LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRO

PATVIRTINTA

Nacionalinio visuomenės sveikatos centro prie Sveikatos apsaugos ministerijos direktoriaus

2023 m. liepos 20 d. įsakymu Nr. VKE-220

VISUOMENĖS SVEIKATOS SAUGOS INFORMACINĖS SISTEMOS NUOSTATAI

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Visuomenės sveikatos saugos informacinės sistemos nuostatai (toliau – Nuostatai) reglamentuoja Visuomenės sveikatos saugos informacinės sistemos (toliau – Informacinė sistema) steigimo teisinį pagrindą, tikslą, uždavinius, funkcijas, Informacinės sistemos organizacinę, informacinę ir funkcinę struktūrą, asmens duomenų tvarkymo tikslą, Informacinės sistemos duomenų tvarkymo, teikimo ir naudojimo tvarką, Informacinėje sistemoje tvarkomų duomenų saugą, Informacinės sistemos finansavimą, modernizavimą ir likvidavimą.

2. Informacinės sistemos steigimo teisinis pagrindas – Lietuvos Respublikos visuomenės sveikatos priežiūros įstatymo 15 straipsnis.

3. Informacinės sistemos veiklos sritį reglamentuojantys teisės aktai, kuriais vadovaujantis kuriama ir tvarkoma Informacinė sistema:

3.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679);

3.2. Lietuvos Respublikos administracinių nusižengimų kodeksas;

3.3. Lietuvos Respublikos aplinkos apsaugos įstatymas;

3.4. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

3.5. Lietuvos Respublikos geriamojo vandens įstatymas;

3.6. Lietuvos Respublikos kibernetinio saugumo įstatymas;

3.7. Lietuvos Respublikos planuojamos ūkinės veiklos poveikio aplinkai vertinimo įstatymas;

3.8. Lietuvos Respublikos produktų saugos įstatymas;

3.9. Lietuvos Respublikos rinkliavų įstatymas;

3.10. Lietuvos Respublikos specialiųjų žemės naudojimo sąlygų įstatymas;

3.11. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

3.12. Lietuvos Respublikos viešojo administravimo įstatymas;

3.13. Visuomenės sveikatos priežiūros įstatymas;

3.14. Asmenų prašymų ir skundų nagrinėjimo viešojo administravimo subjektuose taisyklės, patvirtintos Lietuvos Respublikos Vyriausybės 2007 m. rugpjūčio 22 d. nutarimu Nr. 875 „Dėl Asmenų prašymų ir skundų nagrinėjimo viešojo administravimo subjektuose taisyklių patvirtinimo“;

3.15. Bendrųjų elektroninės informacijos saugos reikalavimų aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

3.16. Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“;

3.17. Duomenų teikimo formatų ir standartų rekomendacijos, patvirtintos Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos direktoriaus 2013 m. kovo 25 d. įsakymu Nr. T-36 „Dėl Duomenų teikimo formatų ir standartų rekomendacijų patvirtinimo“;

3.18. Geriamojo vandens saugos išlygų taikymo tvarkos aprašas, patvirtintas Lietuvos Respublikos sveikatos apsaugos ministro 2023 m. sausio 26 d. įsakymu Nr. V-120 „Dėl Geriamojo vandens saugos išlygų taikymo tvarkos aprašo patvirtinimo“;

3.19. Leidimų-higienos pasų išdavimo taisyklės, patvirtintos Lietuvos Respublikos sveikatos apsaugos ministro 2010 m. liepos 13 d. įsakymu Nr. V-632 „Dėl Leidimų-higienos pasų išdavimo taisyklių patvirtinimo“;

3.20. Licencijuojamos visuomenės sveikatos priežiūros veiklos priežiūros tvarkos aprašas, patvirtintas Lietuvos Respublikos sveikatos apsaugos ministro 2009 m. gruodžio 30 d. įsakymu Nr. V-1116 „Dėl Licencijuojamos visuomenės sveikatos priežiūros veiklos kontrolės tvarkos aprašo patvirtinimo“;

3.21. Lietuvos Respublikos planuojamos ūkinės veiklos poveikio aplinkai vertinimo įstatyme nenumatytų poveikio visuomenės sveikatai vertinimo atlikimo atvejų tvarkos aprašas, pavirtintas Lietuvos Respublikos sveikatos apsaugos ministro 2011 m. gegužės 13 d. įsakymu Nr. V- 474 „Dėl Lietuvos Respublikos planuojamos ūkinės veiklos poveikio aplinkai vertinimo įstatyme nenumatytų poveikio visuomenės sveikatai vertinimo atlikimo atvejų nustatymo ir tvarkos aprašo patvirtinimo ir įgaliojimų suteikimo“;

3.22. Lietuvos Respublikos sveikatos apsaugos ministro 2011 m. liepos 7 d. įsakymas Nr. V-669 „Dėl apsinuodijimų nitritais ir nitratais diagnostikos ir profilaktikos“;

3.23. Nacionalinio visuomenės sveikatos centro prie Sveikatos apsaugos ministerijos nuostatai, patvirtinti Lietuvos Respublikos sveikatos apsaugos ministro 2015 m. rugsėjo 18 d. įsakymu Nr. V-1058 „Dėl Nacionalinio visuomenės sveikatos centro prie Sveikatos apsaugos ministerijos nuostatų patvirtinimo“;

3.24. Radiotechninio objekto radiotechninės dalies projekto ir elektromagnetinės spinduliuotės stebėsenos plano derinimo tvarkos aprašas, patvirtintas Lietuvos Respublikos sveikatos apsaugos ministro 2011 m. kovo 2 d. įsakymu Nr. V-200 „Dėl Radiotechninio objekto radiotechninės dalies projekto ir elektromagnetinės spinduliuotės stebėsenos plano derinimo tvarkos aprašo patvirtinimo“;

3.25. Taršos integruotos prevencijos ir kontrolės leidimų išdavimo, pakeitimo ir galiojimo panaikinimo taisyklės, patvirtintos Lietuvos Respublikos aplinkos ministro 2013 m. liepos 15 d. įsakymu Nr. D1-528 „Dėl Taršos integruotos prevencijos ir kontrolės leidimų išdavimo, pakeitimo ir galiojimo panaikinimo taisyklių patvirtinimo“;

3.26. Taršos leidimų išdavimo, pakeitimo ir galiojimo panaikinimo taisyklės, patvirtintos Lietuvos Respublikos aplinkos ministro 2014 m. kovo 6 d. įsakymu Nr. D1-259 „Dėl Taršos leidimų išdavimo, pakeitimo ir galiojimo panaikinimo taisyklių patvirtinimo“;

3.27. Tiesioginės valstybinės visuomenės sveikatos saugos kontrolės reglamentas, patvirtintas Lietuvos Respublikos sveikatos apsaugos ministro 2010 m. spalio 28 d. įsakymu Nr. V- 946 „Dėl Tiesioginės valstybinės visuomenės sveikatos saugos kontrolės reglamento patvirtinimo“;

3.28. Statybos techninis reglamentas STR 1.05.01:2017 „Statybą leidžiantys dokumentai. Statybos užbaigimas. Nebaigto statinio registravimas ir perleidimas. Statybos sustabdymas. Savavališkos statybos padarinių šalinimas. Statybos pagal neteisėtai išduotą statybą leidžiantį dokumentą padarinių šalinimas“, patvirtintas Lietuvos Respublikos aplinkos ministro 2016 m. gruodžio 12 d. įsakymu Nr. D1-878 „Dėl statybos techninio reglamento STR 1.05.01:2017 „Statybą leidžiantys dokumentai. Statybos užbaigimas. Nebaigto statinio registravimas ir perleidimas. Statybos sustabdymas. Savavališkos statybos padarinių šalinimas. Statybos pagal neteisėtai išduotą statybą leidžiantį dokumentą padarinių šalinimas“ patvirtinimo“;

3.29. Visuomenės sveikatos priežiūros veiklos licencijavimo taisyklės, patvirtintos Lietuvos Respublikos sveikatos apsaugos ministro 2010 m. spalio 1 d. įsakymu Nr. V-868 „Dėl Visuomenės sveikatos priežiūros veiklos licencijavimo nuostatų patvirtinimo“.

4. Nuostatuose naudojamos sąvokos atitinka sąvokas, nurodytas Nuostatų 3 punkte išvardintuose teisės aktuose.

5. Informacinės sistemos tikslas – informacinių technologijų priemonėmis surinkti, susisteminti, apdoroti ir pateikti analizei Nacionalinio visuomenės sveikatos centro prie Sveikatos apsaugos ministerijos (toliau – NVSC) vykdomos ūkio subjektų priežiūros, suteiktų administracinių paslaugų ir konsultavimo duomenis.

6. Informacinės sistemos uždaviniai:

6.1. surinkti NVSC vykdomos ūkio subjektų priežiūros, leidimų-higienos pasų išdavimo, patikslinimo, galiojimo panaikinimo, galiojimo sustabdymo ir galiojimo sustabdymo panaikinimo, skundų / prašymų (toliau – skundai) nagrinėjimo, konsultacijų teikimo procedūrų, radiotechninių objektų radiotechninės dalies projektų, elektromagnetinės spinduliuotės stebėsenos planų derinimo, radiotechninių objektų operatorių vykdomos elektromagnetinės spinduliuotės stebėsenos, poveikio visuomenės sveikatai vertinimo (toliau – PVSV) ataskaitų nagrinėjimo, sprendimų dėl planuojamos ūkinės veiklos (toliau – PŪV) galimybių, paraiškų gauti ar pakeisti taršos leidimą su specialiąja dalimi „Kvapų valdymas“ (toliau – taršos leidimas), taršos leidimų vertinimo (nustatomų sąlygų kvapų valdymo srityje), paraiškų gauti ar pakeisti Taršos integruotos prevencijos ir kontrolės (toliau – TIPK) leidimą, TIPK leidimų vertinimo (nustatomų sąlygų dėl triukšmo ir kvapų valdymo), geriamojo vandens, kurį maistui naudoja nėščiosios ar kūdikiai iki 6 mėnesių amžiaus ir kuriuo individualiai apsirūpinama iš požeminio vandens telkinių nuosavybės teise ar kitaip valdomais / naudojamais įrenginiais, nitritų ir nitratų kiekio tyrimų, geriamojo vandens kokybės tyrimų išvadų (statybos užbaigimo procedūros) ir leidimų taikyti geriamojo vandens saugos išlygas duomenis;

6.2. automatizuoti NVSC vykdomos ūkio subjektų priežiūros, leidimų-higienos pasų išdavimo, patikslinimo, galiojimo panaikinimo, galiojimo sustabdymo ir galiojimo sustabdymo panaikinimo, skundų nagrinėjimo, konsultacijų teikimo procedūrų, radiotechninių objektų radiotechninės dalies projektų, elektromagnetinės spinduliuotės stebėsenos planų derinimo, radiotechninių objektų operatorių vykdomos elektromagnetinės spinduliuotės stebėsenos, PVSV ataskaitų nagrinėjimo, sprendimų dėl PŪV galimybių, paraiškų gauti ar pakeisti taršos leidimą, taršos leidimų vertinimo (nustatomų sąlygų kvapų valdymo srityje), paraiškų gauti ar pakeisti TIPK leidimą, TIPK leidimų vertinimo (nustatomų sąlygų dėl triukšmo ir kvapų valdymo), geriamojo vandens, kurį maistui naudoja nėščiosios ar kūdikiai iki 6 mėnesių amžiaus ir kuriuo individualiai apsirūpinama iš požeminio vandens telkinių nuosavybės teise ar kitaip valdomais / naudojamais įrenginiais, nitritų ir nitratų kiekio tyrimų, geriamojo vandens kokybės tyrimų išvadų (statybos užbaigimo procedūros) ir leidimų taikyti geriamojo vandens saugos išlygas duomenų apskaitą, tvarkymą, informacijos apdorojimą.

7. Informacinės sistemos funkcijos:

7.1. kaupti, sisteminti, apdoroti ūkio subjektų priežiūros, leidimų-higienos pasų išdavimo, patikslinimo, galiojimo panaikinimo, galiojimo sustabdymo ir galiojimo sustabdymo panaikinimo, skundų nagrinėjimo, konsultacijų teikimo procedūrų, radiotechninių objektų radiotechninės dalies projektų, elektromagnetinės spinduliuotės stebėsenos planų derinimo, radiotechninių objektų operatorių vykdomos elektromagnetinės spinduliuotės stebėsenos, PVSV ataskaitų nagrinėjimo, sprendimų dėl PŪV galimybių, paraiškų gauti ar pakeisti taršos leidimą, taršos leidimų vertinimo (nustatomų sąlygų kvapų valdymo srityje), paraiškų gauti ar pakeisti TIPK leidimą, TIPK leidimų vertinimo (nustatomų sąlygų dėl triukšmo ir kvapų valdymo), geriamojo vandens, kurį maistui naudoja nėščiosios ar kūdikiai iki 6 mėnesių amžiaus ir kuriuo individualiai apsirūpinama iš požeminio vandens telkinių nuosavybės teise ar kitaip valdomais / naudojamais įrenginiais, nitritų ir nitratų kiekio tyrimų, geriamojo vandens kokybės tyrimų išvadų (statybos užbaigimo procedūros) ir leidimų taikyti geriamojo vandens saugos išlygas duomenis;

7.2. vykdyti ūkio subjektų priežiūros, leidimų-higienos pasų išdavimo, patikslinimo, galiojimo panaikinimo, galiojimo sustabdymo ir galiojimo sustabdymo panaikinimo, skundų nagrinėjimo, konsultacijų teikimo procedūrų, radiotechninių objektų radiotechninės dalies projektų, elektromagnetinės spinduliuotės stebėsenos planų derinimo, radiotechninių objektų operatorių vykdomos elektromagnetinės spinduliuotės stebėsenos, PVSV ataskaitų nagrinėjimo, sprendimų dėl PŪV galimybių, paraiškų gauti ar pakeisti taršos leidimą, taršos leidimų vertinimo (nustatomų sąlygų kvapų valdymo srityje), paraiškų gauti ar pakeisti TIPK leidimą, TIPK leidimų vertinimo (nustatomų sąlygų dėl triukšmo ir kvapų valdymo), geriamojo vandens, kurį maistui naudoja nėščiosios ar kūdikiai iki 6 mėnesių amžiaus ir kuriuo individualiai apsirūpinama iš požeminio vandens telkinių nuosavybės teise ar kitaip valdomais / naudojamais įrenginiais, nitritų ir nitratų kiekio tyrimų, geriamojo vandens kokybės tyrimų išvadų (statybos užbaigimo procedūros) ir leidimų taikyti geriamojo vandens saugos išlygas duomenų mainus;

7.3. formuoti ataskaitas ir ūkio subjektų priežiūros planus;

7.4. pateikti informaciją NVSC interneto svetainėje apie ūkio subjektų priežiūros rezultatus, ūkio subjektų priežiūros planus, išduotus leidimus-higienos pasus, leidimų-higienos pasų galiojimo sustabdymą ir panaikinimą, radiotechninių objektų radiotechninės dalies projektus, elektromagnetinės spinduliuotės stebėsenos planų derinimą, radiotechninių objektų operatorių vykdomą elektromagnetinės spinduliuotės stebėseną, PVSV ataskaitas, priimtus sprendimus dėl PŪV galimybių, išduotus leidimus taikyti geriamojo vandens saugos išlygas.

8. Asmens duomenų tvarkymo Informacinėje sistemoje tikslas – planuoti ir organizuoti NVSC ūkio subjektų priežiūrą, teikiamas administracines paslaugas ir konsultavimą; vykdyti atliktų priežiūros veiksmų, suteiktų paslaugų ir konsultacijų kokybės vertinimą, priežiūrą ir kontrolę bei naudotojų identifikavimą ir prieigos teisių administravimą.

II SKYRIUS

InformacinėS sistemOS ORGANIZACINĖ STRUKTŪRA

9. Informacinės sistemos valdytojas ir tvarkytojas – NVSC, kuris yra ir Informacinėje sistemoje tvarkomų asmens duomenų valdytojas.

10. Informacinės sistemos valdytojas ir tvarkytojas:

10.1. atlieka Reglamento (ES) 2016/679 nustatytas duomenų valdytojo prievoles, Valstybės informacinių išteklių valdymo įstatymo nustatytas funkcijas, turi šiuose teisės aktuose nurodytas teises ir pareigas;

10.2. priima sprendimus dėl Informacinės sistemos plėtros, likvidavimo, modernizavimo, priežiūros, administravimo, kontroliuoja sprendimų vykdymą;

10.3. rengia ir priima teisės aktus, susijusius su Informacinės sistemos veikla, informacinių ir ryšių technologijų infrastruktūra;

10.4. atsako už Informacinės sistemos saugos užtikrinimui reikalingų finansinių ir kitų išteklių skyrimą laiku;

10.5. atlieka kitas Nuostatuose ir kituose teisės aktuose, susijusiuose su Informacinės sistemos valdymu ir tvarkymu, nustatytas funkcijas;

10.6. tvarko Informacinės sistemos duomenis (tarp jų – ir asmens, asmens kodo duomenis) Nuostatuose ir kituose teisės aktuose, reglamentuojančiuose Informacinės sistemos veiklą, nustatyta tvarka;

10.7. užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą;

10.8. vadovaudamasis Nuostatais, kitais teisės aktais, reglamentuojančiais Informacinės sistemos saugą, imasi visų priemonių, kurių reikalaujama pagal Reglamento (ES) 2016/679 32 straipsnį – techninėmis ir organizacinėmis priemonėmis užtikrina Informacinės sistemos saugą, Informacinės sistemos tvarkomų asmens duomenų konfidencialumą, vientisumą ir prieinamumą, apsaugą nuo netyčinio arba neteisėto sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jų ir nuo bet kokio kito neteisėto tvarkymo, taip pat saugų duomenų perdavimą kompiuteriniais tinklais;

10.9. užtikrina duomenų subjektų teisių, nustatytų Reglamento (ES) 2016/679 III skyriuje, įgyvendinimą pagal Duomenų subjektų teisių įgyvendinimo tvarkant asmens duomenis Nacionalinio visuomenės sveikatos centro prie Sveikatos apsaugos ministerijos valdomose informacinėse sistemose tvarkos aprašą, patvirtintą Nacionalinio visuomenės sveikatos centro prie Sveikatos apsaugos ministerijos direktoriaus 2023 m. kovo 13 d. įsakymu Nr. VKE-73 „Dėl Duomenų subjektų teisių įgyvendinimo tvarkant asmens duomenis Nacionalinio visuomenės sveikatos centro prie Sveikatos apsaugos ministerijos valdomuose informacinėse sistemose tvarkos aprašo patvirtinimo“;

10.10. Nuostatų, kitų teisės aktų, reglamentuojančių Informacinės sistemos veiklą, nustatyta tvarka užtikrina, kad būtų laikomasi Reglamento (ES) 2016/679 32–36 straipsniuose nustatytų prievolių, atsižvelgdamas į asmens duomenų tvarkymo pobūdį ir turimą informaciją;

10.11. teikia pranešimus apie asmens duomenų saugumo pažeidimus asmens duomenų priežiūros institucijai ir duomenų subjektui bei atlieka kitas reikalingas asmens duomenų saugumo pažeidimų valdymo procedūras pagal Asmens duomenų saugumo pažeidimų valdymo tvarkos aprašą, patvirtintą Nacionalinio visuomenės sveikatos centro prie Sveikatos apsaugos ministerijos direktoriaus 2019 m. gruodžio 30 d. įsakymu „Dėl Asmens duomenų saugumo pažeidimų valdymo tvarkos aprašo patvirtinimo“;

10.12. užtikrina Informacinės sistemos veikimui ir duomenų mainams su kitomis informacinėmis sistemomis būtinos techninės ir programinės įrangos įdiegimą, nepertraukiamą funkcionavimą ir atnaujinimą;

10.13. organizuoja Informacinės sistemos eksploatavimui, priežiūrai ir plėtrai skirtų funkcinių, techninių, programinių priemonių įsigijimą, diegimą ir modernizavimą;

10.14. koordinuoja ir administruoja Informacinės sistemos duomenų tvarkymą, keitimąsi duomenimis ir jų apskaitą;

10.15. organizuoja Informacinės sistemos naudotojų, duomenų teikėjų ir duomenų gavėjų konsultavimą su Informacinės sistemos veikla susijusiais klausimais;

10.16. organizuoja Informacinės sistemos naudotojų mokymą;

10.17. įgyvendina administracines, technines, programines ir organizacines Informacinės sistemos ir joje tvarkomos elektroninės informacijos saugumo užtikrinimo priemones ir procedūras, užtikrina jų funkcionavimą, atlieka jų valdymą;

10.18. užtikrina Informacinės sistemos duomenų tvarkymo teisėtumą ir duomenų patikimumą;

10.19. sudaro duomenų teikimo sutartis su duomenų teikėjais ir duomenų gavėjais;

10.20. administruoja Informacinės sistemos duomenų saugyklą, duomenų archyvą ir užtikrina jų saugą;

10.21. inventorizuoja Informacinės sistemos duomenis ir sudaro Informacinės sistemos duomenų rinkinius, kaip tai apibrėžta Lietuvos Respublikos teisės gauti informaciją ir duomenų pakartotinio naudojimo įstatyme;

10.22. užtikrina, kad sudaryti Informacinės sistemos duomenų rinkiniai būtų pateikti skelbti Lietuvos atvirų duomenų portale Teisės gauti informaciją ir duomenų pakartotinio naudojimo įstatymo ir šio portalo nuostatų nustatyta tvarka;

10.23. užtikrina, kad sudarant Informacinės sistemos duomenų rinkinius ir juos perduodant į Lietuvos atvirų duomenų portalą būtų naudojamasi Valstybės duomenų valdysenos informacinės sistemos funkcionalumu Valstybės duomenų agentūros nustatyta tvarka.

11. Informacinės sistemos duomenų teikėjai:

11.1. Valstybinė mokesčių inspekcija prie Lietuvos Respublikos finansų ministerijos (toliau – VMI), teikianti VMI Mokesčių apskaitos informacinės sistemos (toliau – MAIS) ir Mokesčių mokėtojų registro (toliau – MMR) (valdytojas – VMI) duomenis;

11.2. Valstybės įmonė Registrų centras (toliau – Registrų centras), teikianti Juridinių asmenų registro (toliau – JAR), Lietuvos Respublikos adresų registro (toliau – AR), Lietuvos Respublikos gyventojų registro (toliau – GR), Lietuvos Respublikos nekilnojamojo turto registro (toliau – NTR) (valdytoja – Lietuvos Respublikos teisingumo ministerija), Licencijų informacinės sistemos (toliau – LIS) (valdytoja – Lietuvos Respublikos ekonomikos ir inovacijų ministerija) duomenis;

11.3. Lietuvos Respublikos aplinkos ministerija, teikianti Taršos prevencijos procesų informacinės sistemos (toliau – TPPIS) (valdytoja – Aplinkos ministerija) duomenis;

11.4. Informatikos ir ryšių departamentas prie Vidaus reikalų ministerijos, teikiantis Administracinių nusižengimų registro (toliau – ANR) (valdytoja – Lietuvos Respublikos vidaus reikalų ministerija) duomenis;

11.5. Valstybinė vartotojų teisių apsaugos tarnyba (toliau – VVTAT), teikianti Vartotojų teisių informacinės sistemos (toliau – VTIS) (valdytoja – VVTAT) duomenis;

11.6. ūkinės veiklos vykdytojai fiziniai asmenys, ūkinės veiklos vykdytojų juridinių asmenų atstovai ir kiti fiziniai asmenys, teikiantys pirminius duomenis, nekaupiamus valstybės informacinėse sistemose ir registruose.

III SKYRIUS

InformacinėS sistemOS INFORMACINĖ STRUKTŪRA

12. Informacinės sistemos duomenų bazės:

12.1. Leidimų-higienos pasų duomenų bazė, kurioje kaupiami paraiškų gauti leidimus-higienos pasus, ūkinės komercinės veiklos vykdymo sąlygų vertinimo pažymų, leidimų-higienos pasų, sprendimų patikslinti leidimą-higienos pasą, sprendimų atsisakyti išduoti leidimus-higienos pasus, sprendimų sustabdyti leidimų-higienos pasų galiojimą, sprendimų panaikinti leidimų-higienos pasų galiojimo sustabdymą, sprendimų atsisakyti panaikinti leidimų-higienos pasų galiojimo sustabdymą ir sprendimų panaikinti leidimų-higienos pasų galiojimą duomenys. Leidimų-higienos pasų duomenų bazėje tvarkomi šie duomenys ir jų elementai:

12.1.1. paraiškos gauti leidimą-higienos pasą data;

12.1.2. leidimų-higienos pasų duomenys:

12.1.2.1. leidimų-higienos pasų registracijos numeris;

12.1.2.2. leidimų-higienos pasų išdavimo data;

12.1.2.3. ūkinės komercinės veiklos pavadinimas;

12.1.2.4. juridinio asmens duomenys:

12.1.2.4.1. juridinio asmens pavadinimas;

12.1.2.4.2. juridinio asmens kodas;

12.1.2.4.3. juridinio asmens buveinė (adresas);

12.1.2.4.4. juridinio asmens veiklos vykdymo adresas;

12.1.2.5. fizinio asmens duomenys:

12.1.2.5.1. vardas;

12.1.2.5.2. pavardė;

12.1.2.5.3. asmens kodas;

12.1.2.5.4. judriojo ryšio telefono numeris;

12.1.2.5.5. adresas;

12.1.2.5.6. veiklos vykdymo adresas;

12.1.2.6. ūkinės komercinės veiklos vykdymo sąlygų vertinimo pažymos registracijos numeris;

12.1.2.7. ūkinės komercinės veiklos vykdymo sąlygų vertinimo pažymos data;

12.1.2.8. ūkinės komercinės veiklos vieta:

12.1.2.8.1. adresas;

12.1.2.8.2. pastatai;

12.1.2.8.3. patalpos, kuriuose numatoma vykdyti ar vykdoma ūkinė komercinė veikla;

12.1.2.9. patalpų, kuriose numatoma vykdyti ar vykdoma ūkinė komercinė veikla, paskirtis;

12.1.2.10. teisinis pagrindas, leidžiantis naudotis pastatais / patalpomis / žemės sklypu;

12.1.2.11. ūkinės komercinės veiklos sąlygų aprašymai:

12.1.2.11.1. teritorijos aprašymas (-ai);

12.1.2.11.2. pastatų aprašymas (-ai);

12.1.2.11.3. patalpų aprašymai ir kt.;

12.1.2.11.4. inžinerinės įrangos aprašymai;

12.1.2.11.5. pastatų, patalpų įrengimų aprašymai;

12.1.2.11.6. kitų visuomenės sveikatos saugos teisės aktų reikalavimų įgyvendinimas;

12.1.2.12. su ūkinės komercinės veiklos sąlygomis susijusių veiksnių, galinčių daryti įtaką visuomenės sveikatai, įvertinimas, išvada;

12.1.3. sprendimų patikslinti leidimus-higienos pasus, sprendimų atsisakyti išduoti leidimus-higienos pasus, sprendimų sustabdyti leidimų-higienos pasų galiojimą, sprendimų panaikinti leidimų-higienos pasų galiojimo sustabdymą, sprendimų atsisakyti panaikinti leidimų-higienos pasų galiojimo sustabdymą ir sprendimų panaikinti leidimų-higienos pasų galiojimą duomenys:

12.1.3.1. prašymo data;

12.1.3.2. sprendimo registracijos numeris;

12.1.3.3. data;

12.1.3.4. teisinis pagrindas (priežastis).

12.2. Ūkio subjektų priežiūros duomenų bazė, kurioje kaupiami patikrinimo aktų / kontrolinių klausimynų, atliktų laboratorinių tyrimų, administracinių nusižengimų protokolų, nutarimų administracinių nusižengimų bylose, sprendimų dėl rinkos ribojimo priemonių taikymo, produktų saugos įstatymo pažeidimo protokolų, visuomenės sveikatos priežiūros veiklos licencijų duomenys, laivų, kuriuose atliekama medicinos atsargų laivuose kontrolė, duomenys. Ūkio subjektų priežiūros duomenų bazėje tvarkomi šie duomenys ir jų elementai:

12.2.1. patikrinimo aktų / kontrolinių klausimynų duomenys;

12.2.2. patikrinimo akto data;

12.2.3. patikrinimo akto registracijos numeris;

12.2.4. kontrolės rūšis;

12.2.5. veiklos rūšis;

12.2.6. veiklos vykdymo adresas;

12.2.7. patikrinimo trukmė;

12.2.8. juridinio asmens duomenys:

12.2.8.1. pavadinimas;

12.2.8.2. kodas;

12.2.8.3. buveinė (adresas);

12.2.8.4. veiklos vykdymo adresas;

12.2.9. fizinio asmens duomenys:

12.2.9.1. vardas;

12.2.9.2. pavardė;

12.2.9.3. asmens kodas;

12.2.9.4. judriojo ryšio telefono numeris;

12.2.9.5. adresas;

12.2.9.6. veiklos vykdymo adresas;

12.2.10. verslo liudijimo / individualios veiklos vykdymo pažymos numeris;

12.2.11. nustatyta veiklos atitiktis visuomenės sveikatos saugą reglamentuojančių teisės aktų reikalavimams;

12.2.12. nustatyti visuomenės sveikatos saugą reglamentuojančių teisės aktų nuostatų pažeidimai ir jų pašalinimo terminas;

12.2.13. atliktų laboratorinių tyrimų duomenys:

12.2.13.1. laboratorinių tyrimų ir (arba) matavimų pavadinimas;

12.2.13.2. vertintas rodiklis;

12.2.13.3. tyrimo rezultatas;

12.2.14. administracinių nusižengimų protokolų duomenys:

12.2.14.1. registracijos numeris;

12.2.14.2. data;

12.2.14.3. asmens, kuriam surašytas administracinio nusižengimo protokolas, vardas, pavardė, asmens kodas;

12.2.14.4. Administracinių nusižengimų kodekso ar Administracinių teisės pažeidimų kodekso straipsnis, dalis, punktas, kuriuose nustatyta administracinė atsakomybė už padarytą administracinį nusižengimą, pažeidimo sunkumo lygis; kito teisės akto, už kurio pažeidimą asmuo traukiamas administracinėn atsakomybėn, pavadinimas, straipsnis, dalis, punktas, papunktis;

12.2.14.5. administracinio nusižengimo protokolą surašiusio asmens vardas, pavardė;

12.2.14.6. administracinio nusižengimo protokolo su administraciniu nurodymu (toliau – administracinis nurodymas) duomenys:

12.2.14.6.1. administracinio nusižengimo protokolo ar administracinio nurodymo įteikimo administracinėn atsakomybėn traukiamam asmeniui data, laikas;

12.2.14.6.2. administraciniame nurodyme siūlomos sumokėti baudos dydis;

12.2.14.6.3. nurodymo įvykdymas;

12.2.15. nutarimų administracinių nusižengimų bylose duomenys:

12.2.15.1. registracijos numeris;

12.2.15.2. data;

12.2.15.3. asmens, kuriam surašytas nutarimas:

12.2.15.3.1. vardas;

12.2.15.3.2. pavardė;

12.2.15.3.3. asmens kodas;

12.2.15.3.4. gyvenamosios vietos adresas;

12.2.15.3.5. teisės akto (-ų), kurio (-ių) reikalavimai pažeisti, pavadinimas;

12.2.15.3.6. straipsnis;

12.2.15.3.7. dalis;

12.2.15.3.8. punktas;

12.2.15.3.9. skirtos nuobaudos rūšis;

12.2.15.3.10. dydis;

12.2.16. sprendimų dėl rinkos ribojimo priemonių taikymo duomenys:

12.2.16.1. sprendimo registracijos numeris;

12.2.16.2. data;

12.2.16.3. rinkos ribojimo priemonės pavadinimas;

12.2.17. sprendimo leisti teikti paslaugą registracijos numeris, data;

12.2.18. produktų saugos įstatymo pažeidimo protokolų duomenys:

12.2.18.1. produktų saugos įstatymo pažeidimo protokolo numeris;

12.2.18.2. produktų saugos įstatymo pažeidimo protokolo data;

12.2.19. visuomenės sveikatos priežiūros veiklos licencijų duomenys:

12.2.19.1. licencijos numeris;

12.2.19.2. licencijos pavadinimas;

12.2.19.3. licencijos tipas;

12.2.19.4. licencijos kodas;

12.2.19.5. licencijos išdavimo data;

12.2.19.6. licencijos įsigaliojimo data;

12.2.19.7. leistinos veiklos pavadinimas;

12.2.19.8. licenciją išduodančios institucijos pavadinimas;

12.2.19.9. licenciją išduodančios institucijos kodas;

12.2.19.10. licenciją išduodančios institucijos adresas;

12.2.19.11. licencijos būsena;

12.2.19.12. juridinio asmens duomenys:

12.2.19.12.1. juridinio asmens pavadinimas;

12.2.19.12.2. juridinio asmens kodas;

12.2.19.12.3. juridinio asmens teisinė forma;

12.2.19.12.4. buveinė (adresas);

12.2.19.12.5. elektroninio pašto adresas korespondencijai;

12.2.19.12.6. judriojo ryšio telefono numeris;

12.2.19.13. fizinio asmens duomenys:

12.2.19.13.1. vardas;

12.2.19.13.2. pavardė;

12.2.19.13.3. asmens kodas;

12.2.19.13.4. veiklos vykdymo adresas;

12.2.19.13.5. elektroninio pašto adresas;

12.2.19.13.6. judriojo ryšio telefono numeris;

12.2.19.14. licencijos keitimo priežastis;

12.2.20. laivo, kuriame atliekama medicinos atsargų laivuose kontrolė:

12.2.20.1. pavadinimas;

12.2.20.2. identifikacinis numeris;

12.2.20.3. paskirtis;

12.2.20.4. savininko / nuomininko adresas.

12.3. Skundų duomenų bazė, kurioje kaupiami NVSC gautų skundų duomenys. Skundų duomenų bazėje tvarkomi šie duomenys ir jų elementai:

12.3.1. skundo registracijos numeris;

12.3.2. data;

12.3.3. informacija, ar skundas gautas tiesiogiai ar persiųstas kitos institucijos;

12.3.4. skundą persiuntusios institucijos pavadinimas;

12.3.5. dokumento, kuriuo skundas persiųstas, registracijos numeris;

12.3.6. asmens, pateikusio skundą (toliau – pareiškėjas), duomenys:

12.3.6.1. jei kreipiasi fizinis asmuo:

12.3.6.1.1. vardas;

12.3.6.1.2. pavardė;

12.3.6.1.3. adresas;

12.3.6.1.4. elektroninis pašto adresas;

12.3.6.1.5. judriojo ryšio telefono numeris;

12.3.6.2. jei kreipiasi juridinis asmuo:

12.3.6.2.1. pavadinimas;

12.3.6.2.2. buveinė (adresas);

12.3.6.2.3. adresas korespondencijai;

12.3.6.2.4. elektroninio pašto adresas korespondencijai;

12.3.6.2.5. judriojo ryšio telefono numeris;

12.3.6.3. pareiškėjų skaičius;

12.3.7. atsakymo į pareiškėjo skundą duomenys:

12.3.7.1. registracijos numeris;

12.3.7.2. registracijos data;

12.3.7.3. atsakymą parengusio asmens vardas;

12.3.7.4. atsakymą parengusio asmens pavardė;

12.3.7.5. teisės akto, kurio nuostatos buvo pažeistos, pavadinimas.

12.4. Konsultacijų duomenų bazė, kurioje kaupiami duomenys apie NVSC teiktas konsultacijas ūkio subjektams. Konsultacijų duomenų bazėje tvarkomi šie duomenys ir jų elementai:

12.4.1. konsultacijos suteikimo data;

12.4.2. konsultacijos suteikimo būdas;

12.4.3. konsultacijos suteikimo pagrindas;

12.4.4. konsultaciją suteikęs struktūrinis padalinys;

12.4.5. klausimas, į kurį atsakyta;

12.4.6. konsultacijos tekstas;

12.4.7. ūkio subjekto rūšis;

12.4.8. konsultacijos tema;

12.4.9. teisės akto, dėl kurio konsultuojama, pavadinimas;

12.4.10. jei konsultacijos informacija įrašyta patikrinimo akte – patikrinimo akto data ir numeris.

12.5. Sprendimų dėl PŪV galimybių duomenų bazė, kurioje kaupiami prašymų nagrinėti PVSV ataskaitas, PVSV ataskaitų nagrinėjimo ir sprendimų dėl PŪV galimybių duomenys. Sprendimų dėl PŪV galimybių duomenų bazėje tvarkomi šie duomenys ir jų elementai:

12.5.1. pirmojo prašymo (teikimo), kuriuo gauta nagrinėti PVSV ataskaita data;

12.5.2. pirmojo prašymo (teikimo), kuriuo gauta nagrinėti PVSV ataskaita numeris;

12.5.3. pagrindo, kuriuo bus priimtas sprendimas dėl PŪV galimybių, gavimo data;

12.5.4. pagrindo, kuriuo bus priimtas sprendimas dėl PŪV galimybių, numeris;

12.5.5. PŪV organizatoriaus duomenys:

12.5.5.1. juridinio asmens pavadinimas;

12.5.5.2. juridinio asmens kodas;

12.5.5.3. filialo pavadinimas;

12.5.5.4. filialo kodas;

12.5.5.5. fizinio asmens vardas;

12.5.5.6. fizinio asmens pavardė;

12.5.5.7. buveinė (adresas);

12.5.5.8. adresas korespondencijai;

12.5.5.9. judriojo ryšio telefono numeris;

12.5.5.10. elektroninio pašto adresas korespondencijai;

12.5.6. PVSV ataskaitos rengėjo duomenys:

12.5.6.1. juridinio asmens pavadinimas;

12.5.6.2. juridinio asmens kodas;

12.5.6.3. filialo pavadinimas;

12.5.6.4. filialo kodas;

12.5.6.5. fizinio asmens vardas;

12.5.6.6. fizinio pavardė;

12.5.6.7. adresas;

12.5.6.8. adresas korespondencijai;

12.5.6.9. judriojo ryšio telefono numeris;

12.5.6.10. elektroninio pašto adresas korespondencijai;

12.5.7. PŪV pavadinimas:

12.5.7.1. ekonominės veiklos rūšių klasifikatoriaus 2 (toliau – EVRK 2 red.) kodas;

12.5.7.2. EVRK 2 red. trumpas aprašymas;

12.5.7.3. PŪV vieta:

12.5.7.3.1. sklypo adresas;

12.5.7.3.2. unikalus kodas;

12.5.8. PŪV veiksniai, darantys poveikį visuomenės sveikatai, nagrinėjami PVSV ataskaitoje;

12.5.9. neigiamo PŪV poveikio visuomenės sveikatai mažinimo priemonės;

12.5.10. sanitarinės apsaugos zonos ribose esančių sklypų unikalūs numeriai;

12.5.11. pataisytų PVSV ataskaitų teikimų datos;

12.5.12. sprendimas dėl PŪV leistinumo:

12.5.12.1. sprendimo data;

12.5.12.2. sprendimo numeris;

12.5.12.3. sprendimas (PŪV yra leistina ar neleistina pasirinktoje vietoje).

12.6. Taršos ir TIPK leidimų derinimo duomenų bazė, kurioje kaupiami paraiškų gauti ar pakeisti taršos leidimą, taršos leidimų vertinimo (nustatomų sąlygų kvapų valdymo srityje), paraiškų gauti ar pakeisti TIPK leidimą, TIPK leidimų vertinimo (nustatomų sąlygų dėl triukšmo ir kvapų valdymo) duomenys. Taršos ir TIPK leidimų duomenų bazėje tvarkomi šie duomenys ir jų elementai:

12.6.1. taršos leidimų derinimo duomenys:

12.6.1.1. paraiškos data;

12.6.1.2. paraiškos numeris;

12.6.1.3. ūkinės veiklos vykdytojo duomenys:

12.6.1.4. ūkinės veiklos vykdytojo pavadinimas (ar kelių ūkinės veiklos vykdytojų pavadinimai);

12.6.1.5. juridinio asmens kodas (-ai);

12.6.1.6. buveinė (-ės) (adresas (-ai);

12.6.1.7. ūkinės veiklos objekto pavadinimas;

12.6.1.8. ūkinės veiklos objekto adresas;

12.6.1.9. kriterijai, kuriuos atitinkančių įrenginių eksploatavimui reikia specialiosios dalies kvapų valdymui (iš paraiškos specialiosios dalies „Kvapų valdymas“);

12.6.1.10. stacionarių kvapų šaltinių duomenys:

12.6.1.10.1. kvapų šaltiniai;

12.6.1.10.2. išmetamųjų dujų rodikliai:

12.6.1.10.2.1. išmetamųjų dujų srauto greitis;

12.6.1.10.2.2. išmetamųjų dujų temperatūra;

12.6.1.10.2.3. išmetamųjų dujų tūrio debitas;

12.6.1.10.3. kvapų šaltinių veikimo trukmė;

12.6.1.10.4. kvapų valdymo (mažinimo) priemonės ir jų efektyvumo rodikliai:

12.6.1.10.4.1. priemonės pavadinimas;

12.6.1.10.4.2. įrengimo vieta;

12.6.1.10.4.3. koordinatės (Lietuvos koordinačių sistema (toliau – LKS);

12.6.1.10.4.4. efektyvumas;

12.6.1.10.5. nuoroda į poveikio visuomenės sveikatai vertinimo dokumentus;

12.6.1.10.6. NVSC vertinimo (derinimo) duomenys:

12.6.1.10.6.1. rašto data;

12.6.1.10.6.2. rašto numeris;

12.6.1.10.6.3. kvapo šaltinio numeris;

12.6.1.10.6.4. kvapų valdymo (mažinimo) priemonės:

12.6.1.10.6.4.1. pavadinimas;

12.6.1.10.6.4.2. įrengimo vieta;

12.6.1.10.6.4.3. koordinatės (LKS);

12.6.1.10.6.4.4. efektyvumas;

12.6.1.10.6.5. leidžiamas kvapo emisijos rodiklis;

12.6.2. TIPK derinimo duomenys:

12.6.2.1. paraiškos data;

12.6.2.2. paraiškos numeris;

12.6.2.3. ūkinės veiklos vykdytojo duomenys:

12.6.2.3.1. pavadinimas;

12.6.2.3.2. kodas;

12.6.2.3.3. buveinė (adresas);

12.6.2.3.4. judriojo ryšio mobiliojo telefono numeris;

12.6.2.3.5. elektroninio pašto adresas korespondencijai;

12.6.2.4. ūkinės veiklos objekto pavadinimas;

12.6.2.5. ūkinės veiklos objekto adresas;

12.6.2.6. ūkinės veiklos objekto ūkinės veiklos rūšis (-ys);

12.6.2.7. įrenginys ir jame vykdoma veikla;

12.6.2.8. gamybos (projektinis) pajėgumas;

12.6.2.9. PŪV pradžia;

12.6.2.10. informacija apie triukšmo šaltinius ir jų skleidžiamą triukšmą;

12.6.2.11. informacija apie triukšmo mažinimo priemonės;

12.6.2.12. įrenginyje vykdomos veiklos metu skleidžiami kvapai;

12.6.2.13. stacionarių kvapų šaltinių duomenys:

12.6.2.13.1. kvapo šaltinis;

12.6.2.13.2. išmetamųjų dujų rodikliai pavyzdžio paėmimo (matavimo) vietoje;

12.6.2.13.3. kvapo emisijos rodiklis;

12.6.2.13.4. kvapų išmetimo (stacionariųjų taršos šaltinių veikimo) trukmė;

12.6.2.13.5. kvapų valdymo (mažinimo) priemonės, jų efektyvumo rodikliai:

12.6.2.13.5.1. kvapo šaltinio numeris;

12.6.2.13.5.2. kvapų valdymo (mažinimo) priemonės:

12.6.2.13.5.2.1. pavadinimas;

12.6.2.13.5.2.2. įrengimo vieta;

12.6.2.13.5.2.3. koordinatės (LKS);

12.6.2.13.5.2.4. efektyvumas;

12.6.2.13.5.3. numatomas kvapo emisijos rodiklis;

12.6.2.13.6. kvapų valdymo (mažinimo) priemonių efektyvumas prie artimiausių jautrių receptorių;

12.6.2.13.7. NVSC vertinimo (derinimo) duomenys:

12.6.2.13.7.1.1. rašto data;

12.6.2.13.7.1.2. rašto numeris

12.6.2.13.7.1.3. leidimo sąlygos:

12.6.2.13.7.1.3.1. leidžiamas triukšmo išmetimas;

12.6.2.13.7.1.3.2. reikalavimai triukšmui valdyti;

12.6.2.13.7.1.3.3. triukšmo mažinimo priemonės;

12.6.2.13.7.1.3.4. įrenginio eksploatavimo laiko ribojimas;

12.6.2.13.7.1.3.5. leidžiamas kvapų išmetimas ir kvapų valdymo (mažinimo) priemonės:

12.6.2.13.7.1.3.5.1. kvapo šaltinio numeris;

12.6.2.13.7.1.3.5.2. kvapų valdymo (mažinimo) priemonės:

12.6.2.13.7.1.3.5.3. pavadinimas;

12.6.2.13.7.1.3.5.4. įrengimo vieta;

12.6.2.13.7.1.3.5.5. koordinatės (LKS);

12.6.2.13.7.1.3.5.6. efektyvumas;

12.6.2.13.7.1.3.6. numatomas kvapo emisijos rodiklis;

12.6.2.13.7.1.4. pastabos pataisyti paraišką.

12.7. Radiotechninių objektų duomenų bazė, kurioje kaupiami prašymų dėl radiotechninių objektų radiotechninės dalies projektų, elektromagnetinės spinduliuotės stebėsenos planų derinimo, radiotechninių objektų radiotechninės dalies projektų, elektromagnetinės spinduliuotės stebėsenos planų vertinimo, sprendimų dėl radiotechninių objektų radiotechninės dalies projektų ir elektromagnetinės spinduliuotės stebėsenos planų suderinimo. Radiotechninių objektų duomenų bazėje tvarkomi šie duomenys ir jų elementai:

12.7.1. radiotechninio objekto operatorius:

12.7.1.1. juridinio asmens ar filialo pavadinimas;

12.7.1.2. įmonės kodas;

12.7.2. radiotechninio objekto projektuotojas:

12.7.2.1. juridinio asmens ar filialo pavadinimas;

12.7.2.2. įmonės kodas;

12.7.3. radiotechninio objekto įrengimo vieta:

12.7.3.1. radiotechninio objekto X ir Y koordinatės WGS-84 koordinačių sistemoje;

12.7.4. radiotechninio objekto skleidžiamo signalo radijo dažnis;

12.7.5. radijo dažnių juostos plotis;

12.7.6. siųstuvo galia;

12.7.7. aukščiai virš žemės paviršiaus;

12.7.8. elektromagnetinės spinduliuotės stebėsenos taškų X, Y koordinatės WGS-84 koordinačių sistemoje;

12.7.9. elektromagnetinės spinduliuotės stebėsenos matavimų atlikimo periodiškumas;

12.7.10. radiotechninio objekto radiotechninės dalies projekto derinimo pažymos duomenys:

12.7.10.1. data;

12.7.10.2. numeris;

12.7.10.3. suderinimo žyma („Radiotechninio objekto radiotechninės dalies projektą laikau suderintu / nesuderintu“);

12.7.11. elektromagnetinės spinduliuotės stebėsenos plano derinimo pažymos duomenys:

12.7.11.1. data;

12.7.11.2. numeris;

12.7.11.3. suderinimo žyma („Elektromagnetinės spinduliuotės stebėsenos planą laikau suderintu / nesuderintu“);

12.7.12. radiotechninio objekto operatoriaus organizuoti elektromagnetinės spinduliuotės stebėsenos duomenys:

12.7.12.1. protokolo data;

12.7.12.2. numeris;

12.7.12.3. elektromagnetinės spinduliuotės matavimų rezultatai.

12.8. Geriamojo vandens tyrimų rezultatų duomenų bazė, kurioje kaupiami geriamojo vandens, kurį maistui naudoja nėščiosios ar kūdikiai iki 6 mėnesių amžiaus ir kuriuo individualiai apsirūpinama iš požeminio vandens telkinių nuosavybės teise ar kitaip valdomais / naudojamais įrenginiais, nitritų ir nitratų kiekio tyrimų, geriamojo vandens kokybės tyrimų išvadų (statybos užbaigimo procedūros) ir leidimų taikyti geriamojo vandens saugos išlygas duomenys. Geriamojo vandens tyrimų rezultatų duomenų bazėje tvarkomi šie duomenys ir jų elementai:

12.8.1. geriamojo vandens, kurį maistui naudoja nėščiosios ar kūdikiai iki 6 mėnesių amžiaus ir kuriuo individualiai apsirūpinama iš požeminio vandens telkinių nuosavybės teise ar kitaip valdomais / naudojamais įrenginiais, tyrimų duomenys:

12.8.1.1. nėščiosios arba kūdikio iki 6 mėnesių amžiaus vardas;

12.8.1.2. nėščiosios arba kūdikio iki 6 mėnesių amžiaus pavardė;

12.8.1.3. nėščiosios arba kūdikio iki 6 mėnesių amžiaus nuolatinės gyvenamosios vietos adresas;

12.8.1.4. mėginio paėmimo data ir vieta (adresas);

12.8.1.5. protokolo data ir numeris;

12.8.1.6. analitė (nitrito kiekis, nitrato kiekis);

12.8.1.7. tyrimo metodo žymuo;

12.8.1.8. tyrimo metodo rezultatas;

12.8.1.9. tyrimo metodo paklaida;

12.8.1.10. tyrimo metodo matavimo vienetai;

12.8.1.11. vandens tyrimo duomenys ir leidžiamos koncentracijos;

12.8.2. geriamojo vandens kokybės tyrimų išvadų duomenys:

12.8.2.1. fizinio asmens vardas;

12.8.2.2. fizinio asmens pavardė;

12.8.2.3. fizinio asmens adresas;

12.8.2.4. objekto pavadinimas;

12.8.2.5. objekto adresas;

12.8.2.6. laboratorinių tyrimų protokolų duomenys:

12.8.2.6.1. žarninių lazdelių skaičius (mikroorganizmų skaičius 100 ml);

12.8.2.6.2. žarninių enterokokų skaičius (mikroorganizmų skaičius 100 ml);

12.8.2.6.3. nitratų kiekis;

12.8.2.6.4. nitritų kiekis;

12.8.2.6.5. amoniako kiekis;

12.8.2.6.6. permanganato indeksas;

12.8.2.6.7. savitasis elektrinis laidis;

12.8.2.7. laboratorijos pavadinimas;

12.8.2.8. laboratorinių tyrimų įvertinimo išvada;

12.8.3. leidimų taikyti geriamojo vandens saugos išlygas duomenys:

12.8.3.1. juridinio asmens pavadinimas;

12.8.3.2. juridinio asmens buveinė (adresas);

12.8.3.3. rodiklio pavadinimas;

12.8.3.4. didžiausia leidžiamoji išlygos taikymo rodiklio vertė;

12.8.3.5. gręžinio numeris;

12.8.3.6. adresas;

12.8.3.7. vidutiniškai per dieną iš gręžinio tiekiamo geriamojo vandens kiekis;

12.8.3.8. geografinė teritorija, kuriai iš gręžinio tiekiamas geriamasis vanduo;

12.8.3.9. gyventojų skaičius ir jo pokyčio prognozė išlygos taikymo laikotarpiu;

12.8.3.10. asmens sveikatos priežiūros įstaigų, socialinės globos ir rūpybos įstaigų, ikimokyklinio ugdymo įstaigų, laikino apgyvendinimo paslaugas teikiančių subjektų, kuriems iš gręžinio tiekiamas geriamasis vanduo, pavadinimai ir adresai;

12.8.3.11. išlygos taikymo siūloma trukmė;

12.8.3.12. per dieną tiekiamo geriamojo vandens kiekis.

12.9. Informacinės sistemos naudotojų kontaktinių duomenų bei teisių duomenų bazė, kurioje kaupiami Informacinės sistemos naudotojų kontaktiniai duomenys:

12.9.1. vardas;

12.9.2. pavardė;

12.9.3. elektroninio pašto adresas korespondencijai;

12.9.4. darbovietės pavadinimas;

12.9.5. pareigos;

12.9.6. suteiktų duomenų tvarkymo teisių (duomenis peržiūrėti, įvesti, taisyti, perkelti, teikti, naikinti) sąrašas;

12.10. Mokesčių mokėtojų duomenys apie išduotus verslo liudijimus:

12.10.1. asmens vardas;

12.10.2. asmens pavardė;

12.10.3. asmens kodas;

12.10.4. verslo liudijimo numeris;

12.10.5. veiklos, kuriai išduotas verslo liudijimas, pavadinimas;

12.10.6. veiklos, kuriai išduotas verslo liudijimas, veiklos kodas;

12.10.7. verslo liudijimo galiojimo laikotarpis;

12.11. Mokesčių mokėtojų duomenys apie asmenims išduotas mokesčių mokėtojo individualios veiklos vykdymo pažymas:

12.11.1. asmens vardas;

12.11.2. asmens pavardė;

12.11.3. asmens kodas;

12.11.4. Lietuvos gyventojo individualios veiklos vykdymo pažymos numeris;

12.11.5. veiklos, kuriai išduota pažyma, pavadinimas,

12.11.6. veiklos, kuriai išduota pažyma, ekonominio veiklos rūšių klasifikatoriaus kodas;

12.12. Mokesčių mokėtojų duomenys apie valstybės rinkliavos arba skirtos baudos sumokėjimą:

12.12.1. mokėjimo data;

12.12.2. mokėtojo pavadinimas;

12.12.3. mokėtojo kodas;

12.12.4. įmokos kodas;

12.12.5. pradinis mokėtojas (vardas ir pavardė / pavadinimas);

12.12.6. įmokos suma;

12.12.7. mokėjimo paskirtis.

13. Duomenų teikėjai teikia šiuos duomenis:

13.1. VMI teikia Nuostatų 12.2.10, 12.10–12.11.6 papunkčiuose nurodytus MMR ir 12.12 papunktyje nurodytus MAIS duomenis;

13.2. Registrų centras teikia:

13.2.1. Nuostatų 12.2.19 papunkčiuose nurodytus LIS duomenis;

13.2.2. Nuostatų 12.1.2.4 12.2.8.1–12.2.8.3, 12.5.5.1–12.5.5.4, 12.5.6.1–12.5.6.4., 12.6.1.5–12.6.1.6, 12.7.1.1–12.7.2.2, 12.8.3.1–12.8.3.2 papunkčiuose nurodytus JAR duomenis;

13.2.3. Nuostatų 12.1.2.4., 12.1.2.5.5–12.1.2.5.6, 12.2.9.5–12.2.9.6, 12.5.5.7–12.5.5.8, 12.5.6.7–12.5.6.8, 12.8.2.3, 12.8.3.6 papunkčiuose nurodytus AR duomenis;

13.2.4. Nuostatų 12.1.2.5.1–12.1.2.5.4, 12.2.9.1–12.2.9.3, 12.2.19.13.1–12.2.19.13.3 papunkčiuose nurodytus GR duomenis;

13.2.5. Nuostatų 12.1.2.8–12.1.2.11, 12.5.7.3, 12.5.10, 12.8.2.4–12.8.2.5, 12.8.3.5 papunkčiuose nurodytus NTR duomenis;

13.3. Aplinkos ministerija teikia Nuostatų 12.6.1–12.6.2 papunkčiuose nurodytus TPPIS duomenis;

13.4. Informatikos ir ryšių departamentas prie Vidaus reikalų ministerijos teikia Nuostatų 12.2.14–12.2.15 papunkčiuose nurodytus ANR duomenis;

13.5. VVTAT teikia Nuostatų 12.3.1–12.3.6. papunkčiuose nurodytus VTIS duomenis;

13.6. ūkinės veiklos vykdytojai fiziniai asmenys, ūkinės veiklos vykdytojų juridinių asmenų atstovai ir kiti fiziniai asmenys teikia Nuostatų 12.1–12.3 ir 12.5–12.8 papunkčiuose nurodytus pirminius duomenis, nekaupiamus valstybės informacinėse sistemose ir registruose.

IV SKYRIUS

InformacinėS sistemOs FUNKCINĖ STRUKTŪRA

14. Informacinės sistemos funkcinę struktūrą sudaro:

14.1. duomenų įvedimo / iškėlimo komponentė, kurios pagrindinės funkcijos: įvesti duomenis, koordinuoti duomenų įvedimą, duomenis taisyti, naikinti;

14.2. duomenų apdorojimo komponentė, kurios pagrindinės funkcijos: pertvarkyti, apdoroti įvedamus, gaunamus, teikiamus duomenis, juos grupuoti, analizuoti, formuoti ataskaitas bei jas viešinti visuomenei prieinamomis komunikacijos priemonėmis;

14.3. duomenų kontrolės komponentė, kurios pagrindinės funkcijos: vykdyti neteisingų ir netikslių (nepilnų) duomenų įvedimo kontrolę;

14.4. administravimo komponentė, kurios pagrindinės funkcijos: valdyti Informacinės sistemos procesus, užtikrinti sąsajas su kitomis informacinėmis sistemomis, archyvuoti duomenis ir duomenis atkurti;

14.5. naudotojų administravimo komponentė, kurios pagrindinės funkcijos: kurti, administruoti, naikinti Informacinės sistemos naudotojų prieigos prie Informacinės sistemos elektroninės informacijos teises, registruoti naudotojus, protokoluoti naudotojų veiksmus;

14.6. duomenų peržiūros, dokumentų spausdinimo ir (ar) persiuntimo elektroninio paštu komponentė, kurio paskirtis – peržiūrėti, atspausdinti, išsaugoti suformuotas ataskaitas ir (arba) persiųsti jas elektroniniu paštu;

14.7. apsaugos nuo virusų ir kenksmingų programinių kodų komponentė, kurios pagrindinės funkcijos: stebėti Informacinėje sistemoje vykstančius duomenų tvarkymo procesus ir užtikrinti Informacinės sistemos apsaugą nuo virusų ir kenksmingų programų kodų.

V SKYRIUS

Informacinės sistemos DUOMENŲ TEIKIMAS IR NAUDOJIMAS

15. Informacinės sistemos duomenys yra vieši ir teikiami juridiniams bei fiziniams asmenims.

16. Informacinėje sistemoje tvarkomi asmens duomenys teikiami ir naudojami vadovaujantis Reglamentu (ES) 2016/679, Nuostatų 17–22 punktais, kitais asmens duomenų tvarkymą reglamentuojančiais teisės aktais.

17. Informacinės sistemos duomenis, įskaitant ir asmens duomenis, teikia Informacinės sistemos valdytojas ir tvarkytojas. Informacinės sistemos duomenys duomenų gavėjams teikiami neatlygintinai.

18. Informacinės sistemos duomenys, įskaitant asmens duomenis, Europos Sąjungos valstybių narių ir (arba) Europos ekonominės erdvės valstybių fiziniams, judriniams asmenims, juridinio statuso neturintiems subjektams, jų filialams ir atstovybėms teikiami vadovaujantis Nuostatų 16–22 punktais, Valstybės informacinių išteklių valdymo įstatymu ir Reglamentu (ES)2016/679.

19. Kitų valstybių, išskyrus Europos Sąjungos valstybes nares ir Europos ekonominės erdvės valstybes, fiziniams, juridiniams asmenims, juridinio asmens statuso neturintiems subjektams, jų filialams ir atstovybėms duomenys teikiami vadovaujantis Nuostatų 16–22 punktais ir jeigu tai neprieštarauja Lietuvos Respublikos įstatymams, Reglamentui (ES) 2016/679, tarptautinėms sutartims, Europos Sąjungos teisės aktams ir kitiems norminiams teisės aktams.

20. Informacinės sistemos duomenų teikimo būdai:

20.1. raštu, žodžiu ir (arba) elektroninių ryšių priemonėmis;

20.2. peržiūra leidžiamos kreipties būdu internetu ar kitais elektroninių ryšių tinklais.

21. Daugkartinio teikimo atveju Informacinės sistemos duomenys teikiami pagal teisės aktuose nustatytas pareigas. Jei duomenys duomenų gavėjui teikiami pagal duomenų teikimo sutartį, sutartyje turi būti nurodyta teikiamų duomenų apimtis, duomenų teikimo ir gavimo teisinis pagrindas, duomenų naudojimo tikslas, teikimo būdas, teikiamų duomenų formatas, teikimo terminai, informavimo apie klaidų ištaisymą tvarka ir terminai, sutarties keitimo tvarka.

22. Vienkartinio teikimo atveju Informacinės sistemos duomenys teikiami pagal Informacinės sistemos valdytojui ir tvarkytojui pateiktą duomenų gavėjo prašymą. Prašyme turi būti nurodytas duomenų naudojimo tikslas, teikimo ir gavimo teisinis pagrindas, prašomų pateikti duomenų apimtis, teikiamų duomenų formatas.

23. Informacinės sistemos duomenys teikiami tokio turinio ir formato, kokie yra saugomi ir naudojami Informacinėje sistemoje. Valstybės informacinių išteklių valdymo įstatymo 35 straipsnio 3 dalyje nurodytais atvejais Lietuvos Respublikos Vyriausybės nustatyta tvarka duomenys gali būti pateikiami duomenų gavėjo prašomu formatu ir turiniu.

24. Duomenų gavėjas negali keisti gautų Informacinės sistemos duomenų ir juos naudodamas privalo nurodyti jų šaltinį. Gautus Informacinės sistemos duomenis duomenų gavėjai gali naudoti tik tokiam tikslui, tokios apimties ir tokiu būdu, kaip tai yra nurodyta duomenų teikimo sutartyje arba prašyme.

25. Jei priimamas sprendimas atsisakyti teikti Informacinės sistemos duomenis, ne vėliau kaip per 10 darbo dienų po tokio sprendimo priėmimo momento apie tai raštu pranešama prašymą dėl duomenų teikimo pateikusiam asmeniui, kartu suteikiant informaciją apie tokio sprendimo apskundimo tvarką. Sprendimas dėl atsisakymo teikti Informacinės sistemos duomenis gali būti skundžiamas Lietuvos Respublikos administracinių bylų teisenos įstatymo nustatyta tvarka.

26. Sudaryti Informacinės sistemos duomenų rinkiniai teikiami pakartotinai naudoti bei publikuojami vadovaujantis Teisės gauti informaciją ir duomenų pakartotinio naudojimo įstatymo nuostatomis.

27. Informacinės sistemos duomenų gavėjai, duomenų subjektai, duomenis teikiančių kitų registrų ir valstybės informacinių sistemų tvarkytojai, kiti asmenys, pastebėję, kad pateikti Informacinės sistemos duomenys yra klaidingi ar netikslūs, turi teisę reikalauti juos ištaisyti. Fizinis ar juridinis asmuo, pastebėjęs klaidingus, netikslius ar neišsamius duomenis, motyvuotu rašytiniu prašymu kreipiasi į Informacinės sistemos valdytoją ir tvarkytoją, kuris savo ruožtu privalo įsitikinti tokio prašymo pagrįstumu. Jei Informacinės sistemos valdytojas ir tvarkytojas nustato, kad prašymas, pateiktas elektroninių ryšių priemonėmis, patvirtinančiomis asmens, kuris kreipiasi, tapatybę, arba kreipimasis raštu, pateikiant asmens tapatybę patvirtinantį dokumentą, pagrįstas, per 5 darbo dienas turi imtis veiksmų dėl netikslių duomenų ištaisymo, neišsamių duomenų papildymo ir (ar) tokių duomenų tvarkymo veiksmų sustabdymo bei nedelsdamas elektroninių ryšių priemonėmis arba raštu informuoti apie tai šių duomenų gavėjus. Informacinės sistemos valdytojas ir tvarkytojas per 3 darbo dienas nuo netikslių duomenų ištaisymo ir (ar) neišsamių duomenų papildymo dienos informuoja apie tai asmenį, pranešusį apie netikslius duomenis, Informacinės sistemos duomenų gavėjus, kuriems tokie duomenys buvo perduoti, ir susijusį duomenų subjektą.

28. Informacinės sistemos valdytojas ir tvarkytojas, nustatęs duomenų teikėjo pateiktų duomenų arba susijusio valstybės registro ar valstybės informacinės sistemos sąveikos būdu perduotų duomenų netikslumų, ne vėliau kaip per 5 darbo dienas nuo netikslumų nustatymo dienos apie tai praneša duomenų teikėjui arba susijusio valstybės registro ar valstybės informacinės sistemos tvarkytojui ir pareikalauja ištaisyti netikslumus bei pateikti patikslintus duomenis. Ištaisęs duomenų netikslumus, Informacinės sistemos valdytojas ir tvarkytojas nedelsdamas elektroninių ryšių priemonėmis arba raštu turi informuoti duomenų gavėjus, kuriems buvo perduoti netikslūs duomenys, kai tik duomenų teikėjai tuos duomenis patikslina.

VI SKYRIUS

Informacinės sistemos DUOMENŲ SAUGA

29. Informacinės sistemos duomenų sauga užtikrinama vadovaujantis šių Nuostatų 3.1, 3.4, 3.6, 3.11, 3.15, 3.16 papunkčiuose nurodytų teisės aktų reikalavimais bei Lietuvos Respublikos ir tarptautiniais standartais, reglamentuojančias informacinių sistemų ir jose tvarkomos elektroninės informacijos saugą.

30. Informacinės sistemos duomenų sauga organizuojama vadovaujantis Informacinės sistemos duomenų saugos nuostatais ir Lietuvos Respublikos Vyriausybės nustatyta tvarka patvirtintais Informacinės sistemos saugos politiką įgyvendinančiais dokumentais (toliau – Informacinės sistemos politiką įgyvendinantys dokumentai).

31. Už Informacinės sistemos elektroninės informacijos saugą teisės aktų nustatyta tvarka atsako Informacinės sistemos valdytojas ir tvarkytojas.

32. Užtikrinant Informacinėje sistemoje tvarkomų duomenų saugą turi būti įgyvendintos duomenų saugos organizacinės, programinės, techninės, patalpų apsaugos ir administracinės priemonės, skirtos Informacinės sistemos duomenų konfidencialumui, prieinamumui, vientisumui ir autentiškumui užtikrinti bei apsaugai nuo atsitiktinio ar neteisėto sunaikinimo, naudojimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo. Šios priemonės turi užtikrinti saugumo lygį, atitinkantį Informacinės sistemos ir joje tvarkomų duomenų kategoriją.

33. Konkrečios Informacinės sistemos duomenų saugos užtikrinimo priemonės, procedūros, kontrolės mechanizmai yra nustatomi Informacinės sistemos duomenų saugos nuostatuose ir Informacinės sistemos saugos politiką įgyvendinančiuose dokumentuose.

34. Informacinės sistemos elektroninės informacijos atsarginės kopijos daromos, išbandomos, saugomos, Informacinės sistemos elektroninė informacija atkuriama, Informacinės sistemos duomenys archyvuojami Informacinės sistemos saugos politiką įgyvendinančiuose dokumentuose nustatyta tvarka.

35. Asmenys, kurie tvarko asmens duomenis, privalo saugoti asmens duomenų paslaptį, jeigu šie asmens duomenys neskirti skelbti viešai. Pareiga saugoti asmens duomenų paslaptį lieka galioti ir pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas, pasibaigus darbo ar sutartiniams santykiams.

36. Informacinės sistemos duomenų saugojimo terminai ir tvarka:

36.1. duomenys, nurodyti Nuostatų 12.1, 12.10–12.11 papunkčiuose, aktyviojoje Informacinės sistemos duomenų bazėje saugomi tol, kol galioja leidimas-higienos pasas. Panaikinus leidimą-higienos pasą, duomenys perkeliami į pasyviąją Informacinės sistemos duomenų bazę (archyvą), kurioje saugomi dar 10 metų;

36.2. duomenys, nurodyti Nuostatų 12.2–12.3, 12.8.1–12.8.2 papunkčiuose, aktyviojoje Informacinės sistemos duomenų bazėje saugomi 5 metus nuo duomenų įkėlimo į Informacinę sistemą datos. Pasibaigus šiam terminui, Informacinės sistemos duomenys perkeliami į pasyviąją Informacinės sistemos duomenų bazę (archyvą), kurioje saugomi dar 3 metus;

36.3. duomenys, nurodyti Nuostatų 12.5 papunktyje, aktyviojoje Informacinės sistemos duomenų bazėje saugomi 10 metų nuo duomenų įkėlimo į Informacinę sistemą datos. Pasibaigus šiam terminui, Informacinės sistemos duomenys perkeliami į pasyviąją duomenų bazę (archyvą), kurioje saugomi dar 3 metus;

36.4. atvirų duomenų rinkiniai Informacinėje sistemoje saugomi neterminuotai;

36.5. Informacinės sistemos naudotojų duomenys, nurodyti Nuostatų 12.9 papunktyje, saugomi iki naudotojo prieigos sunaikinimo ir pasibaigus šiam laikotarpiui sunaikinami;

36.6. pasibaigus duomenų saugojimo pasyviojoje Informacinės sistemos duomenų bazėje terminui, duomenys sunaikinami Lietuvos vyriausiojo archyvaro nustatyta tvarka.

VII SKYRIUS

Informacinės sistemos FINANSAVIMAS

37. Informacinės sistemos kūrimas, modernizavimas, eksploatavimas, palaikymas, plėtra ir (arba) likvidavimas finansuojama asignavimų valdytojo skirtomis Lietuvos Respublikos valstybės biudžeto, Europos Sąjungos struktūrinių fondų, kitų teisės aktuose nustatytų šaltinių lėšomis.

VIII SKYRIUS

Informacinės sistemos MODERNIZAVIMAS IR LIKVIDAVIMAS

38. Informacinė sistema modernizuojama ir (arba) arba likviduojama Valstybės informacinių išteklių valdymo įstatymo ir Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“ nustatyta tvarka.

39. Sprendimą dėl Informacinės sistemos modernizavimo, techninių ir programinių priemonių kūrimo, plėtros priemonių įgyvendinimo ir (arba) likvidavimo priima Informacinės sistemos valdytojas.

40. Likviduojamos Informacinės sistemos duomenys perduodami kitai informacinei sistemai arba sunaikinami arba perduodami valstybės archyvams Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka.

IX SKYRIUS

BAIGIAMOSIOS NUOSTATOS

41. Informacinės sistemos valdytojas, atsižvelgdamas į susijusių teisės aktų ir (arba) Informacinės sistemos funkcionalumo pasikeitimus, atnaujina Nuostatus.

42. Asmenys, pažeidę Nuostatų reikalavimus, atsako Lietuvos Respublikos teisės aktų nustatyta tvarka.

43. Duomenų subjekto teisių, susijusių su informavimu apie jo asmens duomenų tvarkymą, supažindinimu su tvarkomais jo asmens duomenimis ir reikalavimu juos ištaisyti, teisės reikalauti ištrinti asmens duomenis („teisė būti pamirštam“) arba teisės sustabdyti jo asmens duomenų tvarkymo, išskyrus saugojimą, veiksmus, įtvirtintų Reglamente (ES) 2016/679, įgyvendinimo tvarką nustato Duomenų subjektų teisių įgyvendinimo tvarkant asmens duomenis Nacionalinio visuomenės sveikatos centro prie Sveikatos apsaugos ministerijos valdomose informacinėse sistemose tvarkos aprašas, patvirtintas Nacionalinio visuomenės sveikatos centro prie Sveikatos apsaugos ministerijos direktoriaus 2023 m. kovo 13 d. įsakymu Nr. VKE-73 „Dėl Duomenų subjektų teisių įgyvendinimo tvarkant asmens duomenis Nacionalinio visuomenės sveikatos centro prie Sveikatos apsaugos ministerijos valdomuose informacinėse sistemose tvarkos aprašo patvirtinimo“.

_________________

PATVIRTINTA

Nacionalinio visuomenės sveikatos centro prie

Sveikatos apsaugos ministerijos direktoriaus

2023 m. liepos 20 d. įsakymu Nr. VKE-220

VISUOMENĖS SVEIKATOS SAUGOS INFORMACINĖS SISTEMOS

DUOMENŲ SAUGOS NUOSTATAI

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Visuomenės sveikatos saugos informacinės sistemos duomenų saugos nuostatai (toliau – Duomenų saugos nuostatai) reglamentuoja Visuomenės sveikatos saugos informacinės sistemos (toliau – Informacinė sistema) elektroninės informacijos (toliau – elektroninė informacija) saugos (kibernetinio saugumo) politiką (toliau – saugos politika), administracines, organizacines, technines ir kitas priemones užtikrinančias saugų Informacinės sistemos duomenų tvarkymą.

2. Duomenų saugos nuostatuose vartojamos sąvokos apibrėžtos Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ ir Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“ (toliau – Techniniai elektroninės informacijos saugos reikalavimai).

3. Saugos politikos tikslai:

3.1. užtikrinti elektroninės informacijos konfidencialumą, vientisumą ir prieinamumą viso Informacinės sistemos veiklos ciklo metu;

3.2. sudaryti sąlygas saugiai informacinių technologijų priemonėmis tvarkyti elektroninę informaciją;

3.3. užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo;

3.4. vykdyti elektroninės informacijos saugos (kibernetinių) incidentų, asmens duomenų saugumo pažeidimų prevenciją, reaguoti į elektroninės informacijos saugos (kibernetinius) incidentus, asmens duomenų saugumo pažeidimus ir juos operatyviai suvaldyti.

4. Saugos politikos uždaviniai:

4.1. organizacinių, techninių, programinių, teisinių ir kitų priemonių, skirtų elektroninės informacijos saugai ir Informacinės sistemos kibernetiniam saugumui užtikrinti, įgyvendinimas ir kontrolė;

4.2. elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas;

4.3. Informacinės sistemos paslaugų ir naudojimosi elektronine informacija kontrolės užtikrinimas;

4.4. Informacinėje sistemoje tvarkomų asmens duomenų apsaugos užtikrinimas;

4.5. Informacinės sistemos veiklos tęstinumo užtikrinimas;

4.6. Informacinę sistemą administruojančių, aptarnaujančių, naudojančių asmenų kvalifikacijos užtikrinimas.

5. Informacinės sistemos valdytojas ir tvarkytojas – Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos.

6. Už elektroninės informacijos saugą (kibernetinį saugumą) atsako Informacinės sistemos valdytojas ir tvarkytojas.

7. Duomenų saugos nuostatai taikomi Informacinės sistemos valdytojui ir tvarkytojui, saugos įgaliotiniui, duomenų valdymo įgaliotiniui, Informacinės sistemos administratoriams, Informacinės sistemos naudotojams, duomenų gavėjams ir teikėjams, Informacinei sistemai funkcionuoti reikalingų paslaugų teikėjams.

8. Informacinės sistemos valdytojas ir tvarkytojas:

8.1. turi Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme nustatytas teises ir pareigas;

8.2. atsako už elektroninės informacijos saugos politikos formavimą ir įgyvendinimo organizavimą, elektroninės informacijos tvarkymo teisėtumo kontrolę;

8.3. priima sprendimus dėl Informacinės sistemos plėtros, likvidavimo, modernizavimo, priežiūros, administravimo, kontroliuoja sprendimų vykdymą;

8.4. rengia ir priima teisės aktus, susijusius su Informacinės sistemos veikla, informacinių ir ryšių technologijų infrastruktūra, duomenų tvarkymu ir duomenų sauga;

8.5. sudaro sutartis su Informacinės sistemos duomenų teikėjais ir gavėjais;

8.6. atsako už Informacinės sistemos ir elektroninės informacijos saugos užtikrinimui reikalingų finansinių ir kitų išteklių skyrimą laiku;

8.7. atsako už reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimo užtikrinimą elektroninės informacijos saugos politiką įgyvendinančiuose dokumentuose (toliau – saugos dokumentai) nustatyta tvarka;

8.8. užtikrina nepertraukiamą Informacinės sistemos veiklą;

8.9. užtikrina saugų elektroninės informacijos perdavimą elektroninių ryšių tinklais;

8.10. užtikrina elektroninės informacijos saugos (kibernetinio saugumo) reikalavimų įgyvendinimo kontrolę;

8.11. organizuoja ir įgyvendina Informacinės sistemos duomenų bazių, taikomųjų programų, ugniasienių, įsilaužimų aptikimo sistemų diegimą ir administravimą, kitų Informacinės sistemos komponentų bei elektroninės informacijos perdavimo tinklų priežiūrą bei administravimą ir užtikrina jų veikimą;

8.12. ne rečiau kaip kartą per metus peržiūri Informacinės sistemos saugos dokumentus ir nustačius poreikį juos atnaujina;

8.13. skiria Informacinės sistemos saugos įgaliotinį, Informacinės sistemos duomenų valdymo įgaliotinį, Informacinės sistemos administratorius, Informacinės sistemos naudotojus (toliau visi kartu – Informacinės sistemos atsakingi asmenys), kitus asmenis, atsakingus už Informacinės sistemos saugą ir elektroninės informacijos tvarkymą;

8.14. organizuoja Informacinės sistemos eksploatavimui, priežiūrai ir plėtrai skirtų funkcinių, techninių, programinių priemonių įsigijimą, organizuoja ir įgyvendina jų diegimą ir administravimą;

8.15. organizuoja Informacinės sistemos atsakingų asmenų mokymus;

8.16. atlieka kitas Informacinės sistemos nuostatuose ir kituose teisės aktuose, susijusiuose su Informacinės sistemos valdymu, nustatytas funkcijas.

9. Informacinės sistemos valdytojas ir tvarkytojas yra Informacinėje sistemoje tvarkomų asmens duomenų valdytojas ir tvarkytojas, ir turi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1) (toliau – Reglamentas (ES) 2016/679) ir Asmens duomenų teisinės apsaugos įstatyme nurodytas teises ir pareigas, užtikrina Informacinės sistemos duomenų subjektų teisių įgyvendinimą, atlieka kitas Nuostatuose ir kituose teisės aktuose, susijusiuose su asmens duomenų valdymu, nustatytas funkcijas.

10. Informacinės sistemos saugos įgaliotinis:

10.1. koordinuoja ir prižiūri elektroninės informacijos saugos politikos įgyvendinimą Informacinės sistemos saugos dokumentuose nustatyta tvarka;

10.2. teikia Informacinės sistemos valdytojui ir tvarkytojui siūlymus dėl Informacinės sistemos saugos atitikties vertinimo atlikimo;

10.3. teikia Informacinės sistemos valdytojui ir tvarkytojui siūlymus dėl Informacinės sistemos saugos dokumentų priėmimo ir (arba) keitimo;

10.4. organizuoja Informacinės sistemos rizikos įvertinimą ir rengia rizikos įvertinimo ataskaitą;

10.5. supažindina Informacinės sistemos administratorius ir Informacinės sistemos naudotojus su Informacinės sistemos saugos dokumentų reikalavimais bei atsakomybe už reikalavimų nesilaikymą;

10.6. organizuoja Informacinės sistemos naudotojų mokymus elektroninės informacijos saugos klausimais, informuoja juos apie elektroninės informacijos saugos problemas;

10.7. teikia Informacinės sistemos valdytojui ir tvarkytojui pasiūlymus dėl kvalifikacijos reikalavimų Informacinės sistemos administratoriui nustatymo ir jo paskyrimo;

10.8. Informacinės sistemos valdytojo ir tvarkytojo pavedimu koordinuoja elektroninės informacijos saugos (kibernetinių) incidentų tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, informacijos saugos (kibernetinius) incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos (kibernetiniais) incidentais, arba dalyvauja šią funkciją atliekančios elektroninės informacijos saugos (kibernetinio saugumo) darbo grupės veikloje;

10.9. teikia Informacinės sistemos administratoriams ir Informacinės sistemos naudotojams privalomus vykdyti nurodymus ir pavedimus dėl elektroninės informacijos saugos politikos įgyvendinimo;

10.10. atlieka kitas Informacinės sistemos valdytojo ir tvarkytojo pavestas Duomenų saugos nuostatuose ir kituose Informacinės sistemos saugos dokumentuose nustatytas funkcijas;

10.11. negali atlikti Informacinės sistemos administratoriaus funkcijų.

11. Informacinės sistemos administratorius:

11.1. užtikrina Informacinės sistemos techninės ir programinės įrangos įdiegimą, administravimą, priežiūrą;

11.2. diegia, administruoja, prižiūri programinę įrangą, reikalingą Informacinės sistemos naudotojų funkcijoms atlikti;

11.3. sukuria Informacinės sistemos naudotojų paskyras ir suteikia Informacinės sistemos naudotojams prieigos prie elektroninės informacijos, kurios reikia jų funkcijoms atlikti, priemones;

11.4. užtikrina Informacinės sistemos komponentų (kompiuterių, tarnybinių stočių, operacinių sistemų, taikomųjų programų, duomenų bazės valdymo sistemų, ugniasienių, įsilaužimo aptikimo sistemų ir kt.) apskaitą, tinkamą veikimą ir priežiūrą, pagal kompetenciją nustato Informacinės sistemos pažeidžiamas vietas;

11.5. pagal kompetenciją dalyvauja vykdant saugumo reikalavimų įgyvendinimo stebėseną;

11.6. pagal kompetenciją teikia Informacinės sistemos valdytojui ir tvarkytojui siūlymus dėl Informacinės sistemos palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir elektroninės informacijos saugos užtikrinimo;

11.7. informuoja Informacinės sistemos saugos įgaliotinį apie elektroninės informacijos saugos incidentus ir teikia siūlymus dėl jų valdymo;

11.8. daro Informacinės sistemos duomenų bazių atsargines kopijas, tikrina jų tinkamumą elektroninės informacijos atkūrimui ir atsako už šių kopijų saugojimą;

11.9. pagal kompetenciją dalyvauja tiriant ir (arba) valdant elektroninės informacijos saugos incidentus;

11.10. reguliariai, bet ne rečiau kaip vieną kartą per metus ir (arba) po Informacinės sistemos pokyčio patikrina Informacinės sistemos sąranką ir Informacinės sistemos būsenos rodiklius;

11.11. inicijuoja Informacinės sistemos valdytojo ir tvarkytojo ir (arba) Informacinės sistemos techninę priežiūrą teikiančios įmonės darbuotojų privilegijuotos prieigos prie Informacinės sistemos ar jos komponentų, suteikiančios galimybę atlikti veiksmus, galinčius sukelti riziką Informacinei sistemai, jos komponentams ar joje tvarkomiems duomenims, teisių suteikimą (toliau – Informacinės sistemos privilegijuotas naudotojas) ir atsako už privilegijuotų naudotojų registravimą registre ir įrašų apie juos saugojimą;

11.12. kontroliuoja ir koordinuoja Informacinės sistemos techninę priežiūrą atliekančių įmonių, paslaugų teikėjų, administruojančių ir (arba) aptarnaujančių Informacinės sistemos techninę ir programinę įrangą, veiklą;

11.13. atlieka kitas Informacinės sistemos valdytojo ir tvarkytojo ir Informacinės sistemos saugos įgaliotinio pavestas Duomenų saugos nuostatuose ir kituose Informacinės sistemos saugos dokumentuose nustatytas funkcijas;

11.14. negali atlikti Informacinės sistemos naudotojo funkcijų, pasinaudodamas administratoriaus paskyra.

12. Elektroninė informacija tvarkoma ir jos sauga užtikrinama vadovaujantis:

12.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) Reglamentu (ES) 2016/679;

12.2. Lietuvos Respublikos kibernetinio saugumo įstatymu;

12.3. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu;

12.4. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

12.5. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu;

12.6. Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Klasifikavimo gairių aprašas);

12.7. Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašu;

12.8. Techniniais elektroninės informacijos saugos reikalavimais;

12.9. Informacijos saugumo valdymo sistemų šeimos (ISO/IEC 27000) standartais;

12.10. Duomenų saugos nuostatais, Informacinės sistemos saugos dokumentais ir kitais teisės aktais, reglamentuojančiais elektroninės informacijos saugumo politiką, jos tvarkymo teisėtumą ir saugos valdymą.

II Skyrius

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

13. Vadovaujantis Klasifikavimo gairių aprašo 9 punktu, elektroninė informacija yra priskiriama vidutinės svarbos elektroninės informacijos kategorijai.

14. Vadovaujantis Klasifikavimo gairių aprašo 12.3 papunkčiu, Informacinė sistema pagal joje tvarkomos informacijos svarbą, yra priskiriama trečiajai informacinių sistemų kategorijai.

15. Informacinės sistemos duomenis, elektroninę informaciją, dokumentus ir (arba) jų kopijas duomenų gavėjams Informacinės sistemos nuostatuose nustatyta tvarka pagal kompetenciją teikia Informacinės sistemos naudotojai, Informacinės sistemos valdytojas ir tvarkytojas.

16. Įgyvendinant nustatytus elektroninės informacijos saugumo užtikrinimo tikslus, ne rečiau kaip vieną kartą per kalendorinius metus turi būti organizuojamos ir atliekamos kontrolės procedūros:

16.1. Informacinės sistemos rizikos vertinimas;

16.2. Informacinės sistemos saugos atitikties vertinimas.

17. Atliekant kontrolės procedūras, turi būti užtikrinama, kad jos neturės neigiamos įtakos Informacinės sistemos veiklai. Kontrolės procedūrų atlikimo terminai ir apimtys turi būti iš anksto suplanuoti ir suderinti su susijusiais Informacinės sistemos valdytojo ir tvarkytojo ir (arba) Informacinės sistemos techninę priežiūrą atliekančių įmonių darbuotojais.

18. Informacinės sistemos saugos įgaliotinis turi:

18.1. užtikrinti, kad būtų saugoma ir nuolat atnaujinama informacija apie esminių Informacinės sistemos infrastruktūros komponentų būklę bei už jų priežiūrą atsakingus asmenis;

18.2. identifikuoti ir vertinti Informacinės sistemos elektroninės informacijos saugos rizikų sumažinimo ir saugos gerinimo galimybes, numatyti ir Informacinės sistemos valdytojui ir tvarkytojui siūlyti su tuo susijusias priemones;

18.3. analizuoti, įvertinti kitų Informacinės sistemos atsakingų asmenų Informacinės sistemos valdytojui ir tvarkytojui siūlomų rizikos sumažinimo priemonių tinkamumą.

19. Informacinės sistemos rizikos vertinimas turi būti atliekamas:

19.1. ne rečiau kaip vieną kartą per kalendorinius metus (atliekant Informacinės sistemos saugos atitikties vertinimą);

19.2. prieš atliekant esminius Informacinės sistemos infrastruktūros pakeitimus ir (arba) po esminių organizacinių ar sisteminių pokyčių, nustačius naujų rizikos veiksnių;

19.3. pasikeitus Informacinės sistemos duomenų bazių struktūrai (sistemos pakeitimai, papildymas naujomis taikomosiomis programomis, taikomųjų programų pašalinimas ir kt.);

19.4. įvykus saugos incidentams (įvertinama rizika, susijusi tik su tais Informacinės sistemos informaciniais ištekliais, kuriuos paveikė atitinkamas saugos incidentas);

19.5. pasikeitus Informacinės sistemos veiklos pobūdžiui, tikslams, uždaviniams, funkcijoms arba esminiams Informacinės sistemos infrastruktūros komponentams;

19.6. Informacinės sistemos valdytojo ir tvarkytojo nurodymu.

20. Organizuojant rizikos vertinimą turi būti paskirtas už rizikos vertinimo proceso priežiūrą ir tobulinimą atsakingas asmuo (asmenys), atitinkantis nustatytus kvalifikacinius reikalavimus. Tokiu asmeniu gali būti skiriamas Informacinės sistemos valdytojo ir tvarkytojo darbuotojas arba sudaroma sutartis su rizikos vertinimo, rizikos vertinimo proceso priežiūros bei nuolatinio tobulinimo paslaugas teikiančiu subjektu.

21. Rizikos vertinimo metu įvertinami rizikos veiksniai, galintys turėti įtakos elektroninės informacijos saugai, jų galima žala, pasireiškimo tikimybė, galimi rizikos valdymo būdai. Turi būti įvertinti svarbiausieji rizikos veiksniai:

21.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo elektroninių ryšių tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kita);

21.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis Informacine sistema elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, naudojamų informacinių technologijų paslaugų, duomenų perdavimo elektroninių ryšių tinklais sutrikdymai, saugumo pažeidimai, įrangos vagystės ir kita);

21.3. atsitiktinės subjektyvios aplinkybės (darbuotojų praradimas, gaisrai, vandens poveikis, elektros instaliacijos gedimas ir kita);

21.4. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

22. Rizikos veiksniams vertinti naudojama dvidešimt penkių balų rizikos vertinimo sistema, pagal kurią, nustačius rizikos veiksnių tikimybę ir poveikį, apskaičiuojamas rizikos laipsnis:

22.1. rizikos laipsnis nuo 1 iki 6 – maža rizika;

22.2. rizikos laipsnis nuo 8 iki 12 – vidutinė rizika;

22.3. rizikos laipsnis nuo 15 iki 25 – didelė rizika.

23. Informacinės sistemos rizikos įvertinimo rezultatai ir siūlomos priemonės rizikos veiksniams valdyti išdėstomi rizikos vertinimo ataskaitoje, kuri pateikiama Informacinės sistemos valdytojui ir tvarkytojui. Rizikos veiksniai rizikos įvertinimo ataskaitoje turi būti išdėstyti pagal prioritetus ir priimtiną rizikos lygį.

24. Rizikos vertinimo ataskaitos, rizikos įvertinimo ir rizikos tvarkymo plano kopijas informacinės sistemos valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai (toliau – ARSIS) ARSIS nuostatų nustatyta tvarka.

25. Siūlomos priemonės rizikos veiksniams valdyti parenkamos įvertinus galimus Informacinės sistemos pažeidžiamumus ir duomenų vientisumo, konfidencialumo ir prieinamumo praradimo rizikos veiksnius.

26. Atsižvelgdamas į rizikos vertinimo ataskaitą, Informacinės sistemos valdytojas ir tvarkytojas prireikus gali tvirtinti rizikos valdymo priemonių planą, kuriame būtų nurodytas techninių, administracinių, organizacinių ir kitų išteklių poreikis papildomoms rizikos valdymo priemonėms įdiegti arba procedūroms įgyvendinti.

27. Priimtiną Informacinės sistemos rizikos lygį nustato Informacinės sistemos valdytojas ir tvarkytojas, jeigu Informacinės sistemos valdytojas ir tvarkytojas nenustatė kitaip.

28. Informacinės sistemos saugos atitikties vertinimas atliekamas Informacinių technologijų saugos atitikties vertinimo metodikoje, patvirtintoje Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“ nustatyta tvarka (toliau – saugos atitikties vertinimas). Saugos atitikties vertinimo metu:

28.1. įvertinama realios elektroninės informacijos saugos būsenos atitiktis Duomenų saugos nuostatų, kitų Informacinės sistemos saugos dokumentų, Organizacinių ir techninių kibernetinio saugumo reikalavimų ir kitų teisės aktų reikalavimams;

28.2. jei tai įmanoma, patikrinama ne mažiau kaip 10 procentų atsitiktinai parinktų Informacinės sistemos naudotojų kompiuterizuotų darbo vietų ir visų tarnybinių stočių įdiegta programinė įranga ir jos sąranka;

28.3. patikrinama (įvertinama) Informacinės sistemos naudotojams ir Informacinės sistemos administratoriams suteiktų teisių atitiktis jų atliekamoms funkcijoms;

28.4. įvertinamas pasirengimas užtikrinti Informacinės sistemos veiklos tęstinumą įvykus elektroninės informacijos saugos incidentui.

29. Atlikęs saugos atitikties vertinimą, Informacinės sistemos saugos įgaliotinis parengia ir Informacinės sistemos valdytojui ir tvarkytojui pateikia tvirtinti Informacinės sistemos saugos atitikties vertinimo ataskaitą ir vertinimo metu nustatytų trūkumų šalinimo planą. Tvirtindamas šį planą, Informacinės sistemos valdytojas ir tvarkytojas taip pat paskiria už jo įgyvendinimą atsakingus vykdytojus bei nustato įgyvendinimo terminą.

30. Elektroninės informacijos saugos priemonės parenkamos vadovaujantis principais ir reikalavimais:

30.1. likutinė rizika turi būti sumažinta iki Informacinės sistemos valdytojo ir tvarkytojo nustatyto lygio;

30.2. elektroninės informacijos saugos priemonės ir jos diegimo kaina turi būti proporcinga saugomos elektroninės informacijos vertei;

30.3. įdiegtos saugos priemonės turi užtikrinti saugų Informacinės sistemos darbą ir veiklos tęstinumą;

30.4. kur galima, būtų įdiegiamos prevencinės, detekcinės ir korekcinės informacijos saugos (kibernetinio saugumo) priemonės;

30.5. Informacinės sistemos neveikimo laikas negali būti ilgesnis nei 16 valandų;

30.6. turi būti užtikrintas Informacinės sistemos pasiekiamumas ne mažiau 90 proc. laiko darbo metu darbo valandomis.

III skyrius

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

31. Informacinės sistemos organizaciniai ir techniniai elektroninės informacijos saugos (kibernetinio saugumo) reikalavimai turi būti nustatyti taip, kad atitiktų Informacinės sistemos svarbos kategoriją.

32. Organizacinių ir techninių elektroninės informacijos saugos (kibernetinio saugumo) priemonių užtikrinimas turi būti grindžiamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos elektroninės informacijos saugai (kibernetiniam saugumui), rizikos vertinimu, atsižvelgiant į naujausius technikos pasiekimus.

33. Programinės įrangos, skirtos apsaugoti Informacinę sistemą nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamo elektroninio pašto ir panašiai) naudojimo nuostatos ir jos atnaujinimo reikalavimai:

33.1. Informacinės sistemos tarnybinėse stotyse ir darbo vietų kompiuteriuose turi būti įdiegtos centralizuotai valdomos kenksmingos programinės įrangos aptikimo priemonės (toliau – antivirusinė programinė įranga). Šios priemonės reguliariai, bet ne rečiau kaip kas 24 valandas, turi būti automatiniu būdu atnaujinamos;

33.2. turi būti naudojamos priemonės, turinčios apsaugos mechanizmus, blokuojančius kenkimo programų bandymus panaikinti apsaugas nuo kenkimo programų;

33.3. antivirusinė programinė įranga turi automatiškai informuoti atsakinguosius darbuotojus apie tai, kuriose tarnybinėse stotyse ar darbo vietos kompiuteriuose ji netinkamai funkcionuoja, yra išjungta arba laiku neatsinaujina;

33.4. antivirusinė programinės įrangos konfigūravimas turi būti apsaugotas slaptažodžiu;

33.5. antivirusinė programinė įranga turi veikti nuolat ir realiu laiku.

34. Detalios antivirusinės programinės įrangos naudojimo nuostatos ir jos atnaujinimo reikalavimai (ilgiausias leistinas neatnaujinimo laikas ir kt.) turi būti nustatyti Informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklėse.

35. Informacinės sistemos veikimui būtiną kompiuterinę, techninę ir programinę įrangą diegia ir administruoja Informacinės sistemos valdytojo ir tvarkytojo paskirti Informacinės sistemos administratoriai arba Lietuvos Respublikos viešųjų pirkimų įstatymo nustatyta tvarka atrinkti paslaugų teikėjai (toliau – paslaugų teikėjai), kurių veiklą koordinuoja ir kontroliuoja Informacinės sistemos administratorius.

36. Paslaugų teikėjų įsipareigojimai dėl Informacinės sistemos elektroninės informacijos saugos užtikrinimo ir atsakomybių turi būti išdėstyti paslaugų teikimo sutartyse.

37. Informacinės sistemos duomenys iš duomenų teikėjų turi būti gaunami automatiniu būdu pagal duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas arba kitais būdais, nustatytais Informacinės sistemos nuostatuose.

38. Programinės įrangos, įdiegtos Informacinės sistemos tarnybinėse stotyse ir kompiuterizuotose darbo vietose, naudojimo nuostatos:

38.1. Informacinėje sistemoje gali būti naudojama tik legali ir Informacinės sistemos funkcijoms atlikti būtina programinė įranga (toliau – programinė įranga);

38.2. programinė įranga turi būti nuolatos atnaujinama laikantis gamintojo reikalavimų;

38.3. programinės įrangos diegimą, šalinimą ir konfigūravimą gali atlikti tik Informacinės sistemos administratorius, paslaugų teikėjai ir (arba) Informacinės sistemos privilegijuoti naudotojai;

38.4. turi būti įdiegta prieigos prie elektroninės informacijos per registravimą, teisių suteikimą ir slaptažodžius sistema;

38.5. turi būti įgyvendinta prievolė keisti slaptažodžius ne rečiau kaip vieną kartą per 3 mėnesius;

38.6. turi būti įdiegta galimybė fiksuoti ir kaupti informaciją apie asmenų, kurie naudojosi prieiga prie elektroninės informacijos, atliktus veiksmus;

38.7. Informacinės sistemos programinės įrangos diegimo laikmenas ir (arba) licencijas saugo Informacinės sistemos administratorius.

39. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kt.) pagrindinės naudojimo nuostatos:

39.1. Informacinė sistema ir kompiuterių tinklas nuo viešųjų elektroninių ryšio tinklų turi būti atskirti ugniasienėmis bei įsilaužimų aptikimo ir prevencijos įranga. Ugniasienių įvykių žurnalai turi būti reguliariai analizuojami;

39.2. Informacinės sistemos programinė įranga turi turėti apsaugą nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbties (angl. SQL injection), XSS (angl. Cross-site scripting), paslaugos trikdymo (angl. DOS), srautinių paslaugos trikdymo (angl. DDOS) ir kitų; pagrindinių per tinklą vykdomų atakų sąrašas skelbiamas Atviro tinklo programų saugumo projekto (angl. The Open Web Application Security Project (OWASP) interneto svetainėje www.owasp.org;

39.3. Informacinės sistemos perimetro apsaugai turi būti naudojami filtrai, apsaugantys elektroniniame pašte ir viešame ryšių tinkle naršančių Informacinės sistemos naudotojų kompiuterinę įrangą nuo kenksmingo kodo;

39.4. gali būti naudojamos turinio filtravimo sistemos.

40. Leistinos kompiuterių naudojimo ribos:

40.1. stacionarūs ir (arba) nešiojamieji Informacinės sistemos naudotojų kompiuteriai ir kiti mobilieji įrenginiai turi būti naudojami tik tiesioginėms pareigoms atlikti;

40.2. nešiojamuosiuose kompiuteriuose ir kituose mobiliuosiuose įrenginiuose turi būti taikomos papildomos saugos priemonės (kompiuterio įjungimo slaptažodis, papildomas naudotojo tapatybės patvirtinimas, elektroninės informacijos šifravimas, prisijungimų ribojimas ir pan.);

40.3. Informacinės sistemos naudotojai privalo naudotis visomis saugumo priemonėmis tam, kad apsaugotų savo darbo vietos kompiuterį ir duomenų laikmenas nuo vagystės arba pažeidimo;

40.4. iš kompiuterių, kurie perduodami remontuoti ar techninei priežiūrai atlikti, turi būti pašalinta visa elektroninė informacija arba išimti kietieji diskai (sisteminės duomenų laikmenos);

40.5. jei prie Informacinės sistemos prisijungiama nuotoliniu būdu, perduodamų duomenų konfidencialumas turi būti užtikrintas naudojant virtualų privatų tinklą (angl. Virtual Private Network, VPN) ir kitus duomenų šifravimo būdus (TLS (angl. Transport Layer Security), HTTPS (angl. Hypertext Transfer Protocol Secure) ar lygiaverčius;

40.6. Informacinės sistemos naudotojai išorinius įrenginius ir laikmenas prie Informacinės sistemos darbo vietos kompiuterio gali jungti ir naudoti tik tada, jei Informacinės sistemos tvarkytojo sprendimu jiems tokia teisė suteikta.

41. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą:

41.1. prieigos prie elektroninės informacijos teises suteikia Informacinės sistemos valdytojas ir tvarkytojas, įgyvendina – tik Informacinės sistemos administratorius. Informacinės sistemos naudotojams suteikiamos tik tokios teisės, kokių reikia jų funkcijoms atlikti;

41.2. prieiga prie elektroninės informacijos leidžiama tik per registravimosi slaptažodžių sistemą. Prieigos prie elektroninės informacijos valdymo procedūros turi būti nustatytos Informacinės sistemos naudotojų administravimo taisyklėse;

41.3. pasibaigus Informacinės sistemos naudotojo darbo santykiams, teisė naudotis elektronine informacija turi būti automatiškai panaikinta. Informacinės sistemos naudotojui prieiga prie Informacinės sistemos turi būti ribojama ar sustabdoma, kai vyksta Informacinės sistemos naudotojo veiklos tyrimas, naudotojas yra ilgalaikėse atostogose arba keičiasi jo atliekamos ir (ar) pareigybės aprašyme nustatytos funkcijos;

41.4. elektroninė informacija, perduodama ne per Informacinės sistemos valdytojui ir tvarkytojui ar teisės aktų nustatyta tvarka atrinktam elektroninių ryšių paslaugų teikėjui priklausančias elektroninių ryšių linijas, turi būti šifruojama.

42. Pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:

42.1. Informacinės sistemos atsarginės duomenų bazės kopijos daromos automatiniu būdu ne rečiau kaip vieną kartą per savaitę. Kopijos turi būti saugomos kitoje patalpoje, nei yra įrenginys, kurio elektroninė informacija buvo nukopijuota. Elektroninė informacija kopijose turi būti užšifruota, o šifravimo raktai turi būti saugomi atskirai nuo kopijų, arba turi būti imtasi kitų priemonių, dėl kurių nebūtų galima neteisėtai atkurti elektroninės informacijos;

42.2. teisę atkurti elektroninę informaciją iš kopijų turi Informacinės sistemos administratorius ir (arba) Informacinės sistemos valdytojo ir tvarkytojo sprendimu – jį pavaduojantis asmuo;

42.3. periodiškai, bet ne rečiau kaip vieną kartą per 6 mėnesius turi būti atliekami elektroninės informacijos atkūrimo iš atsarginių kopijų bandymai;

42.4. patekimas į patalpas, kuriose saugomos atsarginės elektroninės informacijos kopijos, turi būti kontroliuojamas.

43. Detali elektroninės informacijos kopijų darymo ir saugojimo tvarka turi būti nustatyta Informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklėse.

44. Organizaciniai ir techniniai elektroninės informacijos saugos reikalavimai gali būti detalizuoti kituose Informacinės sistemos saugos politiką įgyvendinančiuose dokumentuose.

IV skyrius

REIKALAVIMAI PERSONALUI

45. Informacinės sistemos saugos įgaliotiniui (toliau – Saugos įgaliotinis) keliami šie kvalifikaciniai reikalavimai:

45.1. Saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo principus, tobulinti elektroninės informacijos saugos (kibernetinio saugumo) srities kvalifikaciją, savo darbe vadovautis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašo ir kitų Lietuvos Respublikos ir Europos Sąjungos teisės aktų nuostatomis, reglamentuojančiomis elektroninės informacijos saugą (kibernetinį saugumą);

45.2. Saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieneri metai.

46. Informacinės sistemos administratoriui keliami šie reikalavimai:

46.1. privalo išmanyti elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo principus, mokėti užtikrinti Informacinės sistemos ir elektroninės informacijos saugą (kibernetinį saugumą), administruoti ir prižiūrėti Informacinės sistemos komponentus (stebėti Informacinės sistemos komponentų veikimą, atlikti jų profilaktinę priežiūrą, trikčių diagnostiką ir šalinimą, sugebėti užtikrinti Informacinės sistemos komponentų nepertraukiamą funkcionavimą ir pan.);

46.2. gali būti skiriamas Informacinės sistemos valdytojo ir tvarkytojo arba Informacinės sistemos techninę priežiūrą atliekančios įmonės darbuotojas, atitinkantis Informacinės sistemos valdytojo ir tvarkytojo nustatytus kvalifikacijos reikalavimus, išmanantis darbą su Informacinės sistemos taikomąja programine įranga ir gebantis atlikti funkcijas, susijusias su Informacinės sistemos naudotojų teisių valdymu;

46.3. turi būti susipažinęs su duomenų bazių administravimo ir valdymo pagrindais;

46.4. turi būti susipažinęs su Informacinės sistemos saugos dokumentais, asmens duomenų teisinę apsaugą ir elektroninės informacijos saugą reglamentuojančiais teisės aktais;

46.5. turi būti pasirašęs Informacinės sistemos valdytojo ir tvarkytojo nustatytos formos konfidencialumo pasižadėjimą saugoti elektroninės informacijos ir asmens duomenų konfidencialumą.

47. Informacinės sistemos techninę priežiūrą vykdančių įmonių atsakingi darbuotojai turi atitikti Informacinės sistemos vystymo ar priežiūros paslaugų pirkimo dokumentuose nustatytus kvalifikacinius reikalavimus bei gebėti vykdyti sutartyse dėl paslaugų teikimo nurodytas veiklas. Kai sudaromos Informacinės sistemos vystymo ar priežiūros paslaugų, susijusių su prieigos prie Informacinės sistemos bei elektroninės informacijos suteikimu, sutartys, turi būti taikomi šie principai:

47.1. Informacinės sistemos techninę priežiūrą vykdančių įmonių darbuotojams prieiga suteikiama vadovaujantis Informacinės sistemos naudotojų administravimo taisyklių nuostatomis;

47.2. Informacinės sistemos techninę priežiūrą vykdančių įmonių darbuotojai privalo nedelsdami informuoti Informacinės sistemos saugos įgaliotinį apie pasikeitimus jų įmonėje, jei dėl to privalo būti keičiamos ir (arba) turi būti naikinamos Informacinės sistemos techninę priežiūrą atliekančių įmonių darbuotojų prieigos prie Informacinės sistemos paskyros (pvz., nutrūkus Informacinės sistemos techninę priežiūrą vykdančios įmonės darbuotojo darbo santykiams);

47.3. Informacinės sistemos techninę priežiūrą vykdančių įmonių darbuotojų prieigos prie Informacinės sistemos suteikimas grupinių paskyrų pagrindu griežtai draudžiamas;

47.4. prieš Informacinės sistemos techninę priežiūrą vykdančių įmonių darbuotojams suteikiant prieigą prie Informacinės sistemos, jie privalo pasirašyti Informacinės sistemos valdytojo ir tvarkytojo nustatytos formos konfidencialumo pasižadėjimus.

48. Papildomai susitarimuose tarp Informacinės sistemos valdytojo ir tvarkytojo ir Informacinės sistemos techninę priežiūrą teikiančių įmonių turi būti nurodyta:

48.1. elektroninė informacija ir elektroninės informacijos apdorojimo priemonės, prie kurių Informacinės sistemos techninę priežiūrą vykdančių įmonių darbuotojams suteikiama prieiga;

48.2. prieigos tipas (fizinė prieiga, loginė prieiga, nuotolinė prieiga, prieiga konkrečioje darbo vietoje);

48.3. su prieiga prie Informacinės sistemos susijusios rizikos;

48.4. prieigos suteikimo laikotarpis ir leidžiamas prisijungimo laikas savaitės dienomis ir paros metu;

48.5. Informacinės sistemos techninę priežiūrą vykdančių įmonių darbuotojams leistini Informacinėje sistemoje atlikti veiksmai;

48.6. kibernetinių incidentų ir elektroninės informacijos saugos incidentų valdymo nuostatos ar nuorodos į jas;

48.7. susijusių Informacinės sistemos techninę priežiūrą vykdančių įmonių darbuotojų bei Informacinės sistemos valdytojo ir tvarkytojo darbuotojų pareigos ir atsakomybės prieigos suteikimo laikotarpiu;

48.8. Informacinės sistemos valdytojo ir tvarkytojo teisė stebėti Informacinės sistemos techninę priežiūrą vykdančių įmonių darbuotojų veiksmus, atliekamus Informacinės sistemos komponentuose;

48.9. Informacinės sistemos techninę priežiūrą vykdančios įmonės paslaugų teikimo sąlygos ir reikalavimai;

48.10. ataskaitos ir informacija, kurią turi teikti Informacinės sistemos techninę priežiūrą vykdanti įmonė, siekdama įrodyti atitiktį paslaugų teikimo reikalavimams;

48.11. ginčų ir nesutarimų tarp Informacinės sistemos valdytojo ir tvarkytojo ir Informacinės sistemos techninę priežiūrą vykdančios įmonės sprendimo nuostatos;

48.12. susitarimų keitimo nuostatos;

48.13. nuorodos į kitas Informacinės sistemos saugos nuostatas, procedūras ir reikalavimus, kuriais būtina vadovautis.

49. Informacinės sistemos naudotojai privalo turėti pagrindinius darbo kompiuteriu, taikomosiomis programomis įgūdžius, mokėti tvarkyti elektroninę informaciją, būti susipažinę su teisės aktais, reglamentuojančiais asmens duomenų ir elektroninės informacijos tvarkymą. Asmenys, tvarkantys asmens duomenis ir (arba) elektroninę informaciją, privalo laikyti jų paslaptį ir būti pasirašę Informacinės sistemos valdytojo ir tvarkytojo nustatytos formos pasižadėjimą saugoti asmens duomenų ir elektroninės informacijos paslaptį. Įsipareigojimas saugoti asmens duomenų ir elektroninės paslaptį galioja ir nutraukus su prieiga prie Informacinės sistemos susijusią veiklą.

50. Kiti Informacinės sistemos valdytojo ir tvarkytojo darbuotojai, kurie Informacinės sistemos valdytojo ir tvarkytojo sprendimu dalyvauja Informacinės sistemos priežiūros, valdymo ir vystymo veikloje, taip pat privalo gerai išmanyti Informacinės sistemos veikimo principus, būti susipažinę ir vykdyti Informacinės sistemos saugos dokumentuose nustatytus reikalavimus.

51. Informacinės sistemos atsakingų asmenų kvalifikacija taip pat turi atitikti reikalavimus, nustatytus jų pareiginiuose nuostatuose ar pareigybės aprašyme.

52. Informacinės sistemos valdytojas ir tvarkytojas užtikrina reikiamą atsakingų asmenų kvalifikacijos tobulinimą.

53. Informacinės sistemos atsakingų asmenų mokymų elektroninės informacijos saugos (kibernetinio saugumo) klausimais (toliau – mokymai) planavimo, organizavimo ir vykdymo tvarka, mokymo periodiškumo reikalavimai:

53.1. Informacinės sistemos naudotojams reguliariai turi būti įvairiais būdais primenama apie elektroninės informacijos saugos (kibernetinio saugumo) problemas (pvz., priminimai elektroniniu paštu, teminių renginių organizavimas, atmintinės naujiems informacinių sistemų naudotojams, informacinių sistemų administratoriams ir pan.);

53.2. mokymai turi būti planuojami ir mokymo būdai parenkami atsižvelgiant į elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo prioritetines kryptis ir tikslus, įdiegtas ar planuojamas įdiegti technologijas (techninę ar programinę įrangą), Informacinės sistemos atsakingų asmenų poreikius;

53.3. mokymai gali būti vykdomi tiesioginiu (pvz., paskaitos, seminarai, konferencijos ir kt. teminiai renginiai) ar nuotoliniu būdu (pvz., vaizdo konferencijos, mokomosios medžiagos pateikimas elektroninėje erdvėje ir pan.);

53.4. Informacinės sistemos valdytojo ir tvarkytojo sprendimu mokymai gali būti organizuojami taip pat ir atsiradus poreikiui.

V skyrius

Informacinės sistemos NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

54. Informacinės sistemos naudotojus su Duomenų saugos nuostatais ir kitais Informacinės sistemos saugos dokumentais bei atsakomybe už nustatytų reikalavimų nesilaikymą Dokumentų valdymo sistemos priemonėmis supažindina Informacinės sistemos saugos įgaliotinis. Informacinės sistemos naudotojai, pažeidę Duomenų saugos nuostatuose ir (arba) kituose Informacinės sistemos saugos dokumentuose nustatytus reikalavimus, atsako teisės aktų nustatyta tvarka.

55. Pakartotinai su Duomenų saugos nuostatais ir (arba) kitais Informacinės sistemos saugos dokumentais Informacinės sistemos naudotojai supažindinami patvirtinus atitinkamų dokumentų pakeitimus.

56. Duomenų saugos nuostatai bei kiti dokumentai, reglamentuojantys saugų elektroninės informacijos tvarkymą, gali būti skelbiami Informacinės sistemos valdytojo ir tvarkytojo interneto svetainėje ar kitais būdais.

57. Informacinės sistemos naudotojų supažindinimo su Duomenų saugos nuostatais ir saugos dokumentais procedūros turi būti nustatytos Informacinės sistemos naudotojų administravimo taisyklėse.

58. Elektroninę informaciją tvarkyti gali tik Informacinės sistemos naudotojai, pasirašytinai susipažinę su saugos dokumentais. Informacinės sistemos naudotojai pagal kompetenciją atsako už Informacinės sistemos ir elektroninės informacijos saugą.

59. Informacinės sistemos atsakingi asmenys, pažeidę Informacinės sistemos saugą ir (arba) saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

VI skyrius

BAIGIAMOSIOS NUOSTATOS

60. Duomenų saugos nuostatus ir Informacinės sistemos saugos dokumentus gali keisti Informacinės sistemos valdytojas.

61. Keičiami Informacinės sistemos saugos dokumentai gali būti nederinami su Nacionaliniu kibernetinio saugumo centru tais atvejais, kai atliekami tik redakciniai ar nežymūs nustatyto teisinio reguliavimo esmės ar elektroninės informacijos saugos politikos ir kibernetinio saugumo politikos nekeičiantys pakeitimai arba taisoma teisės technika. Tokiais atvejais Nacionaliniam kibernetinio saugumo centrui turi būti pateiktos patvirtintos pakeistų saugos dokumentų kopijos.

62. Informacinės sistemos saugos dokumentai iš esmės turi būti persvarstomi (peržiūrimi) ne rečiau kaip vieną kartą per kalendorinius metus. Informacinės sistemos saugos dokumentai taip pat turi būti persvarstomi (peržiūrimi) atlikus rizikos veiksnių analizę ar informacinių technologijų saugos atitikties vertinimą arba įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams.

63. Kiti asmenys, Informacinės sistemos valdytojo ir tvarkytojo sprendimu dalyvaujantys Informacinės sistemos priežiūros, valdymo ir vystymo veikloje, pažeidę Informacinės sistemos saugos dokumentų ir (arba) kitų saugų elektroninės informacijos tvarkymą ir (arba) asmens duomenų apsaugą reglamentuojančių teisės aktų reikalavimus, atsako teisės aktų nustatyta tvarka. Informacinės sistemos techninę priežiūrą vykdančių įmonių atsakingi darbuotojai, pažeidę jiems tarpusavio sutartimi su Informacinės sistemos valdytoju ir tvarkytoju dėl paslaugų, susijusių su Informacine sistema, teikimo nustatytus privalomus Informacinės sistemos elektroninės informacijos saugos valdymo reikalavimus, atsako susijusioje sutartyje nustatyta tvarka.

_________________