SVEIKATOS APSAUGOS MINISTERIJOS

EKSTREMALIŲ SVEIKATAI SITUACIJŲ CENTRO

DIREKTORIUS

ĮSAKYMAS

DĖL EKSTREMALIŲ SITUACIJŲ VALDYMO INFORMACINĖS SISTEMOS NUOSTATŲ IR EKSTREMALIŲ SITUACIJŲ VALDYMO INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

2021 m. balandžio 8 d. Nr. 05-36

Kaunas

Vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 8 straipsnio 3 dalimi, 30 straipsniu, Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“4 ir 11 punktais ir Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7, 11, 19 ir 26 punktais:

1. Į s t e i g i u Ekstremalių situacijų valdymo informacinę sistemą.

2. T v i r t i n u pridedamus:

2.1. Ekstremalių situacijų valdymo informacinės sistemos nuostatus;

2.2. Ekstremalių situacijų valdymo informacinės sistemos duomenų saugos nuostatus;

3. P a v e d u Ekstremalių situacijų valdymo informacinės sistemos pagrindiniam tvarkytojui:

3.1. paskirti Ekstremalių situacijų valdymo informacinės sistemos saugos įgaliotinį, administratorių, duomenų valdymo įgaliotinį;

3.2. per 30 kalendorinių dienų nuo šio įsakymo įsigaliojimo parengti ir teisės aktų nustatyta tvarka suderinti bei Sveikatos apsaugos ministerijos Ekstremalių sveikatai situacijų centrui pateikti tvirtinti:

3.2.1. Ekstremalių situacijų valdymo informacinės sistemos naudotojų administravimo taisyklių projektą;

3.2.2. Ekstremalių situacijų valdymo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklių projektą;

3.2.3. Ekstremalių situacijų valdymo informacinės sistemos veiklos tęstinumo valdymo plano projektą.

Direktorius Olegas Sitnikovas

SUDERINTA :

dėl informacinės sistemos nuostatų:

Lietuvos Respublikos sveikatos apsaugos

ministerijos 2021-03-25 raštu Nr. 10-1987

Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos 2021-03-25 raštu Nr.S-122(2021)

Nacionalinio visuomenės sveikatos centro prie Sveikatos apsaugos ministerijos

2021-04-01 raštu Nr. (06 1.9 Mr)2-53661

Valstybinės duomenų apsaugos inspekcijos 2021-03-30 raštu Nr. 2R-1507 (3.2.Mr)

Valstybinio socialinio draudimo fondo

valdyba prie Socialinės apsaugos ir darbo ministerijos 2021-03-26 raštu (14.59E) I-2083

Nacionalinio kibernetinio saugumo centro prie Krašto apsaugos ministerijos

2021-03-24 raštu Nr. (4.1 E) 6K-223

Nacionalinės švietimo agentūros

2021-03-25 raštu Nr.SD-682(1.6 E)

Lietuvos Respublikos ekonomikos ir

inovacijų ministerijos 2021-03-29 raštu

Nr. 3-1450

SUDERINTA:

dėl saugos nuostatų:

Nacionalinio kibernetinio saugumo centro VšĮ Kauno miesto greitosios medicinos

prie Krašto apsaugos ministerijos pagalbos stoties 2021-04-08 raštu

2021-04-08 raštu Nr. (4.1 E) 6K-283 Nr.SAS-11 (1.6)

PATVIRTINTA

Sveikatos apsaugos ministerijos

Ekstremalių sveikatai situacijų centro

direktoriaus

2021 m. balandžio 8 d. įsakymu Nr. 05-36

EKSTREMALIŲ SITUACIJŲ VALDYMO INFORMACINĖS SISTEMOS NUOSTATAI

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Ekstremalių situacijų valdymo informacinės sistemos nuostatai (toliau – Nuostatai) nustato Ekstremalių situacijų valdymo informacinės sistemos (toliau – ESVIS) steigimo teisinį pagrindą, tikslus, uždavinius, pagrindines funkcijas, organizacinę, informacinę ir funkcinę struktūras, duomenų naudojimo, teikimo, saugos, finansavimo, modernizavimo ir likvidavimo tvarką.

2. Informacinės sistemos steigimo teisinis pagrindas Sveikatos apsaugos ministerijos Ekstremalių sveikatai situacijų centro nuostatų, patvirtintų Lietuvos Respublikos sveikatos apsaugos ministro 2008 m. gruodžio 9 d. įsakymu Nr. V-1246 „Dėl Sveikatos apsaugos ministerijos Ekstremalių sveikatai situacijų centro nuostatų patvirtinimo“ 10.1, 11.3, 11.4 papunkčiai.

3. ESVIS tvarkoma vadovaujantis šiais teisės aktais:

3.1. Lietuvos Respublikos civilinis kodeksas;

3.2. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

3.3. Lietuvos Respublikos sveikatos sistemos įstatymas;

3.4. Lietuvos Respublikos teisės gauti informaciją iš valstybės ir savivaldybių institucijų ir įstaigų įstatymas;

3.5. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

3.6. Lietuvos Respublikos kibernetinio saugumo įstatymas;

3.7. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679);

3.8. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo (toliu kartu – Bendrųjų elektroninės informacijos saugos ir kitų informacinių sistemų gairių aprašas).

3.9. Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“ (toliau – Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašas);

3.10. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

3.11. kiti teisės aktai, reglamentuojantys saugų elektroninės informacijos tvarkymą, saugojimą bei sunaikinimą.

4. Nuostatuose vartojamos sąvokos atitinka sąvokas, apibrėžtas Nuostatų 3 punkte nurodytuose teisės aktuose.

5. ESVIS tikslas yra informacinių technologijų priemonėmis užtikrinti informacijos (asmenų registracijos duomenų, laboratorinių tyrimų duomenų) valdymą ekstremaliosios situacijos metu.

6. ESVIS pacientų asmens duomenų tvarkymo tikslas yra ekstremaliosios situacijos metu užtikrinti visuomenės interesą sveikatos srityje, informacijos valdymą, jos perdavimą, prevencinių priemonių taikymą ir vykdymą, ESVIS pacientų ir naudotojų identifikavimas asmens sveikatos priežiūros paslaugų teikimo tikslu, pacientų registracija į „Karštąją liniją 1808“ (toliau – 1808), laboratorinių tyrimų atlikimui, vakcinavimui, sukauptų duomenų analizei ir statistikai teikti.

7. ESVIS uždaviniai:

7.1. informacinių technologijų priemonėmis centralizuotai valdyti asmenų, besikreipiančių į 1808 srautus;

7.2. informacinių technologijų priemonėmis valdyti, registracijas į sveikatos priežiūros įstaigas, pvz. mobilius punktus, karščiavimo klinikas, laboratorijas, vakcinavimo punktus ir/ar kitas sveikatos priežiūros įstaigas susijusias su ekstremalios situacijos suvaldymu, procesus, kaupti duomenis apie registraciją ir tyrimus, jų atsakymus bei užtikrinti savalaikį informacijos pateikimą ESVIS naudotojams.

8. ESVIS pagrindinės funkcijos:

8.1. 1808 pagalbos skambučių ir sveikatos priežiūros įstaigų valdymo funkcijos:

8.1.1. valdyti 1808 skambučius, identifikuoti besikreipiančius ir juos paskirstyti darbo vietoms;

8.1.2. saugoti skambučių, pokalbių įrašus;

8.1.3. apdoroti skambučio informaciją.

8.2. registracijos, į sveikatos priežiūros įstaigas, tokias kaip mobiliuosius punktus, karščiavimo klinikas, laboratorijas, vakcinavimo punktus ir/ar kitas sveikatos priežiūros įstaigas bei duomenų kaupimo, apdorojimo ir pateikimo ESVIS naudotojams funkcijos:

8.2.1. registruoti asmenis tyrimams mobiliuose punktuose, karščiavimo klinikose, vakcinavimo punktuose ar ir kitose sveikatos priežiūros įstaigose;

8.2.2. valdyti besikreipiančiųjų tikslinių grupių prioritetus ir kvotas;

8.2.3. užtikrinti savalaikį elektroninių (E200) formų kūrimą ir perdavimą į Elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinę sistemą (toliau – ESPBI IS);

8.2.4. užtikrinti savalaikį atsakymų apie atliktus tyrimus registravimą ir perdavimą į ESPBI IS;

8.2.5. teikti informaciją apie savivaldybių mobilius punktus bei jų išdėstymą aptarnaujamoje teritorijoje;

8.2.6. užtikrinti operatyvų informacijos apsikeitimą su savivaldybių įsteigtais mobiliais punktais;

8.3. vykdyti ESVIS sukauptos informacijos analizę, statistikos skaičiavimą, analizuoti informaciją pagal laboratorijos, mobiliųjų punktų, teigiami – neigiami atvejai, tyrimo būdus ir kita.

8.4. kaupti elektroninę informaciją apie asmenų, besikreipiančių į 1808 registraciją, pagalbos prioritetų nustatymą, tyrimų duomenų valdymą, informavimą trumposiomis žinutėmis ir mobiliųjų punktų veiklą.

II SKYRIUS

ESVIS ORGANIZACINĖ STRUKTŪRA

9. ESVIS organizacinę struktūrą sudaro ESVIS valdytojas, ESVIS pagrindinis tvarkytojas, ESVIS tvarkytojai ir ESVIS duomenų tiekėjai.

10. ESVIS valdytojas ir asmens duomenų valdytojas yra Sveikatos apsaugos ministerijos Ekstremalių sveikatai situacijų centras (toliau – ESVIS valdytojas).

11. ESVIS valdytojas:

11.1. atlieka Valstybės informacinių išteklių valdymo įstatyme valstybės informacinės sistemos valdytojui nustatytas funkcijas, turi šiame įstatyme nurodytas teises ir pareigas;

11.2. priima sprendimus, susijusius su ESVIS kūrimu, plėtra, likvidavimu, modernizavimu, priežiūra, administravimu ir kontroliuoja, kaip jie vykdomi;

11.3. nagrinėja pasiūlymus ir priima sprendimus dėl ESVIS duomenų mainų būdo ir formato;

11.4. analizuoja teisines, technines, technologines, metodines ir organizacines ESVIS tvarkymo problemas ir pagal kompetenciją priima sprendimus, kurių reikia ESVIS veiklai užtikrinti;

11.5. sudaro sutartis su ESVIS duomenų teikėjais ir duomenų gavėjais arba įgalioja sudaryti sutartis pagrindinį ESVIS tvarkytoją;

11.6. teisės aktų nustatyta tvarka teikia informaciją apie ESVIS veiklą.

12. ESVIS pagrindinis tvarkytojas ir asmens duomenų tvarkytojas yra viešoji įstaiga Kauno miesto Greitosios medicinos pagalbos stotis (toliau – ESVIS pagrindinis tvarkytojas).

13. ESVIS pagrindinis tvarkytojas atlieka Valstybės informacinių išteklių valdymo įstatymo nustatytas funkcijas, turi šiame įstatyme nurodytas teises ir pareigas. Taip pat, ESVIS pagrindinis tvarkytojas:

13.1. užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikomi atitinkamais teisės aktais nustatyti konfidencialumo reikalavimai;

13.2. imasi visų priemonių, kurių reikalaujama pagal Reglamento (ES) 2016/679 32 straipsnį - techninėmis ir organizacinėmis priemonėmis užtikrina ESVIS saugą, ESVIS tvarkomų asmens duomenų konfidencialumą, vientisumą ir prieinamumą, apsaugą nuo netyčinio arba neteisėto sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jų ir nuo bet kokio kito neteisėto tvarkymo, taip pat saugų duomenų perdavimą kompiuteriniais tinklais;

13.3. atsižvelgdami į ESVIS duomenų tvarkymo pobūdį, padeda ESVIS asmens duomenų valdytojui, taikydamas tinkamas technines ir organizacines priemones, kiek tai įmanoma, įgyvendinti ESVIS asmens duomenų valdytojo prievolę atsakyti į prašymus pasinaudoti Reglamento (ES) 2016/679 III skyriuje nustatytomis duomenų subjektų teisėmis;

13.4. Nuostatų nustatyta tvarka padeda ESVIS asmens duomenų valdytojui užtikrinti Reglamento 32–36 straipsniuose nustatytų prievolių laikymąsi, atsižvelgdamas į asmens duomenų tvarkymo pobūdį ir ESVIS asmens duomenų tvarkytojo turimą informaciją;

13.5. baigus teikti su asmens duomenų tvarkymu susijusias paslaugas, ištrina visus asmens duomenis, išskyrus atvejus, kai teisės aktuose reikalaujama asmens duomenis saugoti;

13.6. pateikia ESVIS asmens duomenų valdytojui visą informaciją, būtiną siekiant įrodyti, kad vykdomos Reglamentas (ES) 2016/679) nustatytos prievolės, ir sudaro sąlygas bei padeda ESVIS asmens duomenų valdytojui arba kitam ESVIS asmens duomenų valdytojo įgaliotam auditoriui atlikti auditą, įskaitant patikrinimus. Nedelsdamas informuoja ESVIS asmens duomenų valdytoją, jei, jo nuomone, nurodymas pateikti informaciją pažeidžia Reglamentą (ES) 2016/679) ar kitas duomenų apsaugos nuostatas;

13.7. ESVIS asmens duomenų tvarkytojas, nustatęs asmens duomenų saugumo pažeidimą, ne vėliau kaip per 24 valandas informuoja ESVIS asmens duomenų valdytoją apie įvykusius asmens duomenų saugumo pažeidimus – raštu ir (ar) el. paštu pateikia pranešimą pagal Reglamento (ES) 2016/679) 33 straipsnio 3 dalies reikalavimus. Asmens duomenų saugumo pažeidimai nagrinėjami vadovaujantis asmens duomenų valdytojo nustatyta pranešimų apie asmens duomenų saugumo pažeidimus teikimo ir nagrinėjimo tvarka.

13.8. registruoja ESVIS naudotojus, vadovaudamasis ESVIS naudotojų administravimo taisyklėmis;

13.9. koordinuoja ir administruoja ESVIS duomenų tvarkymą, keitimąsi duomenimis ir jų apskaitą.

14. ESVIS tvarkytojai ir asmens duomenų tvarkytojai yra sveikatinimo įstaigos.

15. ESVIS tvarkytojai atlieka šias funkcijas:

15.1. tvarko ESVIS duomenis Nuostatuose ir kituose ESVIS veiklą reglamentuojančiuose teisės aktuose nustatyta tvarka;

15.2. skiria darbuotojus, atsakingus už ESVIS duomenų tvarkymą;

15.3. užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikoma atitinkama konfidencialumo prievolė;

15.4. imasi visų priemonių, kurių reikalaujama pagal Reglamento (ES) 2016/679 32 straipsnį, užtikrina organizacinėmis, techninėmis, technologinėmis ir metodinėmis priemonėmis saugų ESVIS duomenų tvarkymą;

15.5. užtikrina ESVIS duomenų tvarkymo teisėtumą, duomenų patikimumą teisės aktų nustatyta tvarka pagal jiems suteiktus įgaliojimus;

15.6. ESVIS pagrindiniam tvarkytojui pasiūlymus dėl ESVIS tobulinimo;

15.7. atsižvelgdamas į asmens duomenų tvarkymo pobūdį, asmens duomenų valdytojo nustatyta tvarka padeda asmens duomenų valdytojui, taikydamas tinkamas technines ir organizacines priemones, įvykdyti asmens duomenų valdytojo prievolę, atsakyti į prašymus pasinaudoti Reglamento (ES) 2016/679 111 skyriuje nustatytomis duomenų subjekto teisėmis;

15.8. atlieka kitas Nuostatuose ir kituose teisės aktuose, susijusiuose su ESVIS tvarkymu, nustatytas funkcijas.

16. ESVIS duomenų teikėjai:

16.1. Lietuvos Respublikos sveikatos apsaugos ministerija, teikianti Elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinės sistemos (valdytoja – Sveikatos apsaugos ministerija) duomenis;

16.2. Informacinės visuomenės plėtros komitetas, teikiantis Valstybės informacinių išteklių sąveikumo platformos (toliau – VIISP) (valdytojas ir tvarkytojas – Informacinės visuomenės plėtros komitetas prie Susisiekimo ministerijos) duomenis;

16.3 Valstybinio socialinio draudimo fondo valdyba prie Socialinės apsaugos ir darbo ministerijos, teikianti Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos informacinės sistemos ir Lietuvos Respublikos apdraustųjų valstybiniu socialiniu draudimu ir valstybinio socialinio draudimo išmokų gavėjų registro (valdytoja – Valstybinio socialinio draudimo fondo valdyba prie Socialinės apsaugos ir darbo ministerijos) duomenis;

16.4. Nacionalinė švietimo agentūra, teikianti Mokinių registro, Studentų registro ir Pedagogų registro (valdytoja – Lietuvos Respublikos švietimo ir mokslo ministerija) duomenis;

16.5. Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (toliau – NVSC) teikiantis Užkrečiamųjų ligų, galinčių išplisti ir kelti grėsmę, stebėsenos ir kontrolės informacinės sistemos (valdytoja –Sveikatos apsaugos ministerija) duomenis.

17. ESVIS naudotojai yra ESVIS valdytojo ir ESVIS pagrindinio tvarkytojo valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartis ir pagal kompetenciją naudojantys ir (ar) tvarkantys ESVIS duomenis, taip pat duomenų teikėjų darbuotojai įgalioti teikti duomenis į ESVIS.

III SKYRIUS

ESVIS INFORMACINĖ STRUKTŪRA

18. ESVIS informacinę struktūrą sudaro ESVIS duomenų saugykloje saugoma 1808 pagalbos skambučių valdymo bazė, kurioje kaupiami ir saugomi šie duomenys ar jų grupės:

18.1. 1808 pagalbos skambučių valdymo duomenys:

18.1.1. aptarnauto asmens eilės numeris;

18.1.2. operatoriaus identifikacinis kodas, skambučio priėmimo laikas, užregistravimo į mobilų punktą laikas;

18.1.3. bendrieji paciento asmens duomenys: asmens vardas (-ai), pavardė (-ės) ir asmens kodą (paciento identifikatorius išoriniam teikimui);

18.1.4. pagalbos aktyvavimą, jei skambutis perduodamas greitosios medicinos pagalbos dispečerinei;

18.1.5. asmens, besiregistruojančio tyrimui, sutikimo patvirtinimo formos užregistravimo balsu požymis;

18.1.6. užregistravimo tyrimui informavimo trumposiomis žinutėmis (toliau – SMSu) data;

18.1.7. asmens, atvykstančio tyrimui, atvykimo fakto į tyrimo vietą registravimas;

18.1.8. tyrimo paėmimo data, tyrimo atsakymo gavimo data;

18.1.9. tyrimo išsiuntimo trumpąja žinute data;

18.1.10. Duomenys apie susirgimus pagal elektronines medicinines E200 ir E200-ats formas:

18.1.10.1. E200 ir E200-ats duomenų kompozicijos unikalūs identifikatoriai;

18.1.10.2. E200 medicininės formos pavadinimas;

18.1.10.3. įstaigos, suformavusios tyrimą (E200), ESVIS identifikatorius, įstaigos, suformavusios tyrimą (E200), Privalomojo sveikatos draudimo informacinės sistemos „Sveidra“ (toliau – SVEIDRA IS) identifikatorius, įstaigos, suformavusios tyrimo (E200) paėmimo duomenis, pavadinimas, įstaigos, suformavusios tyrimą (E200), apskrities identifikatorius (pagal SVEIDRA IS), įstaigos, suformavusios tyrimą (E200) savivaldybės identifikatorius (ne iš Adresų registro) (pagal SVEIDRA IS), įstaigos, suformavusios tyrimą (E200) savivaldybės pavadinimas (pagal SVEIDRA IS);

18.1.10.4. E200 duomenų sukūrimo data ir laikas;

18.1.10.5. E200 duomenų įvedimo užbaigtumas;

18.1.10.6. E200 dokumento pasirašymas;

18.1.10.7. E200-ats duomenų sukūrimo data ir laikas;

18.1.10.8. E200-ats duomenų įvedimo užbaigtumas;

18.1.10.9. E200-ats medicininės formos pavadinimas, įstaigos, suformavusios tyrimo atsakymą (E200-ats), ESPBI IS identifikatorius, įstaigos, suformavusios tyrimo atsakymą (E200-ats) atsakymo duomenis, pavadinimas;

18.1.10.10. E200-ats dokumento pasirašymas;

18.1.10.11. paciento identifikatorius išoriniam teikimui, asmens kodas, gimimo data, lytis, darbovietės ekonominės veiklos kodas;

18.1.10.12. paciento prisirašymo įstaigos SVEIDRA IS identifikatorius, paciento prisirašymo įstaigos apskrities identifikatorius (pagal SVEIDRA IS), paciento prisirašymo įstaigos savivaldybės identifikatorius (ne iš Adresų registro) (pagal SVEIDRA IS), paciento prisirašymo įstaigos savivaldybės pavadinimas (pagal SVEIDRA IS);

18.1.10.13. laboratorijos naudoto metodo tyrimui pavadinimas;

18.1.10.14. laboratorijos tyrimo rezultato duomuo E200-ats dokumente;

18.1.10.15. ėminio užsakymo tirti data ir laikas;

18.1.10.16. paėmimo data ir laikas;

18.1.10.17. registracijos kodas;

18.1.10.18. gavimo data ir laikas;

18.1.10.19. tyrimo atlikimo data ir laikas;

18.1.10.20. laboratorinio tyrimo tipo identifikatorius;

18.1.11. Vakcinacijos įrašų su vakcina nuo užkrečiamosios ligos duomenys pagal elektroninę medicininę E063 formą:

18.1.11.1. unikalus paciento identifikatorius, paciento asmens kodas, gimimo data, amžius, lytis;

18.1.11.2. elektroninio medicinos dokumento numeris;

18.1.11.3. E063 užpildymo statusas;

18.1.11.4. E063 pasirašymo statusas, vakcinaciją atlikusios įstaigos pavadinimas ir SVEIDROS ID, vakcinaciją atlikusios įstaigos savivaldybė, paciento prisirašymo įstaiga ir jos SVEIDROS ID, paciento prisirašymo įstaigos savivaldybė;

18.1.11.5. vaistinio preparato nacionalinis pakuotės identifikatorius (NPAKID), vaisto prekinis pavadinimas, serijos numeris, vakcinacija / revakcinacija; pagal skiepijimo schemą kelinta vakcinos dozė įskiepyta, skiepijimo data;

18.1.11.6. E063 dokumento pasirašymo data;

18.1.12. Duomenys iš E025 formų (ambulatorinis apsilankymas), kuriose nurodyta viena iš diagnozių: Z29.0, Z86.18, U07.1, U07.2, U07.3 netaikant jokių kitų duomenų atrankos kriterijų – kompozicijos identifikatorius, unikalus duomenų rinkiniui, kompozicijos sukūrimo data ir baigtumo būklė, paciento identifikatorius, asmens kodas, vardas ir pavardė; įstaigos kodas ir pavadinimas, TLK-10AM klasifikacijos kodas.

18.2. Nacionalinės švietimo agentūros tvarkomų registrų duomenys:

18.2.1. Mokinių registro duomenys – mokinio, kuris mokosi pagal pradinio, pagrindinio, vidurinio ugdymo ir (ar) formaliojo profesinio mokymo, neformaliojo vaikų švietimo ir formalųjį švietimą papildančias, ikimokyklinio ir priešmokyklinio ugdymo programas, vardas pavardė, asmens kodas, švietimo teikėjo (-ų) (padalinio (-ių), kuriame (-iuose) mokosi, pavadinimas (-ai) ir juridinio asmens kodas (-ai);

18.2.2. Studentų registro duomenys – aukštosios mokyklos studento vardas, pavardė, asmens kodas, valstybė iš kurios atvyko, švietimo teikėjo (-ų) (padalinio (-ių), kuriame (-iuose) mokosi, pavadinimas (-ai) ir juridinio asmens kodas (-ai);

18.2.3. Pedagogų registro duomenys – bendrojo ugdymo mokyklos, ikimokyklinio ugdymo mokyklos, profesinio mokymo įstaigos, neformaliojo vaikų švietimo mokyklos ir formalųjį švietimą papildančio ugdymo mokyklos, mokslo ir studijų institucijų, kito švietimo teikėjo, vykdančio formaliojo ir (ar) neformaliojo švietimo programas, mokslinius tyrimus pedagogo vardas, pavardė, asmens kodas; institucijos (-ų) (padalinio (-ių)), kurioje (-iose) dirba, juridinio asmens kodas (-ai).

18.3. NVSC tvarkomos Užkrečiamųjų ligų, galinčių išplisti ir kelti grėsmę, stebėsenos ir kontrolės informacinės sistemos (toliau – ULSKIS) duomenys:

18.3.1. ligonio, asmens, įtariamo, kad serga, ir sąlytį turėjusių asmenų duomenys, kelionių duomenys;

18.4. Valstybinio socialinio draudimo fondo valdyba teikia duomenis apie duomenų subjekto draudėją:

18.4.1. duomenys apie duomenų subjektą (vardas, pavardė ir asmens kodas arba gimimo data, arba socialinio draudimo numeris);

18.4.2. Duomenų subjekto draudėją (juridinio arba fizinio asmens kodas), užklausos laikotarpį (data „Nuo“, „Iki“), klausiančiojo juridinio asmens kodą bei tikslo kodą „X“) gauti asmens duomenis apie Duomenų subjektą: apdraustojo kategoriją („Darbuotojas“, „Nedraudiminis laikotarpis“, „Praktiką atliekantis asmuo“, „Vaiko priežiūros arba tėvystės atostogos“, „Savarankiškai dirbantis asmuo nuo 2009 metų“, „Užsienietis, turintis vizą“, „Asmuo, dirbantis pagal terminuotą darbo sutartį (VSDĮ 8 str. 2 d.)“, „Užsienietis, dirbantis pagal terminuotą darbo sutartį (VSDĮ 8 str. 2 d.)“.

19. Iš ESPB IS teikiami Nuostatų 18.1.3; 18.1.10; 18.1.11; 18.1.12 papunkčiuose nurodyti duomenys.

20. Iš VIISP teikiami Nuostatų 18.1.3 papunktyje nurodyti duomenys.

21.Iš Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos informacinės sistemos ir Lietuvos Respublikos apdraustųjų valstybiniu socialiniu draudimu ir valstybinio socialinio draudimo išmokų gavėjų registro teikiami Nuostatų 18.4 punkte nurodyti duomenys, reikalingus patikrinti, ar fizinis asmuo dirba pas užklausoje nurodytą draudėją.

22. Iš Mokinių, Studentų, Pedagogų tvarkomų registrų teikiami Nuostatų 18.2 punkte nurodyti duomenys;

23. Iš ULSKIS teikiami Nuostatų 18.3 punkte nurodyti duomenys.

IV SKYRIUS

ESVIS FUNKCINĖ STRUKTŪRA

24. ESVIS funkcinę struktūrą sudaro, 1808 pagalbos skambučių valdymo posistemė ir portalas, kurios funkcijos yra:

24.1. Portalo funkcijos yra:

24.1.1 identifikuoti pacientus;

24.1.2 sudaryti galimybes pacientams:

24.1.2.1 nuotoliniu būdu asmenims registruotis atlikti tyrimus mobiliuose punktuose ar karščiavimo klinikose;

24.1.2.2. nuotoliniu būdu asmenims registruotis atlikti vakcinacijai, vakcinacijos punktuose;

24.1.2.3. pasirinkti mobilius punktus, karščiavimo klinikas, vakcinavimo punktus ir matyti asmenims savarankiškai visus registracijai skirtus vizitų laikus;

24.1.2.4. užsiregistruoti tik vieną kartą konkrečiai paslaugai.

24.2. Sudaryti galimybes sveikatinimo specialistams ir sveikatinimo veiklą vykdančios įstaigos darbuotojams, vykdantiems registratoriaus rolei priskirtas funkcijas:

24.2.1. tvirtinti ir atšaukti registraciją į mobilųjį punktą, karščiavimo kliniką ar vakcinacijos punktą, jeigu ši registracija netenkina sveikatinimo veiklą vykdančios įstaigos nustatytų reikalavimų konkrečiai paslaugai gauti;

24.2.2. fiksuoti asmenų atvykimą tik į savo vizitų registracijas;

24.2.3. matyti darbovietės paslaugų eiles, registruoti ir pašalinti asmenis iš eilės.

24.3. Skambučių valdymo posistemės funkcijos:

24.3.1. Skambučių valdymo funkcijos:

24.3.1.1. skambučių priėmimas;

24.3.1.2. besikreipiančių gyventojų identifikavimas;

24.3.1.3. gyventojų nukreipimas ir paskirstymas į darbo vietas, pagal darbuotojų specializaciją ir esamą darbo krūvį;

24.3.1.4. skambučių pokalbių įrašymas, įrašų saugojimas, perklausa;

24.3.1.5. skambučio registravimo metu gautos informacijos įvedimas;

24.3.1.6. automatinis išeinančio skambučio generavimas gydytojo konsultacijai, gyventojui, paskambinusiam telefonu 1808;

24.3.1.7. gyventojų, besikreipiančių į atitinkamas įstaigas per 1808, srautų planavimo funkcija;

24.3.1.8. siųsti informaciją el. paštu ir (ar) trumpąja žinute apie vizito rezervacijos būseną, apsilankymo atšaukimą bei priminimą apie suplanuotus apsilankymus;

24.3.1.9. skambučių analizė, ataskaitų formavimas, statistikos skaičiavimas.

25. Tyrimų valdymo funkcijos:

25.1. gyventojų registravimas tyrimams mobiliuose punktuose;

25.2. tikslinių grupių prioritetų ir kvotų valdymas;

25.3. gyventojų, besiregistruojančių tyrimui, sutikimo patvirtinimo formos registravimas balsu;

25.4. automatiniu registracijos laiko perdavimas tyrimo dalyviui trumposiomis žinutėmis lietuviškais rašmenimis;

25.5 gyventojo, atvykstančio tyrimui, atvykimo fakto į tyrimo vietą registravimas;

25.6. elektroninių (E200) formų kūrimas, su formų pasirašymo elektroniniu parašu funkcionalumu ir perdavimu į ESPBI IS;

25.7. laboratorinių tyrimų duomenų gautų iš laboratorijų per ESPBI IS, registravimas;

25.8. sveikatinimo veiklą vykdančių įstaigų darbuotojų suvedamų atsakymų apie atliktus tyrimus, registravimas bei perdavimas į ESPBI IS;

25.9. automatinis gautų neigiamų tyrimų rezultatų perdavimas trumposiomis žinutėmis gyventojui, kuriam atliktas tyrimas, lietuviškais rašmenimis;

25.10. gyventojų, kuriems atliktas laboratorinis tyrimas, kurio rezultatas teigiamas, registracija gydytojo konsultacijai telefonu gyventojui, paimant duomenis iš ESPBI IS;

25.11. teigiamų testų rezultatų pacientų duomenų perdavimas į NVSC;

25.12. savivaldybių mobilių punktų bei išsidėstymo aptarnaujamoje teritorijoje stebėjimas;

25.13. apsikeitimas informacija su savivaldybių įsteigtais mobiliaisiais punktais.

26. Informacinės sistemos administravimo funkcijos:

26.1. ESVIS naudotojų teisių suteikimas ir valdymas;

26.2. ESVIS naudotojų atliktų veiksmų žurnalo valdymas.

V SKYRIUS

ESVIS DUOMENŲ TEIKIMAS IR NAUDOJIMAS

27. ESVIS nuasmeninti apibendrinti duomenys yra vieši ir teikiami institucijoms, kitiems juridiniams ir fiziniams asmenims. ESVIS tvarkomi asmens duomenys teikiami ir naudojami vadovaujantis Reglamentu (ES) 2016/679, Nuostatais ir kitais asmens duomenų apsaugą reglamentuojančiais teisės aktais.

28. ESVIS apibendrinti duomenys gali būti:

28.1. pateikiami peržiūrėti leidžiamosios kreipties būdu internetu;

28.2. perduodami automatiniu būdu;

28.3. pateikiami raštu, paštu, elektroniniu paštu ar kitomis elektroninio komunikavimo priemonėmis.

29. ESVIS gavėjai gautus duomenis ir informaciją gali naudoti tik tokiam tikslui, tokios apimties ir tokiu būdu, kaip nurodyta duomenų teikimo sutartyje arba prašyme. ESVIS duomenų gavėjas negali keisti iš ESVIS gautų duomenų ir informacijos ir juos naudodamas privalo nurodyti duomenų šaltinį.

30. ESVIS duomenys Europos Sąjungos valstybių narių ir (arba) Europos ekonominės erdvės valstybių fiziniams, judriniams asmenims, juridinio statuso neturintiems subjektams, jų filialams ir atstovybėms teikiami vadovaujantis Valstybės informacinių išteklių valdymo įstatymu ir Reglamentu (ES)2016/679.

31. Kitų valstybių, išskyrus Europos Sąjungos valstybes nares ir Europos ekonominės erdvės valstybes, fiziniams, juridiniams asmenims, juridinio asmens statuso neturintiems subjektams, jų filialams ir atstovybėms duomenys teikiami, jeigu tai neprieštarauja Lietuvos Respublikos įstatymams, Reglamentui (ES) 2016/679, tarptautinėms sutartims, Europos Sąjungos teisės aktams ir kitiems norminiams teisės aktams.

32. ESVIS duomenis teikia ESVIS pagrindinis tvarkytojas. Duomenys teikiami tokio turinio ir tokios formos, kokie yra naudojami ESVIS ir nereikalauja papildomo duomenų apdorojimo.

33. Daugkartinio teikimo atveju ESVIS asmens duomenys teikiami pagal ESVIS pagrindinis tvarkytojo ir duomenų gavėjo sudarytą asmens duomenų teikimo sutartį arba, kai teisės aktais yra nustatyta pareiga šiuos duomenis teikti.

34. Vienkartinio teikimo atveju ESVIS asmens duomenys teikiami pagal gavėjo prašymą pateiktą ESVIS pagrindiniam tvarkytojui. Prašyme turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo ir gavimo teisinis pagrindas, prašomų pateikti duomenų apimtis.

35. ESVIS duomenys duomenų gavėjams teikiami neatlygintinai.

36. Kai atsisakoma teikti ESVIS tvarkomus duomenis, asmeniui, pateikusiam prašymą juos gauti, ESVIS pagrindinis tvarkytojas praneša apie priimtą sprendimą atsisakyti tenkinti asmens prašymą ir suteikia informaciją apie tokio sprendimo apskundimo tvarką.

37. Duomenų gavėjas, registro ar kitos valstybės informacinės sistemos tvarkytojas, duomenų subjektas, kiti asmenys turi teisę reikalauti ištaisyti netikslius ESVIS duomenis.

38. ESVIS pagrindinis tvarkytojas, duomenų subjekto ar institucijų, kurioms konfidencialumo reikalavimas netaikomas ir informacija gali būti suteikta tik tarnybiniais tikslais, prašymu (išreikštu rašytine forma), kuriame nurodomi pastebėti netikslumai, nedelsdamas privalo patikrinti ESVIS kaupiamus nurodytus duomenis ir, nustatęs, kad prašymas pagrįstas, ne vėliau kaip per 3 darbo dienas, ištaisyti neteisingus, neišsamius, netikslius duomenis ir (arba) sustabdyti tokių duomenų tvarkymo veiksmus, išskyrus saugojimą ir pateikti patikslintus duomenis arba motyvuotą atsisakymą juos patikslinti.

39. ESVIS pagrindinis tvarkytojas ne vėliau kaip per 5 darbo dienas, neatlygintinai raštu arba elektroninio ryšio priemonėmis informuoja duomenų gavėjus apie duomenų subjekto ar kito asmens prašymu ištaisytus ar sunaikintus duomenis, sustabdytus duomenų tvarkymo veiksmus, išskyrus atvejus, kai pateikti tokią informaciją būtų neįmanoma arba pernelyg sunku (dėl didelio duomenų subjektų skaičiaus, duomenų laikotarpio, nepagrįstai didelių sąnaudų). Tokiu atveju turi būti nedelsiant pranešama Valstybinei duomenų apsaugos inspekcijai.

40. Atsisakymas teikti ESVIS duomenis duomenų gavėjams gali būti skundžiamas administraciniam teismui įstatymų ir kitų teisės aktų nustatyta tvarka.

41. Neaptarti šiose Nuostatuose Reglamento (ES) 2016/679) 28 straipsnio 3 dalyje numatyti reikalavimai turi būti reglamentuojami sutartimi tarp ESVIS valdytojo ir ESVIS pagrindinio tvarkytojo.

VI SKYRIUS

DUOMENŲ SAUGA

42. Tvarkant ESVIS duomenis turi būti įgyvendintos duomenų saugos organizacinės ir techninės priemonės, skirtos ESVIS duomenų konfidencialumui, prieinamumui teisėtiems ESVIS tvarkytojams, vientisumui ir autentiškumui užtikrinti ir apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, naudojimo, atskleidimo, taip pat bet kokio kito neteisėto tvarkymo. Minėtos priemonės turi užtikrinti tokio lygio saugumą, kuris atitiktų saugotinų ESVIS duomenų pobūdį.

43. ESVIS duomenų saugaus tvarkymo reikalavimų įgyvendinimas užtikrinamas vadovaujantis:

43.1. Bendrųjų elektroninės informacijos saugos ir kitų informacinių sistemų gairių aprašu;

43.2. Reglamentu (ES) 2016/679;

43.3. Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo metodai“ grupės standartais, reglamentuojančiais saugų informacinės sistemos duomenų tvarkymą;

43.4. ESVIS duomenų saugos nuostatais ir kitais saugos politiką įgyvendinančiais dokumentais.

44. ESVIS valdytojas, ESVIS pagrindinis tvarkytojas ir tvarkytojai atsako už ESVIS saugomų duomenų bei asmens duomenų saugą ir pagal kompetenciją privalo įgyvendinti tinkamas organizacines ir technines priemones, skirtas apsaugoti duomenims nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo ar bet kokio kito neteisėto tvarkymo.

45. ESVIS naudotojai ESVIS duomenimis naudojasi pagal jiems suteiktą prieigose teisių lygmenį.

46. Asmenys, kurie tvarko asmens duomenis, privalo saugoti asmens duomenų paslaptį. Ši pareiga galioja perėjus dirbti į kitą darbą, pasibaigus jų darbo ar sutartiniams santykiams. Už šios pareigos nevykdymą ESVIS naudotojai atsako teisės aktų nustatyta tvarka.

47. Tvarkant ir saugant ESVIS kaupiamus duomenis turi būti įgyvendintos duomenų saugos organizacinės, programinės, techninės, patalpų apsaugos ir administracinės priemonės, skirtos ESVIS duomenų konfidencialumui, prieinamumui teisėtiems ESVIS tvarkytojams, vientisumui ir autentiškumui užtikrinti ir apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, naudojimo, atskleidimo, taip pat bet kokio kito neteisėto tvarkymo. Minėtos priemonės turi užtikrinti tokio lygio saugumą, kuris atitiktų saugotinų ESVIS tvarkomų duomenų pobūdį.

48. ESVIS duomenys kaupiami ir saugomi informacinės sistemos duomenų bazėje vadovaujantis Lietuvos vyriausiojo archyvaro 2011 m. kovo 9 d. įsakymu Nr. V-100 „Dėl bendrųjų dokumentų saugojimo terminų rodyklės patvirtinimo”.

49. ESVIS esantys duomenys, praėjus 3 metų laikotarpiui po 1808 skambučių registracijos, 5 metų laikotarpiui po vakcinacijos, 25 metų laikotarpiui po laboratorinių ištyrimų, ištrinami iš duomenų bazės negrįžtamai arba perduodami valstybės archyvams Lietuvos Respublikos dokumentų ir archyvų įstatymo ir kitų teisės aktų nustatyta tvarka.

VII SKYRIUS

ESVIS FINANSAVIMAS

50. ESVIS kūrimas, diegimas, priežiūra ir plėtra finansuojama Lietuvos Respublikos valstybės biudžeto lėšomis.

VIII SKYRIUS

ESVIS MODERNIZAVIMAS IR LIKVIDAVIMAS

51. ESVIS modernizuojama arba likviduojama Valstybės informacinių išteklių valdymo įstatymo ir Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo nustatyta tvarka.

52. Likviduojamos ESVIS duomenys perduodami kitai informacinei sistemai, sunaikinami arba perduodami valstybės archyvams Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka.

IX SKYRIUS

BAIGIAMOSIOS NUOSTATOS

53. Duomenų subjektų teisių, įtvirtintų Reglamente (ES) 2016/679, įgyvendinimo tvarką nustato ESVIS valdytojas. Tvarka yra patvirtinta ESVIS valdytojo 2019 m. gruodžio 18 d. įsakymu Nr. 05-113 „Dėl asmens duomenų tvarkymo, saugojimo ir šių duomenų subjektų teisių įgyvendinimo Sveikatos apsaugos ministerijos Ekstremalių sveikatai situacijų centre taisyklių patvirtinimo“.

54. ESVIS valdytojas ne rečiau kaip kartą per kalendorinius metus iki kiekvienų einamųjų metų pabaigos peržiūri (jei reikia tikslina ar papildo) ESVIS nuostatus, atsižvelgdama į susijusių teisės aktų ir (arba) informacinės sistemos funkcionalumų pasikeitimus.

____________________

PATVIRTINTA

Sveikatos apsaugos ministerijos

Ekstremalių sveikatai situacijų centro

direktoriaus

2021 m. balandžio 8 d. įsakymu Nr. 05-36

EKSTREMALIŲ SITUACIJŲ VALDYMO INFORMACINĖS SISTEMOS

DUOMENŲ SAUGOS NUOSTATAI

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Ekstremalių situacijų valdymo informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Ekstremalių situacijų valdymo informacinės sistemos (toliau – ESVIS) saugos politiką ir administracines, technines ir kitas priemones, kurios užtikrina saugų ir teisėtą ESVIS duomenų tvarkymą.

2. Elektroninės informacijos saugumo tikslas – sudaryti sąlygas saugiai automatizuotai tvarkyti ESVIS elektroninius duomenis, išsaugant jų konfidencialumą, vientisumą ir prieinamumą.

3. Užtikrinant saugų ESVIS veikimą, nustatomos elektroninės informacijos saugos užtikrinimo prioritetinės kryptys:

3.1. administracinių, techninių ir kitų priemonių, skirtų duomenų saugai užtikrinti, įgyvendinimas ir kontrolė;

3.2. veiklos tęstinumo užtikrinimas.

4. Saugos nuostatuose vartojamos sąvokos atitinka Saugos nuostatų 11 punkte nurodytuose teisės aktuose vartojamas sąvokas.

5. ESVIS valdytojas ir asmens duomenų valdytojas yra Sveikatos apsaugos ministerijos Ekstremalių sveikatai situacijų centras (toliau – ESVIS valdytojas), adresu M. K. Čiurlionio g. 23, LT-44356 Kaunas.

6. ESVIS pagrindinis tvarkytojas ir asmens duomenų tvarkytojas yra viešoji įstaiga Kauno miesto greitosios medicinos pagalbos stotis (toliau – ESVIS pagrindinis tvarkytojas), adresu Pramonės pr. 33, LT-51271 Kaunas.

7. ESVIS valdytojo funkcijos:

7.1.koordinuoti valstybės informacinės sistemos tvarkytojo ir duomenų teikėjo darbą, nustatyta tvarka atlikti jų priežiūrą;

7.2. atlikti saugos reikalavimų laikymosi priežiūrą;

7.3.nagrinėti valstybės informacinės sistemos tvarkytojo pasiūlymus dėl valstybės informacinės sistemos veiklos tobulinimo ir priimti dėl jų sprendimus;

7.4. užtikrinti, kad valstybės informacinė sistema būtų tvarkoma vadovaujantis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu, valstybės informacinės sistemos nuostatais ir kitais teisės aktais;

7.5. atlikti kitus valstybės informacinės sistemos nuostatuose ir kituose teisės aktuose nustatytus veiksmus.

7.6. skirti ESVIS administratorių;

7.7. analizuoti ESVIS procesus ir naudotojų veiksmus;

7.8. skirti ESVIS saugos įgaliotinį arba pavesti tai atlikti pagrindiniam tvarkytojui.

8. ESVIS pagrindinio tvarkytojo funkcijos:

8.1. užtikrinti, kad duomenys būtų teisingi, tikslūs, išsamūs ir nuolat atnaujinti;

8.2. užtikrinti, kad neteisingi, netikslūs, neišsamūs duomenys būtų nedelsiant ištaisyti, atnaujinti arba papildyti;

8.3. apsaugoti duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo;

8.4. numatyti ir įgyvendinti priemones, mažinančias duomenų atskleidimo ir praradimo riziką ir užtikrinančias prarastų duomenų atkūrimą ir duomenų apsaugą nuo klastojimo;

8.5. užtikrinti, kad tvarkomi duomenys būtų tinkami naudoti registruose ir valstybės informacinėse sistemose, įskaitant registrus ir informacines sistemas, tvarkomus Europos Sąjungos valstybėse narėse ir (arba) Europos ekonominės erdvės valstybėse;

8.6. užtikrinti, kad ESVIS veiktų nepertraukiamai, užtikrinti ESVIS eksploataciją ir veikimo priežiūrą, įgyvendinti pokyčius ir tolimesnę plėtrą, prižiūrėti techninę ir programinę įrangą, planuoti jos atnaujinimus;

8.7. užtikrinti, kad duomenų gavėjams pateikti duomenys atitiktų jo tvarkomus duomenis;

8.8. užtikrinti, kad duomenų gavėjai, kuriems buvo pateikti neteisingi, netikslūs, neišsamūs duomenys, būtų nedelsiant informuoti apie ištaisytus netikslumus;

8.9. skirti duomenų teikėjui terminą trūkumams pašalinti, jeigu nustato, kad pateikti duomenys yra netikslūs ar neatitinka teisės aktuose nustatytų reikalavimų;

8.10. nustatyti duomenų tvarkymo organizavimo principus ir tvarką;

8.11. teisės aktuose nustatyta tvarka užsiimant komercine veikla, kuriai vykdyti teisėtai naudojami ESVIS tvarkomi duomenys, šiuos duomenis gauti tokiomis pačiomis sąlygoms kaip ir kiti duomenų gavėjai;

8.12. užtikrinti, kad duomenys būtų tvarkomi vadovaujantis ESVIS nuostatais ir kitais teisės aktais;

8.13. atlikti kitus ESVIS nuostatuose, Saugos nuostatuose ir kituose teisės aktuose nustatytus veiksmus.

9. Saugos įgaliotinio funkcijos:

9.1.teikti ESVIS tvarkytojo vadovui pasiūlymus dėl:

9.1.1. ESVIS administratoriaus paskyrimo ir reikalavimų administratoriui nustatymo;

9.1.2. ESVIS saugos dokumentų priėmimo ir keitimo;

9.1.3. ESVIS saugos reikalavimų atitikties vertinimo atlikimo;

9.2.koordinuoti elektroninės informacijos saugos incidentų, įvykusių ESVIS, tyrimą ir bendradarbiauti su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais, išskyrus tuos atvejus, kai šią funkciją atlieka elektroninės informacijos saugos darbo grupės;

9.3.teikti administratoriui ir ESVIS naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu;

9.4.ne rečiau kaip kartą per metus, jeigu kiti teisės aktai nenustato kitaip, organizuoti ESVIS rizikos įvertinimą;

9.5.periodiškai organizuoti ESVIS naudotojų mokymą elektroninės informacijos saugos klausimais, įvairiais būdais informuoti juos apie elektroninės informacijos saugos problemas (priminimai elektroniniu paštu, teminiai seminarai, atmintinės naujiems darbuotojams ir kt.);

9.6.vykdyti kitų su elektroninės informacijos sauga susijusių teisės aktų nustatytas ir ESVIS valdytojo pavestas funkcijas;

9.7.negali vykdyti ESVIS administratoriaus funkcijų.

10.ESVIS administratoriaus funkcijos:

10.1.kontroliuoti ESVIS veikimą;

10.2.registruoti ESVIS naudotojus sistemoje, tvarkyti jų duomenis, prieigos teises ir leidžiamus veiksmus ESVIS;

10.3.dalyvauti svarstant teikimus dėl ESVIS pokyčių projektavimo, konstravimo ir diegimo, dalyvauti aptariant ESVIS plėtrą ir vykdant ESVIS plėtros specifikavimo, projektavimo, konstravimo ir diegimo etapų darbus;

10.4.organizuoti ESVIS konfigūravimą, įskaitant saugų ESVIS įjungimą ir išjungimą;

10.5.atsakyti už nepertraukiamą ESVIS veikimą;

10.6.reguliuoti efektyvų techninių išteklių naudojimą;

10.7.diegti ir atnaujinti ESVIS programinę įrangą;

10.8.konsultuoti ESVIS naudotojus;

10.9.spręsti iškilusias problemas ir apie jas informuoti saugos įgaliotinį ir ESVIS tvarkytoją;

10.10.teikti saugos įgaliotiniui pasiūlymus dėl ESVIS saugos organizavimo, vykdyti kitas Saugos nuostatų ir kitų informacinių sistemų saugą reglamentuojančių teisės aktų nustatytas funkcijas;

10.11.vykdyti ESVIS tvarkytojo pavestas funkcijas;

10.12. administravimo veiksmus vykdyti tik naudojant atskirą, tam tikslui skirtą paskyrą.

11. Tvarkant ESVIS elektroninius duomenis ir užtikrinant saugą, vadovaujamasi šiais teisės aktais:

11.1. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu;

11.2. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

11.3. Lietuvos Respublikos kibernetinio saugumo įstatymu;

11.4. Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

11.5. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

11.6. Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

11.7. Lietuvos standartais LST ISO/IEC 27002, LST ISO/IEC 27001 ir kitais Lietuvos Respublikos ir tarptautiniais grupės „Informacijos technologija. Saugumo metodai“ standartais, naudojamais kaip elektroninės informacijos saugos užtikrinimo rekomendacinės priemonės;

11.8. kitais teisės aktais ir dokumentais, reglamentuojančiais informacinių sistemų duomenų tvarkymo teisėtumą ir elektroninių duomenų saugos valdymą;

11.9. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas).

II SKYRIUS

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

12. ESVIS tvarkoma elektroninė informacija priskiriama svarbios elektroninės informacijos kategorijai vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 8.3 ir 8.4 papunkčiais, pagal kuriuos svarbios informacijos kategorijai priskiriama informacija, jeigu dėl informacijos konfidencialumo, vientisumo ir (ar) prieinamumo praradimo gali kilti grėsmė, kad prasidės procesai, galintys vienai ar kelioms institucijoms padaryti finansinių nuostolių, didesnių nei 300 000 eurų, bet ne didesnių nei 3 000 000 eurų bei padaryti žalą aplinkai daugiau nei vienoje, bet ne daugiau nei 5 (penkiose) apskrityse.

13. ESVIS priskiriama antros kategorijos informacinėms sistemoms vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716, 12.2 papunkčiu.

14. ESVIS elektroninius duomenis tvarkyti gali tik tie ESVIS naudotojai, kurie yra susipažinę su ESVIS nuostatais, Saugos nuostatais ir kitais saugos dokumentais.

15. ESVIS rizikos įvertinimas atliekamas vadovaujantis šiomis nuostatomis:

15.1. rizikos įvertinimas atliekamas ne rečiau kaip kartą per metus, jeigu teisės aktai nenustato kitaip. Prireikus saugos įgaliotinis gali organizuoti neeilinį ESVIS rizikos įvertinimą. Neeilinis rizikos vertinimas atliekamas pasikeitus ESVIS struktūrai (esminiai ESVIS funkciniai pakitimai ir programinės įrangos keitimas), įvykus organizaciniams pokyčiams, atsiradus naujų informacinių technologijų saugos srities reikalavimų, po didelio masto saugos incidentų ir nustačius naujų rizikos formų;

15.2. atliekant rizikos įvertinimą vadovaujamasi Vidaus reikalų ministerijos išleista metodine priemone „Rizikos analizės vadovas“, Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistema (toliau – ARSIS), gerosios praktikos pavyzdžiais (COBIT ar kitais), elektroninės informacijos saugą reglamentuojančiais teisės aktais;

15.3. rizikos įvertinimui atlikti sutartiniais pagrindais gali būti samdomi tretieji asmenys.

16. ESVIS rizikos įvertinimas išdėstomas rizikos įvertinimo ataskaitoje. ESVIS rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos ESVIS elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. ESVIS rizikos įvertinimo ataskaitą rengia arba, jei vertinimą atlieka trečioji šalis, dalyvauja rengiant saugos įgaliotinis. Svarbiausi rizikos veiksniai:

16.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kita);

16.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis siekiant gauti ESVIS elektroninę informaciją, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymas, saugos pažeidimai, vagystės ir kita);

16.3. nenugalima jėga (force majeure).

17. Atsižvelgdamas į rizikos įvertinimo ataskaitą, ESVIS valdytojas prireikus tvirtina ESVIS rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

18. Elektroninės informacijos saugos priemonėms parinkti taikomi šie principai:

18.1. parenkamos priemonės, kurios leidžia užtikrinti patalpų saugą;

18.2. parenkamos priemonės, kurios leidžia užtikrinti kompiuterinės ir programinės įrangos veikimo saugą;

18.3. parenkamos priemonės, kurios leidžia užtikrinti kompiuterių tinklų veikimo saugą;

18.4. parenkamos priemonės, kurios leidžia užtikrinti ESVIS naudotojų mokymą ir informavimą apie elektroninių duomenų tvarkymo saugą;

18.5. svarbiausia ESVIS kompiuterinė įranga, duomenų perdavimo tinklo mazgai ir ryšio linijos turi būti dubliuoti ir jų techninė būklė nuolat stebima.

19. Elektroninės informacijos saugos priemonės turi garantuoti elektroninių duomenų saugą:

19.1. jų registravimo ir perdavimo ryšio kanalais, saugojimo, apdorojimo, teikimo ir naudojimo metu;

19.2. nuo nesankcionuoto ar neteisėto naudojimo, kaupimo, keitimo, perdavimo, skelbimo ir sunaikinimo;

19.3. nuo jų pažeidimo.

20. Siekdamas užtikrinti Saugos nuostatuose ir kituose saugos politikos įgyvendinamuosiuose teisės aktuose išdėstytų nuostatų įgyvendinimo kontrolę, saugos įgaliotinis ne rečiau kaip kartą per metus (jeigu kiti teisės aktai nenustato kitaip) atlieka ESVIS informacinių technologijų saugos atitikties vertinimą.

21. Atlikus ESVIS informacinių technologijų saugos atitikties vertinimą, rengiama informacinių technologijų saugos atitikties vertinimo ataskaita ir prireikus pastebėtų trūkumų šalinimo planas, kurį tvirtina, paskiria atsakingus vykdytojus ir nustato įgyvendinimo terminus ESVIS valdytojas.

22. Informacinių technologijų saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano duomenis ir jų kopijas informacinių sistemų valdytojas arba jo įgaliotas informacinių sistemų tvarkytojas ne vėliau kaip per 5 (penkias) darbo dienas nuo minėtų dokumentų patvirtinimo pateikia ARSIS.

23. Saugos įgaliotinio teikimu informacinių sistemų informacinių technologijų saugos reikalavimų atitikties vertinimą gali atlikti nepriklausomi, visuotinai pripažintų tarptautinių organizacijų sertifikuoti informacinių sistemų auditoriai.

III SKYRIUS

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

24. Už ESVIS naudotojų teisių suteikimą atsako ESVIS administratorius.

25. ESVIS naudotojų teisių administravimas:

25.1. tiesioginė prieiga prie ESVIS suteikiama naudojant ESVIS naudotojų identifikavimo priemones;

25.2. tiesioginė prieiga ir ESVIS paslaugų pasiekiamumas užtikrinama ne mažiau kaip 96 proc. paros laiko.

26. Programinės įrangos, kuri užtikrina saugų ESVIS veikimą, naudojimo nuostatos ir reikalavimai:

26.1. ESVIS turi būti naudojama tik legali programinė įranga;

26.2. tarnybinėse stotyse ir ESVIS naudotojų kompiuterizuotose darbo vietose privalo būti naudojama programinė įranga, kuri apsaugo nuo kenksmingos programinės įrangos ir kuri turi būti atnaujinama ne rečiau kaip kartą per parą;

26.3. ESVIS naudotojų kompiuterizuotose darbo vietose draudžiama naudoti programinę įrangą, nesusijusią su tiesiogine jų veikla ir funkcijomis;

26.4. kompiuterizuotos darbo vietos, programinė įranga, jos sertifikatai ir licencijos kasmet turi būti inventorizuojami;

26.5. už programinės įrangos tinkamą naudojimą ir saugų ESVIS kompiuterių tinklų veikimą pagal kompetenciją atsako ESVIS administratorius;

26.6. turi būti naudojama programinė įranga, leidžianti atlikti ESVIS naudojamų kompiuterių tinklų stebėseną ir užtikrinanti šių tinklų saugos prevencines priemones;

26.7. viešuoju kompiuterių tinklu gaunamas duomenų srautas privalo būti filtruojamas.

27. Programinė įranga, skirta apsaugoti ESVIS nuo kenkimo programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamų elektroninių laiškų ir pan.), yra:

27.1. antivirusinė programinė įranga naudotojų kompiuteriuose ir serveriuose;

27.2. ugniasienės naudotojų kompiuteriams ir serveriams apsaugoti.

28. Siekiant užtikrinti apsaugą nuo kenkimo programinės įrangos bei naudojamos techninės ir programinės įrangos sutrikimų, nuolat atnaujinamos naudotojų kompiuterių ir serverių operacinės sistemos ir taikomosios programos. Naudotojų kompiuterių ir serverių operacinių sistemų ir taikomųjų programų atnaujinimas atliekamas pagal techninės ir programinės įrangos gamintojo rekomendacijas.

29. Naudotojų kompiuterių apsaugos priemonės yra valdomos (ugniasienių įjungimas ir konfigūravimas, antivirusinių programų ir operacinių sistemų atnaujinimas) centralizuotai.

30. Antivirusinių programų duomenų bazės turi būti atnaujinamos ne rečiau kaip kartą per dieną.

31. ESVIS duomenų perdavimo tinklai turi būti atskirti nuo viešųjų elektroninių ryšių tinklų ugniasienėmis. Konfigūruojant ESVIS duomenų perdavimo tinklo ugniasienes turi būti:

31.1. leidžiami tik būtini prisijungimai prie ESVIS duomenų perdavimo tinklo;

31.2.sukurti srauto filtrai, leidžiantys nustatyti ir sustabdyti galimus tyčinius arba netyčinius ESVIS duomenų perdavimo tinklo trikdžius.

32. Kompiuterizuotų darbo vietų, kuriose veikia ESVIS, saugaus naudojimo nuostatos ir reikalavimai:

32.1.stacionariuosiuose ir nešiojamuosiuose kompiuteriuose turi būti naudojamas kompiuterio įjungimo slaptažodis ir ESVIS įjungimo metu turi būti identifikuojamas ESVIS naudotojas;

32.2.ESVIS naudotojų nešiojamieji kompiuteriai ne institucijos patalpose privalo būti naudojami tik su tiesioginių pareigų atlikimu susijusiai veiklai atlikti;

32.3.ESVIS naudotojų nešiojamiesiems kompiuteriams ne institucijos patalpose privaloma naudoti papildomas saugos priemones, kuriomis ESVIS duomenys perduodami saugiu šifruotu duomenų perdavimo kanalu (VPN);

32.4.duomenys, esantys nešiojamuosiuose kompiuteriuose ir kituose mobiliuosiuose įrenginiuose, turi būti šifruojami.

32.5.ESVIS naudotojui neatliekant jokių veiksmų informacinėje sistemoje ilgiau, nei 15 min., informacinės sistemos taikomoji programinė įranga turi užsirakinti, kad toliau naudotis ESVIS galima būtų tik pakartotinai identifikavus ESVIS naudotoją;

32.6. baigus darbą ar pasitraukiant iš darbo vietos ESVIS turi būti imamasi priemonių, kad su elektronine informacija negalėtų susipažinti pašaliniai asmenys: atsijungiama nuo ESVIS, įjungiama ekrano užsklanda su slaptažodžiu;

33. Pagrindiniai atsarginių elektroninių duomenų kopijų kūrimo ir atkūrimo reikalavimai:

33.1.turi būti sudaromi ESVIS elektroninių duomenų, kurių kopijos kuriamos, sąrašai;

33.2.ESVIS veiklos tęstinumui užtikrinti ESVIS duomenys yra periodiškai, bet ne rečiau kaip kas 24 valandas kopijuojami į rezervinių kopijų laikmenas ir laikmenos saugomos taip, kad įvykus saugos incidentui visiškas ESVIS funkcionalumas ir veikla būtų atkurti per 8 (aštuonias) valandas;

33.3.detalus elektroninių duomenų atsarginių kopijų ir archyvų kūrimas ir duomenų iš jų atkūrimas nustatomi ESVIS valdytojo patvirtinta tvarka;

33.4.elektroninių duomenų atsarginėms kopijoms kurti turi būti naudojama speciali programinė įranga;

33.5.elektroninė informacija kopijose turi būti užšifruota, neleidžianti panaudoti kopijas elektroninei informacijai neteisėtai atkurti;

33.6. už elektroninių duomenų atsarginių kopijų kūrimą yra atsakingas ESVIS administratorius.

34. Elektroniniai duomenys ESVIS duomenų bazėje saugomi ne ilgiau, nei to reikalauja duomenų tvarkymo tikslai. ESVIS esantys duomenys, praėjus 3 metų laikotarpiui po 1808 skambučių registracijos, 5 metų laikotarpiui po vakcinacijos, 25 metų laikotarpiui po laboratorinių ištyrimų, ištrinami iš duomenų bazės negrįžtamai arba perduodami valstybės archyvams Lietuvos Respublikos dokumentų ir archyvų įstatymo ir kitų teisės aktų nustatyta tvarka.

35. Organizaciniai ir techniniai elektroninės informacijos saugos (kibernetinio saugumo) reikalavimai nustatomi pagal Saugos nuostatų 12 ir 13 punktuose nustatytas ESVIS svarbos kategorijas ir vadovaujantis Saugos nuostatų 11 punkte nurodytais teisės aktais ir standartais.

36. ESVIS naudotojams suteikiamos tik jų funkcijoms vykdyti būtinos teisės.

IV SKYRIUS

REIKALAVIMAI PERSONALUI

37. Saugos įgaliotinis privalo išmanyti ESVIS administravimą, gerai žinoti elektroninės informacijos saugos principus bei elektroninės informacijos saugos užtikrinimo metodus.

38. Saugos įgaliotiniu, administratoriumi negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieneri metai.

39. ESVIS administratorius privalo išmanyti pagrindinius elektroninės informacijos saugos principus, darbą su duomenų perdavimo tinklais, operacinėmis sistemomis, duomenų bazių administravimo ir priežiūros pagrindus.

40. ESVIS naudotojai privalo turėti atitinkamą kvalifikaciją (informacinių technologijų naudotojų kvalifikacijos kursai, pradinis saugaus darbo su duomenimis mokymas, ECDL (Europos kompiuterio naudotojo pažymėjimas) ar pan.) ir praktinius įgūdžius dirbant su ESVIS.

41. Naudotojams turi būti nuolat rengiami elektroninės informacijos saugos mokymai, įvairiais būdais primenama apie elektroninės saugos problematiką (pvz., priminimai elektroniniu paštu, teminiai seminarai, atmintinės ir pan.). Saugos mokymai organizuojami ne rečiau kaip kartą per 2 (du) metus. Mokymus organizuoja ir jų efektyvumą vertina saugos įgaliotinis.

42. ESVIS administratorius ir naudotojai turi būti susipažinę su Saugos nuostatais, kitais elektroninės informacijos saugą reglamentuojančiais teisės aktais ir atsakomybe, gresiančia už saugos dokumentų nuostatų pažeidimus.

43. Naudotojai, pastebėję saugos dokumentuose nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias saugos užtikrinimo priemones, privalo nedelsdami pranešti apie tai administratoriui ar saugos įgaliotiniui.

V SKYRIUS

INFORMACINĖS SISTEMOS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

44. Naudotojai yra pasirašytinai supažindindami su saugos dokumentais.

45. Saugos įgaliotinis raštu ir elektroniniu paštu informuoja ESVIS pagrindinį tvarkytoją, ESVIS administratorių ir naudotojus apie Saugos nuostatų ir kitų elektroninės informacijos saugą reglamentuojančių teisės aktų pasikeitimus ar jų negaliojimą, naujų teisės aktų priėmimą.

46. Naudotojai turi būti supažindinami su saugos dokumentais šiais atvejais:

46.1. prieš suteikiant naudotojams prieigą prie ESVIS;

46.2. pakeitus saugos dokumentus;

46.3. periodiškai elektroninės informacijos saugumo mokymų metu, bet ne rečiau kaip kartą per dvejus metus.

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

47. Saugos nuostatai, kiti ESVIS tvarkomos elektroninės informacijos saugą reglamentuojantys teisės aktai ir kiti dokumentai iš esmės peržiūrimi ne rečiau kaip kartą per kalendorinius metus, taip pat atlikus rizikos veiksnių analizę ar informacinių technologijų saugos atitikties vertinimą arba įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams ir prireikus keičiami.

48. ESVIS valdytojas saugos nuostatus ar kitus saugos politiką reglamentuojančių teisės aktus gali keisti savo arba saugos įgaliotinio iniciatyva. Saugos nuostatai turi būti derinami su Nacionaliniu kibernetinio saugumo centru. Keičiami saugos dokumentai gali būti nederinami su Nacionaliniu kibernetinio saugumo centru tais atvejais, kai atliekami tik redakciniai ar nežymūs nustatyto teisinio reguliavimo esmės ar elektroninės informacijos saugos politikos ir kibernetinio saugumo politikos nekeičiantys pakeitimai arba taisoma teisės technika. Tokiais atvejais Nacionaliniam kibernetinio saugumo centrui turi būti pateiktos šių dokumentų kopijos.

49. ESVIS valdytojas teisės aktu, kuriuo tvirtinami Saugos nuostatai, skiria saugos įgaliotinį arba paveda jį paskirti ESVIS pagrindiniam tvarkytojui.

50. Saugos įgaliotinis, ESVIS valdytojas, pagrindinis tvarkytojas, ESVIS tvarkytojai, ESVIS administratorius ir ESVIS naudotojai, pažeidę Saugos nuostatų ar kitų saugos politiką reglamentuojančių teisės aktų reikalavimus, atsako įstatymų nustatyta tvarka.

________________________