Dėl Visuomenės sveikatos stiprinimo paslaugų valdymo tobulinimo poreikiams gerinti informacinių technologijų sprendimo atnaujinimo, visuomenės sveikatos stiprinimo paslaugų valdymo tobulinimo poreikiams gerinti informacinių technologijų sprendimo nuostatų ir Visuomenės sveikatos stiprinimo paslaugų valdymo tobulinimo poreikiams gerinti informacinių technologijų sprendimo duomenų saugos nuostatų patvirtinimo

Atspausdinta iš e-seimas.lrs.lt

HIGIENOS INSTITUTO DIREKTORIUS

ĮSAKYMAS

DĖL VISUOMENĖS SVEIKATOS STIPRINIMO PASLAUGŲ VALDYMO TOBULINIMO poreikiams gerinti informacinių technologijų SPRENDIMO ATNAUJINIMO, VISUOMENĖS SVEIKATOS STIPRINIMO PASLAUGŲ VALDYMO TOBULINIMO poreikiams gerinti informacinių technologijų SPRENDIMO nuostatų IR VISUOMENĖS SVEIKATOS STIPRINIMO PASLAUGŲ VALDYMO TOBULINIMO poreikiams gerinti informacinių technologijų SPRENDIMO duomenų SAUGOS NUOSTATŲ PATVIRTINIMO

2025 m. vasario 24 d. Nr. V-35

Vilnius

vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 24 straipsnio 1 dalimi, Valstybės biudžeto specialiosios tikslinės dotacijos, skiriamos savivaldybių biudžetams Sveikatos apsaugos ministerijos kuruojamoms valstybinėms (valstybės perduotoms savivaldybėms) visuomenės sveikatos priežiūros funkcijoms vykdyti, planavimo, paskirstymo, naudojimo ir atsiskaitymo už ją tvarkos aprašo, patvirtinto Lietuvos Respublikos sveikatos apsaugos ministro 2014 m. lapkričio 10 d. įsakymu Nr. V-1154 „Dėl valstybės biudžeto specialiosios tikslinės dotacijos, skiriamos savivaldybių biudžetams sveikatos apsaugos ministerijos kuruojamoms valstybinėms (valstybės perduotoms savivaldybėms) visuomenės sveikatos priežiūros funkcijoms vykdyti, planavimo, paskirstymo, naudojimo ir atsiskaitymo už ją tvarkos aprašo patvirtinimo“, 11.3.1 papunkčiu ir V skyriumi, Informacinių sistemų steigimo, kūrimo, atnaujinimo, pertvarkymo ir likvidavimo tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2024 m. gegužės 15 d. nutarimu Nr. 349 „Dėl Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo įgyvendinimo“, 4 ir 12 punktais:

1. Atnaujinu Visuomenės sveikatos stiprinimo paslaugų valdymo tobulinimo poreikiams gerinti informacinių technologijų sprendimą (toliau – IT sprendimas).

2. Skiriu Higienos institutą IT sprendimo valdytoju, IT sprendimo tvarkytoju ir IT sprendimo duomenų valdytoju.

3. Tvirtinu pridedamus:

3.1. Visuomenės sveikatos stiprinimo paslaugų valdymo tobulinimo poreikiams gerinti informacinių technologijų sprendimo nuostatus;

3.2. Visuomenės sveikatos stiprinimo paslaugų valdymo tobulinimo poreikiams gerinti informacinių technologijų sprendimo duomenų saugos nuostatus.

4. Pripažįstu netekusiu galios Higienos instituto direktoriaus 2023 m. rugpjūčio 30 d. įsakymą Nr. V-94 „Dėl Visuomenės sveikatos stiprinimo paslaugų valdymo tobulinimo poreikiams gerinti informacinių technologijų sprendimo nuostatų ir duomenų saugos nuostatų patvirtinimo“.

5. Nustatau, kad šis įsakymas įsigalioja 2026 m. sausio 2 d.

6. Pavedu vyriausiajam specialistui (referentui) šį įsakymą paskelbti Teisės aktų registre.

Direktorius Šarūnas Alasauskas

SUDERINTA

Valstybinė duomenų apsaugos inspekcijos

2025 m. vasario 17 d. raštu Nr. 2R-701 (3.2 Mr)

SUDERINTA

Vilniaus miesto savivaldybės visuomenės sveikatos biuro 2025 m. vasario 17 d. raštu Nr. S-165/25(6.3E)

SUDERINTA

Valstybės duomenų agentūros 2025 m. vasario 13 d. raštu Nr. SD-307

SUDERINTA

Nacionalinio kibernetinio saugumo centro prie Krašto apsaugos ministerijos 2025 m.
vasario 7 d. raštu Nr. (4.1 Mr) 6K-98

SUDERINTA

Lietuvos vyriausiojo archyvaro tarnybos
2025 m. vasario 4 d. raštu Nr. (14.3 E)V4-81

SUDERINTA

Lietuvos Respublikos sveikatos apsaugos ministerija

PATVIRTINTA

Higienos instituto direktoriaus

2025 m. vasario 24 d. įsakymu Nr. V-35

VISUOMENĖS SVEIKATOS STIPRINIMO PASLAUGŲ VALDYMO TOBULINIMO poreikiams gerinti INFORMACINIŲ TECHNOLOGIJŲ SPRENDIMO nuostatAI

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Visuomenės sveikatos stiprinimo paslaugų valdymo tobulinimo poreikiams gerinti informacinių technologijų sprendimo nuostatai (toliau – Nuostatai) reglamentuoja informacinės sistemos Visuomenės sveikatos stiprinimo paslaugų valdymo tobulinimo poreikiams gerinti informacinių technologijų sprendimo (toliau – IT sprendimas) teisinį pagrindą, paskirtį, organizacinę, informacinę ir funkcinę struktūras, duomenų teikimą, naudojimą ir taisymą, IT sprendimo asmens duomenų tvarkymo ir kibernetinio saugumo reikalavimus, IT sprendimo finansavimą, atnaujinimą ir likvidavimą.

2. IT sprendimo steigimo teisinis pagrindas – Higienos instituto nuostatų, patvirtintų Lietuvos Respublikos sveikatos apsaugos ministro 2012 m. gruodžio 11 d. įsakymu Nr. V-1142 „Dėl Higienos instituto nuostatų patvirtinimo“, 11.2 papunktis.

3. IT sprendimas kuriamas ir tvarkomas vadovaujantis:

3.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679);

3.2. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu;

3.3. Lietuvos Respublikos švietimo įstatymu;

3.4. Lietuvos Respublikos visuomenės sveikatos priežiūros įstatymu;

3.5. Lietuvos Respublikos visuomenės sveikatos stebėsenos (monitoringo) įstatymu;

3.6. Lietuvos Respublikos kibernetinio saugumo įstatymu;

3.7. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

3.8. Lietuvos Respublikos teisės gauti informaciją ir duomenų pakartotinio naudojimo įstatymu;

3.9. Lietuvos Respublikos biudžeto sandaros įstatymu;

3.10. Lietuvos Respublikos Vyriausybės 2024 m. gegužės 15 d. nutarimu Nr. 349 „Dėl Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo įgyvendinimo“;

3.11. Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

3.12. Lietuvos Respublikos Vyriausybės 2001 m. gegužės 14 d. nutarimu Nr. 543 „Dėl Lietuvos Respublikos biudžeto sandaros įstatymo įgyvendinimo“;

3.13. Lietuvos Respublikos sveikatos apsaugos ministro 2014 m. lapkričio 10 d. įsakymu
Nr. V-1154 „Dėl Valstybės biudžeto specialios tikslinės dotacijos, skiriamos savivaldybių biudžetams Sveikatos apsaugos ministerijos kuruojamoms valstybinėms (valstybės perduotoms savivaldybėms) visuomenės sveikatos priežiūros funkcijoms vykdyti, planavimo, paskirstymo, naudojimo ir atsiskaitymo už ją tvarkos aprašo patvirtinimo“;

3.14. Lietuvos Respublikos sveikatos apsaugos ministro 2013 m. spalio 11 d. įsakymu
Nr. V-932 „Dėl Specialios tikslinės dotacijos, skirtos valstybinėms (valstybės perduotoms savivaldybėms) visuomenės sveikatos priežiūros funkcijoms vykdyti, poreikio apskaičiavimo metodikos patvirtinimo“;

3.15. Lietuvos Respublikos sveikatos apsaugos ministro ir Lietuvos Respublikos švietimo ir mokslo ministro 2005 m. gruodžio 30 d. įsakymu Nr. V-1035/ISAK-2680 „Dėl sveikatos priežiūros mokykloje tvarkos aprašo patvirtinimo“;

3.16. Lietuvos Respublikos sveikatos apsaugos ministro 2011 m. lapkričio 11 d. įsakymu
Nr. V-964 „Dėl Vaikų maitinimo organizavimo tvarkos aprašo patvirtinimo“;

3.17. Lietuvos Respublikos sveikatos apsaugos ministro 2014 m. rugsėjo 22 d. įsakymu
Nr. V-979 „Dėl sveikatos stiprinimo programos, skirtos širdies ir kraujagyslių ligų bei cukrinio diabeto profilaktikai, organizavimo tvarkos aprašo patvirtinimo“;

3.18. Lietuvos Respublikos sveikatos apsaugos ministro 2023 m. sausio 5 d. įsakymu
Nr. V-18 „Dėl socialinio recepto iniciatyvos vykdymo tvarkos aprašo patvirtinimo“;

3.19. Lietuvos Respublikos sveikatos apsaugos ministro 2022 m. balandžio 21 d. įsakymu
Nr. V-796 „Dėl sveikatos stiprinimo programų ikimokyklinio ir mokyklinio amžiaus vaikų tėvams „Neįtikėtini metai“ organizavimo tvarkos aprašo patvirtinimo“;

3.20. Lietuvos Respublikos sveikatos apsaugos ministro 2019 m. balandžio 30 d. įsakymu
Nr. V-523 „Dėl mokyklų darbuotojų kompetencijos psichikos sveikatos srityje didinimo tvarkos aprašo patvirtinimo“;

3.21. Lietuvos Respublikos sveikatos apsaugos ministro 2020 m. liepos 31 d. įsakymu
Nr. V-1733 „Dėl psichologinės gerovės ir psichikos sveikatos stiprinimo paslaugų teikimo tvarkos aprašo patvirtinimo“;

3.22. Lietuvos Respublikos sveikatos apsaugos ministro 2020 m. spalio 19 d. įsakymu
Nr. V-2298 „Dėl savižudybių prevencijos mokymų instruktorių veiklos ir bazinių savižudybių prevencijos mokymų organizavimo tvarkos aprašo patvirtinimo“;

3.23. Lietuvos Respublikos sveikatos apsaugos ministro 2024 m. sausio 12 d. įsakymu
Nr. V-32 „Dėl Savižudybių prevencijos koordinavimo savivaldybėse tvarkos aprašo patvirtinimo“;

3.24. Lietuvos Respublikos sveikatos apsaugos ministro 2019 m. gegužės 17 d. įsakymu
Nr. V-590 „Dėl Darbuotojų kompetencijos psichikos sveikatos srityje didinimo tvarkos aprašo patvirtinimo“;

3.25. Valstybės skaitmeninių sprendimų agentūros direktoriaus 2013 m. kovo 25 d. įsakymu Nr. T-36 „Dėl Duomenų teikimo formatų ir standartų rekomendacijų patvirtinimo“;

3.26. Lietuvos Respublikos sveikatos apsaugos ministro 2018 m. sausio 23 d. įsakymu
Nr. V-70 „Dėl rekomenduojamų visuomenės sveikatos specialistų pareigybių steigimo savivaldybėse“;

3.27. Lietuvos Respublikos sveikatos apsaugos ministro 2018 m. rugsėjo 7 d. įsakymu
Nr. V-989 „Dėl Priklausomybės konsultavimo paslaugų rizikingai ir žalingai alkoholį vartojantiems asmenims teikimo tvarkos aprašo patvirtinimo“;

3.28. Lietuvos Respublikos sveikatos apsaugos ministro ir Lietuvos Respublikos švietimo, mokslo ir sporto ministro 2018 m. sausio 18 d. įsakymu Nr. V-60/V-39 „Dėl Ankstyvosios intervencijos programos vykdymo tvarkos aprašo patvirtinimo“;

3.29. Lietuvos Respublikos sveikatos apsaugos ministro 2020 m. spalio 22 d. įsakymu
Nr. V-2330 „Dėl Sveikos mitybos ir sveikatinamojo fizinio aktyvumo skatinimo tvarkos aprašo patvirtinimo“;

3.30. Lietuvos Respublikos sveikatos apsaugos ministro ir Lietuvos Respublikos švietimo, mokslo ir sporto ministro 2019 m. gegužės 31 d. įsakymu Nr. V-651/V-665 „Dėl mokyklų pripažinimo Sveikatą stiprinančiomis mokyklomis ir Aktyviomis mokyklomis tvarkos aprašo patvirtinimo“;

3.31. Lietuvos Respublikos sveikatos apsaugos ministro 2014 m. sausio 22 d. įsakymu
Nr. V-50 „Dėl maisto produktų ženklinimo simboliu „Rakto skylutė“;

3.32. Lietuvos Respublikos sveikatos apsaugos ministro 2021 m. sausio 22 d. įsakymu
Nr. V-119 „Dėl Sveikatinamojo fizinio aktyvumo skatinimo mokymų, skirtų vyresnio amžiaus asmenims, vykdymo savivaldybių visuomenės sveikatos biuruose, tvarkos aprašo patvirtinimo“;

3.33. Nuostatais;

3.34. kitais teisės aktais, reglamentuojančiais valstybės informacinių sistemų veiklą ir visuomenės sveikatos priežiūros paslaugų teikimą.

4. Nuostatuose vartojamos sąvokos:

4.1. IT sprendimo naudotojas – Higienos instituto, Lietuvos Respublikos sveikatos apsaugos ministerijos (toliau – Ministerija), savivaldybių visuomenės sveikatos biurų
(toliau – SVSB) ir savivaldybių administracijų valstybės tarnautojai ir (ar) darbuotojai, dirbantys pagal darbo sutartis, turintys teisę prisijungti prie IT sprendimo ir tvarkyti (peržiūrėti, suvesti ir kt.) IT sprendimo duomenis;

4.2. Kitos Nuostatuose vartojamos sąvokos atitinka sąvokas, apibrėžtas Nuostatų 3 punkte nurodytuose teisės aktuose.

5. IT sprendimo paskirtis – informacinių technologijų priemonėmis surinkti ir apdoroti bazinių ir kitų visuomenės sveikatos priežiūros paslaugų, planuojamų ir įgyvendintų vykdant visuomenės sveikatos stiprinimo ir visuomenės sveikatos stebėsenos bei savivaldybių teritorijose esančių ikimokyklinio ugdymo, bendrojo ugdymo mokyklose ir profesinio mokymo įstaigose pagal ikimokyklinio, priešmokyklinio, pradinio, pagrindinio ir vidurinio ugdymo programas ugdomų mokinių visuomenės sveikatos priežiūros funkcijas, finansuojamas iš Valstybės biudžeto specialios tikslinės dotacijos, skiriamos savivaldybių biudžetams Ministerijos kuruojamoms valstybinėms (valstybės perduotoms savivaldybėms) visuomenės sveikatos priežiūros funkcijoms vykdyti (toliau – dotacija), ir kitų finansavimo šaltinių (nurodytų Nuostatų 11.4.1.2, 11.4.1.3 ir 11.4.2 punktuose), stebėsenos rodiklių galimą poveikį sveikatai ir paslaugos kokybei.

6. IT sprendimo naudotojų asmens duomenų tvarkymo tikslas – užtikrinti IT sprendimo naudotojų identifikavimą, autentifikavimą prisijungiant prie IT sprendimo per Valstybės informacinių išteklių sąveikumo platformą (toliau – VIISP), taip pat naudotojų paskyros administravimą (naudotojų paskyros sukūrimas, redagavimas, ištrynimas), naudotojų prieigos teisių tvarkymą, jų veiksmų IT sprendime priežiūros ir kontrolės vykdymą.

II SKYRIUS

IT SPRENDIMO ORGANIZACINĖ STRUKTŪRA

7. IT sprendimo valdytojas, IT sprendimo duomenų valdytojas, IT sprendimo tvarkytojas ir IT sprendimo asmens duomenų valdytojas (kaip jis suprantamas pagal Reglamentą (ES) 2016/679) yra Higienos institutas, Studentų g. 45A, LT-08107 Vilnius.

8. IT sprendimo valdytojas, IT sprendimo duomenų valdytojas ir IT sprendimo tvarkytojas atlieka Valstybės informacinių išteklių valdymo įstatyme nustatytas funkcijas ir turi šiame įstatyme nurodytas teises ir pareigas, taip pat IT sprendimo asmens duomenų valdytojas vykdo Reglamente (ES) 2016/679 nustatytas pareigas, taip pat:

8.1. pagal kompetenciją priima sprendimus, susijusius su IT sprendimo kūrimu, plėtra, likvidavimu, modernizavimu, priežiūra, administravimu ir juos vykdo;

8.2. užtikrina IT sprendimo funkcionavimą;

8.3. administruoja IT sprendimo duomenų bazę;

8.4. tvarko IT sprendimo duomenis ir teikia juos duomenų gavėjams;

8.5. sudaro IT sprendimo duomenų teikimo sutartis su duomenų gavėjais;

8.6. registruoja IT sprendimo naudotojus, vadovaudamasis IT sprendimo naudotojų administravimo taisyklėmis;

8.7. atlieka IT sprendimo duomenų teikėjų įvestų duomenų į IT sprendimą tinkamumo peržiūrą ir kontrolę;

8.8. pagal kompetenciją suveda į IT sprendimą Nuostatų 13 punkte nurodytus duomenis;

8.9. užtikrina reikiamas administracines, technines ir organizacines IT sprendime tvarkomų duomenų saugos priemones ir kontroliuoja, kaip jų laikomasi;

8.10. rengia ir tvirtina teisės aktų projektus, susijusius su IT sprendimo duomenų tvarkymu ir saugumo reikalavimais;

8.11. užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikomi atitinkamais teisės aktais nustatyti konfidencialumo reikalavimai;

8.12. atsižvelgdamas į IT sprendimo duomenų tvarkymo pobūdį, taiko tinkamas technines ir organizacines priemones, kiek tai įmanoma, įgyvendinant prievolę atsakyti į prašymus pasinaudoti Reglamento (ES) 2016/679 III skyriuje nustatytomis duomenų subjektų teisėmis;

8.13. užtikrina Reglamento (ES) 2016/679 32–36 straipsniuose nustatytų prievolių laikymąsi, atsižvelgdamas į asmens duomenų tvarkymo pobūdį ir IT sprendimo asmens duomenų tvarkymo keliamą riziką;

8.14. atlieka kitas Nuostatuose ir kituose teisės aktuose, susijusiuose su IT sprendimo tvarkymu, nustatytas funkcijas.

9. IT sprendimo duomenų teikėjai:

9.1. Ministerija;

9.2. SVSB;

9.3. Savivaldybių administracijos;

9.4. Valstybės skaitmeninių sprendimų agentūra – teikianti VIISP (valdytoja – Lietuvos Respublikos ekonomikos ir inovacijų ministerija) duomenis.

10. Už duomenų, tvarkomų IT sprendime, teisingumą ir tikslumą teisės aktų nustatyta tvarka atsako IT sprendimo duomenų valdytojas ir IT sprendimo duomenų teikėjai.

III SKYRIUS

IT SPRENDIMO INFORMACINĖ STRUKTŪRA

11. IT sprendimo informacinę struktūrą sudaro:

11.1. Visuomenės sveikatos priežiūros paslaugų duomenų bazė:

11.1.1. Bazinių visuomenės sveikatos priežiūros paslaugų aprašymo duomenys:

11.1.1.1. Ministerijos strateginio veiklos plano priemonės pavadinimas, kodo numeris;

11.1.1.2. Visuomenės sveikatos stiprinimo sritis;

11.1.1.3. Visuomenės sveikatos stiprinimo paslaugų grupė;

11.1.1.4. Bazinės visuomenės sveikatos priežiūros paslaugos pavadinimas;

11.1.1.5. Paslaugos gavėjų tikslinė grupė;

11.1.1.6. Bazinės visuomenės sveikatos priežiūros paslaugos teikimo pagrindas ir reikalavimai;

11.1.1.7. Veiklos (priemonės) stebėsenos rodiklio pavadinimas;

11.1.1.8. Paslaugos stebėsenos rodiklio aprašymas (stebėsenos rodiklio aprašymo kortelė);

11.1.1.9. Paslaugos aktyvumo būsena.

11.1.2. Kitų visuomenės sveikatos priežiūros paslaugų, nepriskirtų bazinių visuomenės sveikatos priežiūros paslaugų kategorijai, finansuojamų dotacijos lėšomis, duomenys:

11.1.2.1. Ministerijos strateginio veiklos plano priemonės pavadinimas, kodo numeris;

11.1.2.2.Visuomenės sveikatos stiprinimo sritis;

11.1.2.3. Visuomenės sveikatos stiprinimo paslaugų grupė;

11.1.2.4. Visuomenės sveikatos priežiūros paslaugos pavadinimas;

11.1.2.5. Paslaugos gavėjų tikslinė grupė;

11.1.2.6. Visuomenės sveikatos priežiūros paslaugos teikimo pagrindas ir reikalavimai;

11.1.2.7. Veiklos (priemonės) stebėsenos rodiklio pavadinimas;

11.1.2.8. Paslaugos stebėsenos rodiklio aprašymas (stebėsenos rodiklio aprašymo kortelė);

11.1.2.9. Paslaugos aktyvumo būsena.

11.1.3. Visuomenės sveikatos priežiūros paslaugų, finansuojamų valstybės biudžeto (ne dotacijos) ir kitomis lėšomis, nurodytomis Nuostatų 11.4 punkte, duomenys:

11.1.3.1. Savivaldybės pavadinimas;

11.1.3.2. Ministerijos strateginio veiklos plano priemonės pavadinimas, kodo numeris;

11.1.3.3. Visuomenės sveikatos stiprinimo sritis;

11.1.3.4. Visuomenės sveikatos priežiūros projekto priemonės (veiklos) pavadinimas;

11.1.3.5. Priemonės (veiklos) gavėjų tikslinė grupė;

11.1.3.6. Visuomenės sveikatos priežiūros priemonės (veiklos) teikimo pagrindas ir reikalavimai;

11.1.3.7. Priemonės (veiklos) stebėsenos rodiklio pavadinimas;

11.1.3.8. Priemonės (veiklos) stebėsenos rodiklio reikšmė.

11.2. Dotacijos paskirstymo duomenų bazė:

11.2.1. Dotacijos poreikio apskaičiavimo duomenys:

11.2.1.1. Gyventojų skaičius mieste;

11.2.1.2. Gyventojų skaičius kaime;

11.2.1.3. Mokinių, nurodytų Lietuvos Respublikos visuomenės sveikatos priežiūros įstatymo 6 straipsnyje (toliau – mokiniai), skaičius mieste;

11.2.1.4. Mokinių skaičius kaime;

11.2.1.5. Gyventojų skaičius, išskyrus mokinius, mieste;

11.2.1.6. Gyventojų skaičius, išskyrus mokinius, kaime;

11.2.1.7. Ugdymo įstaigų, nurodytų Lietuvos Respublikos visuomenės sveikatos priežiūros įstatymo 6 straipsnyje (toliau – ugdymo įstaigos), skaičius mieste;

11.2.1.8. Ugdymo įstaigų skaičius kaime.

11.2.2. Dotacijos normatyvų, skirtų 1 (vienam) visuomenės sveikatos priežiūros specialistui teisės aktų nustatyta tvarka, duomenys.

11.2.3. Tikslinių valstybės biudžeto asignavimų, skiriamų profesinių sąjungų nariams, duomenys

11.2.4. Biudžeto formų pagal sveikatos stiprinimo sritis duomenys:

11.2.4.1. formos Nr. B-6, patvirtintos Lietuvos Respublikos finansų ministro 2011 m. rugpjūčio 8 d. įsakymu Nr. 1K-265 „Dėl Lietuvos Respublikos valstybės biudžeto ir savivaldybių biudžetų sudarymo ir vykdymo taisyklių taikymo“, duomenys;

11.2.4.2. formos B-1, patvirtintos Lietuvos Respublikos finansų ministro 2011 m. rugpjūčio 8 d. įsakymu Nr. 1K-265 „Dėl Lietuvos Respublikos valstybės biudžeto ir savivaldybių biudžetų sudarymo ir vykdymo taisyklių taikymo“, duomenys.

11.2.4.3. formos Nr. BV-6, patvirtintos Lietuvos Respublikos finansų ministro 2011 m. rugpjūčio 8 d. įsakymu Nr. 1K-265 „Dėl Lietuvos Respublikos valstybės biudžeto ir savivaldybių biudžetų sudarymo ir vykdymo taisyklių taikymo“, metiniai duomenys;

11.2.4.4. formos Nr. 2, patvirtintos Lietuvos Respublikos finansų ministro 2008 m. gruodžio 31 d. įsakymu Nr. 1K-465 „Dėl Asignavimų valdytojų, kitų valstybės ir savivaldybių biudžetinių įstaigų ir valstybės biudžeto asignavimus gaunančių kitų subjektų metinio biudžeto vykdymo ataskaitų rinkinio ir tarpinių biudžeto vykdymo ataskaitų rinkinio sudarymo taisyklių patvirtinimo“, I ketvirčio, pusmečio, I–III ketvirčio ir metiniai duomenys.

11.3. Bazinių visuomenės sveikatos priežiūros paslaugų stebėsenos rodiklių duomenų bazė:

11.3.1. Bazinių visuomenės sveikatos priežiūros paslaugų stebėsenos rodiklių planuojamos reikšmės:

11.3.1.1. Savivaldybės pavadinimas;

11.3.1.2. Visuomenės sveikatos stiprinimo sritis;

11.3.1.3. Visuomenės sveikatos priežiūros paslaugos pavadinimas;

11.3.1.4. Laikotarpis:

11.3.1.4.1. Pusmečio reikšmė;

11.3.1.4.2. Metinė reikšmė.

11.3.2. Bazinių visuomenės sveikatos priežiūros paslaugų stebėsenos rodiklių įgyvendinimo reikšmės:

11.3.2.1. Savivaldybės pavadinimas;

11.3.2.2. Visuomenės sveikatos stiprinimo sritis;

11.3.2.3. Visuomenės sveikatos priežiūros paslaugos pavadinimas;

11.3.2.4. Laikotarpis:

11.3.2.4.1. Pusmečio reikšmė;

11.3.2.4.2. Metinė reikšmė;

11.3.2.5. Veiklos (priemonės) stebėsenos rodiklio įgyvendinimo procentas;

11.3.2.6. Veiklos (priemonės) stebėsenos rodiklį detalizuojanti informacija (veiklos pavadinimas, data, būdas, forma, dalyvių skaičius, aprašymas).

11.4. Visuomenės sveikatos priežiūros paslaugų finansavimo šaltinių ir jų lėšų duomenų bazė:

11.4.1. valstybės biudžeto lėšos ir jų sumos:

11.4.1.1. dotacijos lėšų suma;

11.4.1.2. bendrojo finansavimo lėšų suma;

11.4.1.3. Europos Sąjungos ir kitos tarptautinės finansinės paramos lėšų suma;

11.4.2. Kiti šaltiniai (Europos Sąjungos finansinė parama projektams įgyvendinti ir kitos teisėtai gautos lėšos) ir jų lėšų suma.

11.5. Ataskaitų ir planų, nurodytų žemiau išvardytuose teisės aktuose (išskyrus ataskaitų ir planų formose nurodomų asmens duomenų), duomenų bazė:

11.5.1. Lietuvos Respublikos sveikatos apsaugos ministro 2014 m. lapkričio 10 d. įsakymas Nr. V-1154 „Dėl Valstybės biudžeto specialios tikslinės dotacijos, skiriamos savivaldybių biudžetams Sveikatos apsaugos ministerijos kuruojamoms valstybinėms (valstybės perduotoms savivaldybėms) visuomenės sveikatos priežiūros funkcijoms vykdyti, planavimo, paskirstymo, naudojimo ir atsiskaitymo už ją tvarkos aprašo patvirtinimo“;

11.5.2. Lietuvos Respublikos sveikatos apsaugos ministro 2014 m. rugsėjo 22 d. įsakymas Nr. V-979 „Dėl Sveikatos stiprinimo programos, skirtos širdies ir kraujagyslių ligų bei cukrinio diabeto profilaktikai, organizavimo tvarkos aprašo patvirtinimo“;

11.5.3. Lietuvos Respublikos sveikatos apsaugos ministro 2023 m. sausio 5 d. įsakymas Nr. V-18 „Dėl Socialinio recepto iniciatyvos vykdymo tvarkos aprašo patvirtinimo“;

11.5.4. Lietuvos Respublikos sveikatos apsaugos ministro 2022 m. balandžio 21 d. įsakymas Nr. V-796 „Dėl Sveikatos stiprinimo programų ikimokyklinio ir mokyklinio amžiaus vaikų tėvams „Neįtikėtini metai“ organizavimo tvarkos aprašo patvirtinimo“;

11.5.5. Lietuvos Respublikos sveikatos apsaugos ministro 2019 m. balandžio 30 d. įsakymas Nr. V-523 „Dėl Mokyklų darbuotojų kompetencijos psichikos sveikatos srityje didinimo tvarkos aprašo patvirtinimo“;

11.5.6. Lietuvos Respublikos sveikatos apsaugos ministro 2020 m. liepos 31 d. įsakymas Nr. V-1733 „Dėl Psichologinės gerovės ir psichikos sveikatos stiprinimo paslaugų teikimo tvarkos aprašo patvirtinimo“;

11.5.7. Lietuvos Respublikos sveikatos apsaugos ministro 2020 m. spalio 19 d. įsakymas Nr. V-2298 „Dėl savižudybių prevencijos mokymų instruktorių veiklos ir bazinių savižudybių prevencijos mokymų organizavimo tvarkos aprašo patvirtinimo“;

11.5.8. Lietuvos Respublikos sveikatos apsaugos ministro 2024 m. sausio 12 d. įsakymas Nr. V-32 „Dėl Savižudybių prevencijos koordinavimo savivaldybėse tvarkos aprašo patvirtinimo“;

11.5.9. Lietuvos Respublikos sveikatos apsaugos ministro 2019 m. gegužės 17 d. įsakymas Nr. V-590 „Dėl Darbuotojų kompetencijos psichikos sveikatos srityje didinimo tvarkos aprašo patvirtinimo“.

11.6. IT sprendimo naudotojų duomenų bazė:

11.6.1. Asmens kodas;

11.6.2. Vardas (vardai);

11.6.3. Pavardė (pavardės);

11.6.4. Atstovaujamos įstaigos pavadinimas;

11.6.5. Pareigos;

11.6.6. Telefono numeris ir (arba) elektroninio pašto adresas.

11.7. Klasifikatoriai:

11.7.1. Savivaldybės

11.7.2. Visuomenės sveikatos stiprinimo sritys;

11.7.3. Visuomenės sveikatos priežiūros paslaugų grupės;

11.7.4. Visuomenės sveikatos priežiūros paslaugos;

11.7.5. Paslaugos gavėjų tikslinės grupės;

11.7.6. Visuomenės sveikatos priežiūros paslaugų rūšys / veikla / veiksmai;

11.7.7. Visuomenės sveikatos priežiūros paslaugų veiklos stebėsenos rodikliai;

11.7.8. Paslaugos gavėjų analitiniai požymiai;

11.7.9. Analitinių požymių vertinimo duomenys;

11.7.10. Lietuvos Respublikos valstybės ir savivaldybių biudžetų pajamų ir išlaidų klasifikacija, patvirtinta Lietuvos Respublikos finansų ministro 2003 m. liepos 3 d. įsakymu Nr. 1K-184 „Dėl Valstybės ir savivaldybių biudžetų pajamų ir išlaidų klasifikacijos patvirtinimo“.

12. Į IT sprendimą teikiami duomenys iš:

12.1. Ministerijos – Nuostatų 11.1.3., 11.2.3, 11.4. ir 11.6.4–11.6.6 punktuose nurodyti duomenys;

12.2. SVSB – Nuostatų 11.3, 11.5 ir 11.6.4–11.6.6 punktuose nurodyti duomenys;

12.3. Savivaldybių administracijų – Nuostatų 11.2.4, 11.6.4–11.6.6 punktuose nurodyti duomenys;

12.4. VIISP – Nuostatų 11.6.1–11.6.3 papunkčiuose nurodyti duomenys.

13. Nuostatų 11.1, 11.2.1–11.2.2, 11.4, 11.5 ir 11.6.4–11.6.6 punktuose nurodytus duomenis į IT sprendimą teikia Higienos institutas.

14. IT sprendime naudojami klasifikatorių duomenys gali keistis priklausomai nuo bazinių visuomenės sveikatos priežiūros paslaugų aprašymų ir jų stebėsenos rodiklių aprašymo kortelių keitimosi.

IV SKYRIUS

IT SPRENDIMO FUNKCINĖ STRUKTŪRA

15. IT sprendime skaitmenizuojami procesai:

15.1. dotacijos, skirtos visuomenės sveikatos priežiūros paslaugoms vykdyti, paskirstymo, planavimo ir naudojimo duomenų pagal sveikatos stiprinimo sritis rinkimas ir kaupimas;

15.2. duomenų apie kitų finansavimo šaltinių (ne dotacijos) skirtas lėšas visuomenės sveikatos priežiūros paslaugoms vykdyti rinkimas ir kaupimas;

15.3. duomenų apie planuojamas vykdyti ir įgyvendintas visuomenės sveikatos priežiūros paslaugas rinkimas ir kaupimas;

15.4. SVSB teikiamų ataskaitų ir planų Higienos institutui rinkimas ir kaupimas, šiose ataskaitose pateiktų duomenų pagrindu suvestinių ataskaitų rengimas;

15.5. IT sprendimo duomenų analizė ir ataskaitų formavimas.

16. IT sprendimo funkcinę struktūrą sudaro:

16.1. Autentifikacijos posistemis;

16.2. Administravimo posistemis;

16.3. Duomenų rinkimo posistemis;

16.4. Duomenų mainų posistemis;

16.5. Ataskaitų ir analizės posistemis.

17. Autentifikacijos posistemio funkcijos yra identifikuoti ir autentifikuoti IT sprendimo naudotojus.

18. Administravimo posistemį sudaro:

18.1. Naudotojų valdymo modulis, kurio funkcija valdyti IT sprendimo naudotojų teises, užtikrinant duomenų saugos reikalavimus;

18.2. Klasifikatoriaus valdymo modulis, kurio funkcija valdyti IT sprendimo klasifikatorius;

18.3. Naudotojų veiksmų stebėsenos modulis, kurio funkcija fiksuoti, kaupti ir saugoti informaciją apie IT sprendimo naudotojų atliktus veiksmus.

19. Duomenų rinkimo posistemį sudaro:

19.1. Paslaugų vykdymo modulis, kurio funkcijos įvesti ir kaupti visuomenės sveikatos priežiūros paslaugų, finansuojamų dotacijos lėšomis, planavimo ir vykdymo duomenis;

19.2. Duomenų apie kitų finansavimo šaltinių skirtas lėšas pildymo modulis, kurio funkcijos įvesti ir kaupti informaciją apie visuomenės sveikatos priežiūros paslaugoms vykdyti gautas lėšas iš kitų (ne dotacijos) finansavimo šaltinių;

19.3. Dotacijos planavimo modulis, kurio funkcijos įvesti ir kaupti dotacijos paskirstymui reikalingus duomenis.

19.4. Finansinių valstybės biudžeto formų pildymo modulis, kurio funkcijos įvesti ir kaupti visuomenės sveikatos priežiūros paslaugų finansinius planavimo ir įvykdymo duomenis.

20. Duomenų mainų posistemio funkcija importuoti duomenis iš integracinės sąsajos.

21. Ataskaitų ir analizės posistemį sudaro:

21.1. Analizės modulis, kurio funkcija apdoroti, analizuoti ir sisteminti IT sprendime tvarkomus duomenis;

21.2. Ataskaitų modelis, kurio funkcija generuoti ataskaitas pagal IT sprendime tvarkomus (saugomus) duomenis.

V SKYRIUS

IT SPRENDIMO DUOMENŲ TEIKIMAS, NAUDOJIMAS IR TAISYMAS

22. IT sprendimo apibendrinti duomenys yra vieši ir teikiami duomenų gavėjams, jeigu Lietuvos Respublikos įstatymai, tiesiogiai taikomi Europos Sąjungos teisės aktai ar Lietuvos Respublikos tarptautinės sutartys nenustato kitaip. IT sprendime tvarkomi asmens duomenys duomenų gavėjams teikiami, vadovaujantis Reglamentu (ES) 2016/679 ir kitais teisės aktais, reglamentuojančiais asmens duomenų teikimą.

23. IT sprendimo duomenys Europos Sąjungos valstybių narių ar Europos ekonominės erdvės valstybių duomenų gavėjams teikiami ta pačia tvarka ir sąlygomis, kaip ir Lietuvos Respublikos duomenų gavėjams.

24. IT sprendimo duomenys trečiųjų šalių, kurios nėra Europos Sąjungos valstybės narės ar Europos ekonominės erdvės valstybės, duomenų gavėjams teikiami tokia pačia tvarka ir sąlygomis kaip ir Lietuvos Respublikos duomenų gavėjams, jeigu šio ir kitų Lietuvos Respublikos įstatymų, tiesiogiai taikomų Europos Sąjungos teisės aktų ir jų įgyvendinamųjų teisės aktų ar kitų tarptautinės teisės aktų reikalavimai nenustato kitos tvarkos ar sąlygų, – tokiu atveju taikoma juose nustatyta tvarka ir sąlygos.

25. IT sprendimo duomenys gali būti:

25.1. pateikiami peržiūrėti leidžiamosios kreipties būdu internetu ar kitais elektroninių ryšių tinklais;

25.2. perduodami automatiniu būdu elektroninių ryšių tinklais;

25.3. teikiami raštu, žodžiu ir (arba) elektroninių ryšių priemonėmis;

25.4. pateikiami kitais Lietuvos Respublikos įstatymuose ir Europos Sąjungos teisės aktuose nustatytais būdais.

26. IT sprendimo duomenys, įskaitant asmens duomenys, teikiami pagal duomenų teikimo sutartis (daugkartinio teikimo atvejais) arba pagal duomenų gavėjo prašymą (vienkartinio teikimo atvejais). Kai informacija teikiama pagal duomenų gavėjo prašymą, prašyme turi būti nurodytas prašomos informacijos teikimo ir gavimo teisinis pagrindas, jos naudojimo tikslas, teikimo būdas, apimtis, gavimo būdai, teikiamų duomenų formatas. Kai informacija duomenų gavėjui teikiama pagal duomenų teikimo sutartį, sutartyje turi būti nustatyta teikiamos informacijos apimtis, prašomos informacijos teikimo ir gavimo teisinis pagrindas, naudojimo tikslas, informacijos teikimo būdas, teikiamų duomenų formatas, teikimo terminai, informavimo apie klaidų ištaisymą tvarka ir terminai, sutarties keitimo tvarka.

27. Duomenys duomenų gavėjams teikiami tokio turinio ir tokios formos, kurie IT sprendimo duomenų valdytojo ir duomenų tvarkytojo naudojami ir nereikalauja papildomo duomenų apdorojimo. Jeigu IT sprendime tvarkomų duomenų formatas, turinys ar apimtis neatitinka duomenų gavėjo poreikių dėl duomenų formato, turinio ar apimties arba duomenų gavėjas neturi techninių galimybių tinkamai apdoroti gaunamų duomenų, IT sprendimo duomenų valdytojas ir duomenų tvarkytojas gali sukurti programinę įrangą, reikalingą prašomam duomenų formatui, turiniui ar apimčiai parengti ir (ar) apdoroti. Duomenų gavėjas atlygina patirtas sąnaudas programinei įrangai sukurti ir palaikyti, nepaisant to, ar jis turi teisę gauti IT sprendime tvarkomus duomenis neatlygintinai Valstybės informacinių išteklių valdymo įstatymo 31 straipsnio 4 dalies 3 punkte nurodytu atveju.

28. Duomenų gavėjams pateikti IT sprendimo duomenys gali būti naudojami tik teisėtiems ir apibrėžtiems tikslams, kuriems šie duomenys buvo suteikti, ir tik duomenų teikimo sutartyje ar prašyme nurodytu tikslu, teikimo sąlygomis ir tvarka arba kitų teisės aktų nustatyta tvarka, jei teisės aktai numato kitaip. Iš IT sprendimo gauti duomenys negali būti iškraipomi ar kitaip keičiami ir juos naudodamas privalo nurodyti jų šaltinį.

29. Kai atsisakoma teikti IT sprendimo duomenis, asmeniui, pateikusiam prašymą juos gauti, raštu arba elektroninių ryšių priemonėmis pranešama apie priimtą motyvuotą sprendimą atsisakyti tenkinti jo prašymą ir suteikiama informacija apie tokio sprendimo apskundimo tvarką.

30. Duomenų subjektai, jų įstatyminiai atstovai, duomenų gavėjai, registro ar kitos valstybės informacinės sistemos duomenų tvarkytojai, kiti asmenys turi teisę reikalauti ištaisyti neteisingus, netikslius, neišsamius IT sprendimo duomenis (toliau – netikslūs duomenys). Rašytinį prašymą ištaisyti netikslius duomenis galima pateikti asmeniškai, paštu ar elektroninių ryšių priemonėmis.

31. IT sprendimo duomenų valdytojas, gavęs duomenų subjektų, jų įstatyminių atstovų, duomenų gavėjų, registro ar kitos valstybės informacinės sistemos tvarkytojų, kitų asmenų rašytinį prašymą ištaisyti netikslius duomenis, nedelsdamas (ne ilgiau kaip per 5 darbo dienas) patikrina IT sprendimo duomenų tikslumą ir prireikus ištaiso netikslius duomenis. Pranešimas apie netikslių duomenų ištaisymą arba apie motyvuotą atsisakymą tai padaryti nedelsiant (ne vėliau kaip per vieną darbo dieną) siunčiamas asmeniui, pateikusiam rašytinį prašymą ištaisyti netikslius duomenis, paštu ir (ar) elektroninių ryšių priemonėmis. Ištaisęs netikslius duomenis, IT sprendimo duomenų valdytojas ir duomenų tvarkytojas per vieną darbo dieną nuo jų ištaisymo apie tai praneša IT sprendimo duomenų gavėjams, kuriems perduoti netikslūs duomenys. IT sprendimo duomenų valdytojas ir duomenų tvarkytojas, nustatęs, kad yra IT sprendimo duomenų netikslumų, turi nedelsdamas (ne vėliau kaip per vieną darbo dieną) elektroninių ryšių tinklais perduoti šią informaciją susijusiam duomenų teikėjui.

VI SKYRIUS

IT SPRENDIMO asmens duomenų tvarkymo reikalavimai

32. IT sprendimo duomenys saugomi duomenų bazėse 5 metus ir pasibaigus saugojimo terminui per 30 kalendorinių dienų perkeliami į duomenų archyvą ir saugomi 15 metų, o vėliau sunaikinami. IT sprendimo naudotojų asmens duomenys, nurodyti Nuostatų 11.6 punkte, yra tvarkomi tol, kol naudotojams yra priskirtos teisės tvarkyti IT sprendimo duomenis. Netekus teisės tvarkyti IT sprendimo duomenis, naudotojų asmens duomenys yra perkeliami į duomenų archyvą ir saugomi 2 metus nuo duomenų perkėlimo dienos. Praėjus nustatytam 2 metų terminui, duomenys yra sunaikinami.

33. Duomenų subjektų teisės yra įgyvendinamos, vadovaujantis Reglamentu (ES) 2016/679 ir Duomenų subjektų teisių įgyvendinimo tvarkant asmens duomenis Higienos instituto valdomuose registruose ir valstybės informacinėse sistemose tvarkos aprašu, patvirtintu Higienos instituto direktoriaus 2023 m. liepos 25 d. įsakymu Nr. V-87 „Dėl Duomenų subjektų teisių įgyvendinimo tvarkant asmens duomenis Higienos instituto valdomuose registruose ir valstybės informacinėse sistemose tvarkos aprašo patvirtinimo“.

34. Asmenys, kurie tvarko IT sprendimo asmens duomenis, privalo laikytis Reglamento (ES) 2016/679, Asmens duomenų teisinės apsaugos įstatymo, Valstybės informacinių išteklių valdymo įstatymo ir kitų teisės aktų, reglamentuojančių asmens duomenų apsaugą, nuostatų. Asmenys, kurie tvarko IT sprendimo asmens duomenis, įpareigojami saugoti asmens duomenų paslaptį. Ši pareiga galioja jiems pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas, pasibaigus jų darbo ar sutartiniams santykiams.

35. Asmens duomenys teikiami, taisomi ir naudojami vadovaujantis Reglamentu (ES) 2016/679, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir Nuostatų V skyriumi „IT sprendimo duomenų teikimas, naudojimas ir taisymas“.

VII SKYRIUS

IT SPRENDIMO TVARKOMŲ DUOMENŲ PAKARTOTINIS NAUDOJIMAS

36. IT sprendimo duomenų pakartotinio naudojimo sąlygas, IT sprendimo duomenų rinkinių sudarymo ir su šiais rinkiniais susijusių paslaugų teikimo tvarką nustato Teisės gauti informaciją ir duomenų pakartotinio naudojimo įstatymas.

VIII SKYRIUS

IT SPRENDIMO KIBERNETINIS SAUGUMAS

37. IT sprendime tvarkoma elektroninė informacija priskiriama mažos svarbos informacinių išteklių rūšiai.

38. IT sprendimo kibernetinis saugumas reglamentuojamas ir organizuojamas vadovaujantis IT sprendimo duomenų saugos nuostatais, kitais saugos politiką įgyvendinančiais dokumentais, kurie rengiami, derinami ir tvirtinami Lietuvos Respublikos Vyriausybės nustatyta tvarka. Siekiant užtikrinti IT sprendimo duomenų saugą, vadovaujamasi:

38.1. Reglamentu (ES) 2016/679;

38.2. Kibernetinio saugumo įstatymu;

38.3. Kibernetinio saugumo reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

38.4. kitais duomenų saugą reglamentuojančiais Europos Sąjungos ir Lietuvos Respublikos teisės aktais.

39. Už IT sprendimo kibernetinį saugumą teisės aktų nustatyta tvarka pagal kompetenciją atsako IT sprendimo valdytojas ir tvarkytojas, įgyvendindamas tinkamas organizacines ir technines priemones, skirtas apsaugoti duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo ar bet kokio kito neteisėto tvarkymo.

40. IT sprendimo valdytojo ir tvarkytojo bei IT sprendimo duomenų teikėjų darbuotojai, vykdydami savo funkcijas, turi teisę tvarkyti duomenis tik pasirašę pasižadėjimą saugoti IT sprendime tvarkomų duomenų paslaptį, laikytis duomenų saugos reikalavimų.

41. IT sprendimo valdytojo ir tvarkytojo bei IT sprendimo duomenų teikėjų darbuotojai, pažeidę Nuostatų, IT sprendimo duomenų saugos nuostatų ir kitų teisės aktų reikalavimus, atsako Lietuvos Respublikos įstatymų ir kitų teisės aktų nustatyta tvarka.

IX SKYRIUS

BAIGIAMOSIOS NUOSTATOS

42. IT sprendimo sukūrimas finansuotas 2014–2020 m. Europos Sąjungos fondų investicijų veiksmų programos 10 prioriteto „Visuomenės poreikius atitinkantis ir pažangus viešasis valdymas“ projekto Nr. 10.1.3-ESFA-V-918-01-0002 „Visuomenės sveikatos stiprinimo paslaugų valdymo tobulinimas“ lėšomis.

43. IT sprendimo eksploatacija, palaikymas ir plėtra finansuojama Lietuvos Respublikos valstybės biudžeto lėšomis bei gali būti apmokami iš kitų teisėtų finansavimo šaltinių.

44. IT sprendimas atnaujinamas, pertvarkomas ir likviduojama Valstybės informacinių išteklių valdymo įstatymo ir kitų teisės aktų nustatyta tvarka.

45. Likviduojamo IT sprendimo duomenys perduodami kitai informacinei sistemai, sunaikinami arba perduodami Lietuvos valstybės naujajam archyvui Lietuvos vyriausiojo archyvaro nustatyta tvarka.

_____________________

PATVIRTINTA

Higienos instituto direktoriaus

2025 m. vasario 24 d. įsakymu Nr. V-35

Visuomenės sveikatos stiprinimo paslaugų valdymo tobulinimo poreikiams gerinti INFORMACINIŲ TECHNOLOGIJŲ SPRENDIMO DUOMENŲ SAUGOS NUOSTATAI

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Visuomenės sveikatos stiprinimo paslaugų valdymo tobulinimo poreikiams gerinti informacinių technologijų sprendimo duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Visuomenės sveikatos stiprinimo paslaugų valdymo tobulinimo poreikiams gerinti informacinių technologijų sprendimo (toliau – IT sprendimas) elektroninės informacijos saugos (toliau – elektroninės informacijos sauga) ir kibernetinio saugumo (toliau – kibernetinis saugumas) politiką, organizacines, technines ir kitas priemones, užtikrinančias saugų informacijos tvarkymą.

2. Saugos nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Kibernetinio saugumo reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Kibernetinio saugumo reikalavimų aprašas), vartojamas sąvokas.

3. IT sprendimo elektroninės informacijos saugos ir kibernetinio saugumo tikslas – užtikrinti IT sprendimo elektroninės informacijos konfidencialumą, prieinamumą ir vientisumą bei sudaryti sąlygas saugiai automatiniu būdu tvarkyti IT sprendimo elektroninę informaciją.

4. IT sprendimo elektroninės informacijos saugos užtikrinimo prioritetinės kryptys:

4.1. organizacinių, techninių, programinių, teisinių ir kitų priemonių, skirtų IT sprendimo elektroninei informacijai tvarkyti ir duomenų saugai užtikrinti, įgyvendinimas ir kontrolė;

4.2. IT sprendimo veikos tęstinumo užtikrinimas;

4.3. prieigos prie IT sprendimo elektroninės informacijos kontrolė;

4.4. IT sprendimo paslaugų ir naudojimosi IT sprendimo elektronine informacija kontrolės užtikrinimas;

4.5. IT sprendime tvarkomų asmens duomenų apsauga;

4.6. IT sprendimo elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo lygio užtikrinimas.

5. Saugos nuostatų reikalavimai taikomi:

5.1. IT sprendimo valdytojui ir tvarkytojui – Higienos institutui, Studentų g. 45A, LT- 08107 Vilnius;

5.2. IT sprendimo duomenų valdymo įgaliotiniui;

5.3. IT sprendimo saugos įgaliotiniui;

5.4. IT sprendimo administratoriams;

5.5. asmeniui, atsakingam už kibernetinio saugumo organizavimą ir užtikrinimą Higienos institute tvarkomuose registruose ir informacinėse sistemose (toliau – kibernetinio saugumo vadovas);

5.6. IT sprendimo naudotojams;

5.7. paslaugų, susijusių su IT sprendimo veikimu, teikėjams.

6. Už IT sprendimo elektroninės informacijos saugą pagal kompetenciją atsako IT sprendimo valdytojas ir tvarkytojas.

7. IT sprendimo valdytojo ir tvarkytojo funkcijos:

7.1. pagal kompetenciją atsako už duomenų saugos politikos formavimą, jos įgyvendinimo organizavimą, priežiūrą ir IT sprendimo elektroninės informacijos tvarkymo teisėtumą ir saugą;

7.2. tvirtina Saugos nuostatus ir IT sprendimo saugos politiką įgyvendinančius dokumentus (toliau – IT sprendimo saugos dokumentai);

7.3. kontroliuoja, kaip laikomasi IT sprendimo saugos dokumentuose ir kituose elektroninės informacijos saugą reglamentuojančiuose teisės aktuose nustatytų reikalavimų;

7.4. priima sprendimus dėl techninių ir programinių priemonių, būtinų IT sprendimo elektroninės informacijos saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo;

7.5. organizuoja IT sprendimo naudotojų mokymą;

7.6. skiria IT sprendimo administratorius, kibernetinio saugumo vadovą, IT sprendimo saugos įgaliotinį, IT sprendimo duomenų valdymo įgaliotinį;

7.7. pagal kompetenciją atsako už IT sprendimo duomenų tvarkymo teisėtumą ir saugų IT sprendimo duomenų perdavimą kompiuterių tinklais (automatiniu būdu);

7.8. įgyvendina tinkamas organizacines ir technines priemones, skirtas IT sprendimo elektroninei informacijai apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo;

7.9. svarsto pasiūlymus dėl IT sprendimo elektroninės informacijos saugos tobulinimo, IT sprendimo saugos dokumentų, kitų teisės aktų, kuriuose reglamentuojamas IT sprendimo elektroninės informacijos tvarkymo teisėtumas ir sauga, priėmimo, keitimo arba panaikinimo, taip pat rengia šių dokumentų projektus;

7.10. užtikrina, kad IT sprendimo naudotojai, turintys teisę naudotis IT sprendimo elektronine informacija, laikytųsi reikalavimų, nustatytų IT sprendimo saugos dokumentuose;

7.11. organizuoja IT sprendimo duomenų bazės techninę priežiūrą ir užtikrina nepertraukiamą IT sprendimo veikimą;

7.12. tvirtina IT sprendimo rizikos įvertinimo ir rizikos valdymo priemonių planą ir informacinių technologijų saugos atitikties vertinimo metu nustatytų trūkumų šalinimo planą (esant poreikiui šie planai gali būti sujungti ir tvirtinamas bendras planas);

7.13. atlieka kitas IT sprendimo valdytojui ir tvarkytojui IT sprendimo nuostatuose, IT sprendimo saugos dokumentuose bei kituose elektroninės informacijos saugos politiką įgyvendinančiuose teisės aktuose priskirtas funkcijas.

8. IT sprendimo duomenų valdymo įgaliotinio ir IT sprendimo saugos įgaliotinio funkcijos ir atsakomybė:

8.1. rengia IT sprendimo duomenų saugos dokumentų projektus;

8.2. registruoja IT sprendimo duomenų saugos incidentus ir koordinuoja IT sprendimo duomenų saugos incidentų tyrimą;

8.3. teikia IT sprendimo administratoriams su IT sprendimo duomenų saugos užtikrinimu susijusius privalomus vykdyti nurodymus ir pavedimus;

8.4. kasmet organizuoja IT sprendimo rizikos vertinimą, aprašo IT sprendimo rizikos vertinimo rezultatus IT sprendimo rizikos vertinimo ataskaitoje, kurią teikia IT sprendimo valdytojo ir tvarkytojo vadovui tvirtinti;

8.5. prireikus, organizuoja neeilinį IT sprendimo rizikos vertinimą ir parengia rizikos vertinimo ataskaitą;

8.6. periodiškai organizuoja IT sprendimo naudotojų mokymus informacijos saugos klausimais;

8.7. teikia IT sprendimo valdytojui ir tvarkytojui pasiūlymus dėl IT sprendimo administratoriaus paskyrimo;

8.8. teikia IT sprendimo valdytojui ir tvarkytojui pasiūlymus dėl IT sprendimo saugos dokumentų keitimo, saugos reikalavimų atitikties vertinimo atlikimo;

8.9. duoda IT sprendimo naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su Saugos nuostatų ir IT sprendimo saugos dokumentų įgyvendinimu;

8.10. supažindina IT sprendimo naudotojus su Saugos nuostatų ir IT sprendimo saugos dokumentų reikalavimais ir atsakomybe už reikalavimų nesilaikymą, informuoja juos apie elektroninės informacijos saugos problemas;

8.11. vykdo kitas IT sprendimo valdytojo ir tvarkytojo pavestas ir kitais elektroninės informacijos saugą reglamentuojančiais teisės aktais jam priskirtas funkcijas.

9. IT sprendimo administratorių funkcijos ir atsakomybė:

10.1. užtikrina IT sprendimo techninės ir programinės įrangos įdiegimą ir funkcionavimą;

9.2. atsako už IT sprendimo techninės ir programinės įrangos funkcionavimą: rengia ir tikrina IT sprendimo sudarančių komponentų sąranką;

9.3. diegia ir prižiūri programinę įrangą, reikalingą IT sprendimo funkcijoms vykdyti;

9.4. suteikia teisę IT sprendimo naudotojams naudotis IT sprendimo elektronine informacija, reikalinga jų funkcijoms atlikti, ir atlieka jų administravimo funkcijas (naudotojų registravimas ir išregistravimas, prieigos teisių suteikimas ir panaikinimas, informacinių sistemų naudotojų duomenų tvarkymas, klasifikatorių tvarkymas, registracijos žurnalų įrašų analizė ir kt.);

9.5. užtikrina IT sprendimo komponentų (operacinių sistemų, taikomųjų programų, duomenų bazės valdymo sistemų, ugniasienių, įsilaužimo aptikimo sistemų ir kt.) tinkamą veikimą ir priežiūrą, pagal kompetenciją nustato pažeidžiamas IT sprendimo vietas;

9.6. dalyvauja vykdant saugumo reikalavimų įgyvendinimo stebėseną;

9.7. pagal kompetenciją teikia IT sprendimo valdytojui ir tvarkytojui pasiūlymus dėl IT sprendimo palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir IT sprendimo elektroninės informacijos saugos užtikrinimo;

9.8. informuoja IT sprendimo saugos įgaliotinį apie IT sprendimo elektroninės informacijos saugos incidentus ir teikia pasiūlymus dėl IT sprendimo elektroninės informacijos saugos incidentų pašalinimo;

9.9. atsako už IT sprendimo duomenų bazės atsarginių kopijų darymą ir archyve esančių kopijų saugojimą;

9.10. atlieka kitas IT sprendimo valdytojo ir tvarkytojo pavestas ir IT sprendimo saugos dokumentuose jam priskirtas funkcijas;

9.11. vertina IT sprendimo naudotojams suteiktas teises ir priskirtas funkcijas;

9.12. vykdo IT sprendimo saugos įgaliotinio nurodymus ir pavedimus, susijusius su IT sprendimo duomenų saugos užtikrinimu;

9.13. nustato IT sprendimo pažeidžiamas vietas ir informuoja apie jas IT sprendimo saugos įgaliotinį;

9.14. vykdo kitas IT sprendimo nuostatais, Saugos nuostatais ir kitais elektroninės informacijos saugą reglamentuojančiais teisės aktais jam priskirtas funkcijas.

10. IT sprendimo saugos įgaliotinis negali atlikti IT sprendimo administratorių funkcijų.

11. Teisės aktai, kuriais vadovaujamasi, tvarkant IT sprendimo elektroninę informaciją ir užtikrinant jos saugumą:

11.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);

11.2. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

11.3. Valstybės informacinių išteklių valdymo įstatymas;

11.4. Kibernetinio saugumo įstatymas;

11.5. Kibernetinio saugumo reikalavimų aprašas;

11.6. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“ (toliau – Saugos atitikties vertinimo metodika);

11.7. IT sprendimo nuostatai;

11.8. kiti teisės aktai, reglamentuojantys IT sprendimo elektroninės informacijos saugumo politiką, jos tvarkymo teisėtumą ir saugos valdymą valstybės institucijose.

II skyrius

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

12. IT sprendime tvarkoma elektroninė informacija priskiriama mažos svarbos informacinių išteklių rūšiai.

13. IT sprendimo saugos įgaliotinis, atsižvelgdamas į Nacionalinio kibernetinio saugumo centro prie Lietuvos Respublikos krašto apsaugos ministerijos (toliau – Kibernetinio saugumo centras) interneto svetainėje skelbiamą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet organizuoja IT sprendimo rizikos įvertinimą. Prireikus, IT sprendimo saugos įgaliotinis gali organizuoti neeilinį IT sprendimo rizikos įvertinimą.

14. IT sprendimo rizikos vertinimo metu įvertinami rizikos veiksniai, galintys turėti įtakos IT sprendimo elektroninės informacijos saugai, jų galima žala, pasireiškimo tikimybė, rizikos laipsnis ir galimi rizikos valdymo būdai. Kartu su IT sprendimo rizikos vertinimu gali būti atliekamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos IT sprendimo kibernetiniam saugumui, vertinimas.

15. Svarbiausieji rizikos veiksniai:

15.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kita);

15.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacine sistema elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);

15.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

16. IT sprendimo rizikos veiksniams vertinti naudojama penkiabalė rizikos vertinimo sistema, pagal kurią, nustačius rizikos veiksnių tikimybę ir poveikį, apskaičiuojamas rizikos laipsnis:

16.1. nereikšminga rizikos veiksnių tikimybė, žala – 1 balas;

16.2. maža rizikos veiksnių tikimybė, žala – 2 balai;

16.3. vidutinė rizikos veiksnių tikimybė, žala – 3 balai;

16.4. didelė rizikos veiksnių tikimybė, žala – 4 balai;

16.5. labai didelė rizikos veiksnių tikimybė, žala – 5 balai.

17. Kuo didesnė rizikos veiksnio tikimybė ir jo poveikis, tuo rizikos laipsnis aukštesnis. Rizikos veiksniams, kuriems nustatytas aukštas rizikos laipsnis, būtina skirti didžiausią dėmesį parenkant ir įgyvendinant tinkamas rizikos mažinimo priemones.

18. IT sprendimo rizikos įvertinimo rezultatai pateikiami rizikos vertinimo ataskaitoje, kurią tvirtina IT sprendimo valdytojas ir tvarkytojas. Prireikus, tvirtinamas rizikos vertinimo ir rizikos valdymo priemonių planas, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

19. Patvirtintos rizikos vertinimo ataskaitos ir rizikos valdymo priemonių plano, jei toks buvo parengtas, kopijas IT sprendimo valdytojas ir tvarkytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų patvirtinimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai (toliau – ARSIS).

20. IT sprendimo elektroninės informacijos saugos priemonių parinkimo principai:

20.1. liekamoji rizika turi būti sumažinta iki priimtino lygio;

20.2. saugos priemonės diegimo kaina turi būti adekvati saugomos IT sprendimo elektroninės informacijos vertei;

20.3. kur galima, turi būti įdiegiamos prevencinės IT sprendimo elektroninės informacijos saugos priemonės;

20.4. parenkamos tokios saugos priemonės, kad būtų užtikrintas IT sprendimo veiklos tęstinumas ir saugus IT sprendimo darbas, patiriant kuo mažiau išlaidų.

21. Siekiant įvertinti Saugos dokumentų reikalavimų įgyvendinimo kontrolę, vadovaujantis Saugos atitikties vertinimo metodika kartą per metus organizuojamas IT sprendimo elektroninės informacijos saugos atitikties vertinimas.

22. Atlikus IT sprendimo elektroninės informacijos saugos atitikties vertinimą, rengiama IT sprendimo elektroninės informacijos saugos atitikties vertinimo ataskaita, kuri pateikiama IT sprendimo valdytojo ir tvarkytojo vadovui, prireikus – pastebėtų trūkumų šalinimo planas, kuriuos tvirtina IT sprendimo valdytojas ir tvarkytojas.

23. IT sprendimo elektroninės informacijos saugos atitikties vertinimo ataskaitos kopiją, pastebėtų trūkumų šalinimo plano kopiją IT sprendimo valdytojas ir tvarkytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų patvirtinimo turi pateikti ARSIS.

III SKYRIUS

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

24. Programinės įrangos, skirtos IT sprendimą apsaugoti nuo kenksmingosios programinės įrangos (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir pan.), naudojimo nuostatos ir atnaujinimo reikalavimai:

24.1. IT sprendimo valdytojo ir tvarkytojo ir IT sprendimo naudotojų kompiuterizuotose darbo vietose turi būti naudojamos kenksmingosios programinės įrangos aptikimo priemonės, nuolat ieškančios ir blokuojančios kenksmingąją programinę įrangą ir atsinaujinančios automatiniu būdu;

24.2. programinės įrangos konfigūravimas turi būti apsaugotas slaptažodžiu;

24.3. IT sprendimo elektroninės informacijos apsaugai naudojama programinė įranga turi turėti apsaugos mechanizmus, blokuojančius kenkimo programų bandymus panaikinti kenkimo programų apsaugas.

25. Programinės įrangos, įdiegtos kompiuterizuotose darbo vietose, naudojimo nuostatos:

25.1. naudojama tik legali IT sprendimo funkcijoms vykdyti būtina programinė įranga;

25.2. programinė įranga atnaujinama laikantis gamintojo reikalavimų;

25.3. programinės įrangos diegimą, šalinimą ir konfigūravimą atlieka tik I IT sprendimo administratoriai arba IT sprendimo valdytojo ir tvarkytojo įgaliotas asmuo;

25.4. turi būti įdiegta galimybė fiksuoti ir kaupti informaciją apie asmenų, kurie naudojosi prieiga prie IT sprendimo elektroninės informacijos, atliktus veiksmus;

25.5. IT sprendimo programinis kodas privalo būti apsaugotas nuo atskleidimo neturintiems teisės su juo susipažinti asmenims.

26. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kita) pagrindinės naudojimo nuostatos:

26.1. IT sprendimo elektroninės informacijos perdavimo tinklai nuo viešųjų telekomunikacijų tinklų (interneto) turi būti atskirti ugniasienėmis, DoS (angl. Denial of Service) ir DDoS (angl. Distributed Denial of Service) atakų prevencijai skirta įranga bei įsilaužimų aptikimo ir prevencijos įranga;

26.2. visas duomenų srautas į internetą ir iš jo turi būti filtruojamas naudojant apsaugą nuo virusų ir kitos kenksmingosios programinės įrangos;

26.3. IT sprendimo tinklo perimetro apsaugai turi būti naudojami filtrai, apsaugantys elektroniniame pašte ir viešame ryšių tinkle naršančių IT sprendimo naudotojų kompiuterinę įrangą nuo kenksmingo kodo;

26.4. pagrindinė IT sprendimo duomenų pateikimo prieiga yra duomenų perdavimas šifruotu virtualaus privataus tinklo (VPN) duomenų perdavimo kanalu arba panaudojant saugų HTTPS (angl. Hypertext Transfer Protocol Secure) duomenų perdavimo protokolą.

27. Leistinos kompiuterių naudojimo ribos:

27.1. stacionarieji ir nešiojamieji IT sprendimo naudotojų kompiuteriai turi būti naudojami tik tiesioginėms pareigoms atlikti. Iš perduodamų remontuoti ar techninei priežiūrai atlikti kompiuterių turi būti pašalinti visi IT sprendimo duomenys ir IT sprendimo informacija;

27.2. nešiojamuosiuose kompiuteriuose turi būti naudojamas įjungimo slaptažodis, jie turi būti atskirti nuo viešojo interneto tinklo užkarda;

27.3. IT sprendimo naudotojai privalo naudotis visomis saugumo priemonėmis apsaugodami kompiuterį ir duomenų laikmenas nuo vagystės arba pažeidimo, nenaudojami nešiojamieji kompiuteriai turi būti saugomi saugioje vietoje.

28. Metodai, kuriais užtikrinamas saugus IT sprendimo elektroninės informacijos teikimas ir (ar) gavimas:

28.1. perduodama IT sprendimo elektroninė informacija yra šifruojama naudojant saugų SSL (angl. Secure Sockets Layer) protokolą;

28.2. IT sprendimo elektroninė informacija perduodama automatiniu būdu naudojant TCP/IP (angl. Transmission Control Protocol / Internet Protocol), HTTPS (angl. Hypertext Transfer Protocol Secure) protokolus realiuoju laiku;

28.3. prieigos prie IT sprendimo elektroninės informacijos valdymas apibrėžtas IT sprendimo naudotojų administravimo taisyklėse;

28.4. prieigos prie IT sprendimo elektroninės informacijos teises gali suteikti tik IT sprendimo administratorius. IT sprendimo naudotojams suteikiamos tik jų funkcijoms atlikti būtinos teisės.

29. IT sprendimo valdytojo ir tvarkytojo ir IT sprendimo naudotojų kompiuterizuotos darbo vietos turi būti valdomos naudojant centralizuoto valdymo priemones.

30. Pagrindiniai IT sprendimo elektroninės informacijos atsarginių kopijų darymo ir atkūrimo reikalavimai:

30.1. atsarginės IT sprendimo elektroninės informacijos kopijos (toliau – kopijos) turi būti daromos automatiniu būdu ne rečiau kaip kas 24 valandas, esant aktyviai IT sprendimo duomenų bazei;

30.2. IT sprendimo elektroninė informacija kopijose turi būti šifruojama;

30.3. kopijas turi teisę tvarkyti IT sprendimo administratorius arba techninės bei programinės įrangos priežiūros paslaugų teikėjai;

30.4. kopijų darymo ir saugojimo tvarka nustatoma IT sprendimo saugaus elektroninės informacijos tvarkymo taisyklėse.

31. Turi būti užtikrintas saugos incidentų, įvykusių IT sprendime, registravimas, valdymas ir tyrimas Kibernetinių saugumo reikalavimų aprašo ir IT sprendimo veiklos tęstinumo valdymo plano nustatyta tvarka:

31.1. registruojami IT sprendime įvykę saugos incidentai ir nedelsiant į juos reaguojama, techninėmis ir programinėmis priemonėmis pagal kompetenciją saugos incidentai valdomi, tiriami ir šalinami bei atkuriama IT sprendimo veikla;

31.2. Kibernetinio saugumo centrui ir kitoms atsakingoms institucijoms pagal kompetenciją pranešama apie įvykusius saugos incidentus, jų vertinimą ir suvaldymą.

32. Perkant paslaugas, darbus ar įrangą, susijusius su IT sprendimu, jo projektavimu, kūrimu, diegimu, modernizavimu, priežiūra, palaikymu, saugos užtikrinimu, auditavimu, IT sprendimo elektroninės informacijos perdavimo tinklais, taip pat kitus, suteikiančius teisę ir galimybę prieiti prie IT sprendimo elektroninės informacijos, pirkimo dokumentuose turi būti nustatyta, kad asmuo, atliekantis IT sprendimo techninės ir programinės įrangos priežiūros ir duomenų, informacijos ir dokumentų ir (arba) jų kopijų tvarkymo funkcijas, privalo laikytis IT sprendimo saugos dokumentuose nustatytų reikalavimų ir užtikrinti teikiamų paslaugų, vykdomų darbų ar tiekiamos įrangos atitiktį nustatytiems Kibernetinio saugumo reikalavimų aprašo reikalavimams.

33. Į paslaugų pirkimo sutartį turi būti įtraukta nuostata, įpareigojanti paslaugų teikėjo darbuotojus pasirašyti konfidencialumo pasižadėjimą neatskleisti tretiesiems asmenims jokios informacijos, gautos vykdant šią sutartį, išskyrus tiek, kiek būtina sutarčiai vykdyti.

IV skyrius

REIKALAVIMAI PERSONALUI

34. IT sprendimo saugos įgaliotinis ir kibernetinio saugumo vadovas turi išmanyti IT sprendimo elektroninės informacijos saugos užtikrinimo principus, tobulinti kvalifikaciją elektroninės informacijos saugos srityje, savo darbe vadovautis Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą.

35. IT sprendimo saugos įgaliotiniu ir kibernetinio saugumo vadovu negali būti skiriami asmenys, turintys administracinę nuobaudą už teisės aktų pažeidimus tinklų ir informacinių sistemų ir asmens duomenų tvarkymo ir privatumo apsaugos srityse, nuo kurios paskyrimo praėję mažiau kaip vieni metai. IT sprendimo saugos įgaliotinis, pažeidęs saugos nuostatų ar kitų saugų IT sprendimo elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

36. IT sprendimo administratorius turi:

36.1. išmanyti darbą su kompiuterių tinklais ir mokėti užtikrinti jų saugą;

36.2. mokėti administruoti ir prižiūrėti duomenų bazes;

36.3. būti susipažinęs su IT sprendimo nuostatais, Saugos nuostatais, IT sprendimo saugos dokumentais ir kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą.

37. IT sprendimo naudotojai turi:

37.1. turėti pagrindinius darbo kompiuteriu įgūdžius;

37.2. mokėti tvarkyti IT sprendimo elektroninę informaciją IT sprendimo nuostatų nustatyta tvarka;

37.3. būti susipažinę su Saugos nuostatais bei teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą.

38. IT sprendimo naudotojai, pastebėję saugos reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias saugos užtikrinimo priemones IT sprendime, privalo nedelsdami pranešti apie tai IT sprendimo administratoriui ar IT sprendimo saugos įgaliotiniui.

39. IT sprendimo saugos įgaliotinis ne rečiau kaip kartą per dvejus metus inicijuoja IT sprendimo naudotojų mokymą elektroninės informacijos saugos ir kibernetinio saugumo klausimais, prireikus įvairiais būdais – pranešimais elektroniniu paštu, naujų darbuotojų instruktavimu, atmintinių rengimu, teminių seminarų organizavimu ir kitais informavimo būdais – primena apie saugumo problemas.

40. IT sprendimo naudotojų mokymai IT sprendimo elektroninės informacijos saugos ir kibernetinio saugumo klausimais turi būti planuojami ir mokymo būdai parenkami atsižvelgiant į elektroninės informacijos saugos užtikrinimo prioritetines kryptis ir tikslus, įdiegtas ar planuojamas įdiegti technologijas (techninę ar programinę įrangą), IT sprendimo naudotojų, IT sprendimo duomenų valdymo įgaliotinio ir IT sprendimo administratorių poreikius.

41. IT sprendimo naudotojams ir IT sprendimo administratoriui mokymus gali vykdyti saugos įgaliotinis ar kitas IT sprendimo valdytojo ir tvarkytojo darbuotojas, išmanantis elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo principus, arba elektroninės informacijos saugos (kibernetinio saugumo) mokymų paslaugų teikėjas.

V SKYRIUS

IT SPRENDIMO NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

42. Tvarkyti pagal kompetenciją IT sprendimo duomenis ir gauti informaciją gali tik IT sprendimo naudotojai, susipažinę su IT sprendimo saugos dokumentais ir raštu pasirašę pasižadėjimus saugoti duomenų paslaptį. Pasikeitus IT sprendimo saugos dokumentams, IT sprendimo naudotojai su jais supažindinami pakartotinai.

43. Už IT sprendimo naudotojų supažindinimą su IT sprendimo saugos dokumentais ir atsakomybe už jų reikalavimų nesilaikymą atsakingi IT sprendimo saugos įgaliotinis, IT sprendimo valdytojo ir tvarkytojo paskirti atsakingi asmenys.

44. IT sprendimo naudotojai, pažeidę IT sprendimo saugos dokumentų reikalavimus, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

45. Duomenys apie IT sprendimo naudotojų, IT sprendimo administratoriaus atliktus veiksmus su IT sprendimo elektronine informacija saugomi 1 (vienerius) metus.

46. IT sprendimo saugos įgaliotinis organizuoja saugos dokumentų peržiūrą ne rečiau kaip kartą per metus. Saugos dokumentai turi būti peržiūrimi atlikus rizikos analizę ar informacinių technologijų saugos atitikties vertinimą, įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams, pasikeitus Saugos nuostatų 11 punkte nurodytiems teisės aktams.

47. IT sprendimo saugos įgaliotinis, siekdamas užtikrinti IT sprendimo ir jame tvarkomų duomenų saugumą, teikia siūlymus IT sprendimo valdytojui ir tvarkytojui dėl Saugos nuostatų keitimo ar kitų saugos politiką įgyvendinančių teisės aktų priėmimo, keitimo ar panaikinimo.

_____________________