DĖL 2014–2021 M. EUROPOS EKONOMINĖS ERDVĖS IR NORVEGIJOS FINANSINIŲ MECHANIZMŲ ADMINISTRAVIMO IR PROCESŲ AUTOMATIZAVIMO INFORMACINĖS SISTEMOS NUOSTATŲ IR DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

PATVIRTINTA

VšĮ Centrinės projektų valdymo agentūros

direktoriaus 2019 m. balandžio 15 d.

įsakymu Nr. 2019/8-86

2014–2021 M. EUROPOS EKONOMINĖS ERDVĖS IR NORVEGIJOS FINANSINIŲ MECHANIZMŲ ADMINISTRAVIMO IR PROCESŲ AUTOMATIZAVIMO INFORMACINĖS SISTEMOS NUOSTATAI

I. BENDROSIOS NUOSTATOS

1. 2014–2021 m. Europos Ekonominės erdvės (toliau – EEE) ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos (toliau – NORIS) nuostatai (toliau – Nuostatai) reglamentuoja NORIS steigimo teisinį pagrindą, NORIS tikslus, uždavinius, funkcijas, organizacinę, informacinę ir funkcinę struktūras, duomenų teikimo ir naudojimo tvarką, reikalavimus duomenų saugai, finansavimą, sąveiką su kitomis informacinėmis sistemomis, modernizavimą ir likvidavimą.

2. NORIS įsteigta vadovaujantis:

2.1. 2014–2021 m. EEE finansinio mechanizmo įgyvendinimo reglamento, patvirtinto 2016 m. rugsėjo 23 d. EEE finansinio mechanizmo komiteto, ir 2014–2021 m. Norvegijos finansinio mechanizmo įgyvendinimo reglamento, patvirtinto 2016 m. rugsėjo 23 d. Norvegijos Karalystės užsienio reikalų ministerijos (toliau – Reglamentai), 5.1 straipsniais;

2.2. Institucijų, atsakingų už 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų valdymą ir kontrolę Lietuvoje, funkcijų aprašu, patvirtintu Lietuvos Respublikos finansų ministro 2018 m. lapkričio 12 d. įsakymu Nr. 1K-389 „Dėl Institucijų, atsakingų už 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų valdymą ir kontrolę Lietuvoje, funkcijų aprašo patvirtinimo“ (toliau – Funkcijų aprašas).

3. NORIS kuriama ir tvarkoma vadovaujantis šiais teisės aktais:

3.1. Reglamentais;

3.2. Funkcijų aprašu;

3.3. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1) (toliau – Bendrasis duomenų apsaugos reglamentas);

3.4. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu (toliau – Išteklių valdymo įstatymas);

3.5. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir kitais Lietuvos Respublikos teisės aktais, reglamentuojančiais asmens duomenų tvarkymą;

3.6. Lietuvos Respublikos kibernetinio saugumo įstatymu;

3.7. Lietuvos Respublikos teisės gauti informaciją iš valstybės ir savivaldybių institucijų ir įstaigų įstatymu;

3.8. Lietuvos Respublikos valstybės iždo įstatymu;

3.9. Lietuvos Respublikos biudžeto sandaros įstatymu;

3.10. Lietuvos Respublikos mokėjimų įstatymu;

3.11. Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo (toliau – Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo aprašas);

3.12. Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Saugos reikalavimų aprašu);

3.13. Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ patvirtintu Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu (toliau – Kibernetinio saugumo reikalavimai);

3.14. Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 “Dėl techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo”;

3.15. Informacinės visuomenės plėtros komiteto direktoriaus 2014 m. vasario 25 d. įsakymu Nr. T-29 „Dėl Valstybės informacinių sistemų gyvavimo ciklo valdymo metodikos patvirtinimo“;

3.16. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos duomenų saugos nuostatais (toliau – NORIS duomenų saugos nuostatai);

3.17. Saugos politiką įgyvendinančiais dokumentais – VšĮ Centrinės projektų valdymo agentūros informacinės sistemos (toliau – CPVA IS) saugaus elektroninės informacijos tvarkymo taisyklėmis, CPVA IS naudotojų administravimo taisyklėmis, CPVA IS veiklos tęstinumo valdymo planu;

3.18. CPVA direktoriaus 2018 m. gegužės 23 d. įsakymu Nr. 2018/8-112 „Dėl asmens duomenų tvarkymo Centrinėje projektų valdymo agentūroje tvarkos aprašo patvirtinimo“;

3.19. šiais Nuostatais.

4. Nuostatuose vartojamos sąvokos atitinka Nuostatų 3 p. nurodytuose teisės aktuose apibrėžtas sąvokas.

5. NORIS tikslas – informacinių technologijų priemonėmis surinkti, apdoroti ir pateikti analizei duomenis apie 2014-2021 m. EEE ir Norvegijos finansinių mechanizmų įgyvendinimą bei lėšų panaudojimą.

6. Asmens duomenų NORIS tvarkymo tikslas – programų, paraiškų ir projektų pagal teisės aktais suteiktą kompetenciją administravimas, stebėsenos rodiklių skaičiavimas, tikrinimas, stebėjimas, NORIS valdytojo ir tvarkytojo darbuotojų, NORIS duomenų tvarkytojų darbuotojų, NORIS duomenų mainų svetainės (toliau – DMS) naudotojų identifikavimas.

7. NORIS uždaviniai:

7.1. sukurti ir įdiegti vieningą 2014–2021 m. EEE ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinę sistemą, kuri apimtų visą programų ir projektų įgyvendinimo ciklą (nuo programos apimtyje skelbiamų kvietimų, gaunamų paraiškų iki projekto pabaigos (galutinio mokėjimo prašymo) ir programos pabaigos (galutinių finansinių ataskaitų));

7.2. surinkti, apdoroti ir pateikti analizei statistikos ir finansinius duomenis, susijusius su 2014–2021 m. EEE ir Norvegijos finansinių mechanizmų įgyvendinimu, finansinių mechanizmų ir bendrojo finansavimo lėšų panaudojimu, ir šiomis lėšomis finansuojamų programų bei projektų vykdymu, nepažeidžiant duomenų tvarkymą ir saugą reglamentuojančių teisės aktų.

8. NORIS funkcijos:

8.1. registruoti ir tvarkyti NORIS funkcionuoti reikalingų duomenis:

8.1.1. NORIS klasifikatorių registravimui ir tvarkymui;

8.1.2. NORIS tvarkytojo, NORIS duomenų tvarkytojų bei jų valstybės tarnautojų ir (arba) darbuotojų registravimui ir tvarkymui, institucijų ir duomenų naudotojų teisių ir teisių rinkinių valdymui;

8.1.3. NORIS modulių parametrų (patikros lapų šablonų kūrimui, patikros lapų pildymo duomenų registravimui ir tvarkymui, modulių pranešimų administravimui ir tvarkymui, NORIS duomenų objektų nagrinėjimo terminų (užduočių) duomenų) tvarkymui;

8.1.4. NORIS kitų IS gaunamų/teikiamų duomenų apdorojimo duomenų stebėjimui ir integracijos valdymui.

8.2. registruoti ir tvarkyti duomenis apie finansavimo programą, biudžetą, terminus, duomenis apie programos sutarties rezultatus, rodiklius, jų planuojamas ir pasiektas reikšmes, programos operatorius ir partnerius, finansavimo skyrimo procedūros tipus, fondus ir kitus duomenis;

8.3. registruoti ir tvarkyti duomenis apie paraiškų sąrašus ir kvietimus, paraiškų pateikimo terminus, biudžetą;

8.4. registruoti ir tvarkyti pateiktas paraiškas ir su jomis susijusius duomenis;

8.5. registruoti ir tvarkyti paraiškų vertinimo, vertintojų, vertinimo terminų nustatymą, tvarkyti paraiškos vertinimo eigos ir vertinimo rezultatų duomenis;

8.6. registruoti ir tvarkyti bendrus su projekto įgyvendinimu susijusius duomenis, peržiūrėti rodiklių pasiekimų hierarchinius duomenis, priskirtus atsakingus darbuotojus, dokumentų rinkmenas, gautus pranešimus ir priminimus, parametrus ir kitus duomenis;

8.7. registruoti ir tvarkyti projekto įgyvendinimo sutarties duomenis, sutarčių keitimo duomenis ir būsenas, prisegtas rinkmenas;

8.8. registruoti ir tvarkyti projektų pirkimų planus, bei jų vykdymo duomenis, registruoti ir tvarkyti pirkimų duomenis;

8.9. registruoti ir tvarkyti pasirašytas pirkimų sutartis, pirkimo sutarčių patikrinimo ir pirkimo sutarčių vykdymo duomenis;

8.10. registruoti ir tvarkyti mokėjimo prašymų grafikus, registruoti ir tvarkyti duomenis apie mokėjimo prašymus ir jų išlaidas, pasiektus rodiklius, tvarkyti mokėjimo prašymo vertinimo duomenis;

8.11. registruoti ir tvarkyti projektų grąžintinų lėšų ir jų grąžinimo duomenis;

8.12. registruoti ir tvarkyti negrąžintų lėšų, grąžinimų, nurašymo, padengimo ir perdavimo Centralizuotai valdomo valstybės turto valdytojui duomenis;

8.13. registruoti ir tvarkyti mokėjimo prašymų patirtų išlaidų perskirstymą projekto biudžete;

8.14. registruoti patikras vietoje (paraiškų vertinimo, projektų įgyvendinimo metu), tvarkyti patikros vietoje dalyvių priskyrimą, tvarkyti patikros vietoje patikrų vietoje duomenis, registruoti ir tvarkyti patikros vietoje metu nustatytų neatitikimų ir jų ištaisymo duomenis;

8.15. registruoti ir tvarkyti pranešimo apie įtariamą pažeidimą informaciją, pažeidimo informaciją, pažeidimo tyrimo informaciją;

8.16. registruoti ir tvarkyti atskaitas Finansinių mechanizmų valdybai (toliau – FMV) iš mokėjimo prašymo ir kitų reikalingų duomenų;

8.17. formuoti nustatytos formos analitines ataskaitas, surenkant ir apibendrinant duomenis iš kitų NORIS modulių;

8.18. surinkti duomenis iš DMS naudotojų, vykdyti duomenų mainus ir pateikti jų apdorojimo duomenis;

8.19. gauti NORIS duomenims iš Valstybės informacinių išteklių sąveikumo platformos (toliau – VIISP), Valstybės biudžeto apskaitos ir mokėjimų sistemos (toliau – VBAMS), CPVA IS.

II. NORIS ORGANIZACINĖ STRUKTŪRA

9. NORIS organizacinę struktūrą sudaro:

9.1. NORIS valdytojas,

9.2. NORIS tvarkytojas,

9.3. NORIS duomenų tvarkytojai,

9.4. DMS naudotojai;

9.5. NORIS duomenų teikėjai.

9.6. NORIS valdytojas ir tvarkytojas – CPVA, kuri atlieka visas Išteklių valdymo įstatyme valstybės informacinės sistemos valdytojui ir tvarkytojui nustatytas funkcijas, teises ir pareigas.

10. CPVA, kaip NORIS valdytojas atlieka Nuostatų 9.6. papunktyje nurodytas bei šias funkcijas:

10.1. rengia ir priima teisės aktus, susijusius su duomenų tvarkymu, sauga ir NORIS plėtra;

10.2. planuoja lėšas NORIS funkcionavimo, plėtros, duomenų saugos užtikrinimui ir kontroliuoja jų naudojimą;

10.3. užsako ir valdo NORIS techninę ir programinę įrangą, jos licencijas ir jomis disponuoja;

10.4. vykdo NORIS funkcionavimo priežiūrą;

10.5. tvarko ir administruoja NORIS ir kaupiamus duomenis;

10.6. organizacinėmis ir techninėmis priemonėmis užtikrina tvarkomų duomenų apsaugą nuo neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat kitokio neteisėto tvarkymo;

10.7. teisės aktų nustatyta tvarka teikia informaciją apie NORIS veiklą ir rezultatus.

11. CPVA, kaip NORIS tvarkytojas atlieka Nuostatų 9.6 papunktyje nurodytas bei šias funkcijas:

11.1. organizuoja NORIS programinės įrangos kūrimą, diegimą ir palaikymą;

11.2. organizuoja NORIS kompiuterinės, programinės, komunikacinės įrangos įsigijimą, nustato šios įrangos priežiūros reikalavimus;

11.3. atlieka NORIS techninės ir programinės įrangos priežiūrą ir naujų versijų diegimą;

11.4. inicijuoja NORIS programinės įrangos tobulinimą, plėtrą, vykdo aktualių NORIS veiklos problemų nagrinėjimą ir sprendimą;

11.5. sudaro duomenų teikimo ir gavimo sutartis;

11.6. teikia NORIS duomenis duomenų gavėjams (išskyrus DMS naudotojus);

11.7. užtikrina NORIS tvarkomų duomenų konfidencialumą, vientisumą ir prieinamumą, kokybę ir saugą laikydamiesi teisės aktų;

11.8. užtikrina NORIS techninės ir programinės įrangos, NORIS duomenų bazės techninę priežiūrą;

11.9. administruoja prieigą prie NORIS duomenų, suteikia asmenims prieigos prie šių duomenų teises, naudotojų vardus ir slaptažodžius;

11.10. atlieka asmenų, turinčių teisę naudotis NORIS duomenimis, peržiūros kontrolę;

11.11. rūpinasi NORIS duomenų atnaujinimu, jų teikimu, kokybe ir apsauga;

11.12. užtikrina saugų NORIS duomenų tvarkymą ir jų tarpusavio suderinamumą;

11.13. skiria NORIS saugos įgaliotinį, NORIS administratorių;

11.14. konsultuoja NORIS duomenų tvarkytojus ir DMS naudotojus visais su NORIS susijusiais klausimais, organizuoja mokymus, seminarus, susijusius su NORIS eksploatavimu ir plėtra.

12. NORIS duomenų tvarkytojai – Funkcijų apraše nurodytos institucijos (juridiniai asmenys), administruojančios EEE ir Norvegijos finansinių mechanizmų lėšas, kurioms suteiktos teisės ir pareigos tvarkyti NORIS kaupiamus duomenis. Nuostatų 13.1–13.4 papunkčiuose nurodyti NORIS duomenų tvarkytojai atlieka ir turi Išteklių valdymo įstatymo 34 straipsnio 4 dalyje, 5 dalies 1 punkte, 6 dalies 1–3, 5, 7–9, 12 punktuose nustatytas funkcijas, teises ir pareigas. Nuostatų 13.5–13.15 papunkčiuose nurodyti NORIS duomenų tvarkytojai atlieka ir turi Išteklių valdymo įstatymo 34 straipsnio 4 dalyje, 5 dalies 1 punkte, 6 dalies 3, 8, 9 ir 12 punktuose nustatytas funkcijas, teises ir pareigas.

13. NORIS duomenų tvarkytojai:

13.1. Lietuvos Respublikos finansų ministerija;

13.2. CPVA;

13.3. Mokslo, inovacijų ir technologijų agentūra;

13.4. Lietuvos mokslo taryba;

13.5. Lietuvos Respublikos ekonomikos ir inovacijų ministerija;

13.6. Lietuvos Respublikos švietimo, mokslo ir sporto ministerija;

13.7. Lietuvos Respublikos sveikatos apsaugos ministerija;

13.8. Lietuvos Respublikos socialinės apsaugos ir darbo ministerija;

13.9. Lietuvos Respublikos kultūros ministerija;

13.10. Lietuvos Respublikos energetikos ministerija;

13.11. Lietuvos Respublikos vidaus reikalų ministerija;

13.12. Lietuvos Respublikos aplinkos ministerija;

13.13. Lietuvos Respublikos teisingumo ministerija;

13.14. Lietuvos Respublikos generalinė prokuratūra;

13.15. Nacionalinė teismų administracija.

14. NORIS duomenų teikėjai yra:

14.1. Informacinės visuomenės plėtros komitetas – teikia VIISP duomenis;

14.2. DMS naudotojai – teikia duomenis NORIS, nekaupiamus kitose valstybės informacinėse sistemose ir registruose;

14.3. Lietuvos Respublikos finansų ministerija – teikia VBAMS duomenis;

14.4. CPVA – teikia CPVA IS esančius naudotojų duomenis.

15. NORIS duomenų teikėjai, prieš teikdami duomenis, privalo įsitikinti teikiamų duomenų tikslumu ir teisingumu.

16. DMS naudotojai – juridinių asmenų, potencialių paraiškų teikėjų, ir juridinių asmenų, kurie vykdo projektų įgyvendinimo sutartyse numatytas projektų įgyvendinimo veiklas, valstybės tarnautojai ir (arba) darbuotojai, dirbantys pagal darbo sutartis, kurie teikia ir gauna duomenis iš NORIS per jiems sukurtą duomenų mainų sistemą;

17. NORIS asmens duomenų valdytojas yra CPVA.

18. NORIS asmens duomenų tvarkytojais yra Nuostatų 13.1-13.4 papunkčiuose nurodytos institucijos.

19. NORIS asmens duomenų valdytojas ir NORIS asmens duomenų tvarkytojai atlieka Bendrajame duomenų apsaugos reglamente, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme nustatytas funkcijas, turi šiame įstatyme nurodytas teises ir pareigas.

III. NORIS INFORMACINĖ STRUKTŪRA

20. NORIS duomenų bazėje tvarkomos šios duomenų grupės:

20.1. Programa ir su ja susiję duomenys:

20.1.1. programos numeris;

20.1.2. programos pavadinimas;

20.1.3. programos operatorius;

20.1.4. programos partneriai;

20.1.5. programos įgyvendinimo terminai;

20.1.6. programos rodikliai ir jų reikšmės;

20.1.7. programos biudžetas ir jo detalizavimas (biudžeto eilutės, suma);

20.1.8. finansavimo šaltiniai ir proporcijos;

20.1.9. finansavimo skyrimo procedūros tipas;

20.2. kvietimas teikti paraiškas:

20.2.1. programa;

20.2.2. sritis (sąsaja su programos biudžeto eilute, finansavimo šaltiniais ir proporcijomis);

20.2.3. institucija;

20.2.4. kvietimo teikti paraiškas pavadinimas;

20.2.5. kvietimo teikti paraiškas numeris;

20.2.6. kvietimo teikti paraiškas biudžetas;

20.2.7. paraiškų pateikimo laikotarpis (pradžios ir pabaigos datos);

20.2.8. už kvietimą atsakingi asmenys (vardas ir pavardė, pareigos, elektroninio pašto adresas, telefono ryšio numeris);

20.3. pareiškėjų, projektų vykdytojų, partnerių, tiekėjų (kaip ši sąvoka apibrėžiama Lietuvos Respublikos viešųjų pirkimų įstatyme, toliau – tiekėjas) – juridinių asmenų (išskirtiniais atvejais (nustatytais kvietime, arba tiekėjų atveju) – fizinių asmenų) − duomenys:

20.3.1. juridinio asmens kodas (fizinio asmens atveju – gimimo data);

20.3.2. juridinio asmens pavadinimas (fizinio asmens atveju – vardas, pavardė);

20.3.3. kontaktinė informacija (elektroninio pašto adresas, telefono ryšio numeris);

20.3.4. banko kodas (netaikoma tiekėjams);

20.3.5. banko sąskaitos numeris (netaikoma tiekėjams);

20.3.6. žyma, ar pareiškėjas yra PVM mokėtojas, o jei taip – PVM mokėtojo kodas;

20.4. paraiškų duomenys:

20.4.1. paraiškos pateikimo data ir tikslus laikas;

20.4.2. paraiškos numeris;

20.4.3. finansavimo sritis;

20.4.4. paraiškos būsena;

20.4.5. kvietimas teikti paraiškas;

20.4.6. projekto pavadinimas;

20.4.7. registravimo informacija – institucija, data;

20.4.8. kontaktiniai duomenys (vardas ir pavardė, pareigos, elektroninio pašto adresas, telefono ryšio numeris);

20.4.9. informacija apie projekto partnerius;

20.4.10. projekto aprašymas;

20.4.11. projekto loginis pagrindimas;

20.4.12. projekto įgyvendinimo grafikas;

20.4.13. projekto biudžetas;

20.4.14. projekto finansavimo šaltiniai;

20.4.15. prašomos lėšos;

20.4.16. nuosavos lėšos;

20.4.17. stebėsenos rodikliai;

20.4.18. projekto atitiktis horizontaliosioms sritims;

20.4.19. paramos viešinimo priemonės;

20.4.20. projekto santrauka;

20.4.21. pareiškėjo ir partnerio deklaracijos;

20.4.22. paraiškų vertinimo rezultatai;

20.4.23. patikros lapai;

20.4.24. prisegtos rinkmenos;

20.5. paraiškų vertinimo rezultatų duomenys:

20.5.1. paraiškos numeris;

20.5.2. projekto pavadinimas;

20.5.3. kvietimo numeris;

20.5.4. paraiškos vertinimo būsena;

20.5.5. vertinimo terminai;

20.5.6. paraiškos vertintojų informacija (vertintojai (vardas ir pavardė, pareigos), vertinimo etapas, vertinimo pradžios ir pabaigos datos);

20.5.7. vertinimo išvada;

20.5.8. atskiro vertintojo balai ir vertinimo balų suma;

20.5.9. vertinimo metu nustatyta tinkamų finansuoti išlaidų suma;

20.5.10. tinkamumo finansuoti reikalavimų neatitinkančios išlaidos;

20.5.11. vertinimo metu nustatytos išlygos;

20.6. projektų įgyvendinimo sutarčių ir jų pakeitimo duomenys:

20.6.1. projekto įgyvendinimo sutarties pasirašymo data;

20.6.2. projekto veiklų pabaigos data;

20.6.3. projekto galutinio mokėjimo prašymo pateikimo data;

20.6.4. projekto numeris;

20.6.5. projekto numeris Finansinių mechanizmų valdybos informacinėje sistemoje (toliau – GRACE);

20.6.6. projekto pavadinimas;

20.6.7. projekto būsena;

20.6.8. išlaidų tinkamumo ir apmokėjimo terminai;

20.6.9. maksimalaus avanso dydis (procentine išraiška ir konkrečia suma);

20.6.10. apribojimai išlaidų kategorijoms, įskaitant viešinimo ir projekto administravimo kategorijas (procentine išraiška, jei taikomi);

20.6.11. projekto vykdytojas;

20.6.12. projekto vykdytojo kontaktiniai duomenys (vardas ir pavardė, pareigos, elektroninio pašto adresas, telefono ryšio numeris);

20.6.13. projekto partneriai (ar projektas įgyvendinamas su partneriais (taip, ne), pavadinimas, ar partneris yra užsienio subjektas (taip, ne), valstybė, įstaigos kodas, ar PVM tinkamas, PVM mokėtojo kodas, PVM tinkamumo (netinkamumo pagrindimas), buveinės adresas, partnerio pasirinkimo argumentai);

20.6.14. projekto aprašymas;

20.6.15. projekto loginis pagrindimas;

20.6.16. projekto įgyvendinimo grafikas;

20.6.17. projekto biudžetas (sąsaja su programos sutarties biudžeto eilute, finansavimo šaltiniais ir proporcijomis);

20.6.18. finansavimo šaltiniai;

20.6.19. finansinių mechanizmų lėšos;

20.6.20. nuosavos lėšos;

20.6.21. stebėsenos rodikliai ir jų pasiekimas;

20.6.22. projekto atitiktis horizontaliosioms sritims;

20.6.23. viešinimo priemonės;

20.6.24. projekto santrauka;

20.6.25. atsakingas projektų vadovas (vardas ir pavardė);

20.6.26. atsakingas finansininkas (vardas ir pavardė);

20.6.27. atsakingas teisininkas (vardas ir pavardė);

20.6.28. sutarčių keitimo duomenys;

20.6.29. prisegtos rinkmenos;

20.6.30. ekonominiai, funkciniai klasifikatoriai;

20.7. pirkimų duomenys:

20.7.1. pirkimo numeris;

20.7.2. pirkimą vykdantis subjektas;

20.7.3. pirkimą vykdančio subjekto statusas;

20.7.4. pirkimo objektas;

20.7.5. pirkimo objekto skaidymas/neskaidymas į dalis;

20.7.6. pirkimo objekto rūšis (prekės/paslaugos/darbai);

20.7.7. fizinis rodiklis;

20.7.8. planuojama pirkimo sutarties vertė;

20.7.9. pirkimo būdas;

20.7.10. pirkimo būdo pasirinkimo argumentai;

20.7.11. numatoma pirkimo vertė pagal Lietuvos Respublikos viešųjų pirkimų įstatymą;

20.7.12. kodas pagal Bendrąjį Viešųjų Pirkimų Žodyną;

20.7.13. pirkimo būsena;

20.7.14. pirkimo būsenos data;

20.7.15. ar pirkimui taikomas išankstinės priežiūros būdas;

20.7.16. pirkimo dokumentų vertinimo duomenys;

20.7.17. patikros lapai;

20.7.18. prisegti elektroniniai dokumentai;

20.8. projektų pirkimo sutarčių duomenys:

20.8.1. projekto numeris;

20.8.2. projekto pavadinimas;

20.8.3. fizinis rodiklis;

20.8.4. rašytinė/žodinė sutartis;

20.8.5. pirkimo numeris;

20.8.6. pirkimo pavadinimas;

20.8.7. pirkimo sutarties numeris;

20.8.8. tiekėjo juridinio asmens pavadinimas/fizinio asmens vardas ir pavardė ;

20.8.9. tiekėjo juridinio asmens kodas/fizinio asmens gimimo data;

20.8.10. tiekėjas: fizinis asmuo/juridinis asmuo/užsienio subjektas;

20.8.11. pirkimo sutarties data;

20.8.12. bendra pirkimo sutarties vertė;

20.8.13. pirkimo sutarties vertė tenkanti projektui;

20.8.14. pirkimo sutarties vertės, tenkančios projektui, išskaidymas tarp projekto biudžeto išlaidų kategorijų;

20.8.15. sutarties tipas: fiksuota kaina/fiksuotas įkainis/kita;

20.8.16. duomenys apie pirkimo sutarčiai vykdomas korekcijas (pažeidimų atveju);

20.8.17. sutarties vykdymo termino pabaigos data;

20.8.18. pirkimo sutarties užtikrinimas;

20.8.19. pirkimo sutarties projekto dokumentų pateikimo terminai (planas, faktas);

20.8.20. sutarčių keitimų duomenys;

20.8.21. sutarties projekto vertinimo duomenys;

20.8.22. sutarčių keitimų vertinimo duomenys;

20.8.23. patikros lapai;

20.8.24. prisegtos rinkmenos;

20.9. mokėjimo prašymų grafikų duomenys:

20.9.1. numeris;

20.9.2. mokėjimo prašymo tipas (avansinis/tarpinis/galutinis);

20.9.3. data;

20.9.4. suma;

20.9.5. avansas;

20.9.6. užskaitoma avanso suma;

20.9.7. sumos išskaidytos pagal projekto rodiklius ir išlaidų kategoriją;

20.10. mokėjimo prašymų duomenys:

20.10.1. numeris;

20.10.2. gavimo data;

20.10.3. mokėjimo prašymo tipas;

20.10.4. taikomas mokėjimo būdas;

20.10.5. bendra prašomų pripažinti tinkamomis finansuoti išlaidų suma;

20.10.6. vertinimo būdas (pilna apimtimi/taikoma atranka);

20.10.7. išlaidų patyrimo laikotarpis (nuo, iki);

20.10.8. mokėjimo prašymo būsena;

20.10.9. pasiekti rodikliai;

20.10.10. atliktos viešinimo priemonės;

20.10.11. vertinimo duomenys;

20.10.12. patikros lapai;

20.10.13. išlaidų tinkamumo išvados;

20.10.14. apmokėjimai projekto vykdytojui;

20.10.15. apmokėjimai tiekėjams;

20.10.16. prisegtos rinkmenos;

20.11. duomenys apie patirtas išlaidas:

20.11.1. projekto biudžeto išlaidų kategorija ir veiklos/rodiklio numeris;

20.11.2. sąsaja su programos sutarties biudžeto eilute, finansavimo šaltiniais ir proporcijomis;

20.11.3. tiekėjo pirkimo sutarties numeris;

20.11.4. tiekėjo juridinio asmens kodas/fizinio asmens gimimo data;

20.11.5. tiekėjo juridinio asmens pavadinimas/fizinio asmens vardas ir pavardė;

20.11.6. išlaidų pagrindimo dokumentai (dokumento tipas, serija, numeris, data);

20.11.7. prašomos kompensuoti tinkamos finansuoti išlaidos;

20.11.8. tinkamos finansuoti išlaidos;

20.11.9. netinkamos finansuoti išlaidos;

20.11.10. netinkamos finansuoti nagrinėjimo momentu;

20.11.11. mokėtina suma (patvirtinta suma, apskaičiuojami ir įvertinami nuokrypiai, užskaitoma avanso suma, išskaičiuojami grąžinimai);

20.11.12. priemonės ir finansavimo šaltinio kodas, ekonominė ir funkcinė klasifikacija;

20.11.13. išlaidų apmokėjimo įrodymo dokumentai (dokumento tipas, numeris, data, suma);

20.11.14. deklaruotinumo FMV data;

20.12. pasiekti stebėsenos rodikliai:

20.12.1. rodiklio numeris;

20.12.2. rodiklio pavadinimas;

20.12.3. matavimo vienetas;

20.12.4. planuota reikšmė;

20.12.5. pasiekta reikšmė;

20.12.6. planuota veiklos pradžios ir pabaigos datos;

20.12.7. faktinės veiklos pradžios ir pabaigos datos;

20.13. duomenys, reikalingi finansinių ataskaitų teikimui LR finansų ministerijai;

20.14. koregavimo duomenys:

20.14.1. rodiklis/veikla;

20.14.2. išlaidų kategorija;

20.14.3. koreguojama lėšų suma;

20.14.4. pagrindimas;

20.14.5. sąsaja su programos sutarties biudžeto eilute, finansavimo šaltiniais, būsenomis ir proporcijomis;

20.15. projekto patikros vietoje:

20.15.1. patikros vietoje numeris;

20.15.2. patikros vietoje data;

20.15.3. patikros vietoje apimtis;

20.15.4. patikros vietoje rezultatai;

20.15.5. patikros lapai;

20.15.6. patikros vietoje būsena;

20.15.7. nustatytų neatitikimų aprašymas;

20.15.8. reikalavimai ištaisyti neatitikimą;

20.15.9. ištaisymo terminai;

20.15.10. duomenys ar neatitikimas pasitvirtino;

20.15.11. duomenys apie neatitikimų ištaisymą;

20.15.12. stabdomų mokėjimo prašymų duomenys;

20.15.13. atsakingi asmenys (vardas ir pavardė);

20.15.14. prisegtos rinkmenos;

20.16. projekto pažeidimai:

20.16.1. įtarimą registravusi institucija;

20.16.2. pirminės informacijos gavimo data;

20.16.3. pirminės informacijos šaltiniai (vardas ir pavardė);

20.16.4. įtariamo pažeidimo/pažeidimo nustatymo metodas;

20.16.5. įtariamo pažeidimo/pažeidimo tipas;

20.16.6. kada buvo padarytas įtariamas pažeidimas/pažeidimas;

20.16.7. informacijos apie įtariamą pažeidimą/pažeidimą pateikimas žiniasklaidos priemonėse;

20.16.8. pažeidimas/įtarimas dėl pažeidimo susijęs su pažeistu teisės aktu;

20.16.9. su pažeidimu susijusios kitos valstybės;

20.16.10. su pažeidimu susiję fiziniai asmenys (vardas ir pavardė)/juridiniai asmenys/užsienio subjektai;

20.16.11. įtariama nusikalstama veika ir/ar rimtas valdymo trūkumas;

20.16.12. įtariamo pažeidimo/pažeidimo aprašymas;

20.16.13. su įtariamu pažeidimu susijusi suma;

20.16.14. gauti skundai, susiję su įtariamu pažeidimu;

20.16.15. netinkamai sudarytos ar vykdomos viešojo pirkimo sutartys (numeris ir data);

20.16.16. įtariamo pažeidimo registravimo data;

20.16.17. įtariamo pažeidimo registravimo numeris;

20.16.18. įtarimo apie pažeidimą tyrimo būsena;

20.16.19. sprendimo data;

20.16.20. sprendimo numeris;

20.16.21. ar nustatytas pažeidimas (taip, ne);

20.16.22. ar pažeidimas gali būti ištaisytas;

20.16.23. taikomos finansinės ir kitos pataisos;

20.16.24. pažeidimo santrauka;

20.16.25. apskundimo tvarka;

20.16.26. tyrimo atnaujinimo data;

20.16.27. tyrimo atnaujinimo pagrindas;

20.16.28. pažeidimo tipas;

20.16.29. pažeidimo tyrimo duomenys;

20.16.30. stabdomų mokėjimo prašymų duomenys;

20.16.31. prisegtos rinkmenos;

20.16.32. sąsaja su programos sutarties biudžeto eilute, finansavimo šaltiniais ir proporcijomis;

20.16.33. projekto numeris GRACE;

20.17. grąžintinų lėšų informacija:

20.17.1. grąžintinų lėšų suma;

20.17.2. grąžintinų lėšų finansavimo šaltiniai;

20.17.3. grąžintinų lėšų deklaruotinumo FMV data;

20.17.4. grąžinimo terminas;

20.17.5. sąsaja su programos biudžeto eilute, finansavimo šaltiniais ir proporcijomis;

20.17.6. grąžinimo būdas (išskaičiuojama ar lėšų pervedimas);

20.17.7. priimto spendimo dėl lėšų grąžinimo data;

20.17.8. grąžinta suma;

20.17.9. grąžinimo data;

20.17.10. duomenys apie grąžintinų lėšų grąžinimą (grąžinta, negražinta, dalis grąžinta);

20.17.11. grąžintinas lėšas įregistravusi institucija;

20.17.12. projekto vykdytojo pavadinimas/kodas/numeris;

20.17.13. grąžintinų lėšų tipas (grąžintinos lėšos, avansas, delspinigiai, palūkanos);

20.17.14. grąžintinų lėšų būsenos;

20.17.15. grąžintinų lėšų sąsaja su pažeidimu;

20.17.16. išlaidų, dėl kurių nustatomos grąžintinos lėšos, deklaravimo požymis;

20.17.17. projekto numeris GRACE;

20.18. skolų administravimo duomenys:

20.18.1. skolos dydis;

20.18.2. delspinigiai;

20.18.3. skolos perdavimo Centralizuotai valdomo valstybės turto valdytojui duomenys (perduota (taip, ne), perdavimo data);

20.18.4. duomenys apie skolos grąžinimą (grąžinta, negrąžinta, dalis grąžinta, nurašyta/padengta);

20.19. išlaidų deklaravimo duomenys:

20.19.1. atsiskaitymo laikotarpis (nuo, iki);

20.19.2. programos sutarties biudžeto eilutė;

20.19.3. apskaičiuota deklaruotinų FMV išlaidų sumą (finansinių mechanizmų lėšos ir bendrasis finansavimas, išskaidymas per finansinius mechanizmus);

20.19.4. lėšų užsakymo duomenys, lėšų gavimo iš FMV duomenys;

20.19.5. išlaidų deklaravimo būsenos;

20.19.6. išlaidų deklaravimo rinkmenos;

20.19.7. išlaidų deklaravimo FMV požymis;

20.19.8. ataskaitos patvirtinimo duomenys;

20.20. NORIS ir DMS naudotojų duomenys:

20.20.1. asmens tipas;

20.20.2. fizinio asmens kodas (tik DMS);

20.20.3. fizinio asmens vardas ir pavardė;

20.20.4. juridinio asmens pavadinimas, trumpinys;

20.20.5. juridinio asmens kodas ir PVM mokėtojo kodas;

20.20.6. juridinio asmens adresas;

20.20.7. ar yra asignavimų valdytojas;

20.20.8. fizinio ir juridinio asmens kontaktinė informacija (elektroninio pašto adresas, vardas, pavardė, pareigos, telefono ryšio numeris);

20.20.9. teisių rinkinys;

20.20.10. prisijungimo duomenys (prisijungimo vardas, slaptažodis);

20.21. NORIS modulių parametrai:

20.21.1. patikros lapų duomenys ir parametrai:

20.21.1.1. vertinimo kriterijus;

20.21.1.2. įvertis;

20.21.1.3. įvertinimo pagrindas;

20.21.1.4. išvada;

20.21.1.5. derinimo pastabos;

20.21.1.6. suderinimo žymos;

20.21.1.7. vertintojo ir tvirtinančių asmenų informacija;

20.21.2. teisės;

20.21.3. teisių rinkiniai;

20.21.4. užduočių valdymo duomenys;

20.21.5. pranešimų valdymo duomenys;

20.21.6. priminimų valdymo duomenys;

20.21.7. įvykių ir terminų valdymo duomenys;

20.22. NORIS klasifikatoriai:

20.22.1. NORIS administravime dalyvaujančių institucijų, pareiškėjų, projektų vykdytojų, partnerių, tiekėjų – juridinių asmenų (išskirtiniais atvejais – fizinių asmenų) – duomenys;

20.23. atsekamumo duomenys:

20.23.1. NORIS tvarkytojo, NORIS duomenų tvarkytojų veiksmų duomenys (veiksmo data, laikas, tipas (duomenų įrašymas, koregavimas, naikinimas));

20.23.2. NORIS veiksmų, veikimo sutrikimų ir kiti techniniai duomenys;

20.24. VIISP teikiami NORIS duomenys:

20.24.1. DMS naudotojo asmens kodas;

20.24.2. DMS naudotojo valstybės tarnautojo kodas;

20.24.3. DMS naudotojo vardas;

20.24.4. DMS naudotojo pavardė;

20.24.5. DMS naudotojo juridinio asmens kodas;

20.24.6. DMS naudotojo juridinio asmens pavadinimas.

20.25. VBAMS teikiami NORIS duomenys:

20.25.1. mokėjimo paraiškų būsenos;

20.25.2. tiekėjų subjektai.

20.26. CPVA per CPVA IS teikiami NORIS naudotojų duomenys, nurodyti Nuostatų 20.20.3., 20.20.8 papunkčiuose:

20.27. DMS naudotojų teikiami duomenys:

20.27.1. pareiškėjų, projektų vykdytojų, partnerių, tiekėjų duomenys, nurodyti Nuostatų 20.3 papunktyje;

20.27.2. paraiškų duomenys, nurodyti Nuostatų 20.4.3, 20.4.6, 20.4.8–20.4.21, 20.4.24 papunkčiuose;

20.27.3. pirkimų duomenys, nurodyti Nuostatų 20.7.1–20.7.14, 20.7.18 papunkčiuose, projektų pirkimų sutarčių duomenys, nurodyti Nuostatų 20.8.4, 20.8.8–20.8.18, 20.8.20, 20.8.24 papunkčiuose;

20.27.4. mokėjimo prašymų grafikų duomenys, nurodyti Nuostatų 20.9 papunktyje, mokėjimo prašymų duomenys, nurodyti Nuostatų 20.10.3–20.10.5, 20.10.7, 20.10.9, 20.10.10, 20.10.16 papunkčiuose, duomenys apie patirtas išlaidas, nurodyti Nuostatų 20.11.1–20.11.9, 20.11.13 papunkčiuose, pasiektų stebėsenos rodiklių duomenys, nurodyti Nuostatų 20.12.1–20.12.3, 20.12.5, 20.12.7 papunkčiuose.

IV. NORIS FUNKCINĖ STRUKTŪRA

21. NORIS funkcinę struktūrą sudaro išoriniai ir vidiniai aplikacijų moduliai:

21.1. vidinių aplikacijų modulius naudoja NORIS tvarkytojas ir NORIS duomenų tvarkytojai;

21.2. išorinės DMS aplikacijos modulius naudoja DMS naudotojai;

21.3. išorinis duomenų mainų modulis skirtas NORIS integracijoms su kitomis informacinėmis sistemomis ir registrais.

22. NORIS vidinių aplikacijų moduliai:

22.1. administravimo modulis, skirtas NORIS funkcionuoti reikalingų duomenų registravimui ir tvarkymui. Administravimo modulis gali būti skirstomas į sub-modulius:

22.1.1. NORIS klasifikatorių registravimui ir tvarkymui;

22.1.2. NORIS tvarkytojo, NORIS duomenų tvarkytojų bei jų valstybės tarnautojų ir (arba) darbuotojų registravimui ir tvarkymui, institucijų ir duomenų naudotojų teisių ir teisių rinkinių valdymui;

22.1.3. NORIS modulių parametrų (patikros lapų šablonų kūrimui, patikros lapų pildymo duomenų registravimui ir tvarkymui, modulių pranešimų administravimui ir tvarkymui, NORIS duomenų objektų nagrinėjimo terminų (užduočių) duomenų) tvarkymui;

22.1.4. NORIS kitų IS gaunamų/teikiamų duomenų apdorojimo duomenų stebėjimui ir integracijos valdymui;

22.2. programų ir programų sutarčių rezultatų modulis, kurio pagrindinės funkcijos yra registruoti ir tvarkyti duomenis apie finansavimo programą, biudžetą, terminus, duomenis apie programos sutarties rezultatus, rodiklius, jų planuojamas ir pasiektas reikšmes, programos operatorius ir partnerius, finansavimo skyrimo procedūros tipus, fondus ir kitus duomenis;

22.3. kvietimų teikti paraiškas modulis, kurio pagrindinės funkcijos yra registruoti ir tvarkyti duomenis apie paraiškų sąrašus ir kvietimus, paraiškų pateikimo terminus, biudžetą;

22.4. paraiškų modulis, kurio pagrindinės funkcijos yra registruoti ir tvarkyti pateiktas paraiškas ir su jomis susijusius duomenis;

22.5. paraiškų vertinimo rezultatų modulis, kurio funkcijos yra registruoti ir tvarkyti paraiškų vertinimo, vertintojų, vertinimo terminų nustatymą, tvarkyti paraiškos vertinimo eigos ir vertinimo rezultatų duomenis;

22.6. projektų modulis, kurio pagrindinės funkcijos yra registruoti ir tvarkyti bendrus su projekto įgyvendinimu susijusius duomenis, peržiūrėti rodiklių pasiekimų hierarchinius duomenis, priskirtus atsakingus darbuotojus, dokumentų rinkmenas, gautus pranešimus ir priminimus, parametrus ir kitus duomenis;

22.7. projektų sutarčių ir jų pakeitimų modulis, kurio funkcijos yra registruoti ir tvarkyti projekto įgyvendinimo sutarties duomenis, sutarčių keitimo duomenis ir būsenas, prisegtas rinkmenas;

22.8. projekto pirkimo planų ir pirkimų modulis, kurio pagrindinės funkcijos yra registruoti ir tvarkyti projektų pirkimų planus, bei jų vykdymo duomenis, registruoti ir tvarkyti pirkimų duomenis;

22.9. projekto pirkimo sutarčių modulis, skirtas registruoti ir tvarkyti pasirašytas pirkimų sutartis, pirkimo sutarčių patikrinimo ir pirkimo sutarčių vykdymo duomenis;

22.10. mokėjimo prašymų ir patirtų išlaidų modulis, kurio pagrindinės funkcijos yra registruoti ir tvarkyti mokėjimo prašymų grafikus, registruoti ir tvarkyti duomenis apie mokėjimo prašymus ir jų išlaidas, pasiektus rodiklius, tvarkyti mokėjimo prašymo vertinimo duomenis;

22.11. grąžintinų lėšų modulis, kurio pagrindinės funkcijos yra registruoti ir tvarkyti projektų grąžintinų lėšų ir jų grąžinimo duomenis;

22.12. skolų modulis, kurio pagrindinės funkcijos yra registruoti ir tvarkyti negrąžintų lėšų, grąžinimų, nurašymo, padengimo ir perdavimo Centralizuotai valdomo valstybės turto valdytojui duomenis;

22.13. koregavimų modulis, kurio pagrindinės funkcijos registruoti ir tvarkyti mokėjimo prašymų patirtų išlaidų perskirstymą projekto biudžete;

22.14. patikrų vietoje modulis, kurio pagrindinės funkcijos yra registruoti patikras vietoje (paraiškų vertinimo, projektų įgyvendinimo metu), tvarkyti patikros vietoje dalyvių priskyrimą, tvarkyti patikros vietoje patikrų vietoje duomenis, registruoti ir tvarkyti patikros vietoje metu nustatytų neatitikimų ir jų ištaisymo duomenis;

22.15. pažeidimų modulis, kurio pagrindinės funkcijos yra registruoti ir tvarkyti pranešimo apie įtariamą pažeidimą informaciją, pažeidimo informaciją, pažeidimo tyrimo informaciją;

22.16. išlaidų deklaravimo modulis, skirtas registruoti ir tvarkyti atskaitas FMV iš mokėjimo prašymo ir kitų reikalingų duomenų;

22.17. analizės modulis, kurio pagrindinės funkcijos yra formuoti nustatytos formos analitines ataskaitas, surenkant ir apibendrinant duomenis iš kitų NORIS modulių.

23. NORIS išorinės DMS aplikacijos modulių pagrindinė funkcija yra surinkti duomenis iš DMS naudotojų, vykdyti duomenų mainus ir pateikti jų apdorojimo duomenis. DMS aplikacijos moduliai:

23.1. projektų modulis, skirtas peržiūrėti bendrus projekto duomenis, priskirtus atsakingus darbuotojus, gautus pranešimus ir priminimus;

23.2. paraiškų modulis, skirtas teikti ir gauti paraiškų duomenis;

23.3. paraiškų vertinimo rezultatų modulis, skirtas peržiūrėti paraiškos vertinimų duomenis;

23.4. projektų sutarčių ir jų pakeitimų modulis, skirtas teikti ir gauti vykdomų sutarčių ir jų pakeitimų duomenis;

23.5. mokėjimo prašymų ir patirtų išlaidų modulis, skirtas teikti ir gauti mokėjimo prašymų, grafikų ir patirtų išlaidų duomenis;

23.6. projekto pirkimo planų ir pirkimų modulis, skirtas teikti ir gauti projekto pirkimo plano ir jo pirkimų duomenis;

23.7. projektų pirkimo sutarčių modulis, skirtas teikti ir gauti projekto pirkimo sutarčių ir jų patikrų duomenis;

23.8. grąžintinų lėšų (skolų) modulis, skirtas gauti projekto grąžintinų lėšų duomenis bei duomenis apie skolas;

23.9. patikrų vietoje modulis, skirtas gauti projekto patikrų vietoje duomenis;

23.10. DMS naudotojų modulis, skirtas administruoti DMS duomenų vartotojus.

24. Išorinis duomenų mainų modulis, skirtas NORIS duomenims iš VIISP, VBAMS, CPVA IS gauti.

V. NORIS DUOMENŲ TEIKIMAS IR NAUDOJIMAS

25. NORIS duomenys, išskyrus asmens duomenis, yra vieši ir teikiami institucijoms, kitiems juridiniams ir fiziniams asmenims, jeigu Lietuvos Respublikos įstatymai ir (ar) Europos Sąjungos teisės aktai nenustato kitaip. Asmens duomenys teikiami vadovaujantis Bendruoju duomenų apsaugos reglamentu ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu.

26. NORIS valdytojo EEE ir Norvegijos finansinių mechanizmų interneto svetainėje teisės aktų nustatyta tvarka yra skelbiami vieši NORIS duomenys. Dokumentai pakartotiniam naudojimui nėra teikiami.

27. NORIS duomenis duomenų gavėjams (išskyrus DMS naudotojus) teikia NORIS tvarkytojas. DMS naudotojai duomenis iš NORIS gauna per jiems sukurtą duomenų mainų sistemą.

28. NORIS duomenys duomenų gavėjams teikiami pagal NORIS duomenų gavimo sutartis (daugkartinio teikimo atveju), kuriose nurodomas duomenų teikimo teisinis pagrindas, sąlygos, tvarka, teikiamų duomenų apimtis ir asmens duomenų naudojimo tikslas, arba pagal vienkartinius prašymus (vienkartinio teikimo atveju), kuriuose turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo ir gavimo teisinis pagrindas ir prašomų pateikti asmens duomenų apimtis.

29. Tuo atveju, kai duomenų gavėjai yra registruoti NORIS ir jiems yra suteiktos prieigos teisės, jie gauna tik registruotiems naudotojams skirtus ir su jų organizacija susijusius duomenis.

30. Tuo atveju, kai duomenų gavėjai nėra registruoti NORIS, jiems NORIS duomenys teikiami tokio turinio ir formos, kokie sistemoje saugomi, naudojami ar sugeneruojami ataskaitų pagalba ir nereikalauja papildomo duomenų apdorojimo. Teikiant informaciją naudojami Išteklių įstatyme numatyti informacijos teikimo būdai.

31. Duomenų gavėjas asmens duomenis, gautus iš NORIS, gali naudoti tik tokiam tikslui, tokios apimties ir tokiu būdu, kokie buvo nustatyti duomenų teikimo sutartyje arba prašyme.

32. NORIS duomenys duomenų gavėjams gali būti teikiami, perduodami panaudojant tinklines paslaugas automatiniu būdu, teikiami raštu arba žodžiu ir (arba) elektroninių ryšių priemonėmis.

33. Duomenys duomenų gavėjams teikiami neatlygintinai.

34. Duomenys Europos Sąjungos valstybių narių ir (arba) EEE valstybių, trečiųjų šalių fiziniams ir juridiniams asmenims, juridinio asmens statuso neturintiems subjektams, jų filialams ir atstovybėms teikiami Bendrojo duomenų apsaugos reglamento ir Išteklių valdymo įstatymo nustatyta tvarka.

35. Kai atsisakoma teikti NORIS duomenis, asmeniui, pateikusiam prašymą juos gauti, raštu arba elektroninių ryšių priemonėmis pranešama apie priimtą motyvuotą sprendimą atsisakyti tenkinti jo prašymą ir suteikiama informacija apie tokio sprendimo apskundimo tvarką. Atsisakymas teikti NORIS duomenis skundžiamas Lietuvos Respublikos administracinių bylų teisenos įstatymo nustatyta tvarka.

36. NORIS duomenų gavėjas, DMS naudotojai, registro ar kitos valstybės informacinės sistemos tvarkytojas, ar kiti asmenys turi teisę reikalauti ištaisyti netikslius duomenis, ištrinti neteisingus duomenis, papildyti neišsamius duomenis arba apriboti NORIS duomenų tvarkymą ir apie tai raštu arba elektroninių ryšių priemonėmis pranešti NORIS tvarkytojui.

37. NORIS tvarkytojas, gavęs reikalavimą dėl netikslių, neteisingų, neišsamių duomenų (toliau – netikslūs duomenys) tvarkymo, per 5 darbo dienas nuo informacijos gavimo patikrina NORIS duomenų tikslumą ir, jeigu reikia, ištaiso netikslius duomenis. Pranešimas apie netikslių duomenų ištaisymą arba apie motyvuotą atsisakymą tai padaryti nedelsiant (ne vėliau kaip per vieną darbo dieną) siunčiamas asmeniui, pranešusiam apie netikslius duomenis, paštu ir (ar) elektroninių ryšių priemonėmis. Ištaisęs netikslius duomenis, NORIS tvarkytojas per vieną darbo dieną nuo jų ištaisymo apie tai praneša NORIS duomenų gavėjams, kuriems perduoti netikslūs duomenys.

38. NORIS tvarkytojas, nustatęs, kad yra NORIS duomenų netikslumų, turi nedelsdamas (ne vėliau kaip per vieną darbo dieną) elektroninių ryšių tinklais ir (ar) raštu perduoti šią informaciją susijusiam duomenų teikėjui.

VI. NORIS DUOMENŲ SAUGA

39. Už NORIS duomenų saugą (konfidencialumą, vientisumą ir prieinamumą) pagal kompetenciją Lietuvos Respublikos įstatymų nustatyta tvarka atsako NORIS valdytojas ir tvarkytojas.

40. NORIS valdytojas ir tvarkytojas duomenų saugą užtikrina vadovaudamasis:

40.1. Bendruoju duomenų apsaugos reglamentu;

40.2. Išteklių valdymo įstatymu;

40.3. Lietuvos Respublikos Kibernetinio saugumo įstatymu;

40.4. Saugos reikalavimų aprašu;

40.5. Kibernetinio saugumo reikalavimais;

40.6. Lietuvos standartais LST ISO / IEC 27001 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“, LST ISO / IEC 27002 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“, taip pat kitais Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo metodai“ grupės standartais, apibūdinančiais saugų elektroninės informacijos tvarkymą, ir kitais duomenų saugą reglamentuojančiais Lietuvos Respublikos teisės aktais;

40.7. NORIS duomenų saugos nuostatais;

40.8. kitais NORIS duomenų saugos politiką įgyvendinančiais dokumentais.

41. NORIS valdytojas ir tvarkytojas užtikrina NORIS saugos politikos dokumentų vykdymą, nustatydamas administracines, technines, organizacines ir kitas priemones, skiriamas NORIS elektroninės informacijos patikimumui ir saugai nuo netyčinio ar neteisėto NORIS duomenų sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jų. Minėtos priemonės turi užtikrinti tokio lygio saugumą, kuris atitiktų saugotinų NORIS duomenų pobūdį, aprėptį, kontekstą ir tikslus, taip pat NORIS duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus asmenų teisėms ir laisvėms ir jų tvarkymo riziką.

42. Už saugų NORIS duomenų tvarkymą jiems priskirtos kompetencijos lygmenyje atsako NORIS valdytojas, NORIS tvarkytas ir NORIS duomenų tvarkytojai.

43. NORIS valdytojas, NORIS tvarkytojas, NORIS duomenų tvarkytojai bei jų valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartis, kurie tvarko duomenis, privalo saugoti duomenų paslaptį, jeigu šie duomenys nėra skirti skelbti viešai. Ši pareiga galioja ir jiems pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas arba pasibaigus jų darbo ar sutartiniams santykiams.

44. NORIS valdytojas, NORIS tvarkytojas, NORIS duomenų tvarkytojai, DMS naudotojai, pažeidę NORIS duomenų saugos dokumentuose, kituose teisės aktuose nustatytus reikalavimus, atsako Lietuvos Respublikos įstatymų ir kitų teisės aktų nustatyta tvarka.

45. NORIS duomenys saugomi 3 metus nuo paskutinės EEE ir Norvegijos finansinių mechanizmų programos galutinės ataskaitos patvirtinimo (Reglamentų 9.8 straipsnių 3 dalys).

VII. NORIS FINANSAVIMAS

46. NORIS kūrimas, diegimas, eksploatavimas, tobulinimas, priežiūra ir plėtra finansuojama EEE ir Norvegijos finansinių mechanizmų techninės paramos lėšomis.

VIII. NORIS MODERNIZAVIMAS IR LIKVIDAVIMAS

47. NORIS modernizuojama ir likviduojama Išteklių valdymo įstatymo, Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo aprašo bei kitų teisės aktų nustatyta tvarka.

48. Modernizuojamos ar likviduojamos NORIS duomenys gali būti perduodami kitai informacinei sistemai, kuri steigiama ar integruojama vietoj likviduojamos, sunaikinami arba perduodami valstybės archyvams Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka.

IX. BAIGIAMOSIOS NUOSTATOS

49. Už šių Nuostatų pažeidimus NORIS valdytojas, NORIS tvarkytojas, NORIS duomenų tvarkytojai, DMS naudotojai atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

50. Detali duomenų subjekto teisių įgyvendinimo tvarka nustatyta CPVA direktoriaus 2018 m. gegužės 23 d. įsakyme Nr. 2018/8-112 „Dėl asmens duomenų tvarkymo Centrinėje projektų valdymo agentūroje tvarkos aprašo patvirtinimo“.

PATVIRTINTA

VšĮ Centrinės projektų valdymo agentūros

direktoriaus 2019 m. balandžio 15 d.

įsakymu Nr. 2019/8-86

2014-2021 M. EUROPOS EKONOMINĖS ERDVĖS IR NORVEGIJOS FINANSINIŲ MECHANIZMŲ ADMINISTRAVIMO IR PROCESŲ AUTOMATIZAVIMO INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI

I. BENDROSIOS NUOSTATOS

1. 2014-2021 m. Europos Ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos (toliau – NORIS) duomenų saugos nuostatai (toliau – saugos nuostatai) reglamentuoja NORIS saugos politiką: NORIS elektroninės informacijos saugos valdymą, organizacinius ir techninius reikalavimus, reikalavimus personalui, NORIS valdytojo ir tvarkytojo darbuotojų supažindinimo su saugos politiką įgyvendinančiais dokumentais principus.

2. Naudojamos sąvokos

2.1. NORIS naudotojas - NORIS valdytojo ir tvarkytojo darbuotojas, turintis teisę dirbti su NORIS;

2.2. Kitos saugos nuostatuose vartojamos sąvokos atitinka 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB toliau – Bendrasis duomenų apsaugos reglamentas), Lietuvos Respublikos Valstybės informacinių išteklių valdymo įstatyme ir Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimas Nr. 716), Lietuvos standartuose LST ISO / IEC 27002 ir LST ISO / IEC 27001 „Informacinės technologijos. Saugumo metodai.“ grupės standartuose vartojamas sąvokas.

3. NORIS elektroninės informacijos saugumo užtikrinimo tikslai:

3.1. saugiai kaupti ir tvarkyti elektroninę informaciją NORIS;

3.2. užtikrinti NORIS kaupiamos elektroninės informacijos konfidencialumą, prieinamumą, vientisumą;

4. NORIS elektroninės informacijos saugumo prioritetinės kryptys:

4.1. NORIS kaupiamos elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas;

4.2. NORIS veiklos tęstinumo užtikrinimas;

4.3. NORIS elektroninės informacijos asmens duomenų apsauga;

4.4. organizacinių, techninių, programinių, teisinių, informacijos sklaidos priemonių, skirtų elektroninės informacijos saugai užtikrinti, įgyvendinimas ir kontrolė.

5. Saugos nuostatų reikalavimų nuostatomis vadovaujasi NORIS valdytojas ir tvarkytojas – VšĮ Centrinė projektų valdymo agentūra, kurios adresas – S. Konarskio g. 13, 03109 Vilnius.

6. NORIS valdytojas rengia ir tvirtina šiuos saugos politiką įgyvendinančius dokumentus:

6.1. Centrinės projektų valdymo agentūros informacinės sistemos (toliau – CPVA IS) saugaus elektroninės informacijos tvarkymo taisykles;

6.2. CPVA IS naudotojų administravimo taisykles;

6.3. CPVA IS veiklos tęstinumo valdymo planą.

7. NORIS valdytojo ir tvarkytojo funkcijos ir atsakomybė:

7.1. rengia ir tvirtina NORIS saugos nuostatus ir saugos politiką įgyvendinančius dokumentus;

7.2. užtikrina veiksmingą ir spartų NORIS pokyčių valdymo planavimą;

7.3. skiria NORIS saugos įgaliotinį, NORIS administratorių;

7.4. atsako už NORIS saugos politikos formavimą ir įgyvendinimo organizavimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą;

7.5. atlieka Valstybės informacinių išteklių valdymo įstatyme nustatytas funkcijas ir turi šiame įstatyme nurodytas teises ir pareigas.

8. NORIS saugos įgaliotinio funkcijos ir atsakomybė:

8.1. teikia NORIS valdytojo vadovui pasiūlymus dėl:

8.1.1. NORIS administratoriaus paskyrimo ir reikalavimų administratoriui nustatymo;

8.1.2. NORIS IT saugos atitikties ir rizikos vertinimo atlikimo organizavimo;

8.1.3. NORIS saugos nuostatų ir saugos politiką įgyvendinančių dokumentų priėmimo, keitimo ar panaikinimo;

8.2. koordinuoja elektroninės informacijos saugos incidentų, įvykusių NORIS, tyrimą ir bendradarbiauja su kompetentingoms institucijoms, tiriančiomis elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais;

8.3. teikia NORIS administratoriams ir naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su NORIS saugos politikos įgyvendinimu;

8.4. teisės aktų nustatyta tvarka organizuoja IT saugos atitikties ir rizikos vertinimus;

8.5. rengia ir teikia NORIS valdytojui informacinių IT saugos atitikties vertinimo ataskaitą;

8.6. periodiškai inicijuoja NORIS administratorių ir naudotojų supažindinimą su NORIS saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais, informuoja apie jų pakeitimus (priminimai elektroniniu paštu, atmintinės priimtiems naujiems darbuotojams ir pan.) ir atsakomybę už šiuose dokumentuose nustatytų reikalavimų nesilaikymą;

8.7. organizuoja naudotojų mokymus elektroninės informacijos saugos ir kibernetinio saugumo klausimais;

8.8. peržiūri NORIS saugos nuostatus ir saugos politiką įgyvendinančius dokumentus ne rečiau kaip kartą per kalendorinius metus;

8.9. atsako už tinkamą NORIS saugos nuostatuose nustatytų funkcijų vykdymą;

8.10. atlieka NORIS saugos nuostatuose ir kituose saugos politikos įgyvendinimo dokumentuose nustatytas funkcijas.

9. NORIS administratorius atlieka šias funkcijas:

9.1. atsako už NORIS veikimą, administruoja NORIS komponentus (NORIS aplikacijas, duomenų bazių valdymo sistemas ir kt. taikomąją programinę įrangą), rengia ir atnaujina susijusią sąrankos dokumentaciją;

9.2. atlieka NORIS naudotojų administravimą (registravimą ir šalinimą) ir prieigos teisių suteikimą pagal darbuotojo įgaliojimus bei roles, vykdomas darbinėje veikloje;

9.3. teikia pasiūlymus NORIS saugos įgaliotiniui su duomenų sauga susijusiais klausimais;

9.4. dalyvauja atliekant IT saugos atitikties vertinimą;

9.5. nedelsdamas vykdo NORIS saugos įgaliotinio nurodymus, susijusius su saugos politikos įgyvendinimu, ir jam atsiskaito už pavestą duomenų saugos organizavimą ir saugos priemonių įgyvendinimą;

9.6. informuoja NORIS saugos įgaliotinį apie NORIS saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose nustatytų reikalavimų pažeidimus, nusikalstamos veikos požymius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones;

9.7. atlieka NORIS saugos nuostatuose ir kituose saugos politikos įgyvendinimo dokumentuose nustatytas funkcijas.

10. NORIS administratorius, naudotojai ir saugos įgaliotinis, pastebėję asmens duomenų saugumo pažeidimą ir (arba) kitą incidentą, nedelsdami apie tai privalo pranešti CPVA Duomenų apsaugos pareigūnui.

11. NORIS saugų elektroninės informacijos tvarkymą užtikrina:

11.1. Bendrasis duomenų apsaugos reglamentas;

11.2. Valstybės informacinių išteklių valdymo įstatymas;

11.3. Lietuvos Respublikos kibernetinio saugumo įstatymas;

11.4. Bendrųjų elektroninės informacijos saugos reikalavimų aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas);

11.5. Saugos dokumentų turinio gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716;

11.6. Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716;

11.7. Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

11.8. Organizaciniai ir techniniai kibernetinio saugumo reikalavimai, taikomi kibernetinio saugumo subjektams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

11.9. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

11.10. Lietuvos standartai LST ISO/IEC 27002, LST ISO/IEC 27001 bei kiti Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo metodai“ grupės standartai, apibūdinantys saugų informacinių sistemų duomenų tvarkymą;

11.11. CPVA IS elektroninės informacijos tvarkymo taisyklės, CPVA IS naudotojų administravimo taisyklės, CPVA IS veiklos tęstinumo valdymo planas, NORIS nuostatai ir saugos nuostatai.

II. NORIS ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

12. Vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716, 9.1. ir 9.3 papunkčių kriterijais, NORIS priskiriama trečios kategorijos informacinėms sistemoms, kurioje tvarkoma vidutinės svarbos informacija.

13. NORIS rizika vertinama vadovaujantis Lietuvos Respublikos vidaus reikalų ministerijos išleista metodine priemone „Rizikos analizės vadovas“, Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais ir atliekama ne rečiau kaip kartą per metus.

14. Rizikos įvertinimo rezultatai išdėstomi rizikos įvertinimo ataskaitoje, kuri pateikiama NORIS valdytojui ir kuri rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos NORIS elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus.

15. NORIS rizikos veiksniai nurodyti Bendrųjų elektroninės informacijos saugos reikalavimų apraše.

16. Rizikos veiksniai vertinami pagal elektroninės informacijos kategorijas, nustatant jų įtaką NORIS elektroninės informacijos saugai laipsnius:

16.1. Ž – žemas. Duomenų pažeidimo poveikio laipsnis nėra didelis, padariniai nebus pavojingi – informacija išsiųsta kitam adresatui, įvesti netikslūs duomenys, dingo dalis informacijos, kurią galima greitai atkurti iš turimų atsarginių kopijų, prarasta informacija po paskutinio kopijavimo. Neveikia kompiuterinė programinė įranga ir (ar) operacinė sistema kompiuterizuotose darbo vietose;

16.2. V – vidutinis. Duomenų pažeidimo poveikio laipsnis gali būti didelis, padariniai rimti – duomenys netikslūs ar sugadinti, bet juos įmanoma atkurti iš turimų atsarginių kopijų. Duomenų bazių įrašai pakeisti, sunku rasti klaidas ir suklastotą informaciją, neveikia kompiuterinė programinė įranga ir (ar) operacinė sistema tarnybinėse stotyse;

16.3. A – aukštas. Duomenų pažeidimo poveikio laipsnis labai didelis, padariniai rimti – duomenys visiškai sugadinti, dėl vagystės, gaisro ar užliejimo prarasti ne tik NORIS duomenų bazėse buvę duomenys, bet ir atsarginės kopijos.

17. Rizikos vertinimo metu atliekamų darbų apimtis:

17.1. NORIS sudarančių informacinių išteklių inventorizacija;

17.2. NORIS įtakos veiklai vertinimas;

17.3. grėsmių ir pažeidimų analizė;

17.4. liekamosios rizikos vertinimas.

18. Atsižvelgdamas į rizikos įvertinimo ataskaitą, NORIS valdytojas prireikus tvirtina Rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

19. NORIS rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas NORIS valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai.

20. Pagrindiniai NORIS elektroninės informacijos saugos priemonių parinkimo principai:

20.1. saugos priemonių diegimo kaina turi atitikti saugomos informacijos vertę;

20.2. likutinė rizika turi būti sumažinta iki priimtino lygio;

20.3. kur galima, turi būti įdiegtos prevencinės elektroninės informacijos saugos priemonės.

21. Siekiant užtikrinti NORIS nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę, ne rečiau kaip kartą per metus organizuojamas IT saugos atitikties vertinimas, kurio metu:

21.1. įvertinama saugos politikos įgyvendinimo dokumentų ir realios informacijos saugos atitiktis;

21.2. inventorizuojama NORIS techninė ir programinė įranga;

21.3. patikrinama ir įvertinama NORIS administratoriui ir naudotojams suteiktų teisių ir vykdomų funkcijų atitiktis;

21.4. įvertinamas pasirengimas užtikrinti NORIS veiklos tęstinumą įvykus saugos incidentui.

22. Atlikus IT saugos atitikties įvertinimą, rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato NORIS valdytojas.

23. IT saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano kopijas NORIS valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai.

III. NORIS ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

24. NORIS atitinka saugos nuostatų 11 punkte nurodytuose teisės aktuose numatytus saugos reikalavimus.

25. NORIS programinės įrangos, skirtos apsaugoti informacinę sistemą nuo kenksmingos programinės įrangos, ir kitos programinės įrangos įdiegtos kompiuteriuose ir tarnybinėse stotyse naudojimo nuostatos, tinklo filtravimo įrangos, leistinos kompiuterių naudojimo ribos ir metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą, pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai, konkrečiai nustatomi ir reguliuojami CPVA IS saugaus elektroninės informacijos tvarkymo taisyklėse.

26. Kiekvienas NORIS administratorius ir naudotojas atsako už elektroninės informacijos, kuri jam prieinama naudojant NORIS, tvarkymo teisėtumą ir tvarkomų duomenų saugą.

IV. NORIS REIKALAVIMAI PERSONALUI

27. NORIS administratorius ir naudotojai privalo turėti pagrindinius darbo su kompiuteriu įgūdžius, turi būti susipažinę su šiais saugos nuostatais, Bendruoju duomenų apsaugos reglamentu ir kitais saugos politiką įgyvendinančiais dokumentais.

28. Tvarkyti NORIS duomenis gali tik NORIS administratorius ir naudotojai, pasirašę pasižadėjimą saugoti asmens duomenų paslaptį ir susipažinę su NORIS nuostatais, NORIS saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais. Ši pareiga galioja ir perėjus dirbti į kitas pareigas arba pasibaigus darbo, sutartiniams ar kitiems santykiams.

29. NORIS administratorius ir naudotojai privalo rūpintis tvarkomos informacijos saugumu.

30. Saugos įgaliotinis privalo išmanyti informacinių sistemų administravimo ir elektroninės informacijos saugos principus, elektroninės informacijos užtikrinimo metodus ir kitus Lietuvos Respublikos ir Europos Sąjungos teisės aktus ir standartus reglamentuojančius saugų duomenų tvarkymą, sugebėti įgyvendinti ir prižiūrėti NORIS saugą.

31. NORIS saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos skyrimo praėję mažiau kaip vieni metai.

32. NORIS administratorius turi išmanyti elektroninės informacijos saugos principus, darbą su operacinėmis sistemomis, duomenų bazių administravimo pagrindus, turi būti susipažinęs su NORIS saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais. Administratorius privalo sugebėti užtikrinti techninės ir programinės įrangos nepertraukiamą funkcionavimą, stebėti techninės ir programinės įrangos veikimą, atlikti techninės ir programinės įrangos profilaktinę priežiūrą, nustatyti ir šalinti sutrikimus.

V. NORIS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

33. NORIS administratoriaus ir naudotojų supažindinimo su saugos dokumentais tvarka principai:

33.1. už NORIS administratoriaus ir naudotojų supažindinimą su NORIS saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais ir atsakomybe už šių reikalavimų nesilaikymą yra atsakingas NORIS saugos įgaliotinis;

33.2. NORIS administratorius ir naudotojai su saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais bei atsakomybe už šių reikalavimų nesilaikymą pirmą kartą supažindinami pasirašytinai;

33.3. pakartotinai su NORIS saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais NORIS administratorius ir naudotojai supažindinami tik iš esmės pasikeitus NORIS arba informacijos saugą reglamentuojantiems teisės aktams;

33.4. saugos įgaliotinis periodiškai inicijuoja NORIS administratoriaus ir naudotojų supažindinimą su NORIS saugos politiką įgyvendinančiais dokumentais, informuoja apie jų pakeitimus (priminimai elektroniniu paštu, atmintinės priimtiems naujiems darbuotojams ir pan.) ir atsakomybę už šiuose dokumentuose nustatytų reikalavimų nesilaikymą;

33.5. saugos įgaliotinis gali inicijuoti NORIS administratoriaus ir naudotojų mokymą elektroninės informacijos saugos klausimais.

34. NORIS saugos įgaliotinis, administratorius, naudotojai, pažeidę saugos nuostatų ar kitų saugos politiką reguliuojančių teisės aktų reikalavimus, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.