1. Įstatymų projektų rengimą paskatinusios priežastys, parengtų projektų tikslai ir uždaviniai

Šiuo metu galiojančiame Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme (toliau – Įstatymas) valstybės informacinių išteklių (toliau – VII) kūrimo, valdymo ir tvarkymo principai iš esmės nesikeitė nuo 2011 metų, kai buvo priimtas Įstatymas ir jo įgyvendinamieji teisės aktai. Pasaulio ir valstybės mastu per šį laikotarpį buvo pasiekta milžiniška technologinė pažanga. Dėl šiuolaikinių informacinių technologijų (toliau – IT) tendencijų neatitinkančio ir pasenusio teisinio reguliavimo nėra galimybių naudotis privataus sektoriaus teikiamomis IT paslaugomis ir IT sprendiniais, įgyvendinti gerąją IT ir duomenų valdysenos, valdymo ir tvarkymo praktiką, o kuriant VII remtis šiuolaikiškais IT architektūros sprendiniais, inovatyviomis IT paslaugomis ir technologijomis.

Šie tobulintini VII valdymo aspektai atskleidžiami ir Lietuvos Respublikos valstybės kontrolės atliktų valstybinių auditų ataskaitose:

·   2018 m. birželio 28 d. valstybinio audito ataskaitoje „Ypatingos svarbos valstybės informacinių išteklių valdymas“^[1] nurodoma:

˗    viešojo sektoriaus subjektų IT valdymo branda per paskutinius dešimt metų vidutiniškai siekė pirmąjį brandos lygį iš penkių, o šiuo metu fiksuojamas 1,7 vidutinis IT valdymo brandos lygis;

˗    šalies mastu neveikia VII svarbos nustatymo kontrolės mechanizmas;

˗    nėra sukurta nacionalinė informacinė architektūra;

˗    nepatikima IT veiklos efektyvumo matavimo sistema, nesudaromos galimybės įvertinti IT veiklos efektyvumo;

˗    šalies mastu nežinoma kokia yra IT valdymo būklė.

·   2021 m. gruodžio 6 d. valstybinio audito ataskaitoje Nr. VAE-7 „Registrų centro tvarkomi valstybės informaciniai ištekliai“^[2] nurodoma:

˗    VII valdytojai nedalyvauja priimant strateginius VII plėtros sprendimus;

˗    neatlygintinų duomenų gavėjai, turintys galimybę gauti duomenis automatiniu „sistema-sistema“ būdu, ne visais atvejais juo naudojasi ir renkasi brangesnį būdą (JAR išplėstinių išrašų teikimas – 270 tūkst. Eur lyginant su 2,9 tūkst. Eur, jei būtų taikomas „sistema–sistema“ būdas).

˗ 2022 m. spalio 27 d. valstybinio audito ataskaitoje Nr. VAE-10 „Kibernetinio saugumo užtikrinimas“^[3] nurodoma, kad nėra konsoliduota kibernetinio saugumo, VII saugos ir elektroninės informacijos saugos teisinė bazė. Skirtinguose ir skirtingo lygmens teisės aktuose (Lietuvos Respublikos įstatymuose, Lietuvos Respublikos Vyriausybės nutarimuose, ministrų įsakymuose) išdėstyti reikalavimai kibernetiniam saugumui, VII saugai ir elektroninės informacijos saugai užtikrinti yra tapatūs, kas dar labiau apsunkina jų įgyvendinimą kibernetinio saugumo subjektams, valdantiems ir (ar) tvarkantiems VII.

Minėtos Įstatymo taikymo problemos paskatino Lietuvos Respublikos ekonomikos ir inovacijų ministeriją ne tik inicijuoti Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo Nr. XI-1807 pakeitimo įstatymo projekto (toliau – VIIVĮ projektas) rengimą, bet ir įgalino sistemiškai peržiūrėti bei įvertinti su kitiems ministrams pavestomis valdymo sritimis susijusius įstatymus ir inicijuoti bendrą VII valdymo reformą.

Pagrindinis VIIVĮ projekto tikslas – įtvirtinti kokybiškai naują VII valdysenos, valdymo ir tvarkymo modelį, kuris padėtų pasiekti šių esminių teisinių, vadybinių, technologinių ir finansinių pokyčių bei planuojamų rezultatų:

1.    Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo Nr. XI-1807 1, 3, 4, 5, 6, 18, 22, 30, 39, 43², 43³ straipsnių pakeitimo ir 7 straipsnio pripažinimo netekusiu galios įstatymo Nr. XIV-1077 14 straipsnio pakeitimo ir 13 straipsnio pripažinimo netekusiu galios įstatymo projektas (toliau – VIIVĮ pakeitimo projektas);

2.    Lietuvos Respublikos oficialiosios statistikos ir valstybės duomenų valdysenos įstatymo Nr. I-270 5 ir 24 straipsnių pakeitimo įstatymo projektas;

3.    Lietuvos Respublikos kibernetinio saugumo įstatymo Nr. XII-1428 1, 2, 5, 6, 8 ir 12 straipsnių pakeitimo ir Įstatymo papildymo VII skyriumi įstatymo projektas (toliau – KSĮ projektas);

4.    Lietuvos Respublikos valstybės ir savivaldybių įmonių įstatymo Nr. I-722 13 ir 15 straipsnių pakeitimo įstatymo projektas (toliau – VSĮĮ projektas).

Numatoma, kad visi minėti įstatymų projektai įsigalios 2024 m. sausio 1 d.

2. Įstatymų projektų iniciatoriai (institucija, asmenys ar piliečių įgalioti atstovai) ir rengėjai

Projekto iniciatorė – Lietuvos Respublikos ekonomikos ir inovacijų ministerija.

Projektą parengė Tarpinstitucinė darbo grupė^[4] (Tarpinstitucinės darbo grupės pirmininkė - Ekonomikos ir inovacijų ministerijos Skaitmeninės darbotvarkės departamento direktorė Diana Seredokaitė, tel. 8 660 93 901, el. p. [email protected]).

3. Kaip šiuo metu yra reguliuojami Įstatymų projektuose aptarti teisiniai santykiai

Dėl kibernetinio saugumo, VII ir elektroninės informacijos saugos

Šiuo metu Įstatymas reguliuoja ne tik VII valdymą, bet ir kibernetinio saugumo, VII ir elektroninės informacijos saugą, Saugiojo tinklo ir saugos įgaliotinio veiklą, nors tai turėtų būti Kibernetinio saugumo įstatymo reguliavimo dalykai, remiantis Lietuvos Respublikos Vyriausybės 2010 m. kovo 24 d. nutarimo Nr. 330 „Dėl ministrams pavedamų valdymo sričių“, 1.4.4 papunkčiu, kuriame nustatyta, jog kibernetinis saugumas, VII sauga ir elektroninės informacijos sauga yra krašto apsaugos ministrui pavesta valdymo sritis.

Taigi, Įstatyme ir Kibernetinio saugumo įstatyme nėra atskirtos dviejų ministrų valdymo sritys, susijusios su VII valdymo ir kibernetinio saugumo bei saugos teisiniu reguliavimu. Tai prieštarauja ir Lietuvos Respublikos Vyriausybės įstatymo 26 straipsnio 1 dalies nuostatoms, kurios nustato, jog ministrai yra atsakingi už jiems pavestas valdymo sritis. Nesant atskirtos ministrų kompetencijos minėtose valstybės politikos formavimo srityse bei aiškios takoskyros tarp šių dviejų įstatymų teisinio reguliavimo nuostatų, praktikoje nuolat kyla taikymo problemų dėl įstatymų normų dubliavimosi ir tarpusavio konkurencijos, taip pat nesutarimų dėl ministrų kompetencijos ir ministerijų funkcijų atlikimo.

Problemų sukelia tai, kad pagal galiojantį Įstatymą už VII saugą, saugos įgaliotinio ir Saugiojo tinklo veiklą (valdytoju laikomas tas subjektas, kuris nustato kito subjekto veiklos tikslus ir priemones, o ne formaliai įvardijamas jo valdytoju) praktiškai tampa atsakingas nebe krašto apsaugos, o ekonomikos ir inovacijų ministras, nors VII saugos ir kibernetinio saugumo politika yra krašto apsaugos ministro valdymo sritis. Taigi, Saugiojo tinklo veiklą reglamentuojant Įstatymu, jo veiklos tikslus ir priemones nustato ekonomikos ir inovacijų ministras, nors Saugiojo tinklo pagrindiniai veiklos tikslai – teikti standartines elektroninių ryšių ir kibernetinio saugumo paslaugas bei užtikrinti valstybės institucijų mobilizacinių užduočių vykdymą. Todėl šiuo atveju ekonomikos ir inovacijų ministras, kurio valdymo sritis yra VII politikos formavimas, esant jo valdymo srities Įstatyme nustatytai Saugiojo tinklo veiklai yra priverstas prisiimti atsakomybę ir už krašto apsaugos ministrui pavestos valdymo srities politikos formavimą, ir tuo pačiu pažeisti Vyriausybės įstatymą.

Dėl sąvokų

Šiuo metu Įstatyme apibrėžtos sąvokos neatitinka įvykusių pokyčių IT ir duomenų valdysenos, valdymo ir tvarkymo veiklose. Iš Įstatyme apibrėžtų 20 sąvokų, tokios kaip integrali registrų sistema, registro valdytojas ir registro tvarkytojas, registro duomenys ir registro informacija neteko aktualumo ir jų būtina atsisakyti. Likusios Įstatymo sąvokos buvo tikslintinos arba keistinos naujomis. Be kita ko, Įstatyme neapibrėžta nemaža dalis naujų aktualių IT ir duomenų valdysenos, valdymo ir tvarkymo veiklose vartojamų sąvokų.

Dėl VII valdymo politikos formavimo ir įgyvendinimo

Nors svarbių valstybės funkcijų vykdymas vis labiau priklauso nuo IT naudojimo, tačiau vis dar išlieka žemas institucijų VII valdymo brandos lygis. Kaip nurodoma 2018 metais atlikto valstybinio audito ataskaitoje „Ypatingos svarbos valstybės informacinių išteklių valdymas“, viešojo sektoriaus subjektų IT valdymo branda per paskutinius dešimt metų vidutiniškai siekė 1 brandos lygį iš 5, o šiuo metu fiksuojamas 1,7 vidutinis IT valdymo brandos lygis. Žemas ypatingos svarbos VII valdymo brandos lygis rodo VII politikos formavimo, ją formuojančių ir įgyvendinančių institucijų įgalinimo trūkumus, kas savaime sudaro sąlygas didesniam šių VII pažeidžiamumui.

Įstatyme įtvirtinta VII valdymo politikos institucinė sąranga, šią politiką formuojančių ir įgyvendinančių institucijų funkcijos neapima naujam VII valdysenos ir valdymo modeliui įgyvendinti būtinų aspektų – IT paslaugų teikimo valdymo, IT valdysenos ir valdymo, duomenų valdysenos reguliavimo ir pan. Naujam VII valdymo modeliui įgyvendinti būtina peržiūrėti institucijų, kurios šiuo metu formuoja ir įgyvendina VII valdymo politiką, funkcijas, į VII valdysenos ir valdymo ekosistemą įtraukti naujus dalyvius, nustatyti jų funkcijas, teises, pareigas, vaidmenis ir atsakomybes.

Dėl duomenų ir IS valdymo ir tvarkymo

Pagal šiuo metu Įstatyme įteisintą registro sampratą registras nuo valstybės IS skiriasi tik jame apdorojamų duomenų paskirtimi. Tačiau praktiškai registras savo nuostatuose yra aprašomas ir jo veikla nustatoma kaip tam tikro duomenų rinkinio ar rinkinių (objekto ar objektų) registravimo pagrindai, sąlygos ir tvarka. Kitaip tariant, registro veikla yra aprašoma kaip duomenų tvarkymo tvarka, t. y. tik kaip dalis IS, o ne jos visuma. Šiuo metu registrų nuostatuose yra tik fragmentiškai aprašomos (arba iš viso neaprašomos) pačios IT priemonės ir IT sprendiniai, kurių pagalba tvarkomi registrų duomenys, ir IS, kuriose šie duomenys tvarkomi. Nors registras iš esmės veikia kaip IS, Įstatyme registrams ir valstybės IS nustatyti skirtingi steigimo procesai, gyvavimo ciklai ir valdymo reikalavimai

Kaip žinia, bet kuri IS turi savo gyvavimo ciklą, apimantį steigimą, kūrimą, veikimą, tobulinimą (atnaujinimą) ir likvidavimą. Šiuo metu registro tobulinimo stadija apima tik registro reorganizavimą, tačiau Įstatyme nenumatyti atvejai, jei atsirastų papildomų duomenų tvarkymo poreikių, kurie iš esmės keistų registre įdiegtus duomenų tvarkymo procesus ir juos palaikančius IT sprendinius. Valstybės IS tobulinimo stadija apima tik sistemos modernizavimą,  tačiau kiti procesai, kai valstybės IS sujungiamos ar išskaidomos arba keičiasi valstybės IS valdytojas ir (ar) jos tvarkytojas, Įstatyme nėra reglamentuoti. Be kita ko, Įstatyme nenustatyta, kokių veiksmų reikėtų imtis, kai akivaizdžiai paseno registro ar valstybės IS technologijos arba jos yra toliau gamintojų nebepalaikomos.

Pagal galiojančio Įstatymo nuostatas registrai steigiami ir jų nuostatai tvirtinami Vyriausybės nutarimais, todėl registrų steigimas tapo ilgai trunkančiu biurokratiniu procesu..

Įstatyme nustatyta, kad registro ar valstybės IS organizacinę struktūrą sudaro registro ar valstybės IS valdytojas ir tvarkytojas (tvarkytojai). Duomenų valdytojo registro ar valstybės IS organizacinėje struktūroje nėra. Dėl šios priežasties institucijos, siekdamos turimus duomenis tvarkyti IT priemonėmis, kiekvienam duomenų rinkiniui tvarkyti nuolat steigia vis naujas IS, dėl ko sparčiai didėja IS skaičius^[5], o ne plečiami jau veikiančių IS funkcionalumai.

Taigi, turint virš 400 įsteigtų registrų ir IS, sunku sukontroliuoti, ar institucijos laikosi VII kūrimo ar duomenų tvarkymo reikalavimų (pvz., ar tinkamai užtikrintas registrų ir valstybės IS sąveikumas, pakartotinai nekuriami kitų institucijų sukurti IT sprendiniai, ar nedubliuojamas tų pačių duomenų tvarkymas ir pan.). Valstybės IS steigimo tikslu laikomas tik IT įrankio sukūrimas, kuris, nepertvarkius institucijos veiklos procesų, neduoda laukiamo efekto ir neleidžia pasiekti reikalingų veiklos rezultatų

Įstatyme nėra jokių aiškesnių nuostatų dėl VII turto apskaitos, todėl praktikoje susidarė situacija, kai didelė dalis VII sudarančio valstybės materialiojo ir nematerialiojo turto apskritai nėra apskaitoma.

Dėl atlyginimo už registrų objektų registravimą, IS tvarkomų duomenų teikimą ir apskaičiavimo bei patirtų sąnaudų finansavimo

Įstatyme įtvirtintas teisinis reguliavimas sukūrė sudėtingą ir ilgą dėl neatlygintino registro objekto registravimo ir duomenų teikimo patirtų sąnaudų kompensavimo procedūrą. Registro ar valstybės IS tvarkytojo apskaičiuotą kompensuojamųjų sąnaudų dydį turi patikrinti auditorius. Informacija apie kompensuojamųjų sąnaudų dydį kartu su auditoriaus atlikto patikrinimo ataskaita turi būti pateikta priežiūros institucijai įvertinti. Gavus pastarosios išvadą, informacija apie prašomų kompensuoti sąnaudų dydį pateikiama registro ar valstybės IS valdytojui ir, tik tada, registro ar valstybės IS tvarkytojui gali būti skirtos valstybės biudžeto lėšos. Šios procedūros trunka nuo kelių mėnesių iki pusės metų ir ilgiau.

Ne mažiau sudėtinga ir daug laiko reikalaujanti yra ir atlyginimo už registro objekto registravimo ir duomenų teikimo paslaugas nustatymo procedūra.

Šiuo metu Įstatyme nėra nuostatų, reguliuojančių atlyginimo ir kitus su duomenų tvarkymu susijusius veiksmus apskaičiavimą bei patiriamų sąnaudų kompensavimą. Be kita ko, Įstatyme nenumatyta, kaip turėtų būti apskaičiuojamas atlyginimas už naują objekto registravimo veiklą ir (ar) naują IS tvarkomų duomenų teikimo veiklą, kuri atsiranda po to, kai yra patvirtinti atlyginimo už objektų registravimą registre ir (ar) IS tvarkomų duomenų teikimą dydžiai.

Dėl IT paslaugų valdymo pokyčių

Šiuo metu Įstatyme neįtvirtintas IT paslaugų valdymo modelis, todėl institucijos veikia savarankiškai. Kadangi institucijų IT valdymo branda nėra aukšta, praktikoje kyla problemų. Esama VII valdymo struktūra valstybės ir institucijų lygmeniu neatitinka IT paslaugų valdymo standartų ir gerųjų praktikų (pvz., COBIT, ITIL, TOGAF, lankstus (angl. Agile) projektų valdymas, ISO standartai, kt.). Todėl nėra suformuota IT valdysenos struktūra, IT veikla organizuojama funkcijų vykdymo principu, neturi aiškių veiklos rodiklių, planuojama ir įgyvendinama fragmentiškai, VII plėtra vykdoma pagal atskirų institucijų poreikius, neišvengiant IT sprendinių dubliavimo ir neracionaliai naudojant IT plėtrai ir tobulinimui skirtas valstybės biudžeto lėšas.

Dėl duomenų centrų naudojimo

Pagal Įstatymo 43³ straipsnio nuostatas institucijos, įrašytos į Saugiojo tinklo naudotojų sąrašą, turi teisę laikyti savo valdomus VII valstybiniuose duomenų centruose. Tačiau 2022 metais Lietuvos Respublikos Seimas priėmė Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 1, 3, 4, 5, 6, 18, 22, 30, 39, 43², 43³ straipsnių pakeitimo ir 7 straipsnio pripažinimo netekusiu galios įstatymą, kuriuo 2024 m. sausio 1 d. pasikeis Įstatymo 43³ straipsnio nuostatos. Vadovaujantis Įstatymo 43³ straipsnio 1 ir 2 dalių nuostatomis, įsigaliosiančiomis 2024 m. sausio 1 d., valstybiniais duomenų centrais privalės naudotis tie Saugiojo tinklo naudotojai, kurie valdo ypatingos svarbos ir svarbius VII. Saugiojo tinklo naudotojai, kurie valdo vidutinės ir mažos svarbos VII galės patys pasirinkti, kur laikyti savo valdomus ir (ar) tvarkomus VII.

Dėl kibernetinio saugumo, VII ir elektroninės informacijos saugos

Įvertinant tai, kad kibernetinis saugumas, VII ir elektroninės informacijos sauga (toliau kartu – kibernetinis saugumas) nėra šio Įstatymo reguliavimo dalykas, siūloma nuostatas dėl VII saugos, saugos įgaliotinio ir Saugiojo tinklo veiklos perkelti į Kibernetinio saugumo įstatymą. Tuo labiau, kad Saugiojo tinklo pagrindiniai veiklos tikslai yra teikti standartines elektroninių ryšių, kibernetinio saugumo paslaugas ir užtikrinti valstybės institucijų mobilizacinių užduočių vykdymą. Be to, remiantis krašto apsaugos ministro 2018 m. vasario 7 d. įsakymo „Dėl Saugiojo valstybinio duomenų perdavimo tinklo nuostatų patvirtinimo“ 5 punktu ir 7.4 papunkčiu Saugiojo tinklo tikslas yra sudaryti sąlygas saugiai ir efektyviai keistis informacija ir teikti priemones perduodamų duomenų saugumui užtikrinti.

Pažymėtina, kad Kibernetinio saugumo įstatymas keičiamas tik ta apimtimi, kiek tai yra neatsiejamai susiję su VII valdymo ir kibernetinio saugumo teisinio reguliavimo nuostatų atskyrimu bei jų perkėlimu iš vieno įstatymo į kitą. Todėl KSĮ projekto siūlomais pakeitimais nesiekiama pilnai konsoliduoti kibernetinio saugumo, VII ir elektroninės informacijos saugos teisės aktų, įvertinant tai, kad remiantis Vyriausybės 2010 m. kovo 24 d. nutarimo Nr. 330 „Dėl ministrams pavedamų valdymo sričių“, 1.4.4 papunkčiu, kibernetinio saugumo ir VII saugos politika yra krašto apsaugos, o ne ekonomikos ir inovacijų ministro valdymo sritis.

KSĮ projektu siekiama tik perkelti ir laikinai užpildyti šiuo metu esamas akivaizdžias teisinio reguliavimo spragas ir iš to kylančias taikymo problemas. KSĮ projektu sudaromos teisinės prielaidos tolesniam kibernetinio saugumo ir saugos teisės aktų konsolidavimui ir teisinio reguliavimo tobulinimui, siekiant užtikrinti kibernetinio saugumo politikos vientisumą ir sudaryti teisines sąlygas sėkmingai į nacionalinę teisės sistemą perkelti 2022 m. gruodžio
14 d. Europos Parlamento ir Tarybos direktyvos (ES) 2022/2555 dėl priemonių aukštam bendram kibernetinio saugumo lygiui visoje Sąjungoje užtikrinti, kuria iš dalies keičiamas Reglamentas (ES) Nr. 910/2014 ir Direktyva (ES) 2018/1972 ir panaikinama Direktyva (ES) 2016/1148 (toliau – TIS2 direktyva) nuostatas.

Atsižvelgiant į tai, kas išdėstyta, kartu su VIIVĮ projektu yra teikiamas ir KSĮ projektas.

Dėl sąvokų

Norint įgyvendinti naują VII valdysenos, valdymo ir tvarkymo modelį, turi būti apibrėžtos su VII valdymu ir tvarkymu susijusios sąvokos. Todėl siekiant aiškumo, VIIVĮ projekto 2 straipsnyje naujai apibrėžiamos tokios sąvokos, kaip duomenys, duomenų gavėjas, duomenų teikėjas, duomenų valdytojas, duomenų tvarkytojas, duomenų valdysena, IS gyvavimo ciklas, organizacinė IT architektūra, IT infrastruktūra, IT paslauga, IT paslaugų katalogas, IT paslaugų teikėjas, IT paslaugų valdymas, IT platforma, IT priemonė, prieiga prie duomenų, skaitmeninimas, skaitmenizavimas ir kitos. Be kita ko, patikslinamos ir kitos Įstatyme apibrėžtos ir šiuo metu vartojamos sąvokos, siekiant, kad jos atitiktų VIIVĮ projektu siūlomą nustatyti teisinį reguliavimą.

Paaiškiname, kad siekiant išvengti ypatingai didelio naujai apibrėžiamų sąvokų kiekio VIIVĮ projekte yra apibrėžiamos tik esminės suteikiančios aiškumo ir turinčios pridėtinę vertę sąvokos. Dalis VIIVĮ projekte vartojamų vertinamojo pobūdžio formuluočių, kurios pagal savo pobūdį nėra laikytinos sąvokomis, arba vartojamos kituose įstatymuose ar tiesiogiai taikomuose Europos Sąjungos teisės aktuose, nėra apibrėžiamos. Pažymėtina, kad tokias formuluotes, kaip „specialios registravimo sąlygos“, „specialios asmens duomenų tvarkymo sąlygos“, „privataus sektoriaus subjektas“, „leistinas pelnas“, kurių turinys yra pakankamai aiškiai atskleidžiamas šį Įstatymą įgyvendinančiuose teisės aktuose, papildomai apibrėžti  būtų netikslinga. VIIVĮ projekte nurodyti duomenų teikimo būdai (automatinis, paketinis) taip pat nėra laikytini sąvokomis, todėl neapibrėžiami, įvertinant tai, kad jų turinys yra išsamiai atskleidžiamas Informacinės visuomenės plėtros komiteto direktoriaus įsakymuose.

Dėl VII valdymo politikos formavimo ir įgyvendinimo

Siekiant aukštesnės institucijų VII valdymo brandos, VIIVĮ projektu siūloma nustatyti kitokią VII valdymo politikos formavimo ir įgyvendinimo institucinę ir organizacinę struktūrą. Pagal Vyriausybės įstatymo 26 straipsnio 1 dalį ministrai yra atsakingi už jiems pavestas valdymo sritis, ką savo pateiktose išvadose nurodė Vyriausybės kanceliarijos Teisės grupė ir Lietuvos Respublikos vidaus reikalų ministerija. Įvertinant tai, VIIVĮ projekte atsisakoma ydingos praktikos, kai vienam ministrui pavesta VII politikos formavimo sritis (Vyriausybės 2010 m. kovo 24 d. nutarimo Nr. 330 „Dėl ministrams pavedamų valdymo sričių“ 1.11.3, 1.3.4, 1.4.4 ir 1.10.9 p.) yra skirtinguose įstatymuose per skirtingas funkcijas dirbtinai išskaidoma ir atskiromis dalimis padalinama kelioms ministerijoms. Todėl VIIVĮ projekte vietoj šiuo metu VII politiką formuojančių keturių ministerijų – Ekonomikos ir inovacijų ministerijos (VII ištekliai), Finansų ministerijos (valstybės duomenų valdysena), Krašto apsaugos ministerijos (VII sauga), Teisingumo ministerijos (registrų teisinis reguliavimas), – nustatoma, kad VII politiką formuoja Ekonomikos ir inovacijų ministerija.

VIIVĮ projekte iš esmės peržiūrėtos ir patikslintos VII valdymo politikos įgyvendinime dalyvaujančių ir šią politiką įgyvendinančių institucijų - ekonomikos ir inovacijų ministro įgaliotos institucijos (Informacinės visuomenės plėtros komiteto), Reglamento (ES) 2016/679^[6] taikymo priežiūrą atliekančios institucijos (Valstybinės duomenų apsaugos inspekcijos), Reglamento (EB) Nr. 223/2009 įgyvendinimą atliekančios institucijos (Valstybės duomenų agentūros)^[7] ir papildomai nustatomos archyvų ir dokumentų srities valstybinį administravimą įgyvendinančios institucijos (Lietuvos vyriausiojo archyvaro tarnybos) - funkcijos. Pažymėtina, kad siekiant užtikrinti tinkamą Įstatymo įgyvendinimą yra ypatingai stiprinamos ekonomikos ir inovacijų ministro įgaliotos institucijos (Informacinės visuomenės plėtros komiteto) kompetencijos ir funkcijos. VIIVĮ projektu ji įgalinama atlikti VII kūrimo, tobulinimo ir plėtros projektų įgyvendinimo priežiūrą, įvertinti ir nustatyti jų finansavimo poreikius, įvertinti VII kūrimo, tobulinimo ir plėtros projektais planuojamos veiklos atitiktį Įstatymo nustatytiems reikalavimams, rengti VII valdymo metodinių teisės aktų projektus, atlikti VII valdymo ir organizacinės IT architektūros įgyvendinimo stebėseną bei teikti subjektams nurodymus dėl pastebėtų neatitikimų ar trūkumų šalinimo.

Siekiant valstybėje optimaliai užtikrinti skaitmeninės transformacijos iniciatyvų koordinavimą ir jų įgyvendinimo priežiūrą Atvirų duomenų ir skaitmeninės transformacijos kompetencijų centro^[8] funkcijos VIIVĮ projekte taip pat peržiūrėtos ir atitinkamai priskirtos Ekonomikos ir inovacijų ministerijai ir ekonomikos ir inovacijų ministro įgaliotai institucijai (Informacinės visuomenės plėtros komitetui).

Siekiant stiprinti VII valdyseną ir valdymą valstybės ir instituciniu lygmeniu VIIVĮ projektu siūloma įteisinti valstybės ir institucijų skaitmeninimo įgaliotinius, nustatyti jų funkcijas ir apibrėžti atsakomybes. Įvertinant Specialiųjų tyrimų tarnybos veiklos specifiką ir VII valdymo veiklai keliamus skaidrumo ir korupcijos prevencijos uždavinius, institucinio skaitmeninimo įgaliotinio vaidmenį siūloma įteisinti ir korupcijos prevenciją atliekančioje institucijoje.

Praktika parodė, kad horizontalus VII valdymo politikos formavimas ir įgyvendinimas, dalyvaujant įvairioms suinteresuotoms institucijoms, reikalauja ne tik darbo patirties ir žinių skaitmeninimo, VII valdymo ir (ar) tvarkymo ir (ar) duomenų atvėrimo ir jų pakartotinio naudojimo srityse, bet ir politinės valios, strateginių sprendimų ir lyderystės. Lietuvos Respublikos susisiekimo ministerijoje 2015–2016 metais buvusi institucijos skaitmeninimo įgaliotinio skyrimo ir jo veiklos praktika parodė, kad šių funkcijų vykdymas negalint priimti politinių sprendimų neužtikrina tinkamo institucijos funkcijų skaitmeninimo srityje vykdymo ir neduoda apčiuopiamų veiklos rezultatų. Todėl VIIVĮ projektu siūloma valstybės skaitmeninimo įgaliotiniais ir instituciniais skaitmeninimo įgaliotiniais skirti politinio (asmeninio) pasitikėjimo valstybės tarnautojus.

Tuo pačiu siekiant užtikrinti VII valdymo politikos įgyvendinimo vientisumą VIIVĮ projektu siūloma pasitelkti ir įgalinti naujus nuolat visuomeniniais pagrindais veikiančius VII valdysenos, valdymo ir tvarkymo klausimais teikiančius ekonomikos ir inovacijų ministrui pasiūlymus organus – Tarybą ir Komitetą (šis nenagrinėtų individualių atvejų, susijusių su konkrečios institucijos duomenų valdymu ar tvarkymu, duomenų atvėrimu pakartotinai naudoti ir pan.). Kadangi VII valdymas yra horizontalus ir apimantis visų ministrų valdymo sritis, Taryba ir Komitetas taip pat yra sudaromi iš visų ministerijų ir kitų suinteresuotų institucijų atstovų. Tarybos pirmininku, įvertinat VII valdymo ir IT veiklos specifiką, skirtingai negu pagal Vyriausybės įstatymo 32 straipsnį ministerijoje sudaromos kolegijos pirmininku, yra skiriamas ne ekonomikos ir inovacijų ministras, kuris gali neišmanyti VII valdymo ir tvarkymo veiklos specifikos, neturėti reikalingos kompetencijos ir IT srities žinių, o valstybės skaitmeninimo įgaliotinio funkcijas atliekantis politinio (asmeninio) pasitikėjimo valstybės tarnautojas, turintis reikalingų žinių ir gebėjimų.

Siekiant užtikrinti Ekonomikos ir inovacijų ministerijai pavestų funkcijų VII valdysenos ir valdymo srityje įgyvendinimą, sudaroma visuomeniniais pagrindais nuolat veikianti Taryba, kuri teikia pasiūlymus ekonomikos ir inovacijų ministrui dėl skaitmeninimo ir skaitmenizavimo tikslų ir strateginių krypčių, VII kūrimo, tobulinimo ir plėtros prioritetų, jų finansavimo tikslingumo ir finansavimo poreikių bei biudžeto asignavimų skyrimo IS valdytojams nustatymo, organizacinės IT architektūros formavimo ir kitų VII valdymo problemų bei jų sprendimo.

Siekiant užtikrinti Ekonomikos ir inovacijų ministerijai pavestų funkcijų duomenų valdymo politikos srityje įgyvendinimą sudaromas visuomeniniais pagrindais nuolat veikiantis Komitetas, kuris teikia pasiūlymus ekonomikos ir inovacijų ministrui dėl strateginių duomenų, įskaitant ir valstybės duomenis, valdysenos ir valdymo klausimų, duomenų pakartotinio naudojimo problemų ir jų sprendimo, dėl Valstybės duomenų agentūros įgyvendinamos Valstybės duomenų valdysenos programos projekto ir jos tobulinimo, kitų aktualių duomenų, įskaitant ir asmens duomenis, tvarkymo IS klausimų.

Atkreiptinas dėmesys, kad panašūs patariamieji organai veikia ir kitose, su duomenų, IT ar jų saugumu susijusiose srityse (pvz., Kibernetinio saugumo taryba, veikianti pagal Kibernetinio saugumo įstatymo 7 straipsnį), Valstybės duomenų valdymo kolegija, veikianti pagal Oficialiosios statistikos ir valstybės duomenų valdysenos įstatymo 8 straipsnį ir pan.). Taip pat pagal iki 2022 metų galiojusį Įstatymo 7 straipsnį, kaip panašus patariamasis organas, aktyviai veikė ir Valstybės informacinių išteklių valdymo taryba, kurios veikla pasiteisino tuo metu, kai VII valdymo sritis buvo priskirta susisiekimo ministrui, o vėliau ją panaikinus, VII politikos formavimas valstybės lygiu tapo labai problematiškas ir fragmentiškas.

VIIVĮ projekte taip pat peržiūrėtos duomenų valdymo įgaliotinių funkcijos. Pažymėtina, kad jos iš esmės nėra keičiamos, o tik truputį tikslinamos, siekiant aiškiau reglamentuoti jais paskirtų asmenų dalyvavimą duomenų valdytojui įgyvendinant skaitmeninimą ir užtikrinant duomenų valdysenos tikslus. Institucijoms nenustatoma prievolė paskirti naujus duomenų valdymo įgaliotinius - anksčiau paskirti duomenų valdymo įgaliotiniai ir toliau galės vykdyti savo funkcijas, o esant poreikiui - planuoti savo kompetencijos ugdymą. Atitinkamai yra patikslintos VIIVĮ projekto „Baigiamosios nuostatos“ skyriaus nuostatos.

Dėl duomenų ir IS valdymo ir tvarkymo

VIIVĮ projektu siūloma pakeisti registro sąvoką, registrą apibrėžiant kaip duomenų rinkinį, kuriam nustatomos specialiosios registravimo sąlygos. Todėl VIIVĮ projekte IS suprantama, kaip programinės įrangos visuma, kuri skirta ir registrui (kaip duomenų rinkiniui), ir kitiems institucijų valdomiems duomenims (įskaitant ir institucijos vidaus administravimo duomenis) tvarkyti. Tokiu būdu visoms IS, nepriklausomai nuo to, kokie duomenys jose tvarkomi, būtų taikomi vienodi valdymo ir tvarkymo reikalavimai.

Pažymėtina, kad patys registrai, kaip duomenų rinkiniai, niekur nedingtų, o natūraliai ir nuosekliai taptų sudėtinėmis registrų IS dalimis. Tokiu būdu, pvz., Lietuvos Respublikos gyventojų registro įstatymas taptų Gyventojų registravimo įstatymu (analogiškai kaip ir šiuo metu galiojantis Lietuvos Respublikos civilinės būklės aktų registravimo įstatymas), o vietoj Lietuvos Respublikos gyventojų registro nuostatų atsirastų Gyventojų registro informacinės sistemos nuostatai, kuriuose be gyventojų registravimo ir duomenų teikimo tvarkos, papildomai būtų nustatyta ir informacinė, organizacinė, funkcinė, saugos bei technologinė struktūra, kurią sudarytų, pvz., civilinės būklės aktų registravimo, gyvenamosios vietos deklaravimo, asmenų be pilietybės ir užsieniečių, gyvenančių Lietuvos Respublikoje registravimo, asmens dokumentų išdavimo, asmens biometrinių duomenų tvarkymo, neveiksnių ir ribotai veiksnių asmenų registravimo posistemiai ir (ar) moduliai ir pan. Tuomet viename teisės akte būtų galima matyti pilną ir visapusiškai išbaigtą registro veikimo aprašymą ir jo veiklos organizavimo modelį. Analogiškai turėtų būti pertvarkomi ir aprašomi Juridinių asmenų registro (į Juridinių asmenų registro IS kartu įtraukiant ir JADIS, JANGIS, JAREP ir kitas susijusias veiklas), Nekilnojamojo turto registro, Nekilnojamojo turto kadastro (sujungiant nekilnojamuosius daiktus ir daiktines teises į juos bei šių daiktinių teisių apribojimus registruojančias IS ir kitus IT sprendimus bei su jais susijusias veiklas) ir kitų registrų veikimas ir veiklos organizavimas. Konkrečios registrų pertvarkos rekomendacijos bus pateikiamos Vyriausybės tvirtinamoje informacinių sistemų steigimo, kūrimo, atnaujinimo, pertvarkymo ir likvidavimo tvarkoje, nes tai yra įstatymo reguliavimo dalykas.

Pažymėtina, kad įgyvendinant VII valdymo reformą bus rengiami įsigaliosiančio Įstatymo įgyvendinamieji teisės aktai, vykdomos konsultacijos dėl šio Įstatymo ir jo įgyvendinamųjų teisės aktų taikymo, pateikiami konkretūs registrų pertvarkymo į registrų IS praktikos pavyzdžiai, todėl VII reformos įgyvendinimo procesas turėtų būti aiškus ir vykti sklandžiai. Tuo labiau, kad jai įgyvendinti yra numatytas pakankamai ilgas 3 metų laikotarpis.

Remiantis VIIVĮ projekto nuostatomis, registro kūrimas būtų inicijuojamas tiesiogiai taikomu Europos Sąjungos teisės aktu arba Lietuvos Respublikos įstatymu, kuriame, be kita ko, būtų nustatomos ir specialiosios asmens duomenų tvarkymo sąlygos. Paaiškiname, kad specialiosios asmens duomenų tvarkymo sąlygos registrų kūrimą inicijuojančiuose įstatymuose būtų nustatomos vadovaujantis Reglamentu (ES) 2016/679, nes valstybėms narėms suteikiama tam tikra veiksmų laisvė nustatyti savo taisykles, įskaitant ir sąlygas dėl specialių kategorijų asmens duomenų (neskelbtini duomenys) tvarkymo.

Pažymėtina, kad siekiant išvengti kitų įstatymų teisinio reguliavimo nuostatų dubliavimo šiame Įstatyme, VIIVĮ projekto 3 straipsnio 1 dalyje nustatoma, kad VII sudarantys asmens duomenys valdomi, tvarkomi vadovaujantis Reglamentu (ES) 2016/679, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymu ir kitais teisės aktais, nustatančiais asmens duomenų tvarkymo reikalavimus.

Siekiant supaprastinti IS steigimo procesą, VIIVĮ projektu siūloma įgalinti Vyriausybę nustatyti ir optimizuoti šį procesą jos tvirtinamoje Steigimo tvarkoje, siekiant VIIVĮ projekte išvengti įstatymui nebūdingų detalių teisinio reguliavimo nuostatų, joje pavedant IS, įskaitant ir registrų IS, nuostatus tvirtinti šių IS valdytojams. Taip pat VIIVĮ projekte yra peržiūrėtas, pakeistas, patikslintas IS gyvavimo ciklas ir atskirtas nuo duomenų gyvavimo ciklo, nes duomenys atsiranda anksčiau negu IT sprendinys ir (ar) įrankis jiems tvarkyti. Siekiant pašalinti šiuo metu egzistuojančias teisinio reglamentavimo spragas, VIIVĮ projektu siūloma IS gyvavimo ciklą papildyti pertvarkymo stadija.

Siekiant efektyviau valdyti ir tvarkyti VII, VIIVĮ projektu atskiriamas duomenų ir IS valdymo ir tvarkymo funkcijos. Šiuo tikslu buvo peržiūrėti VII valdysenos tikslai, valdymo ir tvarkymo principai. Taip pat VIIVĮ projektu siūloma suformuoti duomenų valdymui užtikrinti reikalingą organizacinę struktūrą, nustatant duomenų valdytojo (valdytojų) ir duomenų tvarkytojo (tvarkytojų) funkcijas bei apibrėžiant jų teises ir pareigas. Tokiu būdu sudaroma galimybė kelių registrų objektus ar kelių institucijų valdomus duomenis tvarkyti vienoje IS. Tikimasi, kad tai leis sumažinti steigiamų ir jau įsteigtų IS skaičių, o tai, savo ruožtu, teigiamai paveiks duomenų valdymo ir tvarkymo efektyvumą, paskatins duomenų tvarkymą skirtingose IS, IT platformose arba naudojant skirtingas IT priemones, taip pat paskatins ir supaprastins ir jų pakartotinį naudojimą.

Siekiant nustatyti ir apibrėžti bendrą VII valdymo politiką ir užtikrinti jos nuoseklų formavimą, įvertinant VIIVĮ projektu siūlomą naują VII sąvokos apibrėžtį, pagal kurią duomenys yra neatskiriama bet kurio VII ir tuo pačiu VII valdymo politikos formavimo dalis, siūloma nustatyti, kad visose IS tvarkomų duomenų valdysenos principus, valdymą ir tvarkymą bendrai nustato VIIVĮ, todėl kartu su VIIVĮ projektu teikiamas ir OSVDVĮ projektas. Pagal jį Valstybės duomenų valdysenos programą ir jos vykdymo ataskaitą tvirtina ekonomikos ir inovacijų ministras, nes valstybės duomenų (pagal OSVDVĮ valstybės duomenys yra Valstybės duomenų valdymo informacinės sistemos duomenys) valdysena yra neatsiejama VII sudarančių duomenų valdysenos dalis.

VIIVĮ projektu nustatoma, kad VII (duomenys ir IS) pagal juos sudarančių duomenų svarbą skirstomi į keturias rūšis: ypatingai svarbius, svarbius, vidutinės svarbos ir mažos svarbos. Vadovaujantis gerosiomis kitų šalių VII klasifikavimo praktikomis bei taikomais tarptautiniais standartais, VIIVĮ projektu siūloma VII sudarančių duomenų svarbą nustatyti pagal galimą duomenų prieinamumo, vientisumo ir konfidencialumo pažeidimo poveikį valstybei, institucijoms ir gyventojams, vadovaujantis konkrečiais poveikio vertinimo rodikliais ir jų stebėjimo kontroliniais lygiais. Poveikio vertinimo rodikliai ir jų stebėjimo kontroliniai lygiai nustatyti įvertinus egzistuojančią duomenų svarbos vertinimo praktiką. Ši praktika buvo suformuota pagal Elektroninės informacijos, sudarančios VII, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašą, patvirtintą Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios VII, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, ir galiojusį iki 2023 m. liepos 20 d. Vėliau dalis aktualių jo nuostatų buvo perkelti į šiuo metu VII svarbos vertinimą reglamentuojančius teisės aktus: Lietuvos Respublikos Vyriausybės 2023 m. liepos 19 d. nutarimą Nr. 576 „Dėl Valstybės informacinių išteklių svarbos vertinimo tvarkos aprašo patvirtinimo“ ir Ekonomikos ir inovacijų ministro 2023 m. liepos 19 d. įsakymą Nr. 4-418 „Dėl Valstybės informacinių išteklių svarbos vertinimo metodikos patvirtinimo“.

Pažymėtina, kad VII (išskyrus savivaldybių valdomus ir naudojamus jų savarankiškosioms funkcijoms įgyvendinti) yra valstybės turtas. Todėl VIIVĮ projekte siūloma įtvirtinti nuostatas, kad VII yra Lietuvos valstybės nuosavybė, kuri negali būti perleista nuosavybės teise kitiems asmenims. VII sudarančios IS, IT platformos ir IT priemonės valdomos, naudojamos ir jomis disponuojama Lietuvos Respublikos valstybės ir savivaldybių turto valdymo, naudojimo ir disponavimo juo įstatymo nustatyta tvarka.

VIIVĮ projektu buvo siūloma nustatyti, kad VII (išskyrus duomenis), kurie valdomi patikėjimo teise ir apskaitomi kaip materialusis ar nematerialusis turtas, įtraukia į apskaitą tas subjektas, kuris gauna ar įgyja teisę į šį turtą Valstybės ir savivaldybių turto valdymo, naudojimo ir disponavimo juo įstatymo nustatytais pagrindais. Tačiau Finansų ministerija tokiam siūlymui nepritarė, todėl buvo sutarta, kad Finansų ministerija pagal kompetenciją atitinkamai pakeis Viešojo sektoriaus finansinės atskaitomybės įstatymą Nr. X-1212 ir 2008 m. liepos 16 d. finansų ministro įsakymą Nr. 1K-238 „Dėl viešojo sektoriaus apskaitos ir finansinės atskaitomybės 13-ojo standarto patvirtinimo“.

Dėl atlyginimo už registrų objektų registravimą, IS tvarkomų duomenų teikimą ir apskaičiavimo bei patirtų sąnaudų finansavimo

Pažymėtina, kad tiek pagal galiojantį Įstatymą, tiek pagal VIIVĮ projektą būtent registro arba valstybės IS valdytojas metodiškai vadovauja registro tvarkytojui (tvarkytojams) ir koordinuoja registro ar valstybės IS funkcionavimą. Įvertinant tai, kad nors Ekonomikos ir inovacijų ministerija ir siūlė neperkelti dalies VII valdytojų funkcijų ir atsakomybės, susijusios su registrų ir valstybės IS valdymu, pvz., centralizuotai finansuoti VĮ Registrų centro patiriamas sąnaudas dėl neatlygintino registrų ir valstybės IS duomenų teikimo, VĮ Registrų centro savininko teises ir pareigas įgyvendinančiai institucijai, tačiau Teisingumo ministerija tokiam siūlymui kategoriškai nepritarė. Todėl VIIVĮ projekte atitinkamai yra praplečiamos IS ir duomenų valdytojų pareigos, kadangi būtent jie yra atsakingi už savo valdomų IS tvarkomų duomenų teikimo ir (ar) kitų su duomenų tvarkymu susijusių veiksmų atlikimą, ir tinkamai įgyvendindami šią funkciją, galės kontroliuoti teikiamų duomenų apimtį bei dėl neatlygintinai teikiamų duomenų registruojamų registro objektų patiriamas išlaidas, ko iš esmės pagal savo funkcijas ir kompetenciją negali atlikti VĮ Registrų centro savininko teises įgyvendinanti institucija.

Įvertinant Vyriausybės kanceliarijos pateiktą poziciją bei vadovaujantis subsidiarumo principu VIIVĮ projektu nustatoma, kad registrų ir (ar) valstybės informacinių sistemų atlyginimo dydžius pagal Vyriausybės nustatytą Atlyginimo apskaičiavimo tvarką tvirtina patys registrų ir (ar) valstybės informacinių sistemų valdytojai, įvertinant, kad tai yra viena iš esminių registro ir (ar) valstybės informacinės sistemos valdymo funkcijų.

Todėl VIIVĮ projektu siūloma nustatyti tik esmines nuostatas dėl atlyginimo už registro objekto registravimą, duomenų teikimą ir kitus su duomenų tvarkymu susijusius veiksmus dydžių apskaičiavimo bei dėl patirtų sąnaudų už neatlygintiną registro objekto registravimą, duomenų teikimą ir kitus su duomenų tvarkymu susijusius veiksmus finansavimo. Taip pat, atsižvelgiant į Teisingumo ministerijos pateiktus siūlymus, Vyriausybei suteikiama diskrecijos teisė Atlyginimo apskaičiavimo tvarkoje nustatyti lengvatų, dėl kurių taikymo patirtos sąnaudos yra finansuojamos iš valstybės biudžeto lėšų, taikymo įstatymuose nurodytoms tikslinėms asmenų grupėms tvarką. Išsami minėta Atlyginimo dydžių apskaičiavimo ir patirtų sąnaudų kompensavimo tvarka ir metodika bus tvirtinama Vyriausybės. Tokiu būdu būtų sudaryta galimybė greičiau ir lanksčiau tobulinti atlyginimo dydžių apskaičiavimo ir patirtų sąnaudų finansavimo modelį ir jo taikymo mechanizmą.

Kaip ir buvo minėta anksčiau, atsižvelgus į institucijų pateiktus siūlymus VIIVĮ projekte atsisakoma sudėtingo sąnaudų priskyrimo konkrečioms veikloms metodo. Siekiant dar labiau paspartinti minėtų atlyginimo dydžių apskaičiavimo ir patirtų sąnaudų finansavimo procedūras, kartu siūloma atsisakyti ir Ryšių reguliavimo tarnybos, kaip priežiūros institucijos, dalyvavimo minėtame sąnaudų vertinimo procese (pačios šios institucijos siūlymu). Tačiau VIIVĮ projekte paliekamos nuostatos, nustatančios, jog nustatant atlyginimo dydžius subjekto patirtų sąnaudų pagrįstumą ir toliau turės vertinti nepriklausomas auditorius ar audito įmonė.

VIIVĮ projektu siūloma nustatyti, kad registrų IS objektai būtų registruojami ir registrų IS tvarkomi duomenys būtų teikiami už atlyginimą, išskyrus VIIVĮ projekte numatytas išimtis ir tuos atvejus, jeigu kitaip būtų numatyta kituose VIIVĮ projekte nurodytuose teisės aktuose. Valstybės ir vidaus administravimo IS tvarkomi duomenys būtų teikiami neatlygintinai. Toks teisinis reglamentavimas iš esmės atitinka šiuo metu galiojančio Įstatymo nuostatas.

Skaitmenizuojant institucijų veiklą ir perkeliant jų funkcijas į elektroninę erdvę, neapsiribojama tik registrų IS objektų registravimu ir IS tvarkomų duomenų teikimu, nes daugeliu atvejų esama ir kitų betarpiškai su duomenų tvarkymu susijusių veiklų ar veiksmų, pvz., Antstolių IS elektroninių varžytinių paskelbimas, suformuotų nekilnojamojo turto kadastro bylų patikra ir pan. Atsižvelgiant į tai, VIIVĮ projektu siūloma reglamentuoti ir atlyginimo už kitus su duomenų tvarkymu susijusius veiksmus finansavimą.

Siekiant optimizuoti valstybės biudžeto lėšų skirstymo procesą ir atsižvelgiant į VĮ Registrų centro pateiktą siūlymą, VIIVĮ projektu siekiama nustatyti, kad tais atvejais, kai IS tvarkytojas ir (ar) duomenų tvarkytojas ar tvarkytojai pagal teisinę formą gali siekti pelno, Vyriausybės nustatyta Atlyginimo tvarka jiems bus galima iš karto sumažinti patirtų sąnaudų finansavimą mokėtina jų pelno įmokos suma. Įvertinant tai, kas išdėstyta, kartu su VIIVĮ projektu yra teikiamas ir VSĮĮ projektas.

Dėl IT valdymo pokyčių

VIIVĮ projektu siūloma nuo IT funkcijų pereiti prie IT paslaugų valdymo modelio, įvedama IT paslaugų samprata. Siekiant suvienodinti IT paslaugų valdymo procesus, VIIVĮ projektu reglamentuojamas IT paslaugų teikimas, apibrėžiamos IT paslaugų teikėjų funkcijos, teisės ir pareigos. Taip pat VIIVĮ projektu įtvirtinama, kad Vyriausybės nustatytų grupių IT paslaugos^[9] valstybės institucijoms ir įstaigoms būtų teikiamos centralizuotai, sudaroma galimybė Vyriausybei skirti daugiau nei vieną valstybės IT paslaugų teikėją; naujai reglamentuojamas  IT platformų naudojimas; Ekonomikos ir inovacijų ministerijai suteikiama teisė tvirtinti centralizuotai teikiamų IT paslaugų katalogą^[10] ir per IT platformas teikiamų IT paslaugų grupių sąrašą.

Numatoma, kad per IT platformas ir (ar) bendrąsias IS subjektams centralizuotai galėtų būti teikiamos tokių grupių IT paslaugos, kaip duomenų pseudonimų suteikimo ir nuasmeninimo, duomenų pakartotinio naudojimo (atvėrimo), duomenų analitikos, duomenų mainų, asmens tapatybės elektroninėje erdvėje nustatymo, dokumentų elektroninėje erdvėje pasirašymo, apmokėjimo už elektroniniu būdu suteiktas administracines ar viešąsias paslaugas, elektroniniu būdu teikiamų šių paslaugų konstravimo ir pan.

Dėl duomenų centrų naudojimo

VIIVĮ projektu iš esmės nėra keičiamas nuo 2024 m. sausio 1 d. įsigaliosiantis teisinis reglamentavimas dėl duomenų centrų naudojimo, o tik siūloma praplėsti ratą subjektų, kuriems šios nuostatos būtų taikomos, taip pat sudaryti teisines prielaidas valstybės duomenų centrų valdytojams tapti valstybės IT paslaugų teikėjais ir teikti Vyriausybės nustatytos tam tikros grupės IT paslaugas. Valstybiniais duomenų centrais privalėtų naudotis tie subjektai, kurie valdo ypatingos svarbos ir svarbius VII, o subjektai, kurie valdo vidutinės ir mažos svarbos VII, galės savo nuožiūra pasirinkti, kur laikyti savo valdomus VII – tai galės būti ir valstybiniai duomenų centrai, ir Saugiojo tinklo naudotojų valdomi duomenų centrai, ir privatūs Lietuvos Respublikos ar kitose Europos Sąjungos valstybėse narėse, Europos ekonominės erdvės valstybėse ir (ar) Šiaurės Atlanto Sutarties Organizacijos (NATO) valstybėse narėse esantys duomenų centrai (tuo atveju, jei vidutinės ir mažos svarbos VII būtų laikomi ne valstybiniame duomenų centre, šių VII kopijos Vyriausybės nustatyta tvarka bus laikomos valstybiniame duomenų centre).

Įvertinant Valstybės duomenų agentūros (toliau – VDA) 2023 m. spalio 17 d. rašte „Dėl valstybės informacinių išteklių laikymo valstybės duomenų centruose“ pateiktą prašymą spręsti problemą, kad Valstybės duomenų agentūra negalės nuo 2024 m. sausio 1 d. visa apimtimi įgyvendinti Įstatymo 43³ straipsnio nuostatų (pažymėtina, kad ši problema yra aktuali ir kitiems ypatingos svarbos VII valdytojams, kurie naudoja debesijos paslaugomis grįstus IT sprendinius šių VII funkcionavimui), VIIVĮ projektu siūloma sudaryti galimybes Vyriausybės nutarimu subjektams suteikti teisę ne valstybiniuose duomenų centruose laikyti ne tik savo valdomus svarbius, bet ir ypatingos svarbos VII. Nesant tokios galimybės taptų sudėtinga užtikrinti tolimesnį kai kurių VDA jau šiuo metu įgyvendinamų strateginių valstybės skaitmenizavimo ir skaitmeninimo iniciatyvų viešojo sektoriaus duomenų pakartotinio naudojimo ir duomenimis grįstų sprendimų priėmimo srityje įgyvendinimą (pvz., Strateginių rodiklių švieslenčių, Neteisėtos migracijos duomenų valdymo ir mainų aplikacijos; Klimato krizės stebėsenos švieslentės; Ukrainos karo pabėgėlių duomenų mainų tarp valstybės informacinių sistemų aplikacijų; Nacionalinio krizių valdymo centro realaus laiko švieslentės ekstremaliesiems įvykiams, ypatingiems įvykiams, ekstremaliosioms situacijoms ir krizėms stebėti; 43 valstybės informacinių sistemų ir (ar) registrų atvėrimo Lietuvos atvirų duomenų portale ir kt.). Be to, nebūtų galimybių tęsti šių įstatymų ir kitų teisės aktų įgyvendinimo ir teikti susijusių paslaugų valstybės institucijoms ir visuomenei:

·  Oficialiosios statistikos ir valstybės duomenų valdymo įstatymo, kiek jis susijęs su valstybės duomenų valdysena;

·    Lietuvos Respublikos pakartotinio sveikatos duomenų įstatymo;

·  Lietuvos Respublikos teisės gauti informaciją ir pakartotinio naudojimo įstatymo, kiek jis susijęs su centralizuotu viešojo sektoriaus duomenų, įskaitant didelės vertės duomenų rinkinius, atvėrimu;

·  2022 m. gegužės 30 d. Europos Parlamento ir Tarybos reglamento (ES) 2022/868 dėl Europos duomenų valdymo, kuriuo iš dalies keičiamas Reglamentas (ES) 2018/1724 (Duomenų valdymo akto), kiek jis susijęs su apsaugotųjų kategorijų duomenų rinkinių pakartotiniu panaudojimu ir bendru informaciniu punktu;

·  Lietuvos Respublikos Vyriausybės 2022 m. kovo 16 d. nutarimo Nr. 224 „Dėl laikinosios apsaugos Lietuvos Respublikoje užsieniečiams suteikimo“.

Atkreipiame dėmesį, kad Vyriausybė tokias išimtis nustatys atskirais nutarimais, remdamasi VII valdytojo pateikta VII įgyvendinimo alternatyvų analize, atlikta vadovaujantis VIIVĮ projekte nustatytais duomenų ir informacinių sistemų valdymo ir tvarkymo principais, VII rizikos įvertinimo ataskaita ir rizikos valdymo priemonių planu, bei atsižvelgdama į nacionalinio saugumo interesus. VII valdytojai šiais Vyriausybės nutarimais tuo pačiu bus įpareigojami periodiškai atlikti VII įgyvendinimo alternatyvų analizę, parengti rizikų įvertinimo ataskaitą ir rizikų valdymo priemonių planą, bei pateikti juos vertinti Vyriausybei. Pasikeitus ar nelikus aplinkybių, kurios suteikia teisę ypatingos svarbos ir svarbius VII ir jų kopijas laikyti ne valstybiniuose duomenų centruose, arba atsiradus force majore aplinkybėms, Vyriausybė pripažins netekusiais galios anksčiau priimtus nutarimus.

Svarbu atkreipti dėmesį, kad vadovaujantis VIIVĮ projekto 3 straipsniu, už Europos ekonominės erdvės ir (ar) NATO ribų esančiuose duomenų centruose talpinant VII sudarančius asmens duomenis turės būti laikomasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) ir Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatyme (toliau – Teisėsaugos ADTAĮ) nustatytų tinkamų asmens duomenų apsaugos priemonių.

Tais atvejais, kai asmens duomenys bus talpinami už Europos ekonominės erdvės ribų esančių valstybių duomenų centruose, papildomai turės būti laikomasi Reglamento (ES) 2016/679  V skyriuje ir (ar) Teisėsaugos ADTAĮ VII skyriuje nustatytų reikalavimų. Jeigu Europos Komisija nėra priėmusi sprendimų, jog už Europos ekonominės erdvės ribų esančios valstybės užtikrina tinkamo lygio apsaugą, tuomet jose esančiuose duomenų centruose talpinant asmens duomenis, be kitų Reglamento (ES) 2016/679 reikalavimų, bus privaloma taikyti vieną iš Reglamento (ES) 2016/679  46  ar 49 straipsnyje nurodytų priemonių, o Teisėsaugos ADTAĮ atveju – vieną iš 36–38  straipsniuose nurodytų priemonių. Šios nuostatos jau yra nustatytos ir bus nustatomos visuose Įstatymą įgyvendinančiuose teisės aktuose.

Atsižvelgiant į tai, kas išdėstyta, ir įvertinant tai, kad 2024 m. sausio 1 d. įsigalioja Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo Nr. XI-1807 1, 3, 4, 5, 6, 18, 22, 30, 39, 43², 43³ straipsnių pakeitimo ir 7 straipsnio pripažinimo netekusiu galios įstatymo Nr. XIV-1077, kartu su VIIVĮ projektu yra teikiamas ir VIIVĮ pakeitimo projektas.

Dėl kitų teisinio reguliavimo aspektų

VIIVĮ projekto 2 straipsniu Ekonomikos ir inovacijų ministerija įpareigojama atlikti įstatyme nustatyto galiojančio teisinio reguliavimo, susijusio su VII valdymu, poveikio ex post vertinimą. Atliekant ex post vertinimą, turi būti nustatyta, kokį poveikį šiame įstatyme nustatytos priemonės, susijusios VII valdymu, turėjo duomenų ir IS valdytojų ir tvarkytojų veiklai. Atlikdama ex post poveikio vertinimą, Ekonomikos ir inovacijų ministerija turėtų remtis šiais kriterijais: VII valdančių ir tvarkančių subjektų IT valdymo brandos lygio pokytis pagal COBIT (planuojama, kad 2028 metais šio rodiklio reikšmė bus 3), šiame įstatyme nurodytų institucijų, paskyrusių institucinius skaitmeninimo ir duomenų valdymo įgaliotinius, dalis, proc. (planuojama, kad 2028 metais šio rodiklio reikšmė bus 100 proc.), pagal šio įstatymo reikalavimus pertvarkytų registrų į registrų IS dalis, proc. (planuojama, kad 2028 metais šio rodiklio reikšmė bus 100 proc.), IS, kurioms atlikta akreditavimo procedūra, dalis, proc. (planuojama, kad 2028 metais šio rodiklio reikšmė bus 100 proc.). 

Poveikis atitinkamai sričiai (VII valdymui)

Neigiamas poveikis atitinkamai sričiai nenumatomas.

Tiesioginės numatomo teisinio reguliavimo pasekmės – įgyvendinus IT infrastruktūros konsolidavimo procesą ir užbaigus teikiamų IT paslaugų centralizavimo procesą, bendrus VII nuolat naudotų daugelis įvairių sričių institucijų. Tai sudarytų prielaidas išvengti darbų dubliavimo VII kūrimo ir tvarkymo srityje. Be to, įgyvendinus VIIVĮ projekto nuostatas tikimasi pasiekti tvarios IT infrastruktūros plėtros ir IS eksploatavimo, už tas pačias lėšas sukuriant nuo 20 proc. iki 35 proc. daugiau naudos, taip pat išspręsti decentralizuotos IT infrastruktūros valdymo problemas – užtikrinti tvarią ir koordinuotą institucijų IT ūkio plėtrą ir išnaudoti koordinuoto IT ūkio valdymo sinergiją.

Poveikis valstybės finansams

Bus reikalingos lėšos įgyvendinti šioms VIIVĮ projekto nuostatoms:

o IT paslaugoms centralizuotai teikti.

Dalis lėšų, reikalingų IT infrastruktūrai įsigyti ir institucijų valdomiems ir (ar) tvarkomiems registrams ir IS perkelti į centralizuotai valdomą IT infrastruktūrą, jau buvo skirtos iš 2014–2020 metų Europos Sąjungos fondų investicijų veiksmų programos 2 prioriteto lėšų. Be to, šiam tikslui planuojama skirti ir Ekonomikos gaivinimo ir atsparumo didinimo plano priemonių lėšų (Valstybės skaitmeninimo plėtros programos^[11] pažangos priemonės „Skatinti efektyvų valstybės informacinių išteklių valdymą“ lėšos, skirtos įgyvendinti reformą „Valstybės IT konsolidavimas ir valdymo pertvarka“).

Institucijų IT infrastruktūros konsolidavimą siekiama vykdyti iš valstybės biudžeto asignavimų, kurie iš IT infrastruktūros konsolidavimo procese dalyvausiančių institucijų biudžeto pagal galimybes perkeliami į Informacinės visuomenės plėtros komiteto, kuris Nutarimu Nr. 498^[12] yra paskirtas valstybės IT paslaugų teikėju, biudžetą.

o Valstybės ir institucinių skaitmeninimo įgaliotinių funkcijoms atlikti.

Pažymėtina, kad institucijų skaitmeninimo įgaliotinio funkcijoms atlikti institucijose ir ministerijose (išskyrus Ekonomikos ir inovacijų ministeriją) reikėtų skirti pusę papildomos arba esamos pareigybės darbo laiko. Tai reiškia, kad VIIVĮ projektu nesiūloma steigti naujų papildomų pareigybių, o nustatytas institucinio skaitmeninimo įgaliotinio funkcijas tiesiog siūloma pavesti vykdyti atitinkamam politinio (asmeninio) pasitikėjimo valstybės tarnautojui (nebent ministerijos turi laisvų pareigybių ir esant individualiems poreikiams ir pageidavimams norėtų jiems priskirti daugiau konkrečių funkcijų). Tuo atveju, jeigu institucijos turėtų laisvų pareigybių ir vis tik nuspręstų skirti po 0,5 etato dirbti atskirus tarnautojus, tuomet, remiantis Vidaus reikalų ministerijos pateiktais preliminariais skaičiavimais, visoms institucijoms kasmet reikėtų skirti apie 256 tūkst. Eur asignavimų darbo užmokesčiui.

o Teisingumo ministerijos funkcijoms, formuojant VII politiką, vykdyti.

Teisingumo ministerijos funkcijoms, formuojant VII politiką, vykdyti identifikuojamas 7 naujų pareigybių poreikis (5  - VII politikai formuoti ir 2 – administracinio reglamentavimo funkcijoms vykdyti), atsižvelgiant į Teisingumo ministerijos šiuo metu valdomų registrų ir valstybės IS svarbą, kiekį, veiklos dinamiką. Bendras biudžeto lėšų poreikis šių pareigybių išlaikymui kasmet būtų apie 191,9 tūkst. eurų.

Poveikis administracinei naštai.

Priimtas VIIVĮ projektas įtakos verslui tenkančiai administracinei naštai neturės.

______________________