LIETUVOS RESPUBLIKOS Ekonomikos ir inovacijų MINISTRAS

 

įsakymas

Dėl Ekonomikos ir inovacijų ministro

2023 M. GEGUŽĖS 10 D. ĮSAKYMO NR. 4-249 „DĖL techninių ir organizacinių reikalavimų, taikomų valstybiniams duomenų centrams ir Lietuvos Respublikoje ar kitose europos Sąjungos valstybėse narėse, europos ekonominės erdvės valstybėse ir (ar) šiaurės atlanto sutarties organizacijos (NATO) valstybėse narėse esantiems duomenų centrams, kuriuose laikomi valstybės informaciniai ištekliai, APRAŠO IR VALSTYBINIŲ DUOMENŲ CENTRŲ SĄRAŠO PATVIRTINIMO“ PAKEITIMO

 

2025 m. sausio 17 d. Nr. 4-22

Vilnius

 

 

P a k e i č i u  Lietuvos Respublikos ekonomikos ir inovacijų ministro 2023 m. gegužės 10 d. įsakymą Nr. 4-249 „Dėl Techninių ir organizacinių reikalavimų, taikomų valstybiniams duomenų centrams ir Lietuvos Respublikoje ar kitose Europos Sąjungos valstybėse narėse, Europos ekonominės erdvės valstybėse ir (ar) Šiaurės Atlanto Sutarties Organizacijos (NATO) valstybėse narėse esantiems duomenų centrams, kuriuose laikomi valstybės informaciniai ištekliai, aprašo ir Valstybinių duomenų centrų sąrašo patvirtinimo“:

1. Pakeičiu pavadinimą ir jį išdėstau taip:

DĖL techninių ir organizacinių reikalavimų, taikomų valstybiniams duomenų centrams ir Lietuvos Respublikoje ar kitose europos Sąjungos valstybėse narėse, europos ekonominės erdvės valstybėse ir (ar) šiaurės atlanto sutarties organizacijos (NATO) valstybėse narėse esantiems duomenų centrams, kuriuose laikomi valstybės informaciniai ištekliai, APRAŠO PATVIRTINIMO“.

2. Pakeičiu preambulę ir ją išdėstau taip:

Vadovaudamasi Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 11 straipsnio 3 dalies 6 punktu:“.

3. Pripažįstu netekusiu galios 1.2 papunktį (su visais Sąrašo pakeitimais ir papildymais).

4. Pakeičiu nurodytu įsakymu patvirtintą Techninių ir organizacinių reikalavimų, taikomų valstybiniams duomenų centrams ir Lietuvos Respublikoje ar kitose Europos Sąjungos valstybėse narėse, Europos ekonominės erdvės valstybėse ir (ar) Šiaurės Atlanto Sutarties Organizacijos (NATO) valstybėse narėse esantiems duomenų centrams, kuriuose laikomi valstybės informaciniai ištekliai, aprašą:

4.1. Pakeičiu 16 punktą ir jį išdėstau taip:

16. Jeigu per trūkumų šalinimo plane nustatytą terminą Ekonomikos ir inovacijų ministerija negauna valstybinio duomenų centro valdytojo raštiško patvirtinimo apie trūkumų pašalinimą arba raštiško pagrįsto prašymo pratęsti šį terminą, Ekonomikos ir inovacijų ministerija pateikia Lietuvos Respublikos Vyriausybei pasiūlymą (atitinkamo Lietuvos Respublikos Vyriausybės nutarimo projektą) išbraukti valstybinį duomenų centrą iš Valstybinių duomenų centrų sąrašo, patvirtinto Lietuvos Respublikos Vyriausybės 2024 m. gegužės 15 d. nutarimu Nr. 349 „Dėl Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo įgyvendinimo“ (toliau – Valstybinių duomenų centrų sąrašas), Aprašo 33 punkte nustatyta tvarka. Jeigu valstybinio duomenų centro valdytojas per trūkumų šalinimo plane nustatytą terminą pateikia prašymą pratęsti šį terminą, jis šiame prašyme taip pat nurodo aplinkybes, kodėl per trūkumų šalinimo plane nustatytą terminą trūkumai negali būti pašalinti, ir pateikia trūkumų šalinimo planą su patikslintais trūkumų pašalinimo terminais. Gavusi šiuos dokumentus, Ekonomikos ir inovacijų ministerija, įvertinusi valstybinio duomenų centro valdytojo prašyme pratęsti trūkumų šalinimo plane nustatytą terminą nurodytas aplinkybes ir patikslintų trūkumų pašalinimo terminų pagrįstumą, per 10 darbo dienų raštu informuoja valstybinio duomenų centro valdytoją apie pritarimą, kad būtų pratęsti trūkumų pašalinimo terminai, arba motyvuotą nepritarimą, kad jie būtų pratęsti. Iš Valstybinių duomenų centrų sąrašo pašalintas duomenų centras gali būti vėl įtrauktas į šį sąrašą Aprašo 34 punkte nustatyta tvarka.“

4.2. Pakeičiu 23 punktą ir jį išdėstau taip:

23. Valstybinio duomenų centro valdytojas turi turėti atitikties tarptautinio standarto ISO/IEC 27001:2017 reikalavimams sertifikatą.“

4.3. Pakeičiu 26 punktą ir jį išdėstau taip:

26. Privačių ir užsienio duomenų centrų valdytojai turi turėti ISO/IEC 27001:2017 arba lygiaverčio standarto atitikties galiojantį sertifikatą.“

4.4. Pakeičiu 31 punktą ir jį išdėstau taip:

31. Ekonomikos ir inovacijų ministerija, gavusi Aprašo 13 punkte nustatytų dokumentų kopijas ir Aprašo 14 punkto nuostatas atitinkančią Vertinimo išvadą, per du mėnesius nuo šių dokumentų gavimo dienos pateikia Vyriausybei pasiūlymą (atitinkamo Vyriausybės nutarimo projektą) įtraukti duomenų centrą į Valstybinių duomenų centrų sąrašą vadovaujantis Valstybės informacinių išteklių valdymo įstatymo 10 straipsnio 10 punktu.

4.5. Pakeičiu 33 punktą ir jį išdėstau taip:

33. Jeigu per trūkumų šalinimo plane nustatytą terminą Ekonomikos ir inovacijų ministerija negauna valstybinio duomenų centro valdytojo raštiško patvirtinimo apie trūkumų pašalinimą arba raštiško pagrįsto prašymo pratęsti šį terminą, Ekonomikos ir inovacijų ministerija per 5 darbo dienas nuo atitinkamai trūkumų šalinimo plane nustatyto termino pabaigos arba Ekonomikos ir inovacijų ministerijos raštiško pranešimo valstybinio duomenų centro valdytojui apie jos motyvuotą nepritarimą pratęsti trūkumų šalinimo plane nustatytą terminą, jeigu šis terminas jau yra pasibaigęs, raštu informuoja valstybinio duomenų centro valdytoją apie galimą šio centro išbraukimą iš Valstybinių duomenų centrų sąrašo ir per du mėnesius pateikia Vyriausybei pasiūlymą (atitinkamo Vyriausybės nutarimo projektą) išbraukti valstybinį duomenų centrą iš Valstybinių duomenų centrų sąrašo.

4.6. Pakeičiu 34 punktą ir jį išdėstau taip:

34. Duomenų centras, išbrauktas iš Valstybinių duomenų centrų sąrašo, gali būti įtrauktas į Valstybinių duomenų centrų sąrašą Aprašo 29 ir 31 punktuose nustatyta tvarka, pašalinus visus anksčiau trūkumų šalinimo plane nustatytus trūkumus ir atlikus pakartotinį Vertinimą bei Vyriausybei nutarus įtraukti šį centrą į Valstybinių duomenų centrų sąrašą.“

4.7. Pakeičiu 36 punktą ir jį išdėstau taip:

36. Europos ekonominės erdvės valstybėse ir NATO valstybėse narėse esančiuose duomenų centruose talpinant valstybės informacinius išteklius sudarančius asmens duomenis turi būti laikomasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrajame duomenų apsaugos reglamente) ir (ar) Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatyme (toliau – Teisėsaugos ADTAĮ) nustatytų tinkamų asmens duomenų apsaugos priemonių. Tais atvejais, kai asmens duomenys yra talpinami už Europos ekonominės erdvės ribų esančių valstybių duomenų centruose, papildomai turi būti laikomasi Reglamento (ES) 2016/679 V skyriuje ir (ar) Teisėsaugos ADTAĮ VII skyriuje nustatytų reikalavimų. Asmens duomenis, tvarkomus nacionalinio saugumo ar gynybos tikslais, į trečiąją valstybę arba tarptautinei organizacijai galima perduoti laikantis Teisėsaugos ADTAĮ 341 straipsnyje nustatytų reikalavimų.“

 

 

 

Ekonomikos ir inovacijų ministras                                                                             Lukas Savickas