VALSTYBINIO SOCIALINIO DRAUDIMO FONDO VALDYBOS PRIE SOCIALINĖS APSAUGOS IR DARBO MINISTERIJOS DIREKTORIAUS
ĮSAKYMAS
DĖL ASMENS DUOMENŲ TEIKIMO AUTOMATINIU BŪDU TVARKOS APRAŠO PATVIRTINIMO
2008 m. sausio 31 d. Nr. V-67
Vilnius
Siekdama Valstybinio socialinio draudimo fondo valdyboje prie Socialinės apsaugos ir darbo ministerijos (toliau – Fondo valdyba) nustatyti asmens duomenų teikimo automatiniu būdu tvarką, vykdant įstatymais ir kitais norminiais teisės aktais reglamentuotą asmens duomenų teikimą:
2. Pripažįstu netekusiais galios:
2.1. Valstybinio socialinio draudimo fondo valdybos direktoriaus 2004 m. rugpjūčio 20 d. įsakymą Nr. V-319 „Dėl asmens duomenų teikimo automatiniu būdu taisyklių patvirtinimo“;
2.2. Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos direktoriaus 2005 m. liepos 14 d. įsakymą Nr. V-278 „Dėl Valstybinio socialinio draudimo fondo valdybos direktoriaus 2004 m. rugpjūčio 20 d. įsakymo Nr. V-319 „Dėl asmens duomenų teikimo automatiniu būdu taisyklių“ pakeitimo“;
4. Įpareigoju:
4.1. Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos (toliau – Fondo valdyba) Dokumentų tvarkymo skyrių šio įsakymo elektroninius nuorašus išsiųsti Fondo valdybos direktoriaus pavaduotojams, Fondo valdybos skyriams, Fondo valdybos Vidaus audito tarnybai, Fondo valdybos teritoriniams skyriams ir kitoms Valstybinio socialinio draudimo fondo įstaigoms, susijusioms su Valstybinio socialinio draudimo fondo administravimu;
PATVIRTINTA
Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos direktoriaus 2008 m. sausio 31 d. įsakymu Nr. V-67
ASMENS DUOMENŲ TEIKIMO AUTOMATINIU BŪDU TVARKOS APRAŠAS
I. BENDROSIOS NUOSTATOS
1. Šis Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos (toliau – Fondo valdyba) asmens duomenų teikimo automatiniu būdu tvarkos aprašas (toliau – Tvarkos aprašas) taikomas Fondo valdybai ir Fondo valdybos teritoriniams skyriams teikiant asmens duomenis (toliau – duomenys) juridiniams asmenims automatiniu būdu.
2. Tvarkos aprašas parengtas vadovaujantis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (Žin., 1996, Nr. 63-1479), Lietuvos Respublikos įstatymu „Dėl Konvencijos dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu (ETS Nr. 108) su Europos Tarybos Ministrų Komiteto priimtomis pataisomis ratifikavimo“ (Žin., 2001, Nr. 32-1055), Lietuvos Respublikos Vyriausybės 2007 m. balandžio 25 d. nutarimu Nr. 435 patvirtintais Lietuvos Respublikos apdraustųjų valstybiniu socialiniu draudimu ir valstybinio socialinio draudimo išmokų gavėjų registro nuostatais (Žin., 2007, Nr. 50-1932), Lietuvos Respublikos Vyriausybės 2007 m. rugsėjo 26 d. nutarimu Nr. 1037 patvirtintais Lietuvos Respublikos pensijų kaupimo sutarčių registro nuostatais (Žin., 2007, Nr. 105-4300), Fondo valdybos direktoriaus 2002 m. balandžio 11 d. įsakymu Nr. 169 patvirtintais VSDFV informacinės sistemos duomenų apsaugos nuostatais, Fondo valdybos direktoriaus 2007 m. spalio 19 d. įsakymu Nr. V-505 patvirtintais Lietuvos Respublikos apdraustųjų valstybiniu socialiniu draudimu ir valstybinio socialinio draudimo išmokų gavėjų registro duomenų saugos nuostatais, Fondo valdybos direktoriaus 2007 m. gruodžio 20 d. įsakymu Nr. V-664 patvirtintais Lietuvos Respublikos pensijų kaupimo sutarčių registro duomenų saugos nuostatais, Fondo valdybos direktoriaus 2008 m. sausio 18 d. įsakymu Nr. V-36 patvirtintu Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos darbo reglamentu (Žin., 2008, Nr. 11-402) ir kitais norminiais teisės aktais.
3. Tvarkos apraše vartojamos sąvokos:
3.1. Asmens duomenų teikimas automatiniu būdu- asmens duomenų atskleidimas perduodant ar kitu būdu padarant juos prieinamus (išskyrus paskelbimą visuomenės informavimo priemonėse), visiškai ar iš dalies atliekamas automatinėmis priemonėmis.
4. Kitos Tvarkos apraše vartojamos sąvokos atitinka sąvokas, naudojamas Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme ir kituose norminiuose teisės aktuose.
5. Lietuvos Respublikos apdraustųjų valstybiniu socialiniu draudimu ir valstybinio socialinio draudimo išmokų gavėjų registro ar Lietuvos Respublikos pensijų kaupimo sutarčių registro, arba Fondo valdybos informacinės sistemos duomenys automatiniu būdu teikiami tik asmens duomenų teikimo sutarties (toliau – sutartis), sudarytos tarp Fondo valdybos ir juridinio asmens, pagrindu. Fondo valdybos teritorinių skyrių gauti juridinių asmenų (toliau – pareiškėjai) prašymai ir paklausimai (toliau – prašymai) dėl duomenų teikimo automatiniu būdu turi būti persiunčiami Fondo valdybai.
II. PRAŠYMŲ NAGRINĖJIMAS
6. Pareiškėjų prašymai dėl duomenų teikimo automatiniu būdu nukreipiami:
6.1. Fondo valdybos teritorinių skyrių persiųsti pareiškėjų prašymai dėl duomenų teikimo automatiniu būdu sutarčių sudarymo, pakeitimo ar nutraukimo – Fondo valdybos Teisės skyriui (toliau – Teisės skyrius);
6.2. gaunami rašytiniai pranešimai pagal galiojančias duomenų teikimo automatiniu būdu sutartis pagal kompetenciją – Informacinės sistemos eksploatavimo (toliau – ISE) arba Teisės skyriui;
7. Jeigu Teisės skyrius nustato, kad nėra juridinio pagrindo teikti duomenis, jis pareiškėją informuoja dėl atsisakymo sudaryti arba papildyti sutartį.
8. Jeigu Teisės, Fondo valdybos Informacinės sistemos plėtros (toliau – ISP) ir/arba ISE skyriai nustato, kad yra kitokių priežasčių, dėl kurių nėra galimybės sudaryti arba papildyti sutartį (Fondo valdyboje yra vykdomi prioritetiniai programavimo darbai, kurie yra susiję su teisės aktų nuostatų socialinio draudimo srityje įgyvendinimu, žmogiškųjų išteklių trūkumas ir pan.), Teisės skyrius informuoja pareiškėją dėl sutarties sudarymo atidėjimo.
9. Jeigu Teisės ir ISP skyriai nustato, kad juridinis pagrindas ir techninės sąlygos teikti duomenis yra, Teisės skyrius apie tai informuoja pareiškėją.
10. Esant būtinybei, Tvarkos aprašo 8–9 punktuose nustatytais atvejais pareiškėjo informavimas suderinamas su ISP ir ISE skyriais.
III. DUOMENŲ TEIKIMO PRIEMONĖS
12. Duomenys iš Lietuvos Respublikos apdraustųjų valstybiniu socialiniu draudimu ir valstybinio socialinio draudimo išmokų gavėjų registro ar Lietuvos Respublikos pensijų kaupimo sutarčių registro, arba Fondo valdybos informacinės sistemos teikiami duomenų gavėjui (toliau -Gavėjas) sutarties pagrindu bei sutartyje apibrėžtomis priemonėmis ir apimtimi. Duomenys teikiami šifruotais duomenų perdavimo kanalais, naudojant specialų serverį, kuris užtikrina duomenų šifravimą, prieigos teisių kontrolę bei nukreipia klientų paklausimus į atitinkamus duomenų bazių serverius, esančius Fondo valdybos vidiniame kompiuterių tinkle. Visi išorinių klientų prisijungimai įmanomi tik per šį serverį. Duomenų šifravimui naudojami SSL arba IPSec protokolai.
13. Prieigos teisių kontrolė atliekama dviejuose lygmenyse:
15. Tinkama duomenų teikimo priemonė pasirenkama sudarant sutartį ir priklauso nuo teikiamų duomenų pobūdžio ir Fondo valdybos bei kliento turimų techninių ir programinių priemonių.
16. Duomenų teikimo išoriniams klientams priemones nusako duomenų teikimo režimas ir paklausimo bei rezultatų pateikimo būdas.
17. Duomenų teikimo režimai:
17.1. „On-line“ – paklausimo metu nedelsiant prasideda Gavėjo pateiktų parametrų apdorojimas, kuriam pasibaigus yra suformuojamas atsakymas ir iš karto pateikiamas Gavėjui. Atsakymo pateikimo laikas lygus užklausos vykdymo ir rezultatų formavimo laikui ir priklauso nuo paklausimo sudėtingumo ir duomenų bazės apkrovimo.
17.2. „Off-line“ – paklausimo metu paklausimo turinys (parametrai) patalpinamas į eilę Fondo valdybos informacinėje sistemoje vėlesniam vykdymui, o Gavėjui gražina unikalų paklausimo identifikatorių. Paklausimą vykdo ir atsakymą formuoja specialus procesas (JOB) Fondo valdybos duomenų bazėje, kuris veikia periodiškai Fondo valdybos informacinės sistemos administratorių nustatytu laiku. Suformuotas atsakymas patalpinamas Fondo valdybos informacinėje sistemoje. Apie paklausimo įvykdymą Gavėjas pasiteirauja atskiru paklausimu, vykdydamas specialią procedūrą, nurodant paklausimo identifikatorių. Jei paklausimas yra įvykdytas, Gavėjas atsisiunčia rezultatus ta pačia arba atskira procedūra. Paklausimo įvykdymo trukmė neturi viršyti sutartyje numatyto termino (paprastai 2 dienos). Taip pat „off-line“ režimu laikomas duomenų teikimas materializuotų vaizdų (angl. „snapsot“) priemone, kai Gavėjas gali skaityti iš specialiai duomenų teikimui skirtų lentelių periodiškai (be atskiro paklausimo) atnaujinamą sutartyje numatytos apimties informaciją.
18. Paklausimų bei rezultatų pateikimo būdai:
18.1. „Oracle Net“. Šį būdą yra tikslinga naudoti, kai Gavėjo informacinėje sistemoje naudojama ORACLE DBVS. Gavėjas tiesiogiai jungiasi prie Fondo valdybos Oracle serverio, skirto duomenų teikimui Gavėjams, naudojant Oracle Net protokolą. Fondo valdyba Gavėjui savo duomenų bazėje sukuria vartotoją ir suteikia vartotojo slaptažodį, o vartotojui suteikia „CREATE SESSION“ privilegiją bei teisę vykdyti programų paketo procedūrą ir/arba skaityti atskiras lenteles. Maksimalus vartotojo sesijų kiekis vienu metu – 2. Pagal pasirinktą duomenų teikimo režimą galimi šie teikimo būdai:
18.1.1. „on-line“ – vykdant procedūrą su paklausimo parametrais, kuri nedelsiant suformuoja įrašus atsakymų lentelėje, kuriuos Gavėjas turi teisę skaityti;
18.1.2. „off-line“ – vykdant procedūrą su paklausimo parametrais, kuri paklausimo turinį patalpina į paklausimų lentelę vėlesniam vykdymui. Atsakymai formuojami ir talpinami atsakymų lentelėje periodiškai, ne vėliau kaip per sutartyje numatytą laiką. Gavėjas turi teisę skaityti atsakymų lentelės įrašus;
18.1.3. „off-line“ – vykdant Gavėjo suformuotas SQL užklausas sutartyje aprašytoms lentelėms, kurias Gavėjas turi teisę skaityti ir kurios yra periodiškai atnaujinamos iš Informacinės sistemos (toliau vadinama – IS) duomenų be atskiro paklausimo;
18.1.4. „off-line“ – naudojant materializuotų vaizdų (angl. „snapshot“) mechanizmą, kuriuo Gavėjo ORACLE duomenų bazė periodiškai atnaujina savo materializuotus vaizdus, skaitydama Fondo valdybos duomenų bazės materializuotus vaizdus ir jų žurnalus;
18.1.5. Fondo valdyba pateikia Gavėjui serverio IP adresą ir prievadą (angl. port), o Gavėjas pateikia kompiuterio, iš kurio bus jungiamasi, IP adresą. Kai naudojamas Virtualus privatus tinklas (toliau – VPN), papildomai gali būti nurodomas Gavėjo kompiuterio vietinio tinklo (toliau – LAN) IP adresas. Oracle Net ryšio kanalas yra šifruojamas vienu iš šių būdų:
18.1.5.1. naudojant SSL apvalkalą TCP sesijai „STunnel 4.0.5“ priemonę ir abipusę verifikaciją, Fondo valdybai ir Gavėjui iš anksto pasikeitus x509 sertifikatais (self-signed arba ca);
18.2. „XML“. Šio būdu naudojamasi, kai Gavėjas nesinaudoja ORACLE DBVS arba dėl kitų priežasčių nepageidauja naudoti Oracle Net. Duomenų apsikeitimui naudojamas šifruotas HTTPS protokolas ir XML serveris Fondo valdybos pusėje bei XML klientas Gavėjo pusėje. Fondo valdyba pateikia Gavėjui XML serverio IP adresą bei prievado (angl. port) numerį. Gavėjas siunčia paklausimą sutartyje suderintu XML formatu naudojant HTTP POST pranešimą. Gavėjo serveris apdoroja paklausimą ir XML formatu grąžina atsakymą arba pranešimą apie paklausimo pastatymą į eilę (esant „off-line“ režimui) su paklausimo identifikatoriumi, arba pranešimą apie klaidą. Šifruoto ryšio užmezgimui Fondo valdyba ir Gavėjas iš anksto pasikeičia x509 sertifikatais (self-signed arba pasirašytais sutarto ca). Papildomas duomenų šifravimas nenumatomas. Gavėjo tarnybinė stotis (serveris) identifikuojama naudojant IP adresą bei x509 sertifikatą, kuriuos Gavėjas pateikia iš anksto. Jei yra būtina identifikuoti kelis Gavėjo vartotojus, identifikavimui naudojami atskiri vartotojų sertifikatai arba vartotojo vardas bei slaptažodis. Duomenų teikimas internetinės paslaugos (angl. „Web Service“) būdu yra laikomas „XML“ būdo variantu.
18.2.1. „on-line“ režimu Gavėjas į savo pasiųstą paklausimą gauna atsakymą su paklausimo rezultatais arba pranešimą apie klaidą;
18.2.2. „off-line“ režimu Gavėjas į savo pasiųstą paklausimą gauna pranešimą apie paklausimo pastatymą į eilę vykdymui ir paklausimo identifikatoriumi arba pranešimą apie klaidą. Paklausimo rezultatams gauti Gavėjas siunčia atskirą XML pranešimą su paklausimo identifikatoriumi, į kurį TEIKĖJO serveris atsiunčia rezultatus XML formatu arba pranešimą, kad paklausimas dar neįvykdytas, arba pranešimą, kad, vykdant paklausimą, įvyko klaida.
18.3. „WEB“. Tai interaktyvus duomenų teikimo būdas. Gavėjas, naudodamas interneto naršyklę, atsiverčia nurodytą internetinį puslapį TEIKĖJO HTTPS serveryje ir, pateikęs identifikavimo duomenis (vartotojo vardą bei slaptažodį), užpildo pateiktą (sutartyje suderintą) formą ir inicijuoja informacijos paiešką Fondo valdybos informacinėje sistemoje. Paklausimo rezultatai pateikiami Gavėjui HTML formatu ir atvaizduojami naršyklėje. Šiuo būdu duomenys teikiami tik „on-line“ režimu.
IV. SUTARTIES SUDARYMAS
19. Fondo valdybos Duomenų teikimo priežiūros komitetas nustato terminus, per kuriuos Teisės, ISP ir ISE skyriai parengia sutarties projektą ir pateikia jį Gavėjui.
20. Teisės, ISP ir ISE skyriai teikia Gavėjui pasiūlymus dėl sutarties sudarymo, derina su juo teiktinų duomenų apimtį, struktūrą, jų teikimo būdą ir kitas sutarties sąlygas.
21. Rengiant sutartį Teisės skyrius sprendžia dėl duomenų teikimo teisėtumo, teiktinų duomenų apimties ir kitų teisinių sąlygų. ISE ir ISP skyriai sprendžia dėl techninių duomenų teikimo sąlygų.
V. SUTARTIES SĄLYGOS
23. Sutartis turi atitikti Lietuvos Respublikos norminių teisės aktų nustatytus reikalavimus dėl asmens duomenų teikimo ir Valstybinės duomenų apsaugos inspekcijos rekomendacijas dėl asmens duomenų teikimo sutarčių nuostatų.
24. Sutartyje taip pat turi būti numatyti Fondo valdybos pateiktų duomenų sunaikinimo atvejai, kai to reikalauja Lietuvos Respublikos asmens duomenų tvarkymą reglamentuojantys norminiai teisės aktai.
25. Sutartyje turi būti aptariama duomenų gavėjui numatytų įpareigojimų patikrinimo, kontrolės vykdymo tvarka.
26. Operatyviam problemų ir pokyčių sprendimui parengiamas tipinis sutarties priedas „Sutarties šalių atsakingi asmenys“, nurodant sutarties šalių darbuotojus, atsakingus už jų kompetencijai priskirtų klausimų sritį.
VI. SUTARTIES VYKDYMAS
28. ISE ir ISP skyriai atsakingi už sutartyje numatytų duomenų teikimą pagal sutartyje numatytas duomenų teikimo technines sąlygas.
29. Jeigu Fondo valdyba yra pasirašiusi sutartis su Gavėjais dėl duomenų teikimo neautomatiniu būdu, duomenys yra teikiami tik per Fondo valdybos atsakingą skyrių centralizuotai. Tokiu atveju Fondo valdybos įstaigos gautus trečiųjų asmenų paklausimus dėl duomenų teikimo neautomatiniu būdu nukreipia Fondo valdybai. Jeigu pagal pasirašytą sutartį yra numatytas duomenų teikimas automatiniu būdu Fondo valdybos įstaiga informuoja trečiąjį asmenį apie tai, kad dėl duomenų gavimo reikia kreiptis į Fondo valdybą.
30. Fondo valdybos Teisės skyrius informuoja Fondo valdybos įstaigas apie Fondo valdybos pasirašytas asmens duomenų teikimo sutartis.
31. Fondo valdybos direktoriaus įsakymu sudaryta Duomenų teikimo sutarčių vykdymo kontrolės komisija kontroliuoja, kaip Gavėjas vykdo sutartimi numatytus įsipareigojimus.
32. Planuojant Fondo valdybos iniciatyva keisti sutartį, pakeitimo iniciatorius raštu/ar el. būdu apie tai informuoja Teisės skyrių. Teisės skyriaus atsakingas asmuo kartu su ISP ir ISE skyrių atsakingais asmenimis nagrinėja ir vertina pakeitimo tikslingumą ir teisėtumą.
33. Pasikeitus Fondo valdybos asmens duomenų valdytojo registravimo duomenims dėl asmens duomenų tvarkymo automatiniu būdu, Fondo valdybos Informacinės sistemos duomenų saugos įgaliotinis kartu su Teisės skyriumi, vadovaudamasis 2005 m. gruodžio 7 d. Vyriausybės nutarimu Nr. 1317 patvirtintų Duomenų valdytojų pranešimo apie duomenų tvarkymą taisyklių (Žin., 2005, Nr. 144-5249) 13 punktu, privalo per 30 kalendorinių dienų nuo duomenų pasikeitimo pateikti Valstybinei duomenų apsaugos inspekcijai pranešimą apie pasikeitusius duomenis.
VII. ATSAKOMYBĖ