VIEŠOSIOS ĮSTAIGOS CENTRINĖS PROJEKTŲ VALDYMO AGENTŪROS
DIREKTORIUS
ĮSAKYMAS
DĖL VIEŠOSIOS ĮSTAIGOS CENTRINĖS PROJEKTŲ VALDYMO AGENTŪROS DIREKTORIAUS 2019 M. BALANDŽIO 15 D. ĮSAKYMO NR. 2019/8-86 „DĖL 2014–2021 M. EUROPOS EKONOMINĖS ERDVĖS IR NORVEGIJOS FINANSINIŲ MECHANIZMŲ ADMINISTRAVIMO IR PROCESŲ AUTOMATIZAVIMO INFORMACINĖS SISTEMOS NUOSTATŲ IR DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO“ PAKEITIMO
2021 m. sausio 14 d. Nr. 2021/8-10
Vilnius
Vadovaudamasi Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 30 straipsnio 2 dalimi, 34 straipsnio 2 dalies 1 punktu, Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, 47 punktu ir Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 13 punktu,
pakeičiu viešosios įstaigos Centrinės projektų valdymo agentūros direktoriaus 2019 m. balandžio 15 d. įsakymo Nr. 2019/8-86 „Dėl 2014-2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos nuostatų ir duomenų saugos nuostatų patvirtinimo“ 1 punktu patvirtintus 2014-2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos nuostatus ir 2014-2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos duomenų saugos nuostatus ir išdėstau juos nauja redakcija (pridedama).
PATVIRTINTA
VšĮ Centrinės projektų valdymo agentūros
direktoriaus 2019 m. balandžio 15 d. įsakymu
Nr. 2019/8-86
(2021 m. sausio 14 d. įsakymo Nr. 2021/8-10
redakcija)
2014–2021 M. EUROPOS EKONOMINĖS ERDVĖS IR NORVEGIJOS FINANSINIŲ MECHANIZMŲ ADMINISTRAVIMO IR PROCESŲ AUTOMATIZAVIMO INFORMACINĖS SISTEMOS NUOSTATAI
I. BENDROSIOS NUOSTATOS
1. 2014–2021 m. Europos Ekonominės erdvės (toliau – EEE) ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos (toliau – NORIS) nuostatai (toliau – Nuostatai) reglamentuoja NORIS steigimo teisinį pagrindą, NORIS tikslus, uždavinius, funkcijas, organizacinę, informacinę ir funkcinę struktūras, duomenų teikimo ir naudojimo tvarką, reikalavimus duomenų saugai, finansavimą, modernizavimą ir likvidavimą.
2. NORIS įsteigta vadovaujantis:
2.1. 2014–2021 m. EEE finansinio mechanizmo įgyvendinimo reglamento, patvirtinto 2016 m. rugsėjo 23 d. EEE finansinio mechanizmo komiteto, ir 2014–2021 m. Norvegijos finansinio mechanizmo įgyvendinimo reglamento, patvirtinto 2016 m. rugsėjo 23 d. Norvegijos Karalystės užsienio reikalų ministerijos (toliau – Reglamentai), 5.1 straipsniais;
2.2. Institucijų, atsakingų už 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų valdymą ir kontrolę Lietuvoje, funkcijų aprašu, patvirtintu Lietuvos Respublikos finansų ministro 2018 m. lapkričio 12 d. įsakymu Nr. 1K-389 „Dėl Institucijų, atsakingų už 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų valdymą ir kontrolę Lietuvoje, funkcijų aprašo patvirtinimo“ (toliau – Funkcijų aprašas).
3. NORIS kuriama ir tvarkoma vadovaujantis šiais teisės aktais:
3.3. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES)2016/679);
3.4. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu (toliau – Išteklių valdymo įstatymas);
3.5. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir kitais Lietuvos Respublikos teisės aktais, reglamentuojančiais asmens duomenų tvarkymą;
3.7. Lietuvos Respublikos teisės gauti informaciją iš valstybės ir savivaldybių institucijų ir įstaigų įstatymu;
3.12. Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“ (toliau – Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo aprašas);
3.13. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, Saugos dokumentų turinio gairių aprašu ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Saugos reikalavimų aprašas);
3.14. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Kibernetinio saugumo reikalavimų aprašas);
3.15. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašu ir informacinių technologijų saugos atitikties vertinimo metodika, patvirtintais Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 “Dėl techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo”;
3.16. Valstybės informacinių sistemų gyvavimo ciklo valdymo metodika, patvirtinta Informacinės visuomenės plėtros komiteto direktoriaus 2014 m. vasario 25 d. įsakymu Nr. T-29 „Dėl Valstybės informacinių sistemų gyvavimo ciklo valdymo metodikos patvirtinimo“;
3.17. 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir finansavimo taisyklių, patvirtintų Lietuvos Respublikos finansų ministro 2018 m. lapkričio 12 d. įsakymu Nr. 1K-389 „Dėl 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų įgyvendinimo Lietuvoje” (toliau – MAFT);
3.18. 2014-2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos duomenų saugos nuostatais, patvirtintais VšĮ Centrinės projektų valdymo agentūros (toliau – CPVA) direktoriaus 2019 m. balandžio 15 d. įsakymu Nr. 2019/8-86 „Dėl 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos nuostatų ir duomenų saugos nuostatų patvirtinimo” (toliau – NORIS duomenų saugos nuostatai);
3.19. Saugos politiką įgyvendinančiais dokumentais – CPVA valdomų informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklėmis, NORIS naudotojų administravimo taisyklėmis, CPVA valdomų informacinių sistemų veiklos tęstinumo valdymo planu;
3.20. 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos naudojimo taisyklėmis, patvirtintomis CPVA direktoriaus 2020 m. liepos 31 d. įsakymu Nr. 2020/8-247 „Dėl 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos naudojimo taisyklių patvirtinimo“ (toliau – NORIS taisyklės);
3.21. 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos duomenų mainų svetainės naudojimo taisyklėmis, patvirtintomis CPVA direktoriaus 2020 m. balandžio 22 d. įsakymu Nr. 2020/8-136 „Dėl 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos duomenų mainų svetainės naudojimo taisyklių patvirtinimo“ (toliau – DMS taisyklės);
3.22. Asmens duomenų tvarkymo viešojoje įstaigoje Centrinėje projektų valdymo agentūroje tvarkos aprašu, patvirtintu CPVA direktoriaus 2018 m. gegužės 23 d. įsakymu Nr. 2018/8-112 „Dėl asmens duomenų tvarkymo viešojoje įstaigoje Centrinėje projektų valdymo agentūroje tvarkos aprašo patvirtinimo“ (toliau – CPVA asmens duomenų tvarkymo taisyklės);
4. Nuostatuose vartojamos sąvokos:
4.1. NORIS duomenų tvarkytojas – Funkcijų apraše nurodyta institucija (EEE ir (ar) Norvegijos finansinių mechanizmų programos operatorius, EEE ir (ar) Norvegijos finansinių mechanizmų programos partneris, EEE ir Norvegijos finansinių mechanizmų dvišalio bendradarbiavimo fondo administratorius, EEE ir Norvegijos finansinių mechanizmų audito institucija, EEE ir Norvegijos finansinių mechanizmų pažeidimų kontrolės institucija, EEE ir Norvegijos finansinių mechanizmų tvirtinančioji institucija, Nacionalinė EEE ir Norvegijos finansinių mechanizmų programų koordinavimo institucija), administruojanti EEE ir (arba) Norvegijos finansinius mechanizmus; CPVA, administruojanti Sporto įstatymo 17 straipsnio 1 dalies 5 punkte nurodytos srities sporto projektus (toliau – Sporto projektai), kurioms suteikta prieiga prie NORIS teisės aktų nustatyta tvarka;
5. NORIS tikslas – informacinių technologijų priemonėmis surinkti, apdoroti ir pateikti analizei duomenis apie 2014-2021 m. EEE, Norvegijos finansinių mechanizmų ir Sporto projektų nuo 2020 metų kvietimo įgyvendinimą bei lėšų panaudojimą.
6. Asmens duomenų NORIS tvarkymo tikslas – EEE ir (ar) Norvegijos finansinių mechanizmų programų (toliau – programa), pagal jas teikiamų paraiškų ir įgyvendinamų projektų pagal teisės aktais suteiktą kompetenciją administravimas; Sporto projektų pagal teisės aktais suteiktą kompetenciją administravimas; NORIS ir DMS naudotojų identifikavimas.
7. NORIS uždaviniai:
7.1. sukurti ir įdiegti vieningą 2014–2021 m. EEE ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinę sistemą, kuri apimtų visą programų ir projektų įgyvendinimo ciklą (nuo programos apimtyje skelbiamų kvietimų, gaunamų paraiškų iki projekto pabaigos (galutinio mokėjimo prašymo) ir programos pabaigos (galutinių finansinių ataskaitų));
7.2. surinkti, apdoroti ir pateikti analizei statistikos ir finansinius duomenis, susijusius su 2014–2021 m. EEE, Norvegijos finansinių mechanizmų, Sporto projektų nuo 2020 metų kvietimo įgyvendinimu, finansinių mechanizmų ir bendrojo finansavimo lėšų panaudojimu, ir šiomis lėšomis finansuojamų programų bei projektų vykdymu, nepažeidžiant duomenų tvarkymą ir saugą reglamentuojančių teisės aktų.
8. NORIS funkcijos:
8.1. registruoti ir tvarkyti NORIS funkcionuoti reikalingus duomenis:
8.1.2. NORIS naudotojų registravimui ir tvarkymui, institucijų duomenų, NORIS naudotojų teisių ir teisių rinkinių valdymui;
8.1.3. NORIS modulių parametrų (patikros lapų šablonų, patikros lapų pildymo duomenų, modulių pranešimų) tvarkymui;
8.2. registruoti ir tvarkyti duomenis apie finansavimo programą, biudžetą, terminus, duomenis apie programos sutarties rezultatus, rodiklius, jų planuojamas ir pasiektas reikšmes, programos operatorius ir partnerius, finansavimo skyrimo procedūros tipus, fondus ir kitus duomenis;
8.3. registruoti ir tvarkyti duomenis apie paraiškų sąrašus ir kvietimus, paraiškų pateikimo terminus, biudžetą;
8.5. registruoti ir tvarkyti paraiškų vertinimo, vertintojų, vertinimo terminų nustatymą, tvarkyti paraiškos vertinimo eigos ir vertinimo rezultatų duomenis;
8.6. registruoti ir tvarkyti bendrus su projekto įgyvendinimu susijusius duomenis, peržiūrėti rodiklių pasiekimų hierarchinius duomenis, priskirtus atsakingus darbuotojus, dokumentų rinkmenas, gautus pranešimus ir priminimus, parametrus ir kitus duomenis;
8.7. registruoti ir tvarkyti projekto įgyvendinimo sutarties duomenis, sutarčių keitimo duomenis ir būsenas, prisegtas rinkmenas;
8.8. registruoti ir tvarkyti projektų pirkimų planus, bei jų vykdymo duomenis, registruoti ir tvarkyti pirkimų duomenis;
8.9. registruoti ir tvarkyti pasirašytas pirkimų sutartis, pirkimo sutarčių patikrinimo ir pirkimo sutarčių vykdymo duomenis;
8.10. registruoti ir tvarkyti mokėjimo prašymų grafikus, registruoti ir tvarkyti duomenis apie mokėjimo prašymus ir jų išlaidas, pasiektus rodiklius, tvarkyti mokėjimo prašymo vertinimo duomenis;
8.12. registruoti ir tvarkyti negrąžintų lėšų, grąžinimų, nurašymo, padengimo ir perdavimo Centralizuotai valdomo valstybės turto valdytojui duomenis;
8.14. registruoti patikrų vietoje duomenis (paraiškų vertinimo, projektų įgyvendinimo metu), tvarkyti patikros vietoje dalyvių priskyrimą, registruoti ir tvarkyti patikros vietoje metu nustatytų neatitikimų ir jų ištaisymo duomenis;
8.15. registruoti ir tvarkyti gautus duomenis apie įtariamą pažeidimą, įtariamo pažeidimo ir pažeidimo duomenis, įtariamo pažeidimo ir pažeidimo tyrimo duomenis;
8.16. registruoti ir tvarkyti duomenis, reikalingus Finansinių mechanizmų valdybai (toliau – FMV) iš mokėjimo prašymų ir kitų susijusių duomenų;
8.17. formuoti nustatytos formos analitines ataskaitas, surenkant ir apibendrinant duomenis iš kitų NORIS modulių;
8.18. surinkti duomenis iš DMS naudotojų, vykdyti duomenų mainus ir pateikti jų apdorojimo duomenis;
II. NORIS ORGANIZACINĖ STRUKTŪRA
9. NORIS organizacinę struktūrą sudaro:
10. CPVA, kaip NORIS valdytojas atlieka 9.5 papunktyje nurodytas bei šias funkcijas:
10.2. planuoja lėšas NORIS funkcionavimo, plėtros, duomenų saugos užtikrinimui ir kontroliuoja jų naudojimą;
11. CPVA, kaip NORIS tvarkytojas atlieka 9.5 papunktyje nurodytas bei šias funkcijas:
11.2. organizuoja NORIS kompiuterinės, programinės, komunikacinės įrangos įsigijimą, nustato šios įrangos priežiūros reikalavimus;
11.4. inicijuoja NORIS programinės įrangos tobulinimą, plėtrą, vykdo aktualių NORIS veiklos problemų nagrinėjimą ir sprendimą;
11.7. užtikrina NORIS tvarkomų duomenų konfidencialumą, vientisumą ir prieinamumą, kokybę ir saugą laikydamiesi teisės aktų;
11.8. užtikrina NORIS techninės ir programinės įrangos, NORIS aplikacijų ir duomenų bazės techninę priežiūrą;
11.9. administruoja prieigą prie NORIS duomenų, suteikia asmenims prieigos prie šių duomenų teises, naudotojų vardus ir slaptažodžius;
11.13. konsultuoja NORIS ir DMS naudotojus visais su NORIS susijusiais klausimais, organizuoja mokymus, seminarus, susijusius su NORIS eksploatavimu ir plėtra;
12. NORIS duomenų tvarkytojai:
13. 12.1–12.4 papunkčiuose nurodyti NORIS duomenų tvarkytojai atlieka ir turi Išteklių valdymo įstatymo 34 straipsnio 4 dalyje, 5 dalies 1 punkte, 6 dalies 1–3, 5, 7–9, 12 punktuose nustatytas funkcijas, teises ir pareigas. 12.5–12.16 papunkčiuose nurodyti NORIS duomenų tvarkytojai atlieka ir turi Išteklių valdymo įstatymo 34 straipsnio 4 dalyje, 5 dalies 1 punkte, 6 dalies 3, 8, 9 ir 12 punktuose nustatytas funkcijas, teises ir pareigas.
14. NORIS duomenų teikėjai yra:
14.1. Informacinės visuomenės plėtros komitetas – teikiantis VIISP (valdytojas – Lietuvos Respublikos ekonomikos ir inovacijų ministerija) duomenis;
14.2. Lietuvos Respublikos finansų ministerija, teikianti VBAMS (valdytojas – Lietuvos Respublikos finansų ministerija) duomenis;
14.3. CPVA, teikianti CPVA informacinės sistemos (valdytojas – viešoji įstaiga Centrinė projektų valdymo agentūra) duomenis;
14.4. NORIS naudotojai, NORIS teikiantys duomenis, nekaupiamus kitose valstybės informacinėse sistemose ir registruose;
15. CPVA, kaip NORIS asmens duomenų valdytojas turi Reglamente (ES)2016/679 nurodytas teises ir pareigas.
16. NORIS asmens duomenų tvarkytojai turi šias teises ir pareigas:
16.2. imasi visų priemonių, kurių reikalaujama Reglamento (ES)2016/679 32 straipsnis – techninėmis ir organizacinėmis priemonėmis užtikrina NORIS saugą, NORIS tvarkomų asmens duomenų konfidencialumą, vientisumą ir prieinamumą, apsaugą nuo netyčinio arba neteisėto sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jų ir nuo bet kokio kito neteisėto tvarkymo, taip pat saugų duomenų perdavimą kompiuteriniais tinklais;
16.3. atsižvelgdami į NORIS duomenų tvarkymo pobūdį, padeda NORIS asmens duomenų valdytojui, taikydami tinkamas technines ir organizacines priemones, kiek tai įmanoma, įgyvendinti NORIS asmens duomenų valdytojo prievolę atsakyti į prašymus pasinaudoti Reglamento (ES)2016/679 III skyriuje nustatytomis duomenų subjektų teisėmis;
16.4. pateikia NORIS asmens duomenų valdytojui visą informaciją, būtiną siekiant įrodyti, kad vykdomos Reglamento (ES)2016/679 nustatytos prievolės, ir sudaro sąlygas bei padeda NORIS asmens duomenų valdytojui arba kitam NORIS asmens duomenų valdytojo įgaliotam auditoriui atlikti auditą, įskaitant patikrinimus. Nedelsdamas informuoja NORIS asmens duomenų valdytoją, jei, jo nuomone, nurodymas pateikti informaciją pažeidžia Reglamento (ES)2016/679 ar kitas duomenų apsaugos nuostatas;
16.5. Nuostatų nustatyta tvarka padeda NORIS asmens duomenų valdytojui užtikrinti Reglamento (ES)2016/679 32–36 straipsniuose nustatytų prievolių laikymąsi, atsižvelgdamas į asmens duomenų tvarkymo pobūdį ir NORIS asmens duomenų tvarkytojo turimą informaciją;
16.6. užtikrina, kad asmens duomenis tvarkyti įgalioti tretieji asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikomi atitinkamais teisės aktais nustatyti konfidencialumo reikalavimai;
16.7. NORIS asmens duomenų tvarkytojas, nustatęs asmens duomenų saugumo pažeidimą, nedelsiant, bet ne vėliau kaip per 24 valandas informuoja NORIS asmens duomenų valdytoją apie įvykusius asmens duomenų saugumo pažeidimus – raštu ir (ar) el. paštu [email protected] pateikia pranešimą pagal Reglamento (ES)2016/679 33 straipsnio 3 dalies reikalavimus;
III. NORIS INFORMACINĖ STRUKTŪRA
17. NORIS tvarkomos šios duomenų grupės:
17.1. Programa ir su ja susiję duomenys:
17.2. kvietimo teikti paraiškas duomenys:
17.2.2. sritis ir stebėsenos rodikliai (sąsaja su programos biudžeto eilute, finansavimo šaltiniais ir proporcijomis);
17.3. pareiškėjų, projektų vykdytojų, partnerių, tiekėjų (kaip ši sąvoka apibrėžiama Lietuvos Respublikos viešųjų pirkimų įstatyme, toliau – tiekėjas) – juridinių asmenų (išskirtiniais atvejais (nustatytais kvietime, arba tiekėjų atveju) – fizinių asmenų) − duomenys:
17.3.4. kontaktinė informacija (vardas, pavardė, pareigos, elektroninio pašto adresas, telefono ryšio numeris) (netaikoma tiekėjams);
17.3.7. žyma, ar yra pridėtinės vertės mokesčio (toliau – PVM) mokėtojas, o jei taip – PVM mokėtojo kodas ir PVM tinkamumo finansuoti (nefinansuoti) pagrindimas (netaikoma tiekėjams);
17.4. paraiškų ir jų tikslinimo duomenys:
17.4.8. kontaktiniai duomenys (vardas ir pavardė, pareigos, elektroninio pašto adresas, telefono ryšio numeris);
17.4.9. konsultanto (konsultacinės įmonės), rengusio paraišką duomenys (pavadinimas (fizinio asmens atveju – vardas, pavardė), elektroninio pašto adresas, telefono ryšio numeris);
17.4.11. informacija apie projekto partnerį (17.3 papunktyje nurodyti duomenys, ir valstybė, partnerio pasirinkimo argumentai);
17.4.22. pareiškėjo ir partnerio deklaracijos (juridinio asmens pavadinimas (fizinio asmens vardas, pavardė), įstaigos vadovo arba jo įgalioto asmens vardas, pavardė, informacija apie: tai, ar taikomi apribojimai gauti finansavimą; iškeltą bylą dėl bankroto ar restruktūrizavimo, likvidavimą; kreditorių susirinkimo nutarimą bankroto procedūras vykdyti ne teismo tvarka; pradėtą ikiteisminį tyrimą; su mokesčių ir socialinio draudimo įmokų mokėjimu susijusių skolų turėjimą; neišnykusį arba nepanaikintą teistumą arba įsiteisėjusį apkaltinamąjį teismo nuosprendį; dalyvavimą rengiant programą, gaires ar kitus dokumentus, pagal kuriuos yra teikiama paraiška lėšoms gauti);
17.5. paraiškų vertinimo rezultatų duomenys:
17.5.6. paraiškos vertintojų informacija (vertintojai (vardas ir pavardė, pareigos), vertinimo etapas, vertinimo pradžios ir pabaigos datos);
17.6. projektų įgyvendinimo sutarčių ir jų pakeitimo duomenys:
17.6.17. projekto įgyvendinimo sutartį užregistravusio NORIS naudotojo duomenys (vardas, pavardė, institucija)
17.6.23. projekto biudžetas (sąsaja su programos sutarties biudžeto eilute, finansavimo šaltiniais ir proporcijomis);
17.6.30. atsakingas ir pavaduojantis projektų vadovas (vardas, pavardė, telefono ryšio numeris, elektroninio pašto adresas);
17.6.31. atsakingas ir pavaduojantis finansininkas (vardas, pavardė, telefono ryšio numeris, elektroninio pašto adresas);
17.6.32. atsakingas ir pavaduojantis teisininkas (vardas, pavardė, telefono ryšio numeris, elektroninio pašto adresas);
17.6.33. atsakingas ir pavaduojantis pažeidimų kontrolierius (vardas, pavardė, telefono ryšio numeris, elektroninio pašto adresas
17.7. pirkimų ir jų keitimų duomenys:
17.7.6. pirkimo požymiai (ar Centrinės perkančiosios organizacijos (CPO) pirkimas, ar pirkimai grupuojami, ar bus sudaryta preliminarioji sutartis);
17.8. projektų pirkimo sutarčių ir jų keitimų duomenys:
17.9. mokėjimo prašymų grafikų duomenys:
17.10. mokėjimo prašymų ir jų tikslinimų duomenys:
17.11. duomenys apie patirtas išlaidas:
17.12. stebėsenos rodiklių pasiekimo duomenys:
17.13. galutinės projekto įgyvendinimo ataskaitos duomenys:
17.14. koregavimų duomenys:
17.15. projekto patikrų vietoje duomenys:
17.16. projekto pažeidimų duomenys:
17.16.1. informacija apie pažeidimą tiriančią institucija (pavadinimas, telefono ryšio numeris, adresas, elektroninio pašto adresas);
17.16.2. informacija apie projektą ir programą (programos pavadinimas, programos numeris, projekto pavadinimas, projekto kodas, projekto vykdytojo pavadinimas);
17.16.12. su pažeidimu/įtarimu dėl pažeidimo susiję fiziniai asmenys (vardas ir pavardė)/juridiniai asmenys;
17.16.17. su įtarimu susijusios netinkamai sudarytos viešojo pirkimo sutartys (pirkimo sutarties numeris, tiekėjo kodas, tiekėjo pavadinimas, organizacijos, patyrusios išlaidas, pavadinimas);
17.16.24. sprendimas dėl pažeidimo:
17.16.24.3. pripažinti netinkamomis finansuoti su pažeidimu susijusias išlaidas (suma ir jos išskaidymas pagal finansavimo šaltinius);
17.16.24.5. neapmokėti su pažeidimu susijusių projekto išlaidų (suma ir jos išskaidymas pagal finansavimo šaltinius);
17.16.24.6. susigrąžinti išmokėtas mechanizmų ir bendrojo finansavimo lėšas (suma ir jos išskaidymas pagal finansavimo šaltinius);
17.16.24.7. pakeisti sutartį, sumažinant projektui skirtas mechanizmų ir bendrojo finansavimo lėšas suma ir jos išskaidymas pagal finansavimo šaltinius);
17.17. grąžintinų lėšų duomenys:
17.17.13. grąžintinų lėšų išskaidymas pagal rodiklius ir išlaidų kategorijas:
17.18. grąžinimų administravimo duomenys:
17.18.9. skolos grąžinimo perdavimo Centralizuotai valdomo valstybės turto valdytojui duomenys (perduota (taip, ne), perdavimo data);
17.19. išlaidų deklaravimo donorams duomenys:
17.19.6. apskaičiuota deklaruotinų FMV išlaidų sumą (finansinių mechanizmų lėšos ir bendrasis finansavimas, išskaidymas per finansinius mechanizmus);
17.20. NORIS naudotojų duomenys:
17.21. DMS naudotojų duomenys:
17.21.2. fizinio asmens kontaktinė informacija (elektroninio pašto adresas, telefono ryšio numeris);
17.21.4. požymiai, ar turi teisę redaguoti projekto duomenis, ar turi teisę peržiūrėti projekto duomenis;
17.22. NORIS modulių parametrai:
17.22.1. patikros lapų duomenys ir parametrai:
17.23. NORIS klasifikatoriai:
17.24. atliktų veiksmų atsekamumo duomenys:
17.24.1. NORIS, DMS naudotojų veiksmų duomenys (veiksmo data, laikas, tipas (duomenų įrašymas, koregavimas, naikinimas), pokytis, veiksmą atlikusio naudotojas (vardas, pavardė, institucija));
17.25. VIISP teikiami NORIS duomenys:
17.26. VBAMS teikiami NORIS duomenys:
17.28. DMS naudotojų teikiami NORIS duomenys:
17.28.2. pareiškėjų, projektų vykdytojų, partnerių, tiekėjų duomenys, nurodyti 17.3, 17.4.11 papunkčiuose;
17.28.4. projektų įgyvendinimo sutarčių ir jų pakeitimo duomenys, nurodyti 17.6.34-17.6.35 papunkčiuose;
17.28.5. pirkimų ir jų keitimų duomenys, nurodyti 17.7.1–17.7.13, 17.7.22 papunkčiuose, projektų pirkimų sutarčių ir jų keitimų duomenys nurodyti 17.8.1–17.8.14, 17.8.21, 17.8.25 papunkčiuose;
17.28.6. mokėjimo prašymų grafikų duomenys, nurodyti 17.9.1-17.9.7 papunkčiuose, mokėjimo prašymų ir jų keitimų duomenys, nurodyti 17.10.4–17.10.9, 17.10.16 papunkčiuose, duomenys apie patirtas išlaidas, nurodyti 17.11.1–17.11.10 papunkčiuose, pasiektų stebėsenos rodiklių duomenys, nurodyti 17.12.5 papunktyje, galutinės projekto įgyvendinimo ataskaitos duomenys, nurodyti 17.13 papunktyje.
IV. NORIS FUNKCINĖ STRUKTŪRA
18. NORIS funkcinę struktūrą sudaro išoriniai ir vidiniai aplikacijų moduliai:
19. NORIS vidinių aplikacijų moduliai:
19.1. administravimo modulis, kurio pagrindinės funkcijos:
19.1.2. registruoti ir tvarkyti NORIS naudotojų, institucijų duomenų, naudotojų teisių ir teisių rinkinių duomenis;
19.1.3. tvarkyti NORIS modulių parametrus (patikros lapų šablonų kūrimą, patikros lapų pildymo, modulių pranešimų, NORIS duomenų objektų nagrinėjimo terminų (užduočių priminimų) duomenis);
19.1.4. registruoti NORIS kitų informacinių sistemų gaunamų/teikiamų duomenų apdorojimo stebėjimui ir integracijos valdymui reikalingus duomenis;
19.1.5. registruoti ir tvarkyti programų ir programų sutarčių, finansavimo programų, biudžeto, terminų, programų sutarčių rezultatų, rodiklių, jų planuojamų ir pasiektų reikšmių, programos operatorių ir partnerių, finansavimo skyrimo procedūros tipų, fondų, kvietimų teikti paraiškas, paraiškų sąrašų ir kvietimų, paraiškų pateikimo terminų duomenis;
19.2. projektų modulis, kurio pagrindinės funkcijos:
19.2.1. registruoti ir tvarkyti bendrus su projekto įgyvendinimu susijusius duomenis, peržiūrėti rodiklių pasiekimų hierarchinius duomenis, priskirtus atsakingus darbuotojus, dokumentų rinkmenas, gautus pranešimus ir priminimus, parametrus ir kitus duomenis;
19.2.3. registruoti ir tvarkyti paraiškų vertinimo, vertintojų, vertinimo terminų nustatymo, paraiškos vertinimo eigos ir vertinimo rezultatų duomenis;
19.3. projekto pirkimų modulis, kurio pagrindinės funkcijos:
19.3.1. registruoti ir tvarkyti projektų pirkimų planus, bei jų vykdymo duomenis, registruoti ir tvarkyti pirkimų duomenis;
19.4. mokėjimo prašymų ir patirtų išlaidų modulis, kurio pagrindinės funkcijos yra registruoti ir tvarkyti mokėjimo prašymų grafikus, registruoti ir tvarkyti duomenis apie mokėjimo prašymus ir jų išlaidas, mokėjimo prašymų deklaravimo FMV duomenis, pasiektus rodiklius, tvarkyti mokėjimo prašymo vertinimo duomenis;
19.5. grąžintinų lėšų modulis, kurio pagrindinės funkcijos yra registruoti ir tvarkyti projektų grąžintinų lėšų ir jų grąžinimo duomenis, grąžintinų lėšų deklaravimo FMV duomenis, negrąžintų lėšų, grąžinimų, nurašymo, padengimo ir perdavimo Centralizuotai valdomo valstybės turto valdytojui duomenis;
19.6. koregavimų modulis, kurio pagrindinės funkcijos registruoti ir tvarkyti mokėjimo prašymų patirtų išlaidų perskirstymą (tarp projekto biudžeto kategorijų, rodiklių, pirkimo sutarčių);
19.7. patikrų vietoje modulis, kurio pagrindinės funkcijos yra registruoti patikras vietoje (paraiškų vertinimo, projektų įgyvendinimo metu), tvarkyti patikros vietoje dalyvių priskyrimą, tvarkyti patikros vietoje patikrų vietoje duomenis, registruoti ir tvarkyti patikros vietoje metu nustatytų neatitikimų ir jų ištaisymo duomenis;
19.8. pažeidimų modulis, kurio pagrindinės funkcijos yra registruoti ir tvarkyti gautą informaciją apie įtariamą pažeidimą, įtariamo pažeidimo/pažeidimo informaciją, įtariamo pažeidimo/pažeidimo tyrimo ir pažeidimo sprendimo informaciją, pažeidimo sprendimo įgyvendinimo informaciją;
19.9. išlaidų deklaravimo modulis, skirtas registruoti ir tvarkyti atskaitas FMV iš mokėjimo prašymo ir kitų reikalingų duomenų;
20. NORIS išorinės DMS aplikacijos moduliai:
20.1. projektų modulis, skirtas peržiūrėti bendrus projekto duomenis, priskirtus atsakingus darbuotojus, gautus pranešimus ir priminimus, teikti ir gauti paraiškų duomenis, teikti ir gauti vykdomų sutarčių ir jų pakeitimų duomenis;
20.2. mokėjimo prašymų ir patirtų išlaidų modulis, skirtas teikti ir gauti mokėjimo prašymų, grafikų ir patirtų išlaidų duomenis;
20.3. projekto pirkimų modulis, skirtas teikti ir gauti projekto pirkimo plano ir jo pirkimų duomenis, teikti ir gauti projekto pirkimo sutarčių ir jų patikrų duomenis;
20.4. grąžintinų lėšų modulis, skirtas gauti projekto grąžintinų lėšų duomenis bei duomenis apie skolų grąžinimus;
V. NORIS DUOMENŲ TEIKIMAS IR NAUDOJIMAS
22. NORIS duomenys, išskyrus asmens duomenis, yra vieši ir teikiami institucijoms, kitiems juridiniams ir fiziniams asmenims, jeigu Lietuvos Respublikos įstatymai ir (ar) Europos Sąjungos teisės aktai nenustato kitaip. Asmens duomenys teikiami vadovaujantis Reglamentu (ES)2016/679 ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu šiame skyriuje nustatyta tvarka.
23. NORIS valdytojo EEE ir Norvegijos finansinių mechanizmų interneto svetainėje https://www.eeagrants.lt, vadovaujantis MAFT nustatyta tvarka ir terminais, yra skelbiami šie NORIS duomenys: informacija apie gautas (pareiškėjo pavadinimas (fizinio asmens vardas, pavardė), projekto pavadinimas, paraiškos kodas, prašomas finansavimas), vertinamas paraiškas (pareiškėjo pavadinimas (fizinio asmens vardas, pavardė), projekto pavadinimas, paraiškos kodas, tinkama finansuoti projekto išlaidų suma, vertintojų išvada dėl projekto veiklų bei išlaidų tinkamumo finansuoti) ir įgyvendinamus projektus (projekto vykdytojo pavadinimas (fizinio asmens vardas, pavardė), projekto pavadinimas, projekto kodas, tinkamų finansuoti projekto išlaidų suma, sutarties pasirašymo data, projekto įgyvendinimo terminas). Vadovaujantis MAFT, duomenys apie pareiškėją ir projektą viešai skelbiami vertinimo ir atrankos proceso skaidrumui užtikrinti bei viešinimo ir įgyvendinimo tikslais (viešojo intereso tikslais). Dokumentai pakartotiniam naudojimui nėra teikiami.
24. NORIS duomenis NORIS duomenų gavėjams pagal duomenų teikimo sutartis ar vienkartinius prašymus teikia NORIS tvarkytojas.
25. NORIS duomenys NORIS duomenų gavėjams teikiami pagal NORIS duomenų gavimo sutartis (daugkartinio teikimo atveju), kuriose nurodomas duomenų teikimo teisinis pagrindas, sąlygos, tvarka, teikiamų duomenų apimtis ir asmens duomenų naudojimo tikslas, arba pagal vienkartinius prašymus (vienkartinio teikimo atveju), kuriuose turi būti nurodytas duomenų (įskaitant asmens duomenis) naudojimo tikslas, teikimo ir gavimo teisinis pagrindas, prašomų pateikti duomenų (įskaitant asmens duomenis) apimtis, pateikimo būdas ir duomenų formatas.
26. Tuo atveju, kai NORIS duomenų gavėjai yra registruoti NORIS ir jiems yra suteiktos prieigos teisės, jie gauna tik registruotiems naudotojams skirtus ir su jų organizacija susijusius duomenis. DMS naudotojai duomenis iš NORIS gauna per jiems sukurtą duomenų mainų sistemą.
27. Tuo atveju, kai NORIS duomenų gavėjai nėra registruoti NORIS ir (arba) DMS, jiems NORIS duomenys teikiami tokio turinio ir formos, kokie sistemoje saugomi, naudojami ar sugeneruojami ataskaitų pagalba ir nereikalauja papildomo duomenų apdorojimo. Teikiant informaciją naudojami Išteklių valdymo įstatyme numatyti informacijos teikimo būdai.
28. NORIS duomenų gavėjas duomenis, gautus iš NORIS, gali naudoti tik tokiam tikslui, tokios apimties ir tokiu būdu, kokie buvo nustatyti duomenų teikimo sutartyje arba vienkartiniame prašyme.
29. NORIS duomenys NORIS duomenų gavėjams gali būti teikiami, perduodami panaudojant tinklines paslaugas automatiniu būdu, teikiami raštu arba žodžiu ir (arba) elektroninių ryšių priemonėmis.
31. Duomenys Europos Sąjungos valstybių narių ir (arba) EEE valstybių, trečiųjų šalių fiziniams ir juridiniams asmenims, juridinio asmens statuso neturintiems subjektams, jų filialams ir atstovybėms teikiami vadovaujantis Reglamentu (ES)2016/679 ir Išteklių valdymo įstatymu šiame skyriuje nustatyta tvarka.
32. Kai atsisakoma teikti NORIS duomenis, asmeniui, pateikusiam prašymą juos gauti, raštu arba elektroninių ryšių priemonėmis pranešama apie priimtą motyvuotą sprendimą atsisakyti tenkinti jo prašymą ir suteikiama informacija apie tokio sprendimo apskundimo tvarką. Atsisakymas teikti NORIS duomenis skundžiamas Lietuvos Respublikos administracinių bylų teisenos įstatymo nustatyta tvarka.
33. NORIS duomenų gavėjas, DMS naudotojai, registro ar kitos valstybės informacinės sistemos tvarkytojas, ar kiti asmenys turi teisę reikalauti ištaisyti netikslius duomenis, ištrinti neteisingus duomenis, papildyti neišsamius duomenis ir apie tai raštu arba elektroninių ryšių priemonėmis pranešti NORIS tvarkytojui.
34. NORIS tvarkytojas, gavęs reikalavimą dėl netikslių, neteisingų, neišsamių duomenų (toliau – netikslūs duomenys) tvarkymo, per 5 darbo dienas nuo informacijos gavimo patikrina NORIS duomenų tikslumą ir, jeigu reikia, ištaiso netikslius duomenis. Pranešimas apie netikslių duomenų ištaisymą arba apie motyvuotą atsisakymą tai padaryti nedelsiant (ne vėliau kaip per vieną darbo dieną) siunčiamas asmeniui, pranešusiam apie netikslius duomenis, paštu ir (ar) elektroninių ryšių priemonėmis. Ištaisęs netikslius duomenis, NORIS tvarkytojas per vieną darbo dieną nuo jų ištaisymo apie tai praneša NORIS duomenų gavėjams, kuriems perduoti netikslūs duomenys.
VI. NORIS DUOMENŲ SAUGA
36. Už NORIS duomenų saugą (konfidencialumą, vientisumą ir prieinamumą) pagal kompetenciją Lietuvos Respublikos įstatymų nustatyta tvarka atsako NORIS valdytojas ir tvarkytojas.
37. NORIS valdytojas ir tvarkytojas duomenų saugą užtikrina vadovaudamasis:
37.5. Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašu ir informacinių technologijų saugos atitikties vertinimo metodika, patvirtintais Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 24 d. įsakymu Nr. 1V-941 „Dėl techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;
37.7. Lietuvos standartais LST ISO/IEC 27002, LST ISO/IEC 27001 bei kiti Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo metodai“ grupės standartais, apibūdinančiais saugų informacinių sistemų duomenų tvarkymą;
37.8. Nuostatais, NORIS duomenų saugos nuostatais, NORIS naudotojų administravimo taisyklėmis, CPVA valdomų informacinių sistemų elektroninės informacijos tvarkymo taisyklėmis, CPVA valdomų informacinių sistemų veiklos tęstinumo valdymo planu, CPVA asmens duomenų tvarkymo taisyklėmis, NORIS ir DMS taisyklėmis.
38. NORIS valdytojas ir tvarkytojas užtikrina NORIS saugos politikos įgyvendinančių dokumentų reikalavimų vykdymą, nustatydamas administracines, technines, organizacines ir kitas priemones, skiriamas NORIS elektroninės informacijos patikimumui ir saugai nuo netyčinio ar neteisėto NORIS duomenų sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jų. Minėtos priemonės turi užtikrinti tokio lygio saugumą, kuris atitiktų saugotinų NORIS duomenų pobūdį, aprėptį, kontekstą ir tikslus, taip pat NORIS duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus asmenų teisėms ir laisvėms ir jų tvarkymo riziką.
39. Už saugų NORIS duomenų tvarkymą jiems priskirtos kompetencijos lygmenyje atsako NORIS valdytojas, NORIS tvarkytojas, NORIS duomenų tvarkytojai ir DMS naudotojai.
40. Asmenys, kurie tvarko duomenis, privalo saugoti duomenų paslaptį, jeigu šie duomenys nėra skirti skelbti viešai. Ši pareiga galioja ir jiems pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas arba pasibaigus jų darbo ar sutartiniams santykiams.
41. NORIS valdytojas, NORIS tvarkytojas, NORIS duomenų tvarkytojai, DMS naudotojai, pažeidę NORIS duomenų saugos dokumentuose, kituose teisės aktuose nustatytus reikalavimus, atsako Lietuvos Respublikos įstatymų ir kitų teisės aktų nustatyta tvarka.
VII. NORIS FINANSAVIMAS
VIII. NORIS MODERNIZAVIMAS IR LIKVIDAVIMAS
44. NORIS modernizuojama ir likviduojama Išteklių valdymo įstatymo, Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo aprašo bei kitų teisės aktų nustatyta tvarka.
IX. BAIGIAMOSIOS NUOSTATOS
46. Už Nuostatų pažeidimus NORIS valdytojas, NORIS tvarkytojas, NORIS duomenų tvarkytojai, DMS naudotojai atsako Lietuvos Respublikos įstatymų nustatyta tvarka.
PATVIRTINTA
VšĮ Centrinės projektų valdymo agentūros
direktoriaus 2019 m. balandžio 15 d.
įsakymu Nr. 2019/8-86
(2021 m. sausio 14 d. įsakymo Nr. 2021/8-10
redakcija)
2014-2021 M. EUROPOS EKONOMINĖS ERDVĖS IR NORVEGIJOS FINANSINIŲ MECHANIZMŲ ADMINISTRAVIMO IR PROCESŲ AUTOMATIZAVIMO INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI
I. BENDROSIOS NUOSTATOS
1. 2014-2021 m. Europos Ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos (toliau – NORIS) duomenų saugos nuostatai (toliau – saugos nuostatai) reglamentuoja NORIS saugos politiką: NORIS elektroninės informacijos saugos valdymą, organizacinius ir techninius reikalavimus, reikalavimus personalui, NORIS administratorių, NORIS ir 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos duomenų mainų svetainės (toliau – DMS) naudotojų, NORIS saugos įgaliotinio supažindinimo su saugos politiką įgyvendinančiais dokumentais principus.
2. Naudojamos sąvokos:
2.2. NORIS naudotojas – NORIS valdytojo ir tvarkytojo ir (ar) NORIS duomenų tvarkytojų valstybės tarnautojas ir (arba) darbuotojas, dirbantis pagal darbo sutartį, NORIS veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją tvarkantis NORIS elektroninę informaciją;
2.3. DMS naudotojas – juridinių ir fizinių asmenų, potencialių paraiškų teikėjų, ir fizinių ir juridinių asmenų, kurie vykdo projektų įgyvendinimo sutartyse numatytas projektų įgyvendinimo veiklas, valstybės tarnautojas ir (arba) darbuotojas, dirbantys pagal darbo sutartis, NORIS veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją tvarkantis NORIS elektroninę informaciją;
2.4. NORIS administratorius – NORIS valdytojo ir tvarkytojo darbuotojas, dirbantis pagal darbo sutartį, prižiūrintis NORIS infrastruktūrą, užtikrinantis jos veikimą, elektroninės informacijos saugą, NORIS žinynų ir naudotojų administravimą (sąvoka naudojama visiems 9 punkte nurodytiems administratorių tipams įvardinti);
2.5. Kitos NORIS saugos nuostatuose vartojamos sąvokos atitinka apibrėžtas:
2.5.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES)2016/679);
2.5.2. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme (toliau – Išteklių valdymo įstatymas);
2.5.4. Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Saugos dokumentų turinio gairių apraše ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Saugos reikalavimų aprašas);
2.5.5. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarime Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;
2.5.6. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų apraše ir informacinių technologijų saugos atitikties vertinimo metodikoje, patvirtintuose Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. 1V-941 “Dėl techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo”;
2.5.7. 2014-2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos nuostatuose, patvirtintuose VšĮ Centrinės projektų valdymo agentūros (toliau – CPVA) direktoriaus 2019 m. balandžio 15 d. įsakymu Nr. 2019/8-86 „Dėl 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos nuostatų ir duomenų saugos nuostatų patvirtinimo“ (toliau – NORIS nuostatai);
2.5.8. 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos naudojimo taisyklėse, patvirtintose CPVA direktoriaus 2020 m. liepos 31 d. įsakymu Nr. 2020/8-247 „Dėl 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos naudojimo taisyklių patvirtinimo“ (toliau – NORIS taisyklės);
2.5.9. 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos duomenų mainų svetainės naudojimo taisyklėse, patvirtintose CPVA direktoriaus 2020 m. balandžio 22 d. įsakymu Nr. 2020/8-136 „Dėl 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos duomenų mainų svetainės naudojimo taisyklių patvirtinimo“ (toliau – DMS taisyklės);
2.5.10. Asmens duomenų tvarkymo viešojoje įstaigoje Centrinėje projektų valdymo agentūroje tvarkos apraše, patvirtintame CPVA direktoriaus 2018 m. gegužės 23 d. įsakymu Nr. 2018/8-112 „Dėl asmens duomenų tvarkymo viešojoje įstaigoje Centrinėje projektų valdymo agentūroje tvarkos aprašo patvirtinimo“ (toliau – CPVA asmens duomenų tvarkymo taisyklės);
3. NORIS elektroninės informacijos saugumo užtikrinimo tikslai:
4. NORIS elektroninės informacijos saugumo prioritetinės kryptys:
4.1. NORIS kaupiamos elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas;
5. NORIS saugos nuostatų reikalavimai taikomi:
5.2. NORIS duomenų tvarkytojams:
5.2.6. Lietuvos Respublikos švietimo, mokslo ir sporto ministerijai (A. Volano g. 2, 01124 Vilnius);
5.2.8. Lietuvos Respublikos socialinės apsaugos ir darbo ministerijai (A. Vivulskio g. 11, 03610 Vilnius);
6. NORIS valdytojas rengia ir tvirtina šiuos saugos politiką įgyvendinančius dokumentus:
7. NORIS valdytojo ir tvarkytojo funkcijos ir atsakomybė:
7.4. atsako už NORIS saugos politikos formavimą ir įgyvendinimo organizavimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą;
8. NORIS saugos įgaliotinio funkcijos ir atsakomybė:
8.1. teikia NORIS valdytojo vadovui pasiūlymus dėl:
8.1.2. NORIS informacinių technologijų (toliau – IT) saugos atitikties ir rizikos vertinimo atlikimo organizavimo;
8.2. koordinuoja elektroninės informacijos saugos incidentų, įvykusių NORIS, tyrimą ir bendradarbiauja su kompetentingoms institucijoms, tiriančiomis elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais;
8.3. teikia NORIS administratoriams ir NORIS naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su NORIS saugos politikos įgyvendinimu;
8.6. periodiškai inicijuoja NORIS administratorių ir NORIS naudotojų supažindinimą su NORIS saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais, informuoja apie jų pakeitimus (priminimai elektroniniu paštu, atmintinės priimtiems naujiems darbuotojams ir pan.) ir atsakomybę už šiuose dokumentuose nustatytų reikalavimų nesilaikymą;
8.7. organizuoja NORIS naudotojų mokymus elektroninės informacijos saugos ir kibernetinio saugumo klausimais;
8.8. peržiūri NORIS saugos nuostatus ir saugos politiką įgyvendinančius dokumentus ne rečiau kaip kartą per kalendorinius metus;
9. NORIS administratoriai skirstomi į šiuos tipus:
9.3. NORIS infrastruktūros administratorius, kuris atlieka šias funkcijas:
9.3.1. užtikrina kompiuterinių tinklų veikimą, saugumą, konfigūruoja ir prižiūri kompiuterinių tinklų įrangą;
9.3.2. užtikrina tarnybinių stočių veikimą, saugumą, diegia ir konfigūruoja operacines sistemas ir jų atnaujinimus;
9.3.6. nedelsdamas vykdo NORIS saugos įgaliotinio nurodymus, susijusius su saugos politikos įgyvendinimu, ir jam atsiskaito už pavestą duomenų saugos organizavimą ir saugos priemonių įgyvendinimą;
9.3.7. informuoja NORIS saugos įgaliotinį apie NORIS saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose nustatytų reikalavimų pažeidimus, nusikalstamos veikos požymius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones;
9.4. NORIS sisteminis administratorius, kuris atlieka šias funkcijas:
9.4.1. užtikrina NORIS veikimą, diegia ir administruoja NORIS aplikacijas, duomenų bazių valdymo sistemas ir kt. taikomąją programinę įrangą, rengia ir atnaujina susijusią sąrankos dokumentaciją;
9.4.3. atlieka NORIS aplikacijų, duomenų bazių valdymo sistemų kt. taikomosios programinės įrangos, sukurtų integracijų su kitomis informacinėmis sistemomis priežiūrą;
9.4.4. atlieka versijų diegimo į kontrolę, NORIS ir (ar) DMS naudotojų informavimą apie planuojamus diegimus ar sutrikimus;
9.4.7. nedelsdamas vykdo NORIS saugos įgaliotinio nurodymus, susijusius su saugos politikos įgyvendinimu, ir jam atsiskaito už pavestą duomenų saugos organizavimą ir saugos priemonių įgyvendinimą;
9.4.8. informuoja NORIS saugos įgaliotinį apie NORIS saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose nustatytų reikalavimų pažeidimus, nusikalstamos veikos požymius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones;
10. NORIS administratoriai, NORIS naudotojai ir NORIS saugos įgaliotinis, pastebėję asmens duomenų saugumo pažeidimą ir (arba) kitą incidentą, nedelsdami apie tai privalo pranešti CPVA Duomenų apsaugos pareigūnui.
11. NORIS saugų elektroninės informacijos tvarkymą užtikrina:
11.5. Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašas ir informacinių technologijų saugos atitikties vertinimo metodika, patvirtinti Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 24 d. įsakymu Nr. 1V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;
11.6. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;
11.7. Lietuvos standartai LST ISO/IEC 27002, LST ISO/IEC 27001 bei kiti Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo metodai“ grupės standartai, apibūdinantys saugų informacinių sistemų duomenų tvarkymą;
11.8. NORIS nuostatai, NORIS saugos nuostatai, NORIS naudotojų administravimo taisyklės, CPVA valdomų informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklės, CPVA valdomų informacinių sistemų veiklos tęstinumo valdymo planas, CPVA asmens duomenų tvarkymo taisyklės, NORIS ir DMS taisyklės.
II. NORIS ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
12. Vadovaujantis Saugos reikalavimų aprašo 9.1. ir 9.3 papunkčių kriterijais, NORIS priskiriama trečios kategorijos informacinėms sistemoms, kurioje tvarkoma vidutinės svarbos informacija.
13. NORIS rizika vertinama vadovaujantis Lietuvos Respublikos vidaus reikalų ministerijos išleista metodine priemone „Rizikos analizės vadovas“, Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais ir atliekama ne rečiau kaip kartą per metus.
14. Rizikos įvertinimo rezultatai išdėstomi rizikos įvertinimo ataskaitoje, kuri pateikiama NORIS valdytojui ir kuri rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos NORIS elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus.
16. Rizikos veiksniai vertinami pagal elektroninės informacijos kategorijas, nustatant jų įtaką NORIS elektroninės informacijos saugai laipsnius:
16.1. Ž – žemas. Duomenų pažeidimo poveikio laipsnis nėra didelis, padariniai nebus pavojingi – informacija išsiųsta kitam adresatui, įvesti netikslūs duomenys, dingo dalis informacijos, kurią galima greitai atkurti iš turimų atsarginių kopijų, prarasta informacija po paskutinio kopijavimo. Neveikia kompiuterinė programinė įranga ir (ar) operacinė sistema kompiuterizuotose darbo vietose;
16.2. V – vidutinis. Duomenų pažeidimo poveikio laipsnis gali būti didelis, padariniai rimti – duomenys netikslūs ar sugadinti, bet juos įmanoma atkurti iš turimų atsarginių kopijų. Duomenų bazių įrašai pakeisti, sunku rasti klaidas ir suklastotą informaciją, neveikia kompiuterinė programinė įranga ir (ar) operacinė sistema tarnybinėse stotyse;
17. Rizikos vertinimo metu atliekamų darbų apimtis:
18. Atsižvelgdamas į rizikos įvertinimo ataskaitą, NORIS valdytojas prireikus tvirtina Rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
19. NORIS rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas NORIS valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai.
20. Pagrindiniai NORIS elektroninės informacijos saugos priemonių parinkimo principai:
21. Siekiant užtikrinti NORIS nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę, ne rečiau kaip kartą per metus organizuojamas IT saugos atitikties vertinimas, kurio metu:
21.3. patikrinama ir įvertinama NORIS administratoriams ir NORIS naudotojams suteiktų teisių ir vykdomų funkcijų atitiktis;
22. Atlikus IT saugos atitikties įvertinimą, rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato NORIS valdytojas.
III. NORIS ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
24. NORIS atitinka saugos nuostatų 11 punkte nurodytuose teisės aktuose numatytus saugos reikalavimus.
25. NORIS programinės įrangos, skirtos apsaugoti informacinę sistemą nuo kenksmingos programinės įrangos, ir kitos programinės įrangos įdiegtos kompiuteriuose ir tarnybinėse stotyse naudojimo nuostatos, tinklo filtravimo įrangos, leistinos kompiuterių naudojimo ribos ir metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą, pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai, konkrečiai nustatomi ir reguliuojami CPVA valdomų informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklėse.
IV. NORIS REIKALAVIMAI PERSONALUI
27. NORIS naudotojų, NORIS administratorių, NORIS saugos įgaliotinio kvalifikacija turi atitikti bendruosius ir specialiuosius reikalavimus, nustatytus jų pareiginiuose nuostatuose.
28. NORIS administratoriai ir NORIS naudotojai privalo turėti pagrindinius darbo su kompiuteriu įgūdžius, prieš pradėdami tvarkyti NORIS elektroninę informaciją, turi būti susipažinę su NORIS nuostatais, NORIS saugos nuostatais, NORIS taisyklėmis, Reglamentu (ES)2016/679 ir kitais saugos politiką įgyvendinančiais dokumentais.
29. DMS naudotojai privalo turėti pagrindinius darbo su kompiuteriu įgūdžius, prieš pradėdami tvarkyti NORIS elektroninę informaciją turi būti susipažinę su NORIS nuostatais, NORIS saugos nuostatais ir DMS taisyklėmis.
30. NORIS administratoriai, NORIS ir DMS naudotojai privalo rūpintis tvarkomos elektroninės informacijos saugumu.
31. NORIS saugos įgaliotinis privalo išmanyti informacinių sistemų administravimo ir elektroninės informacijos saugos principus, elektroninės informacijos užtikrinimo metodus ir kitus Lietuvos Respublikos ir Europos Sąjungos teisės aktus ir standartus reglamentuojančius saugų duomenų tvarkymą, sugebėti įgyvendinti ir prižiūrėti NORIS saugą.
32. NORIS saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos skyrimo praėję mažiau kaip vieni metai.
33. NORIS sisteminis administratorius turi išmanyti elektroninės informacijos saugos principus, darbą su operacinėmis sistemomis, duomenų bazių valdymo sistemų ir aplikacijų administravimo pagrindus.
34. NORIS infrastruktūros administratorius privalo sugebėti užtikrinti techninės ir programinės įrangos nepertraukiamą funkcionavimą, stebėti techninės ir programinės, tinklo įrangos veikimą, atlikti techninės ir programinės įrangos profilaktinę priežiūrą, nustatyti ir šalinti sutrikimus.
V. NORIS IR DMS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
36. NORIS ir DMS naudotojų supažindinimo su saugos dokumentais tvarka principai:
36.1. už NORIS ir DMS naudotojų supažindinimą su NORIS saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais ir atsakomybe už šių reikalavimų nesilaikymą yra atsakingas NORIS saugos įgaliotinis;
36.2. NORIS ir DMS naudotojai su NORIS saugos nuostatais ir taikomais kitais saugos politiką įgyvendinančiais dokumentais bei atsakomybe už šių reikalavimų nesilaikymą supažindinami pirmą kartą prisijungus prie NORIS, išsaugant susipažinimo datą;
36.3. pakartotinai su NORIS saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais NORIS ir DMS naudotojai supažindinami tik iš esmės pasikeitus NORIS arba elektroninės informacijos saugą reglamentuojantiems teisės aktams;
36.4. NORIS saugos įgaliotinis gali papildomai inicijuoti NORIS naudotojų supažindinimą su NORIS saugos politiką įgyvendinančiais dokumentais, informuoja apie jų pakeitimus (priminimai elektroniniu paštu, atmintinės priimtiems naujiems darbuotojams ir pan.) ir atsakomybę už šiuose dokumentuose nustatytų reikalavimų nesilaikymą;