Suvestinė redakcija nuo 2024-12-06
Įsakymas paskelbtas: TAR 2021-04-09, i. k. 2021-07516
SVEIKATOS APSAUGOS MINISTERIJOS
EKSTREMALIŲ SVEIKATAI SITUACIJŲ CENTRO
DIREKTORIUS
ĮSAKYMAS
DĖL EKSTREMALIŲ SITUACIJŲ VALDYMO INFORMACINĖS SISTEMOS NUOSTATŲ IR EKSTREMALIŲ SITUACIJŲ VALDYMO INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
2021 m. balandžio 8 d. Nr. 05-36
Kaunas
Vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 8 straipsnio 3 dalimi, 30 straipsniu, Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“4 ir 11 punktais ir Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7, 11, 19 ir 26 punktais:
2. T v i r t i n u pridedamus:
3. P a v e d u Ekstremalių situacijų valdymo informacinės sistemos pagrindiniam tvarkytojui:
3.1. paskirti Ekstremalių situacijų valdymo informacinės sistemos saugos įgaliotinį, administratorių, duomenų valdymo įgaliotinį;
3.2. per 30 kalendorinių dienų nuo šio įsakymo įsigaliojimo parengti ir teisės aktų nustatyta tvarka suderinti bei Sveikatos apsaugos ministerijos Ekstremalių sveikatai situacijų centrui pateikti tvirtinti:
3.2.1. Ekstremalių situacijų valdymo informacinės sistemos naudotojų administravimo taisyklių projektą;
3.2.2. Ekstremalių situacijų valdymo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklių projektą;
Direktorius Olegas Sitnikovas
|
SUDERINTA : dėl informacinės sistemos nuostatų:
Lietuvos Respublikos sveikatos apsaugos ministerijos 2021-03-25 raštu Nr. 10-1987 |
Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos 2021-03-25 raštu Nr.S-122(2021) |
|
Nacionalinio visuomenės sveikatos centro prie Sveikatos apsaugos ministerijos 2021-04-01 raštu Nr. (06 1.9 Mr)2-53661 |
Valstybinės duomenų apsaugos inspekcijos 2021-03-30 raštu Nr. 2R-1507 (3.2.Mr) |
|
Valstybinio socialinio draudimo fondo valdyba prie Socialinės apsaugos ir darbo ministerijos 2021-03-26 raštu (14.59E) I-2083 |
Nacionalinio kibernetinio saugumo centro prie Krašto apsaugos ministerijos 2021-03-24 raštu Nr. (4.1 E) 6K-223 |
|
|
|
| Nacionalinės švietimo agentūros 2021-03-25 raštu Nr.SD-682(1.6 E) |
Lietuvos Respublikos ekonomikos ir inovacijų ministerijos 2021-03-29 raštu Nr. 3-1450
|
SUDERINTA:
dėl saugos nuostatų:
Nacionalinio kibernetinio saugumo centro VšĮ Kauno miesto greitosios medicinos
prie Krašto apsaugos ministerijos pagalbos stoties 2021-04-08 raštu
2021-04-08 raštu Nr. (4.1 E) 6K-283 Nr.SAS-11 (1.6)
PATVIRTINTA
Sveikatos apsaugos ministerijos
Ekstremalių sveikatai situacijų centro
direktoriaus 2021 m. balandžio 8 d. įsakymu Nr. 05-36 (2024 m. gruodžio 5 d. įsakymo
Nr. V-95 redakcija)
EKSTREMALIŲ SITUACIJŲ VALDYMO INFORMACINĖS SISTEMOS NUOSTATAI
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Ekstremalių situacijų valdymo informacinės sistemos nuostatai (toliau – Nuostatai) nustato Ekstremalių situacijų valdymo informacinės sistemos (toliau – ESVIS, Informacinė sistema) steigimo teisinį pagrindą, tikslus, uždavinius, pagrindines funkcijas, organizacinę, informacinę ir funkcinę struktūras, duomenų naudojimo, teikimo, saugos, finansavimo, modernizavimo ir likvidavimo tvarką.
2. Informacinės sistemos steigimo ir naujų jos funkcijų diegimo teisinis pagrindas yra Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 23 straipsnis, Lietuvos Respublikos sveikatos apsaugos ministro – Valstybės lygio ekstremaliosios situacijos valstybės operacijų vadovo 2020 m. lapkričio 30 d. sprendimas Nr. V-2765 “Dėl licencijos ekstremalių sveikatai situacijų valdymui įsigijimo“, Lietuvos Respublikos sveikatos sistemos įstatymo Nr. I-552 2 straipsnio pakeitimo ir įstatymo papildymo 121 ir 511 straipsniais įstatymas, Pacientų pavėžėjimo paslaugos teikimo taisyklės, patvirtintos Lietuvos Respublikos sveikatos apsaugos ministro 2023 m. sausio 23 d. įsakymu Nr. V-90 „Dėl Pacientų pavėžėjimo paslaugos teikimo taisyklių patvirtinimo”, Sveikatos apsaugos ministerijos Ekstremalių sveikatai situacijų centro nuostatų, patvirtintų Lietuvos Respublikos sveikatos apsaugos ministro 2008 m. gruodžio 9 d. įsakymu Nr. V-1246 „Dėl Sveikatos apsaugos ministerijos Ekstremalių sveikatai situacijų centro nuostatų patvirtinimo“ 10.1., 11.3., 11.4. papunkčiai.
3. ESVIS tvarkoma vadovaujantis šiais teisės aktais:
3.7. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679);
3.9. Kibernetinio saugumo reikalavimų aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;
3.10. Pacientų pavėžėjimo paslaugų organizavimo ir teikimo tvarkos aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2022 m. lapkričio 30 d. nutarimu Nr. 1196 „Dėl Pacientų pavėžėjimo paslaugų organizavimo ir teikimo tvarkos aprašo patvirtinimo”;
3.11. Pacientų pavėžėjimo paslaugų teikimo stebėsenos tvarkos aprašas, patvirtintas Lietuvos Respublikos sveikatos apsaugos ministro 2023 m. sausio 11 d. įsakymu Nr. V-33 „Dėl Pacientų pavėžėjimo paslaugų teikimo stebėsenos tvarkos aprašo patvirtinimo“;
3.12. Specializuoto pacientų pavėžėjimo paslaugų teikimo tvarkos aprašas, patvirtintas Lietuvos Respublikos sveikatos apsaugos ministro 2023 m. sausio 11 d. įsakymu Nr. V-34 „Dėl Specializuoto pacientų pavėžėjimo paslaugų teikimo tvarkos aprašo patvirtinimo“;
3.13. Pacientų pavėžėjimo paslaugos teikimo taisyklės, patvirtintos Lietuvos Respublikos sveikatos apsaugos ministro 2023 m. sausio 23 d. įsakymu Nr. V-90 „Dėl Pacientų pavėžėjimo paslaugos teikimo taisyklių patvirtinimo“;
3.14. Valstybės ir savivaldybių institucijų ir įstaigų, ūkio subjektų ir kitų įstaigų, savivaldybių administracijų kaupiamų asmeninės apsaugos priemonių ir kitų veiklos vykdymui užtikrinti būtinų priemonių, skirtų apsisaugoti nuo pavojingos ar ypač pavojingos užkrečiamosios ligos, atsargų sąrašas bei šių priemonių kiekio apskaičiavimo tvarkos aprašas, patvirtintas Lietuvos Respublikos sveikatos apsaugos ministro 2021 m. sausio 27 d įsakymu Nr. V-160 „Dėl Valstybės ir savivaldybių institucijų ir įstaigų, ūkio subjektų ir kitų įstaigų, savivaldybių administracijų kaupiamų asmeninės apsaugos priemonių ir kitų veiklos vykdymui užtikrinti būtinų priemonių, skirtų apsisaugoti nuo pavojingos ar ypač pavojingos užkrečiamos ligos atsargų sąrašo bei šių priemonių kiekio apskaičiavimo tvarkos aprašo patvirtinimo“;
3.15. Sveikatos priežiūros sistemos subjektuose kaupiamų asmeninės apsaugos priemonių ir kitų veiklos vykdymui užtikrinti būtinų priemonių, skirtų pasirengti ekstremaliųjų situacijų, sukeltų cheminių, biologinių veiksnių, branduolinių ar radiologinių avarijų bei teroristinių išpuolių likvidavimui ir jų padarinių šalinimui, atsargų sąrašų ir šių priemonių minimalaus sukauptino kiekio (normatyvų) bei kaupimo terminų tvarkos aprašas, patvirtintas Lietuvos Respublikos sveikatos apsaugos ministro 2021 m. spalio 4 d. įsakymu Nr. V-2225 „Dėl Sveikatos priežiūros sistemos subjektuose kaupiamų asmeninės apsaugos priemonių ir kitų veiklos vykdymui užtikrinti būtinų priemonių, skirtų pasirengti ekstremaliųjų situacijų, sukeltų cheminių, biologinių veiksnių, branduolinių ar radiologinių avarijų bei teroristinių išpuolių likvidavimui ir jų padarinių šalinimui, atsargų sąrašų ir šių priemonių minimalaus sukauptino kiekio (normatyvų) bei kaupimo terminų tvarkos aprašo patvirtinimo“;
3.16. Sveikatos apsaugos ministerijos 2021–2023 m. ekstremaliųjų situacijų prevencijos priemonių planas, patvirtintas Lietuvos Respublikos sveikatos apsaugos ministro 2020 m. gruodžio 30 d. įsakymu Nr. V-3061 ”Dėl Sveikatos apsaugos ministerijos 2021–2023 metų ekstremaliųjų situacijų prevencijos priemonių plano patvirtinimo”;
3.17. Visuomenės sveikatos priežiūros įstaigos ekstremaliųjų situacijų valdymo plano rengimo rekomendacijos, patvirtintos Lietuvos Respublikos sveikatos apsaugos ministro 2019 m. balandžio 23 d. įsakymu Nr. V-455 „Dėl visuomenės sveikatos priežiūros įstaigos ekstremaliųjų situacijų valdymo plano rengimo rekomendacijų patvirtinimo“;
3.18. Informacijos apie sveikatos priežiūros įstaigų pasirengimą veiklai ekstremaliųjų situacijų atvejais teikimo tvarkos aprašas, patvirtintas Lietuvos Respublikos sveikatos apsaugos ministro 2011 m. gruodžio 23 d. įsakymu Nr. V-1110 „Dėl Informacijos apie sveikatos priežiūros įstaigų pasirengimą veiklai ekstremaliųjų situacijų atvejais teikimo tvarkos aprašo patvirtinimo“;
3.19. Keitimosi informacija apie ekstremaliąsias situacijas, ekstremaliuosius įvykius ir kitus riziką gyventojų sveikatai ir gyvybei keliančius įvykius tvarkos aprašas, patvirtintas Lietuvos Respublikos sveikatos apsaugos ministro 2010 m. liepos 23 d. įsakymu Nr. V-657 “Dėl Keitimosi informacija apie ekstremaliąsias situacijas, ekstremaliuosius įvykius ir kitus riziką gyventojų sveikatai ir gyvybei keliančius įvykius tvarkos aprašo patvirtinimo“;
3.20. Būtinųjų priešnuodžių rinkinio asmens sveikatos priežiūros įstaigose įsigijimo ir priešnuodžių vartojimo tvarkos aprašas ir Priešnuodžių, vartojamų apsinuodijusiems pacientams gydyti asmens sveikatos priežiūros įstaigose, sąrašas, patvirtinti Lietuvos Respublikos sveikatos apsaugos ministro 2004 m. birželio 28 d. įsakymu Nr. V-468 „Dėl Būtinųjų priešnuodžių rinkinio asmens sveikatos priežiūros įstaigose įsigijimo ir vartojimo tvarkos ir Priešnuodžių, vartojamų apsinuodijusiems pacientams gydyti asmens sveikatos priežiūros įstaigose, sąrašo patvirtinimo“;
3.21. Asmens sveikatos priežiūros įstaigos ekstremaliųjų situacijų valdymo plano rengimo rekomendacijos, patvirtintos Lietuvos Respublikos sveikatos apsaugos ministro 2003 m. kovo 6 d. įsakymu Nr. V-157 „Dėl Asmens sveikatos priežiūros įstaigos ekstremaliųjų situacijų valdymo plano rengimo rekomendacijų patvirtinimo”;
3.22. Sveikatos apsaugos ministerijos Ekstremalių sveikatai situacijų centro Lietuvos nacionalinės sveikatos sistemos įstaigų parengties ekstremaliosioms situacijoms stebėsenos procesų dokumentacija, patvirtinta Sveikatos apsaugos ministerijos Ekstremalių sveikatai situacijų centro direktoriaus 2022 m. gruodžio 30 d. įsakymu Nr. V-110 „Dėl sveikatos apsaugos ministerijos ekstremalių sveikatai situacijų centro Lietuvos nacionalinės sveikatos sistemos įstaigų parengties ekstremaliosioms situacijoms stebėsenos procesų dokumentacijos patvirtinimo“;
3.23. Sveikatos apsaugos ministerijos Ekstremalių sveikatai situacijų centro nuostatai, patvirtinti Lietuvos Respublikos sveikatos apsaugos ministro 2008 m. gruodžio 9 d. įsakymu Nr. V-1246 “Dėl Sveikatos apsaugos ministerijos Ekstremalių sveikatai situacijų centro nuostatų patvirtinimo”;
3.24. Ūkio subjekto, kitos įstaigos ekstremaliųjų situacijų valdymo plano rengimo metodinės rekomendacijos ir Ministerijos, kitos valstybės institucijos ir įstaigos ekstremaliųjų situacijų valdymo plano rengimo metodinės rekomendacijos, patvirtintos Priešgaisrinės apsaugos ir gelbėjimo departamento prie Vidaus reikalų ministerijos direktoriaus 2011 m. vasario 23 d. įsakymu Nr. 1-70 „Dėl Ekstremaliųjų situacijų valdymo planų rengimo metodinių rekomendacijų patvirtinimo“;
3.25. Ūkio subjekto, kitos įstaigos galimų pavojų ir ekstremaliųjų situacijų rizikos analizės metodinės rekomendacijos ir Ministerijos, kitos valstybės institucijos ir įstaigos galimų pavojų ir ekstremaliųjų situacijų rizikos analizės metodinės rekomendacijos, patvirtintos Priešgaisrinės apsaugos ir gelbėjimo departamento prie Vidaus reikalų ministerijos direktoriaus 2011 m. birželio 2 d. įsakymu Nr. 1-189 „Dėl Galimų pavojų ir ekstremaliųjų situacijų rizikos analizės atlikimo rekomendacijų patvirtinimo“;
3.26. Valstybės informacinių sistemų gyvavimo ciklo valdymo metodika, patvirtinta Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos direktoriaus 2014 m. vasario 25 d. įsakymo Nr. T-29 „Dėl Valstybės informacinių sistemų gyvavimo ciklo valdymo metodikos patvirtinimo“;
3.27. Duomenų teikimo formatų ir standartų rekomendacijos, patvirtintos Informacinės visuomenės plėtros direktoriaus 2023 m. kovo 28 d. įsakymu Nr. T-30(2023) „Dėl Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos direktoriaus 2013 m. kovo 25 d. įsakymo Nr. T-36 „Dėl duomenų teikimo formatų ir standartų rekomendacijų patvirtinimo“ pakeitimo“;
3.29. Valstybės duomenų valdymo platformos veikimo ir naudojimo sąlygų tvarkos aprašas, patvirtintas Valstybės duomenų agentūros generalinio direktoriaus 2023 m. kovo 31 d. įsakymu Nr. DĮ-82 „Dėl Valstybės duomenų valdymo platformos veikimo ir naudojimo sąlygų tvarkos aprašo patvirtinimo“;
3.30. Valstybės informacinių išteklių svarbos vertinimo metodika, patvirtinta Lietuvos Respublikos ekonomikos ir inovacijų ministro 2023 m. liepos 19 d. įsakymu Nr. 4-418 „Dėl Valstybės informacinių išteklių svarbos vertinimo metodikos patvirtinimo“;
4. Nuostatuose vartojamos sąvokos atitinka sąvokas, apibrėžtas Nuostatų 3 punkte nurodytuose teisės aktuose.
5. ESVIS tikslai yra:
5.1. informacinių technologijų priemonėmis tvarkyti Informacinėje sistemoje kaupiamus duomenis, įskaitant pabėgėlių ir migrantų duomenis, valdyti pacientų registracijų tyrimams ir vakcinacijai veiklos procesus;
5.2. informacinių technologijų priemonėmis organizuoti paciento pavėžėjimo į (arba iš) Lietuvos nacionalinės sveikatos sistemos (toliau – LNSS) asmens sveikatos priežiūros įstaigą, kai pacientui nereikalinga skubioji medicinos pagalba, paslaugų teikimą ir administravimą, valdyti pacientų pavėžėjimo veiklos procesus;
6. ESVIS uždaviniai:
6.1. informacinių technologijų priemonėmis centralizuotai valdyti asmenų, besikreipiančių trumpuoju telefono numeriu 1808, srautus;
6.2. informacinių technologijų priemonėmis valdyti registracijas tyrimams ir vakcinacijai į sveikatos priežiūros įstaigas (toliau – SPĮ), kaupti duomenis apie registraciją ir tyrimus, jų atsakymus bei užtikrinti savalaikį informacijos ir dokumentų pateikimą ESVIS pacientams ir naudotojams;
6.3. informacinių technologijų pagalba administruoti pavėžėjimo paslaugai besiregistruojančius asmenis bei valdyti pavėžėjimo paslaugos teikimą;
6.4. informacinių technologijų priemonėmis užtikrinti parengties ir prevencijos ir stebėsenos funkcijas, taip pat koordinavimo funkcijas, sudarant sąlygas LNSS subjektams rengti ekstremalių situacijų valdymo planus informacinėje sistemoje bei Sveikatos apsaugos ministerijos Ekstremalių sveikatai situacijų centrui (toliau – ESSC) vertinti SPĮ parengtį ekstremalioms situacijoms;
6.5. kaupti sisteminti ir analizuoti sveikatos sistemos įstaigų resursų, reikalingų užtikrinti jų parengtį ekstremaliosioms situacijoms, duomenis;
6.6. sudaryti sąlygas informacinių technologijų priemonėmis valdyti kompetencijų ugdymo ekstremalių sveikatai situacijų valdymo srityje procesus;
7. ESVIS pagrindinės funkcijos:
7.1. 1808 pagalbos skambučių ir SPĮ valdymo funkcijos:
7.2. registracijos į SPĮ bei duomenų kaupimo, apdorojimo ir pateikimo ESVIS pacientams ir naudotojams funkcijos:
7.2.1. registruoti asmenis tyrimams bei sudaryti sąlygas registruotis internetu patiems ar (ir) kitose SPĮ;
7.2.2. užtikrinti savalaikį elektroninių (E200) formų kūrimą ir perdavimą į Elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinę sistemą (toliau – ESPBI IS);
7.2.3. užtikrinti savalaikį atsakymų (E200-ats) apie atliktus tyrimus registravimą ir perdavimą į ESPBI IS;
7.4. kaupti elektroninę informaciją apie asmenų, besikreipiančių trumpuoju telefono numeriu 1808, registraciją tyrimams ir vakcinacijai bei pacientų pavėžėjimui, tyrimų ir vakcinacijos bei pavėžėjimo duomenų valdymą ir informavimą trumposiomis žinutėmis;
7.5. valdyti vakcinacijos procesą skiepijimo vietoje, dokumentuoti vakcinacijos faktą ir perduoti informaciją į ESPBI IS;
7.6. pacientų pavėžėjimo paslaugos valdymas:
7.6.1. užtikrinti savarankišką registraciją pavėžėjimo paslaugai bei valdyti registraciją pavėžėjimo paslaugai gauti;
7.6.2. administruoti pavėžėjimo ir palydėjimo rezervacijas, automobilių paskyrimus, informuoti apie atliktas rezervacijas, valdyti vairuotojų maršrutus;
7.6.3. administruoti pavėžėjimo ir palydėjimo rezervacijas, automobilių paskyrimus, „palydėtojų“ paskyrimus, informuoti apie atliktas rezervacijas, valdyti vairuotojų maršrutus;
7.7. Parengties ir prevencijos valdymas:
7.7.1. sudaryti sąlygas informacinių technologijų priemonėmis rengti ekstremalių situacijų planus, koordinuoti parengtį ekstremalioms situacijoms sveikatos sistemoje;
7.7.4. sukurti lanksčias, lengvai pritaikomas elektroninių paslaugų teikimo formas ir sisteminius procesus bei duomenų analizės priemones, suteikiančias galimybę kurti apibendrinančias ataskaitas ir realiu laiku analizuoti kaupiamus duomenis;
7.8. Kompetencijų ekstremalių situacijų valdyme ugdymo valdymas:
7.8.1. standartizuoti ir sudaryti sąlygas valdyti, kontroliuoti ir administruoti kompetencijų, būtinų ekstremalių situacijų valdymui, ugdymo procesą;
8. ESVIS pacientų, naudotojų, pavėžėjų, palydėtojų / panešėtojų ir kitų duomenų subjektų asmens duomenų tvarkymo tikslai:
8.1. pavėžėjimo paslaugų teikimas – paciento registravimas pavėžėjimo paslaugai, paciento nuvežimo į LNSS asmens sveikatos priežiūros įstaigą ir (ar) parvežimo iš jos, taip pat paciento pervežimo tarp skirtingų LNSS asmens sveikatos priežiūros įstaigų vykdymas, kai pacientui nereikalinga skubioji medicinos pagalba, siekiant užtikrinti asmens sveikatai reikalingus poreikius;
8.3. pacientų registracijos laboratoriniams tyrimams bei vakcinavimo procesams vykdymas, siekiant užtikrinti viešojo intereso labui keliamus reikalavimus visuomenės sveikatos srityje;
8.4. laboratorinių tyrimų atsakymų bei vakcinacijos faktą patvirtinančio dokumento pacientui pateikimas;
8.5. prevencinių priemonių sveikatos priežiūros įstaigų parengties ekstremalioms situacijoms srityje taikymas ir stebėsena, siekiant užtikrinti visuomenės sveikatos prevenciją, saugumą ir kontrolę;
8.6. asmens ir visuomenės sveikatos priežiūros įstaigų darbuotojų kvalifikacijos kėlimo progreso stebėsena ir būtinųjų kompetencijų įgijimo užtikrinimas;
II SKYRIUS
ESVIS ORGANIZACINĖ STRUKTŪRA
9. ESVIS organizacinę struktūrą sudaro ESVIS valdytojas, kuris yra ir ESVIS parengties ir prevencijos modulio pagrindinis tvarkytojas, ESVIS išankstinės registracijos ir vakcinacijos (toliau – AVIR modulis) ir pacientų, kai nereikalinga skubi pagalba, pavėžėjimo (toliau – Pavėžėjimo modulis) modulių pagrindinis tvarkytojas, ESVIS tvarkytojai ir ESVIS duomenų teikėjai.
10. ESVIS valdytojas, ESVIS parengties ir prevencijos modulio pagrindinis tvarkytojas ir ESVIS asmens duomenų valdytojas yra ESSC.
11. ESVIS valdytojas, ESVIS parengties ir prevencijos modulio pagrindinis tvarkytojas:
11.1. atlieka Valstybės informacinių išteklių valdymo įstatyme valstybės informacinės sistemos valdytojui nustatytas funkcijas, turi šiame įstatyme nurodytas teises ir pareigas;
11.2. priima sprendimus, susijusius su ESVIS techninių ir programinių priemonių kūrimu, plėtros planais, likvidavimu, modernizavimu, priežiūra, administravimu ir kontroliuoja, kaip jie vykdomi;
11.3. nagrinėja ESVIS AVIR modulio ir Pavėžėjimo modulio pagrindinio tvarkytojo ir ESVIS tvarkytojų pasiūlymus dėl ESVIS veiklos tobulinimo;
11.5. analizuoja technines, technologines, metodines ir organizacines ESVIS tvarkymo problemas ir priima sprendimus, kurių reikia ESVIS veiklai užtikrinti;
11.6. sudaro sutartis su ESVIS duomenų teikėjais ir duomenų gavėjais arba įgalioja sudaryti tokias sutartis ESVIS AVIR modulio ir pavėžėjimo modulio pagrindinį tvarkytoją;
11.7. techninėmis ir organizacinėmis priemonėmis užtikrina ESVIS duomenų saugą, ESVIS tvarkomų asmens duomenų konfidencialumą, vientisumą ir prieinamumą, apsaugą nuo netyčinio arba neteisėto sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jų ir nuo bet kokio kito neteisėto tvarkymo, taip pat saugų duomenų perdavimą kompiuteriniais tinklais;
11.8. užtikrina, kad asmens duomenis tvarkyti įgalioti jo darbuotojai būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikomi atitinkamais teisės aktais nustatyti konfidencialumo reikalavimai;
11.9. užtikrina, kad asmens duomenys būtų renkami Nuostatuose nurodytais tikslais, tvarkomi vadovaujantis Reglamentu (ES) 2016/679, Asmens duomenų teisinės apsaugos įstatymu ir kitais teisės aktais, reglamentuojančiais asmens duomenų tvarkymą, taip pat turi kitas Reglamente (ES)2016/679 nustatytas duomenų valdytojo pareigas;
11.10. savarankiškai atsako į prašymus pasinaudoti Reglamento (ES) 2016/679 III skyriuje nustatytomis duomenų subjektų teisėmis dėl ESVIS parengties ir prevencijos modulyje tvarkomų asmens duomenų bei paveda ESVIS AVIR modulio ir pavėžėjimo modulio pagrindiniam tvarkytojui atsakyti arba su jo pagalba atsako į prašymus pasinaudoti Reglamento (ES) 2016/679 III skyriuje nustatytomis duomenų subjektų teisėmis dėl ESVIS AVIR modulyje ir pavėžėjimo modulyje tvarkomų asmens duomenų;
11.11. tiria asmens duomenų saugumo pažeidimus, susijusius su ESVIS parengties ir prevencijos modulyje tvarkomais asmens duomenimis ir teikia pranešimus priežiūros institucijai apie visus ESVIS tvarkomų asmens duomenų saugumo pažeidimus, kai kyla bet kokio lygio pavojus duomenų subjektų teisėms ir laisvėms;
11.13. registruoja ESVIS parengties ir prevencijos modulio naudotojus, vadovaudamasis ESVIS naudotojų administravimo taisyklėmis, patvirtintomis Sveikatos apsaugos ministerijos Ekstremalių sveikatai situacijų centro direktoriaus 2021 m. birželio 28 d. įsakymu Nr. 05-64 „Dėl Ekstremalių situacijų valdymo informacinės sistemos naudotojų administravimo taisyklių, Ekstremalių situacijų valdymo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklių, Ekstremalių situacijų valdymo informacinės sistemos veiklos tęstinumo valdymo plano patvirtinimo“, ir koordinuoja jų veiklą;
11.14. užtikrina, kad valstybės informacinė sistema būtų tvarkoma vadovaujantis anksčiau išvardintais įstatymais, valstybės informacinės sistemos nuostatais ir kitais teisės aktais;
12. ESVIS AVIR ir pavėžėjimo modulių pagrindinis tvarkytojas ir asmens duomenų tvarkytojas yra Greitosios medicinos pagalbos tarnyba (toliau – ESVIS AVIR ir pavėžėjimo modulių pagrindinis tvarkytojas).
13. ESVIS AVIR ir pavėžėjimo modulių pagrindinis tvarkytojas:
13.1 atlieka Valstybės informacinių išteklių valdymo įstatymo nustatytas funkcijas, turi šiame įstatyme nurodytas teises ir pareigas;
13.2. užtikrina, kad asmens duomenis tvarkyti įgalioti jo darbuotojai būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikomi atitinkamais teisės aktais nustatyti konfidencialumo reikalavimai;
13.3. imasi visų priemonių, kurių reikalaujama pagal Reglamento (ES) 2016/679 32 straipsnį – techninėmis ir organizacinėmis priemonėmis užtikrina ESVIS AVIR ir pavėžėjimo modulių saugą, juose tvarkomų asmens duomenų konfidencialumą, vientisumą ir prieinamumą, apsaugą nuo netyčinio arba neteisėto sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jų ir nuo bet kokio kito neteisėto tvarkymo, taip pat saugų duomenų perdavimą kompiuteriniais tinklais;
13.4. Nuostatų ir kitų teisės aktų nustatyta tvarka padeda ESVIS asmens duomenų valdytojui užtikrinti Reglamento 32–36 straipsniuose nustatytų prievolių laikymąsi;
13.5. baigus vykdyti su ESVIS asmens duomenų tvarkymu susijusias funkcijas, ištrina visus atskirai nuo ESVIS saugomus asmens duomenis, išskyrus atvejus, kai teisės aktuose reikalaujama asmens duomenis saugoti atitinkamu būdu;
13.6. pateikia ESVIS asmens duomenų valdytojui visą informaciją, būtiną siekiant įrodyti, kad vykdomos Reglamento (ES) 2016/679) nustatytos prievolės ir sudaro sąlygas bei padeda ESVIS asmens duomenų valdytojui arba ESVIS asmens duomenų valdytojo įgaliotam auditoriui atlikti su ESVIS funkcionavimu ir (ar) duomenų tvarkymu susijusį auditą, įskaitant patikrinimus. Nedelsdamas informuoja ESVIS asmens duomenų valdytoją, jei, jo nuomone, nurodymas pateikti informaciją pažeidžia Reglamentą (ES) 2016/679) ar kitas duomenų apsaugos nuostatas;
13.7. nustatęs asmens duomenų saugumo pažeidimą, susijusį su ESVIS AVIR ir (ar) pavėžėjimo moduliuose tvarkomais asmens duomenimis, Asmens duomenų saugumo pažeidimų nustatymo, tyrimo, pranešimo apie juos ir dokumentavimo tvarkos aprašo, patvirtinto 2024 m. vasario 2 d. ESSC direktoriaus įsakymu Nr. V-8 „Dėl asmens duomenų tvarkymo sveikatos apsaugos ministerijos Ekstremalių sveikatai situacijų centre taisyklių, Duomenų subjektų prašymų, skundų ir paklausimų, susijusių su asmens duomenų tvarkymu, įgyvendinimo taisyklių ir Asmens duomenų saugumo pažeidimų nustatymo, tyrimo, pranešimo apie juos ir dokumentavimo tvarkos aprašo patvirtinimo ir kai kurių teisės aktų pripažinimo netekusiais galios“ nustatyta tvarka ne vėliau kaip per 24 valandas informuoja ESVIS asmens duomenų valdytoją apie įvykusį asmens duomenų saugumo pažeidimą bei padeda duomenų valdytojui tirti asmens duomenų saugumo pažeidimą ir teikia visą būtiną susijusią informaciją;
13.8. registruoja ESVIS AVIR ir pavėžėjimo modulių naudotojus, vadovaudamasis ESVIS naudotojų administravimo taisyklėmis, patvirtintomis Sveikatos apsaugos ministerijos Ekstremalių sveikatai situacijų centro direktoriaus 2021 m. birželio 28 d. įsakymu Nr. 05-64 „Dėl Ekstremalių situacijų valdymo informacinės sistemos naudotojų administravimo taisyklių, Ekstremalių situacijų valdymo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklių, Ekstremalių situacijų valdymo informacinės sistemos veiklos tęstinumo valdymo plano patvirtinimo“;
13.9. koordinuoja ir administruoja ESVIS AVIR ir pavėžėjimo modulių duomenų tvarkymą, keitimąsi duomenimis ir jų apskaitą;
14. ESVIS tvarkytojai ir asmens duomenų tvarkytojai yra sveikatinimo įstaigos, Valstybės duomenų agentūra, kitos ESVIS valdytojo ar ESVIS AVIR ir pavėžėjimo modulių tvarkytojo pasitelktos įstaigos, įmonės ir organizacijos.
15. ESVIS tvarkytojai atlieka šias funkcijas:
15.1. tvarko ESVIS duomenis Nuostatuose ir kituose ESVIS veiklą reglamentuojančiuose teisės aktuose nustatyta tvarka;
15.3. užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikomi atitinkami konfidencialumo reikalavimai;
15.4. imasi visų priemonių, kurių reikalaujama pagal Reglamento (ES) 2016/679 32 straipsnį, užtikrina organizacinėmis, techninėmis, technologinėmis ir metodinėmis priemonėmis saugų ESVIS duomenų tvarkymą;
15.5. užtikrina ESVIS duomenų tvarkymo teisėtumą, duomenų patikimumą teisės aktų nustatyta tvarka pagal jiems suteiktus įgaliojimus;
15.6. ESVIS pagrindiniam tvarkytojui, pagal pagrindinio tvarkytojo tvarkomą modulį, teikia pasiūlymus dėl ESVIS modulio tobulinimo;
15.7. atsižvelgdamas į asmens duomenų tvarkymo pobūdį, asmens duomenų valdytojo nustatyta tvarka padeda asmens duomenų valdytojui, taikydamas tinkamas technines ir organizacines priemones, įvykdyti asmens duomenų valdytojo prievolę, atsakyti į prašymus, pasinaudoti Reglamento (ES) 2016/679 111 skyriuje nustatytomis duomenų subjekto teisėmis;
15.8. atlieka kitas Nuostatuose ir kituose teisės aktuose, susijusiuose su ESVIS tvarkymu, nustatytas funkcijas bei užtikrina, kad duomenys būtų tvarkomi vadovaujantis valstybės informacinės sistemos nuostatais ir kitais teisės aktais;
16. ESVIS duomenų teikėjai:
16.1. Institucijos, teikiančios duomenis iš valstybės informacinių sistemų ir (arba) registrų, įregistruotų Registrų ir valstybės informacinių sistemų registre:
16.1.1. AVIR moduliui:
16.1.1.1. Valstybės įmonė Registrų centras, teikianti ESPBI IS (valdytoja – Lietuvos Respublikos sveikatos apsaugos ministerija) ir Lietuvos Respublikos gyventojų registro (valdytoja – Lietuvos Respublikos teisingumo ministerija), duomenis;
16.1.1.2. Valstybinė ligonių kasa prie Sveikatos apsaugos ministerijos, teikianti Privalomojo sveikatos draudimo informacinės sistemos „Sveidra“ (toliau – SVEIDRA IS) (valdytoja – Valstybinė ligonių kasa prie Sveikatos apsaugos ministerijos) duomenis;
16.1.1.3. Informacinės visuomenės plėtros komitetas, teikiantis Valstybės informacinių išteklių sąveikumo platformos (toliau – VIISP) (valdytojas – Lietuvos Respublikos ekonomikos ir inovacijų ministerija,) duomenis;
16.1.1.4. Valstybinio socialinio draudimo fondo valdyba prie Socialinės apsaugos ir darbo ministerijos, teikianti Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos informacinės sistemos (valdytoja – Valstybinio socialinio draudimo fondo valdyba prie Socialinės apsaugos ir darbo ministerijos) ir Lietuvos Respublikos apdraustųjų valstybiniu socialiniu draudimu ir valstybinio socialinio draudimo išmokų gavėjų registro (valdytoja – Valstybinio socialinio draudimo fondo valdyba prie Socialinės apsaugos ir darbo ministerijos) duomenis;
16.1.1.5. Nacionalinė švietimo agentūra, teikianti Mokinių registro (valdytojas – Lietuvos Respublikos švietimo, mokslo ir sporto ministerija), Studentų registro (valdytojas – Lietuvos Respublikos švietimo, mokslo ir sporto ministerija) ir Pedagogų registro (valdytojas – Lietuvos Respublikos švietimo ir mokslo ministerija) duomenis;
16.1.1.6. Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (toliau – NVSC) teikiantis Užkrečiamųjų ligų ir jų sukėlėjų valstybės informacinės sistemos (valdytojas – Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos) duomenis;
16.1.2. Pavėžėjimo moduliui:
16.1.2.1. valstybės įmonė Registrų centras, teikianti ESPBI IS (valdytoja – Lietuvos Respublikos sveikatos apsaugos ministerija), Išankstinės pacientų registracijos informacinės sistemos (valdytoja – Lietuvos Respublikos sveikatos apsaugos ministerija), Lietuvos Respublikos gyventojų registro (valdytoja – Lietuvos Respublikos teisingumo ministerija) duomenis;
16.1.2.2. Asmens su negalia teisių apsaugos agentūra prie Lietuvos Respublikos socialinės apsaugos ir darbo ministerijos, teikianti Asmens su negalia teisių apsaugos agentūros informacinės sistemos (valdytoja – Asmens su negalia teisių apsaugos agentūra prie Lietuvos Respublikos socialinės apsaugos ir darbo ministerijos) duomenis;
16.1.2.3. Valstybinė ligonių kasa prie Sveikatos apsaugos ministerijos, teikianti Lietuvos Respublikos draudžiamųjų privalomuoju sveikatos draudimu registro (valdytoja – Valstybinė ligonių kasa prie Sveikatos apsaugos ministerijos) ir SVEIDRA IS (valdytoja – Valstybinė ligonių kasa prie Sveikatos apsaugos ministerijos) duomenis;
16.1.2.4. Informacinės visuomenės plėtros komitetas, teikiantis Valstybės informacinių išteklių sąveikumo platformos (valdytojas – Lietuvos Respublikos ekonomikos ir inovacijų ministerija) duomenis;
16.1.2.5. Valstybinio socialinio draudimo fondo valdyba prie Socialinės apsaugos ir darbo ministerijos, teikianti Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos informacinės sistemos (valdytoja – Valstybinio socialinio draudimo fondo valdyba prie Socialinės apsaugos ir darbo ministerijos) duomenis.
16.1.3. Parengties ir prevencijos moduliui (toliau – PP moduliui):
16.1.3.1. Higienos institutas, teikiantis Visuomenės sveikatos priežiūros specialistų registro (valdytoja – Lietuvos Respublikos sveikatos apsaugos ministerija) duomenis;
16.1.3.2. Valstybinė akreditavimo sveikatos priežiūros veiklai tarnyba prie Sveikatos apsaugos ministerijos, teikianti Sveikatos priežiūros įstaigų licencijavimo informacinės sistemos (valdytoja – Valstybinė akreditavimo sveikatos priežiūros veiklai tarnyba prie Sveikatos apsaugos ministerijos);
16.1.3.3. Valstybės įmonė Registrų centras, teikianti Juridinių asmenų registro (valdytoja – Lietuvos Respublikos teisingumo ministerija) duomenis;
III SKYRIUS
ESVIS INFORMACINĖ STRUKTŪRA
18. ESVIS kaupiami šie duomenys:
18.1. AVIR modulio duomenys tvarkomi ir saugomi ESVIS aplinkoje:
18.1.1. 1808 pagalbos skambučių valdymo duomenys:
18.1.1.1. bendrieji paciento asmens duomenys: asmens vardas (-ai), pavardė (-ės) ir asmens kodas (paciento identifikatorius išoriniam teikimui);
18.1.1.6. Duomenys apie susirgimus pagal elektronines medicinines E200 ir E200-ats formas:
18.1.1.6.3. įstaigos, suformavusios tyrimą (E200), SVEIDRA IS identifikatorius, įstaigos, suformavusios tyrimo (E200) paėmimo duomenis, pavadinimas, įstaigos, suformavusios tyrimą (E200), apskrities identifikatorius (SVEIDRA IS), įstaigos, suformavusios tyrimą (E200), savivaldybės identifikatorius (SVEIDRA IS), įstaigos, suformavusios tyrimą (E200), savivaldybės pavadinimas (SVEIDRA IS);
18.1.1.6.6. E200-ats medicininės formos pavadinimas, įstaigos, suformavusios tyrimo atsakymą (E200-ats), ESPBI IS identifikatorius, įstaigos, suformavusios tyrimo atsakymą (E200-ats) atsakymo duomenis, pavadinimas;
18.1.1.6.8. asmens kodas (paciento identifikatorius išoriniam teikimui), gimimo data (nurodoma tuomet, kai pacientai neturi asmens kodo), lytis;
18.1.1.6.9. paciento prisirašymo įstaigos SVEIDRA IS identifikatorius, paciento prisirašymo įstaigos apskrities identifikatorius (SVEIDRA IS), paciento prisirašymo įstaigos savivaldybės identifikatorius (ne iš Adresų registro) (SVEIDRA IS), paciento prisirašymo įstaigos savivaldybės pavadinimas (SVEIDRA IS);
18.1.1.7. Vakcinacijos įrašų su vakcina nuo užkrečiamosios ligos duomenys pagal elektroninę medicininę E063 formą:
18.1.1.7.1. unikalus paciento identifikatorius, paciento asmens kodas, gimimo data (nurodoma tuomet, kai pacientai neturi asmens kodo), amžius, lytis;
18.1.1.7.4. E063 pasirašymo statusas, vakcinaciją atlikusios įstaigos pavadinimas ir SVEIDROS ID, vakcinaciją atlikusios įstaigos savivaldybė, paciento prisirašymo įstaiga ir jos SVEIDROS ID, paciento prisirašymo įstaigos savivaldybė;
18.1.1.7.5. vaistinio preparato nacionalinis pakuotės identifikatorius (NPAKID), vaisto prekinis pavadinimas, serijos numeris, vakcinacija / revakcinacija, pagal skiepijimo schemą kelinta vakcinos dozė įskiepyta, skiepijimo data;
18.1.1.8. Duomenys iš E025 formų (ambulatorinis apsilankymas), kuriose nurodyta viena iš diagnozių: Z29.0, U07.1, U07.2, U07.3 netaikant jokių kitų duomenų atrankos kriterijų – kompozicijos identifikatorius, unikalus duomenų rinkiniui, kompozicijos sukūrimo data ir baigtumo būklė, paciento identifikatorius, asmens kodas, vardas ir pavardė, įstaigos kodas ir pavadinimas, TLK-10AM klasifikacijos kodas;
18.1.2. Nacionalinės švietimo agentūros tvarkomų registrų duomenys:
18.1.2.1. Mokinių registro duomenys – mokinio, kuris mokosi pagal pradinio, pagrindinio, vidurinio ugdymo ir (ar) formaliojo profesinio mokymo, neformaliojo vaikų švietimo ir formalųjį švietimą papildančias, ikimokyklinio ir priešmokyklinio ugdymo programas, vardas pavardė, asmens kodas, švietimo teikėjo (-ų) (padalinio (-ių), kuriame (-iuose) mokosi, pavadinimas (-ai) ir juridinio asmens kodas (-ai);
18.1.2.2. Studentų registro duomenys – aukštosios mokyklos studento vardas, pavardė, asmens kodas, valstybė iš kurios atvyko, švietimo teikėjo (-ų) (padalinio (-ių), kuriame (-iuose) mokosi, pavadinimas (-ai) ir juridinio asmens kodas (-ai);
18.1.2.3. Pedagogų registro duomenys – bendrojo ugdymo mokyklos, ikimokyklinio ugdymo mokyklos, profesinio mokymo įstaigos, neformaliojo vaikų švietimo mokyklos ir formalųjį švietimą papildančio ugdymo mokyklos, mokslo ir studijų institucijų, kito švietimo teikėjo, vykdančio formaliojo ir (ar) neformaliojo švietimo programas, mokslinius tyrimus pedagogo vardas, pavardė, asmens kodas; institucijos (-ų) (padalinio (-ių)), kurioje (-iose) dirba, juridinio asmens kodas (-ai);
18.1.3. NVSC tvarkomos Užkrečiamųjų ligų ir jų sukėlėjų valstybės informacinės sistemos duomenys:
18.1.4. Valstybinio socialinio draudimo fondo valdyba teikia duomenis, ar asmuo dirba pas konkretų draudėją.
18.1.5. Valstybės įmonė Registrų centras tvarkomi duomenys:
18.1.5.1. Gyventojų registro duomenys: asmens kodas, asmens gimimo data (nurodoma tuomet, kai pacientai neturi asmens kodo), asmens vardas, asmens pavardė, gyvenamoji vieta (adresas), jeigu asmuo neturi gyvenamosios vietos ir yra įtrauktas į gyvenamosios vietos neturinčių asmenų apskaitą, – savivaldybė, kurioje gyvena;
18.2. Pavėžėjimo modulio duomenys tvarkomi ir saugomi ESVIS ir Valstybės duomenų valdymo platformos aplinkoje:
18.2.1. ESPBI IS duomenys:
18.2.1.1. siuntimo duomenys (asmens kodas, siuntimo būsena, siuntimo ID, data, kada buvo išduotas siuntimas, siuntimą išdavusi asmens sveikatos priežiūros įstaiga (toliau – ASPĮ), siuntimą išdavusios ASPĮ ID, siuntimą išdavusio specialisto profesinė kvalifikacija, siuntimą išdavusio specialisto profesinės kvalifikacijos ID, specialisto, kuriam siunčiama, profesinės kvalifikacija arba skyriaus specializacija, specialisto, kuriam siunčiama, profesinės kvalifikacijos ID, pavėžėjimo tipas, pavėžėjimo pastabos);
18.2.2. Išankstinės pacientų registracijos informacinės sistemos duomenys:
18.2.2.1. išankstinės paciento registracijos duomenys (asmens kodas, registracijos būsena, data ir laikas, kada planuojamas vizitas, data ir laikas, kada planuojama vizito pabaiga, ASPĮ, kurioje vyks vizitas, pavadinimas, ASPĮ, kurioje vyks vizitas, ID, ASPĮ registratūros adresas, vizito kabineto numeris, vizito kabineto pavadinimas, ASPĮ registratūros telefono numeris, vizito paslaugos pavadinimas, vizito specialisto profesinė kvalifikacija);
18.2.3. Lietuvos Respublikos gyventojų registro duomenys:
18.2.3.1. asmens kodas (įskaitant nepilnamečių vaikų asmens kodus), lytis, asmens gimimo data (nurodoma tuomet, kai pacientai neturi asmens kodo), asmens vardas, asmens pavardė, gyvenamoji vieta (adresas), jeigu asmuo neturi gyvenamosios vietos ir yra įtrauktas į gyvenamosios vietos neturinčių asmenų apskaitą, – savivaldybė, kurioje gyvena;
18.2.4. Informacinės visuomenės plėtros komiteto tvarkomos Valstybės informacinių išteklių sąveikumo platformos fizinio asmens identifikaciniai duomenys (asmens kodas), skirti identifikuoti asmenį elektroninių paslaugų gavimo metu;
18.2.5. Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos informacinės sistemos duomenys:
18.2.5.1. asmens kodas, požymis, kad senatvės pensijos amžių sukakusiems arba Lietuvos Respublikos neįgaliųjų socialinės integracijos įstatyme nurodytiems neįgaliems asmenims, užpraeitą mėnesį gautų Valstybinio socialinio draudimo fondo administravimo įstaigų mokamų socialinio draudimo pensijų, išskyrus socialinio draudimo našlių pensiją (kartu su socialinio draudimo senatvės arba netekto darbingumo (invalidumo) pensijų priemokomis), šalpos išmokų, valstybinių pensijų, išskyrus teisėjų valstybines pensijas, kompensacinių išmokų profesionaliojo scenos meno įstaigų kūrybiniams darbuotojams, rentų buvusiems sportininkams, kompensacijų už ypatingas darbo sąlygas ir (ar) draudžiamųjų pajamų, kaip jos apibrėžtos Lietuvos Respublikos valstybinio socialinio draudimo įstatyme, suma sudaro 100 procentų ar daugiau einamųjų metų minimalių vartojimo poreikių dydžio, apskaičiuoto Lietuvos Respublikos socialinės paramos išmokų atskaitos rodiklių ir bazinio bausmių ir nuobaudų dydžio nustatymo įstatymo nustatyta tvarka;
18.2.6. Asmens su negalia teisių apsaugos agentūros informacinės sistemos duomenys:
18.2.6.1. asmens kodas, darbingumo lygis (proc.) (nustatytas iki 2023 m. gruodžio 31 d.), darbingumo lygio nustatymo laikotarpio pradžios data, darbingumo lygio nustatymo laikotarpio pabaigos data, dalyvumo lygis (nustatytas nuo 2024 m. sausio 1 d.), dalyvumo lygio nustatymo laikotarpio pradžios data, dalyvumo lygio nustatymo laikotarpio pabaigos data, neįgalumo lygis, neįgalumo lygio nustatymo laikotarpio pradžios data, neįgalumo lygio nustatymo laikotarpio pabaigos data, specialiųjų poreikių lygis (nustatytas iki 2023 m. gruodžio 31 d.), specialiųjų poreikių lygio nustatymo laikotarpio pradžios data, specialiųjų poreikių lygio nustatymo laikotarpio pabaigos data;
18.2.7. Lietuvos Respublikos draudžiamųjų privalomuoju sveikatos draudimu registro duomenys:
18.2.8. Privalomojo sveikatos draudimo informacinės sistemos SVEIDRA IS duomenys:
18.2.9. Pavėžėjų, palydėtojų ir specialistų duomenys:
18.2.9.1. Pavėžėjo vardas, pavardė, telefono numeris, transporto priemonės duomenys, maršruto duomenys ir juridinio asmens, kurį jis atstovauja teikdamas pavėžėjimo paslaugą, duomenys;
18.2.9.2. Palydėtojo / panešėtojo vardas, pavardė, telefono numeris ir juridinio asmens, kurį jis atstovauja teikdamas palydėjimo / nešimo paslaugą, duomenys;
18.3. PP modulio duomenys tvarkomi ir saugomi ESVIS aplinkoje:
18.3.1. Higienos instituto tvarkomo registro duomenys:
18.3.1.1. Visuomenės sveikatos priežiūros specialistų registro duomenys:
18.3.1.1.1. profesinė kvalifikacija ir / ar įgyta specialybė;18.3.1.1.2. įstaigos (-ų), kurioje (-iose) dirba Registro objektas, pavadinimas (-ai), juridinio asmens kodas (-ai), įstaigos buveinės adresas (-ai);
18.3.1.1.3. padalinio (-ių), kuriame (-iuose) dirba Registro objektas, pavadinimas (-ai) ir adresas (-ai), jeigu jis (jie) nesutampa su įstaigos buveinės adresu;
18.3.2. Valstybinės akreditavimo sveikatos priežiūros veiklai tarnybos prie Sveikatos apsaugos ministerijos (toliau – VASPVT) tvarkomų informacinių sistemų duomenys:
18.3.2.1. Sveikatos priežiūros įstaigų licencijavimo informacinės sistemos duomenys:
18.3.2.1.1. duomenys apie ASPĮ:
18.3.2.1.2. duomenys apie asmens sveikatos priežiūros paslaugas:
18.3.2.1.3. ASPĮ licencijos duomenys:
18.3.2.1.3.4. ASPĮ licencijos (ar jos dalies) galiojimo sustabdymo data, VASPVT direktoriaus įsakymo data ir numeris;
18.3.2.1.3.5. ASPĮ licencijos (ar jos dalies) galiojimo panaikinimo data, VASPVT direktoriaus įsakymo data ir numeris;
18.3.2.1.4. duomenys apie visuomenės sveikatos priežiūros įstaigas (toliau – VSPĮ):
18.3.2.1.5. duomenys apie visuomenės sveikatos priežiūros veiklos rūšis:
18.3.2.1.6. VSPĮ licencijos duomenys:
18.3.2.1.6.5. VSPĮ licencijos galiojimo sustabdymo data, VASPVT direktoriaus įsakymo data ir numeris;
18.3.2.1.6.6. VSPĮ licencijos galiojimo panaikinimo data, VASPVT direktoriaus įsakymo data ir numeris;
18.3.3. Valstybės įmonės Registrų centras tvarkomų registrų duomenys:
18.3.3.1. Juridinių asmenų registro duomenys:
18.3.3.1.3. juridinio asmens buveinė (adresas), nekilnojamojo daikto, kuriame registruota buveinė, unikalus numeris Nekilnojamojo turto registre;
18.3.4. Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos tvarkomų informacinių sistemų duomenys:
18.3.5. kiti PP modulio duomenys:
18.3.5.1. PP modulio naudotojo vardas, pavardė, rolė ekstremalių situacijų atveju, telefono numeriai (darbo ir mobilus), elektroninio pašto adresas, namų adresas (kai namų adreso tvarkymą imperatyviai numato teisės aktai);
18.3.5.2. Pacientui, kuriam reikalingas pervežimas, suteiktas identifikavimo kodas ir (ar) QR kodas, bendrinė sveikatos būklė (sąmoningas, nesąmoningas, po operacijos, laukiantis operacijos ar pan.), lokacija (SPĮ, į kurią buvo hospitalizuotas, vežamas į kitą SPĮ, pervežtas į kitą SPĮ ar pan.), paskirtas procedūras (būtini tyrimai iki ir (ar) po pervežimo į kitą SPĮ) ir išteklius (medikamentus, priemones ir kt.);
IV SKYRIUS
ESVIS FUNKCINĖ STRUKTŪRA
19. ESVIS funkcinę struktūrą sudaro:
19.1. AVIR modulis ir portalas (www.1808.lt), kurio funkcijos:
19.1.2. Sudaryti galimybes pacientams:
19.1.2.1. nuotoliniu būdu asmenims registruotis atlikti tyrimus mobiliuose punktuose ar karščiavimo klinikose;
19.1.2.3. pasirinkti mobilius punktus, karščiavimo klinikas, vakcinavimo punktus ir matyti asmenims savarankiškai visus registracijai skirtus vizitų laikus;
19.1.2.5. nuotoliniu būdu gauti tyrimų atliktų mobiliuose punktuose ar karščiavimo klinikose rezultatus ir skaitmeninius dokumentus patvirtinančius neigiamą tyrimų rezultatą arba šiais tyrimais patvirtintą persirgimo faktą;
19.1.3. Sudaryti galimybes sveikatinimo specialistams ir sveikatinimo veiklą vykdančios įstaigos darbuotojams, vykdantiems registratoriaus rolei (portalo www.1808.lt) priskirtas funkcijas:
19.1.3.1. tvirtinti ir atšaukti registraciją į mobilųjį punktą, karščiavimo kliniką ar vakcinacijos punktą, jeigu ši registracija netenkina sveikatinimo veiklą vykdančios įstaigos nustatytų reikalavimų konkrečiai paslaugai gauti;
19.1.4. Valdyti tyrimus:
19.1.4.4. automatinis registracijos laiko perdavimas tyrimo dalyviui trumposiomis žinutėmis lietuviškais rašmenimis;
19.1.4.6. elektroninių (E200) formų kūrimas, su formų pasirašymo elektroniniu parašu funkcionalumu ir perdavimu į ESPBI IS;
19.1.4.8. sveikatinimo veiklą vykdančių įstaigų darbuotojų suvedamų atsakymų apie atliktus tyrimus registravimas bei perdavimas į ESPBI IS;
19.1.4.9. automatinis gautų neigiamų tyrimų rezultatų perdavimas trumposiomis žinutėmis gyventojui, kuriam atliktas tyrimas, lietuviškais rašmenimis;
19.1.4.10. gyventojų, kuriems atliktas laboratorinis tyrimas, kurio rezultatas teigiamas, registracija gydytojo konsultacijai telefonu gyventojui, paimant duomenis iš ESPBI IS;
19.2. Pavėžėjimo modulis, kurio funkcijos:
19.3. Parengties ir prevencijos modulis, kurio funkcijos:
19.3.1. užtikrinti tinkamą asmens sveikatos priežiūros įstaigų pasirengimą veiklai ekstremaliųjų situacijų atvejais;
19.3.10. kaupti, sisteminti ir vertinti informaciją apie sveikatos apsaugos sektoriaus specialistų mokymus ekstremalių situacijų valdymo srityje;
19.3.11. analizuoti kvalifikaciją kėlusių asmenų duomenis, ugdymosi efektyvumo ir žinių gavimo lygį;
19.3.14. užtikrinti vertinimo ir veiklų po Saugios asmens sveikatos priežiūros įstaigos indekso vertinimo rezultatų stebėseną;
V SKYRIUS
ESVIS DUOMENŲ TEIKIMAS IR NAUDOJIMAS
20. ESVIS nuasmeninti apibendrinti duomenys yra vieši ir teikiami institucijoms, kitiems juridiniams ir fiziniams asmenims. ESVIS tvarkomi asmens duomenys teikiami ir naudojami vadovaujantis Reglamentu (ES) 2016/679, Nuostatais ir kitais asmens duomenų apsaugą reglamentuojančiais teisės aktais.
21. ESVIS apibendrinti duomenys gali būti:
22. ESVIS gavėjai gautus duomenis ir informaciją gali naudoti tik tokiam tikslui, tokios apimties ir tokiu būdu, kaip nurodyta duomenų teikimo sutartyje arba prašyme. ESVIS duomenų gavėjas negali keisti iš ESVIS gautų duomenų ir informacijos ir juos naudodamas privalo nurodyti duomenų šaltinį.
23. ESVIS duomenys Europos Sąjungos valstybių narių ir (arba) Europos ekonominės erdvės valstybių fiziniams, judriniams asmenims, juridinio statuso neturintiems subjektams, jų filialams ir atstovybėms teikiami vadovaujantis Valstybės informacinių išteklių valdymo įstatymu ir Reglamentu (ES)2016/679.
24. Kitų valstybių, išskyrus Europos Sąjungos valstybes nares ir Europos ekonominės erdvės valstybes, fiziniams, juridiniams asmenims, juridinio asmens statuso neturintiems subjektams, jų filialams ir atstovybėms duomenys teikiami, jeigu tai neprieštarauja Lietuvos Respublikos įstatymams, Reglamentui (ES) 2016/679, tarptautinėms sutartims, Europos Sąjungos teisės aktams ir kitiems norminiams teisės aktams.
25. ESVIS parengties ir prevencijos modulio duomenis teikia ESVIS parengties ir prevencijos modulio pagrindinis tvarkytojas, o ESVIS AVIR ir pavėžėjimo modulių duomenis teikia ESVIS pagrindinis tvarkytojas. Duomenys teikiami tokio turinio ir tokios formos, kokie yra naudojami ESVIS ir nereikalauja papildomo duomenų apdorojimo.
26. Daugkartinio teikimo atveju ESVIS asmens duomenys teikiami pagal ESVIS pagrindinio tvarkytojo ir duomenų gavėjo sudarytą asmens duomenų teikimo sutartį arba, kai teisės aktais yra nustatyta pareiga šiuos duomenis teikti. Sutartyje turi būti nurodyta asmens duomenų naudojimo tikslas, gavimo teisinis pagrindas, asmens duomenų naudojimo sąlygos, tvarka ir prašomų pateikti asmens duomenų apimtis.
27. Vienkartinio teikimo atveju ESVIS asmens duomenys teikiami pagal gavėjo prašymą pateiktą ESVIS pagrindiniam tvarkytojui. Prašyme turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo ir gavimo teisinis pagrindas, prašomų pateikti duomenų apimtis.
29. Kai atsisakoma teikti ESVIS tvarkomus duomenis, asmeniui, pateikusiam prašymą juos gauti, ESVIS pagrindinis tvarkytojas, pagal kuruojamą modulį, praneša apie priimtą sprendimą atsisakyti tenkinti asmens prašymą ir suteikia informaciją apie tokio sprendimo apskundimo tvarką.
30. ESVIS pagrindinis tvarkytojas, pagal kuruojamą modulį, duomenų gavėjas, registro ar kitos valstybės informacinės sistemos tvarkytojas duomenų subjekto ar institucijų, kurioms konfidencialumo reikalavimas netaikomas ir informacija gali būti suteikta tik tarnybiniais tikslais, prašymu (išreikštu rašytine forma), kuriame nurodomi pastebėti netikslumai, nedelsdamas privalo patikrinti ESVIS kaupiamus nurodytus duomenis ir, nustatęs, kad prašymas pagrįstas, ne vėliau kaip per 3 darbo dienas, ištaisyti neteisingus, neišsamius, netikslius duomenis ir (arba) sustabdyti tokių duomenų tvarkymo veiksmus, išskyrus saugojimą ir pateikti patikslintus duomenis arba motyvuotą atsisakymą juos patikslinti.
31. ESVIS pagrindinis tvarkytojas, pagal kuruojamą modulį, ne vėliau kaip per 3 dienas, neatlygintinai raštu arba elektroninio ryšio priemonėmis informuoja duomenų gavėjus apie duomenų subjekto ar kito asmens prašymu ištaisytus ar sunaikintus duomenis, sustabdytus duomenų tvarkymo veiksmus, išskyrus atvejus, kai pateikti tokią informaciją būtų neįmanoma arba pernelyg sunku (dėl didelio duomenų subjektų skaičiaus, duomenų laikotarpio, nepagrįstai didelių sąnaudų). Tokiu atveju turi būti nedelsiant pranešama Valstybinei duomenų apsaugos inspekcijai.
VI SKYRIUS
INFORMACINĖS SISTEMOS DUOMENŲ SAUGA
34. Informacinėje sistemoje tvarkomų asmens duomenų saugumas užtikrinamas vadovaujantis:
35. Informacinės sistemos duomenų sauga organizuojama vadovaujantis Informacinės sistemos duomenų saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais.
36. ESVIS naudotojai ESVIS duomenimis naudojasi pagal jiems suteiktą prieigose teisių lygmenį, vadovaujantis principu „Būtina žinoti“.
37. Informacinės sistemos naudotojai, kurie tvarko asmens duomenis, privalo pasirašyti pasižadėjimą saugoti asmens duomenų paslaptį ir neatskleisti asmens duomenų tretiesiems asmenims, jeigu šie asmens duomenys neskirti skelbti viešai. Ši pareiga galioja perėjus dirbti į kitas pareigas arba pasibaigus sutartiniams darbo ar kitiems santykiams.
38. Už ESVIS saugomų duomenų bei asmens duomenų saugą pagal kompetenciją atsako ESVIS valdytojas, ESVIS pagrindinis tvarkytojas, pagal kuruojamą modulį, ir tvarkytojai. Tvarkant ir saugant ESVIS kaupiamus duomenis turi būti įgyvendintos duomenų saugos organizacinės, programinės, techninės, patalpų apsaugos ir administracinės priemonės, skirtos ESVIS duomenų konfidencialumui, prieinamumui teisėtiems ESVIS tvarkytojams, vientisumui ir autentiškumui užtikrinti ir apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, naudojimo, atskleidimo, taip pat bet kokio kito neteisėto tvarkymo. Minėtos priemonės turi užtikrinti tokio lygio saugumą, kuris atitiktų saugotinų ESVIS tvarkomų duomenų pobūdį.
39. ESVIS dokumentai kaupiami ir saugomi informacinės sistemos duomenų bazėje vadovaujantis Lietuvos vyriausiojo archyvaro 2011 m. kovo 9 d. įsakymu Nr. V-100 „Dėl Bendrųjų dokumentų saugojimo terminų rodyklės patvirtinimo”, Pacientų pavėžėjimo paslaugos taisyklėmis, patvirtintomis Sveikatos apsaugos ministro 2023 m. sausio 23 d. įsakymu Nr. V-90 „Dėl Pacientų pavėžėjimo paslaugos teikimo taisyklių patvirtinimo“, Lietuvos Respublikos civilinio kodekso nuostatomis.
40. ESVIS esantys duomenys, įskaitant asmens duomenis, praėjus 3 metų laikotarpiui po 1808 trumpuoju telefono ryšio numeriu registracijos, 3 metų laikotarpiui po pavėžėjimo paslaugos suteikimo momento, 5 metų laikotarpiui po vakcinacijos, 25 metų laikotarpiui po laboratorinių ištyrimų, po 25 metų po paskutinio įrašo parengties ir prevencijos modulyje tvarkomi yra ištrinami iš duomenų bazės negrįžtamai arba perduodami valstybės archyvams Lietuvos Respublikos dokumentų ir archyvų įstatymo ir kitų teisės aktų nustatyta tvarka. Informacinės sistemos tvarkoma informacija priskiriama prie svarbios informacijos rūšies.
VII SKYRIUS
ESVIS FINANSAVIMAS
VIII SKYRIUS
ESVIS MODERNIZAVIMAS IR LIKVIDAVIMAS
42. ESVIS modernizuojama arba likviduojama Valstybės informacinių išteklių valdymo įstatymo nustatyta tvarka.
43. Likviduojamos ESVIS duomenys negali būti sunaikinami, išskyrus Lietuvos Respublikos įstatymuose ar Europos Sąjungos teisės aktuose nustatytus atvejus, ir privalo būti perduodami kitai informacinei sistemai, sunaikinami arba perduodami valstybės archyvams Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka.
IX SKYRIUS
BAIGIAMOSIOS NUOSTATOS
44. Duomenų subjektų teisių, įtvirtintų Reglamente (ES) 2016/679, įgyvendinimo tvarką nustato ESVIS valdytojas. Tvarka yra nustatyta Asmens duomenų tvarkymo Sveikatos apsaugos ministerijos Ekstremalių sveikatai situacijų centre taisyklėse ir Duomenų subjektų prašymų, skundų ir paklausimų, susijusių su asmens duomenų tvarkymu, įgyvendinimo taisyklėse, patvirtintose 2024 m. vasario 2 d. ESSC direktoriaus įsakymu Nr. V-8 „Dėl asmens duomenų tvarkymo sveikatos apsaugos ministerijos Ekstremalių sveikatai situacijų centre taisyklių, Duomenų subjektų prašymų, skundų ir paklausimų, susijusių su asmens duomenų tvarkymu, įgyvendinimo taisyklių ir Asmens duomenų saugumo pažeidimų nustatymo, tyrimo, pranešimo apie juos ir dokumentavimo tvarkos aprašo patvirtinimo ir kai kurių teisės aktų pripažinimo netekusiais galios“.
PATVIRTINTA
Sveikatos apsaugos ministerijos
Ekstremalių sveikatai situacijų centro
direktoriaus 2021 m. balandžio 8 d. įsakymu Nr. 05-36 (2024 m. gruodžio 5 d. įsakymo
Nr. V-95 redakcija)
EKSTREMALIŲ SITUACIJŲ VALDYMO INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Ekstremalių situacijų valdymo informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Ekstremalių situacijų informacinės sistemos (toliau – Informacinė sistema arba ESVIS) elektroninės informacijos saugos ir kibernetinio saugumo politiką (toliau – elektroninės informacijos saugos politika).
2. Elektroninės informacijos saugos politikos tikslas – užtikrinti Informacinės sistemos elektroninės informacijos konfidencialumą, vientisumą ir prieinamumą.
3. Saugos nuostatuose vartojamos sąvokos apibrėžtos Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme ir Informacinių technologijų saugos atitikties vertinimo metodikoje, patvirtintoje Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“ (toliau – Informacinių technologijų saugos atitikties vertinimo metodika).
4. Informacinės sistemos elektroninės informacijos saugos ir kibernetinio saugumo (toliau – elektroninės informacijos sauga) užtikrinimo tikslai:
4.1. sudaryti sąlygas, naudojant naujausius saugos protokolus ir standartus, saugiai automatiniu būdu tvarkyti elektroninę informaciją;
4.2. užtikrinti, kad elektroninė informacija būtų tiksli ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo;
4.3. vykdyti elektroninės informacijos saugos ir kibernetinių incidentų (toliau – saugos incidentai) prevenciją, reaguoti į elektroninės informacijos saugos incidentus ir juos operatyviai suvaldyti;
5. Elektroninės informacijos saugos užtikrinimo prioritetinės kryptys:
5.1. organizacinių, techninių, programinių, teisinių ir kitų priemonių, skirtų elektroninės informacijos saugai užtikrinti, įgyvendinimas ir kontrolė;
6. Už elektroninės informacijos saugą pagal kompetenciją atsako Informacinės sistemos valdytojas, Informacinės sistemos pagrindinis tvarkytojas, pagal kuruojamą modulį ir Informacinės sistemos tvarkytojai.
7. Informacinės sistemos valdytojas atsako už elektroninės informacijos saugos politikos formavimą ir politikos įgyvendinimo organizavimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą.
8. Informacinės sistemos pagrindinis tvarkytojas, pagal kuruojamą modulį ir Informacinės sistemos tvarkytojai atsako už reikiamų techninių ir organizacinių saugos priemonių įgyvendinimo užtikrinimą saugos politiką įgyvendinančiuose dokumentuose (toliau – saugos dokumentai) nustatyta tvarka.
9. Saugos nuostatai taikomi:
9.1. Informacinės sistemos valdytojui, ESVIS parengties ir prevencijos modulio pagrindiniam tvarkytojui ir asmens duomenų valdytojui – Sveikatos apsaugos ministerijos Ekstremalių sveikatai situacijų centrui, kurio buveinės adresas M. K. Čiurlionio g. 23, Kaunas;
9.2 ESVIS išankstinės registracijos ir vakcinacijos modulio (toliau – AVIR modulis) ir pacientų, kai nereikalinga skubi pagalba, pavėžėjimo modulio (toliau – Pavėžėjimo modulis) pagrindiniam tvarkytojui ir asmens duomenų tvarkytojui – Greitosios medicinos pagalbos tarnybai (toliau – ESVIS AVIR ir pavėžėjimo modulių pagrindinis tvarkytojas), kurio buveinės adresas Pramonės pr. 33, Kaunas;
9.3. kitiems Informacinės sistemos tvarkytojams – sveikatinimo įstaigoms, savivaldybėms ir kitoms įstaigoms, kurioms Informacinės sistemos valdytojas suteikė įgaliojimus tvarkyti ESVIS duomenis;
10. Informacinės sistemos valdytojo funkcijos:
10.2. rengti ir tvirtinti Saugos nuostatus, saugos dokumentus ir kitus teisės aktus, susijusius su elektroninės informacijos sauga, ir prižiūrėti, kaip jų laikomasi;
10.3. kontroliuoti, kad Informacinė sistema būtų tvarkoma vadovaujantis Lietuvos Respublikos įstatymais, Saugos nuostatais, saugos dokumentais ir kitais teisės aktais;
10.4. nagrinėti Informacinės sistemos tvarkytojų pasiūlymus dėl elektroninės informacijos saugos tobulinimo ir priimti dėl jų sprendimus;
10.6. skirti Informacinės sistemos saugos įgaliotinį, duomenų valdymo įgaliotinį ir administratorių;
10.7. tvirtinti Informacinės sistemos rizikos įvertinimo ir rizikos valdymo priemonių planą ir Informacinės sistemos saugos atitikties vertinimo metu nustatytų trūkumų šalinimo planą, esant poreikiui, šie planai gali būti sujungti ir tvirtinamas bendras planas;
11. Informacinės sistemos pagrindinio tvarkytojo funkcijos (pagal tvarkomus modulius):
11.1. prižiūrėti ir pagal gamintojo keliamus reikalavimus bei rekomendacijas atnaujinti kompiuterius, planšetinius kompiuterius, išmaniuosius telefonus, operacines sistemas ir kitus Informacinės sistemos naudotojų darbo vietos komponentus savo įstaigose, užtikrinti jų veikimą;
11.2. pagal kompetenciją užtikrinti saugų elektroninės informacijos perdavimą elektroninių ryšių tinklais;
11.4. užtikrinti saugos dokumentų ir kitų Informacinės sistemos valdytojo priimtų teisės aktų, susijusių su elektroninės informacijos sauga, tinkamą įgyvendinimą;
11.5. skirti Informacinės sistemos tvarkomo modulio saugos įgaliotinį, duomenų valdymo įgaliotinį ir administratorių. Jeigu Informacinės sistemos pagrindinis tvarkytojas yra ir Informacinės sistemos valdytojas, jis gali paskirti vieną saugos įgaliotinį, duomenų valdymo įgaliotinį ir administratorių;
11.6. teikti Informacinės sistemos valdytojui pasiūlymus dėl elektroninės informacijos saugos tobulinimo;
12. Informacinės sistemos tvarkytojų funkcijos:
12.1. prižiūrėti ir pagal gamintojo keliamus reikalavimus bei rekomendacijas atnaujinti kompiuterius, planšetinius kompiuterius, išmaniuosius telefonus, operacines sistemas ir kitus Informacinės sistemos naudotojų darbo vietos komponentus savo įstaigose, užtikrinti jų veikimą;
12.2. pranešti Informacinės sistemos pagrindiniam tvarkytojui (pagal tvarkomą modulį) apie elektroninės informacijos saugos incidentus savo įstaigose ir juos valdyti;
12.4. prižiūrėti saugos dokumentų ir kitų Informacinės sistemos valdytojo priimtų teisės aktų, susijusių su elektroninės informacijos sauga, tinkamą įgyvendinimą savo įstaigose;
13. Informacinės sistemos saugos įgaliotinio ir Informacinės sistemos modulio saugos įgaliotinio (toliau bendrai vadinami – saugos įgaliotiniai) funkcijos:
13.1. pagal kompetenciją koordinuoti ir prižiūrėti elektroninės informacijos saugos politikos įgyvendinimą;
13.2. teikti Informacinės sistemos valdytojo vadovui ir (ar) Informacinės sistemos pagrindinio tvarkytojo vadovui siūlymus dėl informacinių technologijų saugos atitikties vertinimo atlikimo;
13.3. organizuoti kibernetinio saugumo subjekto atitikties vertinimą, vadovaujantis Kibernetinio saugumo reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Kibernetinio saugumo reikalavimų aprašas);
13.4. teikti Informacinės sistemos valdytojo vadovui siūlymus dėl Saugos nuostatų ir saugos dokumentų pakeitimo ir rengti jų projektus;
13.5. kasmet pagal kompetenciją organizuoti Informacinės sistemos rizikos įvertinimą ir parengti rizikos įvertinimo ataskaitą;
13.6. supažindinti Informacinės sistemos (jos modulio) administratorius ir Informacinės sistemos naudotojus su Saugos nuostatų ir saugos dokumentų reikalavimais ir atsakomybe už reikalavimų nesilaikymą;
13.7. organizuoti Informacinės sistemos (jos modulio) administratorių ir naudotojų mokymus elektroninės informacijos saugos klausimais, informuoti juos apie elektroninės informacijos saugos problemas;
13.8. duoti Informacinės sistemos naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su Saugos nuostatų ir saugos dokumentų įgyvendinimu;
13.9. teikti Informacinės sistemos valdytojo ir pagrindinio tvarkytojo vadovams pasiūlymus dėl Informacinės sistemos (jos modulio) administratoriaus paskyrimo ir reikalavimų jam nustatymo;
13.10. koordinuoti elektroninės informacijos saugos incidentų tyrimą savo įstaigose ir bendradarbiauti su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, informacijos saugos incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais, išskyrus tuos atvejus, kai šią funkciją atlieka elektroninės informacijos saugos darbo grupės;
13.11. teikti Informacinės sistemos (jos modulio) administratoriams ir Informacinės sistemos naudotojams privalomus vykdyti nurodymus ir pavedimus dėl elektroninės informacijos saugos politikos įgyvendinimo;
14. Saugos įgaliotiniai negali atlikti Informacinės sistemos (jos modulio) administratoriaus funkcijų.
15. ESVIS AVIR ir pavėžėjimo modulių pagrindinis tvarkytojas skiria administratorių (-ius) ESVIS AVIR ir pavėžėjimo moduliams, Sveikatos apsaugos ministerijos Ekstremalių sveikatai situacijų centras skiria administratorių ESVIS parengties ir prevencijos moduliui. Informacinės sistemos (pagal priskirtus modulius) administratoriaus (-ių) funkcijos:
15.1. diegti ir prižiūrėti techninę ir programinę įrangą, reikalingą tinkamam ir nepertraukiamam Informacinės sistemos funkcionavimui;
15.2. suteikti Informacinės sistemos naudotojams patvirtintas prieigos teises, kurių reikia jų funkcijoms atlikti;
15.3. užtikrinti Informacinės sistemos komponentų (kompiuterių, tarnybinių stočių, operacinių sistemų, taikomųjų programų, duomenų bazės valdymo sistemų, ugniasienių, įsilaužimo aptikimo sistemų ir kt.) tinkamą veikimą ir priežiūrą, pagal kompetenciją nustatyti Informacinės sistemos pažeidžiamas vietas;
15.5. informuoti Informacinės sistemos saugos įgaliotinį, kai informaciją teikia Informacinės sistemos administratorius, ar Informacinės sistemos modulio saugos įgaliotinį, kai informaciją teikia Informacinės sistemos modulio administratorius, apie elektroninės informacijos saugos incidentus ir teikti siūlymus dėl elektroninės informacijos saugos incidentų pašalinimo bei šalinti incidentų priežastis ir / ar pasekmes;
15.6. užtikrinti Informacinės sistemos duomenų bazės atsarginį kopijavimą ir atsarginių kopijų išsaugojimą nustatytą terminą;
16. Teisės aktai, kuriais vadovaujamasi tvarkant informacinių sistemų elektroninę informaciją ir užtikrinant jos saugą:
16.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1);
16.8. Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo metodai“ grupės standartai, nustatantys saugų elektroninės informacijos tvarkymą;
II SKYRIUS
ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
17. Vadovaujantis Valstybės informacinių išteklių valdymo įstatymo 3 straipsnio 2 punktu, Informacinės sistemos tvarkoma informacija priskiriama prie svarbios informacijos rūšies.
18. Vadovaujantis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 30 straipsnio 3 dalimi, Informacinė sistema priskiriama prie antrosios kategorijos.
19. Informacinės sistemos saugos įgaliotiniai pagal kuruojamus Informacinės sistemos modulius, atsižvelgdami į Nacionalinio kibernetinio saugumo centro svetainėje skelbiamą metodinę priemonę „Rizikos analizės vadovas“, kasmet, ne vėliau nei iki gruodžio 1 dienos, organizuoja Informacinės sistemos rizikos įvertinimą. Pasikeitus Informacinės sistemos duomenų bazės struktūrai (sistemos pakeitimai, papildymas naujomis taikomosiomis programomis, taikomųjų programų pašalinimas ir kt.), po esminių organizacinių ar sisteminių pokyčių (įskaitant pokyčius Informacinės sistemos techninėje ir programinėje įrangoje), nustačius naujų rizikos veiksnių ar įvykus saugos incidentui, kurio metu buvo sutrikdyta Informacinės sistemos veikla, gali būti organizuojamas neeilinis Informacinės sistemos rizikos įvertinimas. Informacinės sistemos rizikos vertinimas gali būti atliekamas kartu su informacinių technologijų saugos atitikties vertinimu.
20. Organizuojant Informacinės sistemos rizikos vertinimą turi būti paskirtas už rizikos vertinimo proceso priežiūrą ir tobulinimą atsakingas asmuo arba asmenys ir nustatyti jiems taikomi kvalifikaciniai reikalavimai. Atsakingu asmeniu gali būti skiriamas Informacinės sistemos valdytojo ir (ar) Informacinės sistemos pagrindinio tvarkytojo darbuotojas arba sudaroma sutartis su rizikos vertinimo, rizikos vertinimo proceso priežiūros bei nuolatinio tobulinimo paslaugas teikiančiu subjektu.
21. Informacinės sistemos rizikos vertinimo metu įvertinami rizikos veiksniai, galintys turėti įtakos elektroninės informacijos saugai, jų galima žala, pasireiškimo tikimybė, galimi rizikos valdymo būdai.
22. Informacinės sistemos rizikos veiksniams vertinti naudojama rizikos valdymo metodika, patvirtinta Sveikatos apsaugos ministerijos Ekstremalių sveikatai situacijų centro direktoriaus 2023 m. gruodžio 28 d. įsakymu Nr. V-134 „Dėl Sveikatos apsaugos ministerijos Ekstremalių sveikatai situacijų centro direktoriaus 2022 m. gruodžio 21 d. įsakymo Nr. V-101 „Dėl Sveikatos apsaugos ministerijos Ekstremalių sveikatai situacijų centro vidaus kontrolės politikos patvirtinimo“ pakeitimo”.
23. Informacinės sistemos rizikos vertinimo rezultatai ir priemonės rizikos veiksniams išvengti išdėstomi Rizikos įvertinimo ataskaitoje, teikiamoje Informacinės sistemos valdytojo vadovui. Informacinės sistemos modulio saugos įgaliotinio rengiama Informacinės sistemos modulio rizikos vertinimo ataskaita turi būti suderinta su Informacinės sistemos saugos įgaliotiniu, patvirtinta Informacinės sistemos pagrindinio tvarkytojo vadovo ir pateikta Informacinės sistemos valdytojo vadovui.
24. Atsižvelgdamas į Informacinės sistemos rizikos vertinimo ataskaitą ar ataskaitas, kai Informacinės sistemos moduliams atliekami atskiri rizikos vertinimai, Informacinės sistemos valdytojas tvirtina apibendrintą rizikos valdymo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių, organizacinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
25. Siekiant įvertinti Informacinės sistemos saugos dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę, kartą per metus, jei teisės aktuose nenustatyta kitaip, organizuojamas informacinių technologijų saugos atitikties vertinimas, pagal Informacinių technologijų saugos atitikties vertinimo metodiką.
26. Informacinių technologijų saugos atitikties vertinimo metodikoje nustatyta tvarka atlikus informacinių technologijų saugos atitikties vertinimą, kurio metų gali būti atliekamas pažeidžiamumų testavimas imituojant kibernetines atakas, rengiama informacinių technologijų saugos atitikties vertinimo ataskaita, kuri pateikiama Informacinės sistemos valdytojo vadovui. Atsižvelgiant į vertinimo metu nustatytas neatitiktis, rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina bei paskiria už jame numatytų priemonių įgyvendinimą atsakingus asmenis ir nustato priemonių įgyvendinimo terminus Informacinės sistemos valdytojo vadovas.
27. Informacinės sistemos atitikties Kibernetinio saugumo reikalavimų apraše nustatytiems organizaciniams ir techniniams kibernetinio saugumo reikalavimams vertinimas turi būti organizuojamas ne rečiau kaip kartą per metus.
28. Informacinės sistemos rizikos įvertinimo ataskaitos, Informacinės sistemos rizikos įvertinimo ir rizikos valdymo priemonių plano, Informacinės sistemos informacinių technologijų saugos atitikties vertinimo ataskaitos, taip pat pastebėtų trūkumų šalinimo plano kopijas Informacinės sistemos valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka (jeigu Informacinė sistema priskiriama valstybės informaciniams ištekliams).
29. Elektroninės informacijos saugos būklė gerinama techninėmis, programinėmis, organizacinėmis ir kitomis elektroninės informacijos saugos priemonėmis, kurios parenkamos vadovaujantis šiais principais:
29.2. priemonės diegimo kaštai turi būti proporcingi sukuriamai elektroninės informacijos saugos vertei;
III SKYRIUS
ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
30. Organizaciniai ir techniniai elektroninės informacijos saugos reikalavimai nustatomi pagal Saugos nuostatų 17 ir 18 punktuose nustatytas Informacinės sistemos svarbos kategorijas ir vadovaujantis Saugos nuostatų 16 punkte nurodytais teisės aktais ir standartais.
31. Kibernetinio saugumo techniniai reikalavimai, nurodyti Kibernetinio saugumo reikalavimų apraše, turi būti diegiami atsižvelgiant į technologijų išsivystymo lygį, vadovaujantis programinės ir techninės įrangos gamintojo nurodymais, kai jie yra publikuojami (žinomi).
32. Organizacinių ir techninių elektroninės informacijos saugos priemonių užtikrinimas turi būti grindžiamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos elektroninės informacijos saugai, rizikos vertinimu, atsižvelgiant į technologijų išsivystymo lygį.
33. Programinės įrangos, skirtos Informacinei sistemai nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamo elektroninio pašto ir panašiai) apsaugoti, naudojimo nuostatos ir jos atnaujinimo reikalavimai:
33.1. Informacinės sistemos tarnybinių stočių ir kompiuterinėse darbo vietose turi būti įdiegtos centralizuotai valdomos kenksmingos programinės įrangos aptikimo priemonės, kurios turi būti reguliariai ir operatyviai atnaujinamos automatiniu būdu;
34. Detalios programinės įrangos, skirtos Informacinei sistemai nuo kenksmingos programinės įrangos apsaugoti, naudojimo nuostatos ir jos atnaujinimo reikalavimai (nedelsiant, bet ne ilgiau nei 24 valandos), nustatomi Informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklėse.
35. Programinės įrangos, įdiegtos kompiuteriuose ir tarnybinėse stotyse, naudojimo nuostatos:
35.1. turi būti naudojama tik legali, gamintojo palaikoma Informacinės sistemos funkcijoms vykdyti būtina programinė įranga;
35.3. programinės įrangos diegimą, šalinimą ir konfigūravimą atlieka Informacinės sistemos (jos modulio) administratoriai;
35.4. turi būti sukurti du autentifikacijos, jungiantis prie Informacinės sistemos, būdai:
35.4.1. autentifikacija per Valstybės informacinių išteklių sąveikumo platformos tapatybės nustatymo paslaugą (elektroninės valdžios vartų portalas);
36. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, ir kitų) pagrindinės naudojimo nuostatos:
36.1. elektroninės informacijos perdavimo tinklas turi būti atskirtas nuo viešųjų ryšių tinklų naudojant ugniasienes, ugniasienių įvykių žurnalai turi būti reguliariai analizuojami;
36.2. Informacinės sistemos programinė įranga turi turėti apsaugą nuo pagrindinių per tinklą vykdomų atakų: paskirstytų paslaugos trikdymo atakų (DDoS), nestandartinių protokolų naudojimo, internetinės žvalgybos (informacijos rinkimo per laisvai platinamas programas), slaptažodžių atakų (angl. Brute Force Attack) ir kt.;
37. Detalios kompiuterių tinklo filtravimo įrangos naudojimo nuostatos nustatomos Informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklėse.
38. Leistinos kompiuterių naudojimo ribos:
38.1. stacionarūs ir nešiojamieji Informacinės sistemos naudotojų kompiuteriai ir kiti mobilieji įrenginiai turi būti naudojami tik tiesioginėms pareigoms atlikti. Iš kompiuterių, kurie perduodami remontuoti ar techninei priežiūrai atlikti, turi būti pašalinti visi Informacinės sistemos duomenys ir informacija;
38.2. Informacinės sistemos naudotojų tarnybinėms funkcijoms vykdyti naudojamuose nešiojamuosiuose kompiuteriuose ir kituose mobiliuosiuose įrenginiuose turi būti taikomos papildomos saugos priemonės (įjungimo slaptažodis, elektroninės informacijos šifravimas, prisijungimo ribojimas ir pan.);
39. Metodai, kuriais užtikrinamas saugus elektroninės informacijos teikimas ir (ar) gavimas:
39.1. elektroninė informacija iš susijusių registrų, informacinių sistemų gaunama ir teikiama susijusiems registrams, informacinėms sistemoms tik pagal duomenų teikimo ir gavimo sutartyse nustatytas perduodamų duomenų specifikacijas, perdavimo sąlygas ir tvarką;
39.2. prieigos prie elektroninės informacijos, teises gali suteikti tik Informacinės sistemos (jos modulių) administratorius. Informacinės sistemos naudotojams suteikiamos tik jų funkcijoms vykdyti būtinos teisės;
39.3. prieiga prie elektroninės informacijos leidžiama tik Saugos nuostatų 35.4 papunkčiuose nurodytais autentifikacijos būdais prisijungus prie Informacinės sistemos. Prieigos prie elektroninės informacijos valdymas apibrėžtas Informacinės sistemos naudotojų administravimo taisyklėse;
39.4. pasibaigus Informacinės sistemos naudotojo darbo sutarčiai, teisė naudotis elektronine informacija turi būti panaikinta. Informacinės sistemos naudotojui prieiga prie Informacinės sistemos turi būti ribojama ar sustabdoma, kai vyksta Informacinės sistemos naudotojo veiklos tyrimas, naudotojas turi ilgalaikes atostogas arba keičiasi jo atliekamos ir (ar) pareigybės aprašyme nurodytos funkcijos.
40. Pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:
40.2. kopijos saugomos 2 atskiruose geografiškai atskirtuose duomenų centruose naudojant 256 bitų AES šifravimą ir saugomos 7 dienas;
40.3. periodiškai, bet ne rečiau kaip kartą per pusmetį turi būti atliekami elektroninės informacijos atkūrimo iš atsarginių kopijų bandymai;
40.4. prireikus atkurti kopijas teisę tam turi tik Informacinės sistemos (jos modulio) administratorius ar jį pavaduojantis asmuo;
41. Turi būti užtikrintas saugos incidentų, įvykusių Informacinėje sistemoje, registravimas, valdymas ir tyrimas Kibernetinio saugumo reikalavimų aprašo, Informacinės sistemos valdytojo patvirtinto Informacinės sistemos veiklos tęstinumo valdymo plano ir kitų teisės aktų nustatyta tvarka:
41.1. Saugos įgaliotinis registruoja visus jo kompetencijos ribose įvykusius saugos incidentus ir nedelsiant į juos reaguojama, techninėmis ir programinėmis priemonėmis;
41.2. Nacionaliniam kibernetinio saugumo centrui prie Lietuvos Respublikos krašto apsaugos ministerijos ir kitoms atsakingoms institucijoms pagal kompetenciją teisės aktų nustatyta tvarka ir atvejais pranešama apie įvykusius saugos incidentus, jų vertinimą ir suvaldymą;
IV SKYRIUS
REIKALAVIMAI PERSONALUI
43. Saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, tobulinti elektroninės informacijos saugos srities kvalifikaciją, savo darbe vadovautis, Kibernetinio saugumo reikalavimų aprašo ir kitų Lietuvos Respublikos ir Europos Sąjungos teisės aktų nuostatomis, reglamentuojančiomis elektroninės informacijos saugą (kibernetinį saugumą). Informacinės sistemos pagrindinis tvarkytojas, pagal kuruojamą modulį, turi sudaryti sąlygas saugos įgaliotiniui kelti kvalifikaciją.
44. Saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.
45. Informacinės sistemos (jos modulio) administratoriai privalo išmanyti elektroninės informacijos saugos ir saugaus darbo su duomenų perdavimo tinklais užtikrinimo principus, mokėti užtikrinti Informacinės sistemos ir joje tvarkomos elektroninės informacijos saugą, administruoti ir prižiūrėti Informacinės sistemos komponentus (stebėti Informacinės sistemos komponentų veikimą, atlikti jų profilaktinę priežiūrą, trikčių diagnostiką ir šalinimą, sugebėti užtikrinti Informacinės sistemos komponentų nepertraukiamą funkcionavimą ir pan.). Informacinės sistemos (jos modulio) administratoriai turi gebėti užtikrinti techninės ir programinės įrangos nepertraukiamą funkcionavimą bei saugą, stebėti techninės ir programinės įrangos veikimą, atlikti techninės ir programinės įrangos profilaktinę priežiūrą, sutrikimų bei saugos incidentų diagnostiką ir šalinimą, turėti sisteminių programinių priemonių („Windows“, „Unix“, „Oracle“) administravimo ir priežiūros patirties. Informacinės sistemos (jos modulio) administratoriai turi būti susipažinę su saugos dokumentais.
46. Informacinės sistemos naudotojai privalo:
46.1 turėti pagrindinius darbo kompiuteriu, taikomosiomis programomis įgūdžius, mokėti tvarkyti elektroninę informaciją;
46.2. būti susipažinę su Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, kitais teisės aktais, reglamentuojančiais asmens duomenų ir elektroninės informacijos tvarkymą;
46.3 būti pasirašę pasižadėjimą saugoti duomenų ir informacijos paslaptį. Įsipareigojimas saugoti paslaptį galioja ir nutraukus su elektroninės informacijos tvarkymu susijusią veiklą;
46.4. įtarę, kad prisijungimo prie Informacinės sistemos slaptažodis galėjo būti atskleistas kitam asmeniui, praradę slaptažodį ar kitaip jo netekę, nedelsdami informuoti atsakingą saugos įgaliotinį;
47. Informacinės sistemos naudotojų, administratorių, saugos įgaliotinių kvalifikacija turi atitikti reikalavimus, nustatytus jų pareiginiuose nuostatuose ar pareigybės aprašyme.
48. Informacinės sistemos naudotojų ir Informacinės sistemos (jos modulio) administratorių mokymo planavimo, organizavimo ir vykdymo tvarka, mokymo periodiškumo reikalavimai:
48.1. Informacinės sistemos naudotojams turi būti įvairiais būdais primenama apie elektroninės informacijos saugos problemas (pvz., priminimai elektroniniu paštu, teminių renginių organizavimas, atmintinės naujiems informacinių sistemų naudotojams, Informacinių sistemų (jos modulio) administratoriams ir pan.);
48.2. mokymai elektroninės informacijos saugos klausimais turi būti planuojami ir mokymo būdai parenkami atsižvelgiant į elektroninės informacijos saugos užtikrinimo prioritetines kryptis ir tikslus, įdiegtas ar planuojamas įdiegti technologijas (techninę ar programinę įrangą), saugos įgaliotinių, Informacinės sistemos naudotojų ar Informacinės sistemos (jos modulių) administratorių poreikius;
48.3. mokymai gali būti vykdomi tiesioginiu (pvz., paskaitos, seminarai, konferencijos ir kt. teminiai renginiai) ar nuotoliniu būdu (pvz., vaizdo konferencijos, mokomosios medžiagos pateikimas elektroninėje erdvėje ir pan.);
48.4. mokymai Informacinės sistemos naudotojams turi būti organizuojami periodiškai, bet ne rečiau kaip kartą per metus. Už mokymų organizavimą atsakingas saugos įgaliotinis;
49. Perkant paslaugas, darbus ar įrangą, susijusius su Informacinės sistemos projektavimu, kūrimu, diegimu, modernizavimu, priežiūra, palaikymu, saugos užtikrinimu, auditavimu, elektroninės informacijos perdavimu tinklais, taip pat kitus, suteikiančius teisę ir galimybę prieiti prie elektroninės informacijos, ją apdoroti, saugoti, keistis elektronine informacija ar tiekti informacinių technologijų infrastruktūros komponentus, pirkimo dokumentuose iš anksto turi būti nustatyta, kad paslaugų teikėjas, darbų vykdytojas ar techninės ir programinės įrangos tiekėjas (toliau – paslaugų teikėjas) privalo laikytis Informacinės sistemos saugos dokumentuose nustatytų reikalavimų ir užtikrinti teikiamų paslaugų, vykdomų darbų ar tiekiamos įrangos atitiktį nustatytiems elektroninės informacijos saugos ir Kibernetinio saugumo reikalavimų apraše keliamiems reikalavimams.
50. Į paslaugų pirkimo sutartį turi būti įtraukta nuostata, įpareigojanti paslaugų teikėjo darbuotojus pasirašyti konfidencialumo pasižadėjimą neatskleisti tretiesiems asmenims jokios informacijos, gautos vykdant šią sutartį, išskyrus tiek, kiek būtina sutarčiai vykdyti, o taip pat nenaudoti konfidencialios informacijos asmeniniams ar trečiųjų asmenų poreikiams laikantis principo, kad visa paslaugų teikėjui suteikta informacija (įskaitant Informacinėje sistemoje tvarkomą elektroninę informaciją) yra konfidenciali, nebent raštu patvirtinama, kad tam tikra pateikta informacija nėra konfidenciali.
V SKYRIUS
INFORMACINĖS SISTEMOS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
51. Informacinės sistemos naudotojus su Saugos nuostatais ir saugos dokumentais bei atsakomybe už jų reikalavimų nesilaikymą supažindina saugos įgaliotiniai arba Informacinės sistemos naudotojai supažindinami informacinės sistemos priemonėmis.
52. Naudotojai supažindinami su saugos dokumentais informacinėmis priemonėmis, užtikrinančiomis susipažinimo įrodomumą.
53. Pakartotinai su Saugos nuostatais ir saugos dokumentais Informacinės sistemos naudotojai supažindinami jiems pasikeitus.
54. Saugos nuostatai bei kiti dokumentai, reglamentuojantys saugų elektroninės informacijos tvarkymą, skelbiami Informacinės sistemos valdytojo interneto svetainėje ar kitais būdais.
55. Informacinės sistemos naudotojų supažindinimo su Saugos nuostatais ir saugos dokumentais tvarka nustatyta Informacinės sistemos naudotojų administravimo taisyklėse.
56. Tvarkyti elektroninę informaciją gali tik Informacinės sistemos naudotojai, kurie yra susipažinę su saugos dokumentais ir sutikę laikytis jų reikalavimų. Informacinės sistemos naudotojai atsako už Informacinės sistemos ir joje tvarkomos elektroninės informacijos saugą pagal savo kompetenciją.
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
58. Informacinės sistemos valdytojas saugos dokumentus gali keisti savo arba saugos įgaliotinio (-ių) iniciatyva.
59. Saugos nuostatai ir saugos dokumentai iš esmės turi būti persvarstomi (peržiūrimi) ne rečiau kaip kartą per kalendorinius metus. Saugos dokumentai taip pat turi būti persvarstomi (peržiūrimi) atlikus rizikos veiksnių analizę ar informacinių technologijų saugos atitikties vertinimą arba įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams.
Pakeitimai:
1.
Sveikatos apsaugos ministerijos Ekstremalių sveikatai situacijų centras, Įsakymas
Nr. 05-45, 2021-05-07, paskelbta TAR 2021-05-10, i. k. 2021-10315
Dėl Sveikatos apsaugos ministerijos Ekstremalių sveikatai situacijų centro direktoriaus 2021 balandžio 8 d. įsakymo Nr. 05-36 „Dėl Ekstremalių situacijų valdymo informacinės sistemos nuostatų ir Ekstremalių situacijų valdymo informacinės sistemos duomenų saugos nuostatų patvirtinimo“ pakeitimo
2.
Sveikatos apsaugos ministerijos Ekstremalių sveikatai situacijų centras, Įsakymas
Nr. 05-50, 2021-05-29, paskelbta TAR 2021-05-31, i. k. 2021-12139
Dėl Sveikatos apsaugos ministerijos Ekstremalių sveikatai situacijų centro direktoriaus 2021 m. balandžio 8 d. įsakymo Nr. 05-36 „Dėl Ekstremalių situacijų valdymo informacinės sistemos nuostatų ir Ekstremalių situacijų valdymo informacinės sistemos duomenų saugos nuostatų patvirtinimo“ pakeitimo
3.
Sveikatos apsaugos ministerijos Ekstremalių sveikatai situacijų centras, Įsakymas
Nr. 05-61, 2021-06-21, paskelbta TAR 2021-06-22, i. k. 2021-14085
Dėl Sveikatos apsaugos ministerijos Ekstremalių sveikatai situacijų centro direktoriaus 2021 m. balandžio 8 d. įsakymo Nr. 05-36 „Dėl Ekstremalių situacijų valdymo informacinės sistemos nuostatų ir Ekstremalių situacijų valdymo informacinės sistemos duomenų saugos nuostatų patvirtinimo“ pakeitimo
4.
Sveikatos apsaugos ministerijos Ekstremalių sveikatai situacijų centras, Įsakymas
Nr. 05-113, 2021-11-30, paskelbta TAR 2021-12-01, i. k. 2021-24809
Dėl Sveikatos apsaugos ministerijos ekstremalių sveikatai situacijų centro direktoriaus 2021 m. balandžio 8 d. įsakymo Nr. 05-36 „Dėl Ekstremalių situacijų valdymo informacinės sistemos nuostatų ir Ekstremalių situacijų valdymo informacinės sistemos duomenų saugos nuostatų patvirtinimo“ pakeitimo
5.
Sveikatos apsaugos ministerijos Ekstremalių sveikatai situacijų centras, Įsakymas
Nr. V-87, 2023-07-28, paskelbta TAR 2023-07-28, i. k. 2023-15435
Dėl Sveikatos apsaugos ministerijos Ekstremalių sveikatai situacijų centro direktoriaus 2021 m. balandžio 8 d. įsakymo Nr. 05-36 „Dėl Ekstremalių situacijų valdymo informacinės sistemos nuostatų ir Ekstremalių situacijų valdymo informacinės sistemos duomenų saugos nuostatų patvirtinimo“ pakeitimo
6.
Sveikatos apsaugos ministerijos Ekstremalių sveikatai situacijų centras, Įsakymas
Nr. V-95, 2024-12-05, paskelbta TAR 2024-12-05, i. k. 2024-21548
Dėl Sveikatos apsaugos ministerijos Ekstremalių sveikatai situacijų centro direktoriaus 2021 m. balandžio 8 d. įsakymo Nr. 05-36 „Dėl Ekstremalių situacijų valdymo informacinės sistemos nuostatų ir Ekstremalių situacijų valdymo informacinės sistemos duomenų saugos nuostatų patvirtinimo“ pakeitimo