Lietuvos Respublikos kibernetinio saugumo įstatymo, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, ir kitų teisės aktų, reguliuojančių valstybės registrų ir informacinių sistemų saugą, nustatyta tvarka.

25. Lietuvos standartu LST ISO/IEC 27002:2023 Informacijos saugumas, kibernetinis saugumas ir privatumo apsauga. Informacijos saugumo kontrolės priemonės (ISO/IEC 27002:2022) ir LST ISO/IEC 27001:2023 Informacijos saugumas, kibernetinis saugumas ir privatumo apsauga. Informacijos saugumo valdymo sistemos. Reikalavimai (ISO/IEC 27001:2022) ir kitais standartais.

26. Nuostatų 13.1 punkte įvardinti duomenys apie elektroninės atpažinties, tapatumo nustatymo ir duomenų perdavimo faktus NETAIS saugomi 1 metus. Pasibaigus šiam laikotarpiui, duomenys yra archyvuojami ir 10 metų saugomi NETAIS duomenų bazės archyve. Pasibaigus duomenų saugojimo archyve laikui duomenys yra sunaikinami.

27. NETAIS valdytojas privalo užtikrinti, kad jo darbuotojai, kurie yra susiję su asmens duomenų tvarkymu, būtų įpareigoti saugoti asmens duomenų paslaptį, jeigu šie asmens duomenys neskirti skelbti viešai. Ši pareiga ir jų teisinė atsakomybė privalo galioti ir šiems asmenims pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas, pasibaigus jų darbo ar sutartiniams santykiams.

28. NETAIS duomenų gavėjai yra atsakingi už duomenų naudojimą, nepažeidžiant  Reglamento (ES) 2016/679 bei kitų teisės aktų.

 

VII SKYRIUS

NETAIS FINANSAVIMAS

 

29. NETAIS kūrimas, eksploatacija, atnaujinimas ir pertvarkymas finansuojamas Lietuvos Respublikos biudžeto, įskaitant Europos Sąjungos fondų lėšas ir kitas lėšas.

 

VIII SKYRIUS

NETAIS ATNAUJINIMAS, PERTVARKYMAS IR LIKVIDAVIMAS

 

30. NETAIS atnaujinama, pertvarkoma ir likviduojama Lietuvos Respublikos teisės aktų nustatyta tvarka.

31. NETAIS likviduojant, NETAIS duomenys perduodami kitos tokią pat arba panašią paskirtį turinčios informacinės sistemos valdytojui ir (ar) tvarkytojui, kitos, steigiamos vietoj likviduojamos, informacinės sistemos valdytojui ir (ar) tvarkytojui, sunaikinami arba perduodami Lietuvos valstybės naujajam archyvui Lietuvos vyriausiojo archyvaro nustatyta tvarka.

 

IX SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

32. NETAIS valdymas ir sauga vertinami atliekant informacinių technologijų auditą Išteklių valdymo įstatymo nustatyta tvarka ir terminais.

 

_________________________