1.1. Traumų ir nelaimingų atsitikimų stebėsenos informacinės sistemos nuostatus;

1.2. Traumų ir nelaimingų atsitikimų stebėsenos informacinės sistemos duomenų saugos nuostatus.

2.1. paskirti Traumų ir nelaimingų atsitikimų stebėsenos informacinės sistemos saugos įgaliotinį, administratorių, duomenų valdymo įgaliotinį;

2.2. per 5 mėnesius nuo šio įsakymo įsigaliojimo parengti, teisės aktų nustatyta tvarka suderinti ir Lietuvos Respublikos sveikatos apsaugos ministerijai pateikti tvirtinti:

1. Traumų ir nelaimingų atsitikimų stebėsenos informacinės sistemos nuostatai (toliau – Nuostatai) nustato Traumų ir nelaimingų atsitikimų stebėsenos informacinės sistemos (toliau – Informacinė sistema) steigimo teisinį pagrindą, tikslus, uždavinius ir funkcijas, organizacinę, informacinę ir funkcinę struktūras, Informacinės sistemos duomenų teikimo ir naudojimo tvarką, Informacinės sistemos duomenų saugą, finansavimą, Informacinės sistemos modernizavimą ir likvidavimą.

2. Informacinės sistemos steigimo teisinis pagrindas – Lietuvos Respublikos visuomenės sveikatos priežiūros įstatymo 26 straipsnio 4 dalis.

3. Informacinės sistemos tikslas – informacinių technologijų priemonėmis valdyti duomenis apie traumas ir nelaimingus atsitikimus.

4. Informacinės sistemos uždavinys – centralizuotai tvarkyti duomenis apie traumas ir nelaimingus atsitikimus ir atlikti traumų ir nelaimingų atsitikimų priežasčių analizę.

5. Informacinės sistemos pagrindinės funkcijos:

6. Informacinės sistemos asmens duomenų tvarkymo tikslai:

7. Informacinė sistema tvarkoma vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679), Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu, Lietuvos Respublikos oficialiosios statistikos ir valstybės duomenų valdysenos įstatymu, Lietuvos Respublikos visuomenės sveikatos stebėsenos (monitoringo) įstatymu, Lietuvos Respublikos kibernetinio saugumo įstatymu, Lietuvos Respublikos teisės gauti informaciją ir duomenų pakartotinio naudojimo įstatymu, Informacinės visuomenės plėtros komiteto direktoriaus 2013 m. kovo 25 d. įsakymu Nr. T-36 „Dėl Duomenų teikimo formatų ir standartų rekomendacijų patvirtinimo“, Nuostatais ir kitais teisės aktais, reglamentuojančiais informacinių sistemų veiklą.

8. Nuostatuose vartojamos sąvokos atitinka Nuostatų 7 punkte nurodytuose teisės aktuose vartojamas sąvokas.

9. Informacinės sistemos valdytojas, tvarkytojas ir asmens duomenų valdytojas yra Higienos institutas (toliau – Informacinės sistemos valdytojas ir tvarkytojas).

10. Informacinės sistemos valdytojas ir tvarkytojas turi Reglamente (ES) 2016/679 nustatytas teises ir pareigas, atlieka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme nustatytas funkcijas, taip pat:

11. Informacinės sistemos duomenų teikėjai:

12. Informacinę struktūrą sudaro:

13. Traumų ir nelaimingų atsitikimų duomenų bazėje saugomi:

14. Ataskaitų duomenų bazėje tvarkomi ir saugomi duomenys, kurių reikia ataskaitoms formuoti, statistikai skaičiuoti ir analizei vykdyti:

15. Informacinės sistemos duomenų teikėjai teikia šiuos duomenis:

16. Informacinės sistemos funkcinę struktūrą sudaro:

17. Duomenų mainų posistemė vykdo duomenų surinkimą iš kitų informacinių sistemų, jų kaupimą.

18. Analitinės informacijos posistemė vykdo:

19. Administravimo posistemė vykdo:

20. Informacinės sistemos duomenys yra vieši ir teikiami duomenų gavėjams, jeigu Lietuvos Respublikos įstatymai ir (ar) Europos Sąjungos teisės aktai nenustato kitaip.

21. Informacinės sistemos asmens duomenys teikiami duomenų gavėjams vadovaujantis Reglamento (ES) 2016/679 nustatytais su asmens duomenų tvarkymu susijusiais principais ir esant teisėtoms asmens duomenų tvarkymo sąlygoms bei kitais teisės aktais, reglamentuojančiais asmens duomenų teikimą fiziniams ir juridiniams asmenims. Informacinės sistemos asmens duomenys neteikiami, jeigu duomenų gavėjui gauti šiuos duomenis nėra teisinio pagrindo.

22. Informacinės sistemos duomenys ES valstybių narių ir (arba) Europos ekonominės erdvės valstybių fiziniams ir juridiniams asmenims, juridinio asmens statuso neturintiems subjektams, jų filialams ir atstovybėms teikiami ta pačia tvarka, kaip ir Lietuvos Respublikos fiziniams ir juridiniams asmenims.

23. Informacinės sistemos duomenys trečiųjų šalių fiziniams ir juridiniams asmenims, juridinio asmens statuso neturintiems subjektams, jų filialams ir atstovybėms teikiami ta pačia tvarka, kaip ir Lietuvos Respublikos fiziniams ir juridiniams asmenims, jeigu tai neprieštarauja Lietuvos Respublikos įstatymams, tarptautinėms sutartims ir kitiems teisės aktams bei vadovaujantis Reglamento (ES) 2016/679 V skyriaus nuostatomis.

24. Informacinės sistemos duomenys gali būti teikiami leidžiamosios kreipties būdu internetu ar elektroninių ryšių tinklais, pateikiami raštu, žodžiu ir (arba) elektroninių ryšių priemonėmis.

25. Informacinės sistemos duomenys teikiami pagal duomenų teikimo sutartis (daugkartinio teikimo atvejais) arba pagal duomenų gavėjo prašymą (vienkartinio teikimo atvejais). Kai informacija teikiama pagal duomenų gavėjo prašymą, prašyme turi būti nurodytas prašomos informacijos teikimo ir gavimo teisinis pagrindas, jos naudojimo tikslas, teikimo būdas, apimtis, gavimo būdai, teikiamų duomenų formatas. Kai informacija duomenų gavėjui teikiama pagal duomenų teikimo sutartį, sutartyje turi būti nustatyta teikiamos informacijos apimtis, prašomos informacijos teikimo ir gavimo teisinis pagrindas, naudojimo tikslas, informacijos teikimo būdas, teikiamų duomenų formatas, teikimo terminai, informavimo apie klaidų ištaisymą tvarka ir terminai, sutarties keitimo tvarka.

26. Duomenys duomenų gavėjams teikiami tokio turinio ir tokios formos, kurie Informacinės sistemos valdytojo ir tvarkytojo naudojami ir nereikalauja papildomo duomenų apdorojimo. Valstybės informacinių išteklių valdymo įstatymo 35 straipsnio 3 dalyje nurodytais atvejais Lietuvos Respublikos Vyriausybės nustatyta tvarka duomenys gali būti pateikiami duomenų gavėjo prašomo formato ir turinio.

27. Informacinės sistemos duomenų gavėjo gauti Informacinės sistemos duomenys negali būti naudojami kitaip ar kitu tikslu, negu buvo nurodyta juos gaunant. Informacinės sistemos duomenų pakartotinio naudojimo sąlygas nustato Teisės gauti informaciją ir duomenų pakartotinio naudojimo įstatymo 8 straipsnis.

28. Informacinės sistemos duomenys teikiami neatlygintinai.

29. Kai atsisakoma teikti Informacinės sistemos duomenis, asmeniui, pateikusiam prašymą juos gauti, raštu arba elektroninių ryšių priemonėmis pranešama apie priimtą motyvuotą sprendimą atsisakyti tenkinti jo prašymą ir suteikiama informacija apie tokio sprendimo apskundimo tvarką.

30.  Duomenų subjektai, jų įstatyminiai atstovai, duomenų gavėjai, registro ar kitos valstybės informacinės sistemos tvarkytojai, kiti asmenys turi teisę reikalauti ištaisyti neteisingus, netikslius, neišsamius Informacinės sistemos duomenis (toliau – netikslūs duomenys). Rašytinį prašymą ištaisyti netikslius duomenis galima pateikti asmeniškai, paštu ar elektroninių ryšių priemonėmis.

31.  Informacinės sistemos valdytojas ir tvarkytojas, gavęs duomenų subjektų, jų įstatyminių atstovų, duomenų gavėjų, registro ar kitos valstybės informacinės sistemos tvarkytojų, kitų asmenų rašytinį prašymą ištaisyti netikslius duomenis, nedelsdamas (ne ilgiau kaip per 5 darbo dienas) patikrina Informacinės sistemos duomenų tikslumą ir prireikus ištaiso netikslius duomenis. Pranešimas apie netikslių duomenų ištaisymą arba apie motyvuotą atsisakymą tai padaryti nedelsiant (ne vėliau kaip per vieną darbo dieną) siunčiamas asmeniui, pateikusiam rašytinį prašymą ištaisyti netikslius duomenis, paštu ir (ar) elektroninių ryšių priemonėmis. Ištaisęs netikslius duomenis, Informacinės sistemos valdytojas ir tvarkytojas per vieną darbo dieną nuo jų ištaisymo apie tai praneša Informacinės sistemos duomenų gavėjams, kuriems perduoti netikslūs duomenys. Informacinės sistemos valdytojas ir tvarkytojas, nustatęs, kad yra Informacinės sistemos duomenų netikslumų, turi nedelsdamas (ne vėliau kaip per vieną darbo dieną) elektroninių ryšių tinklais perduoti šią informaciją susijusiam duomenų teikėjui.

32. Informacinės sistemos duomenų pagrindu parengta statistinė informacija apie traumas ir nelaimingus atsitikimus yra viešai skelbiama Informacinės sistemos valdytojo ir tvarkytojo interneto svetainėje.

33.  Informacinės sistemos duomenų saugą ir asmens duomenų saugumą reglamentuoja Informacinės sistemos duomenų saugos nuostatai, kiti saugos politiką įgyvendinantys dokumentai, kurie rengiami, derinami ir tvirtinami Lietuvos Respublikos Vyriausybės nustatyta tvarka. Siekiant užtikrinti Informacinės sistemos duomenų saugą, vadovaujamasi:

34. Už duomenų saugą Lietuvos Respublikos įstatymų nustatyta tvarka atsako Informacinės sistemos valdytojas ir tvarkytojas. Prireikus nustatoma duomenų teikėjų ir kitų asmenų atsakomybė už Informacinės sistemos duomenų saugą.

35. Duomenų saugos priemonės turi užtikrinti:

36. Informacinės sistemos valdytojo ir tvarkytojo darbuotojai, Informacinėje sistemoje tvarkantys asmens duomenis, įpareigojami saugoti Informacinėje sistemoje esančių asmens duomenų paslaptį, nepažeisdami Reglamento (ES) 2016/679 ir kitų teisės aktų reikalavimų. Ši pareiga galioja ir jiems nutraukus su Informacinės sistemos duomenų tvarkymu susijusią veiklą, perėjus dirbti į kitas pareigas, pasibaigus jų darbo ar sutartiniams santykiams.

37. Informacinės sistemos duomenys saugomi 50 metų, po to perkeliami į Informacinės sistemos archyvą, kuriame yra saugomi 30 metų. Pasibaigus duomenų saugojimo Informacinėje sistemoje duomenų bazės archyve terminui, duomenys sunaikinami. Informacinėje sistemoje esantys duomenys, praradę savo aktualumą, sunaikinami arba perduodami valstybės archyvams ar kitai valdytojo informacinei sistemai Lietuvos Respublikos dokumentų ir archyvų įstatymo ir kitų teisės aktų nustatyta tvarka.

38. Informacinė sistema finansuojama iš Lietuvos Respublikos valstybės biudžeto (įskaitant Europos Sąjungos lėšas).

39. Informacinė sistema modernizuojama arba likviduojama Valstybės informacinių išteklių valdymo įstatymo ir Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, nustatyta tvarka.

40. Jei Informacinė sistema likviduojama, jos duomenys perduodami kitai valstybės informacinei sistemai, valstybės archyvui arba sunaikinami Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka.

41.  Duomenų subjektų teisės yra įgyvendinamos vadovaujantis Reglamentu (ES) Nr. 2016/679 ir Duomenų subjektų teisių įgyvendinimo tvarkant asmens duomenis Higienos instituto valdomuose registruose ir valstybės informacinėse sistemose tvarkos aprašu, patvirtintu Higienos instituto direktoriaus 2023 m. liepos 25 d. įsakymu Nr. V-87 „Dėl Duomenų subjektų teisių įgyvendinimo tvarkant asmens duomenis Higienos instituto valdomuose registruose ir valstybės informacinėse sistemose tvarkos aprašo patvirtinimo“.

1. Traumų ir nelaimingų atsitikimų stebėsenos informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Traumų ir nelaimingų atsitikimų stebėsenos informacinės sistemos (toliau – Informacinė sistema) elektroninės informacijos saugos politiką ir kibernetinio saugumo politiką (toliau – elektroninės informacijos saugos politika), kurios tikslas – nustatyti ir įgyvendinti organizacines, technines ir kitas priemones, suteikiančias galimybę saugiai tvarkyti elektroninę informaciją, ir užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo ar neteisėto tvarkymo.

2. Informacinės sistemos elektroninės informacijos saugos politika įgyvendinama pagal Lietuvos Respublikos sveikatos apsaugos ministro tvirtinamus Saugos nuostatus ir saugos politiką įgyvendinančius dokumentus: saugaus elektroninės informacijos tvarkymo taisykles, naudotojų administravimo taisykles, veiklos tęstinumo valdymo planą (toliau visi kartu – Saugos dokumentai).

3. Saugos nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Kibernetinio saugumo reikalavimų aprašas), vartojamas sąvokas.

4. Informacinės sistemos elektroninės informacijos saugos ir kibernetinio saugumo (toliau – elektroninės informacijos sauga) užtikrinimo tikslai:

5. Informacinės sistemos elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys:

6. Saugos nuostatų reikalavimai taikomi:

7.  Informacinės sistemos valdytojo ir tvarkytojo funkcijos:

8. Informacinės sistemos saugos įgaliotinio funkcijos:

9. Informacinės sistemos administratoriaus funkcijos:

10. Teisės aktai, kuriais vadovaujantis tvarkoma Informacinės sistemos elektroninė informacija ir užtikrinama jos sauga:

11. Vadovaujantis Klasifikavimo gairių aprašo 9.1, 9.2 ir 12.3 papunkčių reikalavimais:

12. Informacinės sistemos saugos įgaliotinis, atsižvelgdamas į Nacionalinio kibernetinio saugumo centro prie Lietuvos Respublikos krašto apsaugos ministerijos (toliau – Kibernetinio saugumo centras) interneto svetainėje skelbiamą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet organizuoja Informacinės sistemos rizikos įvertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį Informacinės sistemos rizikos įvertinimą.

13. Informacinės sistemos rizikos vertinimo metu įvertinami rizikos veiksniai, galintys turėti įtakos Informacinės sistemos elektroninės informacijos saugai, jų galima žala, pasireiškimo tikimybė, rizikos laipsnis ir galimi rizikos valdymo būdai. Kartu su Informacinės sistemos rizikos vertinimu gali būti atliekamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos Informacinės sistemos kibernetiniam saugumui, vertinimas. Svarbiausieji rizikos veiksniai nurodyti Bendrųjų elektroninės informacijos saugos reikalavimų apraše.

14. Informacinės sistemos rizikos veiksniams vertinti naudojama penkiabalė rizikos vertinimo sistema, pagal kurią, nustačius rizikos veiksnių tikimybę ir poveikį, apskaičiuojamas rizikos laipsnis:

15. Informacinės sistemos rizikos įvertinimo rezultatai pateikiami rizikos įvertinimo ataskaitoje. Atsižvelgdamas į rizikos įvertinimo ataskaitą, Informacinės sistemos valdytojas ir tvarkytojas prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame yra numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

16. Patvirtintas rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano, jei toks buvo parengtas, kopijas Informacinės sistemos valdytojas ir tvarkytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų patvirtinimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai (toliau – ARSIS).  

17. Elektroninės informacijos saugos priemonių parinkimo principai:

18. Siekiant įvertinti Saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę, vadovaujantis Saugos atitikties vertinimo metodika, kartą per metus organizuojamas Informacinės sistemos informacinių technologijų saugos atitikties vertinimas naudojantis ARSIS.

19. Atlikus Informacinės sistemos informacinių technologijų saugos reikalavimų atitikties vertinimą, rengiama Informacinės sistemos saugos atitikties vertinimo ataskaita, prireikus ir pastebėtų trūkumų šalinimo planas.

20. Informacinių technologijų saugos atitikties vertinimo ataskaitos kopiją, pastebėtų trūkumų šalinimo plano kopiją Informacinės sistemos valdytojas ir tvarkytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų patvirtinimo turi pateikti ARSIS.

21. Programinės įrangos, skirtos apsaugoti Informacinę sistemą nuo kenksmingos programinės įrangos (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir pan.), naudojimo nuostatos ir atnaujinimo reikalavimai:

22. Programinės įrangos, įdiegtos Informacinės sistemos tarnybinėse stotyse ir kompiuterizuotose darbo vietose, naudojimo nuostatos:

23. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų ir kita) pagrindinės naudojimo nuostatos:

24. Leistinos kompiuterių naudojimo ribos:

25. Metodai, kuriais užtikrinamas saugus Informacinės sistemos elektroninės informacijos teikimas ir (ar) gavimas:

26. Pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:

27. Kopijų darymo ir saugojimo tvarka nustatoma Informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklėse.

28. Turi būti užtikrintas saugos incidentų, įvykusių Informacinėje sistemoje, registravimas, valdymas ir tyrimas Kibernetinių saugumo reikalavimo aprašo bei Informacinės sistemos veiklos tęstinumo valdymo plano nustatyta tvarka:

29. Perkant paslaugas, darbus ar įrangą, susijusius su Informacine sistema, jos projektavimu, kūrimu, diegimu, modernizavimu, priežiūra, palaikymu, saugos užtikrinimu, auditavimu, elektroninės informacijos perdavimo tinklais, taip pat kitus, suteikiančius teisę ir galimybę prieiti prie elektroninės informacijos, pirkimo dokumentuose turi būti nustatyta, kad asmuo, atliekantis Informacinės sistemos techninės ir programinės įrangos priežiūros ir duomenų, informacijos ir dokumentų ir (arba) jų kopijų tvarkymo funkcijas, negali turėti neišnykusio ar nepanaikinto teistumo už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat negali turėti paskirtos administracinės nuobaudos už Bendrųjų elektroninės informacijos saugos reikalavimų aprašo 20 punkte nurodytus atvejus, jeigu nuo jos paskyrimo yra praėję mažiau kaip vieni metai, taip pat privalo laikytis Informacinės sistemos Saugos dokumentuose nustatytų reikalavimų ir užtikrinti teikiamų paslaugų, vykdomų darbų ar tiekiamos įrangos atitiktį nustatytiems Kibernetinio saugumo reikalavimų aprašo reikalavimams.

30. Į paslaugų pirkimo sutartį turi būti įtraukta nuostata, įpareigojanti paslaugų teikėjo darbuotojus pasirašyti konfidencialumo pasižadėjimą neatskleisti tretiesiems asmenims jokios informacijos, gautos vykdant šią sutartį, išskyrus tiek, kiek būtina sutarčiai vykdyti.

31. Informacinės sistemos saugos įgaliotinis ir kibernetinio saugumo vadovas privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, prireikus tobulinti kvalifikaciją elektroninės informacijos saugos srityje, savo darbe vadovautis Saugos dokumentais ir kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą. Informacinės sistemos saugos įgaliotinis ar kibernetinio saugumo vadovas pažeidęs Saugos nuostatų ar kitų saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

32. Informacinės sistemos saugos įgaliotiniu ir kibernetinio saugumo vadovu negali būti skiriami asmenys, turintys neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už Bendrųjų saugos reikalavimų aprašo 20 punkte nurodytus atvejus, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.

33. Informacinės sistemos administratorius privalo išmanyti darbą su duomenų perdavimo tinklais, gebėti administruoti ir prižiūrėti Informacinės sistemos duomenų bazę, turi būti susipažinęs su Saugos nuostatais, Saugos dokumentais ir kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų duomenų tvarkymą. Informacinės sistemos administratorius, pažeidęs Saugos nuostatų ar kitų saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

34. Informacinės sistemos naudotojai privalo turėti darbo kompiuteriu įgūdžių, mokėti tvarkyti Informacinės sistemos duomenis Saugos nuostatų nustatyta tvarka, būti susipažinę su Saugos dokumentais ir pasirašę pasižadėjimus saugoti konfidencialią elektroninę informaciją (toliau – Pasižadėjimas).

35. Informacinės sistemos naudotojai, pastebėję saugos reikalavimų, pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias saugos užtikrinimo priemones Informacinėje sistemoje, privalo nedelsdami pranešti apie tai Informacinės sistemos administratoriui ar Informacinės sistemos saugos įgaliotiniui.

36. Kibernetinio saugumo vadovas arba Informacinės sistemos saugos įgaliotinis ne rečiau kaip kartą per dvejus metus inicijuoja Informacinės sistemos naudotojų mokymą elektroninės informacijos saugos klausimais, prireikus įvairiais būdais – pranešimais elektroniniu paštu, naujų darbuotojų instruktavimu, atmintinių rengimu, teminių seminarų organizavimu ir kitais informavimo būdais – primena apie saugumo problemas.

37. Informacinės sistemos naudotojų mokymai elektroninės informacijos saugos klausimais turi būti planuojami ir mokymo būdai parenkami atsižvelgiant į elektroninės informacijos saugos užtikrinimo prioritetines kryptis ir tikslus, įdiegtas ar planuojamas įdiegti technologijas (techninę ar programinę įrangą), Informacinės sistemos naudotojų, Informacinės sistemos duomenų valdymo įgaliotinio ir Informacinės sistemos administratoriaus poreikius.

38. Tvarkyti Informacinės sistemos duomenis ir gauti informaciją gali tik Informacinės sistemos naudotojai, susipažinę su Saugos dokumentais ir raštu pasirašę Pasižadėjimus. Pasikeitus Informacinės sistemos Saugos dokumentams ar kitiems saugos politiką įgyvendinantiems teisės aktams, Informacinės sistemos naudotojai su jais supažindinami pakartotinai.

39. Už Informacinės sistemos naudotojų supažindinimą su Saugos dokumentais ir kitais saugos politiką įgyvendinančiais teisės aktais bei atsakomybe už šių reikalavimų nesilaikymą atsakingas Informacinės sistemos saugos įgaliotinis.

40. Informacinės sistemos naudotojai, pažeidę Saugos nuostatų ar kitų saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.