LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRO

PATVIRTINTA

Lietuvos Respublikos

sveikatos apsaugos ministro

2011 m. gruodžio 23 d. įsakymu Nr. V-1109

Asmenų, kurie kreipiasi į asmens sveikatos priežiūros įstaigas dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, stebėsenos informacinės sistemos nuostatai

I. BENDROSIOS NUOSTATOS

1. Asmenų, kurie kreipiasi į asmens sveikatos priežiūros įstaigas (toliau – ASPĮ) dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, stebėsenos informacinės sistemos (toliau – ASIS) nuostatai (toliau – nuostatai) reglamentuoja ASIS paskirtį, steigimo pagrindą, tikslus, funkcijas, laukiamus rezultatus, nustato ASIS organizacinę, informacinę ir funkcinę struktūras, kaupiamų duomenų šaltinius, ASIS duomenų tvarkymą ir duomenų saugos reikalavimus, finansavimą, ASIS modernizavimą ir likvidavimą.

2. ASIS paskirtis – rinkti, kaupti duomenis apie asmenis, kurie pirmą kartą gyvenime ir (ar) pakartotinai kreipiasi į ASPĮ pagalbos dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, bei tvarkyti, teikti depersonalizuotus duomenis nuostatuose nurodytiems duomenų gavėjams.

3. ASIS steigimo pagrindas yra:

3.1. Lietuvos Respublikos Vyriausybės 2005 m. gegužės 30 d. nutarimas Nr. 591 „Dėl Narkotinių ir psichotropinių medžiagų vartojimo, jo padarinių bei narkotinių ir psichotropinių medžiagų ir jų pirmtakų apyvartos stebėsenos tvarkos aprašo patvirtinimo“ (Žin., 2005, Nr. 69-2470; 2009, Nr. 90-3847);

3.2. Lietuvos Respublikos sveikatos apsaugos ministro 2007 m. rugpjūčio 1 d. įsakymas Nr. V-636 „Dėl Asmenų, kurie kreipiasi į asmens sveikatos priežiūros įstaigas dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, stebėsenos tvarkos aprašo patvirtinimo“ (Žin., 2007, Nr. 88-3496);

3.3. 2006 m. gruodžio 12 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 1920/2006 „Dėl Europos narkotikų ir narkomanijos stebėsenos centro“ (nauja redakcija) (OL 2006 L 376; p. 1);

3.4. Lietuvos Respublikos sveikatos priežiūros įstaigų įstatymas (Žin., 1996, Nr. 66-1572; 1998, Nr. 109-2995).

4. Nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos Vyriausybės 2005 m. gegužės 30 d. nutarime Nr. 591, Valstybės informacinių sistemų steigimo ir įteisinimo taisyklėse, patvirtintose Lietuvos Respublikos Vyriausybės 2004 m. balandžio 19 d. nutarimu Nr. 451 (Žin., 2004, Nr. 58-2061), ir kituose teisės aktuose vartojamas sąvokas.

5. ASIS tvarkoma vadovaujantis:

5.1. Valstybės informacinių sistemų steigimo ir įteisinimo taisyklėmis;

5.2. Lietuvos Respublikos sveikatos apsaugos ministro 2007 m. rugpjūčio 1 d. įsakymu Nr. V-636 „Dėl Asmenų, kurie kreipiasi į asmens sveikatos priežiūros įstaigas dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, stebėsenos tvarkos aprašo patvirtinimo“;

5.3. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804);

5.4. Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891);

5.5. Bendraisiais reikalavimais organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12 ) (Žin., 2008, Nr. 135-5298);

5.6. kitais teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą, saugojimą ir sunaikinimą.

II. ASIS STEIGIMO TIKSLAI, FUNKCIJOS, LAUKIAMI REZULTATAI

6. ASIS steigimo tikslai:

6.1. sukurti ir įdiegti bendrą ASIS;

6.2. nustatyti narkotikų vartojimo ir su jų vartojimu susijusios rizikingos elgsenos bei naudojimosi gydymo paslaugomis (paslaugų poreikio) tendencijas.

7. Pagrindinės ASIS funkcijos:

7.1. rinkti ir kaupti duomenis apie asmenis, kurie pirmą kartą gyvenime ir (ar) pakartotinai kreipiasi į ASPĮ pagalbos dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas;

7.2. analizuoti ASIS sukauptą informaciją, apibendrinti, pateikti apibendrintas išvadas nuostatų 9.3 ir 24 punktuose nurodytiems ASIS duomenų gavėjams;

7.3. teikti oficialią apibendrintą informaciją mokslo institucijoms, fiziniams, juridiniams asmenims, visuomenei;

7.4. užtikrinti ASIS duomenų apsaugą.

8. Laukiami ASIS sukūrimo rezultatai:

8.1. operatyviai ir kokybiškai surinkti duomenys apie asmenis, kurie pirmą kartą gyvenime ir (ar) pakartotinai kreipiasi į ASPĮ pagalbos dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas;

8.2. galimybė planuoti ir vertinti paslaugų narkotikų vartotojams poreikį.

III. ASIS ORGANIZACINĖ STRUKTŪRA

9. ASIS organizacinė struktūra:

9.1. ASIS valdytojas – Lietuvos Respublikos Sveikatos apsaugos ministerija (Vilniaus g. 33, LT-01506, Vilnius) (toliau – valdytojas), ASIS tvarkytojas – Valstybinis psichikos sveikatos centras (Parko g. 15, LT-11205 Vilnius )(toliau – tvarkytojas);

9.2. ASIS duomenų teikėjai – ASPĮ, turinčios teisę teikti psichiatrijos, priklausomybės ligų psichiatrijos, psichoterapijos, vaikų ir paauglių psichiatrijos sveikatos priežiūros paslaugas ir ASPĮ, pavaldžios Kalėjimų departamentui prie Lietuvos Respublikos teisingumo ministerijos bei ASPĮ, kurių steigėja yra Vidaus reikalų ministerija, teiksiantys pirminius duomenis ASIS.

9.3. ASIS duomenų gavėjai – ASIS nuolatinis duomenų gavėjas (duomenų teikimo sutarčių pagrindu) yra Narkotikų, tabako ir alkoholio kontrolės departamentas prie Lietuvos Respublikos Vyriausybės. Kiti ASIS duomenų gavėjai, kurie turi teisę gauti duomenis iš ASIS, yra nurodyti nuostatų VII skyriuje.

10. Valdytojas atlieka šias funkcijas:

10.1. teisės aktų nustatyta tvarka priima teisės aktus, reglamentuojančius ASIS duomenų tvarkymą ir saugą;

10.2. metodiškai vadovauja ASIS tvarkytojui, koordinuoja jo veiklą, susijusią su ASIS tvarkymu;

10.3. sprendžia ASIS duomenų formavimo klausimus;

10.4. analizuoja teisines, technines, technologines, metodologines ir organizacines ASIS tvarkymo problemas ir priima sprendimus ASIS tvarkymui užtikrinti;

10.5. organizuoja ASIS techninės ir programinės įrangos kūrimo, tobulinimo ir diegimo darbus;

10.6. užtikrina ASIS duomenų apsaugą organizacinėmis priemonėmis;

10.7. organizuoja ir koordinuoja ASIS tvarkančių valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis, kvalifikacijos tobulinimą.

11. Tvarkytojo funkcijos:

11.1. teisės aktų nustatyta tvarka rengia teisės aktų projektus, susijusius su ASIS duomenų tvarkymu ir sauga;

11.2. tvarko ASIS duomenis;

11.3. užtikrina ASIS tvarkomų duomenų patikimumą organizacinėmis priemonėmis;

11.4. teikia pasiūlymus dėl ASIS techninių ir programinių priemonių įsigijimo, diegimo ir tobulinimo;

11.5. įgyvendina ASIS techninių ir programinių priemonių įsigijimą, įdiegimą ir modernizavimą;

11.6. užtikrina, kad ASIS veiktų nepertraukiamai, organizuoja ir koordinuoja arba atlieka ASIS techninių programinių priemonių peržiūros ir tobulinimo darbus;

11.7. rengia ir įgyvendina ASIS plėtros projektus;

11.8. įgyvendina duomenų saugos priemones;

11.9. atlieka duomenų ir kitos informacijos analizę;

11.10. rengia statistines ataskaitų formas;

11.11. pagal teisės aktų nustatytą tvarką teikia apibendrintą informaciją;

11.12. kontroliuoja ir užtikrina, kad ASIS duomenų gavėjai, kuriems perduoti neteisingi, netikslūs, neišsamūs ASIS duomenys, būtų informuoti apie ištaisytus netikslumus;

11.13. kontroliuoja ir užtikrina, kad ASIS būtų tvarkoma, vadovaujantis nuostatais ir kitais teisės aktais;

11.14. siekdamas užtikrinti ASIS duomenų aktualumą ir operatyvų atnaujinimą, organizuoja ir vykdo ASIS duomenų mainus su kitomis informacinėmis sistemomis įstatymų ir kitų teisės aktų nustatyta tvarka;

11.15. metodiškai vadovauja ASIS naudotojams;

11.16. sudaro ASIS duomenų teikimo sutartis.

IV. ASIS INFORMACINĖ STRUKTŪRA

12. ASIS informacinę struktūrą sudaro ASIS duomenų bazėje kaupiami iš duomenų šaltinių pateikti duomenys.

13. ASIS duomenys tvarkomi ir saugomi ASIS duomenų bazėje bei elektroninių dokumentų saugyklose.

14. ASIS tvarkomi ir saugomi duomenys, kurie bus gaunami iš užpildytų statistinių apskaitos formų Nr. 025-6/a (Asmenų, kurie kreipiasi į ASPĮ dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, stebėsenos tvarkos aprašo, patvirtinto Lietuvos Respublikos sveikatos apsaugos ministro 2007 m. rugpjūčio 1 d. įsakymu Nr. V-636 1 priedo (toliau – Aprašo 1 priedas),kurie bus reikalingi ASIS tikslams pasiekti:

14.1. bendrieji duomenys:

14.1.1. įstaigos kodas;

14.1.2. formos užpildymo data;

14.1.3. unikalus paciento identifikavimo kodas ASIS sistemoje. Jį ASIS sugeneruoja iš paciento asmens kodo;

14.1.4. paciento lytis;

14.1.5. paciento amžius;

14.1.6. paciento kodas (kai paslaugos teikiamos anonimiškai);

14.1.7. asmenų draustumas privalomuoju sveikatos draudimu;

14.1.8. institucijos, siuntusios asmenį gydytis į ASPĮ;

14.1.9. asmens gydymas kada nors gyvenime bet kurioje sveikatos priežiūros įstaigoje dėl narkotinių ir psichotropinių medžiagų vartojimo;

14.2. socialinė demografinė informacija:

14.2.1. faktinė gyvenamoji vieta;

14.2.2. nuolatinė gyvenamoji vieta;

14.2.3. bendros gyvenamosios vietos turėjimas su kitais asmenimis;

14.2.4. užimtumas šiuo metu;

14.2.5. įgytas išsilavinimas;

14.3. duomenys apie psichoaktyviųjų medžiagų vartojimą:

14.3.1. pagrindinė psichoaktyvioji medžiaga, dėl kurios asmuo kreipėsi į ASPĮ;

14.3.2. pagrindinės psichoaktyviosios medžiagos vartojimo būdas šiuo metu;

14.3.3. asmens amžius, kai buvo pirmą kartą pavartota bet kokia narkotinė ar psichotropinė medžiaga;

14.3.4. pagrindinės psichoaktyviosios medžiagos vartojimo dažnumas per pastarąsias 30 dienų;

14.3.5. kitos per pastarąsias 30 dienų vartotos psichoaktyviosios medžiagos;

14.3.6. narkotinių ir psichotropinių medžiagų švirkštimasis kada nors gyvenime;

14.3.7. narkotinių ir psichotropinių medžiagų švirkštimasis per pastarąsias 30 dienų;

14.4. duomenys apie užkrečiamas ligas:

14.4.1. užkrėstumas ŽIV;

14.4.2. siuntimas tirtis dėl ŽIV;

14.4.3. užkrėstumas hepatitu B (HBV);

14.4.4. siuntimas tirtis dėl hepatito B (HBV);

14.4.5. skiepai nuo hepatito B (HBV);

14.4.6. užkrėstumas hepatitu C (HCV);

14.4.7. siuntimas tirtis dėl hepatito C (HCV);

14.5. duomenys apie diagnozę, gydymą, suteiktas paslaugas:

14.5.1. bendra sveikatos būklė;

14.5.2. pagrindinė diagnozė pagal TLK-10-AM;

14.5.3. diagnozės nustatymo data;

14.5.4. pacientui teikiamų asmens sveikatos priežiūros paslaugų tipas;

14.5.5. suteiktos paslaugos;

14.5.6. vaistiniai preparatai, kuriais asmuo gydomas šiuo metu;

14.6. duomenys apie išrašymo iš ASPĮ priežastis, gydymo baigtį.

15. Tvarkytojas ASIS duomenis ASIS duomenų gavėjams perduoda elektroniniu būdu. Duomenų perdavimo formatą nustato tvarkytojas.

V. ASIS KAUPIAMŲ DUOMENŲ ŠALTINIAI

16. ASIS duomenų šaltiniai: ASPĮ, turinčios teisę teikti psichiatrijos, priklausomybės ligų psichiatrijos, psichoterapijos, vaikų ir paauglių psichiatrijos sveikatos priežiūros paslaugas ir ASPĮ, pavaldžios Kalėjimų departamentui prie Lietuvos Respublikos teisingumo ministerijos bei ASPĮ, kurių steigėja yra Lietuvos Respublikos vidaus reikalų ministerija, teiksiantys pirminius duomenis ASIS.

17. ASPĮ duomenis apie asmenis, kurie pirmą kartą gyvenime ir (ar) pakartotinai kreipiasi į ASPĮ pagalbos dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, renka pagal statistinę apskaitos formą Nr. 025-6/a (Aprašo 1 priedas) ir neatlygintinai pateikia elektroninių duomenų teikimo formatu tvarkytojui.

VI. ASIS FUNKCINĖ STRUKTŪRA

18. ASIS funkcinę struktūrą sudaro infrastruktūra ir posistemės.

19. ASIS sudaro šios posistemės:

19.1. Duomenų teikimo ir gavimo posistemė, kurią sudaro:

19.1.1. Identifikavimo modulis, kurio paskirtis ASIS naudotojų identifikavimas ir autentifikavimas.

19.1.2. Informacijos įvedimo modulis, kurio paskirtis:

19.1.2.1. užtikrinti galimybę duomenų šaltiniams įvesti duomenis į ASIS;

19.1.2.2. kontroliuoti į ASIS įvedamus ir perduodamus saugoti duomenis.

19.2. ASIS administravimo posistemė, kurią sudaro:

19.2.1. Sistemos administravimo modulis, kurio paskirtis ASIS naudotojų ir jų prieigos teisių valdymas bei sistemos parametrų valdymas.

19.2.2. Sistemos klaidų apdorojimo modulis, kurio paskirtis ASIS įvykusių klaidų valdymas, automatiškas visų įvykusių klaidų registravimas, klaidų sąrašo administravimas.

19.3. Duomenų mainų posistemė, kurią sudaro:

19.3.1. Integracijos modulis, kurio paskirtis:

19.3.1.1. duomenų priėmimas, apdorojimas ir išsaugojimas ASIS;

19.3.1.2. aktualių duomenų perdavimas duomenų gavėjams;

19.3.1.3. standartizuotų medicinos duomenų mainų tarp E. sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinės sistemos ir ASIS vykdymas.

19.4. Analitinės informacijos posistemė, kurią sudaro:

19.4.1. Analizės modulis, kurio paskirtis užtikrinti sukauptų duomenų analizę įvairiais pjūviais;

19.4.2. Ataskaitų modulis, kurio paskirtis:

19.4.2.1. ataskaitų šablonų sudarymas;

19.4.2.2. ataskaitų kūrimas pagal tvarkytojo reikalavimus.

20. ASIS duomenų gavėjams ASIS duomenys teikiami elektroniniu būdu.

21. ASIS naudotojui, atsižvelgiant į jo funkcijas, atskiru susitarimu su tvarkytoju nustatoma prieiga prie ASIS.

VII. ASIS DUOMENŲ TVARKYMAS IR SAUGA

22. ASIS duomenys teikiami ir gaunami vadovaujantis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, kitais teisės aktais, reglamentuojančiais duomenų teikimą ar gavimą.

23. ASIS asmens duomenys yra tvarkomi:

23.1. Sveikatos apsaugos tikslais: nustatant narkotikų vartojimo ir su jų vartojimu susijusios rizikingos elgsenos bei naudojimosi gydymo paslaugomis ir gydymo paslaugų poreikio tendencijas;

23.2. statistikos tikslais: visuomenės sveikatos būklės epidemiologiniams tyrimams, reikalingiems prevencinės (profilaktinės) medicinos, socialinės raidos, mokslo, sveikatos apsaugos sistemos valdymo sprendimams priimti.

24. ASIS depersonalizuoti duomenys, kurie yra nurodyti nuostatų 14 punkte, pagal poreikį teikiami šiems duomenų gavėjams:

24.1. ASPĮ;

24.2. ASPĮ, pavaldžioms Kalėjimų departamentui prie Lietuvos Respublikos teisingumo ministerijos;

24.3. ASPĮ, kurių steigėja yra Lietuvos Respublikos vidaus reikalų ministerija;

24.4. kitoms valstybės institucijoms ir įstaigoms teisės aktų nustatytoms funkcijoms vykdyti;

24.5. tvarkytojo nustatyta tvarka juridiniams ir fiziniams asmenims, pateikusiems prašymus, kuriuose turi būti nurodytas duomenų naudojimo tikslas, teikimo bei gavimo teisinis pagrindas ir prašomų pateikti asmens duomenų apimtis;

24.6. ASIS duomenų gavėjams, esantiems užsienio valstybėse.

25. ASIS duomenų teikimo būdai ir formos nustatomi kiekvienu konkrečiu atveju atskiru susitarimu su tvarkytoju.

26. Ypatingi asmens duomenys gali būti teikiami tik įstatymų nustatyta tvarka.

27. Duomenys ASIS duomenų bazėje saugomi ne ilgiau, nei to reikia duomenų tvarkymo tikslams pasiekti. Pasiekus iškeltus tikslus, jie perkeliami į ASIS duomenų bazės archyvą. ASIS duomenų saugojimo terminai ir jų naikinimo tvarka nustatoma ASIS saugaus elektroninės informacijos tvarkymo taisyklėse.

28. ASIS archyvo duomenys sunaikinami arba perduodami Lietuvos Respublikos dokumentų archyvui ar kitai informacinei sistemai ASIS valdytojo tam tikslui sudarytos komisijos sprendimu, kai šie duomenys tampa nereikalingi ASIS tikslams pasiekti arba Lietuvos Respublikos teisės aktų nustatytais atvejais. ASIS duomenų bazių archyvai sunaikinami arba perduodami valstybės archyvams Lietuvos Respublikos dokumentų ir archyvų įstatymo (Žin., 1995, Nr. 107-2389; 2004, Nr. 57-1982) nustatyta tvarka.

29. ASIS duomenys turi būti tikslūs ir nuolat atnaujinami. Neteisingi, netikslūs ar neišsamūs duomenys turi būti ištaisyti, papildyti, sunaikinti arba sustabdytas jų tvarkymas.

30. Steigiant ir tvarkant ASIS, turi būti įgyvendintos duomenų apsaugos organizacinės, programinės, techninės, patalpų apsaugos ir administracinės priemonės, skirtos ASIS duomenų konfidencialumui, prieinamumui teisėtiems naudotojams, vientisumui ir apsaugai nuo atsitiktinio ar neteisėto sunaikinimo, naudojimo, atskleidimo, taip pat bet kokio kito neteisėto tvarkymo užtikrinti. Minėtos priemonės turi užtikrinti tokio lygio saugumą, kuris atitiktų saugotinų informacinės sistemos duomenų pobūdį.

31. Už ASIS duomenų tvarkymo teisėtumą ir duomenų saugą atsako valdytojas, o už ASIS duomenų teikimo teisėtumą ir duomenų patikimumą atsako tvarkytojas.

32. Už duomenų tvarkymo metu įvedamų duomenų apsaugą atsako ASIS naudotojai.

33. Tvarkytojas, tvarkydamas ASIS duomenis, privalo juos saugoti Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo, kitų teisės aktų, reglamentuojančių saugų duomenų tvarkymą ir teikimą, nustatyta tvarka.

34. ASIS duomenų sauga užtikrinama vadovaujantis:

34.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

34.2. Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais;

34.3. Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070);

34.4. Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160);

34.5. Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniais saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384 (Žin., 2008, Nr. 127-4866);

34.6. Bendraisiais reikalavimais organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12);

34.7. Lietuvos standartais LST ISO/IEC 27002:2009 „Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo praktikos kodeksas“, LST ISO/IEC 27001:2006 „Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“ bei kitais Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo metodai“ grupės standartais, apibūdinančiais saugų informacinės sistemos duomenų tvarkymą;

34.8. nuostatais, taip pat kitais teisės aktais, reglamentuojančiais duomenų tvarkymo teisėtumą ir duomenų saugos valdymą, ASIS valdytojo tvirtinamais ASIS duomenų saugos nuostatais ir ASIS veiklos tęstinumo valdymo planu.

35. ASIS duomenų naudotojai privalo saugoti asmens duomenų paslaptį, jeigu šie asmens duomenys neskirti skelbti viešai. Ši pareiga išlieka perėjus dirbti į kitas pareigas arba pasibaigus darbo ar sutartiniams santykiams.

36. Asmuo (sveikatos priežiūros paslaugų gavėjas), kurio asmens duomenys teikiami statistinei apskaitos formai Nr. 025-6/a užpildyti, turi teisę susipažinti su savo asmens duomenimis, žinoti (būti informuotas) apie savo asmens duomenų tvarkymą.

37. ASIS duomenys prieinami tik asmenims, kuriems suteikta prieigos teisė.

VIII. ASIS FINANSAVIMAS

38. ASIS steigiama ir finansuojama iš Lietuvos Respublikos valstybės biudžeto ir kitų lėšų, gautų teisės aktų nustatyta tvarka.

ix. ASIS MODERNIZAVIMAS IR LIKVIDAVIMAS

39. ASIS modernizuojama ir likviduojama Lietuvos Respublikos įstatymų ir kitų teisės aktų nustatyta tvarka.

40. Likviduojant ASIS, jos duomenys perduodami kitai informacinei sistemai, valstybės archyvams arba sunaikinami Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka.

_________________

PATVIRTINTA

Lietuvos Respublikos

sveikatos apsaugos ministro

2011 m. gruodžio 23 d. įsakymu Nr. V-1109

I. BENDROSIOS NUOSTATOS

2. Nuostatuose vartojamos sąvokos:

2.1. Elektroninės informacijos saugos incidentas – įvykis ar veiksmas, kuris gali sudaryti neteisėto prisijungimo prie ASIS galimybę, sutrikdyti ar pakeisti ASIS veiklą, sunaikinti, sugadinti ar pakeisti elektroninę informaciją, panaikinti ar apriboti galimybę naudotis elektronine informacija, sudaryti sąlygas neleistinai elektroninę informaciją pasisavinti, paskleisti ar kitaip panaudoti;

2.2. Kitos nuostatuose vartojamos sąvokos atitinka ASIS nuostatuose, Bendruosiuose elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimuose, patvirtintuose Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891) (toliau – Saugos reikalavimai), Saugos dokumentų turinio gairėse, patvirtintose Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), Bendruosiuose reikalavimuose organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtintuose Valstybinės duomenų apsaugos inspekcijos 2008 m. lapkričio 12 d. direktoriaus įsakymu Nr. 1T-71(1.12) (Žin., 2008, Nr. 135-5298), ir kituose teisės aktuose bei Lietuvos standartuose LST ISO/IEC 27002:2009 ir LST ISO/IEC 27001:2006 vartojamas sąvokas.

3. ASIS duomenų saugos tikslas – užtikrinti ASIS elektroninės informacijos konfidencialumą, prieinamumą, vientisumą ir tinkamą kompiuterizuotų darbo vietų bei tinklo įrangos funkcionavimą. ASIS duomenų saugai užtikrinti kompleksiškai naudojamos administracinės, techninės ir programinės priemonės, padedančios įgyvendinti reagavimo, atsakomybės, elektroninės informacijos saugos suvokimo kėlimo ir saugos priemonių projektavimo ir diegimo principus.

4. ASIS informacijos saugos užtikrinimo prioritetinės kryptys:

4.1. Asmenų, kurie kreipiasi į ASPĮ dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, registracijos duomenų konfidencialumo, vientisumo ir prieinamumo užtikrinimas naudojant technines, organizacines ir teisines priemones;

4.2. duomenų konfidencialumas užtikrinamas ribojant fizinį ir loginį priėjimą prie asmens duomenų ir ypatingų asmens duomenų, naudojant technines ir organizacines priemones; priėjimas suteikiamas tik teisėtiems ASIS naudotojams, kurių tapatybė yra nustatyta ir tik prie duomenų, būtinų ASIS naudotojo veiklos funkcijoms vykdyti; išmokant ASIS administratorių ir ASIS naudotojus laikantis konfidencialumo principo tvarkyti asmens duomenis;

4.3. duomenų ar sistemos vientisumas užtikrinamas, valdant teisėtą duomenų ar sistemos keitimą, kontroliuojant duomenų įvedimą, stebint ir reaguojant į galimą neteisėtą duomenų ar sistemos keitimą ar sunaikinimą; supažindinant atsakingus už duomenų įvedimą ar keitimą ASIS administratorių ir ASIS naudotojus su klaidų ir vientisumo pažeidimo nustatymo ir koregavimo metodais ir tvarkų aprašais;

4.4. duomenų ar sistemos prieinamumas užtikrinamas, valdant organizacinėmis ir technologinėmis priemonėmis ASIS, jos elementų ar duomenų keitimus, naudojant perteklines ar alternatyvias informacinių sistemų ir duomenų tinklų technologines priemones, ASIS atkūrimo plano bandymus ir veiklos tęstinumo valdymo plano bandymus;

4.5. administracinių saugaus darbo su duomenimis, asmens duomenimis ir ypatingais asmens duomenimis priemonių įgyvendinimas ir kontrolė;

4.6. technologinė elektroninės informacijos apdorojimo priemonių apsauga.

5. Nuostatai taikomi:

5.1. ASIS valdytojui – Lietuvos Respublikos sveikatos apsaugos ministerijai (adresas: Vilniaus g. 33, LT-01506 Vilnius). ASIS valdytojo vadovo funkcijos ir atsakomybė:

5.1.1. organizuoja ir vadovauja ASIS veiklai;

5.1.2. priima teisės aktus, reglamentuojančius ASIS duomenų tvarkymą ir saugą;

5.1.3. priima sprendimą dėl ASIS informacinių technologijų saugos reikalavimų atitikties vertinimo atlikimo;

5.1.4. atsako už informacijos tvarkymo ASIS teisėtumą ir informacijos saugą;

5.2. ASIS tvarkytojui – Valstybiniam psichikos sveikatos centrui (adresas: Parko g. 15, LT-11205 Vilnius). ASIS tvarkytojo vadovo funkcijos ir atsakomybė:

5.2.1. skiria ASIS administratorių;

5.2.2. atlieka ASIS duomenų bazių priežiūrą;

5.2.3. užtikrina ASIS sąveiką su kitomis informacinėmis sistemomis ir registrais;

5.2.4. užtikrina nepertraukiamą ASIS veikimą ir duomenų, esančių ASIS duomenų bazėse, saugą;

5.2.5. atlieka kitas ASIS nuostatų, Saugos reikalavimų ir kitų teisės aktų nustatytas funkcijas;

5.3. ASIS saugos įgaliotiniui. ASIS saugos įgaliotinio funkcijos ir atsakomybė:

5.3.1. organizuoja ir kontroliuoja nuostatų įgyvendinimą;

5.3.2. teikia ASIS valdytojui siūlymus dėl:

5.3.2.1. saugos dokumentų priėmimo, keitimo ar panaikinimo;

5.3.2.2. ASIS informacinių technologijų saugos reikalavimų atitikties vertinimo atlikimo;

5.3.3. koordinuoja elektroninės informacijos saugos incidentų tyrimą;

5.3.4. teikia ASIS tvarkytojo vadovui pasiūlymus dėl ASIS administratoriaus skyrimo;

5.3.5. teikia ASIS administratoriui privalomus vykdyti nurodymus ir pavedimus;

5.3.6. pasirašytinai supažindina ASIS naudotojus su nuostatais ir kitais saugos politiką įgyvendinančiais dokumentais bei atsakomybe už juose nustatytų reikalavimų nesilaikymą;

5.3.7. kasmet organizuoja ASIS naudotojų mokymus duomenų saugos klausimais, reguliariai jiems primena saugos problemas (elektroniniu paštu, parengia atmintines naujai priimtiems darbuotojams ir pan.);

5.3.8. įgyvendina ASIS elektroninės informacijos saugą ASIS informacinėje sistemoje ir atsako už saugos dokumentų reikalavimų vykdymą;

5.3.9. atlieka kitas ASIS valdytojo vadovo pavestas ir Bendruosiuose elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimuose jam priskirtas funkcijas;

5.4. ASIS administratoriui. ASIS administratoriaus funkcijos ir atsakomybė:

5.4.1. užtikrina ASIS funkcionavimą užtikrinančios techninės ir programinės įrangos, infrastruktūros bei informacinių technologijų paslaugų administravimą;

5.4.2. vertina ASIS naudotojų pasirengimą dirbti su ASIS, registruoja ASIS naudotojus ir suteikia prieigos teisę ASIS naudotojams naudotis ASIS infrastruktūra paskirtoms funkcijoms atlikti;

5.4.3. pagal kompetenciją rengia pasiūlymus dėl ASIS kūrimo, palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir duomenų saugos užtikrinimo;

5.4.4. atlieka ASIS sudarančių komponentų (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų sistemų, ugniasienių, įsilaužimų aptikimo sistemų, duomenų perdavimo tinklų) administravimą, pažeidžiamų vietų nustatymą ir saugos priemonių parinkimą bei jų atitiktį ASIS saugos politiką įgyvendinančių dokumentų reikalavimams;

5.5. ASIS naudotojams, kurių funkcijos ir atsakomybė yra nurodytos nuostatų 6 punkte.

6. ASIS naudotojai:

6.1. vadovaudamiesi nuostatais, ASIS saugaus elektroninės informacijos tvarkymo taisyklėmis, ASIS naudotojų administravimo taisyklėmis, pareigybių aprašymais ir kitais teisės aktais, naudojasi ASIS informacijos tvarkymo arba kitais su tiesioginių funkcijų vykdymu susijusiais tikslais;

6.2. vykdo kitas nuostatuose ir kituose saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas, susijusias su ASIS naudojimu ir ASIS duomenų sauga;

6.3. atsako už tvarkomų duomenų saugą teisės aktų nustatyta tvarka.

7. Tvarkant ASIS duomenis ir užtikrinant jų saugą vadovaujamasi šiais teisės aktais:

7.1. Lietuvos Respublikos sveikatos sistemos įstatymu (Žin., 1994, Nr. 63-1231; 1998, Nr. 112-3099);

7.2. Lietuvos Respublikos sveikatos priežiūros įstaigų įstatymu (Žin., 1996, Nr. 66- 1572; 1998, Nr. 109-2995);

7.3. Lietuvos Respublikos pacientų teisių ir žalos sveikatai atlyginimo įstatymu (Žin., 1996, Nr. 102-2317; 2009, Nr. 145-6425);

7.4. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (Žin., 1996, Nr. 63-1479; 2003, Nr. 15-597; 2008, Nr. 22-804);

7.5. Saugos reikalavimais;

7.6. Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniais saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384 (Žin., 2008, Nr. 127-4866);

7.7. Bendraisiais reikalavimais organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12);

7.8. Lietuvos standartais LST ISO/IEC 27002:2009 ir LST ISO/IEC 27001:2006, taip pat kitais Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo metodai“ grupės standartais, reglamentuojančiais saugų duomenų tvarkymą;

7.9. nuostatais ir kitais teisės aktais, reglamentuojančiais duomenų tvarkymo teisėtumą, ASIS tvarkytojo veiklą bei duomenų saugos valdymą.

II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

8. Vadovaujantis Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 „Dėl Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairių patvirtinimo“ (Žin., 2007, Nr.78-3160), ASIS yra antros kategorijos informacinė sistema.

9. ASIS saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet organizuoja ASIS rizikos įvertinimą. Prireikus ASIS saugos įgaliotinis gali organizuoti neeilinį rizikos įvertinimą. ASIS rizikos veiksnių įvertinimas atliekamas kokybiniu rizikos vertinimo metodu. Atliekant rizikos įvertinimą turi būti vertinamos rizikos, susijusios su:

9.1. ASIS tarnybinėmis stotimis ir jų valdymu;

9.2. duomenų perdavimo tinklu, kuriuo teikiami ir gaunami duomenys iš registrų, informacinių sistemų ir klasifikatorių;

9.3. duomenų perdavimo tinklu, kuriuo teikiami ir gaunami duomenys toliau esantiems ASIS naudotojams;

9.4. ASIS naudotojų darbo vietomis.

10. ASIS rizikos įvertinimas pateikiamas Rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos ASIS informacijos saugai. Svarbiausi rizikos veiksniai yra nustatyti Saugos reikalavimų 31 punkte.

11. Atsižvelgdamas į ASIS rizikos įvertinimo ataskaitą, ASIS valdytojas prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame be kita ko numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

12. Siekdamas užtikrinti nuostatuose ir kituose saugos politiką įgyvendinančiuose dokumentuose nustatytų reikalavimų įgyvendinimo kontrolę, Informacinių technologijų saugos atitikties vertinimo metodikos, patvirtintos Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 (Žin., 2004, Nr. 80-2855), nustatyta tvarka ASIS saugos įgaliotinis kasmet organizuoja ASIS informacinių technologijų saugos reikalavimų atitikties vertinimą.

13. ASIS informacinių technologijų saugos reikalavimų atitikties vertinimą rekomenduojama atlikti pagal Saugos reikalavimų 38 punkte nustatytas rekomendacijas.

14. ASIS saugos atitikties vertinimą gali vykdyti trečiosios šalys.

15. Atlikus ASIS informacinių technologijų saugos reikalavimų atitikties vertinimą, parengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus skiria ir įgyvendinimo terminus nustato ASIS valdytojo vadovas.

III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

16. Saugios prieigos prie ASIS užtikrinimas:

16.1. signalizacija (nuo įsilaužimo ir gaisro);

16.2. kiekvienas ASIS naudotojas turi būti unikaliai identifikuojamas – turi patvirtinti tapatybę slaptažodžiu arba kita autentiškumo patvirtinimo priemone;

16.3. ASIS naudotojui baigus darbą, turi būti imamasi priemonių, kad su elektronine informacija negalėtų susipažinti pašaliniai asmenys: atsijungiama nuo ASIS, įjungiama ekrano užsklanda su slaptažodžiu, dokumentai padedami į pašaliniams asmenims neprieinamą vietą ir pan.;

16.4. ASIS naudotojui neatliekant jokių veiksmų, ASIS turi užsirakinti, kad toliau naudotis ASIS būtų galima tik pakartojus tapatybės nustatymo ir autentiškumo patvirtinimo veiksmus;

16.5. ASIS prieiga prie kompiuterių bei serverių operacinių sistemų valdymo bei konfigūravimo leidžiama tik ASIS administratoriui;

16.6. naudojami serverio operacinės sistemos metodai, leidžiantys vienareikšmiškai atpažinti kompiuterių tinklui priklausančius kompiuterius ir blokuoti prieigą neatpažintiems kompiuteriams, neleidžiantys prisijungti prie kompiuterių tinklo iš kompiuterio, kuris nepriklauso šiam tinklui;

16.7. prisijungimo prie ASIS laikas bei trukmė nėra ribojami;

16.8. turi būti naudojama tik legali programinė įranga.

17. Programinės įrangos, skirtos apsaugoti nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo el. pašto ir pan.) reikalavimai:

17.1. kompiuterinėse darbo vietose turi būti naudojamos centralizuotai valdomos kenksmingos programinės įrangos aptikimo priemonės, kurios turi būti automatiniu būdu vieną kartą per mėnesį atnaujinamos;

17.2. turi būti naudojamos priemonės, nuolat ieškančios ir blokuojančios kenksmingą programinę įrangą, veikiančią sisteminiuose kataloguose esančiose rinkmenose serveryje ir visuose kompiuterių tinklo kompiuteriuose;

17.3. turi būti naudojamos priemonės, turinčios apsaugos mechanizmus, blokuojančius kenkimo programų bandymus panaikinti apsaugas nuo kenkimo programų.

18. ASIS naudotojams draudžiama patiems diegti bet kokią programinę įrangą. Draudimą kontroliuoja serverio operacinė sistema. Programinę įrangą, reikalingą naudotojo funkcijoms vykdyti, diegia ir prižiūri ASIS administratorius.

19. Neteisėtų programų įdiegimo paiešką (apeinant operacinės sistemos apsaugos mechanizmus), bent kartą per mėnesį atlieka ASIS administratorius. Nuolat turi būti stebimas interneto srautas, siekiant aptikti ir išaiškinti galimus neleistinus, ne su naudotojų funkcijomis susijusius didelius duomenų srautus, apkraunančius ne mažiau kaip 20 proc. interneto ryšio resurso.

20. Kompiuterių tinklo serveriai bei kiekvienas kompiuterių tinklui priklausantis kompiuteris privalo turėti užkardą, ribojančią priėjimą iš išorės ir duomenų srautus į išorę. Turi būti draudžiamas interneto ryšys visoms programoms, kurios gali pilnai atlikti savo funkcijas ir be internetinio ryšio su išore. Visi nenaudojami prievadai turi būti užblokuoti.

21. Turi būti galimybė reguliuoti atskirų interneto sričių pasiekiamumą tiek pagal interneto sričių vardus, tiek pagal fizinius adresus. Reguliavimą kontroliuoja ASIS administratorius, blokuodamas potencialiai pavojingas interneto sritis.

22. Turi būti registruojami ir nustatytą laiką saugomi duomenys apie ASIS įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis, bandymus prieiti prie informacinių išteklių, kitus saugai svarbius įvykius, nurodant naudotojo identifikatorių ir įvykio laiką; ši informacija turi būti reguliariai analizuojama.

23. Nešiojamieji kompiuteriai gali būti prijungiami prie ASIS tik iš tam skirtos vietos.

24. ASIS atsarginės dokumentų kopijos (toliau – kopijos) daromos automatiniu būdu kiekvieną dieną, esant aktyviai ASIS duomenų bazei. Kopijos įrašomos į keičiamus informacijos kaupiklius (kompaktinius diskus, magnetines juostas ar kitas duomenų kaupimo saugojimo laikmenas) ir saugomos seife, prieinamame tik ASIS administratoriui, jo nesant – ASIS administratorių pavaduojančiam asmeniui. Jas atkurti turi teisę tik ASIS administratorius ar jį pavaduojantis asmuo. Kopijų, iš kurių būtų galima atkurti ASIS duomenis, darymo ir saugojimo tvarka nustatyta ASIS saugaus elektroninės informacijos tvarkymo taisyklėse.

25. ASIS naudotojai prie ASIS prisijungia nuotoliniu būdu naudodami interneto naršyklę.

IV. REIKALAVIMAI PERSONALUI

26. ASIS naudotojai privalo turėti darbo kompiuteriu įgūdžius, būti susipažinę su šiais nuostatais ir kitais saugos politiką įgyvendinančiais dokumentais.

27. ASIS saugos įgaliotinis privalo išmanyti informacijos saugos užtikrinimo principus, savo darbe vadovautis Saugos reikalavimais, Informacinių technologijų atitikties vertinimo metodika, kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais.

28. ASIS administratoriumi gali būti skiriamas darbuotojas, dirbantis pagal darbo sutartį, išmanantis darbą su kompiuterių tinklais ir mokantis užtikrinti jų saugumą. ASIS administratorius turi būti susipažinęs su duomenų bazių administravimo ir priežiūros pagrindais.

29. ASIS saugos įgaliotinis kasmet organizuoja ASIS naudotojų mokymus informacijos saugos klausimais.

V. INFORMACINĖS SISTEMOS NAUDOTOJŲ SUPAŽINDINIMAS SU SAUGOS DOKUMENTAIS

30. ASIS naudotojus su nuostatais ir kitais saugos politiką įgyvendinančiais dokumentais ir atsakomybe už juose nustatytų reikalavimų nesilaikymą pasirašytinai supažindina ASIS saugos įgaliotinis.

VI. BAIGIAMOSIOS NUOSTATOS

31. ASIS naudotojai, pažeidę nuostatų, kitų saugų duomenų tvarkymą reglamentuojančių teisės aktų reikalavimus, atsako įstatymų nustatyta tvarka.

_________________