PATVIRTINTA

Aplinkos apsaugos departamento

prie Aplinkos ministerijos direktoriaus

2023 m. kovo 17 d. įsakymu Nr. AD1-91

APLINKOS APSAUGOS DEPARTAMENTO INFORMACINĖS SISTEMOS NUOSTATAI

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Aplinkos apsaugos departamento informacinės sistemos nuostatai (toliau – Nuostatai) nustato Aplinkos apsaugos departamento informacinės sistemos (toliau – AADIS) steigimo teisinį pagrindą, tikslą, uždavinius ir funkcijas, organizacinę, informacinę ir funkcinę struktūras, AADIS duomenų teikimą ir naudojimą, AADIS duomenų saugą, finansavimą, AADIS modernizavimą ir likvidavimą.

2. AADIS steigimo teisinis pagrindas – Lietuvos Respublikos aplinkos apsaugos įstatymo 6 straipsnio 1 dalis, Lietuvos Respublikos aplinkos apsaugos valstybinės kontrolės įstatymo 6 straipsnis.

3. AADIS tikslas – sudaryti sąlygas vykdyti aplinkos apsaugos kontrolę, perkeliant duomenis apie aplinkos apsaugos pažeidimus, aplinkos apsaugos reikalavimų laikymosi ir kontrolės rezultatų rinkimą, tvarkymą, valdymą, apdorojimą, sisteminimą ir teikimą į elektroninę erdvę.

4. AADIS uždaviniai:

4.1. automatizuoti ūkio subjektų veiklos priežiūros ir kontrolės mechanizmą ir nustatyti papildomus vidaus kontrolės mechanizmus, kurie leis užtikrinti Aplinkos apsaugos departamento prie Aplinkos ministerijos (toliau – Departamentas) funkcijų vykdymą ūkio subjektų veiklos rizikos vertinimo, priežiūros ir kontrolės veiklos srityje;

4.2. centralizuoti patikrinimų ir aplinkos apsaugą reglamentuojančių teisės aktų pažeidimų ir jų rezultatų apskaitą, duomenų prieinamumą realiuoju laiku Departamento struktūriniams padaliniams, patikrinimų planavimui, veiklos rezultatų vertinimui, vidaus kontrolei.

5. AADIS funkcijos:

5.1. rinkti, tvarkyti, sisteminti, valdyti ir analizuoti duomenis apie aplinkos apsaugą reglamentuojančių teisės aktų pažeidimus, aplinkos apsaugos reikalavimų laikymąsi ir kontrolę;

5.2. sudaryti ūkio subjektų sąrašus;

5.3. automatizuoti ūkio subjektų rizikos vertinimą;

5.4. užtikrinti galimybę AADIS tvarkytojo darbuotojams šios sistemos priemonėmis teikti, gauti, rengti, tvarkyti ir saugoti dokumentus bei informaciją;

5.5. užtikrinti prieigą prie dokumentų ir informacijos AADIS tvarkytojo darbuotojams pagal kompetenciją.

6. AADIS asmens duomenų tvarkymo tikslai – vykdyti aplinkos apsaugą ir gamtos išteklių naudojimą reglamentuojančių įstatymų ir kitų teisės aktų pažeidimų prevenciją, pažeidimų nutraukimą, žalos aplinkai nustatymą, įpareigojimą atkurti / pašalinti ar atlyginti aplinkai padarytą žalą ir identifikuoti pažeidimus padariusius ūkio subjektus, kitus fizinius ar juridinius asmenis (jų atstovus) vykdančius ūkinę veiklą ir taikyti atsakomybę už padarytus teisės aktų pažeidimus. Taip pat identifikuoti ADDIS naudotojus ir audituoti jų veiksmus.

7. AADIS veiklą reglamentuojantys teisės aktai:

7.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);

7.2. Aplinkos apsaugos įstatymas;

7.3. Aplinkos apsaugos valstybinės kontrolės įstatymas;

7.4. Lietuvos Respublikos viešojo administravimo įstatymas;

7.5. Lietuvos Respublikos saugomų teritorijų įstatymas;

7.6. Lietuvos Respublikos specialiųjų žemės naudojimo sąlygų įstatymas;

7.7. Lietuvos Respublikos miškų įstatymas;

7.8. Lietuvos Respublikos aplinkos oro apsaugos įstatymas;

7.9. Lietuvos Respublikos vandens įstatymas;

7.10. Lietuvos Respublikos geriamojo vandens tiekimo ir nuotekų tvarkymo įstatymas;

7.11. Lietuvos Respublikos atliekų tvarkymo įstatymas;

7.12. Lietuvos Respublikos žuvininkystės įstatymas;

7.13. Lietuvos Respublikos mėgėjų žvejybos įstatymas;

7.14. Lietuvos Respublikos laukinių augalų ir grybų įstatymas;

7.15. Lietuvos Respublikos laukinės gyvūnijos įstatymas;

7.16. Lietuvos Respublikos saugomų gyvūnų, augalų ir grybų rūšių įstatymas;

7.17. Lietuvos Respublikos žemės gelmių įstatymas;

7.18. Lietuvos Respublikos aplinkos monitoringo įstatymas;

7.19. Lietuvos Respublikos administracinių nusižengimų kodeksas;

7.20. Lietuvos Respublikos klimato kaitos valdymo įstatymas;

7.21. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

7.22. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

7.23. Lietuvos Respublikos kibernetinio saugumo įstatymas;

7.24. Bešeimininkio, konfiskuoto, valstybės paveldėto, valstybei perduoto turto, daiktinių įrodymų, lobių ir radinių perdavimo, apskaitymo, saugojimo, realizavimo, grąžinimo ir pripažinimo atliekomis taisyklės, patvirtintos Lietuvos Respublikos Vyriausybės 2004 m. gegužės 26 d. nutarimu Nr. 634 „Dėl bešeimininkio, konfiskuoto, valstybės paveldėto, valstybei perduoto turto, daiktinių įrodymų, lobių ir radinių perdavimo, apskaitymo, saugojimo, realizavimo, grąžinimo ir pripažinimo atliekomis taisyklių patvirtinimo“;

7.25. Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“ (toliau – Aprašas);

7.26. Saugos dokumentų turinio gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“.

7.27. Atliekų tvarkymo taisyklės, patvirtintos Lietuvos Respublikos aplinkos ministro 1999 m. liepos 14 d. įsakymu Nr. 217 „Dėl atliekų tvarkymo taisyklių patvirtinimo“;

7.28. Verslinės žvejybos vidaus vandenyse, įskaitant bendrąja daline nuosavybės teise priklausančius valstybei ir ūkio subjektams vandens telkinius, išskyrus privačius vidaus vandenų telkinius ir akvakultūros tvenkinius, tvarkos aprašas, patvirtintas Lietuvos Respublikos aplinkos ministro 2005 m. gegužės 30 d. įsakymu Nr. D1-267 „Dėl Verslinės žvejybos vidaus vandenyse, įskaitant bendrąja daline nuosavybės teise priklausančius valstybei ir ūkio subjektams vandens telkinius, išskyrus privačius vidaus vandenų telkinius ir akvakultūros tvenkinius, tvarkos aprašo patvirtinimo“;

7.29. Nuotekų tvarkymo reglamentas, patvirtintas Lietuvos Respublikos aplinkos ministro 2006 m. gegužės 17 d. įsakymu Nr. D1-236 „Dėl Nuotekų tvarkymo reglamento patvirtinimo“;

7.30. Paviršinių nuotekų tvarkymo reglamentas, patvirtintas Lietuvos Respublikos aplinkos ministro 2007 m. balandžio 2 d. įsakymu Nr. D1-193 „Dėl Paviršinių nuotekų tvarkymo reglamento patvirtinimo“;

7.31. Ūkio subjektų aplinkos monitoringo nuostatai, patvirtinti Lietuvos Respublikos aplinkos ministro 2009 m. rugsėjo16 d. įsakymu Nr. D1-546 „Dėl Ūkio subjektų aplinkos monitoringo nuostatų patvirtinimo“;

7.32. Leidimų kirsti mišką išdavimo tvarkos aprašas, patvirtintas Lietuvos Respublikos aplinkos ministro 2010 m. gruodžio 30 d. įsakymu Nr. D1-1055 „Dėl Leidimų kirsti mišką išdavimo tvarkos aprašo patvirtinimo“;

7.33. Mėgėjų žvejybos vidaus vandenyse taisyklės, patvirtintos Lietuvos Respublikos aplinkos ministro 2013 m. sausio 4 d. įsakymu Nr. D1-14 „Dėl Mėgėjų žvejybos vidaus vandenyse taisyklių patvirtinimo“;

7.34. Taršos integruotos prevencijos ir kontrolės leidimų išdavimo, pakeitimo ir galiojimo panaikinimo taisyklės, patvirtintos Lietuvos Respublikos aplinkos ministro 2013 m. liepos 15 d. įsakymu Nr. D1-528 „Dėl Taršos integruotos prevencijos ir kontrolės leidimų išdavimo, pakeitimo ir galiojimo panaikinimo taisyklių patvirtinimo“;

7.35. Valstybės informacinių sistemų gyvavimo ciklo valdymo metodika, patvirtinta Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos direktoriaus 2014 m. vasario 25 d. įsakymu Nr. T-29 „Dėl Valstybės informacinių sistemų gyvavimo ciklo valdymo metodikos patvirtinimo“;

7.36. Taršos leidimų išdavimo, pakeitimo ir galiojimo panaikinimo taisyklės, patvirtintos Lietuvos Respublikos aplinkos ministro 2014 m. kovo 6 d. įsakymu Nr. D1-259 „Dėl Taršos leidimų išdavimo, pakeitimo ir galiojimo panaikinimo taisyklių patvirtinimo“;

7.37. Departamento nuostatai, patvirtinti Lietuvos Respublikos aplinkos ministro 2018 m. balandžio 6 d. įsakymu Nr. D1-277 „Dėl Lietuvos Respublikos aplinkos ministerijos regionų aplinkos apsaugos departamentų reorganizavimo“;

7.38. Ūkio subjektų veiklos planinių ir neplaninių patikrinimų, vykdant aplinkos apsaugos valstybinę kontrolę, taisyklės, patvirtintos Departamento direktoriaus 2020 m. gruodžio 14 d. įsakymu Nr. AD1-378;

7.39. Privalomojo nurodymo davimo, formos pildymo, įvykdymo termino nustatymo, įteikimo, įvykdymo termino pratęsimo bei įvykdymo kontrolės tvarkos aprašas, patvirtintas Departamento direktoriaus 2022 m. birželio 15 d. įsakymu Nr. AD1-158;

7.40. Nuostatai ir kiti teisės aktai.

8. Nuostatuose vartojamos sąvokos atitinka Nuostatų 7 punkte nurodytuose teisės aktuose vartojamas sąvokas.

II SKYRIUS

AADIS ORGANIZACINĖ STRUKTŪRA

9. AADIS valdytojas, tvarkytojas ir asmens duomenų valdytojas yra Departamentas.

10. AADIS valdytojas ir tvarkytojas atlieka Valstybės informacinių išteklių valdymo įstatyme nustatytas funkcijas, turi šiame įstatyme ir Reglamente (ES) 2016/679 nustatytas teises ir pareigas.

11. AADIS valdytojas ir tvarkytojas vykdo šias funkcijas:

11.1. organizuoja AADIS kūrimą;

11.2. tvirtina AADIS kūrimo ir plėtros planus, kontroliuoja jų vykdymą;

11.3. tvirtina teisės aktus, susijusius su AADIS funkcionavimu;

11.4. tvarko AADIS duomenis ir teikia juos duomenų gavėjams;

11.5. sudaro duomenų teikimo sutartis;

11.6. atlieka AADIS tvarkytojo darbuotojų ir naudotojų administravimą;

11.7. užtikrina AADIS duomenų saugą;

11.8. AADIS saugos dokumentuose nustatyta tvarka užtikrina reikiamas administracines, technines ir organizacines AADIS tvarkomų duomenų saugos priemones ir kontroliuoja, kaip laikomasi jų;

11.9. užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikomi atitinkamais teisės aktais nustatyti konfidencialumo reikalavimai;

11.10. imasi visų priemonių, kurių reikalaujama pagal Reglamento (ES) 2016/679 32 straipsnį, techninėmis ir organizacinėmis priemonėmis užtikrina AADIS saugą, AADIS tvarkomų asmens duomenų konfidencialumą, vientisumą ir prieinamumą, apsaugą nuo netyčinio arba neteisėto sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jų ir nuo bet kokio neteisėto tvarkymo, taip pat saugų duomenų perdavimą kompiuteriniais tinklais;

11.11. atsižvelgdamas į AADIS duomenų tvarkymo pobūdį, taiko tinkamas technines ir organizacines priemones, kiek tai įmanoma, įgyvendinant prievolę atsakyti į prašymus pasinaudoti Reglamento (ES) 2016/679 III skyriuje nustatytomis duomenų subjektų teisėmis;

11.12. užtikrina Reglamento (ES) 2016/679 32–36 straipsniuose nustatytų prievolių laikymąsi atsižvelgdamas į asmens duomenų tvarkymo pobūdį ir AADIS asmens duomenų informaciją.

12. AADIS duomenų teikėjai:

12.1. Aplinkos apsaugos agentūra teikia Aplinkosaugos leidimų informacinės sistemos (toliau – ALIS) ir Lietuvos Respublikos upių, ežerų ir tvenkinių kadastro (valdytojas – Aplinkos ministerija) duomenis;

12.2. Aplinkos apsaugos agentūra teikia Vieningos gaminių, pakuočių ir atliekų apskaitos informacinės sistemos (toliau – GPAIS) (valdytojas – Aplinkos ministerija);

12.3. Informatikos ir ryšių departamentas prie Vidaus reikalų ministerijos teikia Administracinių nusižengimų registro (toliau – ANR) (valdytojas – Lietuvos Respublikos vidaus reikalų ministerija) duomenis;

12.4. Informacinės visuomenės plėtros komitetas teikia Lietuvos atvirų duomenų portalo duomenis (valdytojas – Ekonomikos ir inovacijų ministerija);

12.5. Lietuvos Respublikos prokuratūros ikiteisminio tyrimo duomenis.

III SKYRIUS

AADIS INFORMACINĖ STRUKTŪRA

13. AADIS duomenų bazėje saugoma:

13.1. juridinio asmens duomenys:

13.1.1. juridinio asmens pavadinimas, juridinio asmens kodas;

13.1.2. juridinio asmens buveinė (adresas);

13.1.3. juridinio asmens registravimo data;

13.1.4. juridinio asmens išregistravimo data;

13.1.5. juridinio asmens veiklos atnaujinimo data;

13.1.6. ekonominės veiklos rūšių klasifikatoriaus (toliau – EVRK) kodas, nusakantis ekonominę ūkio subjekto veiklą;

13.1.7. elektroninio pašto adresas;

13.1.8. ekonominės veiklos sektoriaus tipas, ekonominės veiklos tipas.

13.2. juridinio asmens vadovo ar jo atstovo:

13.2.1. vardas, pavardė;

13.2.2. asmens kodas;

13.2.3. elektroninio pašto adresas;

13.2.4. telefono numeris;

13.2.5. gyvenamoji vieta (adresas);

13.3. fizinio asmens duomenys:

13.3.1. vardas, pavardė;

13.3.2. asmens kodas;

13.3.3. elektroninio pašto adresas;

13.3.4. telefono numeris;

13.3.5. gyvenamoji vieta (adresas);

13.4. ūkio subjektų (fizinių ir /arba juridinių asmenų) duomenys:

13.4.1. fizinio asmens duomenys, nurodyti Nuostatų 13.3 papunktyje;

13.4.2. juridinio asmens ar jo atstovo duomenys, nurodyti Nuostatų 13.1, 13.2 papunkčiuose;

13.4.3. ūkio subjekto pavadinimas;

13.4.4. ūkio subjekto EVRK kodas;

13.4.5. elektroninio pašto adresas;

13.4.6. ūkio subjekto mokestiniai įsipareigojimai;

13.4.7. ūkio subjekto rizikos vertinimo balas;

13.4.8. pastabos;

13.5. ūkio subjekto veiklavietė – duomenys apie geografiškai apibrėžtą vietovę kurioje ūkio subjektas vykdo veiklą:

13.5.1. veiklavietės pavadinimas;

13.5.2. veiklavietės adresas;

13.5.3. veiklavietės objekto gatvė;

13.5.4. veiklavietės objekto savivaldybė;

13.5.5. veiklavietės geografinės platumos koordinatė;

13.5.6. veiklavietės geografinės ilgumos koordinatė;

13.5.7. kadastrinis numeris;

13.5.8. upių, ežerų kadastro identifikavimo kodas, pavadinimas;

13.6. veiklavietės objekto duomenys – objektai, kurie įrengti, veikia ar kitaip susiję su ūkio subjekto vykdoma veikla ir yra laikomi, naudojami ar kitaip susiję su tam tikra veiklaviete.

13.7. Aplinkos apsaugos valstybės kontrolės duomenys – duomenys apie patikrintus ūkio subjektus (fizinius ir / arba juridinius asmenis):

13.7.1. kontrolę atlikęs Departamento padalinys;

13.7.2. kontrolę atlikusio asmens pareigos, vardas, pavardė;

13.7.3. kontrolės dokumentai skaitmeniniu formatu;

13.7.4. kontrolės pradžios data;

13.7.5. kontrolės pabaigos data;

13.7.6. kontrolės dokumento registravimo data;

13.7.7. kontrolės dokumento numeris;

13.7.8. darbo sąnaudos;

13.7.9. kontrolės klausimynai skaitmeniniu formatu;

13.7.10. papildoma patikros informacija;

13.7.11. kontrolės pagrindas ir pagrindo turinys;

13.7.12. požymis ar nustatytas / nenustatytas pažeidimas;

13.7.13. žodinio privalomojo nurodymo davimo data;

13.7.14. kontrolės metu paimtų daiktų tipas, skaičius;

13.7.15. aplinkai padarytos žalos tipas;

13.7.16. aplinkai padarytos žalos dydis;

13.7.17. informacija apie žalą aplinkai;

13.7.18. administracinio nusižengimo duomenys iš ANR (objekto identifikavimo kodas (ROIK); Administracinių nusižengimų kodekso straipsnis, straipsnio dalis, punktas; administracinio nusižengimo data, laikas, vieta, priimtų procesinių sprendimų duomenys, duomenys apie paskirtą administracinę nuobaudą ir jos įvykdymą);

13.7.19. juridinio asmens padaryto pažeidimo duomenys iš ANR (objekto identifikavimo kodas (ROIK), Aplinkos apsaugos įstatymo, Klimato kaitos valdymo įstatymo straipsnis, straipsnio dalis, punktas, pažeidimo data, laikas, vieta, priimtų procesinių sprendimų duomenys, duomenys apie paskirtą ekonominę sankciją ir jos įvykdymą;

13.7.20. ikiteisminio tyrimo duomenys (institucija, atliekanti ikiteisminį tyrimą, ikiteisminio tyrimo numeris, Lietuvos Respublikos baudžiamojo kodekso straipsnis, dalis, punktas, nusikalstamos veikos padarymo data, laikas, vieta, priimtų procesinių sprendimų duomenys, duomenys apie paskirtas bausmes ir jų įvykdymą);

13.8. kontrolės planas (toliau – planas) – duomenys apie Departamento planuojamų ūkio subjektų (fizinių ir / arba juridinių asmenų) patikrinimą:

13.8.1. plano patvirtinimo įsakymo data;

13.8.2. plano patvirtinimo įsakymo numeris;

13.8.3. ūkio subjektų (fizinių ir / ar juridinių asmenų) duomenys, nurodyti Nuostatų 13.1, 13.2 papunkčiuose;

13.9. Taršos integruotos prevencijos ir kontrolės (toliau – TIPK) leidimo duomenys:

13.9.1. TIPK leidimo išdavimo data;

13.9.2. TIPK leidimo galiojimo data;

13.9.3. TIPK leidimo pavadinimas;

13.9.4. TIPK leidimo objekto kodas;

13.9.5. TIPK leidimo objekto pavadinimas;

13.9.6. TIPK leidimo paraiškos pavadinimas;

13.10. Taršos leidimo (toliau – TL) duomenys:

13.10.1. TL išdavimo data;

13.10.2. TL galiojimo data;

13.10.3. TL pavadinimas;

13.10.4. TL objekto kodas;

13.10.5. TL objekto pavadinimas;

13.10.6. TL paraiškos pavadinimas;

13.11. AADIS klasifikatoriai:

13.11.1. ūkio subjekto tipas;

13.11.2. kontrolės dokumentų klasifikatorius;

13.11.3. kontrolės rūšis (planinis, neplaninis, stebėsena, mokestinis);

13.11.4. kontrolės veiklų klasifikatorius;

13.11.5. Aplinkosauginių pažeidimų grupių klasifikatorius;

13.11.6. kiti AADIS klasifikatoriai.

14. AADIS duomenų tvarkymui naudojami kitų valstybės registrų, kadastrų ir informacinių sistemų duomenys:

14.1. GPAIS duomenys apie atliekų susidarymą, tvarkymą, tarpvalstybinį atliekų vežimą, informaciją apie gamintojus ir importuotojus, nurodyti Nuostatų 13.4.1–13.4.6 papunkčiuose;

14.2. Administracinių nusižengimų registro duomenys, nurodyti Nuostatų 13.7.18 – 13.7.19 papunkčiuose.

14.3. ALIS duomenys, nurodyti Nuostatų 13.9, 13.10 papunkčiuose;

14.4. Lietuvos Respublikos upių, ežerų ir tvenkinių kadastro duomenys, nurodyti Nuostatų 13.5.8 papunktyje.

IV SKYRIUS

AADIS FUNKCINĖ STRUKTŪRA

15. AADIS funkcinę struktūrą sudaro šie posistemiai:

15.1. Kontrolės kortelių posistemis, kurio funkcijos:

15.1.1. registruoti naują kontrolės kortelę;

15.1.2. peržiūrėti kontrolės kortelę;

15.1.3. tvarkyti kontrolės kortelę;

15.1.4. pildyti kontrolės kortelės duomenis (fizinių asmenų, juridinių asmenų, ūkio subjektų, veiklaviečių, objektų duomenis);

15.1.5. pildyti dokumentų šablonus;

15.1.6. perduoti atlikti kontrolę kitam tvarkytojo darbuotojui;

15.1.7. įkelti susijusius dokumentus;

15.1.8. perduoti atlikti kontrolę kitam Departamento struktūriniam padaliniui Departamento struktūriniams padaliniams atsižvelgiant į atliekamus veiksmus;

15.2. Kontrolės posistemis, kurio funkcijos:

15.2.1. administracinio nusižengimo registravimas;

15.2.2. administracinio nusižengimo tyrimo duomenų peržiūra;

15.2.3. administracinio nusižengimo tyrimo duomenų įvedimas;

15.2.4. administracinio nusižengimo tyrimo duomenų tvarkymas;

15.2.5. juridinio asmens pažeidimo registravimas;

15.2.6. juridinio asmens pažeidimo tyrimo duomenų peržiūra;

15.2.7. juridinio asmens pažeidimo tyrimo duomenų įvedimas;

15.2.8. juridinio asmens pažeidimo tyrimo duomenų tvarkymas;

15.2.9. aplinkai padarytos žalos registravimas;

15.2.10. aplinkai padarytos žalos duomenų peržiūra;

15.2.11. aplinkai padarytos žalos duomenų įvedimas;

15.2.12. aplinkai padarytos žalos duomenų tvarkymas;

15.2.13. privalomojo nurodymo duomenų registravimas;

15.2.14. privalomojo nurodymo duomenų peržiūra;

15.2.15. privalomojo nurodymo duomenų įvedimas;

15.2.16. privalomojo nurodymo duomenų tvarkymas;

15.2.17. ūkio subjekto mokestinių įsipareigojimų registravimas;

15.2.18. ūkio subjekto mokestinių įsipareigojimų peržiūra;

15.2.19. ūkio subjekto mokestinių įsipareigojimų įvedimas;

15.2.20. ūkio subjekto mokestinių įsipareigojimų tvarkymas;

15.2.21. įkelti susijusius dokumentus;

15.3. Teisenos posistemis, kurio funkcijos:

15.3.1. peržiūrėti kontrolės posistemyje suvestus duomenis;

15.3.2. registruoti priimtus procesinius veiksmus;

15.3.3. įkelti susijusius dokumentus;

15.4. Ūkio subjektų (fizinių ir / ar juridinių asmenų) posistemis, kurio funkcijos:

15.4.1. ūkio subjektų (fizinių ir / ar juridinių asmenų) registravimas;

15.4.2. ūkio subjektų (fizinių ir / ar juridinių asmenų) duomenų peržiūra;

15.4.3. ūkio subjektų (fizinių ir / ar juridinių asmenų) duomenų įvedimas;

15.4.4. ūkio subjektų (fizinių ir / ar juridinių asmenų) duomenų tvarkymas;

15.4.5. įkelti susijusius dokumentus;

15.5. Planavimo posistemis, kurio funkcijos:

15.5.1. planuojamų tikrinti ūkio subjektų (fizinių / juridinių asmenų) sąrašų įvedimas;

15.5.2. planuojamų tikrinti ūkio subjektų (fizinių / juridinių asmenų) sąrašų peržiūra;

15.5.3. planuojamų tikrinti ūkio subjektų (fizinių / juridinių asmenų) sąrašų tvarkymas;

15.5.4. įkelti susijusius dokumentus.

16. AADIS duomenų ataskaitos posistemis, kurio funkcijos:

16.1. peržiūrėti AADIS posistemių duomenis pagal nustatytus kriterijus ir duomenų tipus;

16.2. formuoti ataskaitas pagal nustatytus kriterijus ir duomenų tipus.

17. AADIS administravimo posistemis, kurio funkcijos:

17.1. tvarkyti AADIS naudotojų duomenis (vardas, pavardė, pareigos, elektroninis paštas, prisijungimo vardas);

17.2. tvarkyti sistemos klasifikatorius;

17.3. teikti duomenis kitoms informacinėms sistemoms ir gauti iš kitų informacinių sistemų reikalingus duomenis;

17.4. tvarkyti sistemos veikimo žurnalą ir pateikti AADIS administratoriams informaciją apie sistemos veikimą;

17.5. darbo aplinkos moduliai – vartotojų suskirstymo funkcija, kuri pagal vartotojų užimamas pareigas, pateikia tik tas sistemos funkcijas, kurios reikiamos konkrečiai darbo funkcijai atlikti. Fiziniai ar juridiniai asmenys, kurie nėra sistemos valdytojo ir tvarkytojo darbuotojai, neturi teisės naudotis sistema. Sistema skirta išskirtinai Departamento darbuotojų naudojimui.

V SKYRIUS

AADIS DUOMENŲ TEIKIMAS IR NAUDOJIMAS

18. AADIS duomenys, išskyrus fizinio asmens duomenis, yra vieši ir teikiami duomenų gavėjams, jeigu Lietuvos Respublikos įstatymai ir (ar) Europos Sąjungos teisės aktai nenustato kitaip.

19. AADIS asmens duomenys tvarkomi ir teikiami vadovaujantis Reglamentu (ES) 2016/679 ir Asmens duomenų teisinės apsaugos įstatymu.

20. AADIS duomenys (tarp jų ir fizinių asmenų asmens duomenys) gali būti teikiami leidžiamosios kreipties būdu internetu ar elektroninių ryšių tinklais, perduodami automatiniu būdu elektroninių ryšių tinklais, pateikiami raštu, žodžiu ir (arba) elektroninių ryšių priemonėmis.

21. AADIS duomenys, įskaitant asmens duomenis, duomenų gavėjams teikiami pagal AADIS tvarkytojo ir duomenų gavėjo sudarytas sutartis (kai duomenys teikiami daug kartų) arba pagal duomenų gavėjo prašymus (kai duomenys teikiami vieną kartą).

22. Vienkartinio duomenų teikimo būdu duomenys teikiami pagal gavėjo prašymą, kuriame nurodoma:

22.1. teiktinų duomenų apimtis;

22.2. duomenų teikimo ir gavimo teisinis pagrindas;

22.3. duomenų naudojimo tikslas;

22.4. duomenų teikimo būdas;

22.5. teikiamų duomenų formatas.

23. AADIS tvarkytojas duomenis teikia ne vėliau kaip per 20 darbo dienų nuo prašymo gavimo dienos. Jeigu prašoma, atsakymas pateikiamas raštu.

24. Daugkartinio duomenų teikimo būdu duomenys teikiami pagal duomenų teikimo sutartį, kurioje turi būti nurodyta:

24.1. Nuostatų 22.1–22.5 papunkčiuose nurodyti duomenys;

24.2. duomenų teikimo terminai;

24.3. informavimo apie klaidų ištaisymą tvarka ir terminai;

24.4. sutarties keitimo tvarka.

25. AADIS duomenys teikiami šiomis formomis:

25.1. tokio turinio ir tokio formato, kokie yra naudojami AADIS ir kurių nereikia papildomai apdoroti. Valstybės informacinių išteklių valdymo įstatymo 35 straipsnio 3 dalyje nurodytais atvejais Lietuvos Respublikos Vyriausybės nustatyta tvarka duomenys gali būti pateikiami duomenų gavėjo prašomo formato ir turinio;

25.2. teikiant pagal AADIS duomenis parengtas pažymas, išrašus ir kitus dokumentus;

25.3. teikiant pagal AADIS duomenis parengtą apibendrintą, susistemintą ar kitaip apdorotą informaciją;

25.4. teikiant AADIS duomenų teikėjo pateiktus dokumentus.

26. AADIS duomenų gavėjo gauti AADIS duomenys negali būti naudojami kitaip ar kitu tikslu, negu buvo nurodyta juos gaunant. AADIS duomenų pakartotinio naudojimo sąlygas nustato Lietuvos Respublikos teisės gauti informaciją ir duomenų pakartotinio naudojimo įstatymo 8 straipsnis.

27. AADIS duomenys teikiami neatlygintinai.

28. AADIS duomenys ES valstybių narių ir (arba) Europos ekonominės erdvės valstybių fiziniams ir juridiniams asmenims, juridinio asmens statuso neturintiems subjektams, jų filialams ir atstovybėms teikiami ta pačia tvarka, kaip ir Lietuvos Respublikos fiziniams ir juridiniams asmenims.

29. AADIS duomenys trečiųjų šalių fiziniams ir juridiniams asmenims, juridinio asmens statuso neturintiems subjektams, jų filialams ir atstovybėms teikiami ta pačia tvarka, kaip ir Lietuvos Respublikos fiziniams ir juridiniams asmenims, jeigu tai neprieštarauja Lietuvos Respublikos įstatymams, tarptautinėms sutartims ir kitiems teisės aktams bei vadovaujantis Reglamento (ES) 2016/679 V skyriaus nuostatomis.

30. Kai atsisakoma teikti AADIS duomenis, asmeniui, pateikusiam prašymą juos gauti, raštu arba elektroninių ryšių priemonėmis pranešama apie priimtą motyvuotą sprendimą atsisakyti tenkinti jo prašymą ir suteikiama informacija apie tokio sprendimo apskundimo tvarką.

31. Duomenų gavėjas, AADIS duomenų subjektas, susijusio registro ar kitos valstybės informacinės sistemos tvarkytojas, kiti asmenys turi teisę reikalauti ištaisyti neteisingus, netikslius, neišsamius AADIS duomenis (toliau – netikslūs duomenys). Rašytinį prašymą ištaisyti netikslius duomenis galima pateikti asmeniškai, paštu ar elektroninių ryšių priemonėmis.

32. AADIS tvarkytojas, gavęs duomenų gavėjo, AADIS duomenų subjekto, susijusio registro ar kitos valstybės informacinės sistemos tvarkytojo, kitų asmenų rašytinį prašymą ištaisyti netikslius duomenis, nedelsdamas (ne ilgiau kaip per 5 darbo dienas) patikrina AADIS duomenų tikslumą ir prireikus ištaiso netikslius duomenis. Pranešimas apie netikslių duomenų ištaisymą arba apie motyvuotą atsisakymą tai padaryti nedelsiant (ne vėliau kaip per vieną darbo dieną) siunčiamas asmeniui, pateikusiam rašytinį prašymą ištaisyti netikslius duomenis, paštu ir (ar) elektroninių ryšių priemonėmis. Ištaisęs netikslius duomenis, AADIS tvarkytojas per vieną darbo dieną nuo jų ištaisymo apie tai praneša AADIS duomenų gavėjams, kuriems perduoti netikslūs duomenys. AADIS tvarkytojas, nustatęs, kad yra AADIS duomenų netikslumų, turi nedelsdamas (ne vėliau kaip per vieną darbo dieną) elektroninių ryšių tinklais perduoti šią informaciją susijusiam duomenų teikėjui.

VI SKYRIUS

AADIS DUOMENŲ SAUGA

33. AADIS duomenų saugą reglamentuoja AADIS valdytojo tvirtinami AADIS sistemos duomenų saugos nuostatai, kiti saugos politiką įgyvendinantys dokumentai, kurie rengiami, derinami ir tvirtinami Lietuvos Respublikos Vyriausybės nustatyta tvarka. Siekiant užtikrinti AADIS duomenų saugą, vadovaujamasi:

33.1. Reglamentu (ES) 2016/679;

33.2. Kibernetinio saugumo įstatymu;

33.3. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

33.4. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“.

34. Už duomenų saugą Lietuvos Respublikos įstatymų nustatyta tvarka atsako AADIS valdytojas ir AADIS tvarkytojas. Prireikus nustatoma duomenų teikėjų ir kitų asmenų atsakomybė už AADIS duomenų saugą.

35. Asmenys, kurie tvarko asmens duomenis, įpareigojami saugoti asmens duomenų paslaptį, jeigu šie asmens duomenys neskirti skelbti viešai. Ši pareiga galioja jiems pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas, pasibaigus jų darbo ar sutartiniams santykiams.

36. AADIS duomenys saugomi 5 (penkis) metus nuo paskutinio pakeitimo (papildymo). Pasibaigus šiam terminui, duomenys perkeliami į AADIS duomenų bazės archyvą ir saugomi 10 (dešimt) metų. AADIS duomenys naikinami praėjus 10 metų nuo jų perkėlimo į archyvą.

VII SKYRIUS

AADIS FINANSAVIMAS

37. AADIS kūrimas, modernizavimas, tvarkymas ir priežiūra finansuojami Lietuvos Respublikos biudžeto, įskaitant Europos Sąjungos fondus, lėšomis.

VIII SKYRIUS

AADIS MODERNIZAVIMAS IR LIKVIDAVIMAS

38. AADIS modernizuojama ir likviduojama Valstybės informacinių išteklių valdymo įstatymo ir Aprašo nustatyta tvarka.

39. Likviduojant AADIS duomenys perduodami kitai informacinei sistemai arba sunaikinami, arba perduodami archyvuoti Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka.

IX SKYRIUS

BAIGIAMOSIOS NUOSTATOS

40. Duomenų subjektų, kurių asmens duomenys tvarkomi AADIS, teisės: būti informuotam apie asmens duomenų tvarkymą, susipažinti su asmens duomenimis, reikalauti ištaisyti duomenis, reikalauti ištrinti duomenis, apriboti duomenų tvarkymą ir nesutikti, įgyvendinamos vadovaujantis Reglamentu (ES) 2016/679 ir Duomenų subjektų teisių įgyvendinimo Departamente tvarkos aprašu, patvirtintu Departamento direktoriaus 2020 m. liepos 21 d. įsakymu Nr. AD1-218 „Dėl Duomenų subjekto teisių įgyvendinimo Aplinkos apsaugos departamente prie Aplinkos ministerijos tvarkos aprašo patvirtinimo“.

_____________________

PATVIRTINTA

Aplinkos apsaugos departamento prie

Aplinkos ministerijos direktoriaus

2023 m. kovo 17 d. įsakymu Nr. AD1-91

APLINKOS APSAUGOS DEPARTAMENTO INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Aplinkos apsaugos departamento informacinės sistemos (toliau – AADIS) duomenų saugos nuostatuose (toliau – Saugos nuostatai) reglamentuojama saugos politika: saugos valdymas, organizaciniai ir techniniai reikalavimai, reikalavimai personalui, administratorių, naudotojų supažindinimo su saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais principai.

2. Saugos nuostatuose vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos:

2.1. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme (toliau – Išteklių valdymo įstatymas);

2.2. Lietuvos Respublikos kibernetinio saugumo įstatyme;

2.3. Bendrųjų elektroninės informacijos saugos reikalavimų apraše (toliau – Saugos reikalavimų aprašas), patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

2.4. Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakyme Nr. V-941 „Dėl techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

2.5. Lietuvos standartuose LST ISO / IEC 27002 ir LST ISO / IEC 27001 bei kituose Lietuvos ir tarptautiniuose „Informacinės technologijos. Saugumo metodai“ grupės standartuose.

3. AADIS duomenų saugumo užtikrinimo tikslai:

3.1. sudaryti sąlygas saugiai tvarkyti elektroninę informaciją AADIS;

3.2. užtikrinti, kad AADIS tvarkoma elektroninė informacija būtų apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, praradimo, taip pat nuo bet kokio kito neteisėto tvarkymo;

3.3. vykdyti AADIS elektroninės informacijos saugos ir kibernetinių incidentų, asmens duomenų saugumo pažeidimų prevenciją, reaguoti į AADIS elektroninės informacijos saugos ir kibernetinius incidentus, asmens duomenų saugumo pažeidimus ir juos operatyviai valdyti.

4. AADIS saugumo užtikrinimo prioritetinės kryptys:

4.1. elektroninės informacijos konfidencialumo užtikrinimas;

4.2. elektroninės informacijos prieinamumo užtikrinimas;

4.3. elektroninės informacijos vientisumo užtikrinimas;

4.4. veiklos tęstinumo užtikrinimas;

4.5. asmens duomenų apsauga.

5. Saugos nuostatų reikalavimai taikomi:

5.1. AADIS valdytojui / tvarkytojui – Aplinkos apsaugos departamentui prie Aplinkos ministerijos (toliau – AAD) (Smolensko g. 15, Vilnius);

5.2. AADIS administratoriams – AAD darbuotojams, dirbantiems pagal darbo sutartis, prižiūrintiems AADIS infrastruktūrą, užtikrinantiems jos veikimą, elektroninės informacijos saugą, AADIS naudotojų administravimą;

5.3. AADIS saugos įgaliotiniui.

5.4. AADIS naudotojams – AADIS valdytojo / tvarkytojo valstybės tarnautojams ir (arba) darbuotojams, dirbantiems pagal darbo sutartis, veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją tvarkantiems AADIS elektroninę informaciją.

6. AADIS valdytojo / tvarkytojo funkcijos:

6.1. tvirtina AADIS saugos nuostatus ir saugos politiką įgyvendinančius dokumentus;

6.2. atlieka AADIS nuostatuose ir Išteklių valdymo įstatyme nustatytas funkcijas.

6.3. užtikrina veiksmingą ir spartų AADIS pokyčių valdymo planavimą;

6.4. skiria AADIS saugos įgaliotinį, AADIS administratorius;

6.5. atsako už AADIS saugos politikos formavimą ir įgyvendinimo organizavimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą.

7. AADIS saugos įgaliotinio funkcijos ir atsakomybė:

7.1. teikia AADIS valdytojui / tvarkytojui pasiūlymus, kaip nustatyta Saugos reikalavimų apraše;

7.2. rengia ir teikia AADIS valdytojui / tvarkytojui IT saugos atitikties vertinimo ataskaitą;

7.3. periodiškai inicijuoja AADIS administratorių ir AADIS naudotojų supažindinimą su Saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais, informuoja apie jų pakeitimus (priminimai elektroniniu paštu, atmintinės priimtiems naujiems darbuotojams ir pan.) ir atsakomybę už šiuose dokumentuose nustatytų reikalavimų nesilaikymą;

7.4. organizuoja AADIS naudotojų mokymus elektroninės informacijos saugos klausimais;

7.5. peržiūri Saugos nuostatus ir saugos politiką įgyvendinančius dokumentus ne rečiau kaip kartą per kalendorinius metus;

7.6. atsako už tinkamą Saugos nuostatuose nustatytų funkcijų vykdymą;

7.7. atlieka Saugos reikalavimų apraše, saugos nuostatuose ir AADIS saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas.

8. AADIS administratoriai skirstomi į šiuos tipus:

8.1. AADIS funkcinis administratorius, kurio funkcijos kurti AADIS naudotojus ir jiems suteikti teises AADIS;

8.2. AADIS infrastuktūros administratorius, kuris atlieka šias funkcijas:

8.2.1. užtikrina AADIS veikimą, diegia ir administruoja AADIS aplikacijas, duomenų bazių valdymo sistemas ir kt. taikomąją programinę įrangą, rengia ir atnaujina susijusią sąrankos dokumentaciją;

8.2.2. atlieka AADIS aplikacijų, duomenų bazių valdymo sistemų kt. taikomosios programinės įrangos, sukurtų integracijų su kitomis informacinėmis sistemomis priežiūrą;

8.2.3. atlieka versijų diegimo kontrolę, AADIS naudotojų informavimą apie planuojamus diegimus ar sutrikimus;

8.2.4. teikia pasiūlymus AADIS saugos įgaliotiniui su duomenų sauga susijusiais klausimais;

8.2.5. dalyvauja atliekant IT saugos atitikties vertinimą;

8.2.6. vykdo AADIS saugos įgaliotinio nurodymus, susijusius su saugos politikos įgyvendinimu, ir jam atsiskaito už pavestą duomenų saugos organizavimą ir saugos priemonių įgyvendinimą;

8.2.7. informuoja AADIS saugos įgaliotinį apie Saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose nustatytų reikalavimų nesilaikymą, nusikalstamos veikos požymius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones;

8.2.8. atlieka Saugos nuostatuose ir kituose saugos politikos įgyvendinimo dokumentuose nustatytas funkcijas.

9. AADIS administratoriai, AADIS naudotojai ir AADIS saugos įgaliotinis, pastebėję asmens duomenų saugumo pažeidimą ir (arba) kitą incidentą, nedelsdami apie tai privalo pranešti AAD duomenų apsaugos pareigūnui.

10. AADIS saugų elektroninės informacijos tvarkymą užtikrina laikymasis reikalavimų, kuriuos reglamentuoja:

10.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);

10.2. Išteklių valdymo įstatymas;

10.3. Kibernetinio saugumo įstatymas;

10.4. Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimas Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

10.5. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

10.6. Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymas Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

10.7. Lietuvos standartai LST ISO/IEC 27002 ir LST ISO/IEC 27001 bei kiti Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo metodai“ grupės standartai, apibūdinantys saugų informacinių sistemų duomenų tvarkymą;

II SKYRIUS

AADIS ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

11. Vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – IS klasifikavimo gairių aprašas), 9.1 ir 9.3 papunkčių kriterijais ir IS klasifikavimo gairių aprašo 12.3 papunkčiu, AADIS priskiriama trečios kategorijos informacinėms sistemoms, kurioje tvarkoma vidutinės svarbos informacija.

12. AADIS rizika vertinama atsižvelgiant į Nacionalinio kibernetinio saugumo centro prie Krašto apsaugos ministerijos interneto svetainėje skelbiamą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais ir atliekama ne rečiau kaip kartą per metus.

13. Rizikos įvertinimo rezultatai išdėstomi rizikos įvertinimo ataskaitoje, kuri pateikiama AADIS valdytojui ir kuri rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos AADIS elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus.

14. AADIS rizikos veiksniai nurodyti Saugos reikalavimų apraše.

15. Rizikos veiksniai vertinami pagal elektroninės informacijos kategorijas, nustatant jų įtaką AADIS elektroninės informacijos saugai laipsnius:

15.1. Ž – žemas. Duomenų pažeidimo poveikio laipsnis nėra didelis, padariniai nebus pavojingi – informacija išsiųsta kitam adresatui, įvesti netikslūs duomenys, dingo dalis informacijos, kurią galima greitai atkurti iš turimų atsarginių kopijų, prarasta informacija po paskutinio kopijavimo. Neveikia kompiuterinė programinė įranga ir (ar) operacinė sistema kompiuterizuotose darbo vietose;

15.2. V – vidutinis. Duomenų pažeidimo poveikio laipsnis gali būti didelis, padariniai rimti – duomenys netikslūs ar sugadinti, bet juos įmanoma atkurti iš turimų atsarginių kopijų. Duomenų bazių įrašai pakeisti, sunku rasti klaidas ir suklastotą informaciją, neveikia kompiuterinė programinė įranga ir (ar) operacinė sistema tarnybinėse stotyse;

15.3. A – aukštas. Duomenų pažeidimo poveikio laipsnis labai didelis, padariniai rimti – duomenys visiškai sugadinti, dėl vagystės, gaisro ar užliejimo prarasti AADIS duomenų bazėse buvę duomenys.

16. Rizikos vertinimo metu atliekamų darbų apimtis:

16.1. AADIS sudarančių informacinių išteklių inventorizacija;

16.2. AADIS įtakos veiklai vertinimas;

16.3. grėsmių ir pažeidimų analizė;

16.4. liekamosios rizikos vertinimas.

17. Atsižvelgdamas į rizikos įvertinimo ataskaitą, AADIS valdytojas prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

18. AADIS rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas AADIS valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai.

19. Siekiant užtikrinti Saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę, ne rečiau kaip kartą per metus organizuojamas IT saugos atitikties vertinimas, kurio metu:

19.1. įvertinama saugos nuostatų ir saugos politiką įgyvendinančių dokumentų reikalavimų ir faktinės saugos atitiktis;

19.2. inventorizuojama AADIS techninė ir programinė įranga;

19.3. patikrinama ir įvertinama AADIS administratoriams ir AADIS naudotojams suteiktų teisių ir vykdomų funkcijų atitiktis;

19.4. įvertinamas pasirengimas užtikrinti AADIS veiklos tęstinumą įvykus saugos incidentui.

20. Atlikus IT saugos atitikties įvertinimą, rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato AADIS valdytojas.

21. IT saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano kopijas AADIS valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai.

III SKYRIUS

AADIS ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

22. AADIS naudotojams jungtis prie AADIS leidžiama visu paros metu.

23. AADIS naudotojų darbo vietose naudojama programinė įranga, skirta apsaugoti naudotojų darbo vietas nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo elektroninio pašto ir pan.). Ši programinė įranga turi būti atnaujinama reguliariai, ne rečiau kaip kartą per savaitę.

24. AADIS taikomųjų programų kompiuteriai gali būti naudojami ir kitoms AADIS valdytojo ir AADIS tvarkytojo funkcijoms atlikti.

25. Prieiga prie AADIS tarnybinių stočių operacinių sistemų valdymo ir konfigūravimo suteikiama tik AADIS administratoriui.

26. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų ir kita) pagrindinės naudojimo nuostatos:

26.1. duomenų centro, kuriame veikia AADIS tarnybinės stotys, kompiuteriniai tinklai atskirti nuo viešųjų telekomunikacijų tinklų (interneto) ugniasienėmis, DoS (angl. Denial of Service) ir DDoS (angl. Distributed Denial of Service) atakų prevencijai skirta įranga bei įsilaužimų aptikimo ir prevencijos įranga;

26.2. visas AADIS duomenų srautas į ir iš interneto yra filtruojamas naudojant apsaugą nuo virusų ir kitos kenkėjiškos programinės įrangos;

26.3. naudojamos turinio filtravimo sistemos;

26.4. naudojamos aplikacijų kontrolės sistemos.

27. AADIS naudotojams, kuriems atliekant tiesiogines pareigas būtina prisijungti iš nutolusios darbo vietos, gali būti suteikiama nuotolinio prisijungimo prie AADIS galimybė:

27.1. techninis nuotolinio prisijungimo sprendimas turi užtikrinti ne žemesnį nei vidiniam prisijungimui naudojamą saugumo lygį, t. y. turi būti naudojamos Saugos nuostatuose nurodytos priemonės ir elektroninės informacijos šifravimas naudojantis virtualiu privačiu tinklu (angl. virtual private network – VPN);

27.2. prie AADIS prisijungiama nuotoliniu būdu naudojant interneto naršyklę (HTTPS protokolą).

28. Leistinos kompiuterių, planšečių ir kitų mobiliųjų įrenginių naudojimo ribos:

28.1. AADIS duomenų tvarkymui leidžiama naudoti tik leistinus stacionarius ir nešiojamuosius kompiuterius, atitinkančius AADIS valdytojo nustatytus elektroninės informacijos saugos ir kibernetinio saugumo reikalavimus;

28.2. įrenginiuose turi būti užtikrintas darbuotojo tapatybės autentifikavimas, kiekvieno prisijungimo prie įrenginio metu įvedant vartotojo vardą ir slaptažodį;

28.3. stacionarūs ir nešiojamieji AADIS naudotojų kompiuteriai ir kiti mobilieji įrenginiai turi būti naudojami tik tiesioginėms pareigoms atlikti. Iš įrenginių, kurie perduodami remontuoti ar techninei priežiūrai atlikti, turi būti pašalinti visi IS duomenys ir informacija;

28.4. nešiojamuosiuose kompiuteriuose ir kituose mobiliuosiuose įrenginiuose turi būti taikomos papildomos saugos priemonės – duomenų šifravimas, prisijungimo ribojimas, papildomas tapatybės patvirtinimas, rakinimo įrenginių naudojimas;

28.5. įrenginiuose neturi būti jokios svarbios informacijos, išskyrus naudotojo darbo dokumentus;

28.6. AADIS naudotojai privalo naudotis visomis saugumo priemonėmis, kad apsaugotų įrenginius ir duomenų laikmenas nuo vagystės arba pažeidimo.

29. Pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:

29.1. atsarginės elektroninės informacijos kopijos (toliau – kopijos) daromos automatiškai, kiekvieną dieną;

29.2. elektroninė informacija kopijose turi būti šifruota;

29.3. kopijas turi teisę tvarkyti AADIS administratoriai ir techninės bei programinės įrangos priežiūros paslaugų teikėjai, kaip tai numatyta Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje;

29.4. laikmenos, kuriose yra kopijos, saugomos atskirai nuo tarnybinių stočių;

29.5. atkurti elektroninę informaciją iš kopijų turi teisę tik AADIS administratoriai.

30. AADIS veiklos tęstinumo užtikrinimui elektroninė informacija yra periodiškai kopijuojama į rezervinių kopijų laikmenas kas 24 valandas ir laikmenos saugomos taip, kad elektroninės informacijos saugos incidento atveju AADIS veiklą iš atsarginių kopijų galima būtų atstatyti ne ilgiau kaip per 24 valandas.

31. Darant atsargines kopijas programinė įranga tikrina, kokie duomenys jau egzistuoja ir nukopijuoja tik naujausius nesidubliuojančius duomenis bei informuoja AADIS administratorių apie sėkmingai ar nesėkmingai atliktas atsargines kopijas.

32. Kopijos suformavimo ir atlikimo įrašai turi būti fiksuojami ir saugomi.

IV SKYRIUS

AADIS REIKALAVIMAI PERSONALUI

33. AADIS naudotojų, AADIS administratorių, AADIS saugos įgaliotinio kvalifikacija turi atitikti bendruosius ir specialiuosius reikalavimus, nustatytus jų pareiginiuose nuostatuose.

34. AADIS administratoriai ir AADIS naudotojai privalo turėti pagrindinius darbo su kompiuteriu įgūdžius, prieš pradėdami tvarkyti AADIS elektroninę informaciją, turi būti susipažinę su AADIS nuostatais, Saugos nuostatais, Reglamentu (ES)2016/679 ir saugos politiką įgyvendinančiais dokumentais.

35. AADIS administratoriai, AADIS naudotojai privalo rūpintis tvarkomos elektroninės informacijos saugumu.

36. AADIS saugos įgaliotinis privalo išmanyti informacinių sistemų administravimo ir elektroninės informacijos saugos principus, elektroninės informacijos užtikrinimo metodus ir kitus Lietuvos Respublikos ir Europos Sąjungos teisės aktus ir standartus reglamentuojančius saugų duomenų tvarkymą, sugebėti įgyvendinti ir prižiūrėti AADIS saugą.

37. AADIS sisteminis administratorius turi išmanyti elektroninės informacijos saugos principus, darbą su operacinėmis sistemomis, duomenų bazių valdymo sistemų ir aplikacijų administravimo pagrindus.

38. AADIS infrastruktūros administratorius privalo sugebėti užtikrinti techninės ir programinės įrangos nepertraukiamą funkcionavimą, stebėti techninės ir programinės, tinklo įrangos veikimą, atlikti techninės ir programinės įrangos profilaktinę priežiūrą, nustatyti ir šalinti sutrikimus.

39. AADIS saugos įgaliotinis pagal AADIS naudotojų išreikštą poreikį arba įvykus saugos incidentui gali inicijuoti AADIS naudotojų mokymus elektroninės informacijos saugos klausimais.

40. Mokymai AADIS administratoriams gali būti organizuojami pagal poreikį, už šių mokymų organizavimą atsakingas saugos įgaliotinis.

V SKYRIUS

AADIS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

41. AADIS naudotojų supažindinimo su saugos dokumentais principai:

41.1. AADIS naudotojų supažindinimą su saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais ir atsakomybe už šiuose dokumentuose nustatytų reikalavimų nesilaikymą organizuoja AADIS saugos įgaliotinis;

41.2. AADIS naudotojai su saugos nuostatais ir taikomais kitais saugos politiką įgyvendinančiais dokumentais bei atsakomybe už šiuose dokumentuose nurodytų reikalavimų nesilaikymą supažindinami pirmą kartą prisijungus prie AADIS, išsaugant susipažinimo datą susipažinimo įrodomumo užtikrinimui;

41.3. pakartotinai supažindinami, kai iš esmės pakeičiami saugos nuostatai ar kiti saugos politiką įgyvendinantys dokumentai.

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

42. Už saugos nuostatų pažeidimus AADIS valdytojas / tvarkytojas, AADIS saugos įgaliotinis, AADIS administratoriai, AADIS naudotojai atsako Lietuvos Respublikos teisės aktų, reglamentuojančių duomenų saugą, nustatyta tvarka.

_________________________