VALSTYBINĖS VISUOMENĖS SVEIKATOS PRIEŽIŪROS TARNYBOS PRIE SVEIKATOS APSAUGOS MINISTERIJOS DIREKTORIAUS

ĮSAKYMAS

 

DĖL VISUOMENĖS SVEIKATOS SAUGOS INFORMACINĖS SISTEMOS NUOSTATŲ IR VISUOMENĖS SVEIKATOS SAUGOS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

 

2008 m. liepos 15 d. Nr. V-54

Vilnius

 

 

Įgyvendindamas Lietuvos Respublikos visuomenės sveikatos priežiūros įstatymo (Žin., 2002, Nr. 56-2225; 2007, Nr. 64-2455) 15 straipsnio 1 dalies 2 ir 3 punktų, 2 dalies, 3 dalies 1 ir 2 punktų, 44 straipsnio 11 dalies nuostatas ir vadovaudamasis Valstybės informacinių sistemų steigimo ir įteisinimo taisyklėmis, patvirtintomis Lietuvos Respublikos Vyriausybės 2004 m. balandžio 19 d. nutarimu Nr. 451 (Žin., 2004, Nr. 58-2061), Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45; 2007, Nr. 49-1891), Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070):

1. Tvirtinu pridedamus:

1.1. Visuomenės sveikatos saugos informacinės sistemos nuostatus;

1.2. Visuomenės sveikatos saugos informacinės sistemos duomenų saugos nuostatus.

2. Skiriu Valstybinės visuomenės sveikatos priežiūros tarnybos prie Sveikatos apsaugos ministerijos Komunikacijų skyriaus vyriausiąjį specialistą (informacinėms technologijoms) Visuomenės sveikatos saugos informacinės sistemos saugos įgaliotiniu.

3. Pavedu:

3.1. Visuomenės sveikatos saugos informacinės sistemos saugos įgaliotiniui iki š. m. lapkričio 1 d.:

3.1.1. parengti ir pateikti tvirtinti Informacinės sistemos specifikaciją, Visuomenės sveikatos saugos informacinės sistemos veiklos tęstinumo valdymo planą, Saugaus elektroninės informacijos tvarkymo taisykles, Visuomenės sveikatos saugos informacinės sistemos naudotojų administravimo taisykles, Rizikos ataskaitą, detalias instrukcijas ir procedūrų aprašymus;

3.1.2. atlikti duomenų saugos mokymus Visuomenės sveikatos saugos informacinės sistemos vartotojams.

3.2. Įsakymo vykdymo kontrolę direktoriaus pavaduotojui pagal administravimo sritį.

4. Nustatau, kad šis įsakymas, išskyrus 2 ir 3 punktus, įsigalioja nuo 2009 m. sausio 1 d.

 

 

 

DIREKTORIAUS PAVADUOTOJAS, LAIKINAI

VYKDANTIS DIREKTORIAUS FUNKCIJAS                                        PAULIUS ČELKIS

PATVIRTINTA

Valstybinės visuomenės sveikatos priežiūros

tarnybos prie Sveikatos apsaugos ministerijos

direktoriaus 2008 m. liepos 15 d. įsakymu
Nr. V-54

 

VISUOMENĖS SVEIKATOS SAUGOS INFORMACINĖS SISTEMOS NUOSTATAI

 

I. BENDROSIOS NUOSTATOS

 

1. Visuomenės sveikatos saugos informacinės sistemos nuostatai (toliau – Nuostatai) reglamentuoja Visuomenės sveikatos saugos informacinės sistemos (toliau – VSSIS) paskirtį ir pagrindines funkcijas, jos valdytoją, tvarkytojus, jų teises ir pareigas, VSSIS informacinę ir funkcinę struktūras, VSSIS duomenų tvarkymą ir naudojimą, VSSIS duomenų saugos reikalavimus bei VSSIS reorganizavimą ir likvidavimą.

2. VSSIS – tai Valstybinės visuomenės sveikatos priežiūros tarnybos prie Sveikatos apsaugos ministerijos (toliau – VVSPT) ir VVSPT pavaldžių teritorinių visuomenės sveikatos priežiūros įstaigų (toliau – VVSPT pavaldžios įstaigos) teisės aktų nustatytoms visuomenės sveikatos saugos funkcijoms atlikti reikalingos informacijos apdorojimo procesus (duomenų ir dokumentų tvarkymo, skaičiavimo, bendravimo nuotoliniu būdu ir kt.) atliekanti sistema, kurios pagalba vykdomi mainai tarp VVSPT ir VVSPT pavaldžių įstaigų.

3. VSSIS steigimo pagrindas – Lietuvos nacionalinė visuomenės sveikatos priežiūros 2006–2013 metų strategija ir jos įgyvendinimo priemonių 2006–2008 metų planas, patvirtintas Lietuvos Respublikos Vyriausybės 2001 m. liepos 1 d. nutarimu Nr. 941 (Žin., 2001, Nr. 66-2418; 2006, Nr. 70-2574).

4. Teisės aktai, reglamentuojantys VSSIS veiklos sritį ir kuriais vadovaujantis tvarkoma VSSIS:

4.1. Lietuvos Respublikos visuomenės sveikatos priežiūros įstatymas (Žin., 2002, Nr. 56-2225);

4.2. Lietuvos Respublikos administracinių teisės pažeidimų kodeksas (Žin., 1985, Nr. 1-1);

4.3. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804);

4.4. Valstybės informacinių sistemų steigimo ir įteisinimo taisyklės, patvirtintos Lietuvos Respublikos Vyriausybės 2004 m. balandžio 19 d. nutarimu Nr. 451 (Žin., 2004, Nr. 58-2061);

4.5. Lietuvos Respublikos sveikatos apsaugos ministro 2007 m. spalio 7 d. įsakymas Nr. V-791 „Dėl Ūkinės komercinės veiklos rūšių, kuriomis būtinas leidimas-higienos pasas, sąrašo bei Leidimų-higienos pasų išdavimo taisyklių patvirtinimo“ (Žin., 2007, Nr. 106-4352);

4.6. Valstybinės visuomenės sveikatos priežiūros tarnybos prie Sveikatos apsaugos ministerijos direktoriaus 2005 m. gruodžio 30 d. įsakymas Nr. V-99 „Dėl Maisto tvarkymo subjekto visuomenės sveikatos saugos ekspertizės tvarkos aprašo patvirtinimo“ (Žin., 2006, Nr. 4-134);

4.7. Valstybinės visuomenės sveikatos priežiūros tarnybos prie Sveikatos apsaugos ministerijos direktoriaus 2006 m. sausio 25 d. įsakymas Nr. V-8 „Dėl Tiesioginės valstybinės visuomenės sveikatos saugos kontrolės reglamento ir Pavedimo atlikti patikrinimą, Patikrinimo akto, Administracinio teisės pažeidimo protokolo, Nutarimo administracinio teisės pažeidimo byloje formų patvirtinimo ir įgaliojimų suteikimo“ (Žin., 2006, Nr. 12-456).

5. VSSIS steigėjas yra VVSPT.

6. VSSIS tikslai – aprūpinti VVSPT ir VVSPT pavaldžias įstaigas informacija, reikalinga laiku ir kokybiškai vykdyti teisės aktais pavestas visuomenės sveikatos saugos funkcijas.

7. VSSIS pagrindinės funkcijos – kaupti, sisteminti, analizuoti ir saugoti šių Nuostatų 15 punkte nurodytus duomenis; sukurti specializuotus elektroninius duomenų mainus tarp VVSPT ir VVSPT pavaldžių įstaigų.

8. VSSIS veikimo laukiamas rezultatas – įgyvendinti šių Nuostatų 6 punkte keliamus tikslus.

9. VSSIS asmens duomenų tvarkymo tikslas – identifikuoti asmenį, kurio duomenys tvarkomi VSSIS, kad VVSPT ir VVSPT pavaldžios įstaigos galėtų tinkamai įgyvendinti šių Nuostatų 4 punkte minimų teisės aktų reikalavimus, susijusius su leidimų išdavimu, administracinių poveikio priemonių taikymu ir ne daugiau nei to reikalauja minėtų teisės aktų nuostatos.

 

II. VSSIS ORGANIZACINĖ STRUKTŪRA

 

10. VSSIS organizacinė struktūra:

10.1. VSSIS valdytojas – VVSPT;

10.2. VSSIS tvarkytojai – VVSPT ir VVSPT pavaldžios įstaigos – Vilniaus visuomenės sveikatos centras, Klaipėdos visuomenės sveikatos centras, Kauno visuomenės sveikatos centras, Šiaulių visuomenės sveikatos centras, Panevėžio visuomenės sveikatos centras, Telšių visuomenės sveikatos centras, Marijampolės visuomenės sveikatos centras, Tauragės visuomenės sveikatos centras, Utenos visuomenės sveikatos centras, Alytaus visuomenės sveikatos centras;

10.3. VSSIS naudotojai – VVSPT ir VVSPT pavaldžių įstaigų valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartis.

11. VSSIS valdytojo funkcijos:

11.1. rengti ir tvirtinti teisės aktus, reglamentuojančius VSSIS duomenų tvarkymą ir saugą;

11.2. metodiškai vadovauti VSSIS tvarkytojams, koordinuoti jų veiklą, susijusią su VSSIS tvarkymu;

11.3. organizuoti VSSIS naudotojų kvalifikacijos tobulinimą;

11.4. analizuoti teisines, technines, technologines, metodologines ir organizacines VSSIS tvarkymo problemas ir pagal savo kompetenciją priimti sprendimus, kurių reikia VSSIS tvarkymui užtikrinti;

11.5. užtikrinti ir įgyvendinti VSSIS duomenų saugos priemones;

11.6. organizuoti VSSIS techninės ir programinės įrangos kūrimo, tobulinimo, diegimo darbus ir metodiškai jiems vadovauti;

11.7. sudaryti šių Nuostatų 16 punkte nurodytas VSSIS duomenų teikimo sutartis;

11.8. užtikrinti duomenų subjektų teisių, įtvirtintų Asmens duomenų teisinės apsaugos įstatyme, įgyvendinimą;

11.9. atlikti kitas įstatymuose, kituose teisės aktuose ir Nuostatuose nustatytas funkcijas.

12. VSSIS tvarkytojų funkcijos:

12.1. VSSIS tvarkytojas – VVSPT:

12.1.1. tvarko VSSIS duomenis įstatymų, kitų teisės aktų ir Nuostatų nustatyta tvarka;

12.1.2. suteikia teises VSSIS naudotojams (VVSPT dirbantiems valstybės tarnautojams ir darbuotojams, dirbantiems pagal darbo sutartis);

12.1.3. užtikrina, kad į VSSIS nebūtų įrašomi neteisingi, neišsamūs ar netikslūs duomenys.

12.2. VSSIS tvarkytojai – VVSPT pavaldžios įstaigos:

12.2.1. tvarko VSSIS duomenis įstatymų, kitų teisės aktų ir Nuostatų nustatyta tvarka (aptarnaujamos apskrities duomenis);

12.2.2. suteikia teises VSSIS naudotojams (įstaigoje dirbantiems valstybės tarnautojams ir darbuotojams, dirbantiems pagal darbo sutartis);

12.2.3. užtikrina VSSIS duomenų saugą;

12.2.4. teikia siūlymus VSSIS valdytojui dėl VSSIS eksploatavimui ir priežiūrai skirtų techninių, programinių priemonių įsigijimo, organizuoja jų įdiegimą ir modernizavimą;

12.2.5. užtikrina, kad į VSSIS nebūtų įrašomi neteisingi, neišsamūs ar netikslūs duomenys;

12.2.6. užtikrina duomenų subjektų teisių, įtvirtintų Asmens duomenų teisinės apsaugos įstatyme, įgyvendinimą;

12.2.7. atlieka kitas įstatymuose, kituose teisės aktuose ir Nuostatuose nustatytas funkcijas.

13. VSSIS naudotojai gali susipažinti su duomenimis ir jais naudotis pagal jiems suteiktą prieigos teisių lygmenį.

14. VSSIS duomenų gavėjai:

14.1. apskrities viršininko administracija, teisės aktų nustatyta tvarka naudojanti Nuostatų 15.1.2, 15.1.4, 15.1.5 punktuose numatytus duomenis;

14.2. Valstybinė maisto ir veterinarijos tarnyba, teisės aktų nustatyta tvarka naudojanti Nuostatų 15.2.2 punkte numatytus duomenis.

 

III. VSSIS INFORMACINĖ STRUKTŪRA

 

15. VSSIS duomenų bazes sudaro:

15.1. leidimų-higienos pasų duomenų bazė, kurioje kaupiami paraiškų gauti leidimus-higienos pasus, ūkinės komercinės veiklos vykdymo sąlygų vertinimo pažymų, leidimų-higienos pasų, sprendimų atsisakyti išduoti leidimus-higienos pasus, sprendimų sustabdyti leidimų-higienos pasų galiojimą, sprendimų panaikinti leidimų-higienos pasų galiojimo sustabdymą, sprendimų atsisakyti panaikinti leidimų-higienos pasų galiojimo sustabdymą ir sprendimų panaikinti leidimų-higienos pasų galiojimą duomenys. Leidimų-higienos pasų duomenų bazėje tvarkomi šie duomenys ir jų elementai:

15.1.1. paraiškos gauti leidimą-higienos pasą duomenys: registracijos numeris, data, ūkinės komercinės veiklos klasė arba poklasis, pavadinimas, juridinio asmens duomenys (pavadinimas, kodas, buveinės adresas, veiklos vykdymo adresas) arba fizinio asmens duomenys (vardas, pavardė, asmens kodas, kontaktinis adresas, veiklos vykdymo adresas);

15.1.2. Leidimo-higienos paso duomenys: registracijos numeris, išdavimo data, ūkinės komercinės veiklos klasė arba poklasis, galiojimo laikotarpis, juridinio asmens duomenys (pavadinimas, kodas, buveinės adresas, veiklos vykdymo adresas) arba fizinio asmens duomenys (vardas, pavardė, asmens kodas, kontaktinis adresas, veiklos vykdymo adresas);

15.1.3. Ūkinės komercinės veiklos vykdymo sąlygų vertinimo pažymos duomenys: registracijos numeris, data, ūkinės komercinės veiklos klasė arba poklasis, išvada, juridinio asmens duomenys (pavadinimas, kodas, buveinės adresas, veiklos vykdymo adresas) arba fizinio asmens duomenys (vardas, pavardė, asmens kodas, kontaktinis adresas, veiklos vykdymo adresas);

15.1.4. sprendimų atsisakyti išduoti leidimus-higienos pasus, sprendimų panaikinti leidimų-higienos pasų galiojimo sustabdymą, sprendimų atsisakyti panaikinti leidimų-higienos pasų galiojimo sustabdymą ir sprendimų panaikinti leidimų-higienos pasų galiojimą duomenys: registracijos numeris, data, teisinis pagrindas, juridinio asmens duomenys (pavadinimas, kodas, buveinės adresas, veiklos vykdymo adresas) arba fizinio asmens duomenys (vardas, pavardė, asmens kodas, kontaktinis adresas, veiklos vykdymo adresas);

15.1.5. sprendimų sustabdyti leidimų-higienos pasų galiojimą duomenys: registracijos numeris, data, teisinis pagrindas, galiojimo laikotarpis, juridinio asmens duomenys (pavadinimas, kodas, buveinės adresas, veiklos vykdymo adresas) arba fizinio asmens duomenys (vardas, pavardė, asmens kodas, kontaktinis adresas, veiklos vykdymo adresas);

15.2. maisto tvarkymo subjekto visuomenės sveikatos saugos ekspertizės protokolų duomenų bazė, kurioje kaupiami Maisto tvarkymo subjekto visuomenės sveikatos saugos vertinimo protokolų duomenys. Maisto tvarkymo subjekto visuomenės sveikatos saugos ekspertizės protokolų duomenų bazėje tvarkomi šie duomenys ir jų elementai:

15.2.1. paraiškos gauti ekspertizės protokolą duomenys: registracijos numeris, data, juridinio asmens duomenys (pavadinimas, kodas, buveinės adresas, veiklos vykdymo adresas) arba fizinio asmens duomenys (vardas, pavardė, asmens kodas, kontaktinis adresas, veiklos vykdymo adresas);

15.2.2. Maisto tvarkymo subjekto visuomenės sveikatos saugos ekspertizės protokolo duomenys: registracijos numeris, išdavimo data, išvada, juridinio asmens duomenys (pavadinimas, kodas, buveinės adresas, veiklos vykdymo adresas) arba fizinio asmens duomenys (vardas, pavardė, asmens kodas, kontaktinis adresas, veiklos vykdymo adresas);

15.3. valstybinės visuomenės sveikatos saugos kontrolės duomenų bazė, kurioje kaupiami pavedimų atlikti valstybinę visuomenės sveikatos saugos kontrolę, patikrinimo aktų, administracinės teisės pažeidimo protokolų ir nutarimų administracinės teisės pažeidimų byloje duomenys. Valstybinės visuomenės sveikatos saugos kontrolės duomenų bazėje tvarkomi šie duomenys ir jų elementai:

15.3.1. pavedimo atlikti patikrinimą duomenys: registracijos numeris, data, asmens, kuriam surašytas pavedimas, vardas, pavardė, pareigos, patikrinimo akto numeris, juridinio asmens duomenys (pavadinimas, veiklos vykdymo adresas) arba fizinio asmens duomenys (vardas, pavardė, veiklos vykdymo adresas);

15.3.2. patikrinimo akto duomenys: registracijos numeris, data, kontrolės objekto pavadinimas, veiklos vykdymo adresas, pavedimo numeris ir data, patikrinimo pradžios ir pabaigos data, juridinio asmens duomenys (pavadinimas, kodas, buveinės adresas, veiklos vykdymo adresas) arba fizinio asmens duomenys (vardas, pavardė, asmens kodas, kontaktinis adresas, veiklos vykdymo adresas), verslo liudijimo, jam esant, numeris ir galiojimo laikas;

15.3.3. administracinio teisės pažeidimo protokolo duomenys: registracijos numeris, data, kontrolės objekto pavadinimas, veiklos vykdymo adresas, asmens, kuriam surašytas protokolas, vardas, pavardė, pareigos, asmens kodas, kontaktinis adresas, Administracinių teisės pažeidimų kodekso straipsnis (kuriame numatytus administracinio teisės pažeidimo sudėties požymius atitinka veika), protokolą surašiusio asmens vardas, pavardė, pareigos;

15.3.4. nutarimo administracinio teisės pažeidimo byloje duomenys: registracijos numeris, data, kontrolės objekto pavadinimas, veiklos vykdymo adresas, asmens, kuriam surašytas nutarimas, vardas, pavardė, pareigos, asmens kodas, kontaktinis adresas, Administracinių teisės pažeidimų kodekso straipsnis (kuriame numatytus administracinio teisės pažeidimo sudėties požymius atitinka veika), nutarimą surašiusio asmens vardas, pavardė, pareigos, skirtos nuobaudos rūšis, dydis;

15.4. licencijuojamos veiklos kontrolės duomenų bazė, kurioje kaupiami pavedimų atlikti licencijuojamos visuomenės sveikatos priežiūros veiklos kontrolę ir patikrinimo aktų duomenys. Licencijuojamos veiklos kontrolės duomenų bazėje tvarkomi šie duomenys ir duomenų elementai:

15.4.1. pavedimo atlikti patikrinimą duomenys: registracijos numeris, data, asmens, kuriam surašytas pavedimas, vardas, pavardė, pareigos, juridinio asmens duomenys (pavadinimas, kodas, buveinės adresas, veiklos vykdymo adresas), licencijos numeris, licencijos išdavimo data, išvada;

15.4.2. patikrinimo akto duomenys: registracijos numeris, patikrinimo pradžios ir pabaigos data, kontrolės objekto pavadinimas, veiklos vykdymo adresas, licencijos numeris, licencijos išdavimo data, išvada, juridinio asmens duomenys (pavadinimas, kodas, buveinės adresas, veiklos vykdymo adresas);

15.5. VSSIS naudotojų kontaktinių duomenų bei duomenų tvarkymo problemų duomenų bazė, kurioje kaupiami VSSIS naudotojų kontaktiniai duomenys (vardas, pavardė, el. pašto adresas, darbovietės pavadinimas, pareigos), skundai ir paklausimai, susiję su VSSIS duomenų tvarkymu;

15.6. VSSIS elektroninio mokymo modulių duomenų bazė, kurioje kaupiamos VSSIS naudotojų darbo su VSSIS elektroninio mokymo programos.

16. VSSIS duomenys teikiami pagal duomenų teikimo sutartis (daugkartinio teikimo atveju) arba pagal duomenų gavėjo prašymą (vienkartinio teikimo atveju).

 

IV. VSSIS FUNKCINĖ STRUKTŪRA

 

17. VSSIS sudaro tokios posistemės:

17.1. visuomenės sveikatos saugos posistemė, kurią sudaro šie moduliai:

17.1.1. leidimų-higienos pasų modulis, kurio funkcijos yra tvarkyti duomenis, susijusius su leidimų-higienos pasų išdavimu, analizuoti statistinę informaciją, formuoti ataskaitas;

17.1.2. maisto tvarkymo subjekto visuomenės sveikatos saugos vertinimo modulis, kurio funkcijos yra tvarkyti duomenis, susijusius su maisto tvarkymo subjekto visuomenės sveikatos saugos ekspertizės protokolų išdavimu, analizuoti statistinę informaciją, formuoti ataskaitas;

17.2. valstybinės visuomenės sveikatos saugos kontrolės posistemė, kurią sudaro šie moduliai:

17.2.1. valstybinės visuomenės sveikatos saugos kontrolės modulis, kurio funkcijos yra tvarkyti duomenis, susijusius su valstybinės visuomenės sveikatos saugos kontrolės vykdymu, analizuoti statistinę informaciją, formuoti ataskaitas;

17.2.2. administracinių poveikio priemonių modulis, kurio funkcijos yra tvarkyti duomenis, susijusius su administracinio poveikio priemonių taikymu, analizuoti statistinę informaciją, formuoti ataskaitas;

17.3. licencijuojamos veiklos kontrolės posistemė, kurios funkcijos yra tvarkyti duomenis, susijusius su licencijuojamos visuomenės sveikatos priežiūros veiklos kontrolės vykdymu, analizuoti statistinę informaciją, formuoti ataskaitas;

17.4. VSSIS administratoriaus posistemė, kurios funkcija yra VSSIS priežiūra. Šią posistemę sudaro VSSIS sistemoje atliekamų veiksmų registravimo žurnalas.

 

V. VSSIS DUOMENŲ ŠALTINIAI

 

18. VSSIS duomenų šaltiniai yra juridiniai ir fiziniai asmenys:

18.1. asmenys, kuriems privalomas leidimas-higienos pasas, teikiantys Nuostatų 15.1.1 punkte nurodytą informaciją;

18.2. asmenys, kuriems privalomas maisto tvarkymo subjekto visuomenės sveikatos saugos ekspertizės protokolas, teikiantys Nuostatų 15.2.1 punkte nurodytą informaciją;

18.3. asmenys, kurių atžvilgiu atliekama valstybinė visuomenės sveikatos saugos kontrolė, teikiantys Nuostatų 15.3.2, 15.3.3, 15.3.4 punktuose nurodytą informaciją;

18.4. asmenys, kurių atžvilgiu atliekama licencijuojamos visuomenės sveikatos priežiūros veiklos kontrolė, teikiantys duomenis Nuostatų 15.4.2 punkte nurodytą informaciją.

 

VI. VSSIS DUOMENŲ TVARKYMAS IR NAUDOJIMAS

 

19. VSSIS naudotojui, atsižvelgiant į jo funkcijas, nustatomas VSSIS prieigos teisių lygmuo, nustatantis naudojimosi duomenimis apimtį.

20. VSSIS prieigos teisių lygmenys:

20.1. VVSPT direktoriaus skiriamų VSSIS administratorių lygmuo;

20.2. VSSIS naudotojų lygmuo – VSSIS tvarkytojo skiriami valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartis, turintys teisę susipažinti su duomenimis VSSIS ir jais naudotis.

21. VSSIS administratorių funkcijos:

21.1. visų VSSIS naudotojų registravimas;

21.2. prieigos teisių prie VSSIS duomenų VSSIS naudotojams suteikimas;

21.3. VSSIS naudotojams suteikiamų įgaliojimų nustatymas pagal jų veiklos pobūdį;

21.4. duomenų bazių administravimas.

22. VSSIS duomenys teikiami neatlygintinai.

23. Duomenys VSSIS duomenų bazėse saugomi tiek, kiek reikalauja duomenų tvarkymo tikslai, tačiau ne ilgiau nei:

23.1. 6 metus leidimų-higienos pasų duomenų bazėje nuo sprendimo išduoti leidimą-higienos pasą priėmimo datos, išskyrus sprendimų atsisakyti išduoti leidimą-higienos pasą duomenis (kartu su paraiškų išduoti leidimą-higienos pasą duomenimis ir ūkinės komercinės veiklos vykdymo sąlygų vertinimo pažymos duomenimis), kurie saugomi ne ilgiau nei 2 metus nuo sprendimo atsisakyti išduoti leidimą-higienos pasą priėmimo datos;

23.2. 2 metus maisto tvarkymo subjekto visuomenės sveikatos saugos ekspertizės protokolų duomenų bazėje nuo sprendimo išduoti maisto tvarkymo subjekto visuomenės sveikatos saugos ekspertizės protokolą priėmimo datos;

23.3. 1 metus valstybinės visuomenės sveikatos saugos kontrolės duomenų bazėje nuo patikrinimų akto surašymo datos, išskyrus administracinio teisės pažeidimo protokolo ir nutarimo administracinio teisės pažeidimo byloje duomenis, kurie saugomi 1 metus nuo datos, kai pasibaigė administracinės nuobaudos vykdymas. Nuasmeninti valstybinės visuomenės sveikatos saugos kontrolės duomenų bazės duomenys saugomi ne ilgiau nei 2 metus nuo šiame punkte nurodyto termino pasibaigimo;

23.4. 2 metus licencijuojamos veiklos kontrolės duomenų bazėje nuo patikrinimų akto surašymo datos;

23.5. kol naudotojas dirba Nuostatų 10 punkte nurodytose institucijose VSSIS naudotojų kontaktinių duomenų bei duomenų tvarkymo problemų duomenų bazėje esantys VSSIS naudotojų kontaktiniai duomenys.

24. Pasibaigus duomenų saugojimo duomenų bazėse terminui, VSSIS duomenys yra siunčiami į VSSIS duomenų bazės archyvą, kur saugomi ne ilgiau nei 1 metus. Pasibaigus duomenų saugojimo archyve terminui duomenys yra sunaikinami. VSSIS duomenų naikinimo tvarka nustatoma VSSIS valdytojo tvirtinamose Saugaus darbo su VSSIS duomenimis taisyklėse, detaliose instrukcijose bei procedūrų aprašymuose.

25. Duomenų subjektas, kreipdamasis į VSSIS valdytoją ar tvarkytojus ir pateikdamas asmens tapatybę patvirtinantį dokumentą, turi teisę gauti informaciją, iš kokių šaltinių ir kokie jo asmens duomenys surinkti, kokiu tikslu tvarkomi bei kam teikiami. Duomenų subjektas taip pat turi kitas teises, numatytas Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme. VVSPT Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme nustatyta tvarka ir terminais privalo pateikti atsakymą duomenų subjektui ir esant pagrindui imtis atitinkamų duomenų subjekto prašomų veiksmų.

 

VII. DUOMENŲ SAUGA

 

26. Už VSSIS duomenų saugą atsako VSSIS valdytojas ir tvarkytojai.

27. VSSIS duomenų saugą reglamentuoja Bendrieji elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimai, patvirtinti Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160), Saugos dokumentų turinio gairės, patvirtintos Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), Lietuvos standartai LST ISO/IEC 17799:2006 „Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo praktikos kodeksas“, LST ISO/IEC 27001:2006 „Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“, taip pat kiti Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo metodai“ grupės standartai, apibūdinantys saugų informacinės sistemos duomenų tvarkymą, VSSIS valdytojo tvirtinami VSSIS duomenų saugos nuostatai, kurie kartu su VSSIS valdytojo tvirtinamais VSSIS veiklos tęstinumo valdymo planu, Saugaus elektroninės informacijos tvarkymo taisyklėmis, Rizikos ataskaita, detaliomis instrukcijomis ir procedūrų aprašymais bei su VSSIS naudotojų administravimo taisyklėmis apibrėžia VSSIS saugos politiką.

28. VSSIS naudotojai privalo saugoti asmens duomenis. Šie asmenys privalo pasirašyti pasižadėjimus, kad saugos asmens duomenis ir nepažeis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo. Pasižadėjimų originalus VSSIS tvarkytojai perduoda VSSIS valdytojui.

 

VIII. VSSIS FINANSAVIMAS

 

29. VSSIS finansuojama iš Lietuvos Respublikos valstybės biudžeto ir kitų teisės aktais nustatytų finansavimo šaltinių.

 

IX. VSSIS REORGANIZAVIMAS IR LIKVIDAVIMAS

 

30. VSSIS reorganizuojama ir likviduojama įstatymų ir kitų teisės aktų nustatyta tvarka. Sprendimą dėl VSSIS reorganizavimo ar likvidavimo priima VVSPT.

31. Likviduojant VSSIS, jos duomenys perduodami kitai informacinei sistemai, kuri steigiama vietoj likviduojamos, arba sunaikinami ar perduodami valstybės archyvams Lietuvos Respublikos dokumentų ir archyvų įstatymo (Žin., 1995, Nr. 107-2389; 2004, Nr. 57-1982) nustatyta tvarka ir sąlygomis.

 

SUDERINTA                                                       SUDERINTA

Informacinės visuomenės plėtros                          Valstybinės duomenų

komiteto prie Lietuvos Respublikos                      apsaugos inspekcijos

Vyriausybės 2008 m. balandžio                            2008 m. liepos 1 d.

7 d. raštu Nr. (13)S-394                                        raštu Nr. 2R-2093(3.33)

 

SUDERINTA

Lietuvos Respublikos sveikatos

apsaugos ministerijos2008 m.

liepos 9 d. raštu Nr. 10-(11.5-19)-3867

_________________

 

PATVIRTINTA

Valstybinės visuomenės sveikatos priežiūros

tarnybos prie Sveikatos apsaugos ministerijos

direktoriaus 2008 m. liepos 15 d. įsakymu
Nr. V-54

 

VISUOMENĖS SVEIKATOS SAUGOS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI

 

I. BENDROSIOS NUOSTATOS

 

1. Visuomenės sveikatos saugos informacinės sistemos (toliau – VSSIS) duomenų saugos nuostatų (toliau – Saugos nuostatai) tikslas – sudaryti sąlygas saugiai automatizuotai tvarkyti VSSIS duomenis, išsaugant informacijos konfidencialumą, vientisumą ir prieinamumą.

2. VSSIS duomenų sauga suprantama kaip teisėtas ir saugus duomenų teikimas į VSSIS, teisėtas, saugus ir kokybiškas jų tvarkymas bei teisėtas ir saugus jų naudojimas.

3. Saugos nuostatose vartojamos sąvokos:

3.1. VSSIS naudotojas – VSSIS tvarkytojo valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, kuriam suteikta teisė tvarkyti ir/ar naudotis VSSIS ištekliais jo funkcijoms vykdyti;

3.2. kitos Saugos nuostatuose vartojamos sąvokos atitinka Visuomenės sveikatos saugos informacinės sistemos nuostatuose (toliau – Nuostatai) naudojamas sąvokas.

4. Saugos nuostatai parengti vadovaujantis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis ir Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160), Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), Nuostatais ir kitais teisės aktais, reglamentuojančiais VSSIS duomenų tvarkymo teisėtumą, VSSIS tvarkytojų veiklą ir VSSIS duomenų saugos valdymą.

5. Saugos nuostatai apibrėžia VSSIS saugos politiką (toliau – saugos politika), kurią įgyvendina valdytojo tvirtinami VSSIS veiklos tęstinumo valdymo planas, Saugaus elektroninės informacijos tvarkymo taisyklės, VSSIS naudotojų administravimo taisyklės, Rizikos ataskaita, detalios instrukcijos ir procedūrų aprašymai.

6. Saugų VSSIS duomenų tvarkymą reglamentuoja:

6.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804);

6.2. Bendrieji elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimai;

6.3. Lietuvos standartas LST ISO/IEC 17799:2006 „Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo praktikos kodeksas“;

6.4. Lietuvos standartas LST ISO/IEC 27001:2006 „Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“;

6.5. Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo technika“ grupės standartai, reglamentuojantys saugų duomenų tvarkymą;

6.6. Nuostatai;

6.7. Saugos nuostatai ir kiti teisės aktai, reglamentuojantys duomenų tvarkymo teisėtumą, sistemos tvarkytojo veiklą bei duomenų saugos valdymą.

7. Už VSSIS duomenų patikimumą, tvarkymo teisėtumą, duomenų teikimo teisėtumą ir duomenų saugą nuo neteisėto panaudojimo pagal kompetenciją atsako VSSIS valdytojas ir VSSIS naudotojai. VSSIS naudotojas atsako tik už duomenų, kurie jam prieinami naudojant VSSIS, tvarkymo teisėtumą ir duomenų saugą.

8. Tvarkyti VSSIS duomenis gali tik VSSIS naudotojai, susipažinę su Saugos nuostatais ir kitais saugos politiką įgyvendinančiais teisės aktais bei raštiškai sutikę laikytis šių teisės aktų reikalavimų.

9. Už saugos politikos įgyvendinimą ir kontrolę atsako Valstybinės visuomenės sveikatos priežiūros tarnybos prie Sveikatos apsaugos ministerijos (toliau – VVSPT) direktoriaus skiriamas saugos įgaliotinis.

10. Saugos įgaliotinis:

10.1. atsako už elektroninės informacijos saugos VSSIS įgyvendinimą;

10.2. koordinuoja elektroninės informacijos saugos incidentų, įvykusių VSSIS, tyrimą;

10.3. teikia administratoriui privalomus vykdyti nurodymus ir pavedimus;

10.4. kasmet organizuoja VSSIS rizikos įvertinimą;

10.5. prireikus organizuoja neeilinį VSSIS rizikos įvertinimą;

10.6. rengia rizikos įvertinimo ataskaitą;

10.7. periodiškai inicijuoja VSSIS naudotojų mokymą informacijos saugos klausimais, įvairiais būdais informuoja juos apie informacijos saugos problematiką (priminimai elektroniniu paštu, atmintinės naujiems darbuotojams ir kt.);

10.8. teikia VSSIS valdytojo vadovui pasiūlymus dėl:

10.8.1. administratorių paskyrimo;

10.8.2. saugos dokumentų priėmimo, keitimo ar panaikinimo;

10.8.3. VSSIS informacinių technologijų saugos reikalavimų atitikties vertinimo atlikimo;

10.9. teikia siūlymus VVSPT direktoriui dėl atskirų VSSIS posistemių ar funkcijų administratorių (toliau – administratorius), kurie už paskirtų funkcijų vykdymą atsiskaito tiesiogiai saugos įgaliotiniui, paskyrimo;

10.10. atlieka kitas saugos dokumentais pavestas ir Saugos nuostatais jam paskirtas funkcijas.

11. Administratorius atlieka funkcijas, susijusias su VSSIS naudotojų pasirengimo dirbti su informacinėmis sistemomis įvertinimu, jų teisėmis, VSSIS sudarančiais komponentais (kompiuteriais, operacinėmis sistemomis, duomenų bazių valdymo sistemomis, taikomųjų programų sistemomis, užkardomis, įsilaužimo aptikimo sistemomis, duomenų perdavimo tinklais), VSSIS sudarančių komponentų sąranka, VSSIS pažeidžiamų vietų nustatymu, atitikties saugumo reikalavimams nustatymu.

 

II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

 

12. Pagrindinės VSSIS rizikos mažinimo priemonės išdėstomos Rizikos ataskaitoje, kurią rengia saugos įgaliotinis, įvertinęs Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų 31 punkte nustatytus ir kitus, galinčius turėti įtakos informacijos saugai, rizikos veiksnius. Rizikos ataskaitą tvirtina VVSPT direktorius.

13. Vadovaujantis Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis, VSSIS priskiriama trečiajai informacinės sistemos kategorijai.

14. VSSIS rizikos veiksnių vertinimas vykdomas ir rizikos ataskaita peržiūrima:

14.1. periodiškai kasmet;

14.2. pasikeitus VSSIS struktūrai (sistemos pakitimai, papildymas naujomis taikomosiomis programomis, taikomųjų programų šalinimas);

14.3. nustačius naujų grėsmių.

15. Už rizikos vertinimą atsakingas saugos įgaliotinis.

 

III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

 

16. VSSIS darbo vietose draudžiama naudoti programinę įrangą, nesusijusią su tiesiogine veikla ir funkcijomis, taip pat draudžiamas rinkmenų apsikeitimo programų naudojimas.

17. Prieigai prie VSSIS duomenų bazės suteikiami naudotojų ir VSSIS administratoriaus registracijos vardai ir slaptažodžiai.

18. VSSIS veiklos tęstinumo ir funkcionalumo užtikrinimui elektroninė informacija yra periodiškai kopijuojama kas 12 valandų ir saugoma taip, kad avarijos atveju veiklą iš atsarginių kopijų galima būtų atstatyti per 24 valandas. Elektroninių bylų mėnesinės kopijos papildomai turi būti laikomos atskiroje patalpoje ir saugomos užrakintoje nedegioje spintoje.

19. Visuose VSSIS tvarkančiuose kompiuteriuose bei serveriuose privalo būti įdiegta antivirusinė sistema ir apsauga nuo nepageidaujamos programinės įrangos.

20. Konkrečios VSSIS duomenų tvarkymo ir saugumo procedūros išdėstomos saugos įgaliotinio parengtose ir VSSIS valdytojo tvirtinamose Saugaus elektroninės informacijos tvarkymo taisyklėse:

20.1. VSSIS esančios informacijos kategorijų sąrašas ir kiekvienai kategorijai priskirtini duomenys;

20.2. techninių ir kitų saugos priemonių aprašymas, apimantis kompiuterinės įrangos, sisteminės ir taikomosios programinės įrangos, duomenų perdavimo tinklais saugumo užtikrinimo, patalpų ir aplinkos (įėjimo kontrolė, elektros tiekimas, aplinkos drėgnumas, darbo vietos temperatūra, priešgaisrinė sauga), informacinės sistemos darbo apskaitos ir kitas priemones informacijos saugai užtikrinti;

20.3. VSSIS saugą užtikrinantys reikalavimai, keliami nuomojamų ar perkamų informacinių sistemų funkcionavimui reikalingoms paslaugoms (patalpos, įrangos ir sistemų priežiūra, duomenų perdavimas tinklais ir kitos paslaugos);

20.4. VSSIS ir duomenų vientisumo pažeidimų fiksavimo ir pažeistų duomenų atkūrimo tvarka (naudotojų veiksmų registravimas, atsarginės duomenų kopijos, jų saugojimas, saugojimo kontrolė ir kita);

20.5. saugaus duomenų perkėlimo ar perdavimo tvarka, Nuostatų įgyvendinimo kontrolės tvarka;

20.6. duomenų perdavimo tinklais reikalavimai.

21. VSSIS naudotojai, vadovaudamiesi saugos politiką įgyvendinančiais teisės aktais, nuolat rūpinasi VSSIS saugumu, o pastebėję saugos politikos pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti atitinkamos funkcijos administratoriui, o jo nesant – saugos įgaliotiniui.

22. VSSIS naudotojų veiksmus esant nenumatytai situacijai reglamentuoja VSSIS veiklos tęstinumo valdymo planas, kurį VSSIS valdytojui teikia tvirtinti saugos įgaliotinis.

23. Siekiant užtikrinti Saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose teisės aktuose išdėstytų nuostatų įgyvendinimo kontrolę, saugos įgaliotinis kasmet organizuoja VSSIS informacinių technologijų saugos reikalavimų atitikties vertinimą VSSIS tvarkymo įstaigose, kurio metu:

23.1. įvertinama Saugos nuostatų ir kitų saugos politiką įgyvendinančių teisės aktų atitiktis realiai duomenų saugos situacijai;

23.2. inventorizuojama VSSIS techninė ir programinė įranga;

23.3. tikrinamos ne mažiau kaip 10-yje procentų VSSIS naudotojų kompiuterinių darbo vietų visuose paslaugų kompiuteriuose įdiegtos programos ir jų konfigūracija, ne vėliau kaip prieš 5 darbo dienas raštu apie tai informavus VSSIS naudotoją;

23.4. peržiūrima VSSIS naudotojams suteiktų teisių atitiktis vykdomoms funkcijoms;

23.5. įvertinamas pasiruošimas VSSIS veiklai atstatyti nenumatytose situacijose;

23.6. atliekama rizikos analizė ir atitinkamai koreguojama Rizikos ataskaita.

24. Atlikęs VSSIS informacinių technologijų saugos reikalavimų atitikties vertinimą saugos įgaliotinis rengia pastebėtų trūkumų šalinimo planą, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato VSSIS valdytojas.

 

IV. REIKALAVIMAI PERSONALUI

 

25. Saugos įgaliotinis privalo išmanyti informacijos saugos principus ir sugebėti prižiūrėti saugos politikos įgyvendinimą.

26. Administratorius turi išmanyti darbą su kompiuteriniais tinklais bei mokėti užtikrinti jų saugumą; taip pat privalo mokėti administruoti ir prižiūrėti duomenų bazes.

27. VSSIS naudotojai turi būti supažindinti su duomenų tvarkymą įgyvendinančiais teisės aktais ir privalo turėti pagrindinius darbo su kompiuteriu įgūdžius.

28. VSSIS naudotojams turi būti nuolat rengiami duomenų saugos mokymai, įvairiais būdais primenama apie saugumo problematiką (pvz., priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės naujai priimtiems darbuotojams ir pan.).

29. Duomenų saugos mokymus ir priminimus apie saugumo problematiką vykdo saugos įgaliotinis, taip pat administratorius.

 

V. INFORMACINĖS SISTEMOS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

 

30. VSSIS naudotojai tvarkyti informacinės sistemos duomenis gali tik susipažinę su Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, ir raštu sutikę laikytis jų reikalavimų (pasirašę konfidencialumo sutartį).

31. VSSIS naudotojai, prieš suteikiant jiems prieigą prie informacijos, turi išklausyti įvadinį mokymą, skirtą supažindinti su saugos politika, saugumo reikalavimais ir teisine atsakomybe.

32. VSSIS naudotojų supažindinimą su Saugos nuostatais ir kitais saugos politiką įgyvendinančiais teisės aktais bei atsakomybę už šių reikalavimų nesilaikymą pasirašytinai organizuoja saugos įgaliotinis.

33. VSSIS naudotojai, pažeidę Saugos nuostatų ar kitų saugos politiką įgyvendinančių teisės aktų reikalavimus, atsako įstatymų nustatyta tvarka.

 

VI. BAIGIAMOSIOS NUOSTATOS

 

34. Saugos įgaliotinis, siekdamas užtikrinti VSSIS ir joje tvarkomų duomenų saugumą, teikia siūlymus VSSIS valdytojui dėl Saugos nuostatų keitimo ar kitų saugos politiką įgyvendinančių teisės aktų priėmimo, keitimo ar panaikinimo.

35. Saugos nuostatai ir kiti saugos politiką įgyvendinantys teisės aktai iš esmės peržiūrimi ir prireikus keičiami ne rečiau kaip kartą per metus atliekant VSSIS informacinių technologijų saugos reikalavimų atitikties vertinimą.

 

SUDERINTA                                                    SUDERINTA

Lietuvos Respublikos vidaus                             Lietuvos Respublikos sveikatos

reikalų ministerijos 2008 m.                               apsaugos ministerijos 2008 m.

balandžio 10 d. raštu                                         liepos 9 d. raštu

Nr. 1D-2834(13)                                                Nr. 10-(11.5-19)-3867

 

_________________