VALSTYBINĖS VARTOTOJŲ TEISIŲ APSAUGOS TARNYBOS

DIREKTORIUS

ĮSAKYMAS

DĖL NE MAISTO PRODUKTŲ RINKOS PRIEŽIŪROS INFORMACINĖS SISTEMOS „RIPRIS“ NUOSTATŲ IR NE MAISTO PRODUKTŲ RINKOS PRIEŽIŪROS INFORMACINĖS SISTEMOS „RIPRIS“ DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

2020 m. birželio 3 d. Nr. 1-123

Vilnius

Vadovaudamasi Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 8 straipsniu ir 30 straipsnio 2 punktu, Lietuvos Respublikos Vyriausybės 2015 m. gruodžio 23 d. nutarimu Nr. 1332 „Dėl Valstybinės ne maisto produktų inspekciją prie Ūkio ministerijos reorganizavimo ir Valstybinės ne maisto produktų inspekcijos prie Ūkio ministerijos reorganizavimo sąlygų aprašo patvirtinimo“, Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, 11 punktu, Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7, 11, 19 punktais:

1. Tvirtinu pridedamus:

1.1. Ne maisto produktų rinkos priežiūros informacinės sistemos „RIPRIS“ nuostatus.

1.2. Ne maisto produktų rinkos priežiūros informacinės sistemos „RIPRIS“ duomenų saugos nuostatus.

2. P a v e d u Vidaus administravimo skyriaus patarėjui Kastyčiui Konstantinui Kozlovui paskelbti šio įsakymo 1.1. ir 1.2. punktuose nurodytus nuostatus Registrų ir valstybės informacinių sistemų registre (RISR).

3. P r i p a ž į s t u netekusiu galios Valstybinės ne maisto produktų inspekcijos prie Ūkio ministerijos viršininko 2015 m. rugsėjo 11 d. įsakymą Nr. 1R-101 „Dėl Ne maisto produktų rinkos priežiūros informacinės sistemos „RIPRIS“ nuostatų ir duomenų saugos nuostatų patvirtinimo“.

Direktorė Neringa Ulbaitė

SUDERINTA:

1. Lietuvos Respublikos ekonomikos ir inovacijų

ministerijos 2020 m. gegužės 21 d. raštu Nr. 3-1953.

2. Nacionalinio kibernetinio saugumo centro

2020 m. vasario 19 d. raštu Nr. (4.1 E) 6 K-115.

3. Valstybinės duomenų apsaugos inspekcijos

2020 m. gegužės 25 d. raštu Nr. 2R-2653 (3.33E).

4. Valstybės įmonės „Registrų centras“

2020 m. gegužės 28 d. raštu Nr. S-43700 (1.10 E).

5. Muitinės departamento prie Lietuvos Respublikos finansų ministerijos 2020 m. gegužės 29 d. raštu Nr. (4.5) 3B-3313.

6. Valstybinės mokesčių inspekcijos prie Lietuvos Respublikos finansų ministerijos

2020 m. gegužės 29 d. raštu Nr. (10.2-39-3E) R -2542.

PATVIRTINTA

Valstybinės vartotojų teisių apsaugos

tarnybos direktoriaus

2020 m. birželio 3 d. įsakymu Nr. 1-123

NE MAISTO PRODUKTŲ RINKOS PRIEŽIŪROS INFORMACINĖS SISTEMOS „RIPRIS“ NUOSTATAI

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Ne maisto produktų rinkos priežiūros informacinės sistemos „RIPRIS“ nuostatai (toliau –Nuostatai) reglamentuoja Valstybinės vartotojų teisių apsaugos tarnybos (toliau – Tarnyba) Ne maisto produktų rinkos priežiūros informacinės sistemos „RIPRIS“ (toliau – RIPRIS) tikslus, steigimo pagrindą, pagrindines funkcijas, organizacinę, informacinę ir funkcinę struktūras, duomenų teikimą ir naudojimą, reikalavimus duomenų saugai, finansavimą, modernizavimą ir likvidavimą.

2. Nuostatai parengti vadovaujantis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu (toliau – Valstybės informacinių išteklių valdymo įstatymas), Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“ (toliau – Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašas).

3. RIPRIS steigimo pagrindas – Valstybinės ne maisto produktų inspekcijos prie Ūkio ministerijos nuostatai, patvirtinti 2010 m. rugsėjo 16 d. Ūkio ministro įsakymu Nr. 4-693 „Dėl Valstybinės ne maisto produktų inspekcijos prie ūkio ministerijos nuostatų patvirtinimo“, Lietuvos Respublikos Vyriausybės 2015 m. gruodžio 23 d. nutarimas Nr. 1332 „Dėl Valstybinės ne maisto produktų inspekcijos prie Ūkio ministerijos reorganizavimo ir Valstybinės ne maisto produktų inspekcijos prie Ūkio ministerijos reorganizavimo sąlygų aprašo patvirtinimo“.

4. RIPRIS tikslas – centralizuoti ne maisto produktų rinkos priežiūros, vartotojų teisių apsaugos ir visuomenės informavimo proceso valdymą.

5. RIPRIS uždaviniai:

5.1. automatizuotai kaupti duomenis, susijusius su ne maisto produktų rinkos priežiūros, vartotojų teisių apsaugos ir visuomenės informavimo veiklomis;

5.2. automatizuoti patikrinimo planų, dokumentų, visuomenės informavimo ir konsultacijų teikimo duomenų apskaitą, kontrolę ir informacijos apdorojimą;

5.3. operatyviai pagal įvairius parametrus sisteminti ir teikti duomenis apie ne maisto produktų rinkos priežiūros, vartotojų teisių apsaugos ir visuomenės informavimo rezultatus;

5.4. pagal poreikį naudotis duomenimis, kaupiamais valstybės registruose ir kitose informacinėse sistemose.

6. RIPRIS pagrindinės funkcijos yra:

6.1. kaupti, saugoti ir tvarkyti duomenis apie:

6.1.1. ne maisto produktų rinkos priežiūros patikrinimų plano vykdymo eigą;

6.1.2. Europos Sąjungos ir nacionalinius teisės aktus, normatyvinius dokumentus ir kitus dokumentus, susijusius su rinkos priežiūra ir vartotojų teisių apsauga;

6.1.3. tikrintus ūkio subjektus;

6.1.4. ne maisto produktų rinkos priežiūros patikrinimų, monitoringų tyrimų rezultatus, bei statistinę informaciją apie nagrinėjamus vartotojų skundus;

6.1.5. taikytas nuobaudas už administracinius nusižengimus;

6.1.6. Tarnybos specialistų surašytų įstatymų pažeidimų protokolus;

6.1.7. duomenis apie patikrintus ne maisto produktus, taip pat apie importuotus iš trečių šalių gaminius;

6.2. formuoti veiklos dokumentus;

6.3. kaupti duomenis gautus iš kitų informacinių sistemų ir registrų, siekiant efektyviai vykdyti rinkos priežiūrą;

6.4. pagal pateiktus paieškos parametrus formuoti peržiūrai ir analizei skirtus duomenų rinkinius;

6.5. teikti duomenis duomenų gavėjams;

6.6. tvarkyti klasifikatorius;

6.7. valdyti prieigą prie RIPRIS duomenų.

7. Asmens duomenų tvarkymo RIPRIS tikslas – identifikuoti asmenis, kurių verslo veikla

tikrinta ar kurie dalyvavo patikrinime ir kurią, vadovaujantis teisės aktais, privaloma kontroliuoti toliau, taip pat užtikrinti RIPRIS naudotojų, ir jų veiksmų RIPRIS priežiūrą ir kontrolę.

8. RIPRIS kuriama ir tvarkoma vadovaujantis:

8.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas);

8.2. Lietuvos Respublikos produktų saugos įstatymu;

8.3. Lietuvos Respublikos vartotojų teisių apsaugos įstatymu;

8.4. Lietuvos Respublikos civiliniu kodeksu;

8.5. Lietuvos Respublikos administracinių nusižengimų kodeksu;

8.6. Valstybės informacinių išteklių valdymo įstatymu;

8.7. Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“;

8.8. Valstybinės vartotojų teisių apsaugos tarnybos direktoriaus 2019 m. liepos 15 d. įsakymu Nr. 1-198 „Dėl Informacijos apie pavojingus gaminius ir produktų saugos rinkoje priežiūros valstybės institucijas ir jų įgaliojimus teikimo Europos Komisijai ir (ar) Europos Sąjungos valstybėms narėms tvarkos aprašo patvirtinimo“;

8.9. Lietuvos Respublikos kibernetinio saugumo įstatymu;

8.10. šiais Nuostatais ir kitais teisės aktais.

II SKYRIUS

RIPRIS ORGANIZACINĖ STRUKTŪRA

9. RIPRIS valdytojas ir tvarkytojas – Tarnyba.

10. RIPRIS valdytojas ir tvarkytojas atlieka Valstybės informacinių išteklių valdymo įstatymo nustatytas funkcijas bei turi šiame įstatyme nurodytas teises ir pareigas.

11. RIPRIS saugomų asmens duomenų valdytojas yra Tarnyba. Tarnyba turi Reglamente nurodytas teises ir pareigas.

12. RIPRIS duomenų teikėjai:

12.1. Valstybės įmonė Registrų centras, teikiantis Juridinių asmenų registro duomenis (valdytojas – Lietuvos Respublikos teisingumo ministerija) ir Lietuvos Respublikos adresų registro duomenis (valdytojas – Lietuvos Respublikos teisingumo ministerija);

12.2. Valstybinė mokesčių inspekcija prie Lietuvos Respublikos finansų ministerijos, teikianti informaciją iš Valstybinės mokesčių inspekcijos Mokesčių apskaitos informacinės sistemos (valdytojas – Valstybinė mokesčių inspekcija prie Lietuvos Respublikos finansų ministerijos);

12.3. Europos Komisija, teikianti informaciją iš Europos Sąjungos skubaus keitimosi informacija apie pavojingus vartotojams gaminius informacinės sistemos RAPEX;

12.4. Tarnyba, teikianti informaciją iš Tarnybos dokumentų valdymo sistemos „Doclogix“ (toliau – DVS) (valdytojas – Valstybinė vartotojų teisių apsaugos tarnyba);

12.5. Muitinės departamentas prie Lietuvos Respublikos finansų ministerijos, teikiantis duomenis iš Integruotos muitinės informacinės sistemos(valdytojas – Muitinės departamentas prie Lietuvos Respublikos finansų ministerijos).

III SKYRIUS

RIPRIS INFORMACINĖ STRUKTŪRA

13. RIPRIS duomenų bazėje kaupiami duomenys:

13.1. Ne maisto produktų rinkos priežiūros patikrinimų planai ir planų vykdymo ir įvykdymo duomenys:

13.1.1. veiklos laikotarpis;

13.1.2. Tarnybos struktūrinis padalinys;

13.1.3. tikrinamų gaminių grupė / paslaugų sritis;

13.1.4. planuojamų patikrinimų skaičius;

13.1.5. planuojamų vizitų skaičius;

13.1.6. planuojamų paimti tirti bandinių skaičius.

13.2. Europos Sąjungos ir Lietuvos Respublikos teisės aktų bei normatyvinių dokumentų, reglamentuojančių ne maisto produktų rinkos priežiūrą ir vartotojų teisių apsaugą, Tarnybos vidaus dokumentų (tvarkų aprašų, taisyklių, kontrolinių klausimynų ir kt.) duomenys:

13.2.1. dokumento tipas;

13.2.2. dokumento pavadinimas;

13.2.3. dokumento publikavimo data;

13.2.4. dokumento galiojimo laikotarpis;

13.2.5. nuoroda į publikuotą tekstą.

13.3. Ne maisto produktų rinkos priežiūros patikrinimų duomenys:

13.3.1. apie juridinius asmenis:

13.3.1.1. pavadinimas;

13.3.1.2. juridinio asmens kodas;

13.3.1.3. buveinė( adresas);

13.3.1.4. kontaktiniai duomenys: adresas, el. pašto adresas, telefono ryšio numeris;

13.3.1.5. tikrintų veiklos vietų duomenys – tipas, vietos pavadinimas, adresas, el. pašto adresas, telefono ryšio numeris ir pastaba;

13.3.2. apie fizinius asmenis:

13.3.2.1. vardas ir pavardė;

13.3.2.2. registracijos adresas;

13.3.2.3. verslo liudijimo numeris ir jo galiojimo terminas;

13.3.2.4. tikrintų veiklos vietų duomenys – tipas, vietos pavadinimas, adresas, el. pašto adresas, telefono ryšio numeris ir pastaba.

13.4. Lietuvos Respublikos teritorijoje buveinę (vietą) apibūdinantys duomenys:

13.4.1. administraciniai vienetai;

13.4.2. savivaldybės;

13.4.3. seniūnijos;

13.4.4. gyvenamosios vietovės;

13.4.5. gatvės;

13.4.6. specialūs klasifikatoriai.

13.5. Vykdytų tikrinimų, monitoringo ir atliktų kitų veiksmų duomenys:

13.5.1. Vartotojų skundų, kitų prašymų (skundų) ir pranešimų duomenys(nuoroda į skundą);

13.5.2. pavedimo atlikti tikrinimą duomenys( registracijos numeris ir data );

13.5.3. dokumento (akto, pažymos) registravimo duomenys;

13.5.4. teisės aktai ir normatyviniai dokumentai, kurių reikalavimų atitiktis tikrinama;

13.5.5. tikrinto ūkio subjekto ir patikrinimo metu dalyvavusių asmenų, kurių verslo veikla buvo tikrinta duomenys – vardas, pavardė, pareigos, dalyvio statusas (dalyvis, atsakingas asmuo, įgaliotas asmuo);

13.5.6. tikrinimą inicijavusios ir tikrinime dalyvavusių kitų valstybės institucijų pavadinimai;

13.5.7. tikrinto produkto identifikaciniai duomenys – produkto grupė ir pogrupis, pavadinimas, tipas, markė, rūšis, brūkšninis kodas, kilmės šalis ir kt.;

13.5.8. tikrinto produkto gamintojo, importuotojo, platintojo duomenys – pavadinimas, įmonės registracijos kodas, šalis, atstovo duomenys: vardas, pavardė;

13.5.9. nustatytų neatitikimų/pažeidimų duomenys – informacijos apie neatitikimą/pažeidimą šaltinis, neatitikimo/pažeidimo pobūdis, teisės aktų nuostatos pagal kurias nustatyta neatitiktis/pažeidimas;

13.5.10. paimtų tirti bandinių dokumentų duomenys – dokumento numeris ir data, bandinio paėmimo vieta ir laikas, paimto bandinio kiekis ir vertė, bandinio identifikaciniai ir kt. duomenys, tiriami rodikliai ir kt.;

13.5.11. atliktų bandymų rezultatų duomenys;

13.5.12. atliktų ekspertizių duomenys;

13.5.13. patikrinimo metu nustatytų aplinkybių aprašas;

13.5.14. atlikto tikrinimo išvados;

13.5.15. rekomendacijų ūkio subjektui aprašas;

13.5.16. nurodymų ūkio subjektui (įpareigojimų) aprašas ir jų įvykdymo terminas bei įvykdymo rezultatas;

13.5.17. nustatytų pavojingų produktų duomenys;

13.5.17.1. nustatyti produkto pavojaus pobūdžiai;

13.5.17.2. nustatyta produkto rizika;

13.5.17.3. produktui taikytos pateikimo į rinką ribojimo priemonės;

13.5.17.4. sprendimo, priimto dėl pavojingo produkto, dokumento registracijos duomenys;

13.5.17.5. duomenys apie ūkio subjekto savanoriškai taikytas produkto teikimo į rinką ribojimo priemones;

13.5.17.6. duomenys apie pavojingų produktų pašalinimą iš rinkos;

13.5.17.7. sprendimo laikinai sustabdytų teikti į rinką produkto (-ų) dokumento registracijos duomenys;

13.5.17.8. sprendimo leisti teikti laikinai sustabdytų teikti į rinką produkto(-ų) dokumento registracijos duomenys;

13.5.17.9. duomenys apie atliktos rinkos ribojimo priemonės rezultatus;

13.5.17.10. pridedamų prie patikros dokumento (akto ar pažymos) ir/ar ūkio Subjekto pateiktų dokumentų sąrašas (priedų sąrašas);

13.5.17.11. patikrinimo metu įformintų bei surinktų dokumentų skenuotos kopijos.

13.6. Duomenys apie Tarnybos paskirtas nuobaudas už administracinius nusižengimus:

13.6.1. asmuo, kuriam paskirta nuobauda – vardas ir pavardė, darbovietė ir pareigos;

13.6.2. nustatyti administraciniai nusižengimai, nurodant straipsnius, dalis;

13.6.3. surašytų protokolų ir nutarimų dokumentų duomenys;

13.6.4. paskirtos nuobaudos tipas;

13.6.5. paskirtos nuobaudos suma;

13.7. Naftos produktų kokybės stebėsenos duomenys:

13.7.1. nustatytos patikrintų degalų kokybės parametrų vertės;

13.7.2. bandinių paėmimo tirti dokumento duomenys;

13.7.3. laboratorinio tyrimo rezultatai.

13.8. Importuojamų į Lietuvos Respubliką ne maisto produktų duomenys:

13.8.1. muitinės importo deklaracijos dokumento duomenys: muitinės įstaigos suteiktas deklaracijos registravimo numeris (MRN), deklaracijos priėmimo data;

13.8.2. importuotojo duomenys: asmenį identifikuojantis kodas, pavadinimas (vardas, pavardė), buveinės (gyvenamos vietos) adresas;

13.8.3. siuntėjo duomenys – siuntėjo pavadinimas, siuntėjo šalies kodas, fizinio asmens – vardas, pavardė;

13.8.4 ne maisto produktų duomenys - prekės eilės numeris, kilmės šalies kodas, prekių kodas pagal kombinuotą nomenklatūrą, aprašymas, matavimo vienetas, kiekis, išreikštas nurodytu matavimo vienetu, neto masė (kg), prekių statistinė, muitinė vertė ir valiutos, kuria išreikšta statistinė (muitinė) vertė, kodas.

13.9. Vidiniai sistemos duomenys:

13.9.1. RIPRIS naudotojai, Tarnybos įgalioti darbuotojai – prisijungimo vardas, vardas, pavardė, jų teisės ir rolės;

13.9.2. klasifikatoriai;

13.9.3. formuojamų dokumentų šablonų duomenys;

13.9.4. įvestų duomenų kokybės kontrolės rezultatų protokolai;

13.9.5. RIPRIS naudotojų prieigos duomenys;

13.9.6. RIPRIS administratoriaus veiklos duomenys.

13.10. RIPRIS duomenis gauna iš:

13.10.1. Juridinių asmenų registro duomenis, nurodytus Nuostatų 13.3.1.1–13.3.1.3 papunkčiuose;

13.10.2. Lietuvos Respublikos adresų registro teikiami Lietuvos Respublikos adresų registro duomenų bazės tekstinių duomenų išrašas ir tarpinis Lietuvos Respublikos adresų registro duomenų bazės tekstinių duomenų išrašas, RIPRIS sistemoje tvarkomiems adreso duomenims, nurodytiems šių Nuostatų 13.4 papunktyje;

13.10.3. Valstybinės mokesčių inspekcijos Mokesčių apskaitos informacinės sistemos duomenis teikia apie fizinių ir juridinių asmenų sumokėtas Tarnybos skirtas baudas ir valstybės rinkliavas už Tarnybos teikiamas paslaugas: mokėjimo operacijos data banke, mokėjimo dokumento data, mokesčių mokėtojo kodas, mokesčių mokėtojo pavadinimas / vardas pavardė, savivaldybės kodas, įmokos kodas, įmokos kodo pavadinimas, mokėjimo operacijos tipo kodas, suma, valiuta, mokėjimo paskirtis;

13.10.4. Muitinės departamento prie Lietuvos Respublikos finansų ministerijos Integruotos muitinės informacinės sistemos duomenis, nurodytus Nuostatų 13.8.1 - 13.8.4 papunkčiuose;

13.10.5. Tarnybos DVS teikia registruotų dokumentų, susijusių su patikrinimais ir prašymų (skundų) tyrimais, duomenis pagal nustatytą dokumentų rūšį: dokumento registracijos data, dokumento registracijos numeris, dokumento data, dokumento rūšis, dokumento antraštė.

IV SKYRIUS

RIPRIS FUNKCINĖ STRUKTŪRA

14. RIPRIS funkcinės struktūros sudedamosios dalys:

14.1. Veiklos procesų automatizavimo, duomenų kaupimo, tvarkymo ir teikimo posistemė (toliau – Posistemė), kurios paskirtis – kaupti, saugoti, tvarkyti, pateikti peržiūrai pagal užklausas ir analizuoti duomenis, formuoti dokumentus. Posistemės moduliai ir jų funkcijos:

14.1.1. Planų modulis. Paskirtis – patikrinimų planų vykdymo duomenų teikimas. Funkcijos:

14.1.1.1. tvarkyti ir kaupti duomenis apie patvirtintus patikrinimų planus;

14.1.1.2. teikti duomenis apie šių planų faktinį įvykdymą einamuoju metu.

14.1.2. Tikrintų ūkio subjektų modulis. Paskirtis – kaupti identifikacinius duomenis apie tikrintus ūkio subjektus. Funkcijos:

14.1.2.1. kaupti, saugoti, tvarkyti tikrintų ūkio subjektų identifikacinius ir kontaktinius duomenis;

14.1.2.2. pateikti peržiūrai pagal užklausas įvestus duomenis.

14.1.3. Dokumentų modulis. Paskirtis – kaupti teisės aktus ir normatyvinius dokumentus susijusius su rinkos priežiūra ir vartotojų teisių apsauga. Funkcijos:

14.1.3.1. kaupti, saugoti, tvarkyti, sisteminti teisės aktų, normatyvinių dokumentų ir kitų veiklą reglamentuojančių dokumentų sąrašą;

14.1.3.2. pateikti peržiūrai pagal užklausas įvestus duomenis.

14.1.4. Patikrinimų modulis. Paskirtis – kaupti duomenis, susijusius su ne maisto produktų rinkos priežiūros patikrinimais ir vartotojų skundų tyrimu. Funkcijos:

14.1.4.1. kaupti, saugoti, tvarkyti aktų/sprendimų/pažymų dokumentuose teikiamus duomenis;

14.1.4.2. kaupti statistinius duomenis apie tikrintus produktus;

14.1.4.3. formuoti ir pateikti spausdinimui nustatytas dokumentų formas;

14.1.4.4. teikti duomenis paskirtų įpareigojimų ūkio subjektui vykdymo kontrolei;

14.1.4.5. tvarkyti paskirtų įpareigojimų ūkio subjektui įvykdymo rezultatus;

14.1.4.6. pateikti peržiūrai pagal užklausas įvestus duomenis.

14.1.5. Administracinių nusižengimų duomenų apskaitos modulis. Paskirtis – apskaityti duomenis, susijusius su Tarnybos taikytomis nuobaudomis pagal administracinės teisės pažeidimus. Funkcijos:

14.1.5.1. kaupti, saugoti, tvarkyti protokolų ir nutarimų duomenis;

14.1.5.2. pateikti peržiūrai pagal užklausas įvestus duomenis.

14.1.6. Duomenų teikimo modulis. Paskirtis – teikti operatyvinius, statistinius ir suvestinius RIPRIS duomenis. Funkcijos:

14.1.6.1. automatinis ataskaitų formavimas ir pateikimas apie:

14.1.6.1.1. rinkos priežiūros rezultatus;

14.1.6.1.2. statistinę informaciją apie gautus vartotojų skundus;

14.1.6.1.4. Tarnybos struktūrinio padalinio, inspektoriaus veiklos rezultatus;

14.1.6.1.5. patikrintus (taip pat importuotus) ne maisto produktus;

14.1.6.1.6. vykdomus monitoringus (pagal Europos Sąjungos teisės aktais nustatytas formas);

14.1.6.2. formuoti numatytą teikiamų duomenų paketą HTML, PDF formatu.

14.1.6.3. Sistemos administravimo modulis. Paskirtis – administruoti ir stebėti RIPRIS, valdyti duomenų kokybę. Funkcijos:

14.1.6.4. dokumentų formų šablonų valdymas;

14.1.6.5. RIPRIS duomenų kokybės valdymas;

14.1.6.6. pranešimų RIPRIS naudotojams teikimas;

14.1.6.7. RIPRIS naudotojų prieigos stebėsena;

14.1.6.8. RIPRIS administratoriaus veiklos stebėsena;

14.1.6.9. kitų RIPRIS parametrų administravimas.

14.1.7. Informacinių mainų modulis. Paskirtis – duomenų mainai su išoriniais šaltiniais, t. y. duomenų paketų, gautų iš kitų informacinių sistemų įkėlimas/formavimas. Funkcijos:

14.1.7.1. patikrinti numatytų importuoti duomenų formatą;

14.1.7.2. importuoti duomenis į RIPRIS duomenų bazę;

14.1.7.3. įkeltų duomenų peržiūra;

14.1.7.4. suformuoti numatytą eksportuojamų duomenų paketą;

14.1.7.5. pateikti suformuotus duomenis HTML, PDF arba XML formatu.

14.2. Klasifikatorių posistemė. Paskirtis – tvarkyti klasifikatorių duomenis. Funkcijos:

14.2.1. tvarkyti duomenis klasifikatoriuose;

14.2.2. pagal poreikį sukurti naują klasifikatorių.

14.3. RIPRIS naudotojų posistemė. Paskirtis – valdyti prieigą prie RIPRIS duomenų. Funkcijos:

14.3.1. tvarkyti Tarnybos organizacinės struktūros duomenis;

14.3.2. tvarkyti RIPRIS naudotojų identifikavimo duomenis;

14.3.3. tvarkyti RIPRIS naudotojų teises ir roles.

V SKYRIUS

RIPRIS DUOMENŲ TEIKIMAS IR NAUDOJIMAS

15. RIPRIS kaupiami duomenys yra vieši ir teikiami institucijoms, kitiems juridiniams ir fiziniams asmenims (toliau – duomenų gavėjai). Asmens duomenys teikiami Nuostatų 20–21 punktuose nustatyta tvarka, atsižvelgiant į Reglamento reikalavimus.

16. Apdoroti ir susisteminti RIPRIS duomenys, išskyrus asmens duomenis, skelbiami Tarnybos interneto svetainėje.

17. RIPRIS duomenys duomenų gavėjams teikiami neatlygintinai.

18. RIPRIS duomenys duomenų gavėjams teikiami apdoroti skaitmenine arba popierine forma.

19. Duomenų gavėjas, norėdamas gauti neskelbiamus duomenis, teikia RIPRIS tvarkytojui prašymą (vienkartinio teikimo atveju), nurodydamas duomenų naudojimo tikslą, teikimo ir gavimo teisinį pagrindą ir prašomų duomenų apimtį, formą ir būdą. Jei prašomi asmens duomenys, tai turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo bei gavimo teisinis pagrindas ir prašomų pateikti asmens duomenų apimtis. Duomenų gavėjas negali asmens duomenų naudoti kitam tikslui, negu yra nustatyta duomenų teikimo prašyme.

20. Daugkartinio RIPRIS duomenų teikimo atveju duomenys teikiami pagal sudarytą duomenų teikimo sutartį tarp RIPRIS tvarkytojo ir duomenų gavėjo. Sutartyje nurodomas RIPRIS duomenų naudojimo tikslas, teikimo ir gavimo teisinis pagrindas, sąlygos, tvarka ir teikiamų duomenų apimtis, forma ir būdas. Jei prašomi asmens duomenys, tai turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo bei gavimo teisinis pagrindas ir prašomų pateikti asmens duomenų apimtis. Duomenų gavėjas negali asmens duomenų naudoti kitam tikslui, negu yra nustatyta duomenų teikimo sutartyje.

21. Duomenys duomenų gavėjams teikiami tokio turinio ir tokios formos, kokia jau naudojami ir jų nereikia papildomai apdoroti. Valstybės informacinių išteklių valdymo įstatymo 35 straipsnio 3 dalyje nurodytais atvejais Lietuvos Respublikos Vyriausybės nustatyta tvarka duomenys gali būti pateikiami prašomos formos ir turinio.

22. Pakartotinio RIPRIS duomenų naudojimo tikslais (statistinėms ataskaitoms) teikiami pagal duomenų teikimo sutartis, kuriose nurodomas duomenų gavimo teisinis pagrindas, tvarka, duomenų naudojimo tikslas ir dydis, formatas ir gavimo būdas. Teikiami duomenys nuasmeninami, t. y. fizinio asmens vardas ir pavardė pakeičiami žodžiais „fizinis asmuo“.

23. RIPRIS tvarkytojo veiksmai gali būti skundžiami Lietuvos Respublikos teisės aktų nustatyta tvarka.

24. Duomenų gavėjas, registro ar kitos valstybės informacinės sistemos tvarkytojas, duomenų subjektas bei kiti asmenys turi teisę reikalauti ištaisyti netikslius duomenis.

25. Nustačius, kad RIPRIS duomenys netikslūs, neteisingi ar neišsamūs, nedelsiant kreipiamasi į RIPRIS tvarkytoją su prašymu, pateikiamu asmeniškai, paštu ar elektroninių ryšių priemonėmis, nedelsiant ištaisyti netikslius, neteisingus ar neišsamius duomenis.

26. Ištaisęs duomenų netikslumus, RIPRIS tvarkytojas apie tai nedelsdamas, ne vėliau kaip 5 d. d. informuoja prašymą pateikusį asmenį ir duomenų gavėjus, kuriems neteisingi, netikslūs ir neišsamūs duomenys perduoti.

27. Duomenys Europos Sąjungos valstybių narių ir (arba) Europos ekonominės trečiųjų šalių fiziniams ir juridiniams asmenims, juridinio statuso neturintiems subjektams, jų filialams ir atstovybėms teikiami Valstybės informacinių išteklių valdymo įstatymo nustatyta tvarka.

VI SKYRIUS

RIPRIS DUOMENŲ SAUGA

28. RIPRIS duomenų saugaus tvarkymo reikalavimų įgyvendinimas užtikrinamas

vadovaujantis:

28.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);

28.2. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

28.3. Lietuvos standartais LST ISO/IEC 27002:2014 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“ ir LST ISO/IEC 27001:2013 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“ bei kitais Lietuvos ir tarptautiniais standartais, reglamentuojančiais saugų informacinės sistemos duomenų tvarkymą“.

29. RIPRIS duomenų sauga organizuojama vadovaujantis RIPRIS duomenų saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais, parengtais ir patvirtintais vadovaujantis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais.

30. Duomenų bazės duomenys, išskyrus asmens kodą, saugomi 10 metų. Senesni nei nustatytas terminas duomenys ištrinami iš RIPRIS duomenų bazės. Asmens kodas duomenų bazėje saugomas kol galioja paskirta nuobauda (1 metus nuo nuobaudos paskyrimo). Praėjus šiam terminui asmens kodas ištrinamas programinėmis priemonėmis. Asmens duomenys rezervinėse duomenų bazės kopijose saugomi tiek kiek saugomos kopijos, bet ne ilgiau kaip 1 mėnesį.

31. Už RIPRIS duomenų saugą atsako RIPRIS valdytojas ir RIPRIS naudotojai.

VII SKYRIUS

RIPRIS FINANSAVIMAS

32. RIPRIS priežiūra, palaikymas ir plėtra finansuojama Lietuvos Respublikos valstybės biudžeto lėšomis iš Tarnybos asignavimų.

VIII SKYRIUS

RIPRIS MODERNIZAVIMAS IR LIKVIDAVIMAS

33. RIPRIS modernizuojama arba likviduojama Valstybės informacinių išteklių valdymo įstatymo, Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo ir kitų teisės aktų nustatyta tvarka.

34. Sprendimą dėl RIPRIS modernizavimo ar likvidavimo priima RIPRIS valdytojas.

35. Jei RIPRIS likviduojama, joje tvarkomi dokumentai ir duomenys perduodami kitai valdytojo informacinei sistemai arba, sunaikinami, arba perduodami valstybės archyvui Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka.

IX SKYRIUS

BAIGIAMOSIOS NUOSTATOS

36. Kiekvienas duomenų subjektas, kurio duomenys yra tvarkomi RIPRIS, turi Reglamento įtvirtintas teises ir duomenų subjektų teises bei jų įgyvendinimo tvarką, patvirtintą Valstybinės vartotojų teisių apsaugos tarnybos 2018 m. gruodžio 31 d. direktoriaus įsakymu Nr.1-200 „Dėl duomenų subjektų teisių įgyvendinimo Valstybinėje vartotojų teisių apsaugos tarnyboje aprašo patvirtinimo“.

37. Už šių Nuostatų pažeidimus fiziniai ir juridiniai asmenys atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

_______________________

PATVIRTINTA

Valstybinės vartotojų teisių apsaugos

tarnybos direktoriaus

2020 m. birželio 3 d. įsakymu Nr. 1-123

NE MAISTO PRODUKTŲ RINKOS PRIEŽIŪROS INFORMACINĖS SISTEMOS „RIPRIS“ DUOMENŲ SAUGOS NUOSTATAI

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Ne maisto produktų rinkos priežiūros informacinės sistemos „RIPRIS“ duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Valstybinės vartotojų teisių apsaugos tarnybos (toliau – Tarnybos) Ne maisto produktų rinkos priežiūros informacinės sistemos „RIPRIS“ (toliau – RIPRIS) saugos politiką.

2. Saugos nuostatai parengti vadovaujantis Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“.

3. Saugos nuostatuose naudojamos sąvokos apibrėžtos Lietuvos Respublikos informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrasis elektroninės saugos reikalavimų aprašas), LST ISO/IEC 27002:2017 ir kituose Lietuvos Respublikos teisės aktuose.

4. RIPRIS tvarkomos elektroninės informacijos saugos tikslas – sudaryti sąlygas saugiai automatizuotu būdu saugoti ir tvarkyti duomenis RIPRIS, užtikrinti duomenų konfidencialumą, vientisumą ir prieinamumą.

5. RIPRIS elektroninės informacijos saugos užtikrinimo prioritetinės kryptys:

5.1. RIPRIS duomenų konfidencialumo užtikrinimas.

5.2. RIPRIS reikalaujamo prieinamumo užtikrinimas.

5.3. Prieigos prie RIPRIS kontrolė.

5.4. RIPRIS naudotojų ir RIPRIS administratoriaus saugos mokymai.

6. Saugos nuostatai taikomi:

6.1. RIPRIS valdytojai ir tvarkytojai – Valstybinei vartotojų teisių apsaugos tarnybai, Vilniaus g. 25, LT-01402 Vilnius.

6.2. RIPRIS naudotojams.

6.3. RIPRIS administratoriui.

6.4. RIPRIS saugos įgaliotiniui ir duomenų valdymo įgaliotiniui.

7. RIPRIS valdytojo ir tvarkytojo funkcijos:

7.1. Rengia ir priima teisės aktus, užtikrinančius RIPRIS duomenų tvarkymo teisėtumą ir RIPRIS duomenų saugą, atlieka jų nuostatų laikymosi priežiūrą.

7.2. Analizuoja gaunamus pasiūlymus dėl RIPRIS duomenų saugos, juos apibendrina ir priima sprendimus dėl RIPRIS tobulinimo.

7.3. Vadovauja kuriant ir diegiant RIPRIS, taip pat užtikrinant jos veikimą, tobulinimą ir duomenų saugą.

7.4. Priima sprendimus dėl RIPRIS rizikos vertinimo atlikimo.

7.5. Rašytiniu pavedimu skiria RIPRIS saugos įgaliotinį.

7.6. Rašytiniu pavedimu skiria RIPRIS administratorių.

7.7. Atlieka kitas Saugos nuostatų, RIPRIS nuostatų ir kitų teisės aktų nustatytas funkcijas.

8. RIPRIS saugos įgaliotinio funkcijos:

8.1. Teikia RIPRIS valdytojui ir tvarkytojui pasiūlymus dėl:

8.1.1. Administratoriaus paskyrimo ir reikalavimų administratoriui nustatymo;

8.1.2. RIPRIS informacinių technologijų saugos atitikties vertinimo atlikimo.

8.2. Teikia RIPRIS valdytojo vadovui pasiūlymus dėl saugos dokumentų priėmimo, keitimo.

8.3. Koordinuoja įvykusių incidentų dėl RIPRIS elektroninės informacijos saugos tyrimą.

8.4. Teikia RIPRIS administratoriui privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu.

8.5. Periodiškai inicijuoja RIPRIS naudotojų mokymą informacijos saugos klausimais, informuoja RIPRIS administratorių ir naudotojus informacijos saugos klausimais.

8.6. Atsako už RIPRIS elektroninės informacijos saugos reikalavimų įgyvendinimą.

8.7. Supažindina RIPRIS administratorių ir RIPRIS naudotojus su saugos nuostatais, saugos dokumentų reikalavimais

8.8. Atlieka kitas RIPRIS valdytojo ir tvarkytojo pavestas bei šiais Saugos nuostatais jam priskirtas funkcijas.

8.9. Rengia ir saugo klientų srities saugai užtikrinti būtiną dokumentaciją.

8.10. Atsako už RIPRIS naudotojų informacijos saugos mokymų organizavimą.

9. RIPRIS administratoriaus funkcijos:

9.1. Atsako už RIPRIS serverių srities funkcionavimą ir prieigų prie RIPRIS infrastruktūros išteklių teisių suteikimą.

9.2. Atlieka RIPRIS sudarančių komponentų (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų, ugniasienių, įsilaužimo aptikimo sistemų, duomenų perdavimo tinklų) sąranką, kuri atitiktų RIPRIS saugos dokumentų reikalavimus.

9.3. Pagal kompetenciją RIPRIS saugos įgaliotiniui teikia pasiūlymus dėl RIPRIS palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir RIPRIS elektroninės informacijos saugos užtikrinimo.

9.4. Informuoja RIPRIS saugos įgaliotinį apie elektroninės informacijos saugos incidentus ir teikia pasiūlymus dėl incidentų pašalinimo.

9.5. Atsako už atsarginių RIPRIS duomenų kopijų darymą ir atkūrimą bei už RIPRIS taikomosios programinės įrangos (aplikacijų) kopijų darymą.

9.6. Atlieka RIPRIS priežiūrą.

10. Teisės aktai, kuriais vadovaujamasi tvarkant RIPRIS elektroninę informaciją ir užtikrinant jos saugumą:

10.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (toliau – Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1);

10.2. Lietuvos Respublikos kibernetinio saugumo įstatymas;

10.3. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

10.4. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

10.5. Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“ (toliau – Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašas);

10.6. Bendrųjų elektroninės informacijos saugos reikalavimų aprašas;

10.7. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „ Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

10.8. Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės saugos reikalavimų patvirtinimo“;

10.9. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

10.10. Lietuvos standartai LST ISO/IEC 27001:2017, LST ISO/IEC27002:2017 ;

10.11. Kiti teisės aktai, reglamentuojantys elektroninės informacijos saugumą valstybės institucijose.

11. RIPRIS valdytojas ir tvarkytojas organizuoja ir užtikrina RIPRIS asmens duomenų saugą vadovaudamasis Bendruoju duomenų apsaugos reglamentu:

11.1. Prieigą prie įrangos ir duomenų (neleisti neįgaliotiems asmenims prieiti prie RIPRIS duomenų tvarkymui naudojamos duomenų apdorojimo įrangos; užtikrinti, kad asmenys, įgalioti naudotis RIPRIS programine įranga, galėtų prieiti tik prie tų duomenų, kuriuos apima jų prieigos leidimas).

11.2. Duomenų įvedimą, tvarkymą ir naudojimą (užtikrinti galimybę nustatyti, kas ir kada įvedė duomenis į RIPRIS; apriboti neleistiną duomenų įvedimą, keitimą, ištrynimą, peržiūrą ar kitą tvarkymą; užtikrinti, kad RIPRIS duomenų užklausos būtų registruojamos).

11.3. Kitas veiklas, numatytas Lietuvos Respublikos teisės aktuose.

II SKYRIUS

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

12. Vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos gairių aprašo (toliau-Svarbos gairių aprašas), patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ 9.1 ir 9.3 papunkčiais RIPRIS tvarkoma elektroninė informacija priskiriama mažiausios svarbos informacijos kategorijai.

13. Vadovaujantis Svarbos gairių aprašo 12.3 papunkčiu, RIPRIS priskiriama ketvirtajai informacinės sistemos kategorijai.

14. Pagrindinės nuostatos dėl rizikos veiksnių vertinimo:

14.1. RIPRIS rizikos vertinimą inicijuoja Tarnyba.

14.2. RIPRIS rizika nustatoma periodinio rizikos vertinimo metu.

14.3. RIPRIS rizikos vertinimas atliekamas ne rečiau kaip kartą per metus.

14.4. RIPRIS saugos įgaliotinis yra atsakingas už RIPRIS rizikos vertinimo atlikimo organizavimą.

14.5. Rizikos įvertinimo ataskaitas, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas, informacinių technologijų saugos atitikties vertinimo ataskaitas, pastebėtų trūkumų šalinimo plano kopijas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai (ARSIS).

14.6. RIPRIS rizikos veiksniai vertinami taikant kokybinę rizikos vertinimo metodiką.

14.7. RIPRIS rizikos vertinimas atliekamas vadovaujantis:

14.7.1. Lietuvos Respublikos duomenų saugą reglamentuojančiais teisės aktų reikalavimais;

14.7.2. Lietuvos ir tarptautiniuose grupės standartuose „Informacijos technologija. Saugumo technika“ pateiktomis rekomendacijomis;

14.7.3. Lietuvos Respublikos vidaus reikalų ministerijos išleista metodine priemone „Rizikos analizės vadovas“.

15. RIPRIS rizikos įvertinimas išdėstomas rizikos įvertinimo ataskaitoje. RIPRIS rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos RIPRIS informacijos saugai. Svarbiausi rizikos veiksniai:

15.1. Subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita).

15.2. Subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacine sistema elektroninei informacijai gauti, elektroninės informacijos pateikimas ar sunaikinimas, informacinių technologijų perdavimo tinklų sutrikdymai, saugumo pažeidimai, vagystės ir kita).

15.3. Veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

16. RIPRIS valdytoja ir tvarkytoja, atsižvelgdama į RIPRIS rizikos įvertinimo ataskaitą, prireikus tvirtina RIPRIS saugos įgaliotinio parengtą rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

17. Siekiant užtikrinti Saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose teisės aktuose išdėstytų nuostatų įgyvendinimo kontrolę, RIPRIS saugos įgaliotinis ne rečiau kaip kartą per 2 metus organizuoja RIPRIS informacinių technologijų saugos atitikties vertinimą, kurio metu:

17.1. Įvertinama Saugos nuostatų ir kitų saugos politiką įgyvendinančių teisės aktų atitiktis realiai RIPRIS duomenų saugos situacijai.

17.2. Inventorizuojama RIPRIS techninė ir programinė įranga.

17.3. Patikrinama ne mažiau kaip 10 procentų atsitiktinai parinktų RIPRIS naudotojų kompiuterinių darbo vietų, ir visose tarnybinėse stotyse įdiegtos programos ir jų sąranka.

17.4. Patikrinama RIPRIS naudotojams suteiktų teisių ir vykdomų funkcijų atitiktis.

17.5. Įvertinamas pasirengimas užtikrinti RIPRIS veiklos tęstinumą įvykus saugos incidentui.

18. RIPRIS valdytoja ir tvarkytoja, atsižvelgdama į RIPRIS informacinių technologijų saugos reikalavimų atitikties vertinimo rezultatus, prireikus tvirtina RIPRIS saugos įgaliotinio parengtą pastebėtų trūkumų šalinimo planą, kuriame nurodomi atsakingi vykdytojai ir nustatomi numatytų priemonių įgyvendinimo terminai.

19. RIPRIS saugai užtikrinti naudojamos priemonės parengtos vadovaujantis:

19.1. Elektroninės informacijos saugą reglamentuojančių Lietuvos Respublikos teisės aktų reikalavimais, kurie nustato būtinas priemones pagal informacinei sistemai paskirtą saugos kategoriją.

19.2. Lietuvos standarte LST ISO/IEC 27002:2017 pateiktomis rekomendacijomis.

III SKYRIUS

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

20. Metodai ir priemonės, kurie taikomi užtikrinant prieigą prie RIPRIS:

20.1. Prieigos prie RIPRIS teises suteikia RIPRIS administratorius. Pasikeitus RIPRIS naudotojo pareigoms ar atliekamoms užduotims, suteikta prieiga turi būti nedelsiant nutraukiama. RIPRIS naudotojams suteiktos prieigos teisės periodiškai, bet ne rečiau kaip kartą per metus, turi būti peržiūrimos, siekiant nustatyti ir pašalinti subjektus, kuriems prieigos prie RIPRIS teisės turi būti panaikintos ar pakeistos. Už periodinę RIPRIS naudotojų teisių peržiūrą atsakingas RIPRIS saugos įgaliotinis.

20.2. Prieš suteikiant prieigą, RIPRIS administratorius privalo įsitikinti, kad RIPRIS naudotojas pasirašytinai yra susipažinęs su informacijos saugos dokumentais bei žino savo atsakomybę tvarkant ir naudojant RIPRIS duomenis.

20.3. Kiekvienas RIPRIS naudotojas sistemoje turi būti unikaliai atpažįstamas pagal jam suteiktą ir atitinkamą slaptažodį;

20.4. RIPRIS naudotojų prieigai prie RIPRIS naudojamas šifruotas HTTPS duomenų perdavimo protokolas bei interneto naršyklė.

21. Programinės įrangos, skirtos apsaugoti RIPRIS nuo kenksmingos programinės įrangos, naudojimo nuostatos:

21.1. RIPRIS funkcionuoti būtina tarnybinių stočių ir RIPRIS naudotojų kompiuteriuose esanti programinė įranga (operacinės sistemos, duomenų bazių ir aplikacijų valdymo programinė įranga, interneto naršyklės, interneto naršyklių priedai ir kt.) turi būti konfigūruojama laikantis programinės įrangos gamintojų saugaus konfigūravimo rekomendacijomis. Už tarnybinių stočių programinės įrangos kontrolę atsakingas RIPRIS administratorius.

21.2. RIPRIS funkcionuoti būtina tarnybinių stočių ir RIPRIS naudotojų kompiuteriuose esanti programinė įranga turi būti atnaujinama ne vėliau kaip per 5 darbo dienas po programinės įrangos gamintojų pranešimo apie programinės įrangos atnaujinimą. Už atnaujinimų atlikimo kontrolę atsakingas RIPRIS administratorius.

21.3. RIPRIS naudotojų kompiuteriuose prieigos teisės turi būti apribojamos iki minimalių, būtinų darbo užduotims atlikti teisių.

21.4. RIPRIS naudotojų kompiuteriuose turi būti naudojama antivirusinė programinė įranga, apsauganti nuo kenksmingų programų, įskaitant elektroninio pašto apsaugą. Antivirusinė įranga periodiškai, ne rečiau kaip kartą per savaitę, turi būti automatiškai atnaujinama.

22. Programinės įrangos naudojimo ribojimo nuostatos:

22.1. RIPRIS tarnybinėse stotyse neturi veikti programinė įranga, kuri nėra autorizuota RIPRIS saugos įgaliotinio.

22.2. Periodiškai, bet ne rečiau kaip kartą per metus, turi būti atliekamas RIPRIS tarnybinėse stotyse naudojamos programinės įrangos auditas, kurį inicijuoja RIPRIS saugos įgaliotinis.

23. Kompiuterių tinklo filtravimo įrangos naudojimo nuostatos:

23.1. RIPRIS naudotojų elektroninės informacijos perdavimo tinklas turi būti atskirtas nuo viešųjų telekomunikacijos tinklų naudojant užkardą.

23.2. Konfigūruojant RIPRIS naudotojų elektroninės informacijos perdavimo tinklo ugniasienes turi būti naudojami tik organizacijos veiklai būtini tinklo protokolai ir ugniasienių prievadai.

23.3. Už RIPRIS tarnybinių stočių tinklo ugniasienių administravimą, priežiūrą, operacinės sistemos atnaujinimą ir saugią ugniasienių konfigūraciją atsakingas RIPRIS administratorius.

23.4. RIPRIS tarnybinių stočių tinklo ugniasienių konfigūracijos aprašymas (ugniasienių taisyklės) saugomos pas RIPRIS saugos įgaliotinį. Ugniasienių konfigūracija peržiūrima ne rečiau kaip kartą per metus. Peržiūrą inicijuoja RIPRIS saugos įgaliotinis.

24. Leistinos kompiuterių naudojimo ribos:

24.1. Stacionarūs ir nešiojamieji RIPRIS naudotojų kompiuteriai privalo būti naudojami tik su tiesioginių pareigų atlikimu susijusiai veiklai atlikti. Iš kompiuterių, kurie perduodami remontui ar techniniam aptarnavimui, turi būti pašalinta visa riboto naudojimo RIPRIS elektroninė informacija.

25. Metodai, kurie leidžiami užtikrinti saugų RIPRIS elektroninės informacijos teikimą ir (ar) gavimą:

25.1. RIPRIS duomenys perduodami automatiniu būdu TCP/IP protokolu realiu laiku arba asinchroniniu režimu pagal RIPRIS duomenų teikimo ir gavimo sutartis, kuriose nustatytos perduodamų duomenų specifikacijos, perdavimo sąlygos ir tvarka.

25.2. Už duomenų teikimo ir gavimo sutartyse nurodomų saugos reikalavimų nustatymą, suformulavimą ir įgyvendinimo organizavimą atsakingas RIPRIS saugos įgaliotinis.

26. Pagrindiniai atsarginių RIPRIS duomenų kopijų darymo ir atkūrimo reikalavimai:

26.1. Atsarginių RIPRIS duomenų kopijų darymas ir atkūrimas turi būti atliekamas laikantis Lietuvos Respublikos teisės aktų nustatytų reikalavimų.

26.2. Atsarginės RIPRIS duomenų bazės kopijos programinėmis priemonėmis daromos kiekvieną darbo dieną.

26.3. Atsarginės RIPRIS aplikacijų kopijos programinėmis priemonėmis daromos kartą į savaitę ir po programinių atnaujinimų.

26.4. Atsarginių kopijų laikmenos yra pažymimos taip, kad jas būtų galima atpažinti.

26.5. RIPRIS duomenų atkūrimas iš atsarginių kopijų turi būti periodiškai (ne rečiau kaip kartą per metus) išbandomas. Bandymų eiga ir rezultatai įforminti atsarginių RIPRIS duomenų kopijų atkūrimo išbandymo žurnale.

26.6. Už atsarginių RIPRIS duomenų kopijų darymą ir atkūrimą ir už RIPRIS taikomosios programinės įrangos (aplikacijų) kopijų darymą atsakingas RIPRIS administratorius.

IV SKYRIUS

REIKALAVIMAI PERSONALUI

27. RIPRIS saugos įgaliotinis privalo išmanyti informacinės saugos užtikrinimo principus, savo darbe vadovautis Lietuvos Respublikos ir Europos Sąjungos teisės aktais bei kitais saugos dokumentais, standartais ir kitais dokumentais, reglamentuojančiais saugų duomenų tvarkymą, sugebėti prižiūrėti, kaip įgyvendinama RIPRIS saugos politika.

28. RIPRIS administratorius privalo išmanyti RIPRIS informacijos saugos politikos principus, darbą su duomenų perdavimo tinklais, mokėti užtikrinti jų saugą, taip pat administruoti ir prižiūrėti informacines sistemas, turi būti susipažinęs su šiais saugos nuostatais ir kitais susijusiais saugos dokumentais.

29. RIPRIS naudotojai turi turėti naudojimosi kompiuteriu įgūdžių, būti susipažinę su šiais Saugos nuostatais ir kitais susijusiais saugos dokumentais.

30. Saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninio ryšio tinklo darbui, savavališką prisijungimą prie elektroninių ryšių infrastruktūros įrenginio arba savavališką naudojimą ir apsaugos sąlygų bei taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.

31. RIPRIS naudotojų informacijos saugos mokymai ir žinių atnaujinimas atliekamas kasmet.

32. Už RIPRIS naudotojų informacijos saugos mokymą ir žinių atnaujinimą atsakingas RIPRIS saugos įgaliotinis.

V SKYRIUS

NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

33. Visi RIPRIS naudotojai privalo būti pasirašytinai supažindinti su RIPRIS saugos dokumentais, savo pareigomis ir atsakomybe, susijusia su RIPRIS informacijos sauga.

34. Už RIPRIS naudotojų pasirašytiną supažindinimą su saugos dokumentais, savo pareigomis ir atsakomybę, susijusią su RIPRIS informacijos sauga, atsakingas RIPRIS saugos įgaliotinis.

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

35. Saugos nuostatai privalomi RIPRIS valdytojos ir tvarkytojos darbuotojams, RIPRIS naudotojams, RIPRIS administratoriui bei RIPRIS duomenų saugos įgaliotiniui, kurie tvarko RIPRIS kaupiamus duomenis.

______________________________