DĖL VIEŠOSIOS ĮSTAIGOS CENTRINĖS PROJEKTŲ VALDYMO AGENTŪROS DIREKTORIAUS 2019 M. BALANDŽIO 15 D. ĮSAKYMO NR. 2019/8-86 „DĖL 2014–2021 M. EUROPOS EKONOMINĖS ERDVĖS IR NORVEGIJOS FINANSINIŲ MECHANIZMŲ ADMINISTRAVIMO IR PROCESŲ AUTOMATIZAVIMO INFORMACINĖS SI

VIEŠOSIOS ĮSTAIGOS CENTRINĖS PROJEKTŲ VALDYMO AGENTŪROS

DIREKTORIUS

ĮSAKYMAS

DĖL VIEŠOSIOS ĮSTAIGOS CENTRINĖS PROJEKTŲ VALDYMO AGENTŪROS DIREKTORIAUS 2019 M. BALANDŽIO 15 D. ĮSAKYMO NR. 2019/8-86 „DĖL 2014–2021 M. EUROPOS EKONOMINĖS ERDVĖS IR NORVEGIJOS FINANSINIŲ MECHANIZMŲ ADMINISTRAVIMO IR PROCESŲ AUTOMATIZAVIMO INFORMACINĖS SISTEMOS NUOSTATŲ IR DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO“ PAKEITIMO

2021 m. sausio 14 d. Nr. 2021/8-10

Vilnius

Vadovaudamasi Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 30 straipsnio 2 dalimi, 34 straipsnio 2 dalies 1 punktu, Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, 47 punktu ir Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 13 punktu,

pakeičiu viešosios įstaigos Centrinės projektų valdymo agentūros direktoriaus 2019 m. balandžio 15 d. įsakymo Nr. 2019/8-86 „Dėl 2014-2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos nuostatų ir duomenų saugos nuostatų patvirtinimo“ 1 punktu patvirtintus 2014-2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos nuostatus ir 2014-2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos duomenų saugos nuostatus ir išdėstau juos nauja redakcija (pridedama).

Direktorė Lidija Kašubienė

PATVIRTINTA

VšĮ Centrinės projektų valdymo agentūros

direktoriaus 2019 m. balandžio 15 d. įsakymu

Nr. 2019/8-86

(2021 m. sausio 14 d. įsakymo Nr. 2021/8-10

redakcija)

2014–2021 M. EUROPOS EKONOMINĖS ERDVĖS IR NORVEGIJOS FINANSINIŲ MECHANIZMŲ ADMINISTRAVIMO IR PROCESŲ AUTOMATIZAVIMO INFORMACINĖS SISTEMOS NUOSTATAI

I. BENDROSIOS NUOSTATOS

1. 2014–2021 m. Europos Ekonominės erdvės (toliau – EEE) ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos (toliau – NORIS) nuostatai (toliau – Nuostatai) reglamentuoja NORIS steigimo teisinį pagrindą, NORIS tikslus, uždavinius, funkcijas, organizacinę, informacinę ir funkcinę struktūras, duomenų teikimo ir naudojimo tvarką, reikalavimus duomenų saugai, finansavimą, modernizavimą ir likvidavimą.

2. NORIS įsteigta vadovaujantis:

2.1. 2014–2021 m. EEE finansinio mechanizmo įgyvendinimo reglamento, patvirtinto 2016 m. rugsėjo 23 d. EEE finansinio mechanizmo komiteto, ir 2014–2021 m. Norvegijos finansinio mechanizmo įgyvendinimo reglamento, patvirtinto 2016 m. rugsėjo 23 d. Norvegijos Karalystės užsienio reikalų ministerijos (toliau – Reglamentai), 5.1 straipsniais;

2.2. Institucijų, atsakingų už 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų valdymą ir kontrolę Lietuvoje, funkcijų aprašu, patvirtintu Lietuvos Respublikos finansų ministro 2018 m. lapkričio 12 d. įsakymu Nr. 1K-389 „Dėl Institucijų, atsakingų už 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų valdymą ir kontrolę Lietuvoje, funkcijų aprašo patvirtinimo“ (toliau – Funkcijų aprašas).

3. NORIS kuriama ir tvarkoma vadovaujantis šiais teisės aktais:

3.1. Reglamentais;

3.2. Funkcijų aprašu;

3.3. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES)2016/679);

3.4. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu (toliau – Išteklių valdymo įstatymas);

3.5. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir kitais Lietuvos Respublikos teisės aktais, reglamentuojančiais asmens duomenų tvarkymą;

3.6. Lietuvos Respublikos kibernetinio saugumo įstatymu;

3.7. Lietuvos Respublikos teisės gauti informaciją iš valstybės ir savivaldybių institucijų ir įstaigų įstatymu;

3.8. Lietuvos Respublikos valstybės iždo įstatymu;

3.9. Lietuvos Respublikos biudžeto sandaros įstatymu;

3.10. Lietuvos Respublikos mokėjimų įstatymu;

3.11. Lietuvos Respublikos sporto įstatymu (toliau – Sporto įstatymas);

3.12. Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“ (toliau – Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo aprašas);

3.13. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, Saugos dokumentų turinio gairių aprašu ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Saugos reikalavimų aprašas);

3.14. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Kibernetinio saugumo reikalavimų aprašas);

3.15. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašu ir informacinių technologijų saugos atitikties vertinimo metodika, patvirtintais Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 “Dėl techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo”;

3.16. Valstybės informacinių sistemų gyvavimo ciklo valdymo metodika, patvirtinta Informacinės visuomenės plėtros komiteto direktoriaus 2014 m. vasario 25 d. įsakymu Nr. T-29 „Dėl Valstybės informacinių sistemų gyvavimo ciklo valdymo metodikos patvirtinimo“;

3.17. 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir finansavimo taisyklių, patvirtintų Lietuvos Respublikos finansų ministro 2018 m. lapkričio 12 d. įsakymu Nr. 1K-389 „Dėl 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų įgyvendinimo Lietuvoje” (toliau – MAFT);

3.18. 2014-2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos duomenų saugos nuostatais, patvirtintais VšĮ Centrinės projektų valdymo agentūros (toliau – CPVA) direktoriaus 2019 m. balandžio 15 d. įsakymu Nr. 2019/8-86 „Dėl 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos nuostatų ir duomenų saugos nuostatų patvirtinimo” (toliau – NORIS duomenų saugos nuostatai);

3.19. Saugos politiką įgyvendinančiais dokumentais – CPVA valdomų informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklėmis, NORIS naudotojų administravimo taisyklėmis, CPVA valdomų informacinių sistemų veiklos tęstinumo valdymo planu;

3.20. 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos naudojimo taisyklėmis, patvirtintomis CPVA direktoriaus 2020 m. liepos 31 d. įsakymu Nr. 2020/8-247 „Dėl 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos naudojimo taisyklių patvirtinimo“ (toliau – NORIS taisyklės);

3.21. 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos duomenų mainų svetainės naudojimo taisyklėmis, patvirtintomis CPVA direktoriaus 2020 m. balandžio 22 d. įsakymu Nr. 2020/8-136 „Dėl 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos duomenų mainų svetainės naudojimo taisyklių patvirtinimo“ (toliau – DMS taisyklės);

3.22. Asmens duomenų tvarkymo viešojoje įstaigoje Centrinėje projektų valdymo agentūroje tvarkos aprašu, patvirtintu CPVA direktoriaus 2018 m. gegužės 23 d. įsakymu Nr. 2018/8-112 „Dėl asmens duomenų tvarkymo viešojoje įstaigoje Centrinėje projektų valdymo agentūroje tvarkos aprašo patvirtinimo“ (toliau – CPVA asmens duomenų tvarkymo taisyklės);

3.23. šiais Nuostatais.

4. Nuostatuose vartojamos sąvokos:

4.1. NORIS duomenų tvarkytojas – Funkcijų apraše nurodyta institucija (EEE ir (ar) Norvegijos finansinių mechanizmų programos operatorius, EEE ir (ar) Norvegijos finansinių mechanizmų programos partneris, EEE ir Norvegijos finansinių mechanizmų dvišalio bendradarbiavimo fondo administratorius, EEE ir Norvegijos finansinių mechanizmų audito institucija, EEE ir Norvegijos finansinių mechanizmų pažeidimų kontrolės institucija, EEE ir Norvegijos finansinių mechanizmų tvirtinančioji institucija, Nacionalinė EEE ir Norvegijos finansinių mechanizmų programų koordinavimo institucija), administruojanti EEE ir (arba) Norvegijos finansinius mechanizmus; CPVA, administruojanti Sporto įstatymo 17 straipsnio 1 dalies 5 punkte nurodytos srities sporto projektus (toliau – Sporto projektai), kurioms suteikta prieiga prie NORIS teisės aktų nustatyta tvarka;

4.2. Kitos Nuostatuose vartojamos sąvokos atitinka 3 punkte nurodytuose teisės aktuose apibrėžtas sąvokas.

5. NORIS tikslas – informacinių technologijų priemonėmis surinkti, apdoroti ir pateikti analizei duomenis apie 2014-2021 m. EEE, Norvegijos finansinių mechanizmų ir Sporto projektų nuo 2020 metų kvietimo įgyvendinimą bei lėšų panaudojimą.

6. Asmens duomenų NORIS tvarkymo tikslas – EEE ir (ar) Norvegijos finansinių mechanizmų programų (toliau – programa), pagal jas teikiamų paraiškų ir įgyvendinamų projektų pagal teisės aktais suteiktą kompetenciją administravimas; Sporto projektų pagal teisės aktais suteiktą kompetenciją administravimas; NORIS ir DMS naudotojų identifikavimas.

7. NORIS uždaviniai:

7.1. sukurti ir įdiegti vieningą 2014–2021 m. EEE ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinę sistemą, kuri apimtų visą programų ir projektų įgyvendinimo ciklą (nuo programos apimtyje skelbiamų kvietimų, gaunamų paraiškų iki projekto pabaigos (galutinio mokėjimo prašymo) ir programos pabaigos (galutinių finansinių ataskaitų));

7.2. surinkti, apdoroti ir pateikti analizei statistikos ir finansinius duomenis, susijusius su 2014–2021 m. EEE, Norvegijos finansinių mechanizmų, Sporto projektų nuo 2020 metų kvietimo įgyvendinimu, finansinių mechanizmų ir bendrojo finansavimo lėšų panaudojimu, ir šiomis lėšomis finansuojamų programų bei projektų vykdymu, nepažeidžiant duomenų tvarkymą ir saugą reglamentuojančių teisės aktų.

8. NORIS funkcijos:

8.1. registruoti ir tvarkyti NORIS funkcionuoti reikalingus duomenis:

8.1.1. NORIS klasifikatorių registravimui ir tvarkymui;

8.1.2. NORIS naudotojų registravimui ir tvarkymui, institucijų duomenų, NORIS naudotojų teisių ir teisių rinkinių valdymui;

8.1.3. NORIS modulių parametrų (patikros lapų šablonų, patikros lapų pildymo duomenų, modulių pranešimų) tvarkymui;

8.1.4. NORIS kitų informacinių sistemų gaunamų/teikiamų duomenų apdorojimo duomenų stebėjimui ir integracijos valdymui.

8.2. registruoti ir tvarkyti duomenis apie finansavimo programą, biudžetą, terminus, duomenis apie programos sutarties rezultatus, rodiklius, jų planuojamas ir pasiektas reikšmes, programos operatorius ir partnerius, finansavimo skyrimo procedūros tipus, fondus ir kitus duomenis;

8.3. registruoti ir tvarkyti duomenis apie paraiškų sąrašus ir kvietimus, paraiškų pateikimo terminus, biudžetą;

8.4. registruoti ir tvarkyti pateiktas paraiškas ir su jomis susijusius duomenis;

8.5. registruoti ir tvarkyti paraiškų vertinimo, vertintojų, vertinimo terminų nustatymą, tvarkyti paraiškos vertinimo eigos ir vertinimo rezultatų duomenis;

8.6. registruoti ir tvarkyti bendrus su projekto įgyvendinimu susijusius duomenis, peržiūrėti rodiklių pasiekimų hierarchinius duomenis, priskirtus atsakingus darbuotojus, dokumentų rinkmenas, gautus pranešimus ir priminimus, parametrus ir kitus duomenis;

8.7. registruoti ir tvarkyti projekto įgyvendinimo sutarties duomenis, sutarčių keitimo duomenis ir būsenas, prisegtas rinkmenas;

8.8. registruoti ir tvarkyti projektų pirkimų planus, bei jų vykdymo duomenis, registruoti ir tvarkyti pirkimų duomenis;

8.9. registruoti ir tvarkyti pasirašytas pirkimų sutartis, pirkimo sutarčių patikrinimo ir pirkimo sutarčių vykdymo duomenis;

8.10. registruoti ir tvarkyti mokėjimo prašymų grafikus, registruoti ir tvarkyti duomenis apie mokėjimo prašymus ir jų išlaidas, pasiektus rodiklius, tvarkyti mokėjimo prašymo vertinimo duomenis;

8.11. registruoti ir tvarkyti projektų grąžintinų lėšų ir jų grąžinimo duomenis;

8.12. registruoti ir tvarkyti negrąžintų lėšų, grąžinimų, nurašymo, padengimo ir perdavimo Centralizuotai valdomo valstybės turto valdytojui duomenis;

8.13. registruoti ir tvarkyti mokėjimo prašymų patirtų išlaidų perskirstymą projekto biudžete;

8.14. registruoti patikrų vietoje duomenis (paraiškų vertinimo, projektų įgyvendinimo metu), tvarkyti patikros vietoje dalyvių priskyrimą, registruoti ir tvarkyti patikros vietoje metu nustatytų neatitikimų ir jų ištaisymo duomenis;

8.15. registruoti ir tvarkyti gautus duomenis apie įtariamą pažeidimą, įtariamo pažeidimo ir pažeidimo duomenis, įtariamo pažeidimo ir pažeidimo tyrimo duomenis;

8.16. registruoti ir tvarkyti duomenis, reikalingus Finansinių mechanizmų valdybai (toliau – FMV) iš mokėjimo prašymų ir kitų susijusių duomenų;

8.17. formuoti nustatytos formos analitines ataskaitas, surenkant ir apibendrinant duomenis iš kitų NORIS modulių;

8.18. surinkti duomenis iš DMS naudotojų, vykdyti duomenų mainus ir pateikti jų apdorojimo duomenis;

8.19. gauti NORIS duomenims iš Valstybės informacinių išteklių sąveikumo platformos (toliau – VIISP), Valstybės biudžeto apskaitos ir mokėjimų sistemos (toliau – VBAMS), CPVA informacinės sistemos.

II. NORIS ORGANIZACINĖ STRUKTŪRA

9. NORIS organizacinę struktūrą sudaro:

9.1. NORIS valdytojas, kuris yra ir NORIS asmens duomenų valdytojas;

9.2. NORIS tvarkytojas, kuris yra ir NORIS asmens duomenų tvarkytojas;

9.3. NORIS duomenų tvarkytojai, kurie yra ir NORIS asmens duomenų tvarkytojai;

9.4. NORIS duomenų teikėjai;

9.5. NORIS valdytojas ir tvarkytojas – CPVA, kuri atlieka visas Išteklių valdymo įstatyme valstybės informacinės sistemos valdytojui ir tvarkytojui nustatytas funkcijas, teises ir pareigas.

10. CPVA, kaip NORIS valdytojas atlieka 9.5 papunktyje nurodytas bei šias funkcijas:

10.1. rengia ir priima teisės aktus, susijusius su duomenų tvarkymu, sauga ir NORIS plėtra;

10.2. planuoja lėšas NORIS funkcionavimo, plėtros, duomenų saugos užtikrinimui ir kontroliuoja jų naudojimą;

10.3. užsako ir valdo NORIS techninę ir programinę įrangą, jos licencijas ir jomis disponuoja;

10.4. teisės aktų nustatyta tvarka teikia informaciją apie NORIS veiklą ir rezultatus.

11. CPVA, kaip NORIS tvarkytojas atlieka 9.5 papunktyje nurodytas bei šias funkcijas:

11.1. organizuoja NORIS programinės įrangos kūrimą, diegimą ir palaikymą;

11.2. organizuoja NORIS kompiuterinės, programinės, komunikacinės įrangos įsigijimą, nustato šios įrangos priežiūros reikalavimus;

11.3. atlieka NORIS techninės ir programinės įrangos priežiūrą ir naujų versijų diegimą;

11.4. inicijuoja NORIS programinės įrangos tobulinimą, plėtrą, vykdo aktualių NORIS veiklos problemų nagrinėjimą ir sprendimą;

11.5. sudaro duomenų teikimo sutartis;

11.6. teikia NORIS duomenis NORIS duomenų gavėjams (išskyrus DMS naudotojus);

11.7. užtikrina NORIS tvarkomų duomenų konfidencialumą, vientisumą ir prieinamumą, kokybę ir saugą laikydamiesi teisės aktų;

11.8. užtikrina NORIS techninės ir programinės įrangos, NORIS aplikacijų ir duomenų bazės techninę priežiūrą;

11.9. administruoja prieigą prie NORIS duomenų, suteikia asmenims prieigos prie šių duomenų teises, naudotojų vardus ir slaptažodžius;

11.10. atlieka asmenų, turinčių teisę naudotis NORIS duomenimis, peržiūros kontrolę;

11.11. rūpinasi NORIS duomenų atnaujinimu, jų teikimu, kokybe ir apsauga;

11.12. užtikrina saugų NORIS duomenų tvarkymą ir jų tarpusavio suderinamumą;

11.13. konsultuoja NORIS ir DMS naudotojus visais su NORIS susijusiais klausimais, organizuoja mokymus, seminarus, susijusius su NORIS eksploatavimu ir plėtra;

11.14. baigus teikti su asmens duomenų tvarkymu susijusias paslaugas, NORIS ištrina visus asmens duomenis, išskyrus atvejus, kai teisės aktuose reikalaujama asmens duomenis saugoti.

12. NORIS duomenų tvarkytojai:

12.1. Lietuvos Respublikos finansų ministerija;

12.2. CPVA;

12.3. Mokslo, inovacijų ir technologijų agentūra;

12.4. Lietuvos mokslo taryba;

12.5. Lietuvos Respublikos ekonomikos ir inovacijų ministerija;

12.6. Lietuvos Respublikos švietimo, mokslo ir sporto ministerija;

12.7. Lietuvos Respublikos sveikatos apsaugos ministerija;

12.8. Lietuvos Respublikos socialinės apsaugos ir darbo ministerija;

12.9. Lietuvos Respublikos kultūros ministerija;

12.10. Lietuvos Respublikos energetikos ministerija;

12.11. Lietuvos Respublikos vidaus reikalų ministerija;

12.12. Lietuvos Respublikos aplinkos ministerija;

12.13. Lietuvos Respublikos teisingumo ministerija;

12.14. Lietuvos Respublikos generalinė prokuratūra;

12.15. Nacionalinė teismų administracija;

12.16. Lietuvos Respublikos specialiųjų tyrimų tarnyba.

13. 12.1–12.4 papunkčiuose nurodyti NORIS duomenų tvarkytojai atlieka ir turi Išteklių valdymo įstatymo 34 straipsnio 4 dalyje, 5 dalies 1 punkte, 6 dalies 1–3, 5, 7–9, 12 punktuose nustatytas funkcijas, teises ir pareigas. 12.5–12.16 papunkčiuose nurodyti NORIS duomenų tvarkytojai atlieka ir turi Išteklių valdymo įstatymo 34 straipsnio 4 dalyje, 5 dalies 1 punkte, 6 dalies 3, 8, 9 ir 12 punktuose nustatytas funkcijas, teises ir pareigas.

14. NORIS duomenų teikėjai yra:

14.1. Informacinės visuomenės plėtros komitetas – teikiantis VIISP (valdytojas – Lietuvos Respublikos ekonomikos ir inovacijų ministerija) duomenis;

14.2. Lietuvos Respublikos finansų ministerija, teikianti VBAMS (valdytojas – Lietuvos Respublikos finansų ministerija) duomenis;

14.3. CPVA, teikianti CPVA informacinės sistemos (valdytojas – viešoji įstaiga Centrinė projektų valdymo agentūra) duomenis;

14.4. NORIS naudotojai, NORIS teikiantys duomenis, nekaupiamus kitose valstybės informacinėse sistemose ir registruose;

14.5. DMS naudotojai, NORIS teikiantys duomenis, nekaupiamus kitose valstybės informacinėse sistemose ir registruose.

15. CPVA, kaip NORIS asmens duomenų valdytojas turi Reglamente (ES)2016/679 nurodytas teises ir pareigas.

16. NORIS asmens duomenų tvarkytojai turi šias teises ir pareigas:

16.1. tvarko NORIS asmens duomenis vadovaudamiesi 3 punkte nurodytais teisės aktais;

16.2. imasi visų priemonių, kurių reikalaujama Reglamento (ES)2016/679 32 straipsnis – techninėmis ir organizacinėmis priemonėmis užtikrina NORIS saugą, NORIS tvarkomų asmens duomenų konfidencialumą, vientisumą ir prieinamumą, apsaugą nuo netyčinio arba neteisėto sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jų ir nuo bet kokio kito neteisėto tvarkymo, taip pat saugų duomenų perdavimą kompiuteriniais tinklais;

16.3. atsižvelgdami į NORIS duomenų tvarkymo pobūdį, padeda NORIS asmens duomenų valdytojui, taikydami tinkamas technines ir organizacines priemones, kiek tai įmanoma, įgyvendinti NORIS asmens duomenų valdytojo prievolę atsakyti į prašymus pasinaudoti Reglamento (ES)2016/679 III skyriuje nustatytomis duomenų subjektų teisėmis;

16.4. pateikia NORIS asmens duomenų valdytojui visą informaciją, būtiną siekiant įrodyti, kad vykdomos Reglamento (ES)2016/679 nustatytos prievolės, ir sudaro sąlygas bei padeda NORIS asmens duomenų valdytojui arba kitam NORIS asmens duomenų valdytojo įgaliotam auditoriui atlikti auditą, įskaitant patikrinimus. Nedelsdamas informuoja NORIS asmens duomenų valdytoją, jei, jo nuomone, nurodymas pateikti informaciją pažeidžia Reglamento (ES)2016/679 ar kitas duomenų apsaugos nuostatas;

16.5. Nuostatų nustatyta tvarka padeda NORIS asmens duomenų valdytojui užtikrinti Reglamento (ES)2016/679 32–36 straipsniuose nustatytų prievolių laikymąsi, atsižvelgdamas į asmens duomenų tvarkymo pobūdį ir NORIS asmens duomenų tvarkytojo turimą informaciją;

16.6. užtikrina, kad asmens duomenis tvarkyti įgalioti tretieji asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikomi atitinkamais teisės aktais nustatyti konfidencialumo reikalavimai;

16.7. NORIS asmens duomenų tvarkytojas, nustatęs asmens duomenų saugumo pažeidimą, nedelsiant, bet ne vėliau kaip per 24 valandas informuoja NORIS asmens duomenų valdytoją apie įvykusius asmens duomenų saugumo pažeidimus – raštu ir (ar) el. paštu noris.prieziura@cpva.lt pateikia pranešimą pagal Reglamento (ES)2016/679 33 straipsnio 3 dalies reikalavimus;

16.8. turi kitas Reglamente (ES)2016/679 nurodytas teises ir pareigas.

III. NORIS INFORMACINĖ STRUKTŪRA

17. NORIS tvarkomos šios duomenų grupės:

17.1. Programa ir su ja susiję duomenys:

17.1.1. programos numeris;

17.1.2. programos pavadinimas;

17.1.3. programos operatorius;

17.1.4. programos partneriai;

17.1.5. programos įgyvendinimo terminai;

17.1.6. programos rodikliai ir jų reikšmės;

17.1.7. programos ir jos rodiklių biudžetas ir jo detalizavimas (biudžeto eilutės, suma);

17.1.8. finansavimo šaltiniai ir proporcijos;

17.1.9. finansavimo skyrimo procedūros tipas;

17.1.10. programos operatorius, atsakingas už išlaidų deklaravimą;

17.1.11. asignavimų valdytojas;

17.1.12. projektus prižiūrintys asmenys (vardas, pavardė, telefono ryšio numeris, elektroninio pašto adresas);

17.2. kvietimo teikti paraiškas duomenys:

17.2.1. programa;

17.2.2. sritis ir stebėsenos rodikliai (sąsaja su programos biudžeto eilute, finansavimo šaltiniais ir proporcijomis);

17.2.3. institucija;

17.2.4. kvietimo teikti paraiškas pavadinimas;

17.2.5. kvietimo teikti paraiškas numeris;

17.2.6. kvietimo teikti paraiškas biudžetas;

17.2.7. paraiškų pateikimo laikotarpis (pradžios ir pabaigos datos);

17.2.8. bendrieji projekto ir išlaidų kategorijų apribojimai;

17.2.9. už kvietimą atsakingi asmenys (vardas ir pavardė, pareigos, elektroninio pašto adresas, telefono ryšio numeris);

17.3. pareiškėjų, projektų vykdytojų, partnerių, tiekėjų (kaip ši sąvoka apibrėžiama Lietuvos Respublikos viešųjų pirkimų įstatyme, toliau – tiekėjas) – juridinių asmenų (išskirtiniais atvejais (nustatytais kvietime, arba tiekėjų atveju) – fizinių asmenų) − duomenys:

17.3.1. juridinio asmens kodas (fizinio asmens atveju – gimimo data);

17.3.2. juridinio asmens pavadinimas (fizinio asmens atveju – vardas, pavardė);

17.3.3. buveinės adresas (netaikoma tiekėjams);

17.3.4. kontaktinė informacija (vardas, pavardė, pareigos, elektroninio pašto adresas, telefono ryšio numeris) (netaikoma tiekėjams);

17.3.5. banko kodas (netaikoma partneriams ir tiekėjams);

17.3.6. banko sąskaitos numeris (netaikoma partneriams ir tiekėjams);

17.3.7. žyma, ar yra pridėtinės vertės mokesčio (toliau – PVM) mokėtojas, o jei taip – PVM mokėtojo kodas ir PVM tinkamumo finansuoti (nefinansuoti) pagrindimas (netaikoma tiekėjams);

17.3.8. žyma, ar yra užsienio subjektas;

17.3.9. žyma, ar yra fizinis, ar juridinis asmuo;

17.4. paraiškų ir jų tikslinimo duomenys:

17.4.1. paraiškos pateikimo data ir tikslus laikas;

17.4.2. paraiškos numeris;

17.4.3. programa, pagal kurią finansuojama paraišką;

17.4.4. paraiškos būsena;

17.4.5. registravimo informacija – institucija, data, asmuo (vardas, pavardė);

17.4.6. kvietimo sritis, į kurią pretenduoja pareiškėjas;

17.4.7. projekto pavadinimas;

17.4.8. kontaktiniai duomenys (vardas ir pavardė, pareigos, elektroninio pašto adresas, telefono ryšio numeris);

17.4.9. konsultanto (konsultacinės įmonės), rengusio paraišką duomenys (pavadinimas (fizinio asmens atveju – vardas, pavardė), elektroninio pašto adresas, telefono ryšio numeris);

17.4.10. informacija apie pareiškėją (17.3 papunktyje nurodyti duomenys);

17.4.11. informacija apie projekto partnerį (17.3 papunktyje nurodyti duomenys, ir valstybė, partnerio pasirinkimo argumentai);

17.4.12. projekto įgyvendinimo vieta ir tikslinė grupė;

17.4.13. projekto aprašymas;

17.4.14. projekto loginis pagrindimas;

17.4.15. projekto įgyvendinimo grafikas;

17.4.16. projekto biudžetas;

17.4.17. projekto finansavimo šaltiniai;

17.4.18. projekto išlaidų pagrindimas;

17.4.19. stebėsenos rodikliai ir tęstinumas;

17.4.20. projekto atitiktis horizontaliosioms sritims;

17.4.21. projekto santrauka;

17.4.22. pareiškėjo ir partnerio deklaracijos (juridinio asmens pavadinimas (fizinio asmens vardas, pavardė), įstaigos vadovo arba jo įgalioto asmens vardas, pavardė, informacija apie: tai, ar taikomi apribojimai gauti finansavimą; iškeltą bylą dėl bankroto ar restruktūrizavimo, likvidavimą; kreditorių susirinkimo nutarimą bankroto procedūras vykdyti ne teismo tvarka; pradėtą ikiteisminį tyrimą; su mokesčių ir socialinio draudimo įmokų mokėjimu susijusių skolų turėjimą; neišnykusį arba nepanaikintą teistumą arba įsiteisėjusį apkaltinamąjį teismo nuosprendį; dalyvavimą rengiant programą, gaires ar kitus dokumentus, pagal kuriuos yra teikiama paraiška lėšoms gauti);

17.4.23. patikros lapai;

17.4.24. prisegtos rinkmenos;

17.5. paraiškų vertinimo rezultatų duomenys:

17.5.1. paraiškos numeris;

17.5.2. projekto pavadinimas;

17.5.3. kvietimo numeris;

17.5.4. paraiškos vertinimo būsena;

17.5.5. vertinimo terminai;

17.5.6. paraiškos vertintojų informacija (vertintojai (vardas ir pavardė, pareigos), vertinimo etapas, vertinimo pradžios ir pabaigos datos);

17.5.7. vertinimo išvada;

17.5.8. atskiro vertintojo balai ir vertinimo balų suma;

17.5.9. vertinimo metu nustatyta tinkamų finansuoti išlaidų suma;

17.5.10. tinkamumo finansuoti reikalavimų neatitinkančios išlaidos;

17.5.11. vertinimo metu nustatytos išlygos;

17.6. projektų įgyvendinimo sutarčių ir jų pakeitimo duomenys:

17.6.1. projekto įgyvendinimo sutarties registracijos ir įsigaliojimo datos;

17.6.2. projekto veiklų pradžios ir pabaigos datos;

17.6.3. projekto numeris;

17.6.4. projekto numeris FMV informacinėje sistemoje (GRACE);

17.6.5. projekto pavadinimas;

17.6.6. projekto būsena;

17.6.7. išlaidų tinkamumo pradžios ir pabaigos datos;

17.6.8. maksimalaus avanso dydis (procentine išraiška ir konkrečia suma);

17.6.9. asignavimų valdytojo duomenys (priemonės kodas, funkcinė ir ekonominė klasifikacijos);

17.6.10. kvietimo numeris ar priemonė;

17.6.11. programos operatorius;

17.6.12. ar teikiama valstybės ir de minimis pagalba;

17.6.13. išlaidų apmokėjimo būdas;

17.6.14. ar vykdoma patikra vietoje;

17.6.15. ar taikoma tęstinumo priežiūra;

17.6.16. projektui nustatytos papildomos sąlygos;

17.6.17. projekto įgyvendinimo sutartį užregistravusio NORIS naudotojo duomenys (vardas, pavardė, institucija)

17.6.18. projekto vykdytojo duomenys (17.3 papunktyje nurodyti duomenys);

17.6.19. projekto partnerio duomenys (17.4.11 papunkčiuose nurodyti duomenys);

17.6.20. informacija apie projektą;

17.6.21. projekto loginis pagrindimas;

17.6.22. projekto įgyvendinimo grafikas;

17.6.23. projekto biudžetas (sąsaja su programos sutarties biudžeto eilute, finansavimo šaltiniais ir proporcijomis);

17.6.24. finansavimo šaltiniai;

17.6.25. stebėsenos rodikliai ir tęstinumas;

17.6.26. projekto atitiktis horizontaliosioms sritims;

17.6.27. projekto santrauka;

17.6.28. projekto įgyvendinimo vieta ir tikslinė grupė;

17.6.29. projekto išlaidų pagrindimas;

17.6.30. atsakingas ir pavaduojantis projektų vadovas (vardas, pavardė, telefono ryšio numeris, elektroninio pašto adresas);

17.6.31. atsakingas ir pavaduojantis finansininkas (vardas, pavardė, telefono ryšio numeris, elektroninio pašto adresas);

17.6.32. atsakingas ir pavaduojantis teisininkas (vardas, pavardė, telefono ryšio numeris, elektroninio pašto adresas);

17.6.33. atsakingas ir pavaduojantis pažeidimų kontrolierius (vardas, pavardė, telefono ryšio numeris, elektroninio pašto adresas

17.6.34. sutarčių keitimo duomenys;

17.6.35. prisegtos rinkmenos;

17.7. pirkimų ir jų keitimų duomenys:

17.7.1. pirkimo numeris;

17.7.2. pirkimą vykdantis subjektas;

17.7.3. pirkimą vykdančio subjekto statusas;

17.7.4. pirkimo objektas;

17.7.5. pirkimo objekto skaidymas/neskaidymas į dalis;

17.7.6. pirkimo požymiai (ar Centrinės perkančiosios organizacijos (CPO) pirkimas, ar pirkimai grupuojami, ar bus sudaryta preliminarioji sutartis);

17.7.7. pirkimo objekto rūšis (prekės/paslaugos/darbai);

17.7.8. fizinis rodiklis;

17.7.9. planuojama pirkimo sutarties vertė (su PVM ir be PVM);

17.7.10. pirkimo būdas;

17.7.11. pirkimo būdo pasirinkimo argumentai;

17.7.12. numatoma pirkimo vertė pagal Lietuvos Respublikos viešųjų pirkimų įstatymą;

17.7.13. kodas pagal bendrąjį viešųjų pirkimų žodyną (toliau – BVPŽ);

17.7.14. pirkimo etapas;

17.7.15. pirkimo etapo data;

17.7.16. pirkimo būsena;

17.7.17. pirkimo būsenos data;

17.7.18. pirkimo tinkamumo požymis;

17.7.19. ar pirkimui taikomas išankstinės, paskesnės, papildomos paskesnės priežiūros būdas;

17.7.20. pirkimo dokumentų vertinimo duomenys;

17.7.21. patikros lapai;

17.7.22. prisegti dokumentai;

17.8. projektų pirkimo sutarčių ir jų keitimų duomenys:

17.8.1. pirkimo sutarties eilės numeris;

17.8.2. pirkimą vykdantis subjektas;

17.8.3. pirkimą vykdančio subjekto statusas (perkančioji, neperkančioji organizacija);

17.8.4. pirkimo objektas;

17.8.5. pirkimo sutarties priskyrimas fiziniam rodikliui;

17.8.6. požymis, ar tai rašytinė/žodinė sutartis;

17.8.7. pirkimo sutarties numeris;

17.8.8. tiekėjo duomenys (17.3 papunktyje nurodyti duomenys);

17.8.9. pirkimo sutarties data;

17.8.10. bendra pirkimo sutarties vertė;

17.8.11. pirkimo sutarties vertė tenkanti projektui;

17.8.12. sutarties tipas: fiksuota kaina/fiksuotas įkainis/kita;

17.8.13. sutarties įvykdymo termino pabaigos data;

17.8.14. pirkimo sutarties įvykdymo užtikrinimas;

17.8.15. pirkimo sutarties tinkamumo požymis;

17.8.16. požymis, ar buvo nustatytas pažeidimas, susijęs su pirkimo sutartimi;

17.8.17. pripažinta tinkama sutarties vertė;

17.8.18. likusi nepatvirtinta sutarties vertė;

17.8.19. pirkimo sutarties projekto dokumentų pateikimo terminai (planas, faktas);

17.8.20. pirkimo sutarties būsena;

17.8.21. pirkimų sutarčių keitimų duomenys;

17.8.22. pirkimo sutarties projekto vertinimo duomenys;

17.8.23. pirkimo sutarčių keitimų vertinimo duomenys;

17.8.24. patikros lapai;

17.8.25. prisegtos rinkmenos;

17.9. mokėjimo prašymų grafikų duomenys:

17.9.1. planuojamo mokėjimo prašymo eilės numeris;

17.9.2. planuojamo mokėjimo prašymo tipas (avansinis/tarpinis/galutinis);

17.9.3. planuojamo mokėjimo prašymo pateikimo data;

17.9.4. planuojama mokėjimo prašymo suma;

17.9.5. planuojamas užskaityti avanso suma;

17.9.6. projektui numatyta skirti avanso suma;

17.9.7. numatoma projekto sutaupytų lėšų suma;

17.9.8. užskaityta avanso suma ankstesniuose mokėjimo prašymuose;

17.9.9. projekto tinkamų finansuoti išlaidų suma;

17.9.10. iki šio mokėjimo prašymo teikimo dienos patirta išlaidų suma;

17.9.11. prašoma ir (arba) patvirtinta avanso suma;

17.9.12. mokėjimo prašyme prašomų pripažinti tinkamomis finansuoti išlaidų suma;

17.9.13. likutis nesuplanuotų išlaidų sumos;

17.9.14. likusi užskaityti avanso suma;

17.10. mokėjimo prašymų ir jų tikslinimų duomenys:

17.10.1. mokėjimo prašymo numeris;

17.10.2. mokėjimo prašymo pateikimo data;

17.10.3. mokėjimo prašymo būsena;

17.10.4. mokėjimo prašymo tipas;

17.10.5. taikomas mokėjimo būdas;

17.10.6. bendra prašomų pripažinti tinkamomis finansuoti išlaidų suma;

17.10.7. išlaidų patyrimo laikotarpis (nuo, iki);

17.10.8. prašomo užskaityti avanso suma;

17.10.9. pasiekti rodikliai ir viešinimas;

17.10.10. vertinimo duomenys;

17.10.11. patikros lapai;

17.10.12. išlaidų tinkamumo išvados;

17.10.13. požymis, ar mokėjimo prašymas yra apmokėtas;

17.10.14. apmokėjimo projekto vykdytojui data;

17.10.15. apmokėjimai tiekėjams;

17.10.16. prisegtos rinkmenos;

17.10.17. deklaruotinumo FMV data;

17.10.18. deklaravimo FMV data;

17.10.19. priemonės ir finansavimo šaltinio kodas, ekonominė ir funkcinė klasifikacija;

17.11. duomenys apie patirtas išlaidas:

17.11.1. projekto biudžeto išlaidų kategorija ir veiklos/rodiklio numeris;

17.11.2. sąsaja su programos sutarties biudžeto eilute, finansavimo šaltiniais ir proporcijomis;

17.11.3. tiekėjo pirkimo sutarties numeris;

17.11.4. tiekėjo juridinio asmens kodas (fizinio asmens gimimo data);

17.11.5. tiekėjo juridinio asmens pavadinimas (fizinio asmens vardas ir pavardė);

17.11.6. organizacijos, patyrusios išlaidas, pavadinimas;

17.11.7. išlaidų pagrindimo dokumentai (dokumento tipas, serija, numeris, data);

17.11.8. prašomos pripažinti tinkamos finansuoti išlaidos;

17.11.9. tinkamos finansuoti išlaidos;

17.11.10. išlaidų apmokėjimo įrodymo dokumentai (dokumento tipas, numeris, data, suma);

17.11.11. netinkamos finansuoti išlaidos;

17.11.12. netinkamos finansuoti nagrinėjimo momentu;

17.11.13. mokėtina suma (patvirtinta suma, apskaičiuojami ir įvertinami nuokrypiai, užskaitoma avanso suma, išskaičiuojami grąžinimai);

17.12. stebėsenos rodiklių pasiekimo duomenys:

17.12.1. rodiklio numeris;

17.12.2. rodiklio pavadinimas;

17.12.3. matavimo vienetas;

17.12.4. planuota reikšmė;

17.12.5. pasiekta reikšmė;

17.13. galutinės projekto įgyvendinimo ataskaitos duomenys:

17.13.1. projekto tęstinumas;

17.13.2. partnerystė projekte;

17.13.3. projekto atitiktis horizontaliosioms sritims;

17.13.4. kita informacija (atsakymai į klausimus);

17.14. koregavimų duomenys:

17.14.1. rodiklis/veikla;

17.14.2. išlaidų kategorija;

17.14.3. koreguojama lėšų suma;

17.14.4. pagrindimas;

17.14.5. sąsaja su programos sutarties biudžeto eilute, finansavimo šaltiniais, būsenomis ir proporcijomis;

17.15. projekto patikrų vietoje duomenys:

17.15.1. projekto pavadinimas;

17.15.2. projekto vykdytojo pavadinimas;

17.15.3. projekto vykdytojo kodas;

17.15.4. patikros vietoje numeris;

17.15.5. planuojamos ir faktinės patikros vietoje data (nuo, iki);

17.15.6. patikros vietoje požymis (pilnos apimties patikra ar nepilnos);

17.15.7. požymis, ar patikros vietoje informacija rodoma projekto vykdytojui;

17.15.8. miestas, kuriame atliekama patikra vietoje;

17.15.9. patikros vietoje dalyviai (vardas, pavardė, pareigos);

17.15.10. patikros vietoje rezultatai;

17.15.11. patikros lapai;

17.15.12. patikros vietoje būsena ir jos data;

17.15.13. nustatytų neatitikimų aprašymas;

17.15.14. reikalavimai ištaisyti neatitikimą;

17.15.15. ištaisymo terminai;

17.15.16. sprendimas ir sprendimo komentaras dėl neatitikimo ištaisymo;

17.15.17. duomenys apie neatitikimų ištaisymą;

17.15.18. stabdomų mokėjimo prašymų duomenys;

17.15.19. atsakingi asmenys (vardas ir pavardė);

17.15.20. prisegtos rinkmenos;

17.16. projekto pažeidimų duomenys:

17.16.1. informacija apie pažeidimą tiriančią institucija (pavadinimas, telefono ryšio numeris, adresas, elektroninio pašto adresas);

17.16.2. informacija apie projektą ir programą (programos pavadinimas, programos numeris, projekto pavadinimas, projekto kodas, projekto vykdytojo pavadinimas);

17.16.3. požymis, ar pažeidimo informacija rodoma projekto vykdytojui;

17.16.4. pirminės informacijos gavimo data;

17.16.5. pirminės informacijos šaltiniai;

17.16.6. įtariamo pažeidimo/pažeidimo nustatymo metodas;

17.16.7. įtariamo pažeidimo/pažeidimo tipas;

17.16.8. kada buvo padarytas įtariamas pažeidimas/pažeidimas (nuo, iki);

17.16.9. informacijos apie įtariamą pažeidimą/pažeidimą pateikimas žiniasklaidos priemonėse;

17.16.10. pažeidimas/įtarimas dėl pažeidimo susijęs su pažeistu teisės aktu;

17.16.11. su pažeidimu/įtarimu dėl pažeidimo susijusios kitos valstybės;

17.16.12. su pažeidimu/įtarimu dėl pažeidimo susiję fiziniai asmenys (vardas ir pavardė)/juridiniai asmenys;

17.16.13. įtariamas rimtu valdymo trūkumu susijęs pažeidimas;

17.16.14. įtariamo pažeidimo/pažeidimo aprašymas, paaiškinimai;

17.16.15. su įtariamu pažeidimu susijusi suma;

17.16.16. gauti skundai, susiję su įtariamu pažeidimu;

17.16.17. su įtarimu susijusios netinkamai sudarytos viešojo pirkimo sutartys (pirkimo sutarties numeris, tiekėjo kodas, tiekėjo pavadinimas, organizacijos, patyrusios išlaidas, pavadinimas);

17.16.18. įtariamo pažeidimo registravimo data;

17.16.19. įtariamo pažeidimo registravimo numeris;

17.16.20. įtarimo pažeidimo/ pažeidimo būsena ir jos data;

17.16.21. sprendimo data;

17.16.22. sprendimo numeris;

17.16.23. ar nustatytas sisteminis (pasikartojantis) pažeidimas ir jo aprašymas;

17.16.24. sprendimas dėl pažeidimo:

17.16.24.1. ar nustatytas pažeidimas (taip, ne);

17.16.24.2. ar pažeidimas gali būti ištaisytas;

17.16.24.3. pripažinti netinkamomis finansuoti su pažeidimu susijusias išlaidas (suma ir jos išskaidymas pagal finansavimo šaltinius);

17.16.24.4. nustatyti netinkamų finansuoti projekto išlaidų dydį (procentą);

17.16.24.5. neapmokėti su pažeidimu susijusių projekto išlaidų (suma ir jos išskaidymas pagal finansavimo šaltinius);

17.16.24.6. susigrąžinti išmokėtas mechanizmų ir bendrojo finansavimo lėšas (suma ir jos išskaidymas pagal finansavimo šaltinius);

17.16.24.7. pakeisti sutartį, sumažinant projektui skirtas mechanizmų ir bendrojo finansavimo lėšas suma ir jos išskaidymas pagal finansavimo šaltinius);

17.16.24.8. nutraukti projekto sutartį;

17.16.25. pažeidimo santrauka;

17.16.26. apskundimo tvarka;

17.16.27. tyrimo atnaujinimo duomenys (įtarimo atnaujinimo data, atnaujinto sprendimo data);

17.16.28. tyrimo atnaujinimo pagrindas;

17.16.29. pažeidimo tyrimo duomenys;

17.16.30. sprendimas dėl išlaidų pripažinimo netinkamomis, mokėjimo prašymo stabdymo;

17.16.31. prisegtos rinkmenos;

17.16.32. sąsaja su programos sutarties biudžeto eilute, finansavimo šaltiniais ir proporcijomis;

17.17. grąžintinų lėšų duomenys:

17.17.1. grąžintinų lėšų suma;

17.17.2. patvirtinta grąžintinų lėšų suma;

17.17.3. negrąžinta lėšų suma;

17.17.4. grąžintinų lėšų finansavimo suma;

17.17.5. patvirtintų grąžintinų lėšų finansavimo suma;

17.17.6. negrąžinta finansavimo suma;

17.17.7. grąžintinų lėšų deklaruotinumo FMV data;

17.17.8. deklaruotinumo FMV datos keitimo komentaras;

17.17.9. gražintinų lėšų deklaravimo PVM data;

17.17.10. grąžinimo termino data;

17.17.11. deklaruotina suma;

17.17.12. sąsaja su programos biudžeto eilute, finansavimo šaltiniais ir proporcijomis;

17.17.13. grąžintinų lėšų išskaidymas pagal rodiklius ir išlaidų kategorijas:

17.17.13.1. rodiklio numeris ir pavadinimas;

17.17.13.2. išlaidų kategorija;

17.17.13.3. tiekėjo pirkimo sutarties duomenys;

17.17.13.4. organizacijos, patyrusios išlaidas, pavadinimas;

17.17.13.5. netinkama finansuoti išlaidų suma;

17.17.14. grąžinimo būdas (išskaičiuojama ar lėšų pervedimas);

17.17.15. priimto spendimo dėl lėšų grąžinimo data ir numeris;

17.17.16. sprendimo apskundimo tvarka;

17.17.17. delspinigių dydis;

17.17.18. palūkanų dydis;

17.17.19. duomenys apie grąžintinų lėšų grąžinimą (grąžinta, negražinta, dalis grąžinta);

17.17.20. grąžintinas lėšas įregistravusi naudotojas (vardas, pavardė, institucija);

17.17.21. institucija, kuriai pervedamos lėšos;

17.17.22. banko sąskaitos, į kurią turi būti grąžintos lėšos, numeris;

17.17.23. projekto vykdytojo pavadinimas/kodas/numeris;

17.17.24. grąžintinų lėšų tipas (grąžintinos lėšos, avansas, delspinigiai, palūkanos);

17.17.25. grąžintinų lėšų būsenos ir jos data;

17.17.26. grąžintinų lėšų sąsaja su pažeidimu;

17.17.27. išlaidų, dėl kurių nustatomos grąžintinos lėšos, deklaravimo požymis;

17.18. grąžinimų administravimo duomenys:

17.18.1. grąžinimo numeris;

17.18.2. grąžinimo būsena ir jos data;

17.18.3. grąžinimo būdas;

17.18.4. grąžinta finansavimo lėšų suma;

17.18.5. lėšų grąžinimo data;

17.18.6. lėšų grąžinimo į iždą data;

17.18.7. grąžinimo išskaidymas pagal finansavimo šaltinius;

17.18.8. grąžintos lėšos pagal rodikliu ir išlaidų kategorijas;

17.18.9. skolos grąžinimo perdavimo Centralizuotai valdomo valstybės turto valdytojui duomenys (perduota (taip, ne), perdavimo data);

17.18.10. duomenys apie skolos grąžinimą (grąžinta, negrąžinta, dalis grąžinta, nurašyta/padengta);

17.18.11. prisegtos rinkmenos;

17.19. išlaidų deklaravimo donorams duomenys:

17.19.1. programos kodas;

17.19.2. programos pavadinimas;

17.19.3. programos pradžios ir pabaigos datos;

17.19.4. atsiskaitymo FMV laikotarpis (nuo, iki);

17.19.5. programos sutarties rezultato kodas ir jo pavadinimas;

17.19.6. apskaičiuota deklaruotinų FMV išlaidų sumą (finansinių mechanizmų lėšos ir bendrasis finansavimas, išskaidymas per finansinius mechanizmus);

17.19.7. grąžintinų lėšų deklaruotina FMV suma;

17.19.8. prašoma pervesti suma,

17.19.9. lėšų gavimo iš FMV suma ir data;

17.19.10. išlaidų deklaracijos numeris;

17.19.11. išlaidų deklaravimo būsena;

17.19.12. išlaidų deklaracijos tipas;

17.19.13. išlaidų deklaravimo rinkmenos;

17.19.14. išlaidų deklaravimo FMV data;

17.19.15. išlaidų deklaracijos patvirtinimo duomenys;

17.19.16. prisegtos rinkmenos;

17.20. NORIS naudotojų duomenys:

17.20.1. fizinio asmens vardas ir pavardė;

17.20.2. institucija, iš kurios yra fizinis asmuo (juridinio asmens pavadinimas, trumpinys);

17.20.3. fizinio asmens elektroninio pašto adresas;

17.20.4. fizinio asmens telefono ryšio numeris;

17.20.5. priskirtas teisių rinkinys;

17.20.6. prisegtos rinkmenos;

17.20.7. prisijungimo duomenys (prisijungimo vardas, slaptažodis);

17.21. DMS naudotojų duomenys:

17.21.1. fizinio asmens vardas ir pavardė;

17.21.2. fizinio asmens kontaktinė informacija (elektroninio pašto adresas, telefono ryšio numeris);

17.21.3. gimimo data;

17.21.4. požymiai, ar turi teisę redaguoti projekto duomenis, ar turi teisę peržiūrėti projekto duomenis;

17.21.5. prisegtos rinkmenos;

17.21.6. paskutinio prisijungimo data ir laikas;

17.22. NORIS modulių parametrai:

17.22.1. patikros lapų duomenys ir parametrai:

17.22.1.1. vertinimo kriterijus;

17.22.1.2. įvertis;

17.22.1.3. įvertinimo pagrindas;

17.22.1.4. išvada;

17.22.1.5. derinimo pastabos;

17.22.1.6. suderinimo žymos;

17.22.1.7. vertintojo gidas;

17.22.1.8. vertintojo ir tvirtinančių asmenų informacija (vardas, pavardė, institucija);

17.22.2. teisės;

17.22.3. teisių rinkiniai;

17.22.4. pranešimų valdymo duomenys;

17.22.5. priminimų valdymo duomenys;

17.22.6. įvykių valdymo duomenys;

17.22.7. NORIS parametrai;

17.22.8. kalendorius;

17.22.9. NORIS taisyklės;

17.22.10. DMS taisyklės;

17.22.11. NORIS išsiųsti elektroniniai laiškai;

17.22.12. DMS naujienos;

17.22.13. klaidų pranešimai;

17.23. NORIS klasifikatoriai:

17.23.1. NORIS administravime dalyvaujančių institucijų duomenys (institucijos pavadinimas, adresas, kodas, telefono numeris, elektroninio pašto adresas, požymis: programos operatorius, programos partneris, asignavimų valdytojas);

17.24. atliktų veiksmų atsekamumo duomenys:

17.24.1. NORIS, DMS naudotojų veiksmų duomenys (veiksmo data, laikas, tipas (duomenų įrašymas, koregavimas, naikinimas), pokytis, veiksmą atlikusio naudotojas (vardas, pavardė, institucija));

17.24.2. NORIS, DMS veiksmų, veikimo sutrikimų ir kiti techniniai duomenys;

17.25. VIISP teikiami NORIS duomenys:

17.25.1. DMS naudotojo fizinio asmens gimimo data;

17.25.2. DMS naudotojo fizinio asmens vardas;

17.25.3. DMS naudotojo fizinio asmens pavardė;

17.25.4. DMS naudotojo fizinio asmens adresas;

17.25.5. DMS naudotojo fizinio asmens telefono numeris.

17.26. VBAMS teikiami NORIS duomenys:

17.26.1. subjekto kodas;

17.26.2. subjekto pavadinimas;

17.26.3. subjekto registravimo data;

17.26.4. subjekto savivaldybės kodas;

17.26.5. subjekto adresas;

17.26.6. subjekto telefonas;

17.26.7. subjekto teisinio statuso kodas;

17.26.8. subjekto teisinės formos kodas;

17.26.9. subjekto teisinio statuso įgijimo data;

17.26.10. subjekto pakeitimo data;

17.26.11. PVM mokėtojo kodas;

17.26.12. PVM mokėtojo registravimo data;

17.26.13. PVM mokėtojo išregistravimo data;

17.26.14. mokesčių mokėtojų registro (MMR) identifikatorius;

17.26.15. subjekto kodo pasikeitimo data;

17.26.16. senas subjekto kodas;

17.26.17. subjekto importo data;

17.26.18. subjekto importo numeris;

17.27. CPVA informacinės sistemos teikiami NORIS duomenys nurodyti 17.20.1-17.20.3 papunkčiuose.

17.28. DMS naudotojų teikiami NORIS duomenys:

17.28.1. DMS naudotojų teikiami duomenys, nurodyti 17.21 papunktyje;

17.28.2. pareiškėjų, projektų vykdytojų, partnerių, tiekėjų duomenys, nurodyti 17.3, 17.4.11 papunkčiuose;

17.28.3. paraiškų ir jų tikslinimo duomenys, nurodyti 17.4.6-17.4.22, 17.4.24 papunkčiuose;

17.28.4. projektų įgyvendinimo sutarčių ir jų pakeitimo duomenys, nurodyti 17.6.34-17.6.35 papunkčiuose;

17.28.5. pirkimų ir jų keitimų duomenys, nurodyti 17.7.1–17.7.13, 17.7.22 papunkčiuose, projektų pirkimų sutarčių ir jų keitimų duomenys nurodyti 17.8.1–17.8.14, 17.8.21, 17.8.25 papunkčiuose;

17.28.6. mokėjimo prašymų grafikų duomenys, nurodyti 17.9.1-17.9.7 papunkčiuose, mokėjimo prašymų ir jų keitimų duomenys, nurodyti 17.10.4–17.10.9, 17.10.16 papunkčiuose, duomenys apie patirtas išlaidas, nurodyti 17.11.1–17.11.10 papunkčiuose, pasiektų stebėsenos rodiklių duomenys, nurodyti 17.12.5 papunktyje, galutinės projekto įgyvendinimo ataskaitos duomenys, nurodyti 17.13 papunktyje.

17.29. NORIS naudotojų teikiami NORIS duomenys:

17.29.1. NORIS naudotojų teikiami duomenys, nurodyti 17.3-17.24 papunkčiuose.

IV. NORIS FUNKCINĖ STRUKTŪRA

18. NORIS funkcinę struktūrą sudaro išoriniai ir vidiniai aplikacijų moduliai:

18.1. vidinių aplikacijų modulius naudoja NORIS naudotojai;

18.2. išorinės DMS aplikacijos modulius naudoja DMS naudotojai;

18.3. išorinis duomenų mainų modulis, skirtas NORIS integracijoms su kitomis informacinėmis sistemomis ir registrais.

19. NORIS vidinių aplikacijų moduliai:

19.1. administravimo modulis, kurio pagrindinės funkcijos:

19.1.1. registruoti ir tvarkyti NORIS klasifikatorius;

19.1.2. registruoti ir tvarkyti NORIS naudotojų, institucijų duomenų, naudotojų teisių ir teisių rinkinių duomenis;

19.1.3. tvarkyti NORIS modulių parametrus (patikros lapų šablonų kūrimą, patikros lapų pildymo, modulių pranešimų, NORIS duomenų objektų nagrinėjimo terminų (užduočių priminimų) duomenis);

19.1.4. registruoti NORIS kitų informacinių sistemų gaunamų/teikiamų duomenų apdorojimo stebėjimui ir integracijos valdymui reikalingus duomenis;

19.1.5. registruoti ir tvarkyti programų ir programų sutarčių, finansavimo programų, biudžeto, terminų, programų sutarčių rezultatų, rodiklių, jų planuojamų ir pasiektų reikšmių, programos operatorių ir partnerių, finansavimo skyrimo procedūros tipų, fondų, kvietimų teikti paraiškas, paraiškų sąrašų ir kvietimų, paraiškų pateikimo terminų duomenis;

19.2. projektų modulis, kurio pagrindinės funkcijos:

19.2.1. registruoti ir tvarkyti bendrus su projekto įgyvendinimu susijusius duomenis, peržiūrėti rodiklių pasiekimų hierarchinius duomenis, priskirtus atsakingus darbuotojus, dokumentų rinkmenas, gautus pranešimus ir priminimus, parametrus ir kitus duomenis;

19.2.2. registruoti ir tvarkyti pateiktas paraiškas ir su jomis susijusius duomenis;

19.2.3. registruoti ir tvarkyti paraiškų vertinimo, vertintojų, vertinimo terminų nustatymo, paraiškos vertinimo eigos ir vertinimo rezultatų duomenis;

19.2.4. registruoti ir tvarkyti projekto įgyvendinimo sutarties duomenis, sutarčių keitimo duomenis ir būsenas, prisegtas rinkmenas;

19.3. projekto pirkimų modulis, kurio pagrindinės funkcijos:

19.3.1. registruoti ir tvarkyti projektų pirkimų planus, bei jų vykdymo duomenis, registruoti ir tvarkyti pirkimų duomenis;

19.3.2. registruoti ir tvarkyti pasirašytas pirkimų sutartis, pirkimo sutarčių patikrinimo ir pirkimo sutarčių vykdymo duomenis;

19.4. mokėjimo prašymų ir patirtų išlaidų modulis, kurio pagrindinės funkcijos yra registruoti ir tvarkyti mokėjimo prašymų grafikus, registruoti ir tvarkyti duomenis apie mokėjimo prašymus ir jų išlaidas, mokėjimo prašymų deklaravimo FMV duomenis, pasiektus rodiklius, tvarkyti mokėjimo prašymo vertinimo duomenis;

19.5. grąžintinų lėšų modulis, kurio pagrindinės funkcijos yra registruoti ir tvarkyti projektų grąžintinų lėšų ir jų grąžinimo duomenis, grąžintinų lėšų deklaravimo FMV duomenis, negrąžintų lėšų, grąžinimų, nurašymo, padengimo ir perdavimo Centralizuotai valdomo valstybės turto valdytojui duomenis;

19.6. koregavimų modulis, kurio pagrindinės funkcijos registruoti ir tvarkyti mokėjimo prašymų patirtų išlaidų perskirstymą (tarp projekto biudžeto kategorijų, rodiklių, pirkimo sutarčių);

19.7. patikrų vietoje modulis, kurio pagrindinės funkcijos yra registruoti patikras vietoje (paraiškų vertinimo, projektų įgyvendinimo metu), tvarkyti patikros vietoje dalyvių priskyrimą, tvarkyti patikros vietoje patikrų vietoje duomenis, registruoti ir tvarkyti patikros vietoje metu nustatytų neatitikimų ir jų ištaisymo duomenis;

19.8. pažeidimų modulis, kurio pagrindinės funkcijos yra registruoti ir tvarkyti gautą informaciją apie įtariamą pažeidimą, įtariamo pažeidimo/pažeidimo informaciją, įtariamo pažeidimo/pažeidimo tyrimo ir pažeidimo sprendimo informaciją, pažeidimo sprendimo įgyvendinimo informaciją;

19.9. išlaidų deklaravimo modulis, skirtas registruoti ir tvarkyti atskaitas FMV iš mokėjimo prašymo ir kitų reikalingų duomenų;

19.10. ataskaitų modulis, kurio pagrindinės funkcijos yra formuoti nustatytos formos analitines ataskaitas, surenkant ir apibendrinant duomenis iš kitų NORIS modulių.

20. NORIS išorinės DMS aplikacijos moduliai:

20.1. projektų modulis, skirtas peržiūrėti bendrus projekto duomenis, priskirtus atsakingus darbuotojus, gautus pranešimus ir priminimus, teikti ir gauti paraiškų duomenis, teikti ir gauti vykdomų sutarčių ir jų pakeitimų duomenis;

20.2. mokėjimo prašymų ir patirtų išlaidų modulis, skirtas teikti ir gauti mokėjimo prašymų, grafikų ir patirtų išlaidų duomenis;

20.3. projekto pirkimų modulis, skirtas teikti ir gauti projekto pirkimo plano ir jo pirkimų duomenis, teikti ir gauti projekto pirkimo sutarčių ir jų patikrų duomenis;

20.4. grąžintinų lėšų modulis, skirtas gauti projekto grąžintinų lėšų duomenis bei duomenis apie skolų grąžinimus;

20.5. patikrų vietoje modulis, skirtas gauti projekto patikrų vietoje duomenis;

20.6. pažeidimų modulis, skirtas gauti projekto pažeidimų tyrimui reikalingus duomenis;

20.7. DMS naudotojų modulis, skirtas administruoti DMS naudotojų duomenis.

21. Išorinis duomenų mainų modulis, skirtas NORIS duomenims iš VIISP, VBAMS, CPVA informacinės sistemos gauti.

V. NORIS DUOMENŲ TEIKIMAS IR NAUDOJIMAS

22. NORIS duomenys, išskyrus asmens duomenis, yra vieši ir teikiami institucijoms, kitiems juridiniams ir fiziniams asmenims, jeigu Lietuvos Respublikos įstatymai ir (ar) Europos Sąjungos teisės aktai nenustato kitaip. Asmens duomenys teikiami vadovaujantis Reglamentu (ES)2016/679 ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu šiame skyriuje nustatyta tvarka.

23. NORIS valdytojo EEE ir Norvegijos finansinių mechanizmų interneto svetainėje https://www.eeagrants.lt, vadovaujantis MAFT nustatyta tvarka ir terminais, yra skelbiami šie NORIS duomenys: informacija apie gautas (pareiškėjo pavadinimas (fizinio asmens vardas, pavardė), projekto pavadinimas, paraiškos kodas, prašomas finansavimas), vertinamas paraiškas (pareiškėjo pavadinimas (fizinio asmens vardas, pavardė), projekto pavadinimas, paraiškos kodas, tinkama finansuoti projekto išlaidų suma, vertintojų išvada dėl projekto veiklų bei išlaidų tinkamumo finansuoti) ir įgyvendinamus projektus (projekto vykdytojo pavadinimas (fizinio asmens vardas, pavardė), projekto pavadinimas, projekto kodas, tinkamų finansuoti projekto išlaidų suma, sutarties pasirašymo data, projekto įgyvendinimo terminas). Vadovaujantis MAFT, duomenys apie pareiškėją ir projektą viešai skelbiami vertinimo ir atrankos proceso skaidrumui užtikrinti bei viešinimo ir įgyvendinimo tikslais (viešojo intereso tikslais). Dokumentai pakartotiniam naudojimui nėra teikiami.

24. NORIS duomenis NORIS duomenų gavėjams pagal duomenų teikimo sutartis ar vienkartinius prašymus teikia NORIS tvarkytojas.

25. NORIS duomenys NORIS duomenų gavėjams teikiami pagal NORIS duomenų gavimo sutartis (daugkartinio teikimo atveju), kuriose nurodomas duomenų teikimo teisinis pagrindas, sąlygos, tvarka, teikiamų duomenų apimtis ir asmens duomenų naudojimo tikslas, arba pagal vienkartinius prašymus (vienkartinio teikimo atveju), kuriuose turi būti nurodytas duomenų (įskaitant asmens duomenis) naudojimo tikslas, teikimo ir gavimo teisinis pagrindas, prašomų pateikti duomenų (įskaitant asmens duomenis) apimtis, pateikimo būdas ir duomenų formatas.

26. Tuo atveju, kai NORIS duomenų gavėjai yra registruoti NORIS ir jiems yra suteiktos prieigos teisės, jie gauna tik registruotiems naudotojams skirtus ir su jų organizacija susijusius duomenis. DMS naudotojai duomenis iš NORIS gauna per jiems sukurtą duomenų mainų sistemą.

27. Tuo atveju, kai NORIS duomenų gavėjai nėra registruoti NORIS ir (arba) DMS, jiems NORIS duomenys teikiami tokio turinio ir formos, kokie sistemoje saugomi, naudojami ar sugeneruojami ataskaitų pagalba ir nereikalauja papildomo duomenų apdorojimo. Teikiant informaciją naudojami Išteklių valdymo įstatyme numatyti informacijos teikimo būdai.

28. NORIS duomenų gavėjas duomenis, gautus iš NORIS, gali naudoti tik tokiam tikslui, tokios apimties ir tokiu būdu, kokie buvo nustatyti duomenų teikimo sutartyje arba vienkartiniame prašyme.

29. NORIS duomenys NORIS duomenų gavėjams gali būti teikiami, perduodami panaudojant tinklines paslaugas automatiniu būdu, teikiami raštu arba žodžiu ir (arba) elektroninių ryšių priemonėmis.

30. Duomenys NORIS duomenų gavėjams teikiami neatlygintinai.

31. Duomenys Europos Sąjungos valstybių narių ir (arba) EEE valstybių, trečiųjų šalių fiziniams ir juridiniams asmenims, juridinio asmens statuso neturintiems subjektams, jų filialams ir atstovybėms teikiami vadovaujantis Reglamentu (ES)2016/679 ir Išteklių valdymo įstatymu šiame skyriuje nustatyta tvarka.

32. Kai atsisakoma teikti NORIS duomenis, asmeniui, pateikusiam prašymą juos gauti, raštu arba elektroninių ryšių priemonėmis pranešama apie priimtą motyvuotą sprendimą atsisakyti tenkinti jo prašymą ir suteikiama informacija apie tokio sprendimo apskundimo tvarką. Atsisakymas teikti NORIS duomenis skundžiamas Lietuvos Respublikos administracinių bylų teisenos įstatymo nustatyta tvarka.

33. NORIS duomenų gavėjas, DMS naudotojai, registro ar kitos valstybės informacinės sistemos tvarkytojas, ar kiti asmenys turi teisę reikalauti ištaisyti netikslius duomenis, ištrinti neteisingus duomenis, papildyti neišsamius duomenis ir apie tai raštu arba elektroninių ryšių priemonėmis pranešti NORIS tvarkytojui.

34. NORIS tvarkytojas, gavęs reikalavimą dėl netikslių, neteisingų, neišsamių duomenų (toliau – netikslūs duomenys) tvarkymo, per 5 darbo dienas nuo informacijos gavimo patikrina NORIS duomenų tikslumą ir, jeigu reikia, ištaiso netikslius duomenis. Pranešimas apie netikslių duomenų ištaisymą arba apie motyvuotą atsisakymą tai padaryti nedelsiant (ne vėliau kaip per vieną darbo dieną) siunčiamas asmeniui, pranešusiam apie netikslius duomenis, paštu ir (ar) elektroninių ryšių priemonėmis. Ištaisęs netikslius duomenis, NORIS tvarkytojas per vieną darbo dieną nuo jų ištaisymo apie tai praneša NORIS duomenų gavėjams, kuriems perduoti netikslūs duomenys.

35. NORIS tvarkytojas, nustatęs, kad yra NORIS duomenų netikslumų, turi nedelsdamas (ne vėliau kaip per vieną darbo dieną) elektroninių ryšių tinklais ir (ar) raštu perduoti šią informaciją susijusiam duomenų teikėjui.

VI. NORIS DUOMENŲ SAUGA

36. Už NORIS duomenų saugą (konfidencialumą, vientisumą ir prieinamumą) pagal kompetenciją Lietuvos Respublikos įstatymų nustatyta tvarka atsako NORIS valdytojas ir tvarkytojas.

37. NORIS valdytojas ir tvarkytojas duomenų saugą užtikrina vadovaudamasis:

37.1. Reglamentu (ES)2016/679;

37.2. Išteklių valdymo įstatymu;

37.3. Lietuvos Respublikos kibernetinio saugumo įstatymu;

37.4. Saugos reikalavimų aprašu;

37.5. Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašu ir informacinių technologijų saugos atitikties vertinimo metodika, patvirtintais Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 24 d. įsakymu Nr. 1V-941 „Dėl techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

37.6. Kibernetinio saugumo reikalavimų aprašu;

37.7. Lietuvos standartais LST ISO/IEC 27002, LST ISO/IEC 27001 bei kiti Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo metodai“ grupės standartais, apibūdinančiais saugų informacinių sistemų duomenų tvarkymą;

37.8. Nuostatais, NORIS duomenų saugos nuostatais, NORIS naudotojų administravimo taisyklėmis, CPVA valdomų informacinių sistemų elektroninės informacijos tvarkymo taisyklėmis, CPVA valdomų informacinių sistemų veiklos tęstinumo valdymo planu, CPVA asmens duomenų tvarkymo taisyklėmis, NORIS ir DMS taisyklėmis.

38. NORIS valdytojas ir tvarkytojas užtikrina NORIS saugos politikos įgyvendinančių dokumentų reikalavimų vykdymą, nustatydamas administracines, technines, organizacines ir kitas priemones, skiriamas NORIS elektroninės informacijos patikimumui ir saugai nuo netyčinio ar neteisėto NORIS duomenų sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jų. Minėtos priemonės turi užtikrinti tokio lygio saugumą, kuris atitiktų saugotinų NORIS duomenų pobūdį, aprėptį, kontekstą ir tikslus, taip pat NORIS duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus asmenų teisėms ir laisvėms ir jų tvarkymo riziką.

39. Už saugų NORIS duomenų tvarkymą jiems priskirtos kompetencijos lygmenyje atsako NORIS valdytojas, NORIS tvarkytojas, NORIS duomenų tvarkytojai ir DMS naudotojai.

40. Asmenys, kurie tvarko duomenis, privalo saugoti duomenų paslaptį, jeigu šie duomenys nėra skirti skelbti viešai. Ši pareiga galioja ir jiems pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas arba pasibaigus jų darbo ar sutartiniams santykiams.

41. NORIS valdytojas, NORIS tvarkytojas, NORIS duomenų tvarkytojai, DMS naudotojai, pažeidę NORIS duomenų saugos dokumentuose, kituose teisės aktuose nustatytus reikalavimus, atsako Lietuvos Respublikos įstatymų ir kitų teisės aktų nustatyta tvarka.

42. NORIS duomenys (įskaitant asmens duomenis) saugomi 3 metus nuo paskutinės EEE ir Norvegijos finansinių mechanizmų programos galutinės ataskaitos patvirtinimo (Reglamentų 9.8 straipsnių 3 dalys) Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka.

VII. NORIS FINANSAVIMAS

43. NORIS kūrimas, diegimas, eksploatavimas, tobulinimas, priežiūra ir plėtra finansuojama EEE ir Norvegijos finansinių mechanizmų lėšomis.

VIII. NORIS MODERNIZAVIMAS IR LIKVIDAVIMAS

44. NORIS modernizuojama ir likviduojama Išteklių valdymo įstatymo, Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo aprašo bei kitų teisės aktų nustatyta tvarka.

45. Modernizuojamos ar likviduojamos NORIS duomenys gali būti perduodami kitai informacinei sistemai, kuri steigiama ar integruojama vietoj likviduojamos, sunaikinami arba perduodami valstybės archyvams Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka.

IX. BAIGIAMOSIOS NUOSTATOS

46. Už Nuostatų pažeidimus NORIS valdytojas, NORIS tvarkytojas, NORIS duomenų tvarkytojai, DMS naudotojai atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

47. Detali duomenų subjekto teisių įgyvendinimo tvarka nustatyta CPVA asmens duomenų tvarkymo taisyklėse, skelbiamose https://www.cpva.lt/asmens-duomenu-apsauga/479.

PATVIRTINTA

VšĮ Centrinės projektų valdymo agentūros

direktoriaus 2019 m. balandžio 15 d.

įsakymu Nr. 2019/8-86

(2021 m. sausio 14 d. įsakymo Nr. 2021/8-10

redakcija)

2014-2021 M. EUROPOS EKONOMINĖS ERDVĖS IR NORVEGIJOS FINANSINIŲ MECHANIZMŲ ADMINISTRAVIMO IR PROCESŲ AUTOMATIZAVIMO INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI

I. BENDROSIOS NUOSTATOS

1. 2014-2021 m. Europos Ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos (toliau – NORIS) duomenų saugos nuostatai (toliau – saugos nuostatai) reglamentuoja NORIS saugos politiką: NORIS elektroninės informacijos saugos valdymą, organizacinius ir techninius reikalavimus, reikalavimus personalui, NORIS administratorių, NORIS ir 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos duomenų mainų svetainės (toliau – DMS) naudotojų, NORIS saugos įgaliotinio supažindinimo su saugos politiką įgyvendinančiais dokumentais principus.

2. Naudojamos sąvokos:

2.1. NORIS elektroninė informacija – duomenys, dokumentai ir informacija, tvarkomi NORIS;

2.2. NORIS naudotojas – NORIS valdytojo ir tvarkytojo ir (ar) NORIS duomenų tvarkytojų valstybės tarnautojas ir (arba) darbuotojas, dirbantis pagal darbo sutartį, NORIS veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją tvarkantis NORIS elektroninę informaciją;

2.3. DMS naudotojas – juridinių ir fizinių asmenų, potencialių paraiškų teikėjų, ir fizinių ir juridinių asmenų, kurie vykdo projektų įgyvendinimo sutartyse numatytas projektų įgyvendinimo veiklas, valstybės tarnautojas ir (arba) darbuotojas, dirbantys pagal darbo sutartis, NORIS veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją tvarkantis NORIS elektroninę informaciją;

2.4. NORIS administratorius – NORIS valdytojo ir tvarkytojo darbuotojas, dirbantis pagal darbo sutartį, prižiūrintis NORIS infrastruktūrą, užtikrinantis jos veikimą, elektroninės informacijos saugą, NORIS žinynų ir naudotojų administravimą (sąvoka naudojama visiems 9 punkte nurodytiems administratorių tipams įvardinti);

2.5. Kitos NORIS saugos nuostatuose vartojamos sąvokos atitinka apibrėžtas:

2.5.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES)2016/679);

2.5.2. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme (toliau – Išteklių valdymo įstatymas);

2.5.3. Lietuvos Respublikos kibernetinio saugumo įstatyme;

2.5.4. Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Saugos dokumentų turinio gairių apraše ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Saugos reikalavimų aprašas);

2.5.5. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarime Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

2.5.6. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų apraše ir informacinių technologijų saugos atitikties vertinimo metodikoje, patvirtintuose Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. 1V-941 “Dėl techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo”;

2.5.7. 2014-2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos nuostatuose, patvirtintuose VšĮ Centrinės projektų valdymo agentūros (toliau – CPVA) direktoriaus 2019 m. balandžio 15 d. įsakymu Nr. 2019/8-86 „Dėl 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos nuostatų ir duomenų saugos nuostatų patvirtinimo“ (toliau – NORIS nuostatai);

2.5.8. 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos naudojimo taisyklėse, patvirtintose CPVA direktoriaus 2020 m. liepos 31 d. įsakymu Nr. 2020/8-247 „Dėl 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos naudojimo taisyklių patvirtinimo“ (toliau – NORIS taisyklės);

2.5.9. 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos duomenų mainų svetainės naudojimo taisyklėse, patvirtintose CPVA direktoriaus 2020 m. balandžio 22 d. įsakymu Nr. 2020/8-136 „Dėl 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos duomenų mainų svetainės naudojimo taisyklių patvirtinimo“ (toliau – DMS taisyklės);

2.5.10. Asmens duomenų tvarkymo viešojoje įstaigoje Centrinėje projektų valdymo agentūroje tvarkos apraše, patvirtintame CPVA direktoriaus 2018 m. gegužės 23 d. įsakymu Nr. 2018/8-112 „Dėl asmens duomenų tvarkymo viešojoje įstaigoje Centrinėje projektų valdymo agentūroje tvarkos aprašo patvirtinimo“ (toliau – CPVA asmens duomenų tvarkymo taisyklės);

2.5.11. Lietuvos standartuose LST ISO / IEC 27002 ir LST ISO / IEC 27001 bei kituose Lietuvos ir tarptautiniuose „Informacinės technologijos. Saugumo metodai“ grupės standartuose vartojamas sąvokas.

3. NORIS elektroninės informacijos saugumo užtikrinimo tikslai:

3.1. saugiai kaupti ir tvarkyti elektroninę informaciją NORIS;

3.2. užtikrinti NORIS kaupiamos elektroninės informacijos konfidencialumą, prieinamumą, vientisumą.

4. NORIS elektroninės informacijos saugumo prioritetinės kryptys:

4.1. NORIS kaupiamos elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas;

4.2. NORIS veiklos tęstinumo užtikrinimas;

4.3. NORIS elektroninės informacijos asmens duomenų apsauga;

4.4. organizacinių, techninių, programinių, teisinių, informacijos sklaidos priemonių, skirtų elektroninės informacijos saugai užtikrinti, įgyvendinimas ir kontrolė.

5. NORIS saugos nuostatų reikalavimai taikomi:

5.1. NORIS valdytojui ir tvarkytojui – CPVA (S. Konarskio g. 13, 03109 Vilnius);

5.2. NORIS duomenų tvarkytojams:

5.2.1. Lietuvos Respublikos finansų ministerijai (Lukiškių g. 2, 01512 Vilnius);

5.2.2. CPVA (S. Konarskio g. 13, 03109 Vilnius);

5.2.3. Mokslo, inovacijų ir technologijų agentūrai (A. Goštauto g. 12-219, 01108 Vilnius);

5.2.4. Lietuvos mokslo tarybai (Gedimino pr. 3, 01103 Vilnius);

5.2.5. Lietuvos Respublikos ekonomikos ir inovacijų ministerijai (Gedimino pr. 38, 01104 Vilnius);

5.2.6. Lietuvos Respublikos švietimo, mokslo ir sporto ministerijai (A. Volano g. 2, 01124 Vilnius);

5.2.7. Lietuvos Respublikos sveikatos apsaugos ministerijai (Vilniaus g. 33, 01506 Vilnius);

5.2.8. Lietuvos Respublikos socialinės apsaugos ir darbo ministerijai (A. Vivulskio g. 11, 03610 Vilnius);

5.2.9. Lietuvos Respublikos kultūros ministerijai (J. Basanavičiaus g. 5, 01118 Vilnius);

5.2.10. Lietuvos Respublikos energetikos ministerijai (Gedimino pr. 38, 01104 Vilnius);

5.2.11. Lietuvos Respublikos vidaus reikalų ministerijai (Šventaragio g. 2, 01510 Vilnius.);

5.2.12. Lietuvos Respublikos aplinkos ministerijai (A. Jakšto g. 4, 01105 Vilnius);

5.2.13. Lietuvos Respublikos teisingumo ministerijai (Gedimino pr. 30, 01104 Vilnius);

5.2.14. Lietuvos Respublikos generalinei prokuratūrai (Rinktinės g. 5A, 01515 Vilnius);

5.2.15. Nacionalinei teismų administracijai (L. Sapiegos g. 15, 10312, Vilnius);

5.2.16. Lietuvos Respublikos specialiųjų tyrimų tarnybai (A. Jakšto g. 6, 01105 Vilnius);

5.3. NORIS administratoriams, NORIS ir DMS naudotojams, NORIS saugos įgaliotiniui.

6. NORIS valdytojas rengia ir tvirtina šiuos saugos politiką įgyvendinančius dokumentus:

6.1. CPVA valdomų informacinių sistemų saugaus elektroninės informacijos tvarkymo taisykles;

6.2. NORIS naudotojų administravimo taisykles;

6.3. CPVA valdomų informacinių sistemų veiklos tęstinumo valdymo planą.

7. NORIS valdytojo ir tvarkytojo funkcijos ir atsakomybė:

7.1. rengia ir tvirtina NORIS saugos nuostatus ir saugos politiką įgyvendinančius dokumentus;

7.2. užtikrina veiksmingą ir spartų NORIS pokyčių valdymo planavimą;

7.3. skiria NORIS saugos įgaliotinį, NORIS administratorius;

7.4. atsako už NORIS saugos politikos formavimą ir įgyvendinimo organizavimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą;

7.5. atlieka NORIS nuostatuose ir Išteklių valdymo įstatyme nustatytas funkcijas ir turi šiame įstatyme nurodytas teises ir pareigas.

8. NORIS saugos įgaliotinio funkcijos ir atsakomybė:

8.1. teikia NORIS valdytojo vadovui pasiūlymus dėl:

8.1.1. NORIS administratorių paskyrimo ir reikalavimų administratoriui nustatymo;

8.1.2. NORIS informacinių technologijų (toliau – IT) saugos atitikties ir rizikos vertinimo atlikimo organizavimo;

8.1.3. NORIS saugos nuostatų ir saugos politiką įgyvendinančių dokumentų priėmimo, keitimo ar panaikinimo;

8.2. koordinuoja elektroninės informacijos saugos incidentų, įvykusių NORIS, tyrimą ir bendradarbiauja su kompetentingoms institucijoms, tiriančiomis elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais;

8.3. teikia NORIS administratoriams ir NORIS naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su NORIS saugos politikos įgyvendinimu;

8.4. teisės aktų nustatyta tvarka organizuoja IT saugos atitikties ir rizikos vertinimus;

8.5. rengia ir teikia NORIS valdytojui IT saugos atitikties vertinimo ataskaitą;

8.6. periodiškai inicijuoja NORIS administratorių ir NORIS naudotojų supažindinimą su NORIS saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais, informuoja apie jų pakeitimus (priminimai elektroniniu paštu, atmintinės priimtiems naujiems darbuotojams ir pan.) ir atsakomybę už šiuose dokumentuose nustatytų reikalavimų nesilaikymą;

8.7. organizuoja NORIS naudotojų mokymus elektroninės informacijos saugos ir kibernetinio saugumo klausimais;

8.8. peržiūri NORIS saugos nuostatus ir saugos politiką įgyvendinančius dokumentus ne rečiau kaip kartą per kalendorinius metus;

8.9. atsako už tinkamą NORIS saugos nuostatuose nustatytų funkcijų vykdymą;

8.10. atlieka NORIS saugos nuostatuose ir kituose saugos politikos įgyvendinimo dokumentuose nustatytas funkcijas.

9. NORIS administratoriai skirstomi į šiuos tipus:

9.1. NORIS funkcinis administratorius, kurio funkcijos nurodytos NORIS taisyklių 4 skyriuje;

9.2. NORIS žinynų administratorius, kurio funkcijos nurodytos NORIS taisyklių 4 skyriuje;

9.3. NORIS infrastruktūros administratorius, kuris atlieka šias funkcijas:

9.3.1. užtikrina kompiuterinių tinklų veikimą, saugumą, konfigūruoja ir prižiūri kompiuterinių tinklų įrangą;

9.3.2. užtikrina tarnybinių stočių veikimą, saugumą, diegia ir konfigūruoja operacines sistemas ir jų atnaujinimus;

9.3.3. kuria ir administruoja tarnybinių stočių naudotojus ir prieigas prie jų;

9.3.4. atlieka virtualių tarnybinių stočių atsarginį kopijavimą, atstatymą ir priežiūrą;

9.3.5. dalyvauja atliekant IT saugos atitikties vertinimą;

9.3.6. nedelsdamas vykdo NORIS saugos įgaliotinio nurodymus, susijusius su saugos politikos įgyvendinimu, ir jam atsiskaito už pavestą duomenų saugos organizavimą ir saugos priemonių įgyvendinimą;

9.3.7. informuoja NORIS saugos įgaliotinį apie NORIS saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose nustatytų reikalavimų pažeidimus, nusikalstamos veikos požymius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones;

9.3.8. atlieka NORIS saugos nuostatuose ir kituose saugos politikos įgyvendinimo dokumentuose nustatytas funkcijas.

9.4. NORIS sisteminis administratorius, kuris atlieka šias funkcijas:

9.4.1. užtikrina NORIS veikimą, diegia ir administruoja NORIS aplikacijas, duomenų bazių valdymo sistemas ir kt. taikomąją programinę įrangą, rengia ir atnaujina susijusią sąrankos dokumentaciją;

9.4.2. atlieka ir prižiūri duomenų bazių valdymo sistemų atsarginį kopijavimą ir atstatymą;

9.4.3. atlieka NORIS aplikacijų, duomenų bazių valdymo sistemų kt. taikomosios programinės įrangos, sukurtų integracijų su kitomis informacinėmis sistemomis priežiūrą;

9.4.4. atlieka versijų diegimo į kontrolę, NORIS ir (ar) DMS naudotojų informavimą apie planuojamus diegimus ar sutrikimus;

9.4.5. teikia pasiūlymus NORIS saugos įgaliotiniui su duomenų sauga susijusiais klausimais;

9.4.6. dalyvauja atliekant IT saugos atitikties vertinimą;

9.4.7. nedelsdamas vykdo NORIS saugos įgaliotinio nurodymus, susijusius su saugos politikos įgyvendinimu, ir jam atsiskaito už pavestą duomenų saugos organizavimą ir saugos priemonių įgyvendinimą;

9.4.8. informuoja NORIS saugos įgaliotinį apie NORIS saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose nustatytų reikalavimų pažeidimus, nusikalstamos veikos požymius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones;

9.4.9. atlieka NORIS saugos nuostatuose ir kituose saugos politikos įgyvendinimo dokumentuose nustatytas funkcijas.

10. NORIS administratoriai, NORIS naudotojai ir NORIS saugos įgaliotinis, pastebėję asmens duomenų saugumo pažeidimą ir (arba) kitą incidentą, nedelsdami apie tai privalo pranešti CPVA Duomenų apsaugos pareigūnui.

11. NORIS saugų elektroninės informacijos tvarkymą užtikrina:

11.1. Reglamentas (ES)2016/679;

11.2. Išteklių valdymo įstatymas;

11.3. Lietuvos Respublikos kibernetinio saugumo įstatymas;

11.4. Saugos reikalavimų aprašas;

11.5. Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašas ir informacinių technologijų saugos atitikties vertinimo metodika, patvirtinti Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 24 d. įsakymu Nr. 1V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

11.6. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

11.7. Lietuvos standartai LST ISO/IEC 27002, LST ISO/IEC 27001 bei kiti Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo metodai“ grupės standartai, apibūdinantys saugų informacinių sistemų duomenų tvarkymą;

11.8. NORIS nuostatai, NORIS saugos nuostatai, NORIS naudotojų administravimo taisyklės, CPVA valdomų informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklės, CPVA valdomų informacinių sistemų veiklos tęstinumo valdymo planas, CPVA asmens duomenų tvarkymo taisyklės, NORIS ir DMS taisyklės.

II. NORIS ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

12. Vadovaujantis Saugos reikalavimų aprašo 9.1. ir 9.3 papunkčių kriterijais, NORIS priskiriama trečios kategorijos informacinėms sistemoms, kurioje tvarkoma vidutinės svarbos informacija.

13. NORIS rizika vertinama vadovaujantis Lietuvos Respublikos vidaus reikalų ministerijos išleista metodine priemone „Rizikos analizės vadovas“, Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais ir atliekama ne rečiau kaip kartą per metus.

14. Rizikos įvertinimo rezultatai išdėstomi rizikos įvertinimo ataskaitoje, kuri pateikiama NORIS valdytojui ir kuri rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos NORIS elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus.

15. NORIS rizikos veiksniai nurodyti Saugos reikalavimų apraše.

16. Rizikos veiksniai vertinami pagal elektroninės informacijos kategorijas, nustatant jų įtaką NORIS elektroninės informacijos saugai laipsnius:

16.1. Ž – žemas. Duomenų pažeidimo poveikio laipsnis nėra didelis, padariniai nebus pavojingi – informacija išsiųsta kitam adresatui, įvesti netikslūs duomenys, dingo dalis informacijos, kurią galima greitai atkurti iš turimų atsarginių kopijų, prarasta informacija po paskutinio kopijavimo. Neveikia kompiuterinė programinė įranga ir (ar) operacinė sistema kompiuterizuotose darbo vietose;

16.2. V – vidutinis. Duomenų pažeidimo poveikio laipsnis gali būti didelis, padariniai rimti – duomenys netikslūs ar sugadinti, bet juos įmanoma atkurti iš turimų atsarginių kopijų. Duomenų bazių įrašai pakeisti, sunku rasti klaidas ir suklastotą informaciją, neveikia kompiuterinė programinė įranga ir (ar) operacinė sistema tarnybinėse stotyse;

16.3. A – aukštas. Duomenų pažeidimo poveikio laipsnis labai didelis, padariniai rimti – duomenys visiškai sugadinti, dėl vagystės, gaisro ar užliejimo prarasti ne tik NORIS duomenų bazėse buvę duomenys, bet ir atsarginės kopijos.

17. Rizikos vertinimo metu atliekamų darbų apimtis:

17.1. NORIS sudarančių informacinių išteklių inventorizacija;

17.2. NORIS įtakos veiklai vertinimas;

17.3. grėsmių ir pažeidimų analizė;

17.4. liekamosios rizikos vertinimas.

18. Atsižvelgdamas į rizikos įvertinimo ataskaitą, NORIS valdytojas prireikus tvirtina Rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

19. NORIS rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas NORIS valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai.

20. Pagrindiniai NORIS elektroninės informacijos saugos priemonių parinkimo principai:

20.1. saugos priemonių diegimo kaina turi atitikti saugomos informacijos vertę;

20.2. likutinė rizika turi būti sumažinta iki priimtino lygio;

20.3. kur galima, turi būti įdiegtos prevencinės elektroninės informacijos saugos priemonės.

21. Siekiant užtikrinti NORIS nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę, ne rečiau kaip kartą per metus organizuojamas IT saugos atitikties vertinimas, kurio metu:

21.1. įvertinama saugos politikos įgyvendinimo dokumentų ir realios informacijos saugos atitiktis;

21.2. inventorizuojama NORIS techninė ir programinė įranga;

21.3. patikrinama ir įvertinama NORIS administratoriams ir NORIS naudotojams suteiktų teisių ir vykdomų funkcijų atitiktis;

21.4. įvertinamas pasirengimas užtikrinti NORIS veiklos tęstinumą įvykus saugos incidentui.

22. Atlikus IT saugos atitikties įvertinimą, rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato NORIS valdytojas.

23. IT saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano kopijas NORIS valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai.

III. NORIS ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

24. NORIS atitinka saugos nuostatų 11 punkte nurodytuose teisės aktuose numatytus saugos reikalavimus.

25. NORIS programinės įrangos, skirtos apsaugoti informacinę sistemą nuo kenksmingos programinės įrangos, ir kitos programinės įrangos įdiegtos kompiuteriuose ir tarnybinėse stotyse naudojimo nuostatos, tinklo filtravimo įrangos, leistinos kompiuterių naudojimo ribos ir metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą, pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai, konkrečiai nustatomi ir reguliuojami CPVA valdomų informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklėse.

26. Kiekvienas NORIS administratorius ir NORIS ir (ar) DMS naudotojas atsako už elektroninės informacijos, kuri jam prieinama naudojant NORIS, tvarkymo teisėtumą ir tvarkomų duomenų saugą.

IV. NORIS REIKALAVIMAI PERSONALUI

27. NORIS naudotojų, NORIS administratorių, NORIS saugos įgaliotinio kvalifikacija turi atitikti bendruosius ir specialiuosius reikalavimus, nustatytus jų pareiginiuose nuostatuose.

28. NORIS administratoriai ir NORIS naudotojai privalo turėti pagrindinius darbo su kompiuteriu įgūdžius, prieš pradėdami tvarkyti NORIS elektroninę informaciją, turi būti susipažinę su NORIS nuostatais, NORIS saugos nuostatais, NORIS taisyklėmis, Reglamentu (ES)2016/679 ir kitais saugos politiką įgyvendinančiais dokumentais.

29. DMS naudotojai privalo turėti pagrindinius darbo su kompiuteriu įgūdžius, prieš pradėdami tvarkyti NORIS elektroninę informaciją turi būti susipažinę su NORIS nuostatais, NORIS saugos nuostatais ir DMS taisyklėmis.

30. NORIS administratoriai, NORIS ir DMS naudotojai privalo rūpintis tvarkomos elektroninės informacijos saugumu.

31. NORIS saugos įgaliotinis privalo išmanyti informacinių sistemų administravimo ir elektroninės informacijos saugos principus, elektroninės informacijos užtikrinimo metodus ir kitus Lietuvos Respublikos ir Europos Sąjungos teisės aktus ir standartus reglamentuojančius saugų duomenų tvarkymą, sugebėti įgyvendinti ir prižiūrėti NORIS saugą.

32. NORIS saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos skyrimo praėję mažiau kaip vieni metai.

33. NORIS sisteminis administratorius turi išmanyti elektroninės informacijos saugos principus, darbą su operacinėmis sistemomis, duomenų bazių valdymo sistemų ir aplikacijų administravimo pagrindus.

34. NORIS infrastruktūros administratorius privalo sugebėti užtikrinti techninės ir programinės įrangos nepertraukiamą funkcionavimą, stebėti techninės ir programinės, tinklo įrangos veikimą, atlikti techninės ir programinės įrangos profilaktinę priežiūrą, nustatyti ir šalinti sutrikimus.

35. NORIS saugos įgaliotinis pagal NORIS naudotojų išreikštą poreikį arba įvykus saugos incidentui gali inicijuoti NORIS naudotojų mokymus elektroninės informacijos saugos klausimais.

V. NORIS IR DMS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

36. NORIS ir DMS naudotojų supažindinimo su saugos dokumentais tvarka principai:

36.1. už NORIS ir DMS naudotojų supažindinimą su NORIS saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais ir atsakomybe už šių reikalavimų nesilaikymą yra atsakingas NORIS saugos įgaliotinis;

36.2. NORIS ir DMS naudotojai su NORIS saugos nuostatais ir taikomais kitais saugos politiką įgyvendinančiais dokumentais bei atsakomybe už šių reikalavimų nesilaikymą supažindinami pirmą kartą prisijungus prie NORIS, išsaugant susipažinimo datą;

36.3. pakartotinai su NORIS saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais NORIS ir DMS naudotojai supažindinami tik iš esmės pasikeitus NORIS arba elektroninės informacijos saugą reglamentuojantiems teisės aktams;

36.4. NORIS saugos įgaliotinis gali papildomai inicijuoti NORIS naudotojų supažindinimą su NORIS saugos politiką įgyvendinančiais dokumentais, informuoja apie jų pakeitimus (priminimai elektroniniu paštu, atmintinės priimtiems naujiems darbuotojams ir pan.) ir atsakomybę už šiuose dokumentuose nustatytų reikalavimų nesilaikymą;

36.5. NORIS saugos įgaliotinis, NORIS administratoriai, NORIS ar DMS naudotojai, pažeidę NORIS saugos nuostatų ar kitų saugos politiką įgyvendinančių dokumentų, atsako teisės aktų nustatyta tvarka.