LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRAS

ĮSAKYMAS

DĖL LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRO 2015 M. BIRŽELIO 22 D. ĮSAKYMO NR. V-780 „DĖL VAIKŲ SVEIKATOS STEBĖSENOS INFORMACINĖS SISTEMOS NUOSTATŲ IR DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO“ PAKEITIMO

2019 m. balandžio 23 d. Nr. V-489

Vilnius

Vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 32 straipsnio 2 dalimi:

1. N u s p r e n d ž i u modernizuoti Vaikų sveikatos stebėsenos informacinę sistemą.

2. P a k e i č i u Vaikų sveikatos stebėsenos informacinės sistemos nuostatus, patvirtintus Lietuvos Respublikos sveikatos apsaugos ministro 2015 m. birželio 22 d. įsakymu Nr. V-780 „Dėl Vaikų sveikatos stebėsenos informacinės sistemos nuostatų ir duomenų saugos nuostatų patvirtinimo“, ir juos išdėstau nauja redakcija (pridedama).

3. P a k e i č i u Vaikų sveikatos stebėsenos informacinės sistemos duomenų saugos nuostatus, patvirtintus Lietuvos Respublikos sveikatos apsaugos ministro 2015 m. birželio 22 d. įsakymu Nr. V-780 „Dėl Vaikų sveikatos stebėsenos informacinės sistemos nuostatų ir duomenų saugos nuostatų patvirtinimo“, ir juos išdėstau nauja redakcija (pridedama).

4. N u s t a t a u, kad šis įsakymas įsigalioja 2020 m. sausio 1 d.

Sveikatos apsaugos ministras Aurelijus Veryga

PATVIRTINTA

Lietuvos Respublikos sveikatos apsaugos ministro

2015 m. birželio 22 d. įsakymu Nr. V-780

(Lietuvos Respublikos sveikatos apsaugos ministro 2019 m. balandžio 23 d. įsakymo Nr. V-489

redakcija)

VAIKŲ SVEIKATOS STEBĖSENOS INFORMACINĖS SISTEMOS NUOSTATAI

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Vaikų sveikatos stebėsenos informacinės sistemos nuostatai (toliau – Nuostatai) reglamentuoja Vaikų sveikatos stebėsenos informacinės sistemos (toliau – Informacinė sistema) steigimo pagrindą, tikslus, uždavinius bei pagrindines funkcijas, organizacinę, informacinę ir funkcinę struktūras, duomenų teikimą ir naudojimą, duomenų saugos reikalavimus, finansavimą, modernizavimą ir likvidavimą.

2. Informacinės sistemos steigimo pagrindas – Visuomenės sveikatos priežiūros organizavimo mokykloje tvarkos aprašo, patvirtinto Lietuvos Respublikos sveikatos apsaugos ministro ir Lietuvos Respublikos švietimo ir mokslo ministro 2005 m. gruodžio 30 d. įsakymu Nr. V‑1035/ISAK-2680 „Dėl Visuomenės sveikatos priežiūros organizavimo mokykloje tvarkos aprašo patvirtinimo“, 17.1 papunktis, Lietuvos Respublikos sveikatos apsaugos ministerijos nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 1998 m. liepos 24 d. nutarimu Nr. 926 „Dėl Lietuvos Respublikos sveikatos apsaugos ministerijos nuostatų patvirtinimo“, 10.2.3 papunktis.

3. Informacinė sistema kuriama ir tvarkoma vadovaujantis:

3.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1) (toliau – Reglamentas (ES) 2016/679);

3.2. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu;

3.3. Lietuvos Respublikos švietimo įstatymu;

3.4. Lietuvos Respublikos visuomenės sveikatos priežiūros įstatymu;

3.5. Lietuvos Respublikos visuomenės sveikatos stebėsenos (monitoringo) įstatymu;

3.6. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

3.7. Lietuvos Respublikos kibernetinio saugumo įstatymu;

3.8. Lietuvos Respublikos teisės gauti informaciją iš valstybės ir savivaldybių institucijų ir įstaigų įstatymu;

3.9. Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

3.10. Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“ (toliau – Aprašas);

3.11. Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Saugos dokumentas);

3.12. Lietuvos Respublikos sveikatos apsaugos ministro 2004 m. gruodžio 24 d. įsakymu Nr. V-951 „Dėl statistinės apskaitos formos Nr. 027-1/a „Vaiko sveikatos pažymėjimas“ patvirtinimo“;

3.13. Lietuvos Respublikos sveikatos apsaugos ministro ir Lietuvos Respublikos švietimo ir mokslo ministro 2005 m. gruodžio 30 d. įsakymu Nr. V-1035/ISAK-2680 „Dėl Visuomenės sveikatos priežiūros organizavimo mokykloje tvarkos aprašo patvirtinimo“;

3.14. Lietuvos Respublikos sveikatos apsaugos ministro 2010 m. balandžio 22 d. įsakymu Nr. V-313 „Dėl Lietuvos higienos normos HN 75:2016 „Ikimokyklinio ir priešmokyklinio ugdymo programų vykdymo bendrieji sveikatos saugos reikalavimai“ patvirtinimo“;

3.15. Lietuvos Respublikos sveikatos apsaugos ministro 2011 m. rugpjūčio 10 d. įsakymu Nr. V-773 „Dėl Lietuvos higienos normos 21:2011 „Mokykla, vykdanti bendrojo ugdymo programas. Bendrieji sveikatos saugos reikalavimai“, patvirtinimo“;

3.16. Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos direktoriaus 2014 m. vasario 25 d. įsakymu Nr. T-29 „Dėl Valstybės informacinių sistemų gyvavimo ciklo valdymo metodikos patvirtinimo“;

3.17. Nuostatais;

3.18. kitais teisės aktais.

4. Nuostatuose vartojamos sąvokos atitinka Reglamente (ES) 2016/679, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos visuomenės sveikatos priežiūros įstatyme vartojamas sąvokas.

5. Informacinės sistemos tikslai:

5.1. informacinių technologijų priemonėmis statistikos tikslais centralizuotai valdyti duomenis apie mokinių sveikatą ir rizikos veiksnius;

5.2. informacinių technologijų priemonėmis centralizuotai valdyti mokinių, lankančių ikimokyklinio ugdymo, bendrojo ugdymo mokyklas ir profesinio mokymo įstaigas, asmens duomenis apie sveikatą.

6. Asmens duomenų tvarkymo tikslai:

6.1. analizuoti mokinių, lankančių ikimokyklinio ugdymo, bendrojo ugdymo mokyklas ir profesinio mokymo įstaigas, asmens duomenis apie sveikatą;

6.2. tvarkyti mokinių asmens duomenis apie sveikatą ir rizikos veiksnius statistikos tikslais;

6.3. Informacinės sistemos naudotojų asmens duomenų tvarkymo tikslas – užtikrinti Informacinės sistemos naudotojų identifikavimą, jų prisijungimą prie Informacinės sistemos per Valstybės informacinių išteklių sąveikumo platformą.

7. Informacinės sistemos uždaviniai:

7.1. automatizuoti mokinių, lankančių ikimokyklinio ugdymo, bendrojo ugdymo mokyklas ir profesinio mokymo įstaigas (toliau – ugdymo įstaigos), duomenų apie sveikatą ir rizikos veiksnius rinkimą;

7.2. automatizuoti mokinių duomenų apie sveikatą ir rizikos veiksnius analizę statistikos tikslais.

8. Pagrindinės Informacinės sistemos funkcijos:

8.1. surinkti duomenis;

8.2. vykdyti duomenų mainus su kitomis informacinėmis sistemomis;

8.3. vykdyti surinktų duomenų apie mokinių, lankančių ugdymo įstaigas, sveikatą analizę;

8.4. formuoti duomenų apie mokinių sveikatą ir rizikos veiksnius statistines ataskaitas.

II SKYRIUS

INFORMACINĖS SISTEMOS ORGANIZACINĖ STRUKTŪRA

9. Informacinės sistemos organizacinė struktūra:

9.1. Informacinės sistemos valdytoja ir asmens duomenų valdytoja – Lietuvos Respublikos sveikatos apsaugos ministerija;

9.2. Informacinės sistemos pagrindinis tvarkytojas ir asmens duomenų tvarkytojas statistikos tikslais – Higienos institutas;

9.3. kiti Informacinės sistemos tvarkytojai ir asmens duomenų tvarkytojai – savivaldybių visuomenės sveikatos biurai.

10. Informacinės sistemos valdytojas ir asmens duomenų valdytojas:

10.1. atlieka Reglamento (ES) 2016/679, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo nustatytas funkcijas, turi šiuose teisės aktuose nurodytas teises ir pareigas;

10.2. analizuoja teisines, technines, technologines, metodines ir organizacines Informacinės sistemos veikimo problemas ir pagal savo kompetenciją priima sprendimus, reikalingus Informacinės sistemos veiklai užtikrinti;

10.3. vykdo kitas teisės aktų nustatytas funkcijas.

11. Informacinės sistemos pagrindinis tvarkytojas ir asmens duomenų tvarkytojas:

11.1. atlieka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo nustatytas funkcijas, turi šiame įstatyme nurodytas teises ir pareigas;

11.2. atlieka Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo, Reglamento (ES) 2016/679 nustatytas funkcijas, turi Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, Reglamente (ES) 2016/679 nurodytas teises ir pareigas, tvarkydamas asmens duomenis, įskaitant sveikatos duomenis, statistikos tikslais;

11.3. užtikrina Informacinės sistemos sąveiką su kitais susijusiais registrais ir informacinėmis sistemomis;

11.4. sudaro duomenų teikimo sutartis ir pagal šias sutartis ir prašymus teikia Informacinės sistemos duomenis duomenų gavėjams;

11.5. prireikus teikia Informacinės sistemos valdytojui siūlymus, susijusius su asmens duomenų tvarkymu ir duomenų sauga, Informacinės sistemos kūrimu, plėtra, likvidavimu, modernizavimu, priežiūra, administravimu;

11.6. metodiškai vadovauja Informacinės sistemos tvarkytojams;

11.7. dalyvauja rengiant su Informacinės sistemos įteisinimu, veikla, informacinių ir ryšių technologijų infrastruktūra, asmens duomenų tvarkymu ir sauga susijusius teisės aktų projektus;

11.8. pagal kompetenciją registruoja Informacinės sistemos naudotojus, vadovaudamiesi Informacinės sistemos naudotojų administravimo taisyklėmis;

11.9. pagal kompetenciją užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikoma atitinkama konfidencialumo prievolė;

11.10. atsižvelgdami į duomenų tvarkymo pobūdį duomenų valdytojo nustatyta tvarka padeda duomenų valdytojui, taikydami tinkamas technines ir organizacines priemones, įvykdyti duomenų valdytojo prievolę atsakyti į prašymus pasinaudoti Reglamento (ES) 2016/679 III skyriuje nustatytomis duomenų subjekto teisėmis;

11.11. duomenų valdytojo nustatyta tvarka pagal kompetenciją padeda duomenų valdytojui užtikrinti Reglamento (ES) 2016/679 32–36 straipsniuose nustatytų prievolių laikymąsi, atsižvelgdami į asmens duomenų tvarkymo pobūdį ir duomenų tvarkytojo turimą informaciją;

11.12. pagal duomenų valdytojo pasirinkimą, užbaigus teikti su asmens duomenų tvarkymu susijusias paslaugas, ištrina arba grąžina duomenų valdytojui visus asmens duomenis ir ištrina esamas jų kopijas, išskyrus atvejus, kai teisės aktuose reikalaujama asmens duomenis saugoti;

11.13. pagal kompetenciją pateikia duomenų valdytojui visą informaciją, būtiną siekiant įrodyti, kad vykdomos Reglamento (ES) 2016/679 nustatytos prievolės, ir sudaro sąlygas bei padeda duomenų valdytojui arba kitam duomenų valdytojo įgaliotam auditoriui atlikti auditą, įskaitant patikrinimus. Nedelsdami informuoja duomenų valdytoją, jei, jų nuomone, nurodymas pateikti informaciją pažeidžia Reglamentą (ES) 2016/679 ar kitas duomenų apsaugos nuostatas;

11.14. informuoja raštu ir (ar) el. paštu (nedelsiant, bet ne ilgiau kaip per 24 valandas) duomenų valdytoją pagal Reglamento 2016/679 33 straipsnio 2 dalį apie įvykusį asmens duomenų saugumo pažeidimą ir pateikia pranešimą duomenų valdytojo nustatyta tvarka;

11.15. pagal kompetenciją užtikrina, kad Informacinės sistemos duomenys būtų tvarkomi vadovaujantis Nuostatais ir kitais juose nurodytais teisės aktais;

11.16. konsultuoja Informacinės sistemos naudotojus, duomenų teikėjus ir duomenų gavėjus su Informacinės sistemos veikla susijusiais klausimais;

11.17. organizuoja pasiūlymų dėl Informacinės sistemos asmens duomenų tvarkymo tobulinimo surinkimą;

11.18. imasi visų priemonių, kurių reikalaujama pagal Reglamento (ES) 2016/679 32 straipsnį – organizacinėmis, techninėmis, technologinėmis ir metodinėmis priemonėmis užtikrina Informacinės sistemos saugą, Informacinėje sistemoje tvarkomų asmens duomenų konfidencialumą, vientisumą ir prieinamumą, apsaugą nuo neteisėto sunaikinimo, pakeitimo, atskleidimo ar kitokio neteisėto tvarkymo, taip pat saugų duomenų perdavimą kompiuteriniais tinklais;

11.19. atlieka kitas Nuostatuose ir kituose teisės aktuose, susijusiuose su Informacinės sistemos tvarkymu, nustatytas funkcijas.

12. Kiti Informacinės sistemos tvarkytojai ir asmens duomenų tvarkytojai:

12.1. atlieka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo nustatytas funkcijas, turi šiame įstatyme nurodytas teises ir pareigas;

12.2. atlieka Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo, Reglamento (ES) 2016/679 nustatytas funkcijas, turi Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, Reglamente (ES) 2016/679 nurodytas teises ir pareigas, tvarkydami asmens duomenis, įskaitant sveikatos duomenis, statistikos tikslais;

12.3. prireikus teikia Informacinės sistemos pagrindiniam tvarkytojui siūlymus, susijusius su asmens duomenų tvarkymu ir duomenų sauga, Informacinės sistemos kūrimu, plėtra, likvidavimu, modernizavimu, priežiūra, administravimu;

12.4. pagal kompetenciją registruoja Informacinės sistemos naudotojus, vadovaudamiesi Informacinės sistemos naudotojų administravimo taisyklėmis;

12.5. pagal kompetenciją užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikoma atitinkama konfidencialumo prievolė;

12.6. atsižvelgdami į duomenų tvarkymo pobūdį, duomenų valdytojo nustatyta tvarka, taikydami tinkamas technines ir organizacines priemones, padeda duomenų valdytojui įvykdyti duomenų valdytojo prievolę atsakyti į prašymus pasinaudoti Reglamento (ES) 2016/679 III skyriuje nustatytomis duomenų subjekto teisėmis;

12.7. duomenų valdytojo nustatyta tvarka pagal kompetenciją padeda duomenų valdytojui užtikrinti Reglamento (ES) 2016/679 32–36 straipsniuose nustatytų prievolių laikymąsi, atsižvelgdami į duomenų tvarkymo pobūdį ir duomenų tvarkytojo turimą informaciją;

12.8. pagal kompetenciją pateikia duomenų valdytojui visą informaciją, būtiną siekiant įrodyti, kad vykdomos Reglamento (ES) 2016/679 nustatytos prievolės, ir sudaro sąlygas bei padeda duomenų valdytojui arba kitam duomenų valdytojo įgaliotam auditoriui atlikti auditą, įskaitant patikrinimus. Nedelsdami informuoja duomenų valdytoją, jei, jų nuomone, nurodymas pateikti informaciją pažeidžia Reglamentą (ES) 2016/679 ar kitas duomenų apsaugos nuostatas;

12.9. pagal kompetenciją užtikrina, kad Informacinės sistemos duomenys būtų tvarkomi vadovaujantis Nuostatais, juose nurodytais ir kitais teisės aktais;

12.10. pagal kompetenciją imasi visų priemonių, kurių reikalaujama pagal Reglamento (ES) 2016/679 32 straipsnį, užtikrina organizacinėmis, techninėmis, technologinėmis ir metodinėmis priemonėmis saugų Informacinės sistemos duomenų tvarkymą;

12.11. atsako už Informacinės sistemos asmens duomenų tvarkymo ir teikimo teisėtumą, duomenų patikimumą teisės aktų nustatyta tvarka pagal jiems suteiktus įgaliojimus;

12.12. informuoja raštu ir (ar) el. paštu (nedelsiant, bet ne ilgiau kaip per 24 valandas) duomenų valdytoją pagal Reglamento 2016/679 33 straipsnio 2 dalį apie įvykusį asmens duomenų saugumo pažeidimą ir pateikia pranešimą duomenų valdytojo nustatyta tvarka;

12.13. atlieka kitas Nuostatuose ir kituose teisės aktuose, susijusiuose su Informacinės sistemos tvarkymu, nustatytas funkcijas.

13. Duomenų teikėjai:

13.1. Sveikatos apsaugos ministerija teikia Elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinės sistemos (toliau – ESPBI) duomenis;

13.2. Registrų centras teikia Lietuvos Respublikos adresų registro duomenis;

13.3. Švietimo informacinių technologijų centras teikia Mokinių registro bei Švietimo ir mokslo institucijų registro duomenis;

13.4. Registrų centras teikia Lietuvos Respublikos gyventojų registro duomenis;

13.5. Valstybinė ligonių kasa prie Sveikatos apsaugos ministerijos teikia Privalomojo sveikatos draudimo informacinės sistemos „Sveidra“ duomenis;

13.6. Lietuvos Respublikos socialinės apsaugos ir darbo ministerija teikia Socialinės paramos šeimai informacinės sistemos duomenis;

13.7. Higienos institutas teikia Mirties atvejų ir jų priežasčių valstybės registro duomenis;

13.8 Informacinės visuomenės plėtros komitetas teikia duomenis iš Valstybės informacinių išteklių sąveikumo platformos.

III SKYRIUS

INFORMACINĖS SISTEMOS INFORMACINĖ STRUKTŪRA

14. Informacinės sistemos struktūrą sudaro:

14.1. Mokinių sveikatos būklės duomenų bazė:

14.1.1. Mokinių, lankančių ikimokyklinio ugdymo mokyklas, sveikatos būklės duomenų bazė;

14.1.2. Mokinių, lankančių bendrojo ugdymo mokyklas profesinio mokymo įstaigas, duomenų bazė;

14.2. Statistinių duomenų bazė;

14.3. Naudotojų duomenų bazė.

15. Mokinių, lankančių ikimokyklinio ugdymo mokyklas, sveikatos būklės duomenų bazėje tvarkomi šie vaiko asmens duomenys:

15.1. mokinio vardas, pavardė;

15.2. asmens kodas;

15.3. gyvenamosios vietos adresas;

15.4. ugdymo įstaigos pavadinimas;

15.5. ugdymo įstaigos adresas;

15.6. ugdymo įstaigos identifikavimo kodas;

15.7. klasės pavadinimas;

15.8. klasės tipas;

15.9. klasės paskirtis;

15.10. mokslo metai;

15.11. Mokinių registro objekto ID;

15.12. asmens atvykimo į ugdymo įstaigą data;

15.13. asmens išvykimo iš ugdymo įstaigos data;

15.14. gimimo metai;

15.15. mokinio fizinės būklės įvertinimas:

15.15.1. ūgis;

15.15.2. svoris;

15.15.3. kūno masės indekso (toliau – KMI) įvertinimas;

15.15.4. KMI įvertinimo žyma:

15.15.4.1. per mažas;

15.15.4.2 normalus;

15.15.4.3. antsvoris;

15.15.4.4. nutukimas;

15.16. sveikatos būklės įvertinimo išvada:

15.16.1. mokinys gali dalyvauti ugdymo veikloje be apribojimų;

15.16.2. mokinys gali dalyvauti ugdymo veikloje laikydamasis rekomendacijų;

15.17. bendros rekomendacijos žyma:

15.17.1. pritaikytas maitinimas;

15.17.2. pritaikyta sėdėjimo vieta;

15.17.3. vengti alergenų;

15.17.4. skubios pagalbos poreikis;

15.17.5. kita;

15.18. specialios rekomendacijos:

15.18.1. liga / sutrikimas (TLK-10-AM kodas);

15.18.2. specialios rekomendacijos ir pirmosios pagalbos priemonės, kurių gali prireikti mokiniui, dalyvaujančiam ugdymo veikloje;

15.19. fizinio ugdymo grupė:

15.19.1. pagrindinė;

15.19.2. parengiamoji;

15.19.3. specialioji;

15.20. žyma apie tai, kad mokinys atleistas nuo fizinio ugdymo pamokų laikotarpiui;

15.21. data iki kurios mokinys atleistas nuo fizinio ugdymo pamokų;

15.22. mokinio sveikatos patikrinimo data;

15.23. mokinio sveikatos pažymėjimą užpildžiusio šeimos gydytojo (vaikų ligų gydytojo, vidaus ligų gydytojo) arba slaugytojo vardas, pavardė, parašas;

15.24. pieniniai dantys;

15.24.1. karioziniai;

15.24.2. plombuoti;

15.24.3. išrauti dėl ėduonies;

15.25. nuolatiniai dantys:

15.25.1. karioziniai;

15.25.2. plombuoti;

15.25.3. išrauti dėl ėduonies;

15.26. sąkandžio patologijos žyma:

15.26.1. nėra;

15.26.2. pavienių dantų;

15.26.3. žandikaulių;

15.27. mokinio sveikatos pažymėjimą užpildžiusio gydytojo odontologo arba gydytojo odontologo specialisto arba burnos higienisto vardas, pavardė, parašas;

15.28. gydytojų išvadų ir rekomendacijų dėl taikytino maitinimo žyma;

15.29. vaiko įstatyminių atstovų kontaktinė informacija: telefono numeris, el. pašto adresas;

15.30. papildoma informacija apie suteiktas konsultacijas ir vaiko įstatyminių atstovų pateikta informacija apie vaiko sveikatos būklės ypatumus.

16. Mokinių, lankančių bendrojo ugdymo mokyklas ir profesinio mokymo įstaigas, sveikatos būklės duomenų bazėje tvarkomi Nuostatų 15.1–15.27, 15.29–15.30 papunkčiuose nurodyti asmens duomenys.

17. Statistinių duomenų bazėje tvarkomi:

17.1. socialinės pašalpos gavimo žyma;

17.2. nemokamo maitinimo žyma;

17.3. socialinės rizikos šeimos žyma;

17.4. gimimo data;

17.5. lytis;

17.6. stacionaro epikrizės duomenys:

17.6.1. diagnozės:

17.6.1.1. tipas (+/-/0);

17.6.1.2. diagnozės data;

17.6.1.3. TLK-10-AM kodas;

17.6.1.4. pavadinimas;

17.6.2. atvykimo į sveikatos priežiūros įstaigą data ir laikas;

17.6.3. išrašymo data;

17.6.4. išvykimo informacija:

17.6.4.1. išvyko į namus;

17.6.4.2. išvyko į kitą stacionarą;

17.6.4.3. mirė;

17.6.5. lovadienių skaičius;

17.6.6. naujai nustatytos alergijos:

17.6.6.1. alergijos kodas (TLK-10-AM);

17.6.6.2. alergiją sukelianti medžiaga;

17.7. ambulatorinio apsilankymo aprašymo duomenys:

17.7.1. diagnozės:

17.7.1.1. tipas (+/-/0);

17.7.1.2. diagnozės data;

17.7.1.3. TLK-10-AM kodas;

17.7.1.4. pavadinimas;

17.7.2. atvykimo į sveikatos priežiūros įstaigą data ir laikas;

17.7.3. naujai nustatytos alergijos:

17.7.3.1. alergijos kodas (TLK-10-AM kodas);

17.7.3.2. alergijos pavadinimas;

17.7.3.3. apytikslė nustatymo data;

17.7.3.4. alergiją sukelianti medžiaga;

17.8. vakcinacijos įrašo duomenys:

17.8.1. užkrečiamųjų ligų, nuo kurių skiepijama, kodai ir pavadinimai (TLK-10-AM kodas);

17.8.2. vakcinacija; pagal skiepijimo schemą kelinta vakcinos dozė įskiepyta;

17.8.3. skiepijimo data;

17.9. medicininio mirties liudijimo duomenys:

17.9.1. mirties data;

17.9.2. mirties vieta;

17.9.3. mirties priežastys: tiesioginė ir tarpinė mirties priežastys;

17.9.4. pagrindinės ligos (traumos), sukėlusios mirtį, kodas ir pavadinimas;

17.9.5. kitos svarbios patologinės būklės, sukėlusios mirtį, bet nesusijusios su pagrindine mirties priežastimi;

17.10. medicininės apskaitos formos 066/a-LK „Stacionare gydomo asmens statistinė kortelė“, patvirtintos Lietuvos Respublikos sveikatos apsaugos ministro 1998 m. lapkričio 26 d. įsakymu Nr. 687 „Dėl medicininės apskaitos dokumentų formų tvirtinimo“, stacionarinio gydymo informacija:

17.10.1. hospitalizavimo ir išrašymo iš gydymo įstaigos data ir laikas;

17.10.2. lovadienių skaičius;

17.10.3. etapo numeris;

17.10.4. gydymo rūšis;

17.10.5. etapo metu nustatytos diagnozės kodai (TLK-10-AM kodas, pagrindinė diagnozė, komplikacijos ir gretutinės ligos);

17.10.6. išrašymo būdas;

17.11. medicininės apskaitos formos 025/a-LK „Asmens ambulatorinio gydymo apskaitos kortelė“, patvirtintos Lietuvos Respublikos sveikatos apsaugos ministro 1998 m. lapkričio 26 d. įsakymu Nr. 687 „Dėl medicininės apskaitos dokumentų formų tvirtinimo“, ambulatorinio gydymo informacija:

17.11.1. apsilankymo data;

17.11.2. galutinės diagnozės data;

17.11.3. galutinė diagnozė (TLK-10-AM kodas);

17.11.4. diagnozės tipas;

17.12. Mokinių sveikatos būklės duomenų bazės duomenys, nurodyti Nuostatų 15, 16 punktuose.

18. Savivaldybių visuomenės sveikatos biuro visuomenės sveikatos specialistas, kuriam priskirta vaiko lankoma ugdymo įstaiga, tvarko mokinių asmens duomenis, nurodytus Nuostatų 15, 16 punktuose.

19. Informacinės sistemos administratorius, techninę priežiūrą vykdantys asmenys, vykdydami savo funkcijas, turi teisę tvarkyti Nuostatų 15–17 punktuose nurodytus duomenis tik pasirašę pasižadėjimą saugoti Informacinėje sistemoje tvarkomų asmens ir kitų duomenų paslaptį, laikytis duomenų saugos reikalavimų.

20. Statistikos tikslais tvarkomi Nuostatų 17 punkte nurodyti duomenys. Šie asmens duomenys, juos apibendrinus, nedelsiant sunaikinami.

21. Naudotojų duomenų bazėje kaupiami duomenys:

21.1. Informacinės sistemos naudotojo vardas, pavardė;

21.2. Informacinės sistemos naudotojo asmens kodas;

21.3. Informacinės sistemos naudotojo pareigos;

21.4. Informacinės sistemos naudotojo el. paštas;

21.5. Informacinės sistemos naudotojo telefono numeris;

21.6. visuomenės sveikatos specialistui priskirtos ugdymo įstaigos identifikavimo kodas.

22. Klasifikatorių duomenys:

22.1. Tarptautinės statistinės ligų ir susijusių sveikatos sutrikimų klasifikacijos dešimtasis pataisytas ir papildytas leidimas „Sisteminis ligų sąrašas“ (Australijos modifikacija, TLK-10-AM);

22.2. Mokinių registro klasifikatoriai:

22.2.1. klasių tipai;

22.2.2. klasių paskirtis;

22.3. Lietuvos Respublikos adresų registro klasifikatoriai.

23. Duomenų teikėjai teikia šiuos duomenis:

23.1. iš ESPBI – Nuostatų 15.14–15.27 ir 17.4–17.8 papunkčiuose nurodytus duomenis;

23.2. iš Mokinių registro – Nuostatų 15.1, 15.2 ir 15.6–15.13 papunkčiuose nurodytus duomenis;

23.3. iš Gyventojų registro – Nuostatų 15.3 papunktyje nurodytus duomenis;

23.4. iš Adresų registro – Adresų registro duomenų bazės tekstinių duomenų išrašą ir tarpinį Adresų registro duomenų bazės tekstinių duomenų išrašą – Informacinėje sistemoje tvarkomiems adresams patikslinti;

23.5. iš Švietimo ir mokslo institucijų registro – Nuostatų 15.4–15.6 papunkčiuose nurodytus duomenis;

23.6. iš Privalomojo sveikatos draudimo informacinės sistemos „Sveidra“ – Nuostatų 17.10 ir 17.11 papunkčiuose nurodytus duomenis;

23.7. iš Socialinės paramos šeimai informacinės sistemos – Nuostatų 17.1–17.3 papunkčiuose nurodytus duomenis;

23.8. iš Mirties atvejų ir jų priežasčių valstybės registro – Nuostatų 17.9 papunktyje nurodytus duomenis;

23.9. Nuostatų 17.10 ir l7.11 papunkčiuose nurodytus asmens duomenis iš Privalomojo sveikatos draudimo informacinės sistemos „Sveidra“ – tik tuo atveju, kai ESPBI nepateikia 17.4–17.8 papunkčiuose nurodytų asmens duomenų.

24. Informacinėje sistemoje naudojami Valstybės informacinių išteklių sąveikumo platformos duomenys nurodyti Nuostatų 21.1 ir 21.2 papunkčiuose.

IV SKYRIUS

INFORMACINĖS SISTEMOS FUNKCINĖ STRUKTŪRA

25. Informacinės sistemos funkcinę struktūrą sudaro:

25.1. administravimo ir naudotojų apskaitos posistemė;

25.2. duomenų įvedimo posistemė;

25.3. duomenų mainų posistemė;

25.4. analitinės informacijos posistemė.

26. Administravimo ir naudotojų apskaitos posistemės pagrindinės funkcijos:

26.1. Informacinės sistemos naudotojų autentifikavimas;

26.2. Informacinės sistemos naudotojų teisių valdymas pagal identifikavimo duomenis, užtikrinant duomenų saugos reikalavimus;

26.3. Informacinės sistemos parametrų valdymas.

27. Duomenų įvedimo į duomenų bazes posistemės pagrindinės funkcijos:

27.1. naudotojui prisijungus prie Informacinės sistemos duomenų įvedimas pagal Administravimo ir naudotojų apskaitos posistemėje esančius požymius;

27.2. naudotojų įvedamų duomenų loginė kontrolė.

28. Duomenų mainų posistemės pagrindinės funkcijos:

28.1. duomenų surinkimas;

28.2. gautų duomenų sisteminimas, apdorojimas ir loginė kontrolė;

28.3. duomenų kaupimas;

28.4. duomenų teikimas.

29. Analitinės informacijos posistemės pagrindinės funkcijos:

29.1. standartinių ataskaitų formavimas;

29.2. dinaminių (ad hoc) ataskaitų formavimas;

29.3. informacijos paieška;

29.4. duomenų apdorojimas;

29.5. duomenų pateikimas skelbti.

V SKYRIUS

INFORMACINĖS SISTEMOS DUOMENŲ TEIKIMAS IR NAUDOJIMAS

30. Informacinės sistemos nuasmeninti apibendrinti duomenys apie mokinių sveikatą yra vieši ir teikiami neatlygintinai valstybės ir savivaldybės institucijoms, mokslo įstaigoms, kitiems juridiniams ir fiziniams asmenims.

31. Informacinės sistemos nuasmeninti apibendrinti duomenys (ataskaitos, suvestinės) apie mokinių sveikatą ir rizikos veiksnius teikiami raštu, žodžiu ir (arba) elektroninių ryšių priemonėmis. Duomenis galima peržiūrėti leidžiamosios kreipties būdu internete ar kitais elektroninių ryšių tinklais. Duomenys gali būti perduodami automatiniu būdu elektroninių ryšių tinklais. Informacinės sistemos nuasmeninti apibendrinti duomenys pakartotinio panaudojimo tikslais (statistinėms ataskaitoms) teikiami pagal duomenų teikimo sutartis, kuriose nurodomas duomenų gavimo teisinis pagrindas, tvarka, duomenų naudojimo tikslas ir apimtis, formatas ir gavimo būdas.

32. Duomenys teikiami tokio turinio ir tokios formos, kokie yra naudojami Informacinėje sistemoje, ir nereikalauja papildomo duomenų apdorojimo.

33. Daugkartinio teikimo atveju Informacinės sistemos duomenys, tarp jų ir asmens duomenys, teikiami pagal pagrindinio duomenų tvarkytojo ir duomenų gavėjo sudarytą duomenų teikimo sutartį, kurioje turi būti nurodytas teikiamų duomenų naudojimo tikslas, teikimo ir gavimo teisinis pagrindas, sąlygos, tvarka ir teikiamų duomenų apimtys.

34. Vienkartinio teikimo atveju Informacinės sistemos duomenys, tarp jų ir asmens duomenys, teikiami pagal gavėjo prašymą. Prašyme turi būti nurodytas duomenų naudojimo tikslas, teikimo ir gavimo teisinis pagrindas, prašomų pateikti asmens duomenų apimtis.

35. Informacinės sistemos asmens duomenys tvarkomi vadovaujantis Reglamentu (ES) 2016/679 ir kitais teisės aktais, reglamentuojančiais asmens duomenų gavimą ir teikimą. Informacinės sistemos asmens duomenys teikiami duomenų gavėjams vadovaujantis Reglamento (ES) 2016/679 nustatytais reikalavimais ir teisėto tvarkymo kriterijais bei kitais teisės aktais, reglamentuojančiais asmens duomenų teikimą fiziniams ir juridiniams asmenims. Informacinės sistemos asmens duomenys neteikiami, jeigu duomenų gavėjui gauti šiuos duomenis nėra teisinio pagrindo, numatyto Lietuvos Respublikos įstatymuose ir (ar) Europos Sąjungos teisės aktuose. Kai atsisakoma teikti Informacinėje sistemoje tvarkomus duomenis, asmeniui, pateikusiam prašymą juos gauti, pranešama apie priimtą sprendimą atsisakyti tenkinti prašymą ir suteikiama informacija apie tokio sprendimo apskundimo tvarką. Atsisakymas teikti duomenis gali būti skundžiamas teismui Lietuvos Respublikos įstatymų nustatyta tvarka.

36. Duomenų gavėjai Informacinės sistemos duomenų negali keisti, privalo juos naudoti tik duomenų teikimo sutartyje ar prašyme nurodytu tikslu ir apimtimi, gauti – tik duomenų teikimo sutartyje ar prašyme nurodytu gavimo būdu.

37. Informacinės sistemos duomenys Europos Sąjungos valstybių narių ir (arba) Europos šalių ekonominės erdvės valstybių, trečiųjų šalių duomenų gavėjams ir kitiems subjektams teikiami Valstybės informacinių išteklių valdymo įstatymo nustatyta tvarka.

38. Informacinės sistemos apibendrintus duomenis apie mokinių sveikatos būklę pagal amžių, mokyklas, teritorinį suskirstymą teikia Informacinės sistemos tvarkytojai ir pagrindinis tvarkytojas.

39. Informacinės sistemos statistiniai duomenys skelbiami Higienos instituto interneto svetainėje. Prieiga prie skelbiamų duomenų yra laisva.

40. Kai atsisakoma teikti Informacinės sistemos tvarkomus duomenis, asmeniui, pateikusiam prašymą juos gauti, pranešama apie priimtą sprendimą atsisakyti tenkinti jo prašymą ir suteikiama informacija apie tokio sprendimo apskundimo tvarką.

41. Informacinės sistemos tvarkytojo, pagrindinio tvarkytojo sprendimai atsisakyti teikti Informacinės sistemos duomenis gali būti skundžiami Informacinės sistemos valdytojui. Informacinės sistemos valdytojo veiksmai (neveikimas) gali būti skundžiami teismui Lietuvos Respublikos įstatymų nustatyta tvarka.

42. Duomenų subjektai, jų įstatyminiai atstovai, duomenų gavėjai, registro ar kitos valstybės informacinės sistemos tvarkytojai, kiti asmenys turi teisę reikalauti ištaisyti netikslius duomenis. Gavęs šį reikalavimą, Informacinės sistemos tvarkytojas privalo per 5 darbo dienas nuo reikalavimo ir jame nurodytus faktus patvirtinančių dokumentų gavimo ištaisyti nurodytus netikslumus ir informuoti apie tai netikslius duomenis ištaisyti reikalavusį asmenį.

43. Informacinės sistemos valdytojas analizuoja nuasmenintus, apibendrintus duomenis apie mokinių sveikatą.

44. Tik Informacinės sistemos pagrindinis tvarkytojas statistikos tikslais analizuoja duomenis apie mokinių sveikatą, nurodytus Nuostatų 17 punkte.

VI SKYRIUS

INFORMACINĖS SISTEMOS DUOMENŲ SAUGA

45. Informacinės sistemos duomenų sauga užtikrinama Reglamentu (ES) 2016/679, Saugos dokumentu, Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“. Informacinės sistemos duomenų saugą nustato Informacinės sistemos duomenų saugos nuostatai, patvirtinti Lietuvos Respublikos sveikatos apsaugos ministro 2015 m. birželio 22 d. įsakymu Nr. V-780 „Dėl Vaikų sveikatos stebėsenos informacinės sistemos nuostatų ir duomenų saugos nuostatų patvirtinimo“ ir kiti saugos politiką įgyvendinantys dokumentai, kurie rengiami, derinami ir tvirtinami Saugos dokumento nustatyta tvarka.

46. Už Informacinės sistemos duomenų saugą teisės aktų nustatyta tvarka pagal kompetenciją atsako Informacinės sistemos valdytojas ir Informacinės sistemos tvarkytojai.

47. Asmenys, kurie tvarko asmens duomenis, įpareigojami saugoti asmens duomenų paslaptį, jeigu šie asmens duomenys neskirti skelbti viešai. Ši pareiga galioja jiems pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas, pasibaigus jų darbo ar sutartiniams santykiams.

48. Informacinėje sistemoje asmenų, lankančių ugdymo įstaigas, asmens duomenys, įskaitant sveikatos duomenis, nurodyti Nuostatų 15, 16 punktuose, tvarkomi, kol pateikiama nauja statistinės apskaitos forma Nr. 027-1/a „Vaiko sveikatos pažymėjimas“, ir po to yra sunaikinami. Nuostatų 17 punkte nurodyti statistikos tikslais surinkti asmens, įskaitant sveikatos, duomenys nedelsiant pakeičiami taip, kad nebūtų galima nustatyti duomenų subjekto tapatybės. Nuasmeninti statistiniai duomenys, parengti panaudojus asmens duomenis, saugomi duomenų bazių archyvuose iki Informacinės sistemos likvidavimo. Informacinės sistemos duomenys sunaikinami Lietuvos vyriausiojo archyvaro nustatyta tvarka.

VII SKYRIUS

FINANSAVIMAS

49. Informacinės sistemos kūrimas finansuotas 2009–2014 m. Norvegijos finansinio mechanizmo programos Nr. LT11 „Visuomenės sveikatai skirtos iniciatyvos“ projekto „Vaikų sveikatos stebėsenos informacinės sistemos, skirtos sistemingam vaikų sveikatos būklės stebėjimui ir kryptingam sveikatos politikos formavimui, sukūrimas ir įgyvendinimas“ lėšomis. Informacinės sistemos modernizacija finansuojama 2014–2020 m. Europos Sąjungos fondų investicijų veiksmų programos 8 prioriteto „Socialinės įtraukties didinimas ir kova su skurdu“ įgyvendinimo priemonės Nr. 08.4.2-ESFA-V-622 „Vaikų ligų, traumų ir nelaimingų atsitikimų profilaktika, sveikatos priežiūros paslaugų vaikams prieinamumo ir kokybės gerinimas“ lėšomis.

50. Informacinės sistemos eksploatacija, palaikymas ir plėtra finansuojama Lietuvos Respublikos valstybės biudžeto lėšomis.

VIII SKYRIUS

INFORMACINĖS SISTEMOS MODERNIZAVIMAS IR LIKVIDAVIMAS

51. Informacinė sistema modernizuojama arba likviduojama Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo ir Aprašo nustatyta tvarka.

52. Likviduojamos Informacinės sistemos duomenys perduodami kitai informacinei sistemai, sunaikinami arba perduodami valstybės archyvams Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka.

IX SKYRIUS

BAIGIAMOSIOS NUOSTATOS

53. Duomenų subjekto teisės ir jų įgyvendinimo tvarka reglamentuojama Duomenų subjekto teisių įgyvendinimo Informacinėje sistemoje tvarkos apraše.

________________

PATVIRTINTA

Lietuvos Respublikos

sveikatos apsaugos ministro

2015 m. birželio 22 d. įsakymu Nr. V-780

(Lietuvos Respublikos sveikatos apsaugos

ministro 2019 m. balandžio 23 d.

įsakymo Nr. V-489

redakcija)

VAIKŲ SVEIKATOS STEBĖSENOS INFORMACINĖS SISTEMOS

duomenų SAUGOS NUOSTATAI

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Vaikų sveikatos stebėsenos informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Vaikų sveikatos stebėsenos informacinės sistemos (toliau – Informacinė sistema) elektroninės informacijos saugos politiką ir kibernetinio saugumo politiką (toliau – elektroninės informacijos saugos politika), organizacines, technines ir kitas priemones, užtikrinančias saugų informacijos tvarkymą.

2. Saugos nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų saugos reikalavimų aprašas), Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašas), kituose teisės aktuose ir Lietuvos Respublikos „Informacijos technologija. Saugumo metodai“ grupės standartuose.

3. Elektroninės informacijos saugos politikos tikslas – užtikrinti Informacinės sistemos konfidencialumą, prieinamumą ir vientisumą, sudaryti sąlygas saugiai tvarkyti asmens duomenis.

4. Elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys:

4.1. organizacinių, techninių, programinių, teisinių ir kitų priemonių, skirtų Informacinės sistemos duomenų saugai užtikrinti, įgyvendinimas ir šių priemonių kontrolė;

4.2. Informacinės sistemos asmens duomenų apsauga;

4.3. Informacinės sistemos veiklos tęstinumo užtikrinimas.

5. Elektroninės informacijos saugos politika įgyvendinama pagal Lietuvos Respublikos sveikatos apsaugos ministro tvirtinamus Saugos nuostatus ir saugos politiką įgyvendinančius dokumentus: Saugaus elektroninės informacijos tvarkymo taisykles, Naudotojų administravimo taisykles, Veiklos tęstinumo valdymo planą (toliau visi kartu – saugos dokumentai).

6. Saugos nuostatų reikalavimai taikomi:

6.1. Informacinės sistemos valdytojai – Lietuvos Respublikos sveikatos apsaugos ministerijai, Vilniaus g. 33, LT-01506 Vilnius;

6.2. Informacinės sistemos tvarkytojams:

6.2.1. pagrindiniam Informacinės sistemos tvarkytojui – Higienos institutui, Didžioji g. 22, LT-01128 Vilnius;

6.2.2. kitiems Informacinės sistemos tvarkytojams – savivaldybių visuomenės sveikatos biurams;

6.2.3. Informacinės sistemos naudotojams;

6.2.4. Informacinės sistemos saugos įgaliotiniui;

6.2.5. Informacinės sistemos duomenų valdymo įgaliotiniui;

6.2.6. Informacinės sistemos administratoriui;

6.2.7. Kibernetinio saugumo vadovui.

7. Už elektroninės informacijos saugą pagal kompetenciją atsako Informacinės sistemos valdytojas ir Informacinės sistemos tvarkytojai.

8. Informacinės sistemos naudotojai, duomenų valdymo įgaliotinis ir administratorius privalo įsipareigoti saugoti duomenų ir informacijos paslaptį bei pasirašyti konfidencialumo pasižadėjimą. Įsipareigojimas saugoti duomenų ir informacijos paslaptį galioja ir nutraukus su Informacine sistema susijusią veiklą.

9. Informacinės sistemos valdytojas atlieka Informacinės sistemos nuostatuose nustatytas funkcijas, taip pat:

9.1. tvirtina saugos politiką įgyvendinančius dokumentus, kitus dokumentus, susijusius su elektroninės informacijos sauga, ir jų pakeitimus;

9.2. priima sprendimus dėl techninių ir programinių priemonių, būtinų Informacinės sistemos elektroninės informacijos saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo;

9.3. nagrinėja Informacinės sistemos tvarkytojų pasiūlymus dėl Informacinės sistemos elektroninės informacijos saugos priemonių tobulinimo ir priima sprendimus dėl jų finansavimo;

9.4. atlieka kitas Valstybės informacinių išteklių valdymo įstatyme, Kibernetinio saugumo įstatyme, Bendrųjų saugos reikalavimų apraše, Organizacinių ir techninių kibernetinio saugumo reikalavimų apraše, Informacinės sistemos nuostatuose bei kituose teisės aktuose nustatytas funkcijas, susijusias su elektroninės informacijos sauga.

10. Informacinės sistemos pagrindinis tvarkytojas atlieka Informacinės sistemos nuostatuose nustatytas funkcijas, taip pat:

10.1. pagal kompetenciją atsako už Informacinės sistemos elektroninės informacijos tvarkymo teisėtumą ir saugą;

10.2. pagal kompetenciją įgyvendina Informacinės sistemos saugos dokumentų ir kitų saugos politiką įgyvendinančių teisės aktų reikalavimus;

10.3. teikia pasiūlymus Informacinės sistemos valdytojui dėl Informacinės sistemos techninių ir programinių priemonių, būtinų Informacinės sistemos elektroninės informacijos saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo, organizuoja jų įdiegimą ir modernizavimą;

10.4. skiria Informacinės sistemos duomenų valdymo įgaliotinį, Informacinės sistemos saugos įgaliotinį ir Informacinės sistemos administratorių;

10.5. atlieka kitas Bendrųjų saugos reikalavimų aprašo, Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašo, Informacinės sistemos saugos dokumentų bei kitų teisės aktų nustatytas funkcijas, susijusias su Informacinės sistemos elektroninės informacijos sauga.

11. Kitų Informacinės sistemos tvarkytojų funkcijos ir atsakomybė:

11.1. vykdo Saugos nuostatų 10.1 ir 10.2 papunkčiuose nurodytas funkcijas;

11.2. užtikrina, kad jų įstaigose dirbantys Informacinės sistemos naudotojai laikytųsi Informacinės sistemos saugos dokumentuose ir kituose teisės aktuose, reglamentuojančiuose elektroninės informacijos saugą, nurodytų reikalavimų;

11.3. atlieka kitas Bendrųjų saugos reikalavimų apraše, Organizacinių ir techninių kibernetinio saugumo reikalavimų apraše, Informacinės sistemos nuostatuose bei saugos dokumentuose nustatytas funkcijas.

12. Informacinės sistemos saugos įgaliotinis:

12.1. koordinuoja ir prižiūri Informacinės sistemos elektroninės informacijos saugos politikos įgyvendinimą;

12.2. teikia Informacinės sistemos pagrindinio tvarkytojo vadovui siūlymus dėl:

12.2.1. Informacinės sistemos administratoriaus paskyrimo;

12.2.2. Informacinės sistemos informacinių technologijų saugos atitikties vertinimo atlikimo;

12.3. teikia pasiūlymus Informacinės sistemos valdytojui dėl Informacinės sistemos saugos dokumentų priėmimo, keitimo arba naikinimo;

12.4. koordinuoja Informacinės sistemos elektroninės informacijos saugos incidentų tyrimą;

12.5. organizuoja Informacinės sistemos rizikos įvertinimą ir parengia rizikos įvertinimo ataskaitą;

12.6. teikia Informacinės sistemos administratoriui ir Informacinės sistemos naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su elektroninės informacijos saugos politikos įgyvendinimu;

12.7. turi teisę pagal savo įgaliojimus duoti privalomus vykdyti nurodymus ir pavedimus kitų Informacinės sistemos tvarkytojų darbuotojams, jeigu tai būtina saugos politikai įgyvendinti;

12.8. supažindina Informacinės sistemos administratorių ir Informacinės sistemos naudotojus su Informacinės sistemos saugos politiką įgyvendinančių dokumentų reikalavimais ir atsakomybe už reikalavimų nesilaikymą, organizuoja Informacinės sistemos naudotojų mokymą elektroninės informacijos saugos klausimais, informuoja juos apie elektroninės informacijos saugos problemas;

12.9. atlieka kitas Bendrųjų saugos reikalavimų apraše, Organizacinių ir techninių kibernetinio saugumo reikalavimų apraše, Informacinės sistemos saugos dokumentuose nustatytas funkcijas.

13. Informacinės sistemos administratoriaus funkcijos ir atsakomybė:

13.1. atsako už Informacinės sistemos techninės ir programinės įrangos funkcionavimą;

13.2. diegia ir prižiūri programinę įrangą, reikalingą pagrindinio Informacinės sistemos tvarkytojo funkcijoms vykdyti;

13.3. suteikia teisę Informacinės sistemos naudotojams naudotis elektronine informacija, reikalinga jų funkcijoms atlikti;

13.4. užtikrina Informacinės sistemos komponentų (tarnybinių stočių, operacinių sistemų, taikomųjų programų, duomenų bazės valdymo sistemų, ugniasienių, įsilaužimo aptikimo sistemų ir kt.) tinkamą veikimą ir priežiūrą, pagal kompetenciją nustato pažeidžiamas Informacinės sistemos vietas;

13.5. dalyvauja vykdant saugumo reikalavimų įgyvendinimo stebėseną;

13.6. pagal kompetenciją teikia pagrindinio Informacinės sistemos tvarkytojo vadovui pasiūlymus dėl Informacinės sistemos palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir elektroninės informacijos saugos užtikrinimo;

13.7. informuoja Informacinės sistemos saugos įgaliotinį apie elektroninės informacijos saugos incidentus ir teikia pasiūlymus dėl elektroninės informacijos saugos incidentų pašalinimo;

13.8. atsako už Informacinės sistemos duomenų bazės atsarginių kopijų darymą;

13.9. atlieka kitas Bendrųjų saugos reikalavimų apraše, Organizacinių ir techninių kibernetinio saugumo reikalavimų apraše, Informacinės sistemos saugos dokumentuose nustatytas funkcijas.

14. Pagrindinio Informacinės sistemos tvarkytojo vadovo paskirtas kompetentingas asmuo, atsakingas už kibernetinio saugumo organizavimą ir užtikrinimą Higienos institute (toliau – kibernetinio saugumo vadovas), vykdo funkcijas, nustatytas Kibernetinio saugumo įstatyme, Organizacinių ir techninių kibernetinio saugumo reikalavimų apraše ir kituose kibernetinį saugumą reglamentuojančiuose teisės aktuose.

15. Teisės aktai, kuriais vadovaujamasi tvarkant Informacinės sistemos elektroninę informaciją ir užtikrinant jos saugumą:

15.1. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

15.2. Lietuvos Respublikos kibernetinio saugumo įstatymas;

15.3. Lietuvos Respublikos dokumentų ir archyvų įstatymas;

15.4. Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimas Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

15.5. Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašas;

15.6. Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

15.7. Vaikų sveikatos stebėsenos informacinės sistemos nuostatai, patvirtinti Lietuvos Respublikos sveikatos apsaugos ministro 2015 m. birželio 22 d. įsakymu Nr. V-780 „Dėl Vaikų sveikatos stebėsenos informacinės sistemos nuostatų ir duomenų saugos nuostatų patvirtinimo“;

15.8. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

15.9. Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo metodai“ grupės standartai, nustatantys saugų elektroninės informacijos tvarkymą;

15.10. kiti teisės aktai, reglamentuojantys elektroninės informacijos saugumo politiką, jos tvarkymo teisėtumą ir saugos valdymą valstybės institucijose.

II SKYRIUS

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

16. Vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Elektroninės informacijos svarbos nustatymo gairių aprašas), 8.1 ir 8.2 papunkčiais, Informacinėje sistemoje tvarkoma elektroninė informacija priskiriama prie svarbios informacijos kategorijos.

17. Vadovaujantis Elektroninės informacijos svarbos nustatymo gairių aprašo 12.2 papunkčiu, Informacinė sistema priskiriama prie antrosios kategorijos informacinių sistemų – Informacinėje sistemoje tvarkoma svarbi informacija.

18. Informacinės sistemos saugos priemonės parenkamos įvertinus galimus rizikos Informacinės sistemos duomenų vientisumui, konfidencialumui ir prieinamumui veiksnius.

19. Informacinės sistemos saugos įgaliotinis, naudodamasis Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistema (toliau – ARSIS), kasmet atlieka Informacinės sistemos rizikos veiksnių vertinimą.

20. Informacinės sistemos grėsmių ir pažeidžiamumų, galinčių turėti įtakos informacinės sistemos kibernetiniam saugumui, vertinimas atliekamas kartu su Informacinės sistemos rizikos vertinimu. Informacinės sistemos rizikos vertinimo metu gali būti atliekamas pažeidžiamumų testavimas imituojant kibernetines atakas bei vykdant kibernetinių incidentų imitavimo pratybas.

21. Pagrindinės Informacinės sistemos rizikos mažinimo priemonės išdėstomos rizikos įvertinimo ataskaitoje, kurią kasmet iki gruodžio 31 d. rengia saugos įgaliotinis, įvertinęs galinčius turėti įtakos elektroninės informacijos saugai rizikos veiksnius, iš kurių svarbiausi yra šie:

21.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kita);

21.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacine sistema elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);

21.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

22. Rizikos įvertinimo ataskaitas, rizikos valdymo priemonių plano, jei toks buvo parengtas, duomenis bei jų kopijas pagrindinis Informacinės sistemos tvarkytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų patvirtinimo pateikia ARSIS Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“ (toliau – ARSIS nuostatai) nustatyta tvarka.

23. Elektroninės informacijos saugos būklė gerinama techninėmis, programinėmis ir organizacinėmis saugos priemonėmis, kurios pasirenkamos atsižvelgiant į Informacinės sistemos valdytojo skiriamus išteklius, vadovaujantis šiais principais:

23.1. likutinė rizika turi būti sumažinta iki priimtino lygio;

23.2. saugos priemonės diegimo kaina turi atitikti saugomos elektroninės informacijos vertę;

23.3. esant galimybei, turi būti įdiegiamos prevencinės elektroninės informacijos saugos priemonės.

24. Siekiant įvertinti saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę, kartą per dvejus metus organizuojamas Informacinės sistemos informacinių technologijų saugos reikalavimų atitikties vertinimas.

25. Informacinės sistemos informacinių technologijų saugos reikalavimų atitikties vertinimui naudojama ARSIS.

26. Atlikus Informacinės sistemos informacinių technologijų saugos reikalavimų atitikties vertinimą, rengiama Informacinės sistemos saugos atitikties vertinimo ataskaita, kurią tvirtina pagrindinis Informacinės sistemos tvarkytojas.

27. Informacinių technologijų saugos atitikties vertinimo ataskaitas, pastebėtų trūkumų šalinimo plano duomenis ir jų kopijas pagrindinis Informacinės sistemos tvarkytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų patvirtinimo pateikia ARSIS nuostatų nustatyta tvarka.

III SKYRIUS

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

28. Programinės įrangos, skirtos Informacinei sistemai apsaugoti nuo kenksmingosios programinės įrangos (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir pan.), naudojimo nuostatos ir atnaujinimo reikalavimai:

28.1. Informacinės sistemos tarnybinėse stotyse ir pagrindinio Informacinės sistemos tvarkytojo kompiuterizuotose darbo vietose turi būti naudojamos centralizuotai valdomos kenksmingosios programinės įrangos aptikimo priemonės, nuolat ieškančios ir blokuojančios kenksmingąją programinę įrangą, kurios turi atsinaujinti automatiniu būdu ne rečiau kaip kartą per 24 valandas;

28.2. programinė įranga turi automatiškai elektroniniu paštu informuoti Informacinės sistemos administratorių apie pagrindinio Informacinės sistemos tvarkytojo kompiuterizuotas darbo vietas ir tarnybines stotis, kuriose kenksmingosios programinės įrangos aptikimo priemonės netinkamai funkcionuoja, yra išjungtos arba neatsinaujino per 24 valandas;

28.3. programinės įrangos konfigūravimas turi būti apsaugotas slaptažodžiu.

29. Programinės įrangos, įdiegtos tarnybinėse stotyse ir kompiuterizuotose darbo vietose, naudojimo nuostatos:

29.1. Informacinės sistemos darbui turi būti naudojama tik legali, Informacinės sistemos funkcijoms vykdyti būtina programinė įranga;

29.2. Informacinės sistemos programinė įranga atnaujinama laikantis gamintojo reikalavimų;

29.3. Informacinės sistemos programinės įrangos diegimą, šalinimą ir konfigūravimą atlieka tik Informacinės sistemos administratorius;

29.4. turi būti įdiegta galimybė fiksuoti ir kaupti informaciją apie asmenų, kurie naudojosi prieiga prie Informacinės sistemos elektroninės informacijos, atliktus veiksmus.

30. Informacinės sistemos programinis kodas privalo būti apsaugotas nuo atskleidimo neturintiems teisės su juo susipažinti asmenims.

31. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kita) pagrindinės naudojimo nuostatos:

31.1. Informacinės sistemos elektroninės informacijos perdavimo tinklai nuo viešųjų telekomunikacijų tinklų (interneto) turi būti atskirti ugniasienėmis, DOS ir DDOS atakų prevencijai skirta įranga bei įsilaužimų aptikimo ir prevencijos įranga;

31.2. visas duomenų srautas į internetą ir iš jo turi būti filtruojamas naudojant apsaugą nuo virusų ir kitos kenksmingosios programinės įrangos.

32. Leistinos kompiuterių naudojimo ribos:

32.1. stacionarieji ir nešiojamieji Informacinės sistemos naudotojų kompiuteriai turi būti naudojami tik tiesioginėms pareigoms atlikti. Iš perduodamų remontuoti ar techninei priežiūrai atlikti kompiuterių turi būti pašalinti visi Informacinės sistemos duomenys ir Informacinės sistemos informacija;

32.2. nešiojamaisiais kompiuteriais, skirtais Informacinės sistemos duomenims registruoti, kaupti ir naudoti, gali dirbti tik įgalioti asmenys;

32.3. nešiojamuosiuose kompiuteriuose turi būti naudojamas įjungimo slaptažodis, jie turi būti atskirti nuo viešojo interneto tinklo užkarda;

32.4. Informacinės sistemos naudotojai privalo naudotis visomis saugumo priemonėmis, kad apsaugotų kompiuterį ir duomenų laikmenas nuo vagystės arba pažeidimo, nenaudojami nešiojamieji kompiuteriai turi būti saugomi saugioje vietoje.

33. Metodai, kuriais užtikrinamas saugus Informacinės sistemos elektroninės informacijos teikimas ir (ar) gavimas:

33.1. užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą iš kitų valstybės institucijų, naudojami saugūs ryšio kanalai, kuriais perduodami šifruoti duomenys;

33.2. Informacinės sistemos elektroninė informacija iš susijusių registrų ir valstybės informacinių sistemų gaunama tik pagal duomenų teikimo ir gavimo sutartyse nustatytas perduodamų duomenų specifikacijas, perdavimo sąlygas ir tvarką;

33.3. prieiga prie Informacinės sistemos elektroninės informacijos leidžiama tik per registravimosi slaptažodžių sistemą. Prieigos prie Informacinės sistemos elektroninės informacijos valdymas apibrėžtas Informacinės sistemos naudotojų administravimo taisyklėse;

33.4. pasibaigus Informacinės sistemos naudotojo darbo sutarčiai, teisė naudotis Informacinės sistemos elektronine informacija turi būti panaikinta. Informacinės sistemos naudotojui prieiga prie Informacinės sistemos turi būti ribojama ar sustabdoma, kai vyksta Informacinės sistemos naudotojo veiklos tyrimas, naudotojas yra ilgalaikėse atostogose arba keičiasi jo atliekamos ir (ar) pareigybės aprašyme nurodytos funkcijos.

34. Pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:

34.1. Informacinės sistemos elektroninės informacijos kopijos turi būti daromos automatiniu būdu kas 24 valandas; prireikus jas atkurti turi teisę Informacinės sistemos administratorius;

34.2. atsarginės elektroninės informacijos kopijos turi būti saugomos kitoje patalpoje nei Informacinės sistemos tarnybinės stotys.

35. Turi būti užtikrintas kibernetinių incidentų, įvykusių Informacinėje sistemoje, registravimas, informavimas, tyrimas ir analizė Nacionalinio kibernetinių incidentų valdymo plano, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. gruodžio 5 d. nutarimu Nr. 1209 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Planas) nustatyta tvarka:

35.1. registruojami Informacinėje sistemoje įvykę kibernetiniai incidentai ir nedelsiant į juos reaguojama techninėmis ir programinėmis priemonėmis. Kibernetiniai incidentai valdomi Plano nustatyta tvarka;

35.2. Nacionaliniam kibernetinio saugumo centrui prie Krašto apsaugos ministerijos pranešama apie įvykusius kibernetinius incidentus ir teikiama Plane nurodyta informacija.

36. Ne rečiau kaip kartą per mėnesį turi būti atliekama ugniasienių užfiksuotų įvykių analizė ir pastebėtos neatitiktys saugumo reikalavimams nedelsiant šalinamos.

37. Informacinės sistemos naudotojai, pastebėję saugos dokumentuose nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias saugos užtikrinimo priemones, privalo nedelsdami pranešti apie tai Informacinės sistemos administratoriui ar Informacinės sistemos saugos įgaliotiniui.

38. Perkant paslaugas, darbus ar įrangą, susijusius su Informacine sistema, jo projektavimu, kūrimu, diegimu, modernizavimu, priežiūra, palaikymu, saugos užtikrinimu, auditavimu, elektroninės informacijos perdavimo tinklais, taip pat kitus, suteikiančius teisę ir galimybę prieiti prie elektroninės informacijos, pirkimo dokumentuose turi būti nustatyta, kad paslaugų teikėjas, darbų atlikėjas ar įrangos tiekėjas privalo laikytis Informacinės sistemos saugos dokumentuose nustatytų reikalavimų ir užtikrinti teikiamų paslaugų, vykdomų darbų ar tiekiamos įrangos atitiktį Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašo reikalavimams.

39. Į paslaugų pirkimo sutartį turi būti įtraukta nuostata, įpareigojanti paslaugų teikėjo darbuotojus pasirašyti konfidencialumo pasižadėjimą neatskleisti tretiesiems asmenims jokios informacijos, gautos vykdant šią sutartį, išskyrus tiek, kiek būtina sutarčiai vykdyti.

IV SKYRIUS

REIKALAVIMAI PERSONALUI

40. Informacinės sistemos saugos įgaliotinis ir kibernetinio saugumo vadovas privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, tobulinti kvalifikaciją elektroninės informacijos saugos srityje, savo darbe vadovautis Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą. Informacinės sistemos saugos įgaliotinis ar kibernetinio saugumo vadovas, pažeidęs Saugos nuostatų ar kitų saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

41. Informacinės sistemos saugos įgaliotiniu, Informacinės sistemos administratoriumi ir kibernetinio saugumo vadovu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.

42. Informacinės sistemos administratorius pagal kompetenciją privalo išmanyti elektroninės informacijos saugos, kibernetinio saugumo užtikrinimo principus, mokėti užtikrinti Informacinės sistemos duomenų saugą, darbo su duomenų perdavimo tinklais principus, administruoti ir prižiūrėti Informacinės sistemos duomenų bazę, gebėti užtikrinti techninės ir programinės įrangos nepertraukiamą funkcionavimą, stebėti jos veikimą, atlikti jos profilaktinę priežiūrą.

43. Informacinės sistemos administratorius ir Informacinės sistemos naudotojai turi būti susipažinę su Informacinės sistemos saugos dokumentais ir pagal kompetenciją su kitais teisės aktais, reglamentuojančiais elektroninės informacijos saugą.

44. Informacinės sistemos naudotojai, tvarkantys asmens duomenis, raštu pasirašytinai įpareigojami saugoti asmens duomenų paslaptį. Įsipareigojimas saugoti asmens duomenų paslaptį galioja ir pasibaigus darbo santykiams, per visą asmens duomenų teisinės apsaugos laiką.

45. Informacinės sistemos naudotojai, pastebėję saugos dokumentuose nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias saugos užtikrinimo priemones, privalo nedelsdami pranešti apie tai Informacinės sistemos administratoriui ar Informacinės sistemos saugos įgaliotiniui.

46. Informacinės sistemos saugos įgaliotinio, kibernetinio saugumo vadovo, Informacinės sistemos naudotojų ir Informacinės sistemos administratoriaus mokymų planavimo, organizavimo ir vykdymo tvarka:

46.1. Informacinės sistemos saugos įgaliotiniui, kibernetinio saugumo vadovui, Informacinės sistemos naudotojams ir Informacinės sistemos administratoriui turi būti organizuojami mokymai elektroninės informacijos saugos klausimais;

46.2. Informacinės sistemos naudotojams turi būti įvairiais būdais primenama apie elektroninės informacijos saugos problemas (pvz., svarbios informacijos priminimai elektroniniu paštu, informacijos skelbimas Higienos instituto intranete, lankstinukai-atmintinės ir pan.);

46.3. mokymai elektroninės informacijos saugos klausimais turi būti planuojami ir mokymo būdai parenkami atsižvelgiant į elektroninės informacijos saugos užtikrinimo prioritetines kryptis ir tikslus, įdiegtas ar planuojamas įdiegti technologijas (techninę ar programinę įrangą), Informacinės sistemos naudotojų ar Informacinės sistemos administratoriaus poreikius;

46.4. mokymai gali būti vykdomi tiesioginiu (pvz., paskaitos, seminarai, konferencijos ir kiti teminiai renginiai) ar nuotoliniu būdu (pvz., vaizdo konferencijos, mokomosios medžiagos pateikimas elektroninėje erdvėje ir pan.). Mokymus gali vykdyti Informacinės sistemos saugos įgaliotinis ar kitas Informacinės sistemos valdytojo ar Informacinės sistemos tvarkytojo darbuotojas, išmanantis elektroninės informacijos saugos užtikrinimo principus, arba elektroninės informacijos saugos mokymų paslaugų teikėjas. Informacinės sistemos saugos įgaliotinio ir kibernetinio saugumo vadovo mokymus gali vykdyti tik aukštos kvalifikacijos elektroninės informacijos saugos mokymų paslaugų teikėjas;

46.5. Informacinės sistemos naudotojų mokymai turi būti organizuojami periodiškai, ne rečiau kaip kartą per dvejus metus. Informacinės sistemos saugos įgaliotinio, kibernetinio saugumo vadovo, Informacinės sistemos administratoriaus mokymai turi būti organizuojami pagal poreikį. Už mokymų organizavimą atsakingas Informacinės sistemos saugos įgaliotinis ar kitas pagrindinio Informacinės sistemos tvarkytojo paskirtas darbuotojas.

V SKYRIUS

INFORMACINĖS SISTEMOS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS

DOKUMENTAIS PRINCIPAI

47. Tvarkyti Informacinės sistemos asmens duomenis ir gauti elektroninę informaciją gali tik Informacinės sistemos naudotojai, supažindinti su Informacinės sistemos saugos dokumentais ir pasirašę pasižadėjimus saugoti asmens duomenų paslaptį. Pakartotinis supažindinimas su minėtais dokumentais vykdomas jiems pasikeitus.

48. Už Informacinės sistemos naudotojų supažindinimą su Informacinės sistemos saugos dokumentais ir kitais saugos politikos įgyvendinamaisiais teisės aktais ir atsakomybe už šių reikalavimų nesilaikymą atsakingi Informacinės sistemos saugos įgaliotinis bei kitų Informacinės sistemos tvarkytojų vadovų paskirti atsakingi asmenys.

49. Saugos nuostatai skelbiami Teisės aktų registre ir pagrindinio Informacinės sistemos tvarkytojo interneto svetainėje.

50. Informacinės sistemos naudotojai, pažeidę Informacinės sistemos saugos dokumentų reikalavimus, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

_____________________________