PATVIRTINTA

Lietuvos Respublikos ekonomikos ir

inovacijų ministro

2023 m. sausio 19 d. įsakymu Nr. 4-25

NACIONALINĖS TURIZMO INFORMACINĖS SISTEMOS NUOSTATAI

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Nacionalinės turizmo informacinės sistemos nuostatai (toliau – Nuostatai) reglamentuoja Nacionalinės turizmo informacinės sistemos (toliau – NTIS) steigimo teisinį pagrindą, tikslą, uždavinius, funkcijas, organizacinę, informacinę ir funkcinę struktūrą, duomenų teikimo ir naudojimo tvarką, duomenų saugos reikalavimus, finansavimą, modernizavimą ir likvidavimą.

2. NTIS steigimo teisinis pagrindas yra Lietuvos Respublikos turizmo įstatymo 43 straipsnis.

3. NTIS kuriama ir tvarkoma vadovaujantis:

3.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);

3.2. Lietuvos Respublikos turizmo įstatymu;

3.3. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu;

3.4. Lietuvos Respublikos kibernetinio saugumo įstatymu;

3.5. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

3.6. Lietuvos Respublikos teisės gauti informaciją ir duomenų pakartotinio naudojimo įstatymu;

3.7. Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“ (toliau – Aprašas);

3.8. Valstybės informacinių sistemų gyvavimo ciklo valdymo metodika, patvirtinta Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos direktoriaus 2014 m. vasario 25 d. įsakymu Nr. T-29 „Dėl Valstybės informacinių sistemų gyvavimo ciklo valdymo metodikos patvirtinimo“;

3.9. kitais Lietuvos Respublikos teisės aktais, reglamentuojančiais valstybės informacinių išteklių kūrimą, tvarkymą, valdymą, naudojimą, priežiūrą, sąveiką, planavimą, finansavimą ir saugą, Nuostatais.

4. Nuostatuose vartojamos sąvokos atitinka Nuostatų 3.1–3.9 papunkčiuose nurodytuose teisės aktuose apibrėžtas sąvokas.

5. NTIS tikslas – rinkti, kaupti, saugoti, sisteminti, analizuoti, vertinti keliautojų ir turistų asmens duomenis ir turizmo išteklių duomenis, informaciją, dokumentus, taip pat teikti su jais susijusias viešąsias paslaugas.

6. Asmens duomenų tvarkymo NTIS tikslas – keliautojų ir turistų apskaitos ir 1990 m. birželio 19 d. Konvencijos dėl Šengeno susitarimo, sudaryto 1985 m. birželio 14 d. tarp Beniliukso ekonominės sąjungos valstybių, Vokietijos Federacinės Respublikos ir Prancūzijos Respublikos Vyriausybių, dėl laipsniško jų bendrų sienų kontrolės panaikinimo įgyvendinimo 45 straipsnio 1 dalies b punkte nurodyti tikslai.

7. NTIS uždaviniai – realizuoti veikiančias pažangias elektronines paslaugas, susijusias su duomenų apie turizmo išteklius Lietuvos Respublikoje kaupimu, susisteminimu ir viešinimu bei turistų registravimo ir apskaitos procesu.

8. NTIS funkcijos:

8.1. rinkti, kaupti ir tvarkyti duomenis apie turizmo išteklius Lietuvoje;

8.2. užtikrinti duomenų apie turizmo išteklius Lietuvoje prieinamumą;

8.3. rinkti, kaupti ir tvarkyti duomenis apie turistus;

8.4. viešai skelbti duomenis apie Lietuvos turizmo išteklius ir nuasmenintus turistų duomenis;

8.5. keistis duomenimis su kitais valstybės registrais ir informacinėmis sistemomis.

II SKYRIUS

NTIS ORGANIZACINĖ STRUKTŪRA

9. NTIS valdytoja ir asmens duomenų valdytoja yra Lietuvos Respublikos ekonomikos ir inovacijų ministerija (toliau – NTIS valdytojas), kuri:

9.1. atlieka Valstybės informacinių išteklių valdymo įstatyme nustatytas funkcijas, turi šiame įstatyme nustatytas teises ir pareigas;

9.2. turi teises ir vykdo pareigas, susijusias su asmens duomenų tvarkymu, kurios nustatytos Reglamente (ES) 2016/679;

9.3. užtikrina finansinius išteklius, kurių reikia NTIS prižiūrėti, tobulinti ir plėtoti;

9.4. priima sprendimus dėl NTIS programinių priemonių kūrimo, tobulinimo ir diegimo;

9.5. vykdo ir įgyvendina kitas Nuostatuose ir kituose teisės aktuose, reglamentuojančiuose valstybės informacinių išteklių kūrimą, tvarkymą, valdymą, naudojimą, priežiūrą, sąveiką, planavimą, finansavimą ir saugą, nustatytas funkcijas ir teises.

10. NTIS tvarkytojas ir asmens duomenų tvarkytojas yra viešoji įstaiga „Keliauk Lietuvoje“ (toliau – NTIS tvarkytojas), kuris:

10.1. atlieka Valstybės informacinių išteklių valdymo įstatymo nustatytas funkcijas, turi šiame įstatyme nurodytas teises ir pareigas;

10.2. teikia informaciją apie NTIS veiklą, NTIS duomenis institucijoms, kitiems juridiniams ir fiziniams asmenims (toliau – duomenų gavėjai);

10.3. organizuoja NTIS kompiuterinės, programinės, komunikacinės įrangos įsigijimą, nustato šios įrangos priežiūros reikalavimus;

10.4. registruoja pranešimus, prašymus ir (ar) incidentus, susijusius su duomenų neatitikimu sistemoje;

10.5. prižiūri techninę ir programinę įrangą;

10.6. užtikrina žmogiškuosius išteklius, kurių reikia NTIS prižiūrėti, tobulinti ir plėtoti;

10.7. užtikrina, kad asmens duomenys būtų tvarkomi vadovaujantis Reglamentu (ES) 2016/679 ir Asmens duomenų teisinės apsaugos įstatymu;

10.8. sudaro duomenų teikimo ir gavimo sutartis;

10.9. inventorizuoja NTIS duomenis ir sudarytus NTIS duomenų rinkinius, kaip tai apibrėžta Teisės gauti informaciją ir duomenų pakartotinio naudojimo įstatyme, ir užtikrina, kad sudaryti NTIS duomenų rinkiniai būtų pateikti skelbti Lietuvos atvirų duomenų portale naudojantis Valstybės duomenų valdysenos informacinės sistemos funkcionalumu Valstybės duomenų agentūros nustatyta tvarka;

10.10. teikia informaciją ir konsultuoja apie NTIS duomenų tvarkymą;

10.11. teikia pasiūlymus NTIS valdytojui dėl NTIS tvarkymo, tobulinimo ir plėtros;

10.12. esant būtinybei ir iš anksto suderinus su NTIS valdytoju, pasitelkia kitus asmenis NTIS tvarkymo pakeitimams ar patobulinimams kurti ir atlikti;

10.13. vykdo kitas Nuostatuose ir kituose teisės aktuose, reglamentuojančiuose valstybės informacinių išteklių kūrimą, tvarkymą, valdymą, naudojimą, priežiūrą, sąveiką, planavimą, finansavimą ir saugą, nustatytas funkcijas.

11. NTIS duomenų teikėjai:

11.1. valstybės įmonė Registrų centras, kuri duomenis teikia iš Licencijų informacinės sistemos (toliau – LIS) (valdytoja – Ekonomikos ir inovacijų ministerija);

11.2. Informacinės visuomenės plėtros komitetas (toliau – IVPK), kuris duomenis teikia iš Valstybės informacinių išteklių sąveikumo platformos (toliau – VIISP) (valdytoja – Ekonomikos ir inovacijų ministerija);

11.3. Valstybinė vartotojų teisių apsaugos tarnyba (toliau – VVTAT);

11.4. turizmo informacijos centrai arba, jeigu savivaldybės teritorijoje nėra įsteigto turizmo informacijos centro, kiti analogiškas funkcijas atliekantys Savivaldybės administracijos ar kitų įstaigų padaliniai (toliau – TIC);

11.5. apgyvendinimo paslaugų teikėjai (toliau – APT).

12. NTIS naudotojai:

12.1. APT vadovai ir (arba) atstovai;

12.2. APT darbuotojai;

12.3. TIC vadovai ir (arba) atstovai;

12.4. TIC darbuotojai;

12.5. savivaldybių administracijų vadovai ir (arba) atstovai;

12.6. savivaldybių administracijų darbuotojai.

13. NTIS naudotojų teisės ir pareigos:

13.1. APT vadovas ir (arba) atstovas turi teisę:

13.1.1. sukurti, tvarkyti APT paskyros duomenis;

13.1.2. sukurti, tvarkyti APT naudotojų paskyrų duomenis;

13.1.3. peržiūrėti, tvarkyti APT pateiktus duomenis;

13.2. APT darbuotojas turi teisę:

13.2.1. pateikti, tvarkyti turistų duomenis;

13.2.2. peržiūrėti pateiktus duomenis apie turistus;

13.3. TIC vadovas ir (arba) atstovas turi teisę:

13.3.1. sukurti, tvarkyti TIC paskyros duomenis;

13.3.2. sukurti, tvarkyti naudotojų paskyrų duomenis;

13.3.3. peržiūrėti, tvarkyti TIC pateiktus duomenis;

13.4. TIC darbuotojas turi teisę:

13.4.1. pateikti, tvarkyti turizmo išteklių duomenis;

13.4.2. pateikti, tvarkyti renginių duomenis;

13.4.3. peržiūrėti pateiktus turizmo išteklių duomenis;

13.4.4. peržiūrėti pateiktus renginių duomenis;

13.5. savivaldybės administracijos vadovas ir (arba) atstovas turi teisę:

13.5.1. sukurti, tvarkyti savo įstaigos paskyros duomenis;

13.5.2. sukurti, tvarkyti naudotojų paskyrų duomenis;

13.5.3. peržiūrėti, tvarkyti savo įstaigos pateiktus duomenis;

13.6. savivaldybės administracijos darbuotojas turi teisę:

13.6.1. pateikti, tvarkyti turizmo išteklių duomenis;

13.6.2. pateikti, tvarkyti renginių duomenis;

13.6.3. peržiūrėti pateiktus turizmo išteklių duomenis;

13.6.4. peržiūrėti pateiktus renginių duomenis.

III SKYRIUS

NTIS INFORMACINĖ STRUKTŪRA

14. NTIS kaupiami ir tvarkomi šie duomenys:

14.1. turizmo išteklių duomenys:

14.1.1. bendrieji duomenys:

14.1.1.1. pavadinimas;

14.1.1.2. pavadinimas anglų k.;

14.1.1.3. turizmo išteklių (objekto) tipas (-ai);

14.1.2. geografiniai (lokacijos) duomenys:

14.1.2.1. etnoregionas;

14.1.2.2. apskritis;

14.1.2.3. savivaldybė;

14.1.2.4. seniūnija;

14.1.2.5. miestas arba gyvenvietė;

14.1.2.6. gatvė;

14.1.2.7. namo numeris;

14.1.2.8. platuma (WGS);

14.1.2.9. ilguma (WGS);

14.1.3. praktinės informacijos duomenys:

14.1.3.1. objekto interneto puslapis lietuvių k.;

14.1.3.2. objekto interneto puslapis anglų k.;

14.1.3.3. aprašymas lietuvių k.;

14.1.3.4. aprašymas anglų k.;

14.1.3.5. papildoma informacija;

14.1.3.6. nuotraukos;

14.1.3.7. nuotraukų autorystės duomenys:

14.1.3.7.1. nuotraukos autoriaus vardas;

14.1.3.7.2. nuotraukos autoriaus pavardė;

14.1.3.8. informacija, ar objektas bei jo aplinka yra sutvarkyta ir pritaikyta lankymui;

14.1.3.9. duomenys, ar teikiamos paslaugos ar informacija anglų kalba;

14.1.3.10. viešosios įstaigos „Keliauk Lietuvoje“ vykdomo savivaldybių infrastruktūros tyrimo duomenys apie objektą;

14.1.4. aprašymo duomenys:

14.1.4.1. kuris (-i) TIC arba savivaldybės administracija sukūrė turizmo išteklio (objekto) įrašą arba kitas įrašo pirminis šaltinis;

14.1.4.2. įrašo apie objektą sukūrimo data;

14.1.4.3. objekto atnaujinimo data;

14.1.4.4. sistemos priskiriamas unikalus objekto ID;

14.2. renginių duomenys:

14.2.1. renginio pavadinimas;

14.2.2. renginio tipas;

14.2.3. renginio aprašymas;

14.2.4. renginio vietos duomenys:

14.2.4.1. etnoregionas;

14.2.4.2. apskritis;

14.2.4.3. savivaldybė;

14.2.4.4. seniūnija;

14.2.4.5. miestas arba gyvenvietė;

14.2.4.6. gatvė;

14.2.4.7. namo numeris;

14.2.4.8. platuma (WGS);

14.2.4.9. ilguma (WGS);

14.2.5. renginio pradžios data ir laikas;

14.2.6. renginio pabaigos data ir laikas;

14.2.7. renginio bilieto kaina;

14.2.8. informacija, ar būtina išankstinė registracija;

14.2.9. registracijos vykdytojo duomenys:

14.2.9.1. vardas;

14.2.9.2. pavardė;

14.2.9.3. įstaiga, kuriai atstovauja;

14.2.10. renginio organizatoriaus pavadinimas;

14.2.11. nuoroda į renginio interneto svetainę;

14.2.12. aprašymo duomenys:

14.2.12.1. TIC ir (arba) savivaldybės interneto svetainės adresas;

14.2.12.2. TIC ir (arba) savivaldybės „Facebook“ puslapio adresas;

14.2.12.3. TIC ir (arba) savivaldybės administracijos kontaktinis el. pašto adresas;

14.2.12.4. TIC ir (arba) savivaldybės administracijos kontaktinis telefono numeris;

14.2.12.5. nuotrauka;

14.2.12.6. nuotraukos autorius:

14.2.12.6.1. vardas;

14.2.12.6.2. pavardė;

14.2.12.7. įrašo apie renginį sukūrimo data;

14.2.12.8. renginio duomenų atnaujinimo data;

14.2.12.9. sistemos priskiriamas unikalus objekto ID;

14.3. apgyvendinimo paslaugomis pasinaudojusio turisto asmens duomenys:

14.3.1. vardas ir pavardė;

14.3.2. gimimo data;

14.3.3. pilietybė;

14.3.4. valstybė, išdavusi asmens tapatybę patvirtinantį dokumentą;

14.3.5. asmens tapatybę patvirtinančio dokumento numeris;

14.3.6. gyvenamosios vietos adresas (kilmės šalyje);

14.3.7. APT, kurio paslaugomis pasinaudojo turistas, unikalus ID;

14.3.8. atvykimo data;

14.3.9. išvykimo data;

14.3.10. kartu atvykusio sutuoktinio ir (ar) nepilnamečio vaiko (-ų) vardai ir pavardės;

14.3.11. požymis, ar atvyko su turistų grupe;

14.3.12. pagrindinis kelionės tikslas (poilsis, darbas, sveikata, kita);

14.3.13. sistemos priskiriamas unikalus turisto ID;

14.4. turistų grupės duomenys:

14.4.1. kelionių organizatoriaus pavadinimas;

14.4.2. kelionių organizatoriaus valstybė, iš kurios atvyko turistų grupė (kilmės šalis);

14.4.3. turistų, atvykusių į APT, skaičius;

14.5. APT objekto duomenys:

14.5.1. APT prekės ženklas – klasifikuojamojo, neklasifikuojamojo objekto pavadinimas;

14.5.2. juridinio asmens rekvizitai arba fizinio asmens duomenys, kai apgyvendinimo veiklą vykdo fizinis asmuo:

14.5.2.1. juridinio asmens:

14.5.2.1.1. pavadinimas;

14.5.2.1.2. kodas;

14.5.2.1.3. kontaktiniai duomenys:

14.5.2.1.3.1. telefono numeris (-iai);

14.5.2.1.3.2. elektroninio pašto adresas (-ai);

14.5.2.1.3.3. buveinės adresas;

14.5.2.1.4. užsienio juridinio asmens valstybės, kurioje jis registruotas, pavadinimas, įregistravimo data ir registras;

14.5.2.1.5. juridinio asmens atstovo (vadovo ar įgalioto asmens) vardas (-ai), pavardė (-ės) ir, kai taikoma, asmens kodas;

14.5.2.1.6. juridinio asmens atstovo (vadovo ar įgalioto asmens) kontaktai:

14.5.2.1.6.1. telefono numeris (-iai);

14.5.2.1.6.2. elektroninio pašto adresas (-ai);

14.5.2.2. fizinio asmens:

14.5.2.2.1. vardas;

14.5.2.2.2. pavardė;

14.5.2.2.3. fizinio asmens kodas (jeigu pagal užsienio valstybės teisės aktus fiziniam asmeniui nesuteikiamas asmens kodas, nurodoma tik gimimo data (metai, mėnuo, diena);

14.5.2.2.4. kontaktiniai duomenys:

14.5.2.2.4.1. telefono numeris (-iai);

14.5.2.2.4.2. elektroninio pašto adresas (-ai);

14.5.2.2.4.3. gyvenamoji vieta arba korespondencijos adresas;

14.5.2.3. užsienio fizinio asmens valstybės, kurioje išduoti asmens dokumentai, pavadinimas, gyvenamoji vieta arba korespondencijos adresas, pateikiami transliteruoti lotynų kalbos rašmenimis;

14.5.3. apgyvendinimo paslaugų rūšis;

14.5.4. apgyvendinimo paslaugų teikimo adresas ir, jei reikia, kiti duomenys (unikalus Nr. ar kt.), padedantys identifikuoti apgyvendinimo paslaugų teikimo vietą;

14.5.5. suteiktų žvaigždučių skaičius, jei teikiamos klasifikuojamosios apgyvendinimo paslaugos;

14.5.6. bendras kambarių (numerių) skaičius;

14.5.7. bendras vietų skaičius;

14.5.8. veiklos vykdymo laikotarpis (sezoniškumas);

14.5.9. klasifikuojamųjų apgyvendinimo paslaugų klasifikavimo pažymėjimo arba neklasifikuojamųjų apgyvendinimo paslaugų licencijos duomenys:

14.5.9.1. pažymėjimo (licencijos) numeris;

14.5.9.2. pažymėjimo galiojimo data;

14.5.9.3. licencijuojamos veiklos pavadinimas;

14.5.9.4. pažymėjimo (licencijos) išdavimo data;

14.5.10. APT prekės ženklo logotipas;

14.5.11. kambarių, kuriais gali naudotis neįgalieji, skaičius;

14.5.12. darbuotojų dirbtų valandų skaičius;

14.5.13. paruoštų apgyvendinimui kambarių skaičius ir jų užimtumas;

14.5.14. paruoštų vietų (lovų) skaičius;

14.5.15. gautos pajamos iš apgyvendinimo veiklos:

14.5.15.1. iš Lietuvos turistų;

14.5.15.2. iš užsienio turistų;

14.5.16. gautos pajamos iš kitos veiklos:

14.5.16.1. restoranų, kavinių, bufetų, barų pajamos;

14.5.16.2. pajamos už turistams suteiktas papildomas paslaugas (įskaitomos pajamos už skalbimo, lyginimo, automobilių saugojimo, konferencijų organizavimo paslaugas, naudojimąsi baseinais, pirtimis, kitomis sveikatingumo procedūromis ir kitas turistams (įskaitant vienadienius lankytojus) suteiktas paslaugas);

14.5.16.3. mažmeninės prekybos pajamos;

14.5.16.4. pajamos iš ligonių kasų;

14.5.16.5. kitos pajamos (nurodomos kitos neišvardytos pajamos, kurios įtraukiamos į pardavimo pajamas);

14.5.17. interneto svetainės adresas;

14.5.18. papildoma informacija;

14.5.19. APT aprašymo duomenys;

14.5.20. APT vadovo duomenys:

14.5.20.1. vardas ir pavardė;

14.5.20.2. asmens kodas;

14.5.20.3. kontaktiniai duomenys:

14.5.20.3.1. el. pašto adresas;

14.5.20.3.2. telefono numeris;

14.5.21. APT atstovų (naudotojų) duomenys:

14.5.21.1. vardas ir pavardė;

14.5.21.2. asmens kodas;

14.5.21.3. kontaktiniai duomenys:

14.5.21.3.1. el. pašto adresas;

14.5.21.3.2. telefono numeris;

14.6. TIC ir (arba) savivaldybių duomenys:

14.6.1. TIC ir (arba) savivaldybės pavadinimas;

14.6.2. TIC ir (arba) savivaldybės teritorija:

14.6.2.1. etnoregionas;

14.6.2.2. apskritis;

14.6.2.3. savivaldybė;

14.6.3. TIC ir (arba) savivaldybės administracijos kontaktinio asmens duomenys:

14.6.3.1. vardas;

14.6.3.2. pavardė;

14.6.3.3. pareigos;

14.6.3.4. tel. numeris;

14.6.3.5. el. pašto adresas;

14.6.4. TIC ir (arba) savivaldybės administracijos kontaktiniai duomenys;

14.6.5. TIC ir (arba) savivaldybės interneto svetainės adresas;

14.7. TIC ir (arba) savivaldybių administracijų naudotojų duomenys:

14.7.1. TIC ir (arba) savivaldybės administracijos vadovo duomenys:

14.7.1.1. vardas ir pavardė;

14.7.1.2. asmens kodas;

14.7.1.3. kontaktiniai duomenys;

14.7.1.3.1. el. pašto adresas;

14.7.1.3.2. telefono numeris;

14.7.2. TIC ir (arba) savivaldybės administracijos atstovų (naudotojų) duomenys:

14.7.2.1. vardas ir pavardė;

14.7.2.2. asmens kodas;

14.7.2.3. kontaktiniai duomenys:

14.7.2.3.1. el. pašto adresas;

14.7.2.3.2. telefono numeris;

14.8. apklausų duomenys:

14.8.1. apklausos sukūrimo pradžios ir pabaigos data;

14.8.2. apklausos turinys;

14.8.3. apklausos rezultatų duomenys.

15. NTIS naudojami duomenys:

15.1. iš LIS į NTIS teikiami Nuostatų 14.5.1–14.5.2.1.6, 14.5.2.2–14.5.2.3 ir 14.5.9 papunkčiuose nurodyti duomenys apie neklasifikuojamąsias ir klasifikuojamąsias apgyvendinimo paslaugas teikiančių APT turimą (-as) licenciją (-as), jei šiuos duomenis pateikė LIS duomenų teikėjas;

15.2. iš VVTAT į NTIS teikiami Nuostatų 14.5.1–14.5.7 papunkčiuose nurodyti duomenys, jei jie nėra pateikiami LIS;

15.3. APT į NTIS teikia Nuostatų 14.3, 14.4, 14.5.2.1.6, 14.5.8, 14.5.10–14.5.21.3 papunkčiuose nurodytus duomenis;

15.4. TIC ir (arba) savivaldybių administracijų atstovai ir (arba) vadovai į NTIS teikia Nuostatų 14.1.1–14.1.3.9, 14.2.1–14.2.12.6, 14.6.3–14.7.2.3 papunkčiuose nurodytus duomenis.

IV SKYRIUS

NTIS FUNKCINĖ STRUKTŪRA

16. NTIS sudarantys posistemiai, moduliai, komponentai ir jų funkcijos:

16.1. viešosios informacijos naudotojo modulis, kurį sudaro:

16.1.1. prisijungimo komponentas, kurio funkcijos – fizinių asmenų ar juridinių asmenų atstovų prisijungimas prie NTIS su prisijungimo vardu ir slaptažodžiu arba autentifikuojantis per VIISP autentifikavimo komponentą ir patekimas į autorizuoto naudotojo sritį;

16.1.2. turizmo duomenų portalo atvaizdavimo komponentas, kurio funkcijos – Nuostatų 14 punkte nustatytų duomenų atvaizdavimas grafiškai, schemiškai, sąrašo pavidalu, jų rūšiavimas, filtravimas, duomenų paieškos vykdymas;

16.1.3. atvirų duomenų peržiūros komponentas, kurio funkcijos – nuasmenintų atvirų duomenų rinkinių ir jų aprašymų peržiūra, duomenų rinkinių parsisiuntimas .csv, .xlsx ar kitu atvirų duomenų formatu;

16.2. autorizuoto naudotojo sritis, kurią sudaro:

16.2.1. ataskaitų komponentas, kurio funkcijos – reikiamų ataskaitų sugeneravimas įvairiais pjūviais, jų peržiūra, spausdinimas ir kitų, ataskaitų tvarkymo, veiksmų atlikimas;

16.2.2. apklausų komponentas, kurio funkcijos – apklausos klausimyno sukūrimas ir užpildymas;

16.2.3. komunikacijos komponentas, kurio funkcijos – vidinių naudotojų susirašinėjimas su APT, TIC ir (arba) savivaldybių administracijų vadovais ir (arba) atstovais; užklausų dėl duomenų pateikimo sukūrimas ir išsiuntimas;

16.3. turistų registracijos posistemė (toliau – E. turistas posistemė), kurią sudaro:

16.3.1. turistų registracijos kortelių tvarkymo komponentas, kurio funkcijos – naujų turistų registracijos kortelių sukūrimas ir esamų turistų registracijos kortelių redagavimas;

16.3.2. APT paskyrų tvarkymo komponentas, kurio funkcijos – APT paskyrų duomenų redagavimas, naujų paskyrų kūrimas ir nebenaudojamų paskyrų pašalinimas;

16.4. turizmo išteklių posistemė, kurią sudaro:

16.4.1. turistinio objekto duomenų registracijos komponentas, kurio funkcijos – turizmo išteklių duomenų registravimas;

16.4.2. turizmo išteklių tvarkymo komponentas, kurio funkcijos – turizmo objektų duomenų peržiūra ir tvarkymas;

16.4.3. TIC ir (arba) savivaldybės administracijos paskyros tvarkymo komponentas, kurio funkcijos – TIC ir (arba) savivaldybių administracijų paskyrų sukūrimas ir tvarkymas;

16.4.4. renginio registracijos komponentas, kurio funkcijos – duomenų apie renginius pateikimas;

16.4.5. renginių tvarkymo komponentas, kurio funkcijos – duomenų apie renginius peržiūra ir koregavimas;

16.5. vidinio naudotojo sritis, kurią sudaro:

16.5.1. administravimo komponentas, kurio funkcijos – sisteminių nustatymų administravimas, APT ar TIC ir (arba) savivaldybės administracijos paskyrų sukūrimas, koregavimas, naikinimas, APT paskyrų įvedimo laukų pagal APT kategoriją kūrimas, redagavimas, įjungimas, išjungimas, naudotojų teisių ir rolių administravimas, sisteminių pranešimų kūrimas ir administravimas;

16.5.2. duomenų importo ir (arba) eksporto komponentas, kurio funkcijos – visų APT ir turisto registracijų kortelių ir (arba) TIC ir (arba) savivaldybių administracijų turizmo išteklių duomenų importavimas ir eksportavimas;

16.5.3. duomenų peržiūros komponentas, kurio funkcijos – turistų kortelių, turizmo išteklių duomenų bei turistų judėjimo Lietuvoje schemų peržiūra bei tvarkymas, turizmo išteklių duomenų tvarkymas, peržiūra, patvirtinimas arba atmetimas;

16.5.4. apklausų tvarkymo komponentas, kurio funkcijos – apklausų sukūrimas ir tvarkymas, jų rezultatų peržiūra ir parsisiuntimas;

16.5.5. infografikų tvarkymo komponentas, kurio funkcijos – viešojoje srityje grafiškai atvaizduojamų duomenų administravimas;

16.5.6. atvirų duomenų tvarkymo komponentas, kurio funkcijos – viešojoje srityje pateikiamų nuasmenintų atvirų duomenų rinkinių kūrimas ir tvarkymas;

16.5.7. duomenų mainų komponentas, kurio funkcijos – duomenų mainų su kitomis informacinėmis sistemomis ir registrais užtikrinimas.

V SKYRIUS

NTIS DUOMENŲ TEIKIMAS IR NAUDOJIMAS

17. Nuostatų 14.1.1–14.1.4.3, 14.2.1–14.2.8, 14.2.10–14.2.12.5, 14.2.12.7–14.2.12.8, 14.5.1–14.5.2.1.3, 14.5.3–14.5.8, 14.5.10, 14.5.17–14.5.19 papunkčiuose nurodyti duomenys yra vieši ir NTIS teikiami neatlygintinai institucijoms, kitiems juridiniams ir fiziniams asmenims (toliau – duomenų gavėjai), jeigu NTIS nuostatai, Lietuvos Respublikos įstatymai ir (ar) Europos Sąjungos teisės aktai nenustato kitaip.

18. NTIS duomenys, įskaitant asmens duomenis, daugkartinio teikimo atveju teikiami pagal NTIS tvarkytojo ir duomenų gavėjo sudarytą duomenų teikimo sutartį, kurioje turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo ir gavimo teisinis pagrindas, sąlygos, tvarka ir teikiamų asmens duomenų apimtis. Duomenys, įskaitant asmens duomenis, vienkartinio duomenų teikimo atveju teikiami pagal duomenų gavėjo prašymą, kuriame turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo bei gavimo teisinis pagrindas ir prašomų pateikti asmens duomenų apimtis. Duomenų gavėjai iš NTIS gautus asmens duomenis privalo naudoti tik duomenų sutartyje ar prašyme nurodytu tikslu ir apimtimi.

19. Duomenys NTIS duomenų gavėjams, su kuriais sudaroma duomenų teikimo sutartis, teikiami leidžiamosios kreipties būdu.

20. NTIS duomenys duomenų gavėjams teikiami tokio turinio ir tokio formato, kurie institucijoje jau naudojami ir kurių nereikia papildomai apdoroti. Valstybės informacinių išteklių valdymo įstatymo 35 straipsnio 3 dalyje nurodytais atvejais Lietuvos Respublikos Vyriausybės nustatyta tvarka NTIS duomenys gali būti pateikiami duomenų gavėjo prašomo formato ir turinio.

21. Tais atvejais, kai atsisakoma teikti NTIS duomenis, asmeniui, pateikusiam prašymą juos gauti, tokio prašymo teikėjui raštu arba elektroninių ryšių priemonėmis pranešama apie priimtą sprendimą ir atsisakymo tenkinti jo prašymą motyvus, suteikiama informacija apie tokio sprendimo apskundimo tvarką.

22. NTIS duomenys, išskyrus asmens duomenis ir autorių turtinėmis teisėmis apsaugotus duomenis, Europos Sąjungos valstybių narių ir (arba) Europos ekonominės erdvės valstybių, trečiųjų šalių fiziniams ir juridiniams asmenims, juridinio asmens statuso neturintiems subjektams, jų filialams ir atstovybėms teikiami Valstybės informacinių išteklių valdymo įstatymo nustatyta tvarka. Trečiosioms valstybėms arba tarptautinėms organizacijoms NTIS tvarkomi asmens duomenys perduodami laikantis Reglamento (ES) 2016/679 nustatytų asmens duomenų perdavimo sąlygų.

23. NTIS kaupiami asmens duomenys tvarkomi vadovaujantis Reglamentu (ES) 2016/679, Valstybės informacinių išteklių valdymo įstatymu ir kitais teisės aktais, reglamentuojančiais asmens duomenų apsaugą.

24. NTIS tvarkomų asmens duomenų perdavimas trečiosioms valstybėms arba tarptautinėms organizacijoms numatytas 18, 20, 22 punktuose.

25. NTIS duomenų gavėjai ir kiti asmenys turi teisę reikalauti ištaisyti netikslius duomenis. NTIS valdytojas nedelsiant informuojamas apie pastebėtus netikslumus ir privalo nedelsdamas, tačiau ne vėliau kaip per 5 darbo dienas nuo informacijos gavimo dienos, ištaisyti klaidingus ar netikslius duomenis ir apie atliktą ar neatliktą duomenų ištaisymą raštu informuoti to pareikalavusį asmenį ir duomenų gavėjus, kuriems buvo pateikti šie duomenys. Kai dėl netikslių duomenų ištaisymo būtina kreiptis į duomenų teikėją, NTIS valdytojas reaguoja nepagrįstai nedelsdamas (kaip galima greičiau), bet ne vėliau kaip per 5 darbo dienas. Ištaisęs netikslius duomenis, NTIS valdytojas nedelsdamas (bet ne ilgiau kaip per 3 darbo dienas) apie tai praneša asmenims, kuriems perduoti netikslūs duomenys.

26. Nuasmeninti duomenys NTIS skelbiami atvirų duomenų formatu.

VI SKYRIUS

NTIS DUOMENŲ SAUGA

27. Duomenų saugą nustato valstybės informacinės sistemos valdytojo patvirtinti valstybės informacinės sistemos duomenų saugos nuostatai ir kiti saugos politiką įgyvendinantys dokumentai, kurie rengiami, derinami ir tvirtinami Vyriausybės nustatyta tvarka.

28. Už NTIS duomenų ir elektroninės informacijos saugą pagal kompetenciją atsako NTIS valdytojas ir tvarkytojas Lietuvos Respublikos įstatymų, reglamentuojančių duomenų ir elektroninės informacijos saugą, nustatyta tvarka.

29. NTIS duomenų saugos administracinės, organizacinės, techninės, programinės ir kitos priemonės nustatomos ir duomenų, įskaitant asmens duomenis, saugumas užtikrinamas vadovaujantis:

29.1. Reglamentu (ES) 2016/679;

29.2. Kibernetinio saugumo įstatymu;

29.3. Valstybės informacinių išteklių valdymo įstatymu;

29.4. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, Saugos dokumentų turinio gairių aprašu ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

29.5. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

29.6. Lietuvos standartais LST EN ISO/IEC 27001, LST EN ISO/IEC 27002 bei kitais Lietuvos ir tarptautiniais grupės standartais „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“, apibūdinančiais saugų informacinės sistemos duomenų tvarkymą;

29.7. kitais teisės aktais, reglamentuojančiais duomenų saugą.

30. NTIS duomenys turi būti apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo ir kitokio neteisėto veiksmo.

31. Asmenys, tvarkantys asmens duomenis, privalo saugoti asmens duomenų paslaptį, jeigu šie duomenys neskirti skelbti viešai. Ši pareiga galioja ir pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas, pasibaigus jų darbo ar sutartiniams santykiams. Asmenys, pažeidę asmens duomenų tvarkymą reguliuojančių teisės aktų nuostatas, atsako Lietuvos Respublikos įstatymų ir kitų teisės aktų nustatyta tvarka.

32. Asmens duomenų saugumo pažeidimai nagrinėjami vadovaujantis Pranešimų apie asmens duomenų saugumo pažeidimus teikimo ir nagrinėjimo tvarkos aprašu, patvirtintu Lietuvos Respublikos ekonomikos ir inovacijų ministro 2019 m. vasario 26 d. įsakymu Nr. 4-125 „Dėl Pranešimų apie asmens duomenų saugumo pažeidimus teikimo ir nagrinėjimo tvarkos aprašo patvirtinimo“.

33. APT ar turizmo išteklių objektui nutraukus veiklą visi NTIS buvę su APT ar turizmo išteklių objektu susiję duomenys, išskyrus asmens duomenis, NTIS pagrindinėje duomenų bazėje saugomi 10 metų. Pasibaigus nustatytam terminui, duomenys perkeliami į duomenų bazės archyvą ir vienus metus saugomi. Pasibaigus šiam terminui, sunaikinami Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka.

34. Nuasmeninti statistiniai duomenys, susiję su asmenimis, ir rodikliai saugomi neterminuotai.

35. Turistų kortelių duomenys saugomi 5 metus.

36. NTIS naudotojų asmens duomenys pašalinami, kai yra pašalinama naudotojo paskyra.

37. Visi kiti NTIS duomenys, išskyrus asmens duomenis, atsižvelgiant į NTIS steigimo pagrindą ir tikslą, saugomi neribotą laiką.

VII SKYRIUS

NTIS FINANSAVIMAS

38. NTIS kūrimas, tvarkymas ir priežiūra finansuojami Lietuvos Respublikos valstybės biudžeto lėšomis.

39. NTIS palaikymas ir eksploatavimas finansuojami Lietuvos Respublikos valstybės biudžeto lėšomis bei gali būti apmokami iš kitų teisėtų finansavimo šaltinių.

VIII SKYRIUS

NTIS MODERNIZAVIMAS IR LIKVIDAVIMAS

40. NTIS modernizuojama ir likviduojama Valstybės informacinių išteklių valdymo įstatymo ir Aprašo nustatyta tvarka.

41. NTIS likvidavimo atveju jos duomenys perduodami kitai informacinei sistemai, kuri steigiama vietoj likviduojamos, sunaikinami arba perduodami valstybės archyvams Dokumentų ir archyvų įstatymo nustatyta tvarka.

IX SKYRIUS

BAIGIAMOSIOS NUOSTATOS

42. Duomenų subjekto, kurio asmens duomenys tvarkomi NTIS, teisės yra įgyvendinamos Duomenų subjektų teisių įgyvendinimo Lietuvos Respublikos ekonomikos ir inovacijų ministerijoje tvarkos aprašu, patvirtintu Lietuvos Respublikos ekonomikos ir inovacijų ministro 2015 m. balandžio 27 d. įsakymu Nr. 4-269 „Dėl Duomenų subjektų teisių įgyvendinimo Lietuvos Respublikos ekonomikos ir inovacijų ministerijoje tvarkos aprašo patvirtinimo“.

43. Informacija apie asmens duomenų tvarkymą Ekonomikos ir inovacijų ministerijoje pateikiama ministerijos interneto svetainėje https://eimin.lrv.lt/lt/asmens-duomenu-apsauga ir viešosios įstaigos „Keliauk Lietuvoje“ interneto svetainėje https://www.lithuania.travel/lt/news/duomenu-apsauga.

44. Nuostatų reikalavimai privalomi NTIS valdytojui, tvarkytojui, duomenų gavėjams ir naudotojams.

45. Už Nuostatų nesilaikymą NTIS valdytojas, NTIS tvarkytojas, NTIS duomenų teikėjai atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

_________________________

PATVIRTINTA

Lietuvos Respublikos ekonomikos ir

inovacijų ministro

2023 m. sausio 19 d. įsakymu Nr. 4-25

NACIONALINĖS TURIZMO INFORMACINĖS SISTEMOS

DUOMENŲ SAUGOS NUOSTATAI

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Nacionalinės turizmo informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) nustato Nacionalinės turizmo informacinės sistemos (toliau – NTIS) elektroninės informacijos saugos ir kibernetinio saugumo politiką.

2. Saugos nuostatuose vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas).

3. Elektroninės informacijos saugumo užtikrinimo prioritetinės sritys:

3.1. asmens duomenų apsauga;

3.2. NTIS naudotojų mokymas;

3.3. elektroninės informacijos saugos – elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo – užtikrinimas;

3.4. kibernetinio saugumo užtikrinimas;

3.5. veiklos tęstinumo užtikrinimas.

4. Elektroninės informacijos saugumo užtikrinimo tikslai:

4.1. sudaryti sąlygas saugiai tvarkyti NTIS elektroninę informaciją;

4.2. užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo;

4.3. vykdyti elektroninės informacijos saugos, kibernetinių incidentų asmens duomenų saugumo pažeidimų prevenciją, reaguoti į elektroninės informacijos saugos, kibernetinius incidentus, asmens duomenų saugumo pažeidimus ir juos operatyviai suvaldyti.

5. Tvarkant NTIS elektroninę informaciją ir užtikrinant jos saugumą, vadovaujamasi šiais teisės aktais:

5.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);

5.2. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

5.3. Kibernetinio saugumo įstatymu;

5.4. Valstybės informacinių išteklių valdymo įstatymu;

5.5. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu;

5.6. Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Klasifikavimo gairių aprašas);

5.7. Lietuvos standartais LST EN ISO/IEC 27002 ir LST EN ISO/IEC 27001;

5.8. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašas).

6. Saugos nuostatų taikymas ir naudojimas:

6.1. Saugos nuostatai taikomi:

6.1.1. NTIS valdytojai – Lietuvos Respublikos ekonomikos ir inovacijų ministerijai (Gedimino pr. 38, 01104 Vilnius);

6.1.2. NTIS tvarkytojai – viešajai įstaigai „Keliauk Lietuvoje“ (Gedimino pr. 38, 01104 Vilnius);

6.1.3. NTIS saugos įgaliotiniui, NTIS administratoriams, NTIS naudotojams, NTIS duomenų valdymo įgaliotiniui, NTIS duomenų teikėjams. NTIS naudotojai ir NTIS duomenų teikėjai yra nustatyti Nacionalinės turizmo informacinės sistemos nuostatuose (toliau – NTIS nuostatai).

7. NTIS valdytojo funkcijos:

7.1. atlikti Valstybės informacinių išteklių valdymo įstatyme ir NTIS nuostatuose nustatytas funkcijas;

7.2. atlikti kitas Saugos nuostatuose ir Saugos nuostatų 5 punkte nurodytuose teisės aktuose nustatytas NTIS valdytojo funkcijas.

8. NTIS tvarkytojo funkcijos:

8.1. atlikti Valstybės informacinių išteklių valdymo įstatyme ir NTIS nuostatuose nustatytas funkcijas;

8.2. skirti NTIS saugos įgaliotinį ir NTIS administratorius;

8.3. užtikrinti Bendrųjų elektroninės informacijos saugos reikalavimų aprašo 7.2–7.4 papunkčiuose nurodytų saugos dokumentų (toliau – Saugos dokumentai) ir kitų teisės aktų, susijusių su NTIS elektroninės informacijos sauga ir kibernetiniu saugumu, NTIS nuostatų įgyvendinimą;

8.4. užtikrinti NTIS elektroninės informacijos saugą ir kibernetinį saugumą;

8.5. atlikti kitas Saugos nuostatuose ir Saugos nuostatų 5 punkte nurodytuose teisės aktuose nustatytas NTIS tvarkytojo funkcijas.

9. NTIS saugos įgaliotinio funkcijos:

9.1. koordinuoti ir prižiūrėti elektroninės informacijos saugos ir kibernetinio saugumo politikos įgyvendinimą Saugos dokumentuose nustatyta tvarka;

9.2. atlikti Bendrųjų elektroninės informacijos saugos reikalavimų apraše nustatytas funkcijas ir Organizacinių ir techninių kibernetinio saugumo reikalavimų apraše nustatytas už kibernetinio saugumo organizavimą ir užtikrinimą atsakingo asmens funkcijas.

10. NTIS administratoriai pagal atliekamas funkcijas skirstomi į šias grupes:

10.1. NTIS naudotojų administratorių, kuris atlieka funkcijas, susijusias su NTIS naudotojų teisių valdymu;

10.2. NTIS komponentų administratorių, kuris atlieka funkcijas, susijusias su NTIS komponentais – kompiuteriais, operacinėmis sistemomis, duomenų bazėmis ir jų valdymo sistemomis, užkardomis, įsilaužimų aptikimo ir prevencijos sistemomis, elektroninės informacijos perdavimo tinklais, duomenų saugyklomis, bylų serveriais ir kita technine ir programine įranga, kurios pagrindu funkcionuoja NTIS ir užtikrinama joje tvarkomos elektroninės informacijos sauga ir kibernetinis saugumas bei NTIS komponentų sąranka;

10.3. NTIS taikomosios programų įrangos administratorių, kuris atlieka funkcijas, susijusias su informacinės sistemos taikomosios programų įrangos konfigūravimu, atnaujinimu bei priežiūra.

11. NTIS komponentų administratorius yra atsakingas už NTIS komponentų sąrankos aprašymo dokumentų parengimą ir pakeitimą, NTIS pažeidžiamų vietų nustatymą ir NTIS saugos priemonių parinkimą ir įdiegimą bei jų atitiktį Saugos nuostatų ir kitų saugos dokumentų reikalavimams. NTIS komponentų administratorius registruoja elektroninės informacijos saugos incidentus ir informuoja apie juos NTIS saugos įgaliotinį, teikia NTIS tvarkytojui pasiūlymus dėl elektroninės informacijos saugos incidentų pašalinimo.

12. NTIS administratoriai privalo vykdyti visus NTIS saugos įgaliotinio nurodymus ir pavedimus dėl NTIS saugos ir kibernetinio saugumo užtikrinimo, pagal kompetenciją reaguoti į elektroninės informacijos saugos ir kibernetinius incidentus ir nuolat teikti NTIS saugos įgaliotiniui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę.

13. Atlikdamas NTIS sąrankos pakeitimus, NTIS komponentų administratorius turi laikytis NTIS pokyčių valdymo tvarkos, nustatytos NTIS valdytojo tvirtinamose NTIS saugaus elektroninės informacijos tvarkymo taisyklėse.

14. NTIS komponentų administratorius NTIS sąranką ir NTIS būsenos rodiklius privalo patikrinti (peržiūrėti) reguliariai – ne rečiau kaip kartą per metus ir (arba) įvykus NTIS pasikeitimams.

II SKYRIUS

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

15. NTIS tvarkoma elektroninė informacija priskiriama žinybinės svarbos elektroninės informacijos kategorijai, vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 10 punktu, pagal kurį informacija priskiriama žinybinės svarbos informacijos kategorijai, jeigu dėl informacijos konfidencialumo, vientisumo ir (ar) prieinamumo praradimo gali kilti grėsmė vienos institucijos veiklai arba gali būti padaryta žala vieno ar kelių fizinių ar juridinių asmenų teisėtiems interesams, taip pat ir asmens duomenų apsaugai.

16. NTIS priskiriama trečios kategorijos informacinėms sistemoms, vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716, 12.4.4 papunkčiu.

17. Rizikos veiksmų vertinimo organizavimas:

17.1. NTIS saugos įgaliotinis, atsižvelgdamas į Nacionalinio kibernetinio saugumo centro interneto svetainėje skelbiamą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius grupės „Informacijos technologija. Saugumo technika“ standartus, kasmet arba įvykus organizacinių ar sisteminių pokyčių organizuoja NTIS rizikos įvertinimą. NTIS rizikos vertinimas gali būti atliekamas kartu su informacinių technologijų saugos atitikties vertinimu.

17.2. Prireikus saugos įgaliotinis gali organizuoti neeilinį NTIS rizikos įvertinimą. NTIS tvarkytojo rašytiniu pavedimu NTIS rizikos įvertinimą gali atlikti pats saugos įgaliotinis.

17.3. Rizikos vertinimo metu turi būti:

17.3.1. nustatomos grėsmės ir pažeidžiamumas, galintys turėti įtakos NTIS elektroninės informacijos saugai ir kibernetiniam saugumui;

17.3.2. nustatomos galimos grėsmių ir pažeidžiamumo poveikio vykdomai veiklai sritys;

17.3.3. įvertinama NTIS pažeidimo grėsmių tikimybė ir pasekmės.

17.4. Rizikos veiksniai rizikos įvertinimo ataskaitoje turi būti išdėstyti pagal prioritetus ir priimtiną rizikos lygį. NTIS rizikos įvertinimo rezultatai išdėstomi rizikos įvertinimo ataskaitoje, kuri pateikiama NTIS valdytojo vadovui ir NTIS tvarkytojo vadovui. Rengiant rizikos įvertinimo ataskaitą, įvertinami rizikos veiksniai, galintys turėti įtakos NTIS elektroninės informacijos saugai ir kibernetiniam saugumui, jų galima žala, pasireiškimo tikimybė ir pobūdis, galimi rizikos valdymo būdai, rizikos priimtinumo kriterijai. Svarbiausi rizikos veiksniai yra šie:

17.4.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais triktys, programinės įrangos klaidos, netinkamas veikimas ir kita);

17.4.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacine sistema elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita).

17.5. Atsižvelgdamas į rizikos įvertinimo ataskaitą, NTIS valdytojas prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių, organizacinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

17.6. Rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas NTIS tvarkytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemoje.

18. Informacinių technologijų saugos atitikties vertinimo organizavimas:

18.1. Siekiant užtikrinti Saugos dokumentuose nustatytų elektroninės informacijos saugos ir kibernetinio saugumo reikalavimų įgyvendinimo organizavimą ir kontrolę, ne rečiau kaip kartą per 2 metus turi būti organizuojamas NTIS informacinių technologijų saugos atitikties vertinimas.

18.2. Informacinių technologijų saugos atitikties vertinimas atliekamas Informacinių technologijų atitikties vertinimo metodikoje, patvirtintoje Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“, nustatyta tvarka.

18.3. NTIS atitikties Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše nustatytiems organizaciniams ir techniniams kibernetinio saugumo reikalavimams vertinimas turi būti organizuojamas ne rečiau kaip kartą per metus.

18.4. Atlikus informacinių technologijų saugos atitikties vertinimą, rengiama informacinių technologijų saugos vertinimo ataskaita, kuri pateikiama NTIS valdytojui bei NTIS tvarkytojui, ir pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus skiria ir įgyvendinimo terminus nustato NTIS valdytojas.

18.5. Informacinių technologijų saugos atitikties vertinimo ataskaitos ir pastebėtų trūkumų šalinimo plano kopijas NTIS valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai.

19. Elektroninės informacijos saugos ir kibernetinio saugumo būklės gerinimas:

19.1. Techninės, programinės, organizacinės ir kitos NTIS elektroninės informacijos saugos ir kibernetinio saugumo priemonės pasirenkamos atsižvelgiant į NTIS valdytojo turimus išteklius, vadovaujantis šiais principais:

19.1.1. liekamoji rizika turi būti sumažinta;

19.1.2. priemonės diegimo kaina turi būti tapati tvarkomos elektroninės informacijos vertei.

19.2. Atsižvelgiant į priemonių efektyvumą ir taikymo tikslingumą, turi būti įdiegtos prevencinės, detekcinės ir korekcinės elektroninės informacijos saugos ir kibernetinio saugumo priemonės.

III SKYRIUS

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

20. Organizaciniai ir kibernetinio saugumo reikalavimai nustatomi pagal Saugos nuostatų 26 ir 27 punktuose nustatytą NTIS svarbos kategoriją, vadovaujantis Saugos nuostatų 5 punkte nurodytais teisės aktais ir standartais.

21. Kibernetinio saugumo priemonės, nurodytos Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo priede, turi būti diegiamos atsižvelgiant į naujausius technologinius sprendimus, vadovaujantis gamintojo pateikiama bent viena gerosios saugumo praktikos rekomendacija.

22. Organizacinių ir techninių elektroninės informacijos saugos ir kibernetinio saugumo priemonių užtikrinimas turi būti grindžiamas grėsmių ir pažeidžiamumo, galinčio turėti įtakos NTIS elektroninės informacijos saugai ir kibernetiniam saugumui, rizikos vertinimu, atsižvelgiant į naujausius technikos laimėjimus.

23. Programinės įrangos, skirtos NTIS apsaugoti nuo kenkimo programinės įrangos (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir panašiai), naudojimo nuostatos ir jos atnaujinimo reikalavimai:

23.1. Tarnybinėse stotyse ir NTIS vidinių naudotojų kompiuteriuose turi būti naudojamos centralizuotai valdomos ir atnaujinamos kenkimo programinės įrangos aptikimo, stebėjimo realiu laiku priemonės.

23.2. NTIS komponentai be kenkimo programinės įrangos aptikimo priemonių gali būti eksploatuojami, jeigu rizikos vertinimo metu patvirtinama, kad šių komponentų rizika yra priimtina.

23.3. Kenkimo programinės įrangos aptikimo priemonės turi atsinaujinti automatiškai ne rečiau kaip kartą per 24 valandas. NTIS komponentų administratorius turi būti automatiškai informuojamas elektroniniu paštu apie tai, kuriems NTIS posistemiams, funkciškai savarankiškoms sudedamosioms dalims ir kitiems NTIS komponentams yra pradelstas kenkimo programinės įrangos aptikimo priemonių atsinaujinimo laikas, taip pat jei kenkimo programinės įrangos aptikimo priemonės netinkamai veikia arba yra išjungtos.

24. Programinės įrangos, įdiegtos kompiuteriuose ir serveriuose, naudojimo nuostatos:

24.1. NTIS tarnybinėse stotyse NTIS turi būti naudojama tik legali programinė įranga.

24.2. NTIS vidinių naudotojų kompiuteriuose naudojama programinė įranga turi būti suderinta su NTIS saugos įgaliotiniu.

24.3. Tarnybinių stočių ir NTIS vidinių naudotojų kompiuterių operacinės sistemos, kibernetiniam saugumui užtikrinti naudojamų priemonių ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai, klaidų pataisymai turi būti išbandomi ir įdiegiami.

24.4. Programinė įranga turi būti prižiūrima ir atnaujinama laikantis gamintojo reikalavimų ir rekomendacijų.

24.5. Programinės įrangos diegimą, konfigūravimą, priežiūrą ir gedimų šalinimą turi atlikti kvalifikuoti specialistai – NTIS komponentų arba taikomosios programų įrangos administratorius arba tokias paslaugas teikiantys kvalifikuoti paslaugų teikėjai.

24.6. Programinė įranga turi būti testuojama naudojant atskirą testavimo terpę, kurioje esantys asmens duomenys turi būti naudojami vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu.

24.7. NTIS programinė įranga turi turėti apsaugą nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbties (angl. SQL injection), XSS (angl. Cross-site scripting), paslaugos trikdymo (angl. DOS), srautinių paslaugos trikdymo (angl. DDOS) ir kitų; pagrindinių per tinklą vykdomų atakų sąrašas skelbiamas Atviro tinklo programų saugumo projekto (angl. The Open Web Application Security Project (OWASP)) interneto svetainėje www.owasp.org.

25. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių ir kita) pagrindinės naudojimo nuostatos:

25.1. Kompiuterių tinklai turi būti atskirti nuo viešųjų elektroninių ryšių tinklų (interneto) naudojant užkardas, automatinę įsilaužimų aptikimo ir prevencijos įrangą, paslaugos trikdymo, srautinių paslaugos trikdymo atakų įrangą.

25.2. Kompiuterių tinklų perimetro apsaugai turi būti naudojami filtrai, apsaugantys elektroniniame pašte ir viešuose ryšių tinkluose naršančių NTIS naudotojų kompiuterinę įrangą nuo kenkimo kodo. Visas duomenų srautas į internetą ir iš jo turi būti filtruojamas naudojant apsaugą nuo virusų ir kitos kenkimo programinės įrangos.

25.3. Apsaugai nuo elektroninės informacijos nutekinimo turi būti naudojama duomenų srautų analizės ir kontrolės įranga.

25.4. Turi būti naudojamos filtravimo sistemos.

25.5. Turi būti naudojamos taikomųjų programų kontrolės sistemos.

26. Užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą, turi būti naudojamas šifravimas, virtualus privatusis tinklas, skirtinės linijos, saugus elektroninių ryšių tinklas ar kitos priemonės, kuriomis užtikrinamas saugus elektroninės informacijos perdavimas. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą (nuotolinio prisijungimo prie NTIS būdai, protokolai, elektroninės informacijos keitimosi formatai, šifravimo, elektroninės informacijos kopijų skaičiaus reikalavimai, reikalavimai teikti ir (ar) gauti elektroninę informaciją automatiniu būdu tik pagal duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas ir panašiai), nustatyti NTIS saugaus elektroninės informacijos tvarkymo taisyklėse.

27. Nešiojamųjų kompiuterių ir kitų mobiliųjų įrenginių (išmaniųjų telefonų ir planšetinių kompiuterių) (toliau – Mobilieji įrenginiai), naudojamų prisijungti prie NTIS, pagrindinės saugos nuostatos:

27.1. Mobiliuosiuose įrenginiuose esantys NTIS duomenys turi būti šifruojami.

27.2. Mobilieji įrenginiai viešose vietose negali būti palikti be priežiūros.

27.3. Darbo su NTIS metu mobiliuosiuose įrenginiuose turi būti išjungta belaidė prieiga, jeigu jos nereikia darbo funkcijoms atlikti, išjungta lygiarangė (angl. peer to peer) funkcija, neleidžianti belaidžiais įrenginiais palaikyti ryšio tarpusavyje, belaidė periferinė prieiga.

28. Organizaciniai ir kibernetinio saugumo reikalavimai išsamiai aprašyti informacinės sistemos ir kibernetinio saugumo politikos įgyvendinamuosiuose dokumentuose.

29. Atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:

29.1. Atsarginių elektroninės informacijos kopijų darymo strategija turi būti pasirenkama atsižvelgiant į priimtiną elektroninės informacijos praradimą (angl. recovery point objective) ir priimtiną NTIS neveikimo laikotarpį (angl. recovery time objective).

29.2. Atsarginės elektroninės informacijos kopijos turi būti daromos ir saugomos tokiu mastu, kad NTIS veiklos sutrikimo, elektroninės informacijos saugos ir kibernetinio incidento ar elektroninės informacijos vientisumo praradimo atvejais NTIS neveikimo laikotarpis nebūtų ilgesnis, nei nustatyta NTIS svarbos kategorijai, nurodytai Saugos nuostatų 26 punkte, o elektroninės informacijos praradimas atitiktų priimtinumo kriterijus.

29.3. Atsarginės elektroninės informacijos kopijos turi būti daromos automatiškai periodiškai, bet ne rečiau, nei nustatyta NTIS saugaus elektroninės informacijos tvarkymo taisyklėse.

29.4. Elektroninė informacija atsarginėse elektroninės informacijos kopijose turi būti užšifruota (šifravimo raktai turi būti saugomi atskirai nuo atsarginių elektroninės informacijos kopijų) arba turi būti imtasi kitų priemonių, dėl kurių nebūtų galima neteisėtai atkurti elektroninės informacijos.

29.5. Atsarginių elektroninės informacijos kopijų laikmenos turi būti žymimos taip, kad jas būtų galima identifikuoti, ir saugomos nedegioje spintoje kitose patalpose, nei yra NTIS tarnybinės stotys ar įrenginys, kurio elektroninė informacija buvo nukopijuota, arba kitame pastate.

29.6. Periodiškai, bet ne rečiau kaip kartą per pusmetį, turi būti atliekami elektroninės informacijos atkūrimo iš atsarginių kopijų bandymai.

29.7. Patekimas į patalpas, kuriose saugomos atsarginės elektroninės informacijos kopijos, turi būti kontroliuojamas.

IV SKYRIUS

REIKALAVIMAI PERSONALUI

30. NTIS naudotojų, nurodytų NTIS nuostatų 12 punkte, NTIS administratorių, NTIS saugos įgaliotinio kvalifikacijos ir patirties reikalavimai:

30.1. NTIS naudotojų, nurodytų NTIS nuostatų 12 punkte, NTIS administratorių, NTIS saugos įgaliotinio kvalifikacija turi atitikti jų pareiginiuose nuostatuose, jei tokie yra, nustatytus reikalavimus.

30.2. NTIS saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo principus, tobulinti elektroninės informacijos saugos ir kibernetinio saugumo srities kvalifikaciją, savo darbe vadovautis Lietuvos Respublikos ir Europos Sąjungos teisės aktų, reglamentuojančių elektroninės informacijos saugą ir kibernetinį saugumą, nuostatomis. NTIS tvarkytojas turi sudaryti sąlygas kelti NTIS saugos įgaliotinio kvalifikaciją.

30.3. NTIS administratoriai pagal kompetenciją privalo išmanyti elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo principus, mokėti užtikrinti NTIS ir joje tvarkomos elektroninės informacijos saugą ir kibernetinį saugumą, administruoti ir prižiūrėti NTIS komponentus (stebėti NTIS komponentų veikimą, atlikti jų profilaktinę priežiūrą, trikčių diagnostiką ir šalinimą, sugebėti užtikrinti nepertraukiamą NTIS komponentų veikimą ir panašiai). NTIS administratoriai turi būti susipažinę su Saugos nuostatais.

31. NTIS tvarkytojas pagal savo institucijos kompetenciją užtikrina NTIS saugos įgaliotinio, NTIS duomenų valdymo įgaliotinio, NTIS administratorių kvalifikacijos kėlimą.

32. NTIS saugos įgaliotinis periodiškai, ne rečiau kaip kartą per metus, organizuoja 30 punkte nurodytų asmenų mokymus elektroninės informacijos saugos klausimais, informuoja juos apie elektroninės informacijos saugos reikalavimus (elektroniniu paštu, per tinklalapį ir pan.).

V SKYRIUS

INFORMACINĖS SISTEMOS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

33. NTIS naudotojų, nurodytų NTIS nuostatų 12 punkte, ir NTIS administratorių supažindinimą su Saugos dokumentais ar jų santrauka, atsakomybe už Saugos dokumentų nuostatų pažeidimus organizuoja NTIS saugos įgaliotinis.

34. NTIS naudotojų, nurodytų NTIS nuostatų 12 punkte, supažindinimo su Saugos dokumentais ar jų santrauka būdai turi būti pasirenkami atsižvelgiant į NTIS specifiką (NTIS ir jos naudotojų, nurodytų NTIS nuostatų 12 punkte, buvimo vietą, organizacinių ir (ar) techninių priemonių, leidžiančių identifikuoti su Saugos dokumentais ar jų santrauka susipažinusį asmenį ir užtikrinančių supažindinimo procedūros įrodomąją galią, panaudojimo galimybes ir panašiai).

35. Pakartotinai su Saugos dokumentais ar jų santrauka NTIS naudotojai, nurodyti NTIS nuostatų 12 punkte, supažindinami tik pasikeitus elektroninės informacijos saugą ir kibernetinį saugumą reglamentuojantiems teisės aktams.

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

36. NTIS naudotojai, NTIS saugos įgaliotinis, NTIS administratoriai pagal kompetenciją atsako už NTIS tvarkomos elektroninės informacijos saugą ir kibernetinį saugumą. Saugos dokumentų ir kitų elektroninės informacijos saugą ir kibernetinį saugumą reglamentuojančių teisės aktų nuostatas pažeidę NTIS naudotojai, NTIS saugos įgaliotinis, NTIS administratoriai atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

________________________