LIETUVOS RESPUBLIKOS APLINKOS MINISTRAS
ĮSAKYMAS
DĖL VIENINGOS GAMINIŲ, PAKUOČIŲ IR ATLIEKŲ APSKAITOS INFORMACINĖS SISTEMOS SAUGOS NUOSTATŲ PATVIRTINIMO
2024 m. spalio 17 d. Nr. D1-343
Vilnius
Įgyvendindamas Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir saugos dokumentų turinio gairių aprašo patvirtinimo“ 7 punktu:
1. T v i r t i n u Vieningos gaminių, pakuočių ir atliekų apskaitos informacinės sistemos saugos nuostatus (pridedama).
2. P a v e d u Aplinkos apsaugos departamentui prie Aplinkos ministerijos paskirti Vieningos gaminių, pakuočių ir atliekų apskaitos informacinės sistemos saugos įgaliotinį.
PATVIRTINTA
Lietuvos Respublikos aplinkos ministro
2024 m. spalio 17 d. įsakymu Nr. D1-343
VIENINGOS GAMINIŲ, PAKUOČIŲ IR ATLIEKŲ APSKAITOS INFORMACINĖS SISTEMOS SAUGOS NUOSTATAI
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Vieningos gaminių, pakuočių ir atliekų apskaitos informacinės sistemos (toliau – GPAIS) saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja GPAIS elektroninės informacijos saugos valdymą, organizacinius ir techninius reikalavimus, reikalavimus personalui ir GPAIS naudotojų supažindinimo su saugos dokumentais principus.
2. GPAIS duomenų saugos užtikrinimo tikslai:
4. GPAIS tvarkytojai – Aplinkos apsaugos agentūra (toliau – Agentūra), buveinė A. Juozapavičiaus g. 9, Vilniuje, ir Aplinkos apsaugos departamentas prie Aplinkos ministerijos (toliau – Departamentas), buveinė Smolensko g. 15, Vilniuje;
5. GPAIS administratorius – GPAIS tvarkytojo darbuotojas, dirbantis pagal darbo sutartį arba GPAIS valdytojo pasitelktas paslaugų teikėjas, GPAIS infrastruktūros, kompiuterinės įrangos saugos ir priežiūros administratorius (toliau kartu ‒ darbuotojas);
6. GPAIS naudotojai – GPAIS valdytojo ir GPAIS tvarkytojų valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartis, kurie jungiasi prie GPAIS ir teisės aktų nustatyta tvarka pagal kompetenciją naudoja ir (ar) tvarko elektroninę informaciją;
7. GPAIS saugos įgaliotinis – GPAIS valdytojo paskirtas darbuotojas, įgyvendinantis GPAIS elektroninės informacijos saugą.
8. Saugos nuostatuose vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos:
8.3. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679);
8.4. Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“ (toliau ‒ Bendrųjų elektroninės informacijos saugos reikalavimų aprašas);
8.5. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;
8.6. Informacinių technologijų saugos atitikties vertinimo metodikoje, patvirtintoje Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“ (toliau ‒ Informacinių technologijų saugos atitikties vertinimo metodika);
8.7. Vieningos gaminių, pakuočių ir atliekų apskaitos informacinės sistemos nuostatuose, patvirtintuose Lietuvos Respublikos aplinkos ministro 2013 m. gruodžio 20 d. įsakymu Nr. D1-976 „Dėl Vieningos gaminių, pakuočių ir atliekų apskaitos informacinės sistemos nuostatų patvirtinimo“ (toliau – GPAIS nuostatai);
9. Saugos nuostatų tikslai:
9.2. užtikrinti, kad GPAIS tvarkoma elektroninė informacija būtų apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, praradimo, nuo bet kokio kito neteisėto tvarkymo;
10. GPAIS elektroninės informacijos saugos užtikrinimo prioritetinės kryptys:
10.8. GPAIS naudotojų ir administratorių mokymas elektroninės informacijos ir asmens duomenų saugos klausimais;
11. Saugos nuostatai reglamentuoja sistemos automatizuotą duomenų apdorojimą ir privalomi visiems GPAIS naudotojams, GPAIS tvarkytojams, GPAIS valdytojai, GPAIS administratoriams ir GPAIS saugos įgaliotiniui.
12. GPAIS valdytoja atsako už saugos politikos formavimą ir įgyvendinimo organizavimą, priežiūrą, elektroninės informacijos tvarkymo teisėtumą ir atlieka šias funkcijas:
12.3. koordinuoja visų GPAIS naudotojų, administratorių ir GPAIS saugos įgaliotinio darbą, metodiškai jiems vadovauja ir įstatymų nustatyta tvarka vykdo šio darbo priežiūrą;
12.6. skiria arba paveda GPAIS tvarkytojams paskirti GPAIS saugos įgaliotinį ir GPAIS administratorių;
13. GPAIS tvarkytojai atlieka šias funkcijas:
13.1. tvarko GPAIS duomenis vadovaudamiesi GPAIS nuostatų 11.1 ir 11.2 papunkčiuose apibrėžtomis tvarkytojų funkcijomis;
13.3. pagal kompetenciją rengia ir tvirtina dokumentus, susijusius su GPAIS tvarkymu ir duomenų sauga savo įstaigoje, ir prižiūri, kaip jų laikomasi;
13.4. Aplinkos ministerijos pavedimu Agentūra skiria GPAIS administratorių ir paveda jam atlikti Saugos nuostatuose numatytas funkcijas;
14. GPAIS administratorius, įgyvendindamas GPAIS elektroninės informacijos saugą, atlieka šias funkcijas:
14.1. užtikrina GPAIS duomenų apsaugą ir elektroninės informacijos saugą, atsako už reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą;
14.6. daro atsargines GPAIS duomenų kopijas, atkuria duomenis iš kopijų ir periodiškai tikrina duomenų iš kopijų atkūrimo galimybes;
14.9. vykdo GPAIS saugos įgaliotinio nurodymus ir pavedimus GPAIS saugos politikos įgyvendinimo klausimais ir jam atsiskaito už duomenų saugos organizavimą ir saugos priemonių įgyvendinimą;
14.10. informuoja GPAIS saugos įgaliotinį apie saugos politiką įgyvendinančių dokumentų, patvirtintų Lietuvos Respublikos aplinkos ministro 2012 m. liepos 25 d. įsakymu Nr. D1-637 „Dėl Lietuvos Respublikos aplinkos ministerijos informacinių sistemų saugos elektroninės informacijos tvarkymo taisyklių, Lietuvos Respublikos aplinkos ministerijos informacinių sistemų veiklos tęstinumo valdymo plano ir Lietuvos Respublikos aplinkos ministerijos informacinių sistemų naudotojų administravimo taisyklių patvirtinimo“ (toliau – saugos politiką įgyvendinantys dokumentai) pažeidimus, nusikalstamos veikos požymius, elektroninės informacijos saugai svarbius įvykius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones;
14.14. raštu ar elektroninėmis ryšio priemonėmis informuoja GPAIS saugos įgaliotinį apie saugos politiką įgyvendinančių dokumentų pažeidimus, nusikalstamos veikos požymius, elektroninės informacijos saugai svarbius įvykius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones (nurodo savo pareigas, vardą, pavardę ir šiame papunktyje nurodytas aplinkybes);
14.15. gavęs pranešimą apie vykdomus neteisėtus veiksmus su GPAIS tvarkoma elektronine informacija, inicijuoja elektroninės informacijos saugos incidento valdymo procedūras;
15. GPAIS saugos įgaliotinis, įgyvendindamas GPAIS elektroninės informacijos saugą, atlieka šias funkcijas:
15.2. tiria elektroninės informacijos saugos incidentus ir, jei incidentas turi asmens duomenų saugumo pažeidimo, kaip jis suprantamas Reglamente (ES) 2016/679, požymių, imasi priemonių, kad apie incidentą nedelsiant būtų informuota GPAIS valdytoja;
15.4. ne rečiau kaip vieną kartą per metus peržiūri GPAIS naudotojų sąrašą, patikrina, ar visi naudotojai aktyvūs, sudaro neaktyvių naudotojų sąrašą GPAIS administratoriui;
15.5. supažindina GPAIS naudotojus ir GPAIS administratorius su Saugos nuostatais ir kitais saugos politiką reguliuojančiais teisės aktais, atsakomybe už šių reikalavimų nesilaikymą;
15.6. periodiškai inicijuoja GPAIS naudotojų ir administratorių mokymą elektroninės informacijos saugos klausimais, informuoja juos apie informacijos saugos problemas (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės naujiems darbuotojams ir panašiai);
15.7. koordinuodamas ir prižiūrėdamas, kaip GPAIS įgyvendinama saugos politika, atlieka Bendrųjų elektroninės informacijos saugos reikalavimų apraše ir saugos politikos įgyvendinamuosiuose dokumentuose GPAIS saugos įgaliotiniui priskirtas funkcijas;
16. Saugų GPAIS duomenų tvarkymą reglamentuoja:
16.3. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);
16.5. Saugos dokumentų turinio gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“;
16.7. Lietuvos standartai LST ISO/IEC 27001 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai (tapatus ISO/IEC 27001)“, LST ISO/IEC 27002 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai (tapatus ISO/IEC 27002)“;
II SKYRIUS
ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
17. GPAIS priskirtinas svarbių valstybės informacinių išteklių rūšiai. Nustatytas 2 (aukštas) konfidencialumo, vientisumo ir pasiekiamumo pažeidimo poveikio lygis įvertinus poveikį viešosios ir administracinės paslaugos teikimui.
18. GPAIS saugos įgaliotinis, atsižvelgdamas į Lietuvos Respublikos vidaus reikalų ministerijos 2005 m. išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet savo įstaigoje organizuoja GPAIS rizikos įvertinimą. Prireikus GPAIS saugos įgaliotinis gali organizuoti neeilinį rizikos įvertinimą. GPAIS saugos įgaliotinis apie GPAIS rizikos įvertinimo rezultatus informuoja GPAIS valdytoją. GPAIS rizikos vertinimo rezultatai išdėstomi rizikos vertinimo ataskaitoje, kuri pateikiama GPAIS valdytojai. Rizikos vertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai, galimą jų žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Svarbiausi rizikos veiksniai yra šie:
18.1. Ž – žemas. Duomenų pažeidimo poveikio laipsnis nedidelis, padariniai nebus pavojingi – informacija išsiųsta kitam adresatui, įvesti netikslūs duomenys, dingo dalis informacijos, kurią galima greitai atkurti iš atsarginių kopijų, prarasta informacija po paskutinio kopijavimo. Neveikia kompiuterinė programinė įranga ir (ar) operacinė sistema kompiuterizuotose darbo vietose;
18.2. V – vidutinis. Duomenų pažeidimo poveikio laipsnis gali būti didelis, padariniai rimti – duomenys netikslūs ar sugadinti, bet juos įmanoma atkurti iš atsarginių kopijų. Duomenų bazių įrašai pakeisti, sunku rasti klaidas ir suklastotą informaciją, neveikia kompiuterinė programinė įranga ir (ar) operacinė sistema tarnybinėse stotyse;
19. Atsižvelgdama į rizikos vertinimo ataskaitą, GPAIS valdytoja prireikus tvirtina rizikos vertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
20. Elektroninės informacijos saugos ir kibernetinio saugumo gerinimo priemonės turi atitikti teisės aktų reikalavimus, parinktos atsižvelgiant į rizikos vertinimo rezultatus ir vadovaujantis šiais principais:
21. Siekiant įgyvendinti saugos politikos įgyvendinamuosiuose dokumentuose nustatytus elektroninės informacijos saugos reikalavimus ir užtikrinti jų kontrolę, ne rečiau kaip kartą per dvejus metus organizuojamas informacinių technologijų saugos atitikties vertinimas.
22. Informacinių technologijų saugos atitikties vertinimo metu turi būti:
22.1. įvertinama Saugos nuostatų ir saugos politiką įgyvendinančių dokumentų reikalavimų ir faktinės saugos atitiktis, inventorizuojama GPAIS techninė ir programinė įranga;
22.2. patikrinama ir įvertinama GPAIS administratoriams ir GPAIS naudotojams suteiktų teisių ir vykdomų funkcijų atitiktis;
23. Atlikus Saugos nuostatų 22 punkte nurodytą vertinimą, rengiamas pastebėtų trūkumų šalinimo planas, kuriame, atsižvelgiant į kibernetinių atakų imitavimo metu nustatytus trūkumus, GPAIS valdytojai teikiami pasiūlymai dėl kibernetinį saugumą reglamentuojančių teisės aktų ar kitų GPAIS valdytojo patvirtintų dokumentų pakeitimo, kibernetinio saugumo būklės gerinimo ir papildomų kibernetinio saugumo priemonių įsigijimo. Pastebėtų trūkumų šalinimo planą tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato GPAIS valdytoja.
24. GPAIS rizikos vertinimo ataskaitos, rizikos vertinimo ir rizikos valdymo priemonių plano, informacinių technologijų saugos atitikties vertinimo ataskaitos ir pastebėtų trūkumų šalinimo plano kopijas GPAIS valdytoja ne vėliau kaip per 5 (penkias) darbo dienas nuo minėtų dokumentų priėmimo pateikia į Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemą (toliau – ARSIS) Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“ (toliau – Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatai), nustatyta tvarka.
25. GPAIS saugos politikos įgyvendinamųjų dokumentų ir jų pakeitimų kopijas GPAIS valdytoja ne vėliau kaip per 5 (penkias) darbo dienas nuo jų patvirtinimo pateikia ARSIS Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.
III SKYRIUS
ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
26. GPAIS tarnybinės stotys (virtualios mašinos) turi būti apsaugotos nuo kenksmingos programinės įrangos (virusų, šnipinėti skirtos programinės įrangos ir pan.). Apsaugai naudojama programinė įranga turi atsinaujinti automatiškai ne rečiau kaip kartą per parą.
27. GPAIS naudotojų ir administratorių prieiga prie GPAIS valdoma naudojant unikalius identifikatorius ir slaptažodžius.
28. GPAIS naudotojų ir administratorių darbo vietose turi būti naudojama programinė įranga, skirta apsaugoti GPAIS naudotojų darbo vietas nuo kenksmingos programinės įrangos (virusų, šnipinėti skirtos programinės įrangos ir pan.). Ši programinė įranga turi būti atnaujinama ne rečiau kaip vieną kartą per savaitę.
29. GPAIS naudotojų ir administratorių darbo vietose kompiuterinė ir programinė įranga gali būti naudojami ir kitoms GPAIS naudotojo ir administratoriaus funkcijoms atlikti, jei nenumatyta kitaip.
30. GPAIS elektroninė informacija perduodama naudojant saugias ryšio linijas, aprašytas GPAIS elektroninės informacijos tvarkymo taisyklėse, patvirtintose saugos politiką įgyvendinančiuose dokumentuose.
31. GPAIS duomenys automatiniu būdu perduodami tik pagal duomenų teikimo sutartyse nustatytas technines specifikacijas ir sąlygas.
32. GPAIS kompiuterinės įrangos ir mobiliųjų įrenginių apsauga nuo kenksmingos programinės įrangos (virusų, šnipinėti skirtos programinės įrangos, nepageidaujamo elektroninio pašto ir pan.) užtikrinama programinėmis ir organizacinėmis priemonėmis.
33. Atsarginių duomenų kopijų darymas turi užtikrinti GPAIS duomenų bazės ir informacinės sistemos veiklos tęstinumą. Atsarginės duomenų kopijos daromos ir duomenys iš atsarginių duomenų kopijų atkuriami laikantis elektroninės informacijos atsarginio kopijavimo ir atkūrimo iš atsarginių duomenų kopijų reikalavimų. Pagrindiniai elektroninės informacijos atsarginio kopijavimo ir atkūrimo reikalavimai:
33.1. atsarginės duomenų kopijos daromos periodiškai automatiniu būdu. Visų atsarginių duomenų kopija daroma ne rečiau kaip kartą per 24 valandas;
33.3. prarasta, iškraipyta ar sunaikinta GPAIS elektroninė informacija atkuriama iš atsarginių duomenų kopijų;
33.4. GPAIS elektroninė informacija turi būti kopijuojama ir saugoma taip, kad praradus elektroninę informaciją visišką GPAIS funkcionalumą ir veiklą būtų galima atnaujinti per 16 valandų;
33.6. padarius atsarginių duomenų kopiją, GPAIS administratorius turi patikrinti sistemos sukurtus duomenų kopijavimo protokolus;
33.7. už atsarginių duomenų kopijų darymą, saugojimą ir elektroninės informacijos iš atsarginių duomenų kopijų atkūrimą atsakingas GPAIS administratorius. Už atsarginių duomenų kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių duomenų kopijų kontrolę atsakingas GPAIS saugos įgaliotinis.
34. Kompiuterių tinklo filtravimo įrangos naudojimo nuostatos:
34.1. GPAIS administratoriaus elektroninės informacijos perdavimo tinklas turi būti atskirtas nuo viešųjų telekomunikacijų tinklų naudojant užkardą;
34.2. konfigūruojant tinklo užkardas, turi būti laikomasi principo „draudžiama pagal nutylėjimą“, t. y. turi būti naudojami tik būtini organizacijos veiklai tinklo protokolai ir užkardų prievadai;
35. GPAIS tarnybinių stočių srities tinklo užkardų konfigūracijos aprašymą (užkardos taisykles) saugo GPAIS administratorius. Užkardų konfigūracija peržiūrima ne rečiau kaip kartą per metus. Peržiūrą inicijuoja GPAIS administratorius.
36. GPAIS vidiniu portalu leidžiama naudotis ne tik Aplinkos ministerijos, Agentūros ar Departamento patalpose. Norint prisijungti prie GPAIS vidinio portalo ne institucijos patalpose (ne iš saugių institucijos tinklų) naudotojas būtinai turi jungtis prie saugiojo tinklo įrankio (angl. VPN) ir tik tada prie GPAIS vidinio portalo. Taip užtikrinamas šifravimas ir papildomas tapatybės patvirtinimas.
IV SKYRIUS
REIKALAVIMAI PERSONALUI
37. Saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, tobulinti kvalifikaciją elektroninės informacijos saugos srityje ir savo darbe vadovautis saugos politikos įgyvendinamaisiais dokumentais, Informacinių technologijų saugos atitikties vertinimo metodika, Lietuvos Respublikos ir Europos Sąjungos teisės aktais, standartais ir dokumentais, reglamentuojančiais informacinių sistemų duomenų tvarkymą, sugebėti prižiūrėti informacinių sistemų saugos politikos įgyvendinimą.
38. Saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą, susijusį su elektroninių duomenų ir informacinių sistemų saugumu, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą, savavališką prisijungimą prie tinklo, galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, žymėjimo, priežiūros ir naudojimo taisyklių pažeidimą, jeigu nuo jos skyrimo praėję mažiau kaip vieni metai.
39. Administratoriai privalo turėti sisteminių programinių priemonių administravimo ir priežiūros patirties, išmanyti elektroninės informacijos saugos politikos principus, pagal priskirtas funkcijas administruoti GPAIS naudotojus, būti susipažinusiems su saugos politikos įgyvendinamaisiais dokumentais.
40. Prireikus gali būti organizuojami mokymai GPAIS administratoriui. Už šių mokymų organizavimą atsakingas saugos įgaliotinis. GPAIS saugos įgaliotinis pagal poreikį mokymus organizuoja kartą per metus: paruošia mokymų planą ir medžiagą, iš anksto informuoja apie mokymų datą ir laiką, praveda mokymus.
V SKYRIUS
INFORMACINĖS SISTEMOS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
41. Tvarkyti GPAIS duomenis gali tik asmenys, kurie yra susipažinę su Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais ir sutikę laikytis šių teisės aktų reikalavimų.
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS