higienos_institutas_logoPvz

HIGIENOS INSTITUTO

DIREKTORIUS

ĮSAKYMAS

DĖL ASMENŲ, KURIE KREIPIASI Į ASMENS SVEIKATOS PRIEŽIŪROS ĮSTAIGAS DĖL PSICHIKOS IR ELGESIO SUTRIKIMŲ, VARTOJANT NARKOTINES IR PSICHOTROPINES MEDŽIAGAS, STEBĖSENOS INFORMACINĖS SISTEMOS NUOSTATŲ IR DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

2024 m. sausio 19 d. Nr. V-4

Vilnius

Įgyvendindamas Narkotinių ir psichotropinių medžiagų vartojimo, jo padarinių, narkotinių ir psichotropinių medžiagų ir jų pirmtakų (prekursorių), į oficialų sąrašą neįtrauktų medžiagų bei naujų psichoaktyviųjų medžiagų apyvartos stebėsenos tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2005 m. gegužės 30 d. nutarimu Nr. 591 „Dėl Narkotinių ir psichotropinių medžiagų vartojimo, jo padarinių, narkotinių ir psichotropinių medžiagų ir jų pirmtakų (prekursorių), į oficialų sąrašą neįtrauktų medžiagų bei naujų psichoaktyviųjų medžiagų apyvartos stebėsenos tvarkos aprašo patvirtinimo“, 5.2.3 papunktį, Lietuvos Respublikos sveikatos apsaugos ministro 2007 m. rugpjūčio 1 d. įsakymą Nr. V-636 „Dėl Asmenų, kurie kreipiasi į asmens sveikatos priežiūros įstaigas dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, stebėsenos tvarkos aprašo patvirtinimo“ bei vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 30 straipsniu, Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir Saugos dokumentų turinio gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“:

1. T v i r t i n u pridedamus:

1.1. Asmenų, kurie kreipiasi į asmens sveikatos priežiūros įstaigas dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, stebėsenos informacinės sistemos nuostatus;

1.2. Asmenų, kurie kreipiasi į asmens sveikatos priežiūros įstaigas dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, stebėsenos informacinės sistemos duomenų saugos nuostatus.

2. S k i r i u Asmenų, kurie kreipiasi į asmens sveikatos priežiūros įstaigas dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, stebėsenos informacinės sistemos saugos įgaliotiniu Higienos instituto Sveikatos informacijos centro Registrų skyriaus vyriausiąją specialistę Aušrą Krupskienę.

3. N u s t a t a u, kad šis įsakymas įsigalioja 2024 m. sausio 22 d.

Direktorius Šarūnas Alasauskas

SUDERINTA

Valstybinės duomenų apsaugos inspekcijos

2023 m. lapkričio 29 d. raštu Nr. 2R-6730(3.2.Mr)

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2023 m. gruodžio 11 d. raštu Nr. 1D-6206

SUDERINTA

Nacionalinio kibernetinio saugumo centro

prie Krašto apsaugos ministerijos

2023 m. lapkričio 30 d. raštu Nr. (4.1 E)6K-926

SUDERINTA

Lietuvos Respublikos ekonomikos ir inovacijų ministerijos

2023 m. gruodžio 11 d. raštu Nr. 3-4304

PATVIRTINTA

Higienos instituto direktoriaus

2024 m. sausio 19 d. įsakymu Nr. V-4

ASMENŲ, KURIE KREIPIASI Į ASMENS SVEIKATOS PRIEŽIŪROS ĮSTAIGAS DĖL PSICHIKOS IR ELGESIO SUTRIKIMŲ, VARTOJANT NARKOTINES IR PSICHOTROPINES MEDŽIAGAS, STEBĖSENOS INFORMACINĖS SISTEMOS NUOSTATAI

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Asmenų, kurie kreipiasi į asmens sveikatos priežiūros įstaigas dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, stebėsenos informacinės sistemos (toliau – ASIS) nuostatai (toliau – nuostatai) reglamentuoja ASIS steigimo teisinį pagrindą, ASIS paskirtį, uždavinius ir funkcijas, ASIS asmens duomenų tvarkymo tikslus, nustato ASIS organizacinę, informacinę ir funkcinę struktūras, ASIS duomenų teikimo ir naudojimo tvarką, bendruosius ASIS duomenų saugos reikalavimus, ASIS finansavimą, ASIS modernizavimą ir likvidavimą.

2. ASIS steigimo teisinis pagrindas – Nacionalinės narkotikų kontrolės ir narkomanijos prevencijos 2004–2008 metų programos įgyvendinimo 2005 metų priemonių, patvirtintų Lietuvos Respublikos Vyriausybės 2005 m. kovo 7 d. nutarimu Nr. 250 „Dėl Nacionalinės narkotikų kontrolės ir narkomanijos prevencijos 2004-2008 metų programos įgyvendinimo 2005 metų priemonių patvirtinimo“, 7.4 punktas ir Lietuvos Respublikos sveikatos apsaugos ministro 2007 m. rugpjūčio 1 d. įsakymas Nr. V-636 „Dėl Asmenų, kurie kreipiasi į asmens sveikatos priežiūros įstaigas dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, stebėsenos tvarkos aprašo patvirtinimo“.

3. ASIS paskirtis – informacinių technologijų priemonėmis rinkti, kaupti, analizuoti ir vertinti duomenis apie asmenis, kurie pirmą kartą gyvenime ir (ar) pakartotinai kreipiasi į asmens sveikatos priežiūros įstaigas (toliau – ASPĮ) pagalbos dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, bei teikti nuasmenintus duomenis nuostatuose nurodytiems duomenų gavėjams.

4. ASIS uždaviniai yra šie:

4.1. nustatyti narkotikų vartojimo ir su jų vartojimu susijusios rizikingos elgsenos tendencijas;

4.2. nustatyti naudojimosi gydymo paslaugomis (paslaugų poreikio) tendencijas;

4.3. vertinti sveikatos priežiūros įstaigų finansinių ir žmogiškųjų išteklių poreikį;

4.4. planuoti ir vertinti paslaugas narkotikų vartotojams.

5. Pagrindinės ASIS funkcijos yra šios:

5.1. rinkti ir kaupti duomenis apie asmenis, kurie pirmą kartą gyvenime ir (ar) pakartotinai kreipiasi į ASPĮ pagalbos dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas;

5.2. atlikti duomenų apie bendruosius, socialinius ir demografinius bruožus, narkotikų vartojimą ir jų vartojimo būdus, rizikingą elgseną, sergamumą užkrečiamosiomis ligomis, suteiktas paslaugas analizę, formuoti ataskaitas;

5.3. ASIS sukauptą informaciją apibendrinti bei apibendrintas išvadas teikti nuostatų 13 punkte nurodytiems ASIS duomenų gavėjams bei visuomenei;

5.4. identifikuoti ir autorizuoti ASIS naudotojus, administruoti ASIS naudotojų prieigos teises, kaupti veiksmų istoriją;

5.5. užtikrinti ASIS duomenų apsaugą.

6. ASIS asmens duomenų tvarkymo tikslai yra šie:

6.1. nustatyti narkotikų vartojimo ir su jų vartojimu susijusios rizikingos elgsenos bei naudojimosi gydymo paslaugomis ir gydymo paslaugų poreikio tendencijas;

6.2. statistikos tikslais: visuomenės sveikatos būklės epidemiologiniams tyrimams, reikalingiems prevencinės (profilaktinės) medicinos, socialinės raidos, mokslo, sveikatos apsaugos sistemos valdymo sprendimams priimti;

6.3. administruoti ASIS naudotojus ir prieigos prie informacinės sistemos teises.

7. ASIS tvarkoma vadovaujantis šiais teisės aktais:

7.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679);

7.2. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

7.3. Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“;

7.4. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu;

7.5. Lietuvos Respublikos Vyriausybės 2023 m. liepos 19 d. nutarimu Nr. 576 „Dėl Valstybės informacinių išteklių svarbos vertinimo tvarkos aprašo patvirtinimo“;

7.6. Lietuvos Respublikos ekonomikos ir inovacijų ministro 2023 m. liepos 19 d. įsakymu Nr. 4-418 „Dėl Valstybės informacinių išteklių svarbos vertinimo metodikos patvirtinimo“;

7.7. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“;

7.8. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

7.9. Valstybės informacinių sistemų gyvavimo ciklo valdymo metodika, patvirtinta Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos direktoriaus 2014 m. vasario 25 d. įsakymu Nr. T-29 „Dėl Valstybės informacinių sistemų gyvavimo ciklo valdymo metodikos patvirtinimo“;

7.10. Lietuvos Respublikos sveikatos apsaugos ministro 2007 m. rugpjūčio 1 d. įsakymu Nr. V-636 „Dėl Asmenų, kurie kreipiasi į asmens sveikatos priežiūros įstaigas dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, stebėsenos tvarkos aprašo patvirtinimo“;

7.11. Lietuvos Respublikos Vyriausybės 2005 m. gegužės 30 d. nutarimu Nr. 591 „Dėl Narkotinių ir psichotropinių medžiagų vartojimo, jo padarinių, narkotinių ir psichotropinių medžiagų ir jų pirmtakų (prekursorių), į oficialų sąrašą neįtrauktų medžiagų bei naujų psichoaktyviųjų medžiagų apyvartos stebėsenos tvarkos aprašo patvirtinimo“;

7.12. Asmens duomenų tvarkymo Higienos institute tvarkos aprašu, patvirtintu Higienos instituto direktoriaus 2018 m. gegužės 24 d. įsakymu Nr. V-41 „Dėl Asmens duomenų tvarkymo Higienos institute tvarkos aprašo patvirtinimo“;

7.13. Duomenų subjektų teisių įgyvendinimo tvarkant asmens duomenis Higienos instituto valdomose valstybės informacinėse sistemose tvarkos aprašu, patvirtintu Higienos instituto direktoriaus 2023 m. liepos 25 d. įsakymu Nr. V-87 „Dėl Duomenų subjektų teisių įgyvendinimo tvarkant asmens duomenis Higienos instituto valdomuose registruose ir valstybės informacinėse sistemose tvarkos aprašo patvirtinimo“;

7.14. nuostatais ir kitais teisės aktais, reglamentuojančiais informacinių sistemų reikalavimus.

8. Nuostatuose naudojamos sąvokos atitinka sąvokas, nurodytas nuostatų 7 punkte išvardytuose teisės aktuose.

II SKYRIUS

ASIS ORGANIZACINĖ STRUKTŪRA

9. ASIS valdytojas ir tvarkytojas – Higienos institutas (toliau – HI) (Studentų g. 45A, LT 08107 Vilnius), ASIS asmens duomenų valdytojas – HI.

10. HI funkcijos:

10.1. atlieka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme nustatytas funkcijas;

10.2. teisės aktų nustatyta tvarka rengia ir priima teisės aktus, reglamentuojančius ASIS duomenų tvarkymą ir saugą;

10.3. sprendžia ASIS duomenų formavimo klausimus;

10.4. analizuoja teisines, technines, technologines, metodologines ir organizacines ASIS tvarkymo problemas, priima sprendimus ASIS tvarkymui užtikrinti bei užtikrina ASIS duomenų apsaugą ir patikimumą organizacinėmis priemonėmis;

10.5. organizuoja ASIS techninės ir programinės įrangos kūrimo, tobulinimo ir diegimo darbus;

10.6. teikia lėšų poreikį Lietuvos Respublikos sveikatos apsaugos ministerijai dėl ASIS techninių ir programinių priemonių įsigijimo, diegimo ir tobulinimo bei įgyvendina ASIS techninių ir programinių priemonių įsigijimą, įdiegimą ir modernizavimą;

10.7. užtikrina, kad ASIS veiktų nepertraukiamai, organizuoja ir koordinuoja arba atlieka ASIS techninių programinių priemonių peržiūros ir tobulinimo darbus;

10.8. užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikomi atitinkamais teisės aktais nustatyti konfidencialumo reikalavimai;

10.9. techninėmis ir organizacinėmis priemonėmis užtikrina ASIS saugą, ASIS tvarkomų asmens duomenų konfidencialumą, vientisumą ir prieinamumą, apsaugą nuo netyčinio arba neteisėto sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jų ir nuo bet kokio kito neteisėto tvarkymo, taip pat saugų duomenų perdavimą kompiuteriniais tinklais, įgyvendina duomenų saugos priemones;

10.10. organizuoja ir koordinuoja ASIS tvarkančių darbuotojų kvalifikacijos tobulinimą;

10.11. tvarko ASIS duomenis;

10.12. atlieka duomenų ir kitos informacijos analizę;

10.13. rengia statistines ataskaitų formas;

10.14. teisės aktų nustatyta tvarka teikia apibendrintą informaciją;

10.15. kontroliuoja ir užtikrina, kad ASIS duomenų gavėjai, kuriems perduoti neteisingi, netikslūs, neišsamūs ASIS duomenys, būtų informuoti apie ištaisytus netikslumus;

10.16. kontroliuoja ir užtikrina, kad ASIS būtų tvarkoma vadovaujantis nuostatais ir kitais teisės aktais, o asmens duomenys būtų renkami nuostatuose nurodytais ir teisėtais tikslais, tvarkomi vadovaujantis Reglamentu (ES) 2016/679, Asmens duomenų teisinės apsaugos įstatymu ir kitais teisės aktais, reglamentuojančiais asmens duomenų tvarkymą;

10.17. siekdamas užtikrinti ASIS duomenų aktualumą ir operatyvų atnaujinimą, organizuoja ir vykdo ASIS duomenų mainus su kitomis informacinėmis sistemomis įstatymų ir kitų teisės aktų nustatyta tvarka;

10.18. metodiškai vadovauja ASIS naudotojams;

10.19. sudaro ASIS duomenų teikimo sutartis su ASIS duomenų teikėjais;

10.20. vykdo kitas teisės aktuose numatytas funkcijas bei turi teisės aktuose numatytas teises ir pareigas.

11. ASIS duomenų teikėjai – ASPĮ, turinčios teisę teikti psichiatrijos, priklausomybės ligų psichiatrijos, psichoterapijos, vaikų ir paauglių psichiatrijos sveikatos priežiūros paslaugas; jos teikia duomenis į ASIS pagal su HI sudarytas duomenų teikimo sutartis.

12. ASIS naudotojai – ASIS duomenų teikėjų paskirti ASPĮ darbuotojai, kurie teikia duomenis į ASIS sistemą pagal jiems sukurtą prieigą.

III SKYRIUS

ASIS INFORMACINĖ STRUKTŪRA

13. ASIS informacinę struktūrą sudaro ASIS duomenų bazėje kaupiami šie iš duomenų teikėjų gauti duomenys, reikalingi ASIS tikslams pasiekti:

13.1. bendrieji duomenys:

13.1.1. įstaigos kodas;

13.1.2. formos užpildymo data;

13.1.3. ASIS naudotojo vardas, pavardė, pareigos, elektroninio pašto adresas, telefono numeris;

13.1.4. unikalus paciento identifikavimo kodas ASIS sistemoje. Jį ASIS sugeneruoja iš paciento asmens kodo;

13.1.5. paciento lytis;

13.1.6. paciento amžius;

13.1.7. paciento kodas (kai paslaugos teikiamos anonimiškai);

13.1.8. asmens draustumas privalomuoju sveikatos draudimu;

13.1.9. požymis, nurodantis, ar paslaugos asmeniui teikiamos anonimiškai;

13.1.10. institucijos, siuntusios asmenį gydytis į ASPĮ;

13.1.11. asmens gydymas kada nors gyvenime bet kurioje sveikatos priežiūros įstaigoje dėl narkotinių ir psichotropinių medžiagų vartojimo;

13.2. socialinė demografinė informacija:

13.2.1. faktinė gyvenamoji vieta;

13.2.2. nuolatinė gyvenamoji vieta;

13.2.3. bendros gyvenamosios vietos turėjimas su kitais asmenimis;

13.2.4. užimtumas šiuo metu;

13.2.5. įgytas išsilavinimas;

13.3. duomenys apie psichoaktyviųjų medžiagų vartojimą:

13.3.1. pagrindinė psichoaktyvioji medžiaga, dėl kurios asmuo kreipėsi į ASPĮ;

13.3.2. pagrindinės psichoaktyviosios medžiagos vartojimo būdas šiuo metu;

13.3.3. asmens amžius, kai buvo pirmą kartą pavartota bet kuri narkotinė ar psichotropinė medžiaga;

13.3.4. pagrindinės psichoaktyviosios medžiagos vartojimo dažnumas per pastarąsias 30 dienų;

13.3.5. kitos per pastarąsias 30 dienų vartotos psichoaktyviosios medžiagos;

13.3.6. narkotinių ir psichotropinių medžiagų švirkštimasis kada nors gyvenime;

13.3.7. narkotinių ir psichotropinių medžiagų švirkštimasis per pastarąsias 30 dienų;

13.4. duomenys apie užkrečiamas ligas:

13.4.1. užkrėstumas ŽIV;

13.4.2. siuntimas tirtis dėl ŽIV;

13.4.3. užkrėstumas hepatitu B (HBV);

13.4.4. siuntimas tirtis dėl hepatito B (HBV);

13.4.5. skiepai nuo hepatito B (HBV);

13.4.6. užkrėstumas hepatitu C (HCV);

13.4.7. siuntimas tirtis dėl hepatito C (HCV);

13.5. duomenys apie diagnozę, gydymą, suteiktas paslaugas:

13.5.1. bendra sveikatos būklė;

13.5.2. pagrindinė diagnozė pagal TLK-10-AM;

13.5.3. diagnozės nustatymo data;

13.5.4. pacientui teikiamų asmens sveikatos priežiūros paslaugų tipas;

13.5.5. suteiktos paslaugos;

13.5.6. vaistiniai preparatai, kuriais asmuo gydomas šiuo metu;

13.6. duomenys apie išrašymo iš ASPĮ priežastis, gydymo baigtį.

14. ASIS duomenys tvarkomi ir saugomi ASIS duomenų bazėje bei elektroninių dokumentų saugyklose.

15. ASIS tvarkomi ir saugomi duomenys yra gaunami iš užpildytų statistinių apskaitos formų Nr. 025-5/a (Asmenų, kurie kreipiasi į ASPĮ dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, stebėsenos tvarkos aprašo, patvirtinto Lietuvos Respublikos sveikatos apsaugos ministro 2007 m. rugpjūčio 1 d. įsakymu Nr. V-636 „Dėl Asmenų, kurie kreipiasi į asmens sveikatos priežiūros įstaigas dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, stebėsenos tvarkos aprašo patvirtinimo“, 1 priedo), kurias užpildo ASPĮ ir neatlygintinai pateikia HI elektroniniu duomenų teikimo formatu.

16. Už nuostatų 14 punkte nurodytų duomenų, teikiamų į ASIS, teisingumą, tikslumą ir pateikimą laiku teisės aktų nustatyta tvarka atsako ASIS duomenų teikėjai.

IV SKYRIUS

ASIS FUNKCINĖ STRUKTŪRA

17. ASIS funkcinę struktūrą sudaro šie posistemiai:

17.1. Duomenų teikimo ir gavimo posistemis, kurį sudaro:

17.1.1. identifikavimo modulis, kurio paskirtis ASIS naudotojų identifikavimas ir autentifikavimas;

17.1.2. informacijos įvedimo modulis, kurio paskirtis yra ši:

17.1.2.1. užtikrinti galimybę duomenų teikėjams įvesti duomenis į ASIS;

17.1.2.2. kontroliuoti į ASIS įvedamus ir perduodamus saugoti duomenis;

17.2. ASIS administravimo posistemis, kurį sudaro:

17.2.1. sistemos administravimo modulis, kurio paskirtis ASIS naudotojų ir jų prieigos teisių valdymas bei sistemos parametrų valdymas;

17.2.2. sistemos klaidų apdorojimo modulis, kurio paskirtis ASIS įvykusių klaidų valdymas, automatiškas visų įvykusių klaidų registravimas, klaidų sąrašo administravimas;

17.3. Duomenų mainų posistemis, kurį sudaro:

17.3.1. integracijos modulis, kurio paskirtis:

17.3.1.1. duomenų priėmimas, apdorojimas ir išsaugojimas ASIS;

17.3.1.2. aktualių duomenų perdavimas duomenų gavėjams;

17.4. Analitinės informacijos posistemis, kurį sudaro:

17.4.1. analizės modulis, kurio paskirtis užtikrinti sukauptų duomenų analizę įvairiais pjūviais;

17.4.2. ataskaitų modulis, kurio paskirtis:

17.4.2.1. ataskaitų šablonų sudarymas;

17.4.2.2. ataskaitų kūrimas.

V SKYRIUS

ASIS DUOMENŲ TEIKIMAS IR NAUDOJIMAS

18. ASIS duomenys, nurodyti 13 punkte, teikiami nuasmeninti. Nuostatų 13.1.3, 13.1.4, 13.1.7 papunkčiuose nurodyti ASIS duomenys, leidžiantys nustatyti asmens tapatybę, duomenų gavėjams nėra teikiami. ASIS duomenų gavėjai yra šie:

18.1. Narkotikų, tabako ir alkoholio kontrolės departamentas prie Lietuvos Respublikos Vyriausybės;

18.2. ASPĮ;

18.3. teisės aktų nustatyta tvarka mokslo institucijos ar kiti juridiniai ir fiziniai asmenys, atskirų programų, projektų ar sutarčių pagrindu vykdantys epidemiologinius tyrimus apie visuomenės sveikatos būklę ir jos kitimo priežastis, reikalingus sveikatos priežiūros plėtros, socialinės raidos, prevencinės (profilaktinės) medicinos, sveikatos apsaugos sistemos valdymo sprendimams priimti, mokslo ir kitoms reikmėms;

18.4. kitos valstybės institucijos ir įstaigos, kurios turi teisę gauti duomenis iš ASIS teisės aktų nustatytoms funkcijoms vykdyti.

19. ASIS nuasmeninti duomenys teikiami pagal HI pateiktą duomenų gavėjo raštišką prašymą, kuriame turi būti nurodytas duomenų naudojimo tikslas ir teikimo bei gavimo teisinis pagrindas. Duomenų gavėjo gauti ASIS duomenys negali būti naudojami kitaip ar kitu tikslu, negu buvo nurodyta juos gaunant.

20. ASIS duomenys, išskyrus nurodytus Nuostatų 13.1.3, 13.1.4, 13.1.7 papunkčiuose, Europos Sąjungos valstybių narių ir (arba) Europos ekonominės erdvės valstybių, trečiųjų šalių fiziniams ir juridiniams asmenims, juridinio asmens statuso neturintiems subjektams, jų filialams ir atstovybėms teikiami Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo nustatyta tvarka.

21. HI ASIS duomenis ASIS duomenų gavėjams perduoda elektroniniu būdu. Duomenų perdavimo formatą nustato HI. ASIS duomenų teikimo būdai ir formos nustatomi kiekvienu konkrečiu atveju atskiru susitarimu su HI.

22. Duomenys duomenų gavėjams teikiami tokio turinio ir tokios formos, kurie HI naudojami ir nereikalauja papildomo duomenų apdorojimo. Valstybės informacinių išteklių valdymo įstatymo 35 straipsnio 3 dalyje nurodytais atvejais Lietuvos Respublikos Vyriausybės nustatyta tvarka duomenys gali būti pateikiami duomenų gavėjo prašomo formato ir turinio.

23. ASIS duomenys duomenų gavėjams teikiami neatlygintinai.

24. Duomenų subjektai, jų įstatyminiai atstovai, duomenų gavėjai, kiti asmenys turi teisę reikalauti ištaisyti neteisingus, netikslius, neišsamius ASIS duomenis (toliau – netikslūs duomenys). Rašytinį prašymą ištaisyti netikslius duomenis galima pateikti asmeniškai, paštu ar elektroninių ryšių priemonėmis.

25. HI, gavęs duomenų subjektų, jų įstatyminių atstovų, duomenų gavėjų, kitų asmenų rašytinį prašymą ištaisyti netikslius duomenis, nedelsdamas (ne vėliau kaip per penkias darbo dienas) patikrina ASIS duomenų tikslumą ir prireikus ištaiso netikslius duomenis. Pranešimas apie netikslių duomenų ištaisymą arba apie motyvuotą atsisakymą tai padaryti nedelsiant (ne vėliau kaip per vieną darbo dieną) siunčiamas asmeniui, pateikusiam rašytinį prašymą ištaisyti netikslius duomenis, paštu ir (ar) elektroninių ryšių priemonėmis. Ištaisęs netikslius duomenis, HI per vieną darbo dieną nuo jų ištaisymo apie tai praneša ASIS duomenų gavėjams, kuriems perduoti netikslūs duomenys. HI, nustatęs, kad yra ASIS duomenų netikslumų, turi nedelsdamas (ne vėliau kaip per vieną darbo dieną) elektroninių ryšių tinklais perduoti šią informaciją susijusiam duomenų teikėjui.

VI SKYRIUS

ASIS DUOMENŲ SAUGA

26. ASIS duomenų saugą nustato HI patvirtinti ASIS duomenų saugos nuostatai ir kiti saugos politiką įgyvendinantys dokumentai, kurie rengiami, derinami ir tvirtinami Lietuvos Respublikos Vyriausybės nustatyta tvarka.

27. ASIS duomenų sauga ir asmens duomenų saugumas užtikrinami vadovaujantis šiais dokumentais:

27.1. Reglamentu (ES) 2016/679;

27.2. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

27.3. Lietuvos Respublikos kibernetinio saugumo įstatymu;

27.4. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir Saugos dokumentų turinio gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“;

27.5. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

27.6. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo.

28. Už ASIS duomenų tvarkymo ir teikimo teisėtumą, duomenų saugą ir duomenų patikimumą atsako HI.

29. Už ASIS tvarkomų duomenų saugą atsako HI.

30. ASIS naudotojai turi nuostatų 32, 33 punktuose ir kituose teisės aktuose nustatytas teises ir pareigas.

31. ASIS naudotojai atsako už į ASIS teikiamų duomenų tikslumą.

32. ASIS duomenų naudotojai privalo saugoti asmens duomenų paslaptį, jeigu šie asmens duomenys neskirti skelbti viešai. Ši pareiga išlieka perėjus dirbti į kitas pareigas arba pasibaigus darbo ar sutartiniams santykiams.

33. ASIS duomenys prieinami tik asmenims, kuriems suteikta prieigos prie ASIS teisė.

34. Duomenys ASIS duomenų bazėje yra saugomi 10 metų nuo duomenų pateikimo dienos, po to ASIS duomenų bazės archyve saugomi 5 metus. Pasibaigus saugojimo terminui, duomenys sunaikinami arba perduodami valstybės archyvams Lietuvos vyriausiojo archyvaro nustatyta tvarka.

35. ASIS archyvo duomenys sunaikinami arba perduodami Lietuvos Respublikos dokumentų archyvui ar kitai informacinei sistemai HI tam tikslui sudarytos komisijos sprendimu, kai šie duomenys tampa nereikalingi ASIS tikslams pasiekti arba Lietuvos Respublikos teisės aktų nustatytais atvejais. ASIS duomenų bazių archyvai sunaikinami arba perduodami valstybės archyvams Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka.

36. Tvarkant ASIS, turi būti įgyvendintos duomenų apsaugos organizacinės, programinės, techninės, patalpų apsaugos ir administracinės priemonės, skirtos ASIS duomenų konfidencialumui, prieinamumui teisėtiems naudotojams, vientisumui ir apsaugai nuo atsitiktinio ar neteisėto sunaikinimo, naudojimo, atskleidimo, taip pat bet kokio kito neteisėto tvarkymo užtikrinti. Minėtos priemonės turi užtikrinti tokio lygio saugumą, kuris atitiktų saugotinų informacinės sistemos duomenų pobūdį.

VII SKYRIUS

ASIS FINANSAVIMAS

37. ASIS steigiama ir finansuojama iš Lietuvos Respublikos valstybės biudžeto ir kitų lėšų, gautų teisės aktų nustatyta tvarka.

VIII SKYRIUS

ASIS MODERNIZAVIMAS IR LIKVIDAVIMAS

38. ASIS modernizuojama ir likviduojama Lietuvos Respublikos įstatymų ir kitų teisės aktų nustatyta tvarka.

39. Likviduojant ASIS, jos duomenys perduodami kitai informacinei sistemai, valstybės archyvams arba sunaikinami Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka.

IX SKYRIUS

BAIGIAMOSIOS NUOSTATOS

40. HI, atsižvelgdamas į susijusių teisės aktų ir (arba) ASIS funkcionalumo pasikeitimus, atnaujina nuostatus.

41. Duomenų subjektų teisės yra įgyvendinamos vadovaujantis Europos Parlamento ir Tarybos reglamentu (ES) Nr. 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) ir Duomenų subjektų teisių įgyvendinimo tvarkant asmens duomenis Higienos instituto valdomuose registruose ir valstybės informacinėse sistemose tvarkos aprašu, patvirtintu Higienos instituto direktoriaus 2023 m. liepos 25 d. įsakymu Nr. V-87 „Dėl Duomenų subjektų teisių įgyvendinimo tvarkant asmens duomenis Higienos instituto valdomuose registruose ir valstybės informacinėse sistemose tvarkos aprašo patvirtinimo“.

__________________________

PATVIRTINTA

Higienos instituto direktoriaus

2024 m. sausio 19 d. įsakymu Nr. V-4

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Asmenų, kurie kreipiasi į asmens sveikatos priežiūros įstaigas (toliau – ASPĮ) dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, stebėsenos informacinės sistemos (toliau – ASIS) duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja ASIS duomenų saugą ir apibrėžia ASIS saugos politiką

2. ASIS duomenų saugos tikslas – užtikrinti ASIS elektroninės informacijos konfidencialumą, prieinamumą, vientisumą ir tinkamą kompiuterizuotų darbo vietų bei tinklo įrangos funkcionavimą. ASIS duomenų saugai užtikrinti kompleksiškai naudojamos administracinės, techninės ir programinės priemonės, padedančios įgyvendinti reagavimo, atsakomybės, elektroninės informacijos saugos suvokimo kėlimo ir saugos priemonių projektavimo ir diegimo principus.

3. Saugos nuostatuose vartojamos sąvokos atitinka sąvokas, apibrėžtas ASIS nuostatuose, Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše ir Saugos dokumentų turinio gairių apraše, patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“, ir kituose teisės aktuose bei Lietuvos standartuose LST EN ISO/IEC 27001 ir LST EN ISO/IEC 27002 vartojamas sąvokas.

4. ASIS informacijos saugos užtikrinimo prioritetinės kryptys yra šios:

4.1. asmenų, kurie kreipiasi į ASPĮ dėl psichikos ir elgesio sutrikimų, vartojant narkotines ir psichotropines medžiagas, registracijos duomenų konfidencialumo, vientisumo ir prieinamumo užtikrinimas naudojant technines, organizacines ir teisines priemones;

4.2. duomenų konfidencialumas užtikrinamas ribojant fizinį ir loginį priėjimą prie asmens duomenų ir specialių kategorijų asmens duomenų, naudojant technines ir organizacines priemones; priėjimas suteikiamas tik teisėtiems ASIS naudotojams, kurių tapatybė yra nustatyta, ir tik prie duomenų, būtinų ASIS naudotojo veiklos funkcijoms vykdyti; išmokant ASIS administratorių ir ASIS naudotojus laikantis konfidencialumo principo tvarkyti asmens duomenis;

4.3. duomenų ar sistemos vientisumas užtikrinamas valdant teisėtą duomenų ar sistemos keitimą, kontroliuojant duomenų įvedimą, stebint ir reaguojant į galimą neteisėtą duomenų ar sistemos keitimą ar sunaikinimą; supažindinant atsakingus už duomenų įvedimą ar keitimą ASIS administratorių ir ASIS naudotojus su klaidų ir vientisumo pažeidimo nustatymo ir koregavimo metodais ir tvarkų aprašais;

4.4. duomenų ar sistemos prieinamumas užtikrinamas, valdant organizacinėmis ir technologinėmis priemonėmis ASIS, jos elementų ar duomenų keitimus, naudojant papildomas ar alternatyvias informacinių sistemų ir duomenų tinklų technologines priemones, ASIS atkūrimo plano bandymus ir veiklos tęstinumo valdymo plano bandymus;

4.5. administracinių saugaus darbo su duomenimis, asmens duomenimis ir specialių kategorijų asmens duomenimis priemonių įgyvendinimas ir kontrolė;

4.6. technologinė elektroninės informacijos apdorojimo priemonių apsauga.

5. ASIS elektroninės informacijos saugos politika įgyvendinama pagal Higienos instituto (toliau – HI) tvirtinamus Saugos nuostatus ir saugos politiką įgyvendinančius dokumentus: saugaus elektroninės informacijos tvarkymo taisykles, naudotojų administravimo taisykles, veiklos tęstinumo valdymo planą (toliau visi kartu – Saugos dokumentai).

6. Saugos nuostatai taikomi:

6.1. ASIS valdytojui ir tvarkytojui – HI (Studentų g. 45A, LT-08107 Vilnius), ASIS asmens duomenų valdytojui – HI. HI funkcijos ir atsakomybė:

6.1.1. organizuoja ASIS veiklą;

6.1.2. priima teisės aktus, reglamentuojančius ASIS duomenų tvarkymą ir saugą;

6.1.3. priima sprendimą dėl ASIS informacinių technologijų saugos reikalavimų atitikties vertinimo atlikimo;

6.1.4. atsako už informacijos tvarkymo ASIS teisėtumą ir informacijos saugą;

6.1.5. skiria ASIS administratorių;

6.1.6. atlieka ASIS duomenų bazių priežiūrą;

6.1.7. užtikrina ASIS sąveiką su kitomis informacinėmis sistemomis ir registrais;

6.1.8. užtikrina nepertraukiamą ASIS veikimą ir duomenų, esančių ASIS duomenų bazėse, saugą;

6.1.9. atlieka kitas ASIS nuostatų, saugos reikalavimų ir kitų teisės aktų nustatytas funkcijas;

6.2. ASIS saugos įgaliotiniui – HI direktoriaus įsakymu paskirtam darbuotojui, įgyvendinančiam elektroninės informacijos saugą HI informacinėse sistemose. ASIS saugos įgaliotinio funkcijos ir atsakomybė:

6.2.1. organizuoja ir kontroliuoja Saugos nuostatų įgyvendinimą;

6.2.2. teikia HI pasiūlymus dėl:

6.2.2.1. Saugos dokumentų priėmimo, keitimo ar panaikinimo;

6.2.2.2. ASIS informacinių technologijų saugos reikalavimų atitikties vertinimo atlikimo;

6.2.3. koordinuoja elektroninės informacijos saugos incidentų tyrimą;

6.2.4. teikia HI pasiūlymus dėl ASIS administratoriaus skyrimo;

6.2.5. teikia ASIS administratoriui privalomus vykdyti nurodymus ir pavedimus;

6.2.6. organizuoja rizikos vertinimą;

6.2.7. supažindina ASIS naudotojus su Saugos nuostatais ir kitais saugos politiką įgyvendinančiais dokumentais bei atsakomybe už juose nustatytų reikalavimų nesilaikymą;

6.2.8. kasmet organizuoja ASIS naudotojų mokymus duomenų saugos klausimais, reguliariai jiems primena saugos problemas (elektroniniu paštu, parengia atmintines naujai priimtiems darbuotojams ir pan.);

6.2.9. įgyvendina ASIS elektroninės informacijos saugą ASIS informacinėje sistemoje ir atsako už Saugos dokumentų reikalavimų vykdymą;

6.2.10. atlieka kitas HI pavestas ir bendruosiuose elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimuose jam priskirtas funkcijas;

6.3. ASIS administratoriui – HI direktoriaus įsakymu paskirtam darbuotojui, dirbančiam pagal darbo sutartį, atliekančiam jam priskirtas funkcijas, aprašytas ASIS veiklą reglamentuojančiuose dokumentuose. ASIS administratoriaus funkcijos ir atsakomybė:

6.3.1. užtikrina ASIS funkcionavimą užtikrinančios techninės ir programinės įrangos, infrastruktūros bei informacinių technologijų paslaugų administravimą;

6.3.2. registruoja ASIS naudotojus ir suteikia prieigos teisę ASIS naudotojams naudotis ASIS infrastruktūra paskirtoms funkcijoms atlikti;

6.3.3. pagal kompetenciją rengia pasiūlymus dėl ASIS palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir duomenų saugos užtikrinimo;

6.3.4. atlieka ASIS sudarančių komponentų (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų sistemų, ugniasienių, įsilaužimų aptikimo sistemų, duomenų perdavimo tinklų) administravimą bei valdo jų sąranką, pažeidžiamų vietų nustatymą ir saugos priemonių parinkimą bei jų atitiktį ASIS saugos politiką įgyvendinančių dokumentų reikalavimams;

6.4. ASIS naudotojams, kurių funkcijos ir atsakomybė yra nurodytos Saugos nuostatų 7 punkte.

7. ASIS naudotojai:

7.1. vadovaudamiesi Saugos nuostatais, Saugos dokumentais, pareigybių aprašymais ir kitais teisės aktais, naudojasi ASIS informacijos tvarkymo arba kitais su tiesioginių funkcijų vykdymu susijusiais tikslais;

7.2. vykdo kitas nuostatuose ir kituose saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas, susijusias su ASIS naudojimu ir ASIS duomenų sauga;

7.3. atsako už tvarkomų duomenų saugą teisės aktų nustatyta tvarka.

8. Tvarkant ASIS duomenis ir užtikrinant jų saugą vadovaujamasi šiais teisės aktais:

8.1. Lietuvos Respublikos sveikatos sistemos įstatymu;

8.2. Lietuvos Respublikos sveikatos priežiūros įstaigų įstatymu;

8.3. Lietuvos Respublikos pacientų teisių ir žalos sveikatai atlyginimo įstatymu;

8.4. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

8.5. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu;

8.6. Lietuvos Respublikos kibernetinio saugumo įstatymu;

8.7. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir Saugos dokumentų turinio gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“;

8.8. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašas);

8.9. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašu, Informacinių technologijų saugos atitikties vertinimo metodika, patvirtintais Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

8.10. Lietuvos standartais LST EN ISO/IEC 27001 ir LST EN ISO/IEC 27002, taip pat kitais Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo metodai“ grupės standartais, reglamentuojančiais saugų duomenų tvarkymą;

8.11. Saugos nuostatais ir kitais teisės aktais, reglamentuojančiais duomenų tvarkymo teisėtumą, ASIS tvarkytojo veiklą bei duomenų saugos valdymą.

II SKYRIUS

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

9. ASIS tvarkoma elektroninė informacija pagal svarbą priskiriama svarbios informacijos kategorijai.

10. Informacinės sistemos saugos įgaliotinis ne rečiau kaip kartą per metus organizuoja informacinių sistemų rizikos vertinimą, kuris atliekamas vadovaujantis Lietuvos Respublikos vidaus reikalų ministerijos išleistu metodiniu leidiniu „Rizikos analizės vadovas“, Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos (toliau – ARSIS) metodika bei reikalavimais ir Lietuvos bei tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais. Prireikus informacinių sistemų saugos įgaliotinis gali organizuoti neeilinį rizikos vertinimą. ASIS rizikos veiksnių įvertinimas atliekamas kokybiniu rizikos vertinimo metodu.

11. ASIS rizikos vertinimo metu įvertinami rizikos veiksniai, galintys turėti įtakos ASIS elektroninės informacijos saugai, jų galima žala, pasireiškimo tikimybė, rizikos laipsnis ir galimi rizikos valdymo būdai. Kartu su ASIS rizikos vertinimu gali būti atliekamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos ASIS kibernetiniam saugumui, vertinimas.

12. ASIS rizikos įvertinimas pateikiamas rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos ASIS informacijos saugai. Svarbiausi rizikos veiksniai yra nustatyti Bendrųjų elektroninės informacijos saugos reikalavimų aprašo 36 punkte.

13. Svarbiausi rizikos veiksniai yra šie:

13.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų suvedimas ir teikimas, fiziniai informacinių technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kt.);

13.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacine sistema elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kt.);

13.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

14. Atsižvelgdamas į ASIS rizikos įvertinimo ataskaitą, HI prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

15. Siekdamas užtikrinti Saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose dokumentuose nustatytų reikalavimų įgyvendinimo kontrolę, ASIS saugos įgaliotinis Informacinių technologijų saugos atitikties vertinimo metodikos nustatyta tvarka kasmet organizuoja ASIS informacinių technologijų saugos reikalavimų atitikties vertinimą.

16. ASIS saugos atitikties vertinimą gali vykdyti trečiosios šalys.

17. Atlikus ASIS informacinių technologijų saugos reikalavimų atitikties vertinimą, parengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus skiria ir įgyvendinimo terminus nustato HI.

18. Rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas HI ne vėliau kaip per penkias darbo dienas nuo minėtų dokumentų priėmimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.

19. Techninės, programinės ir organizacinės informacinių sistemų elektroninės informacijos saugos priemonės pasirenkamos atsižvelgiant į HI turimus išteklius ir vadovaujantis šiais principais:

19.1. saugos sistema turi būti valdoma centralizuotai;

19.2. saugos priemonės diegimo kaina turi būti adekvati saugomos informacijos vertei;

19.3. pagal galimybes turi būti įdiegtos prevencinės informacijos saugos priemonės.

20. Informacinių sistemų saugos politiką įgyvendinančių dokumentų ir jų pakeitimų kopijas informacinių sistemų saugos įgaliotinis ne vėliau kaip per penkias darbo dienas nuo jų patvirtinimo dienos įkelia į ARSIS, vadovaudamasis Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatais, patvirtintais Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“.

21. Informacinių technologijų saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano kopijas informacinės sistemos valdytojas ne vėliau kaip per penkias darbo dienas nuo minėtų dokumentų priėmimo turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.

III SKYRIUS

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

22. Programinės įrangos, skirtos apsaugoti nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo el. pašto ir pan.), reikalavimai:

22.1. kompiuterinėse darbo vietose turi būti naudojamos centralizuotai valdomos kenksmingos programinės įrangos aptikimo priemonės;

22.2. apsaugai naudojama programinė įranga turi atsinaujinti reguliariai ir automatiniu būdu;

22.3. turi būti naudojamos priemonės, nuolat ieškančios ir blokuojančios kenksmingą programinę įrangą, veikiančią sisteminiuose kataloguose esančiose rinkmenose serveryje ir visuose kompiuterių tinklo kompiuteriuose;

22.4. turi būti naudojamos priemonės, turinčios apsaugos mechanizmus, blokuojančius kenkimo programų bandymus panaikinti apsaugas nuo kenkimo programų.

23. Programinės įrangos, įdiegtos informacinių sistemų tarnybinėse stotyse ir kompiuterizuotose darbo vietose, naudojimo nuostatos:

23.1. ASIS veikimui užtikrinti turi būti naudojama tik legali ir patikrinta programinė įranga, įtraukta į leistinos programinės įrangos sąrašą;

23.2. programinė įranga atnaujinama laikantis gamintojo reikalavimų.

24. Neteisėtų programų įdiegimo (apeinant operacinės sistemos apsaugos mechanizmus) paiešką bent kartą per mėnesį atlieka ASIS administratorius. Nuolat turi būti stebimas interneto srautas, siekiant aptikti ir išaiškinti galimus neleistinus, ne su naudotojų funkcijomis susijusius didelius duomenų srautus, naudojančius ne mažiau kaip 20 proc. interneto ryšio išteklių.

25. Kompiuterių tinklo serveriai ir kiekvienas kompiuterių tinklui priklausantis kompiuteris privalo turėti užkardą, ribojančią priėjimą iš išorės ir duomenų srautus į išorę. Turi būti draudžiama naudoti interneto ryšį visoms programoms, kurios gali visiškai atlikti savo funkcijas be interneto ryšio su išore. Visi nenaudojami prievadai turi būti užblokuoti.

26. Turi būti galimybė reguliuoti atskirų interneto sričių pasiekiamumą tiek pagal interneto sričių vardus, tiek pagal fizinius adresus.

27. Leistinos kompiuterių naudojimo ribos:

27.1. ASIS duomenims tvarkyti leidžiama naudoti tik leistinus stacionarius ir nešiojamuosius kompiuterius, atitinkančius teisės aktų nustatytus elektroninės informacijos saugos reikalavimus;

27.2. kompiuteriuose turi būti naudojamas įjungimo slaptažodis;

27.3. informacinės sistemos naudotojai privalo naudotis visomis saugumo priemonėmis, siekdami apsaugoti kompiuterį ir duomenų laikmenas nuo vagystės arba pažeidimo; nenaudojami nešiojamieji kompiuteriai turi būti saugomi saugioje vietoje.

28. ASIS turi atitikti Organizacinių ir techninių kibernetinio saugumo reikalavimų apraše nustatytus reikalavimus.

29. Turi būti registruojami ir nustatytą laiką saugomi duomenys apie ASIS įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis, bandymus prieiti prie informacinių išteklių, kitus saugai svarbius įvykius, nurodant naudotojo identifikatorių ir įvykio laiką; ši informacija turi būti reguliariai analizuojama.

30. ASIS atsarginės dokumentų kopijos (toliau – kopijos) daromos automatiniu būdu kiekvieną dieną, esant aktyviai ASIS duomenų bazei. Kopijos įrašomos į keičiamuosius informacijos kaupiklius ir saugomos seife, prieinamame tik ASIS administratoriui, o jo nesant – ASIS administratorių pavaduojančiam asmeniui. Kopijas atkurti turi teisę tik ASIS administratorius ar jį pavaduojantis asmuo. Kopijų, iš kurių būtų galima atkurti ASIS duomenis, darymo, saugojimo ir išbandymo tvarka nustatyta ASIS saugaus elektroninės informacijos tvarkymo taisyklėse.

31. ASIS naudotojai prie ASIS prisijungia nuotoliniu būdu naudodami interneto naršyklę.

32. Saugios prieigos prie ASIS užtikrinimas:

32.1. kiekvienas ASIS naudotojas turi būti unikaliai identifikuojamas – turi patvirtinti tapatybę slaptažodžiu arba kita autentiškumo patvirtinimo priemone;

32.2. ASIS naudotojui baigus darbą, turi būti imamasi priemonių, kad su elektronine informacija negalėtų susipažinti pašaliniai asmenys: atsijungiama nuo ASIS, įjungiama ekrano užsklanda su slaptažodžiu, dokumentai padedami į pašaliniams asmenims neprieinamą vietą ir pan.;

32.3. ASIS naudotojui neatliekant jokių veiksmų, ASIS turi užsirakinti, kad toliau naudotis ASIS būtų galima tik pakartojus tapatybės nustatymo ir autentiškumo patvirtinimo veiksmus;

32.4. ASIS prieiga prie kompiuterių bei serverių operacinių sistemų valdymo bei konfigūravimo leidžiama tik ASIS administratoriui;

32.5. naudojami serverio operacinės sistemos metodai, leidžiantys vienareikšmiškai atpažinti kompiuterių tinklui priklausančius kompiuterius ir blokuoti prieigą neatpažintiems kompiuteriams, neleidžiantys prisijungti prie kompiuterių tinklo iš kompiuterio, kuris nepriklauso šiam tinklui;

32.6. prisijungimo prie ASIS laikas bei trukmė nėra ribojami.

33. Metodai, kuriais užtikrinamas saugus ASIS elektroninės informacijos teikimas ir (ar) gavimas:

33.1. prieigos prie ASIS elektroninės informacijos teises gali suteikti tik ASIS administratorius. ASIS naudotojams suteikiamos tik jų funkcijoms vykdyti būtinos teisės;

33.2. prieiga prie ASIS elektroninės informacijos leidžiama tik per registracijos slaptažodžių sistemą. Prieigos prie ASIS elektroninės informacijos valdymas apibrėžtas ASIS naudotojų administravimo taisyklėse;

33.3. naudojami saugūs duomenų perdavimo protokolai.

34. Perkant paslaugas, darbus ar įrangą, susijusius su ASIS modernizavimu, priežiūra, palaikymu, saugos užtikrinimu, auditavimu, patalpų priežiūra, elektroninės informacijos perdavimo tinklais, taip pat kitus, suteikiančius teisę ir galimybę prieiti prie elektroninės informacijos, ją apdoroti, saugoti, keistis elektronine informacija ar tiekti informacinių technologijų infrastruktūros komponentus, pirkimo dokumentuose iš anksto turi būti nustatyta, kad paslaugų teikėjas, darbų vykdytojas ar techninės ir programinės įrangos tiekėjas (toliau – paslaugų teikėjas) privalo laikytis ASIS Saugos dokumentuose nustatytų reikalavimų ir užtikrinti teikiamų paslaugų, vykdomų darbų ar tiekiamos įrangos atitiktį nustatytiems elektroninės informacijos saugos reikalavimams.

35. Į paslaugų pirkimo sutartį turi būti įtraukta nuostata, įpareigojanti paslaugų teikėjo darbuotojus pasirašyti konfidencialumo pasižadėjimą neatskleisti tretiesiems asmenims jokios informacijos, gautos vykdant sutartį, išskyrus tiek, kiek būtina sutarčiai vykdyti, taip pat nenaudoti konfidencialios informacijos asmeniniams ar trečiųjų asmenų poreikiams laikantis principo, kad visa paslaugų teikėjui suteikta informacija (įskaitant ASIS tvarkomą elektroninę informaciją) yra konfidenciali, nebent raštu patvirtinama, kad tam tikra pateikta informacija nėra konfidenciali.

IV SKYRIUS

REIKALAVIMAI PERSONALUI

36. ASIS saugos įgaliotiniu, administratoriumi negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą, susijusį su elektroninių duomenų ir informacinių sistemų saugumu, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų bei taisyklių pažeidimą, jeigu nuo administracinės nuobaudos paskyrimo praėję mažiau kaip vieni metai.

37. Informacinių sistemų saugos įgaliotinis turi:

37.1. išmanyti elektroninės informacijos saugos užtikrinimo principus;

37.2. sugebėti vertinti rizikos veiksnius ir galimą žalą, organizuoti ir kontroliuoti pastebėtų trūkumų šalinimą;

37.3. savo darbe vadovautis informacinių sistemų saugos politiką įgyvendinančiais dokumentais, standartais ir kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą.

38. ASIS administratorius turi:

38.1. išmanyti elektroninės informacijos saugos principus, darbą su kompiuterių tinklais ir mokėti užtikrinti jų saugą;

38.2. stebėti techninės ir programinės įrangos veikimą, atlikti šios įrangos profilaktinę priežiūrą, sutrikimų diagnostiką ir šalinimą;

38.3. mokėti administruoti ir prižiūrėti duomenų bazę;

38.4. būti susipažinęs su Saugos nuostatais ir kitais saugos politiką įgyvendinančiais dokumentais.

39. ASIS naudotojai turi:

39.1. turėti pagrindinius darbo kompiuteriu įgūdžius, mokėti tvarkyti duomenis;

39.2. pasirašyti pasižadėjimą saugoti asmens duomenų paslaptį ir susipažinti su Saugos nuostatais bei kitais informacinių sistemų saugos politiką įgyvendinančiais dokumentais.

40. ASIS naudotojai, pastebėję saugos politikos pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias elektroninės informacijos saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti ASIS saugos įgaliotiniui.

41. ASIS naudotojams draudžiama:

41.1. atskleisti kitiems asmenims prisijungimo prie informacinės sistemos vardą, slaptažodį ar kitaip sudaryti sąlygas jais pasinaudoti;

41.2. naudoti informacinės sistemos duomenis kitokiais nei jų nuostatuose nurodytais tikslais bei savo pareigybės aprašyme nustatytų funkcijų vykdymo tikslais;

41.3. savavališkai prijungti prie informacinių sistemų kompiuterizuotų darbo vietų išorines duomenų laikmenas ar įrenginius.

V SKYRIUS

ASIS NAUDOTOJŲ SUPAŽINDINIMAS SU SAUGOS DOKUMENTAIS

42. ASIS naudotojus su informacijos saugos politiką įgyvendinančiais dokumentais ir atsakomybe už jų reikalavimų nesilaikymą supažindina ASIS saugos įgaliotinis.

43. ASIS saugos įgaliotinis, ASIS administratoriai ir naudotojai įsipareigoja laikytis informacijos saugos politiką įgyvendinančių dokumentų reikalavimų.

44. Pakartotinai su Saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais ASIS naudotojai supažindinami patvirtinus atitinkamų dokumentų pakeitimus.

VI SKYRIUS

ASIS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS TVARKA

45. ASIS saugos įgaliotinis yra atsakingas už ASIS naudotojų supažindinimą su Saugos nuostatais, Saugos dokumentais ir kitais teisės aktais, įgyvendinančiais elektroninės informacijos apsaugą.

46. ASIS saugos įgaliotinis ASIS administratoriui ir naudotojams periodiškai, bet ne rečiau kaip kartą per dvejus metus, organizuoja mokymus elektroninės informacijos saugos klausimais, reguliariai jiems primena saugos problemas (siunčia pranešimus elektroniniu paštu, instruktuoja naujus darbuotojus ir pan.), supažindina su duomenų apsaugos politiką įgyvendinančiais teisės aktais, saugaus darbo su duomenimis principais.

47. HI sudaro galimybes ASIS naudotojams dalyvauti ASIS saugos įgaliotinio organizuojamuose mokymo renginiuose.

48. ASIS saugos įgaliotinis informuoja ASIS naudotojus elektroniniu paštu ar kitu būdu apie priimtus naujus teisės aktus ir teisės aktų pakeitimus, apie ASIS naudotojams organizuojamus kvalifikacijos tobulinimo ir mokymo renginius, siunčia atmintines naujiems ASIS naudotojams.

VII SKYRIUS

BAIGIAMOSIOS NUOSTATOS

49. ASIS naudotojai, pažeidę Saugos nuostatų, kitų saugų duomenų tvarkymą reglamentuojančių teisės aktų reikalavimus, atsako įstatymų nustatyta tvarka.

50. Saugos nuostatai, kiti informacijos saugos valdymo sistemos dokumentai, reglamentuojantys informacinių sistemų saugą, peržiūrimi ir prireikus keičiami ne rečiau kaip kartą per metus.

51. Jei atliekami esminiai Saugos nuostatų pakeitimai, Saugos nuostatų projektas nustatyta tvarka turi būti suderintas su Nacionaliniu kibernetinio saugumo centru. Jeigu daromi tik redakcinio pobūdžio pakeitimai, Saugos nuostatų projektas su Nacionaliniu kibernetinio saugumo centru nederinamas, Nacionaliniam kibernetinio saugumo centrui teikiama tik Saugos nuostatų kopija.

_____________________