LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRAS

 

ĮSAKYMAS

DĖL LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRO 2018 M. BALANDŽIO 10 D. ĮSAKYMO NR. V-405 „DĖL VISUOMENĖS SVEIKATOS STEBĖSENOS INFORMACINĖS SISTEMOS NUOSTATŲ IR VISUOMENĖS SVEIKATOS STEBĖSENOS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO“ PAKEITIMO

 

2019 m. spalio 18 d. Nr. V-1177

Vilnius

 

 

Pakeičiu Lietuvos Respublikos sveikatos apsaugos ministro 2018 m. balandžio 10 d. įsakymą Nr. V-405 „Dėl Visuomenės sveikatos stebėsenos informacinės sistemos nuostatų ir Visuomenės sveikatos stebėsenos informacinės sistemos duomenų saugos nuostatų patvirtinimo“:

1. Pakeičiu nurodytu įsakymu patvirtintus Visuomenės sveikatos stebėsenos informacinės sistemos nuostatus:

1.1. Papildau nauju 3.1 papunkčiu:

3.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p.1);“.

1.2. Buvusius 3.1–3.19 papunkčius laikau atitinkamai 3.2–3.20 papunkčiais.

1.3. Pakeičiu 3.9 papunktį ir jį išdėstau taip:

3.9. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2018 m.  rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;“.

1.4. Pripažįstu netekusiu galios 3.11 papunktį.

1.5. Pakeičiu 3.14 papunktį ir jį išdėstau taip:                     

3.14. Nepageidaujamų įvykių stebėsenos aprašas, patvirtintas Lietuvos Respublikos sveikatos apsaugos ministro 2010 m. gegužės 6 d. įsakymu Nr. V-401 „Dėl Nepageidaujamų įvykių stebėsenos aprašo patvirtinimo;“.

1.6. Pakeičiu 11.2 papunktį ir jį išdėstau taip:

11.2. visuomenės sveikatos priežiūros įstaigos ir Sveikatos apsaugos ministerijai pavaldžios biudžetinės įstaigos tvarko Nuostatų 16.5 papunktyje nurodytus duomenis;“.

1.7. Pakeičiu 12 punktą ir jį išdėstau taip:

12. Informacinės sistemos valdytojas atlieka Įstatyme, Asmens duomenų teisinės apsaugos įstatyme numatytas funkcijas, turi teises ir vykdo pareigas, nustatytas Reglamente (ES) 2016/679, Įstatyme, Asmens duomenų teisinės apsaugos įstatyme.“

1.8. Pakeičiu 13 punktą ir jį išdėstau taip:

13. Pagrindinis Informacinės sistemos tvarkytojas, kiti Informacinės sistemos tvarkytojai atlieka Įstatyme numatytas funkcijas, turi teises ir vykdo pareigas, nustatytas Reglamente (ES) 2016/679, Įstatyme, taip pat:

13.1. pagal kompetenciją užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikoma atitinkama konfidencialumo prievolė;

13.2. atsako už Informacinės sistemos asmens duomenų tvarkymo ir teikimo teisėtumą, duomenų patikimumą teisės aktų nustatyta tvarka pagal jiems suteiktus įgaliojimus;

13.3. atsižvelgdami į duomenų tvarkymo pobūdį Informacinės sistemos valdytojo nustatyta tvarka padeda Informacinės sistemos valdytojui, taikydami tinkamas technines ir organizacines priemones, įvykdyti Informacinės sistemos valdytojo prievolę atsakyti į prašymus pasinaudoti Reglamento (ES) 2016/679 III skyriuje nustatytomis duomenų subjekto teisėmis;

13.4. Informacinės sistemos valdytojo nustatyta tvarka pagal kompetenciją užtikrina Reglamento (ES) 2016/679 32–36 straipsniuose nustatytų prievolių laikymąsi, atsižvelgdamas į asmens duomenų tvarkymo pobūdį ir Informacinės sistemos tvarkytojo turimą informaciją;

13.5. imasi visų priemonių, kurių reikalaujama pagal Reglamento (ES) 2016/679 32 straipsnį – organizacinėmis, techninėmis, technologinėmis ir metodinėmis priemonėmis užtikrina Informacinės sistemos saugą, Informacinėje sistemoje tvarkomų asmens duomenų konfidencialumą, vientisumą ir prieinamumą, apsaugą nuo neteisėto sunaikinimo, pakeitimo, atskleidimo ar kitokio neteisėto tvarkymo, taip pat saugų duomenų perdavimą kompiuteriniais tinklais;

13.6. informuoja raštu ir (ar) el. paštu (nedelsiant, bet ne ilgiau kaip per 24 valandas) Informacinės sistemos valdytoją pagal Reglamento 2016/679 33 straipsnio 2 dalį apie įvykusį asmens duomenų saugumo pažeidimą ir pateikia pranešimą Informacinės sistemos valdytojo nustatyta tvarka;

13.7. pagal kompetenciją dalyvauja rengiant teisės aktų, susijusių su Informacinės sistemos duomenų tvarkymu ir sauga, projektus, diegia reikiamas technines ir technologines priemones;

13.8. pagal kompetenciją pateikia Informacinės sistemos valdytojui visą informaciją, būtiną siekiant įrodyti, kad vykdomos Reglamento (ES) 2016/679 nustatytos prievolės, ir sudaro sąlygas bei padeda Informacinės sistemos valdytojui arba kitam Informacinės sistemos valdytojo įgaliotam auditoriui atlikti auditą, įskaitant patikrinimus. Nedelsdamas informuoja Informacinės sistemos valdytoją, jei, jo nuomone, nurodymas pateikti informaciją pažeidžia Reglamentą (ES) 2016/679 ar kitas duomenų apsaugos nuostatas;

13.9. pagal kompetenciją teikia Informacinės sistemos valdytojui pasiūlymus dėl Informacinės sistemos plėtros.“

1.9. Pakeičiu 14 punktą ir jį išdėstau taip:

14. Pagrindinis Informacinės sistemos tvarkytojas, be 13 punkte nurodytų funkcijų, taip pat:

14.1. administruoja Informacinės sistemos duomenų bazę;

14.2. užtikrina Informacinės sistemos sąveiką su susijusiais registrais ir valstybės informacinėmis sistemomis;

14.3. sudaro duomenų teikimo ir gavimo sutartis;

14.4. teikia Informacinės sistemos duomenis Informacinės sistemos duomenų gavėjams.“

1.10. Pripažįstu netekusiu galios 15.4 papunktį.

1.11. Pripažįstu netekusiais galios 15.6–15.9 papunkčius.

1.12. Pakeičiu 16.3 papunktį ir jį išdėstau taip:

16.3. Nepageidaujamų įvykių stebėsenos duomenų bazė:

16.3.1. ASPĮ specialisto pateikta informacija (nepageidaujamo įvykio užregistravimo data, nepageidaujamo įvykio data, vieta, grupė, pogrupis, sukelta žala, siūlomos nepageidaujamo įvykio prevencinės priemonės, trumpas nepageidaujamo įvykio aprašymas, nurodant galimas priežastis ir aplinkybes), paciento duomenys (amžius, lytis);

16.3.2. ASPĮ vadovo įgalioto asmens informacija (nepageidaujamo įvykio informacijos šaltinis, nustatyta pagrindinė nepageidaujamo įvykio priežastis, nustatytos kitos nepageidaujamo įvykio priežastys, nepageidaujamo įvykio pasikartojimo dažnis, trumpas nepageidaujamo įvykio priežasčių ir aplinkybių aprašymas, taikytos/planuojamos taikyti nepageidaujamo įvykio prevencinės priemonės ir jų aprašymas).“

1.13. Pakeičiu 16.4 papunktį ir jį išdėstau taip:

16.4. Gyvensenos stebėsenos duomenų bazė:

16.4.1. bendri duomenys, pagal kuriuos negalima tiesiogiai ir (ar) netiesiogiai nustatyti asmens tapatybės;

16.4.2. apibendrinti socialiniai ekonominiai duomenys;

16.4.3. sveikatos elgsenos duomenys;

16.4.4. rizikingo elgesio duomenys;

16.4.5. subjektyvaus vertinimo duomenys.“

1.14. Pripažįstu netekusiu galios 19.3 papunktį.

1.15. Pripažįstu netekusiais galios 19.6–19.9 papunkčius.

1.16. Pakeičiu 22 punktą ir jį išdėstau taip:

22. Informacinės sistemos nuasmeninti apibendrinti duomenys yra vieši ir teikiami  institucijoms, kitiems juridiniams ir fiziniams asmenims. Informacinėje sistemoje tvarkomi duomenys teikiami pagal duomenų valdytojo ir duomenų gavėjo sudarytą duomenų teikimo sutartį (daugkartinio teikimo atveju) arba pagal duomenų gavėjo rašytinį prašymą (vienkartinio teikimo atveju).“

1.17. Pripažįstu netekusiu galios 36 punktą.

1.18. Pakeičiu 43 punktą ir jį išdėstau taip:

43. Asmenys, pažeidę Nuostatų ir kitų teisės aktų nuostatas, reglamentuojančias Informacinės sistemos veiklą, atsako Reglamento (ES) 2016/679 ir Lietuvos Respublikos įstatymų nustatyta tvarka.“

1.19. Pakeičiu 44 punktą ir jį išdėstau taip:

44. Duomenų subjekto teisės, susijusios su informavimu apie jo asmens duomenų tvarkymą, supažindinimu su tvarkomais savo asmens duomenimis ir reikalavimu ištaisyti savo asmens duomenis arba teisė apriboti asmens duomenų tvarkymą įgyvendinamos, vadovaujantis Reglamentu (ES) 2016/679 ir Duomenų subjektų teisių įgyvendinimo tvarkant asmens duomenis Lietuvos Respublikos sveikatos apsaugos ministerijos valdomuose registruose ir valstybės informacinėse sistemose tvarkos aprašo, patvirtinto Lietuvos Respublikos sveikatos apsaugos ministro 2019 m. liepos 8 d. įsakymu Nr. V-800 „Dėl Duomenų subjektų teisių įgyvendinimo tvarkant asmens duomenis Lietuvos Respublikos sveikatos apsaugos ministerijos valdomuose registruose ir valstybės informacinėse sistemose tvarkos aprašo patvirtinimo“, nustatyta tvarka.“

2. Pakeičiu nurodytu įsakymu patvirtintus Visuomenės sveikatos stebėsenos informacinės sistemos duomenų saugos nuostatus:

2.1. Pakeičiu 11.5 papunktį ir jį išdėstau taip:

11.5. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;“.

2.2. Pripažįstu netekusiu galios 11.7 papunktį.

 

 

 

Sveikatos apsaugos ministras                                                                                   Aurelijus Veryga