VALSTYBINĖS NE MAISTO PRODUKTŲ INSPEKCIJOS PRIE ŪKIO MINISTERIJOS VIRŠININKAS

ĮSAKYMAS

DĖL NE MAISTO PRODUKTŲ RINKOS PRIEŽIŪROS INFORMACINĖS SISTEMOS „RIPRIS" NUOSTATŲ IR DUOMENŲ SAUGOS NUOSTATŲ

PATVIRTINIMO

2015 m. rugsėjo 11 d. Nr. 1R-101

Vilnius

Vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo (toliau - Išteklių įstatymas) 8 ir 30 straipsnio 2 punktu, Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, 11 punktu, Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ 7, 11, 19 punktais:

1. Tvirtinu pridedamus:

1.1. Ne maisto produktų rinkos priežiūros informacinės sistemos „RIPRIS“ nuostatus.

1.2. Ne maisto produktų rinkos priežiūros informacinės sistemos „RIPRIS“ duomenų saugos nuostatus.

2. S k i r i u :

2.1. Ne maisto produktų rinkos priežiūros informacinės sistemos „RIPRIS“ duomenų valdymo įgaliotiniu Rizikos ir informacijos valdymo skyriaus vedėjo pavaduotoją R. Tamošaitienę.

2.2. Ne maisto produktų rinkos priežiūros informacinės sistemos „RIPRIS“ saugos įgaliotiniu Rizikos ir informacijos valdymo skyriaus vyriausiąjį specialistą D. Mačiulį.

3. Pavedu Ne maisto produktų rinkos priežiūros informacinės sistemos „RIPRIS“ saugos įgaliotiniui per 6 mėnesius nuo įsakymo įsigaliojimo parengti ir pateikti RIPRIS valdytojui tvirtinti saugos politiką įgyvendinančius dokumentų projektus:

3.1. Ne maisto produktų rinkos priežiūros informacinės sistemos „RIPRIS“ saugaus elektroninės informacijos tvarkymo taisyklių projektą.

3.2. Ne maisto produktų rinkos priežiūros informacinės sistemos „RIPRIS“ naudotojų administravimo taisyklių projektą.

3.3. Ne maisto produktų rinkos priežiūros informacinės sistemos „RIPRIS“ veiklos tęstinumo valdymo plano projektą.

Inspekcijos viršininkas Renaldas Čiužas

SUDERINTA

Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos

2015 m. gegužės 5 d. raštu Nr. S-570

SUDERINTA

Valstybinės duomenų apsaugos inspekcijos

2015 m. liepos 30 d. raštu Nr. 2R-4424 (3.33.E)

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2015 m. liepos 8 d. raštu Nr. 1D-5918

SUDERINTA

Valstybinės mokesčių inspekcijos prie Lietuvos Respublikos finansų ministerijos

2015 m. liepos 28 d. raštu Nr. (1.18-31-4) RM-16614

SUDERINTA

Muitinės departamento prie Finansų ministerijos

2015 m. liepos 3 d. raštu Nr. (4.5)3B-6874

SUDERINTA

Valstybės įmonės „Registrų centras“

2015 m. birželio 22 d. raštu Nr. (1.11.7)s-3120

PATVIRTINTA

Valstybinės ne maisto produktų inspekcijos prie Ūkio ministerijos viršininko 2015 m. rugsėjo 11 d.

įsakymu Nr. 1R-101

NE MAISTO PRODUKTŲ RINKOS RIEŽIŪROS INFORMACINĖS SISTEMOS „RIPRIS“ NUOSTATAI

I. BENDROSIOS NUOSTATOS

1. Ne maisto produktų rinkos priežiūros informacinės sistemos „RIPRIS“ nuostatai (toliau -Nuostatai) reglamentuoja Valstybinės ne maisto produktų inspekcijos prie Ūkio ministerijos (toliau -Inspekcija) Ne maisto produktų rinkos priežiūros informacinės sistemos „RIPRIS“ (toliau -RIPRIS) tikslus, steigimo pagrindą, pagrindines funkcijas, organizacinę, informacinę ir funkcinę struktūras, duomenų teikimą ir naudojimą, reikalavimus duomenų saugai, finansavimą, modernizavimą ir likvidavimą.

2. Nuostatai parengti vadovaujantis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu, Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr.180, ir kitais Lietuvos Respublikos teisės aktais.

3. Nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos produktų; saugos įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ ir kituose Lietuvos Respublikos bei Europos Sąjungos teisės aktuose apibrėžtas sąvokas.

4. RIPRIS steigimo pagrindas - Valstybinės ne maisto produktų inspekcijos prie Ūkio ministerijos nuostatų, patvirtintų 2010 m. rugsėjo 16 d. Ūkio ministro įsakymu Nr. 4-693, 9.1-9.7, 9.10-9.13 punktai.

5. RIPRIS tikslas - centralizuoti ne maisto produktų rinkos priežiūros, vartotojų teisių apsaugos ir visuomenės informavimo proceso valdymą.

6. RIPRIS uždaviniai:

6.1. automatizuotai kaupti duomenis, susijusius su ne maisto produktų rinkos priežiūros, vartotojų teisių apsaugos ir visuomenės informavimo veiklomis;

6.2. automatizuoti patikrinimo planų, dokumentų, visuomenės informavimo ir konsultacijų teikimo duomenų apskaitą, kontrolę ir informacijos apdorojimą;

6.3. operatyviai pagal įvairius parametrus sisteminti ir teikti duomenis apie ne maisto produktų rinkos priežiūros, vartotojų teisės apsaugos ir visuomenės informavimo rezultatus;

6.4. pagal poreikį naudotis duomenimis, kaupiamais valstybės registruose ir kitose informacinėse sistemose.

7. RIPRIS pagrindinės funkcijos yra:

7.1. kaupti, saugoti ir tvarkyti duomenis apie:

7.1.1. ne maisto produktų rinkos priežiūros patikrinimų plano vykdymo eigą;

7.1.2. ES ir nacionalinius teisės aktus, normatyvinius dokumentus ir kitus dokumentus, susijusius su rinkos priežiūra ir vartotojų teisių apsauga;

7.1.3. tikrintus ūkio subjektus;

7.1.4. ne maisto produktų rinkos priežiūros patikrinimų bei monitoringų ir vartotojų skundų tyrimų rezultatus;

7.1.5. taikytas nuobaudas už administracinės teisės pažeidimus;

7.1.6. surašytus įstatymų pažeidimų protokolus, priskirtus Inspekcijos veiklos sričiai;

7.1.7. operatyvius duomenis apie importuotus iš trečių šalių gaminius;

7.1.8. vykdytas visuomenės informavimo priemones;

7.1.9. vieningo konsultavimo medžiagą.

7.2. formuoti veiklos dokumentus;

7.3. importuoti ir kaupti duomenis gautus iš kitų informacinių sistemų ir registrų, siekiant efektyviai vykdyti rinkos priežiūrą;

7.4. pagal pateiktus paieškos parametrus formuoti peržiūrai ir analizei skirtus duomenų rinkinius;

7.5. teikti duomenis duomenų gavėjams;

7.6. tvarkyti klasifikatorius;

7.7. valdyti prieigą prie RIPRIS duomenų.

8. Asmens duomenų tvarkymo RIPRIS tikslas - identifikuoti asmenis, kuriems taikytos nuobaudos už administracinės teisės pažeidimus ir kurių verslo veikla tikrinta.

9. RIPRIS kuriama ir tvarkoma vadovaujantis:

9.1. Lietuvos Respublikos produktų saugos įstatymu;

9.2. Lietuvos Respublikos vartotojų teisių apsaugos įstatymu;

9.3. Lietuvos Respublikos civiliniu kodeksu;

9.4. Lietuvos Respublikos administracinių teisės pažeidimų kodeksu (toliau - ATPK);

9.5. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (toliau - Asmens duomenų teisinės apsaugos įstatymas);

9.6. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu;

9.7. Vyriausybės 2013 m. vasario 27 d. nutarimu Nr.180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“;

9.8. Valstybinės vartotojų teisių apsaugos tarnybos 2010 m. gegužės 14 d. direktoriaus įsakymu Nr. 1-62 „Dėl Skubaus keitimosi informacija apie pavojingus vartotojams gaminius taisyklių patvirtinimo“;

9.9. šiais Nuostatais ir kitais teisės aktais.

II. RIPRIS ORGANIZACINĖ STRUKTŪRA

10. RIPRIS valdytojas ir tvarkytojas - Inspekcija.

11. RIPRIS valdytojas ir tvarkytojas atlieka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo nustatytas funkcijas bei turi šiame įstatyme nurodytas teises ir pareigas.

12. RIPRIS asmens duomenų valdytojas ir tvarkytojas yra Inspekcija. Inspekcija atlieka Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme nurodytas funkcijas, turi šiame įstatyme nurodytas teises ir pareigas.

13. RIPRIS duomenų teikėjai:

13.1. Muitinės departamentas prie Lietuvos Respublikos finansų ministerijos, teikiantis informaciją iš Integruotos muitinės informacinės sistemos.

13.2. Valstybės įmonė Registrų centras teikia duomenis iš Lietuvos Respublikos juridinių asmenų registro ir Lietuvos Respublikos adresų registro.

13.3. Valstybinė mokesčių inspekcija prie Lietuvos Respublikos finansų ministerijos, teikianti informaciją iš Valstybinės mokesčių inspekcijos Mokesčių apskaitos informacinės sistemos.

13.4. Europos komisija, teikianti informaciją iš RAPEX sistemos (Europos Sąjungos skubaus keitimosi informacija apie pavojingus vartotojams gaminius informacinė sistema, sukurta įgyvendinant Europos Parlamento ir Tarybos 2001 m. gruodžio 3 d. direktyvos 2001/95/EB dėl bendrosios gaminių saugos nuostatas).

13.5. Inspekcija, teikianti informaciją iš Inspekcijos dokumentų valdymo sistemos „AVILYS“ (toliau - DVS).

III. RIPRIS INFORMACINĖ STRUKTŪRA

14. RIPRIS duomenų bazėje kaupiami duomenys:

14.1. Ne maisto produktų rinkos priežiūros patikrinimų planų duomenys:

14.1.1. veiklos laikotarpis;

14.1.2. Inspekcijos struktūrinis padalinys;

14.1.3. tikrinamų gaminių grupė / paslaugų sritis;

14.1.4. planuojamų patikrinimų skaičius;

14.1.5. planuojamų vizitų skaičius;

14.1.6. planuojamų paimti tirti bandinių skaičius.

14.2. Europos Sąjungos ir Lietuvos Respublikos teisės aktų bei normatyvinių dokumentų, reglamentuojančių ne maisto produktų rinkos priežiūrą ir vartotojų teisių apsaugą, Inspekcijos vidaus dokumentų (tvarkų aprašų, taisyklių, kontrolinių klausimynų ir kt.) duomenys:

14.2.1. dokumento tipas;

14.2.2. dokumento pavadinimas,

14.2.3. dokumento publikavimo vieta,

14.2.4. dokumento galiojimo laikotarpis;

14.2.5. nuoroda į publikuotą tekstą.

14.3. Ne maisto produktų rinkos priežiūros patikrinimų duomenys:

14.3.1. apie juridinius asmenis:

14.3.1.1. pavadinimas,

14.3.1.2. juridinio asmens kodas,

14.3.1.3. buveinės adresas,

14.3.1.4. kontaktiniai duomenys,

14.3.1.5. įsteigimo metai,

14.3.1.6. tikrintų veiklos vietų duomenys - tipas, vietos pavadinimas, adresas el. pašto adresas, telefono ryšio numeris ir pastaba.;

14.3.2. apie fizinius asmenis:

14.3.2.1. vardas ir pavardė,

14.3.2.2. registracijos adresas,

14.3.2.3. verslo liudijimo galiojimo terminas (data iki) ir verslo liudijimo numeris,

14.3.2.4. tikrintų veiklos vietų duomenys - tipas, vietos pavadinimas, adresas, pastaba, kontaktiniai duomenys - el. pašto adresas, telefono ryšio numeris.

14.4. Lietuvos Respublikos teritorijoje buveinę (vietą) apibūdinantys duomenys:

14.4.1. administraciniai vienetai,

14.4.2. savivaldybės,

14.4.3. seniūnijos,

14.4.4. gyvenamosios vietovės,

14.4.5. gatvės,

14.4.6. specialūs klasifikatoriai.

14.5. Vykdytų tikrinimų, monitoringo ir atliktų kitų veiksmų duomenys:

14.5.1. Vartotojų skundų, kitų prašymų (skundų) ir pranešimų duomenys, kurie automatizuotai gaunami iš dokumentų valdymo sistemos – skundo registracijos Inspekcijoje data ir numeris, trumpas aprašas dėl ko skundžiasi, nuoroda į dokumentų valdymo sistemoje užregistruotą dokumentą;

14.5.2. pavedimo atlikti tikrinimą duomenys;

14.5.3. dokumento (akto, pažymos) registravimo duomenys;

14.5.4. teisės aktai ir normatyviniai dokumentai, kurių reikalavimų atitiktis tikrinama;

14.5.5. tikrinto ūkio subjekto ir patikrinimo metu dalyvavusių asmenų duomenys – vardas, pavardė, pareigos, dalyvio statusas (dalyvis, atsakingas asmuo, įgaliotas asmuo, liudytojas).

14.5.6. tikrinimą inicijavusios ir tikrinime dalyvavusių kitų valstybės institucijų pavadinimai;

14.5.7. tikrinto produkto identifikaciniai duomenys - produkto grupė ir pogrupis, pavadinimas, tipas, markė, rūšis, brūkšninis kodas, kilmės šalis ir kt.;

14.5.8. tikrinto produkto gamintojo, importuotojo, platintojo, atstovo duomenys - pavadinimas, įmonės registracijos kodas, šalis;

14.5.9. nustatytų neatitikimų/pažeidimų duomenys - informacijos apie neatitikimą/pažeidimą šaltinis, neatitikimo/pažeidimo pobūdis, teisės aktų nuostatos pagal kurias nustatyta neatitiktis/pažeidimas;

14.5.10. paimtų tirti bandinių dokumentų duomenys - dokumento numeris ir data, bandinio paėmimo vieta ir laikas, paimto bandinio kiekis ir vertė, bandinio identifikaciniai ir kt. duomenys, tiriami rodikliai ir kt.;

14.5.11. atliktų bandymų rezultatų duomenys;

14.5.12. atliktų ekspertizių duomenys;

14.5.13. nustatytų aplinkybių aprašas;

14.5.14. atlikto tikrinimo arba skundo tyrimo išvadų aprašas;

14.5.15. rekomendacijų ūkio subjektui aprašas;

14.5.16. nurodymų ūkio subjektui (įpareigojimų) aprašas ir jų įvykdymo terminas bei įvykdymo rezultatas;

14.5.17. nustatytų pavojingų produktų duomenys:

14.5.17.1. nustatyti produkto pavojaus pobūdžiai;

14.5.17.2. nustatyta produkto rizika;

14.5.17.3. produktui taikytos pateikimo į rinką ribojimo priemonės;

14.5.17.4. sprendimo, priimto dėl pavojingo produkto, dokumento registracijos (duomenys;

14.5.17.5. duomenys apie ūkio subjekto savanoriškai taikytas produkto teikimo į rinką ribojimo priemones;

14.5.17.6. duomenys apie pavojingų produktų pašalinimą iš rinkos;

14.5.17.7. sprendimo laikinai sustabdytų teikti į rinką produkto(-ų) dokumento registracijos duomenys;

14.5.17.8. sprendimo leisti teikti laikinai sustabdytų teikti į rinką produkto(-ų) dokumento registracijos duomenys;

14.5.17.9. duomenys apie atliktos rinkos ribojimo priemonės rezultatus;

14.5.17.10. pridedamų prie patikros dokumento (akto ar pažymos) ir/ar ūkio Subjekto pateiktų dokumentų sąrašas (priedų sąrašas);

14.5.17.11. įformintų dokumentų bylos skenuotos kopijos duomenys.

14.6. Duomenys apie Inspekcijos paskirtas nuobaudas už administracinės teisės pažeidimus:

14.6.1. atsakingas asmuo - vardas ir pavardė, asmens kodas, darbovietė ir pareigos.

14.6.2. nustatyti administracinės teisės pažeidimai, nurodant ATPK straipsnius, dalis;

14.6.3. surašytų protokolų ir nutarimų dokumentų duomenys;

14.6.4. paskirtos nuobaudos tipas;

14.6.5. paskirtos nuobaudos suma;

14.6.6. baudų apmokėjimo duomenys:

14.6.6.1. fizinio asmens pavedimo, skirto baudos apmokėjimui duomenys - pavedimo data ir numeris, operacijos data, apmokėta suma, asmens kodas, vardas ir pavardė;

14.6.6.2. specifinių klasifikatorių duomenys.

14.6.7. pažeidimo identifikatorius (ROIK) iš Administracinių teisės pažeidimų registro.

14.7. Naftos produktų kokybės stebėsenos duomenys:

14.7.1. degalų kokybės parametrų ribinės vertės;

14.7.2. bandinių paėmimo tirti dokumento duomenys;

14.7.3. laboratorinio tyrimo rezultatai.

14.8. Operatyviniai importuojamų į Lietuvos Respubliką ne maisto produktų duomenys:

14.8.1. muitinės importo deklaracijos dokumento duomenys – muitinės įstaigos suteiktas deklaracijos registravimo numeris (MRN), deklaracijos priėmimo data, prekės eilės numeris;

14.8.2. gavėjo duomenys – ekonominių operacijų vykdytojų registracijos ir identifikavimo kodas (nuasmenintas asmens kodas EORJ), pavadinimas, adresas;

14.8.3. siuntėjo duomenys – siuntėjo pavadinimas, šalies siuntėjo kodas;

14.8.4. prekės duomenys – prekės kodas, prekės kilmės šalies kodas, prekės aprašymas, prekės matavimo vienetas, prekių kiekis, išreikštas nurodytu matavimo vienetu, prekių neto masė (kg), valiutos, kuria išreikšta statistinė (muitinė) prekių vertė, kodas, vertė.

14.9. Visuomenės informavimo priemonių duomenys:

14.9.1. priemonės rūšis (publikacija spaudoje, dalyvavimas TV ir radijo laidose, rengtas seminaras, konsultacijos ir kt.);

14.9.2. priemonės tema;

14.9.3. priemonės data ir vieta;

14.9.4. dalyvių skaičius, profesinė sudėtis;

14.9.5. priemonę ruošęs Inspekcijos darbuotojas ar struktūrinis padalinys;

14.9.6. priemonės rezultatas, grįžtamasis ryšys.

14.10. Konsultacinės medžiagos duomenys:

14.10.1. temos;

14.10.2. klausimai;

14.10.3. atsakymai;

14.10.4. atsakymo galiojimo laikas.

14.10.5. susiję teisės aktai, jų punktai, straipsniai ir pan.;

14.10.6. priskirtų konsultantų duomenys.

14.11. Vidiniai sistemos duomenys:

14.11.1. RIPRIS naudotojai – prisijungimo vardas, slaptažodis, vardas, pavardė, pareigos, skyriaus pavadinimas, kontaktiniai duomenys - el. pašto adresas, telefono ryšio numeris, jų teisės ir rolės;

14.11.2. klasifikatoriai;

14.11.3. formuojamų dokumentų šablonų duomenys;

14.11.4. įvestų duomenų kokybės kontrolės rezultatų protokolai;

14.11.5. RIPRIS naudotojų prieigos duomenys;

14.11.6. RIPRIS administratoriaus veiklos duomenys.

14.12. RIPRIS duomenis gauna iš:

14.12.1. Integruotos muitinės informacinės sistemos duomenis, nurodytus šių Nuostatų 14.8 punkte.

14.12.2. Lietuvos Respublikos juridinių asmenų registro duomenis, nurodytus šių Nuostatų 14.3.1.1-14.3.1.3 punktuose.

14.12.3. Lietuvos Respublikos adresų registro teikiami Lietuvos Respublikos adresų registro duomenų bazės tekstinių duomenų išrašas ir tarpinis Lietuvos Respublikos adresų registro duomenų bazės tekstinių duomenų išrašas, RIPRYJE tvarkomiems adreso duomenims, nurodytiems šių Nuostatų 14.4 punkte patikslinimui.

14.12.4. Valstybinės mokesčių inspekcijos Mokesčių apskaitos informacinės sistemos duomenis, nurodytus šių Nuostatų 14.6.6 punkte.

14.12.5. Inspekcijos DVS teikia registruotų dokumentų, susijusių su patikrinimais ir skundų tyrimais, duomenis pagal nustatytą dokumentų rūšį: dokumento registracijos data, dokumento registracijos numeris, dokumento data, dokumento rūšis, dokumento antraštė, nuoroda į patalpintą dokumentą;

IV. RIPRIS FUNKCINĖ STRUKTŪRA

15. RIPRIS funkcinės struktūros sudedamosios dalys:

15.1. Veiklos procesų automatizavimo, duomenų kaupimo, tvarkymo ir teikimo j posistemė, kurios paskirtis - kaupti, saugoti, tvarkyti, pateikti peržiūrai pagal užklausas ir analizuoti duomenis, formuoti dokumentus. Posistemės moduliai ir jų funkcijos:

15.1.1. Planų modulis, kurio paskirtis - patikrinimų planų vykdymo duomenų teikimas. Funkcijos:

15.1.1.1. tvarkyti ir kaupti duomenis apie patvirtintus patikrinimų planus;

15.1.1.2. teikti duomenis apie šių planų faktinį įvykdymą einamuoju metu.

15.1.2. Tikrintų ūkio subjektų modulis, kurio paskirtis - kaupti identifikacinius duomenis apie tikrintus ūkio subjektus. Funkcijos:

15.1.2.1. kaupti, saugoti, tvarkyti tikrintų ūkio subjektų identifikacinius ir kontaktinius duomenis;

15.1.2.2. pateikti peržiūrai pagal užklausas įvestus duomenis.

15.1.3. Dokumentų modulis, kurio paskirtis - kaupti teisės aktus ir normatyvinius dokumentus susijusius su rinkos priežiūra ir vartotojų teisių apsauga. Funkcijos:

15.1.3.1. kaupti, saugoti, tvarkyti, sisteminti teisės aktų, normatyvinių dokumentų ir kitų veiklą reglamentuojančių dokumentų sąrašą;

15.1.3.2. pateikti peržiūrai pagal užklausas įvestus duomenis.

15.1.4. Patikrinimų modulis, kurio paskirtis - kaupti duomenis, susijusius su ne maisto produktų rinkos priežiūros patikrinimais ir vartotojų skundų tyrimu. Funkcijos:

15.1.4.1. kaupti, saugoti, tvarkyti aktų/sprendimų/pažymų dokumentuose teikiamus duomenis;

15.1.4.2. kaupti statistinius duomenis apie tikrintus produktus;

15.1.4.3. formuoti ir pateikti spausdinimui nustatytas dokumentų formas;

15.1.4.4. teikti duomenis paskirtų įpareigojimų ūkio subjektui vykdymo kontrolei;

15.1.4.5. tvarkyti paskirtų įpareigojimų ūkio subjektui įvykdymo rezultatus;

15.1.4.6. pateikti peržiūrai pagal užklausas įvestus duomenis.

15.1.5. Administracinės teisės pažeidimų modulis, kurio paskirtis - apskaityti duomenis susijusius su Inspekcijos taikytomis nuobaudomis pagal administracinės teisės pažeidimus. Funkcijos:

15.1.5.1. kaupti, saugoti, tvarkyti protokolų ir nutarimų duomenis;

15.1.5.2. formuoti ir pateikti spausdinimui nustatytas dokumentų formas;

15.1.5.3. teikti duomenis paskirtų baudų apmokėjimo kontrolei;

15.1.5.4. tvarkyti duomenis apie baudų apmokėjimą.

15.1.5.5. pateikti peržiūrai pagal užklausas įvestus duomenis.

15.1.6. Visuomenės informavimo ir konsultavimo modulis, kurio paskirtis – apskaityti vykdytas visuomenės informavimo priemones. Funkcijos:

15.1.6.1. kaupti, saugoti, tvarkyti vykdytų visuomenės informavimo priemonių duomenis;

15.1.6.2. pateikti peržiūrai pagal užklausas įvestus duomenis apie visuomenės informavimą;

15.1.6.3. teikti ataskaitas apie visuomenės informavimą.

15.1.7. Konsultacinės medžiagos modulis, kurio paskirtis - kaupti ir valdyti konsultavimo informaciją. Funkcijos:

15.1.7.1. kaupti, saugoti, tvarkyti, sisteminti konsultacinių temų, klausimų ir atsakymų duomenis;

15.1.7.2. kaupti, saugoti duomenis apie teiktas konsultacijas, konsultacinės medžiagos naudojimo dažnumą (aktualumą), rezultatą/grįžtamąjį ryšį;

15.1.7.3. pateikti peržiūrai pagal užklausas įvestus duomenis;

15.1.7.4. teikti konsultacinės medžiagos sąvado aktualią redakciją Inspekcijos interneto svetainei.

15.1.8. Duomenų teikimo modulis, kurio paskirtis - teikti operatyvinius, statistinius ir suvestinius RIPRIS duomenis. Funkcijos:

15.1.8.1. automatinis ataskaitų formavimas ir pateikimas apie:

15.1.8.1.1. rinkos priežiūros rezultatus.

15.1.8.1.2. vartotojų skundų tyrimo rezultatus;

15.1.8.1.3. vykdytas visuomenės informavimo priemones;

15.1.8.1.4. Inspekcijos struktūrinio padalinio, inspektoriaus veiklos rezultatus;

15.1.8.1.5. importuotus iš trečių šalių gaminius;

15.1.8.1.6. vykdomus monitoringus (pagal ES teisės aktais nustatytas formas);

15.1.8.2. formuoti numatytą teikiamų duomenų paketą HTML, PDF formatu.

15.1.8.3. Sistemos administravimo modulis, kurio paskirtis - administruoti ir stebėti RIPRIS, valdyti duomenų kokybę. Funkcijos:

15.1.8.4. dokumentų formų šablonų valdymas;

15.1.8.5. RIPRIS duomenų kokybės valdymas;

15.1.8.6. pranešimų RIPRIS naudotojams teikimas;

15.1.8.7. RIPRIS naudotojų prieigos stebėsena;

15.1.8.8. RIPRIS administratoriaus veiklos stebėsena;

15.1.8.9. kitų RIPRIS parametrų administravimas.

15.1.9. Informacinių mainų modulis, kurio paskirtis - duomenų mainai su išoriniais šaltiniais, t.y. duomenų paketų, gautų iš kitų informacinių sistemų įkėlimas/formavimas. Funkcijos:

15.1.9.1. patikrinti numatytų importuoti duomenų (žr. 13.1-13.3 p.) formatą;

15.1.9.2. importuoti duomenis į RIPRIS duomenų bazę;

15.1.9.3. įkeltų duomenų peržiūra;

15.1.9.4. suformuoti numatytą eksportuojamų duomenų paketą;

15.1.9.5. pateikti suformuotus duomenis HTML, PDF arba XML formatu.

15.2. Klasifikatorių posistemė, kurios paskirtis - tvarkyti klasifikatorių duomenis. Funkcijos:

15.2.1. tvarkyti duomenis klasifikatoriuose;

15.2.2. pagal poreikį sukurti naują klasifikatorių.

15.3. RIPRIS naudotojų posistemė, kurios paskirtis - valdyti prieigą prie RIPRIS duomenų. Funkcijos:

15.3.1. tvarkyti Inspekcijos organizacinės struktūros duomenis;

15.3.2. tvarkyti RIPRIS naudotojų identifikavimo duomenis;

15.3.3. tvarkyti RIPRIS naudotojų teises ir roles.

V. RIPRIS DUOMENŲ TEIKIMAS IR NAUDOJIMAS

16. RIPRIS kaupiami duomenys yra vieši ir teikiami institucijoms, kitiems juridiniams ir fiziniams asmenims (toliau - duomenų gavėjai). Asmens duomenys teikiami Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo nustatyta tvarka.

17. Apdoroti ir susisteminti RIPRIS duomenys, išskyrus asmens duomenis, skelbiami Inspekcijos interneto Svetainėje.

18. RIPRIS duomenys duomenų gavėjams teikiami neatlygintinai.

19. RIPRIS duomenys duomenų gavėjams teikiami apdoroti skaitmenine arba popierine forma.

20. Duomenų gavėjas, norėdamas gauti neskelbiamus duomenis, teikia RIPRIS tvarkytojui prašymą (vienkartinio teikimo atveju), nurodydamas duomenų naudojimo tikslą, teikimo ir gavimo teisinį pagrindą ir prašomų duomenų apimtį, formą ir būdą. Jei prašomi asmens duomenys, tai turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo bei gavimo teisinis pagrindas ir prašomų pateikti asmens duomenų apimtis. Duomenų gavėjas negali asmens duomenų naudoti kitam tikslui, negu yra nustatyta duomenų teikimo prašyme.

21. Daugkartinio RIPRIS duomenų teikimo atveju duomenys teikiami pagal sudarytą duomenų teikimo sutartį tarp RIPRIS tvarkytojo ir duomenų gavėjo. Sutartyje nurodomas RIPRIS duomenų naudojimo tikslas, teikimo ir gavimo teisinis pagrindas, sąlygos, tvarka ir teikiamų duomenų apimtis, forma ir būdas. Jei prašomi asmens duomenys, tai turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo bei gavimo teisinis pagrindas ir prašomų pateikti asmens duomenų apimtis. Duomenų gavėjas negali asmens duomenų naudoti kitam tikslui, negu yra nustatyta duomenų teikimo sutartyje.

22. Duomenys duomenų gavėjams teikiami tokio turinio ir tokios formos, kurie Inspekcijoje jau naudojami ir nereikalauja papildomo duomenų apdorojimo. Jei teikiamų duomenų turinys ir forma neatitinka duomenų gavėjo poreikių, sprendimą dėl duomenų teikimo priima RIPRIS tvarkytojas.

23. RIPRIS tvarkytojo veiksmai gali būti skundžiami Lietuvos Respublikos įstatymų nustatyta tvarka.

24. Duomenų gavėjas, registro ar kitos valstybės informacinės sistemos tvarkytojas, duomenų subjektas bei kiti asmenys turi teisę reikalauti ištaisyti netikslius duomenis.

25. Nustačius, kad RIPRIS duomenys netikslūs, neteisingi ar neišsamūs, nedelsiant kreipiamasi į RIPRIS tvarkytoją su prašymu, pateikiamu asmeniškai, paštu ar elektroninių ryšių priemonėmis, nedelsiant ištaisyti netikslius, neteisingus ar neišsamius duomenis.

26. Ištaisęs duomenų netikslumus, RIPRIS tvarkytojas apie tai nedelsdamas informuoja prašymą pateikusį asmenį ir duomenų gavėjus, kuriems neteisingi, netikslūs ir neišsamūs duomenys perduoti.

27. Duomenys Europos Sąjungos valstybių narių ir (arba) Europos ekonominės trečiųjų šalių fiziniams ir juridiniams asmenims, juridinio statuso neturintiems subjektams, jų filialams ir atstovybėms teikiami Lietuvos Respublikos valstybės informacinių išteklių Valdymo įstatymo nustatyta tvarka.

VI. RIPRIS DUOMENŲ SAUGA

28. RIPRIS duomenų saugą nustato RIPRIS valdytojo patvirtinti RIPRIS duomenų saugos nuostatai (toliau - RIPRIS duomenų saugos nuostatai) ir kiti saugos politikos įgyvendinimo dokumentai, kurie parengti, suderinti ir patvirtinti, vadovaujantis Lietuvos Respublikos Vyriausybes 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“.

29. RIPRIS duomenų saugą organizuoja ir už RIPRIS duomenų saugą atsako RIPRIS valdytojas ir tvarkytojas.

30. Asmenys, dalyvaujantys tvarkant RIPRIS duomenis, privalo juos saugoti Nuostatų, RIPRIS duomenų saugos nuostatų, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo ir kitų teisės aktų, reglamentuojančių duomenų tvarkymą ir apsaugą, nustatyta tvarka. Asmenys, kurie tvarko asmens duomenis, privalo saugoti asmens duomenų paslaptį, jeigu šie asmens duomenys neskirti skelbti viešai, ir atsako už asmens duomenų paviešinimą teisės aktų nustatyta tvarka, taip pat ši pareiga galioja ir jiems pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas, pasibaigus jų darbo ar sutartiniams santykiams.

31. Asmens duomenų saugumas užtikrinamas vadovaujantis Bendraisiais reikalavimais organizacinėms ir techninėms asmens duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12).

32. Duomenų bazės duomenys, išskyrus asmens kodą, saugomi 10 metų. Senesni nei nustatytas terminas duomenys ištrinami iš RIPRIS duomenų bazės. Asmens kodas duomenų bazėje saugomas kol galioja paskirta nuobauda (1 metus nuo nuobaudos paskyrimo). Praėjus šiam terminui asmens kodas ištrinamas programinėmis priemonėmis. Asmens duomenys rezervinėse duomenų bazės kopijose saugomi tiek kiek saugomos kopijos, bet ne ilgiau kaip 1 mėnesį.

VII. RIPRIS FINANSAVIMAS

33. RIPRIS kūrimas finansuojamas iš Lietuvos Respublikos valstybės biudžeto.

34. RIPRIS eksploatacija, palaikymas ir plėtra finansuojama iš Lietuvos Respublikos valstybės biudžeto ir kitų finansavimo šaltinių lėšomis.

VIII. RIPRIS MODERNIZAVIMAS IR LIKVIDAVIMAS

35. RIPRIS modernizuojama arba likviduojama Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo, Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo ir kitų teisės aktų nustatyta tvarka.

36. Sprendimą dėl RIPRIS modernizavimo ar likvidavimo priima RIPRIS valdytojas.

37. Likviduojamos RIPRIS duomenys perduodami kitai valstybės informacinei sistemai, sunaikinami arba perduodami valstybės archyvui Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka.

IX. BAIGIAMOSIOS NUOSTATOS

38. Kiekvienas duomenų subjektas, kurio duomenys yra tvarkomi RIPRIS, turi teisę žinoti (būti informuotas) apie savo asmens duomenų tvarkymą, susipažinti su savo asmens duomenimis ir kaip jie tvarkomi, taip pat reikalauti ištaisyti, sunaikinti (nuasmeninti) savo asmens duomenis arba sustabdyti, išskyrus saugojimą, savo asmens duomenų tvarkymo veiksmus, kai duomenys tvarkomi nesilaikant įstatymų ir kitų teisės aktų nuostatų.

39. Duomenų subjekto teisės įgyvendinamos Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo nustatyta tvarka.

40. Už šių Nuostatų pažeidimus fiziniai ir juridiniai asmenys atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

___________________

PATVIRTINTA

Valstybinės ne maisto produktų inspekcijos prie Ūkio ministerijos viršininko 2015 m. rugsėjo 11 d. įsakymu Nr. 1R-101

VALSTYBINĖS NE MAISTO PRODUKTŲ INSPEKCIJOS PRIE ŪKIO MINISTERIJOS NE MAISTO PRODUKTŲ RINKOS PRIEŽIŪROS INFORMACINĖS SISTEMOS „RIPRIS“ DUOMENŲ SAUGOS NUOSTATAI

I. BENDROSIOS NUOSTATOS

1. Ne maisto produktų rinkos priežiūros informacinės sistemos „RIPRIS“ saugos nuostatai (toliau – saugos nuostatai) reglamentuoja Valstybinės ne maisto produktų inspekcijos prie Ūkio ministerijos (toliau – Inspekcija) Ne maisto produktų rinkos priežiūros informacinės sistemos „RIPRIS“ (toliau – RIPRIS) saugos politiką.

2. Saugos nuostatai parengti vadovaujantis Lietuvos Respublikos Vyriausybės patvirtintu 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“.

3. Saugos nuostatuose naudojamos sąvokos apibrėžtos Bendrųjų elektroninės saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, Lietuvos Respublikos informacinių išteklių valdymo įstatyme, kituose Lietuvos Respublikos įstatymuose ir Lietuvos standartuose LST ISO/IEC 27001:2006 ir LST ISO/IEC 27002:2009.

4. RIPRIS tvarkomos elektroninės informacijos saugos tikslas – sudaryti sąlygas saugiai automatizuotu būdu saugoti ir tvarkyti duomenis RIPRIS, užtikrinti duomenų konfidencialumą, vientisumą ir prieinamumą.

5. RIPRIS elektroninės informacijos saugos užtikrinimo prioritetinės kryptys:

5.1. RIPRIS duomenų konfidencialumo užtikrinimas;

5.2. RIPRIS reikalaujamo prieinamumo užtikrinimas;

5.3. Prieigos prie RIPRIS kontrolė;

5.4. RIPRIS naudotojų ir RIPRIS administratoriaus saugos mokymai.

6. Saugos nuostatai taikomi:

6.1. RIPRIS valdytojai ir tvarkytojai – Valstybinė ne maisto produktų inspekcija prie Ūkio ministerijos, Algirdo g. 31, LT-03219 Vilnius;

6.2. RIPRIS naudotojams;

6.3. RIPRIS administratoriui;

6.4. RIPRIS saugos įgaliotiniui.

7. RIPRIS valdytojo ir tvarkytojo vadovo funkcijos:

7.1. Rengia ir priima teisės aktus, užtikrinančius RIPRIS duomenų tvarkymo teisėtumą ir RIPRIS duomenų saugą, atlieka jų nuostatų laikymosi priežiūrą;

7.2. Analizuoja gaunamus pasiūlymus dėl RIPRIS duomenų saugos, juos apibendrina ir priima sprendimus dėl RIPRIS tobulinimo;

7.3. Vadovauja kuriant ir diegiant RIPRIS, taip pat užtikrinant jos veikimą, tobulinimą ir duomenų saugą;

7.4. Priima sprendimus dėl RIPRIS rizikos veiksnių vertinimo atlikimo;

7.5. Rašytiniu pavedimu skiria RIPRIS saugos įgaliotinį;

7.6. Rašytiniu pavedimu skiria RIPRIS administratorių;

7.7. Atlieka kitas RIPRIS saugos nuostatų, RIPRIS nuostatų ir kitų teisės aktų nustatytas funkcijas.

8. RIPRIS saugos įgaliotinio funkcijos:

8.1. Teikia RIPRIS valdytojui ir tvarkytojui pasiūlymus dėl:

8.1.1. Administratoriaus paskyrimo ir reikalavimų administratoriui nustatymo;

8.1.2. RIPRIS informacinių technologijų saugos atitikties vertinimo atlikimo;

8.2. Teikia RIPRIS valdytojo vadovui pasiūlymus dėl saugos dokumentų priėmimo, keitimo;

8.3. Koordinuoja įvykusių incidentų dėl RIPRIS elektroninės informacijos saugos tyrimą;

8.4. Teikia RIPRIS administratoriui privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu;

8.5. Periodiškai inicijuoja RIPRIS naudotojų mokymą informacijos saugos klausimais, informuoja RIPRIS administratorių ir naudotojus informacijos saugos klausimais;

8.6. Atsako už RIPRIS elektroninės informacijos saugos reikalavimų įgyvendinimą;

8.7. Supažindina RIPRIS administratorių ir RIPRIS naudotojus su saugos nuostatais, saugos dokumentų reikalavimais;

8.8. Atlieka kitas RIPRIS valdytojo ir tvarkytojo pavestas bei šiais saugos nuostatais jam priskirtas funkcijas.

8.9. Rengia ir saugo klientų srities saugai užtikrinti būtiną dokumentaciją;

8.10. Atsako už RIPRIS naudotojų informacijos saugos mokymų organizavimą;

8.11. Atsako už atsarginių RIPRIS duomenų kopijų darymo, atkūrimo ir už RIPRIS taikomosios programinės įrangos (aplikacijų) kopijų darymo organizavimą ir priežiūrą.

9. RIPRIS administratoriaus funkcijos:

9.1. Atsako už RIPRIS serverių srities funkcionavimą ir prieigų prie RIPRIS infrastruktūros išteklių teisių suteikimą;

9.2. Atlieka RIPRIS sudarančių komponentų (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų, ugniasienių, įsilaužimo aptikimo sistemų, duomenų perdavimo tinklų) sąranką, kuri atitiktų RIPRIS saugos dokumentų reikalavimus;

9.3. Pagal kompetenciją RIPRIS saugos įgaliotiniui teikia pasiūlymus dėl RIPRIS palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir RIPRIS elektroninės informacijos saugos užtikrinimo;

9.4. Informuoja RIPRIS saugos įgaliotinį apie elektroninės informacijos saugos incidentus ir teikia pasiūlymus dėl incidentų pašalinimo;

9.5. Atsako už atsarginių RIPRIS duomenų kopijų darymą ir atkūrimą bei už RIPRIS taikomosios programinės įrangos (aplikacijų) kopijų darymą;

9.6. Atlieka RIPRIS priežiūrą.

10. Teisės aktai, kuriais vadovaujamasi tvarkant RIPRIS elektroninę informaciją ir užtikrinant jos saugumą:

10.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

10.2. Bendrųjų elektroninės informacijos saugos reikalavimų aprašas;

10.3. Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašas;

10.4. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

10.5. Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832;

10.6. Bendrieji reikalavimai organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtinti Valstybės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms patvirtinimo“ (toliau – Bendrieji reikalavimai organizacinėms ir techninėms saugumo priemonėms);

10.7. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

10.8. Lietuvos standartai LST ISO/IEC 27002:2009 ir LST ISO/IEC 27001:2006 ir kiti Lietuvos ir tarptautiniai standartai, reglamentuojantys informacijos saugumą;

10.9. Kiti teisės aktai, reglamentuojantys elektroninės informacijos saugumą valstybės institucijose.

10.10. RIPRIS valdytojas ir tvarkytojas organizuoja ir užtikrina RIPRIS asmens duomenų saugą vadovaudamasis Bendraisiais reikalavimais organizacinėms ir techninėms duomenų saugumo priemonėms, Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, RIPRIS nuostatais ir RIPRIS saugos nuostatais bei imasi visų priemonių, kurios išvardintos minėtuose dokumentuose. RIPRIS duomenų sauga užtikrinamas kontroliuojant:

10.11. Prieigą prie įrangos ir duomenų (neleisti neįgaliotiems asmenims prieiti prie RIPRIS duomenų tvarkymui naudojamos duomenų apdorojimo įrangos; užtikrinti, kad asmenys, įgalioti naudotis RIPRIS programine įranga, galėtų prieiti tik prie tų duomenų, kuriuos apima jų prieigos leidimas);

10.12. Duomenų įvedimą, tvarkymą ir naudojimą (užtikrinti galimybę nustatyti, kas ir kada įvedė duomenis į RIPRIS; apriboti neleistiną duomenų įvedimą, keitimą, ištrynimą, peržiūrą ar kitą tvarkymą; užtikrinti, kad RIPRIS duomenų užklausos būtų registruojamos);

10.13. Kitas veiklas numatytas Lietuvos Respublikos teisės aktuose.

II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

11. Vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatyto gairių aprašu 4.3.1 ir 4.3.2 punktais, RIPRIS duomenys ir RIPRIS informacija pagal svarbą priskiriama prie žinybinės svarbos elektroninės informacijos kategorijos.

12. Vadovaujantis Bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms 7.3 punktu, dėl galimybės per išorinius duomenų perdavimo tinklus tvarkyti RIPRIS saugomus asmens duomenis, RIPRIS priskiriamas trečias saugumo lygis.

13. Pagrindinės nuostatos dėl rizikos veiksnių vertinimo:

13.1. RIPRIS rizikos vertinimą inicijuoja Inspekcija;

13.2. RIPRIS rizika nustatoma periodinio rizikos vertinimo metu;

13.3. RIPRIS rizikos vertinimas atliekamas ne rečiau kaip kartą per metus;

13.4. RIPRIS saugos įgaliotinis yra atsakingas už RIPRIS rizikos vertinimo atlikimo organizavimą;

13.5. RIPRIS rizikos veiksniai vertinami taikant kokybinę rizikos vertinimo metodiką;

13.6. RIPRIS rizikos vertinimas atliekamas vadovaujantis:

13.6.1. Lietuvos Respublikos duomenų saugą reglamentuojančiais teisės aktų reikalavimais;

13.6.2. Lietuvos ir tarptautiniuose grupės standartuose „Informacijos technologija. Saugumo technika“ pateiktomis rekomendacijomis;

13.6.3. Lietuvos Respublikos vidaus reikalų ministerijos išleista metodine priemone „Rizikos analizės vadovas“.

14. RIPRIS rizikos įvertinimas išdėstomas rizikos įvertinimo ataskaitoje. RIPRIS rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos RIPRIS informacijos saugai. Svarbiausi rizikos veiksniai:

14.1. Subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);

14.2. Subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacine sistema elektroninei informacijai gauti, elektroninės informacijos pateikimas ar sunaikinimas, informacinių technologijų perdavimo tinklų sutrikdymai, saugumo pažeidimai, vagystės ir kita);

14.3. Veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms, taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840, 3 punkte.

15. RIPRIS valdytoja ir tvarkytoja, atsižvelgdama į RIPRIS rizikos įvertinimo ataskaitą, prireikus tvirtina RIPRIS saugos įgaliotinio parengtą rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

16. Siekiant užtikrinti saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose teisės aktuose išdėstytų nuostatų įgyvendinimo kontrolę, RIPRIS saugos įgaliotinis ne rečiau kaip kartą per 2 metus organizuoja RIPRIS informacinių technologijų saugos atitikties vertinimą, kurio metu:

16.1. Įvertinama saugos nuostatų ir kitų saugos politiką įgyvendinančių teisės aktų atitiktis realiai RIPRIS duomenų saugos situacijai;

16.2. Inventorizuojama RIPRIS techninė ir programinė įranga;

16.3. Patikrinama ne mažiau kaip 10 procentų atsitiktinai parinktų RIPRIS naudotojų kompiuterinių darbo vietų, ir visose tarnybinėse stotyse įdiegtos programos ir jų sąranka;

16.4. Patikrinama RIPRIS naudotojams suteiktų teisių ir vykdomų funkcijų atitiktis;

16.5. Įvertinamas pasirengimas užtikrinti RIPRIS veiklos tęstinumą įvykus saugos incidentui;

16.6. Įvertinama, ar laikomasi Bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms ir Informacinių sistemų saugos atitikties vertinimo metodikos nuostatų.

17. RIPRIS valdytoja ir tvarkytoja, atsižvelgdama į RIPRIS informacinių technologijų saugos reikalavimų atitikties vertinimo rezultatus, prireikus tvirtina RIPRIS saugos įgaliotinio parengtą pastebėtų trūkumų šalinimo planą, kuriame nurodomi atsakingi vykdytojai ir nustatomi numatytų priemonių įgyvendinimo terminai.

18. RIPRIS saugai užtikrinti naudojamos priemonės parengtos vadovaujantis:

18.1. Elektroninės informacijos saugą reglamentuojančių Lietuvos Respublikos teisės aktų reikalavimais, kurie nustato būtinas priemones pagal informacinei sistemai paskirtą saugos kategoriją;

18.2. Lietuvos standarte LST ISO/IEC 27002:2009 pateiktomis rekomendacijomis ir siūlymais.

III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

19. Metodai ir priemonės, kurie taikomi užtikrinant prieiga prie RIPRIS:

19.1. Prieigos prie RIPRIS teises suteikia RIPRIS administratorius. Pasikeitus RIPRIS naudotojo pareigoms ar atliekamoms užduotims, suteikta prieiga turi būti nedelsiant nutraukiama. RIPRIS naudotojams suteiktos prieigos teisės periodiškai, bet ne rečiau kaip kartą per metus, turi būti peržiūrimos, siekiant nustatyti ir pašalinti subjektus, kuriems prieigos prie RIPRIS teisės turi būti panaikintos ar pakeistos. Už periodinę RIPRIS naudotojų teisių peržiūrą atsakingas RIPRIS saugos įgaliotinis;

19.2. Prieš suteikiant prieigą, RIPRIS administratorius privalo įsitikinti, kad RIPRIS naudotojas pasirašytinai yra susipažinęs su informacijos saugos dokumentais bei žino savo atsakomybę tvarkant ir naudojant RIPRIS duomenis;

19.3. Kiekvienas RIPRIS naudotojas sistemoje turi būti unikaliai atpažįstamas pagal jam suteiktą ir atitinkamą slaptažodį;

19.4. RIPRIS naudotojų prieigai prie RIPRIS naudojamas šifruotas HTTPS duomenų perdavimo protokolas bei interneto naršyklė.

20. Programinės įrangos, skirtos apsaugoti RIPRIS nuo kenksmingos programinės įrangos, naudojimo nuostatos:

20.1. RIPRIS funkcionuoti būtina tarnybinių stočių ir RIPRIS naudotojų kompiuteriuose esanti programinė įranga (operacinės sistemos, duomenų bazių ir aplikacijų valdymo programinė įranga, interneto naršyklės, interneto naršyklių priedai ir kt.) turi būti konfigūruojama laikantis programinės įrangos gamintojų saugaus konfigūravimo rekomendacijomis. Už tarnybinių stočių programinės įrangos kontrolę atsakingas RIPRIS administratorius;

20.2. RIPRIS funkcionuoti būtina tarnybinių stočių ir RIPRIS naudotojų kompiuteriuose esanti programinė įranga turi būti atnaujinama ne vėliau kaip per 5 darbo dienas po programinės įrangos gamintojų pranešimo apie programinės įrangos atnaujinimą. Už atnaujinimų atlikimo kontrolę atsakingas RIPRIS administratorius;

20.3. RIPRIS naudotojų kompiuteriuose prieigos teisės turi būti apribojamos iki minimalių, būtinų darbo užduotims atlikti teisių;

20.4. RIPRIS naudotojų kompiuteriuose turi būti naudojama antivirusinė programinė įranga, apsauganti nuo kenksmingų programų, įskaitant elektroninio pašto apsaugą. Antivirusinė įranga periodiškai, ne rečiau kaip kartą per savaitę, turi būti automatiškai atnaujinama.

21. Programinės įrangos naudojimo ribojimo nuostatos:

21.1. RIPRIS tarnybinėse stotyse neturi veikti programinė įranga, kuri nėra autorizuota RIPRIS saugos įgaliotinio;

21.2. Periodiškai, bet ne rečiau kaip kartą per metus, turi būti atliekamas RIPRIS tarnybinėse stotyse naudojamos programinės įrangos auditas, kurį inicijuoja RIPRIS saugos įgaliotinis.

22. Kompiuterių tinklo filtravimo įrangos naudojimo nuostatos:

22.1. RIPRIS naudotojų elektroninės informacijos perdavimo tinklas turi būti atskirtas nuo viešųjų telekomunikacijos tinklų naudojant užkardą;

22.2. Konfigūruojant RIPRIS naudotojų elektroninės informacijos perdavimo tinklo ugniasienes turi būti naudojami tik organizacijos veiklai būtini tinklo protokolai ir ugniasienių prievadai;

22.3. Už RIPRIS tarnybinių stočių tinklo ugniasienių administravimą, priežiūrą, operacinės sistemos atnaujinimą ir saugią ugniasienių konfigūraciją atsakingas RIPRIS administratorius;

22.4. RIPRIS tarnybinių stočių tinklo ugniasienių konfigūracijos aprašymas (ugniasienių taisyklės) saugomos pas RIPRIS saugos įgaliotinį. Ugniasienių konfigūracija peržiūrima ne rečiau kaip kartą per metus. Peržiūrą inicijuoja RIPRIS saugos įgaliotinis.

23. Leistinos kompiuterių naudojimo ribos:

23.1. Stacionarūs ir nešiojamieji RIPRIS naudotojų kompiuteriai privalo būti naudojami tik su tiesioginių pareigų atlikimu susijusiai veiklai atlikti. Iš kompiuterių, kurie perduodami remontui ar techniniam aptarnavimui, turi būti pašalinta visa riboto naudojimo RIPRIS elektroninė informacija;

24. Metodai, kurie leidžiami užtikrinti saugų RIPRIS elektroninės informacijos teikimą ir (ar) gavimą:

24.1. RIPRIS duomenys perduodami automatiniu būdu TCP/IP protokolu realiu laiku arba asinchroniniu režimu pagal RIPRIS duomenų teikimo ir gavimo sutartis, kuriose nustatytos perduodamų duomenų specifikacijos, perdavimo sąlygos ir tvarka;

24.2. Už duomenų teikimo ir gavimo sutartyse nurodomų saugos reikalavimų nustatymą, suformulavimą ir įgyvendinimo organizavimą atsakingas RIPRIS saugos įgaliotinis.

25. Pagrindiniai atsarginių RIPRIS duomenų kopijų darymo ir atkūrimo reikalavimai:

25.1. Atsarginių RIPRIS duomenų kopijų darymas ir atkūrimas turi būti atliekamas laikantis Lietuvos Respublikos teisės aktų nustatytų reikalavimų;

25.2. Atsarginės RIPRIS duomenų bazės kopijos programinėmis priemonėmis daromos kiekvieną darbo dieną;

25.3. Atsarginės RIPRIS aplikacijų kopijos programinėmis priemonėmis daromos kartą į savaitę ir po programinių atnaujinimų;

25.4. Atsarginių kopijų laikmenos yra pažymimos taip, kad jas būtų galima atpažinti;

25.5. RIPRIS duomenų atkūrimas iš atsarginių kopijų turi būti periodiškai (ne rečiau kaip kartą per metus) išbandomas. Bandymų eiga ir rezultatai įforminti atsarginių RIPRIS duomenų kopijų atkūrimo išbandymo žurnale;

25.6. Už atsarginių RIPRIS duomenų kopijų darymą ir atkūrimą ir už RIPRIS taikomosios programinės įrangos (aplikacijų) kopijų darymą atsakingas RIPRIS administratorius.

IV. REIKALAVIMAI PERSONALUI

26. RIPRIS saugos įgaliotinis privalo išmanyti informacinės saugos užtikrinimo principus, savo darbe vadovautis saugos dokumentais bei kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, standartais ir kitais dokumentais, reglamentuojančiais saugų duomenų tvarkymą, sugebėti prižiūrėti, kaip įgyvendinama RIPRIS saugos politika.

27. RIPRIS administratorius privalo išmanyti RIPRIS informacijos saugos politikos principus, darbą su duomenų perdavimo tinklais, mokėti užtikrinti jų saugą, taip pat administruoti ir prižiūrėti informacines sistemas, turi būti susipažinęs su šiais saugos nuostatais ir kitais susijusiais saugos dokumentais.

28. RIPRIS naudotojai turi turėti naudojimosi kompiuteriu įgūdžių, būti susipažinę su šiais saugos nuostatais ir kitais susijusiais saugos dokumentais.

29. Saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninio ryšio tinklo darbui, savavališką prisijungimą prie elektroninių ryšių infrastruktūros įrenginio arba savavališką naudojimą ir apsaugos sąlygų bei taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.

30. RIPRIS naudotojų informacijos saugos mokymai ir žinių atnaujinimas atliekamas kasmet.

31. Už RIPRIS naudotojų informacijos saugos mokymą ir žinių atnaujinimą atsakingas RIPRIS saugos įgaliotinis.

V. NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

32. Visi RIPRIS naudotojai privalo būti pasirašytinai supažindinti su RIPRIS saugos dokumentais, savo pareigomis ir atsakomybę, susijusią su RIPRIS informacijos sauga.

33. Už RIPRIS naudotojų pasirašytiną supažindinimą su saugos dokumentais, savo pareigomis ir atsakomybę, susijusią su RIPRIS informacijos sauga, atsakingas RIPRIS saugos įgaliotinis.

VI. BAIGIAMOSIOS NUOSTATOS

34. RIPRIS duomenų saugos nuostatai privalomi RIPRIS valdytojos ir tvarkytojos darbuotojams, RIPRIS naudotojams, RIPRIS administratoriui bei RIPRIS saugos įgaliotiniui, kurie tvarko RIPRIS kaupiamus duomenis.

35. Asmenys, pažeidę šiuos saugos nuostatus, atsako teisės aktų nustatyta tvarka.

36. Šių saugos nuostatų ir kitos susijusios saugos dokumentacijos peržiūrą ar keitimą inicijuoja RIPRIS valdytoja ir tvarkytoja.

_____________________