| Dokumendiregister | Riigi IT Keskus |
| Viit | 5-7/22-36-1 |
| Registreeritud | 04.07.2022 |
| Sünkroonitud | 30.06.2026 |
| Liik | Leping |
| Funktsioon | 5 Riigihanked ja lepingute haldus |
| Sari | 5-7 Riigihangete dokumendid |
| Toimik | 5-7/22-13 Info- ja kommunikatsioonitehnoloogia turvalisuse testimine turvavigade ja -nõrkuste suhtes (248008) |
| Juurdepääsupiirang | Avalik |
| Adressaat | |
| Saabumis/saatmisviis | |
| Vastutaja | Mariliis Kannukene RIT |
| Originaal | Ava uues aknas |
| Taotle dokumendi eemaldamist või parandamist |
KONFIDENTSIAALSUSKOKKULEPE
Tallinnas, juuli 2022 a
Riigi Info- ja Kommunikatsioonitehnoloogia Keskus, (registrikoodiga 77001613) asukohaga
Lõõtsa 8a, 11415 Tallinn, keda põhimääruse alusel esindab direktor Ergo Tars (edaspidi RIT)
ja
Clarified Security OÜ, (registrikoodiga 12164540) asukohaga Lõõtsa 12, Tallinn, keda esindab
juhatuse liige Mehis Hakkaja (edaspidi Konfidentsiaalse informatsiooni saaja),
keda nimetatakse edaspidi pool või koos pooled, sõlmisid kokkuleppe informatsiooni
konfidentsiaalsuse tagamiseks (edaspidi kokkulepe), alljärgnevas:
1. Kokkulepe on sõlmitud seoses Riigi Info- ja Kommunikatsioonitehnoloogia Keskuse baasile
ligipääsu andmisega ning kõikide kokkuleppest tulenevate või muul alusel tekkinud õiguste
teostamisel ja kohustuste täitmisel Konfidentsiaalse informatsiooni saajale teatavaks saanud
teabe kaitse ja konfidentsiaalsuse tagamiseks. Pooled eeldavad, et kogu kokkuleppe alusel
teatavaks saanud informatsioon on konfidentsiaalne, va teave, mis on varem RIT poolt
avalikustatud.
2. Kokkuleppe allakirjutamisega kinnitab Konfidentsiaalse informatsiooni saaja, et ta:
2.1. kasutab saadud informatsiooni ja andmeid riigihanke „Info- ja
kommunikatsioonitehnoloogia turvalisuse testimine turvavigade ja -nõrkuste suhtes“
(viitenumber 248008) raames proovitöö tegemiseks ning pakkumuse koostamiseks;
2.2. on tutvunud ja kohustub täitma isikuandmete töötlemisalaseid nõudeid, andmete
turvalisust puudutavaid ning isikuandmete kaitse alaseid Euroopa Liidu ja Eesti Vabariigi
õigusakte ja muid eeskirju;
2.3. kohustub hoidma konfidentsiaalsena avaldamisele mittekuuluvat teavet ning
kokkuleppest tulenevate või muul alusel tekkinud õiguste teostamisel omandatud
informatsiooni;
2.4. hoidub talle teatavaks saanud informatsiooni või andmete kasutamisest iseenda ja/või
kolmandate isikute kasuks või mõne teise, RITi poolt teenindatava, asutuse kahjuks;
2.5. hoiab konfidentsiaalsena ja ei edasta ega avalda kolmandatele isikutele saadud
informatsiooni ega andmeid, sealhulgas isikuandmeid;
2.6. informeerib RIT-i viivitamatult ja kirjalikult taasesitatavas vormis talle kolmandate isikute
poolt esitatud päringutest või seaduslikust vajadusest avalikustada lepingus ettenähtud
teabekaitsekohustega kaitstavaid andmeid ja enne vastavale päringule vastamist;
2.7. teavitab RIT-i viivitamatult kokkuleppe esemeks olevate kohustuste täitmisega
seonduvatest takistustest, mis on tekkinud või tõenäoliselt võivad tekkida;
2.8. ei avalikusta ega kasuta mõne teise, RITi poolt teenindatava, asutuse vastu andmeid, mis
on Konfidentsiaalse informatsiooni saajale teatavaks saanud seoses lepinguliste või muul
alusel tekkinud õiguste teostamise ja kohustuste täitmisega;
2.9. kohustub koheselt teavitama RIT-i igast kahtlusest või ilmsiks tulnud olukorrast, mis võib
mõne teise, RITi poolt teenindatava, asutuse vara või õigusi või põhjustada nimetatud
asutuste mitteavaliku informatsiooni avalikuks tulekut;
2.10. kohustub rakendama järgmisi organisatsioonilisi, füüsilisi ja infotehnilisi turvameetmeid
teabe kaitseks juhusliku või tahtliku volitamata muutmise; juhusliku hävimise ja tahtliku
hävitamise eest ning õigustatud isikule andmete kättesaadavuse takistamise eest,
volitamata töötlemise, sh avalikustamise eest:
a. vältima kõrvaliste isikute ligipääsu isikuandmete töötlemiseks kasutatavatele
seadmetele;
b. ära hoidma andmete omavolilist lugemist, kopeerimist ja muutmist
andmetöötlussüsteemis, samuti andmekandjate omavolilist teisaldamist;
c. ära hoidma isikuandmete omavolilist salvestamist, muutmist ja kustutamist ning
tagama, et tagantjärele oleks võimalik kindlaks teha, millal, kelle poolt ja milliseid
isikuandmeid salvestati, muudeti või kustutati või millal, kelle poolt ja millistele
isikuandmetele andmetöötlussüsteemis juurdepääs saadi;
d. tagama, et igal andmetöötlussüsteemi kasutajal oleks juurdepääs ainult temale
töötlemiseks lubatud isikuandmetele ja temale lubatud andmetöötluseks;
e. tagama andmete olemasolu isikuandmete edastamise kohta: millal, kellele ja milliseid
isikuandmeid edastati, samuti selliste andmete muutusteta säilimise;
f. tagama, et isikuandmete edastamisel andmesidevahenditega ja andmekandjate
transportimisel ei toimuks isikuandmete omavolilist lugemist, kopeerimist, muutmist
või kustutamist;
g. pidama arvestust isikuandmete töötlemisel kasutatavate tema kontrolli all olevate
seadmete ja tarkvara üle, dokumenteerides järgmised andmed:
1) seadme nimetus, tüüp ja asukoht ning seadme valmistaja nimi;
2) tarkvara nimetus, versioon, valmistaja nimi ja kontaktandmed.
2.11 . kohustub teavitama RITi toimunud või põhjendatult kahtlustatavast
konfidentsiaalsuskohustuse ning turvameetmete rikkumisest, mis põhjustab, on
põhjustanud või võib põhjustada edastatavate, salvestatud või muul viisil töödeldavate
andmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise või loata
avalikustamise või neile juurdepääsu, kirjalikku taasesitamist võimaldavas vormis ilma
põhjendamatu viivituseta.
Isikuandmete töötlemise nõuete rikkumisel tuleb esitada teade, kus tuleb vähemalt:
a) kirjeldada (isikuandmetega seotud) rikkumise laadi, sh puudutatud
andmesubjektide liike ja arvu ning puudutatud kirjete liike ja arvu;
b) teatada andmekaitse töötaja ja tema kontaktandmed või muu kontaktpunkt, kust
saab lisateavet;
c) soovitada meetmeid (isikuandmetega seotud) rikkumise võimalike negatiivsete
mõjude leevendamiseks;
d) kirjeldada (isikuandmetega seotud) rikkumise tõttu andmesubjektidele tekkivaid
tagajärgi ja potentsiaalseid ohte;
e) kirjeldada välja pakutud või võetud meetmeid (isikuandmetega seotud)
rikkumisega tegelemiseks ja
f) esitada muud teavet, mis on mõistlikult nõutav, et Tellija saaks täita kohaldatavaid
andmekaitse õigusakte, sealhulgas riigiasutustega seotud teavitamise ja avaldamise
kohustusi, näiteks teavet, mis on nõutav andmesubjekti tuvastamiseks.
2.12 . kohustub RITi nõudmisel lõpetama punktis 2.11 nimetatud rikkumise ja kohaldama
meetmeid (isikuandmetega seotud) rikkumise lahendamiseks, sh vajaduse korral
rikkumise võimaliku kahjuliku mõju kõrvaldamiseks või leevendamiseks;
2.13 . kohustub andmetele ligipääsu õiguse lõppemisel kustutama kõik talle teatavaks saanud
andmed ja nimetatute koopiad 5 päeva jooksul, v. a juhul, kui poolte kokkuleppest või
õigusaktidest tuleneb teisiti;
2.14 . kohustub tegema RITile kättesaadavaks kogu teabe, mis on mõistlikult vajalik ja
õigusaktidest tulenevalt kohustuslik punktis 2.13 sätestatud kohustuste täitmise
tõendamiseks;
2.15 . kohustub abistama võimaluse piires asjakohaste tehniliste ja korralduslike meetmete abil
RITi täita kohustust vastata taotlustele andmesubjekti õiguste teostamiseks ning teostada
nende õiguste teostamisest tulenevaid toiminguid (andmete parandamine, sulgemine,
kustutamine).
3 Konfidentsiaalsuse nõue laieneb eelkõige järgnevale teatavaks saanud teabele:
3.1 mis lihtsustab rünnete planeerimist riiklikele infosüsteemidele ja andmekogudele;
3.2 mille avalikuks tulek võib kahjustada riiklikke infosüsteeme ja andmekogusid või riiklike
institutsioonide mainet või usaldusväärsust;
3.3 mis avaldab süsteemidele rakendamise või mitte rakendamisega seotud otseseid ja
kaudseid mõjusid (sh rakendamise tähtaegu, seotud finants-, hangete alast, vms sarnast
teavet).
4 Konfidentsiaalsuskokkulepe ei laiene ning teavet võib edastada selleks seadusega volitatud
pädevatele riigiasutustele seaduses ettenähtud juhtudel ja ulatuses.
5 Konfidentsiaalse informatsiooni saaja edastab konfidentsiaalset informatsiooni ainult nendele
töötajatele, kes on punktis 1 nimetatud ülesannete täitmisega otseselt seotud ja kindlustab, et
töötajad on teadlikud ja täidavad konfidentsiaalsusnõuet.
6 Konfidentsiaalsuskokkuleppes ettenähtud konfidentsiaalsuskohustuse täitmine ei vabasta
Konfidentsiaalse informatsiooni saajat õigusaktides ettenähtud vastutusest süütegude
sooritamisel.
7 Konfidentsiaalsuskokkuleppega võetud kohustuse rikkumisel Konfidentsiaalse informatsiooni
saaja poolt on RITil õigus nõuda Konfidentsiaalse informatsiooni saajalt leppetrahvi kuni
30 000 (kolmkümmend tuhat) eurot iga vastava juhtumi korral.
8 Konfidentsiaalsuskokkuleppega võetud konfidentsiaalsuskohustuse rikkumisel on
Konfidentsiaalse informatsiooni saaja lisaks leppetrahvi tasumisele kohustatud hüvitama täies
ulatuses RIT-ile tekitatud kahju, mis ületab leppetrahvi summa. Kahjuks loetakse ka RIT-i
poolt kantud kulutused ja kahjud, mis kantakse RIT-i poolt kahju hüvitamisel kolmandatele
isikutele.
9 Kahju hüvitamise kohustuse või leppetrahvi tasumise kohustuse mittetäitmisel kohustub
Konfidentsiaalse informatsiooni saaja tasuma viivist 0,05 % (null koma null viis protsenti)
tasumata summalt iga viivitatud kalendripäeva eest.
10 Leppetrahvid ja viivised tasutakse 14 (neljateist) kalendripäeva jooksul vastava nõude
saamisest arvates.
11 Konfidentsiaalsuskokkuleppest tulenevad vaidlused lahendatakse läbirääkimiste teel.
Kokkuleppe mittesaavutamisel lahendatakse vaidlus Harju Maakohtus.
12 Konfidentsiaalsuskokkulepe jõustub alates selle allkirjastamisest ja on sõlmitud tähtajatult.
13 Konfidentsiaalsuskokkulepe on koostatud eesti keeles, sõlmitud elektroonilises vormis ning
allkirjastatud digitaalselt.
Riigi Info- ja
Kommunikatsioonitehnoloogia
Keskus:
Konfidentsiaalse informatsiooni
saaja:
(digitaalselt allkirjastatud)
(digitaalselt allkirjastatud)
Ergo Tars
Direktor
Mehis Hakkaja
Juhatuse liige