| Dokumendiregister | Majandus- ja Kommunikatsiooniministeerium |
| Viit | 9-2/948-2 |
| Registreeritud | 09.04.2024 |
| Sünkroonitud | 10.04.2024 |
| Liik | Väljaminev kiri |
| Funktsioon | 9 Digiarengu korraldamine |
| Sari | 9-2 Küberturvalisuse kavandamise ning korraldamise kirjavahetus |
| Toimik | 9-2/2024 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Poliitikauuringute Keskus Praxis |
| Saabumis/saatmisviis | Poliitikauuringute Keskus Praxis |
| Vastutaja | Guido Pääsuke (Majandus- ja Kommunikatsiooniministeerium, Kantsleri valdkond, Digiarengu valdkond, Riikliku küberturvalisuse osakond) |
| Originaal | Ava uues aknas |
From: MKM info <[email protected]>
Sent: Tue, 09 Apr 2024 04:30:01 +0000
To: MKM info <[email protected]>
Subject: FW: Pilvemääruse rakendamine
From: Guido Pääsuke
Sent: Monday, April 8, 2024 6:04 PM
To: '[email protected]' <[email protected]>
Subject: RE: Pilvemääruse rakendamine
Tere
Vabariigi Valitsuse 03.01.2024 määruse nr 1 „Võrgu- ja infosüsteemi turvameetmete nõuded ja nende kohaldamise ulatus pilvteenuse kasutamisel“ (edaspidi pilvemäärus) kohaselt ei kohaldu Poliitikauuringute Keskusele Praxis määruse nõuded vahetult. Küll tuleb nimetatud määrusest tulenevalt hinnata, kas tegemist võib olla avaliku ülesande täitmise üleandmisega, mille tulemusel tekib vajadus määruse nõuete rakendamiseks.
Avaliku ülesande täitmiseks volitamine toimub halduskoostöö seaduses või muus seaduses sätestatud volituse alusel. Avaliku ülesande volitamiseks ei saa lugeda võlaõigusliku lepingu sõlmimist teenuse sisse ostmiseks. Avaliku ülesande üleandmisel eeldatakse ka ülesande saajale ülesande täitmisel üleandja volituste üleandmist, ehk sõlmitud lepingust peab selgelt nähtuma avaliku ülesande üleandmine, täitmise ulatus ja volitus ülesande täitmisel. Kui sõlmitud lepingus puudub viide millise Majandus- ja Kommunikatsiooniministeeriumi ülesande täitmisele teid volitati ja millised on volitused ülesande täitmisel, siis ei saa sellist tegevust lugeda avaliku ülesande üleandmiseks. Teie poolt edastatud teabest, ei nähtud, et lepinguga sooviti üle anda avaliku ülesande täitmist. Kui ei ole toimunud avaliku ülesande üleandmist, siis ei ole vajalik ülesande täitmisel pilvemäärust järgida. (v.a kui lepingus ei ole sedasi sätestatud või kokku lepitud).
Lisaks märgin, et pilvemääruse järgmise kohustuse puudumine ei tähenda, et puudub kohustus järgida muudest õigusaktidest andmetöötlusele tulenevaid nõudeid. Eelkõige pean silmas isikuandmete kaitsega seotud nõudeid.
Heade soovidega,
Guido Pääsuke Küberturvalisuse õigusnõunik Riikliku küberturvalisuse osakond | | |
|
From: Kirsti Melesk <[email protected]>
Sent: Thursday, March 28, 2024 2:22 PM
To: Raavo Palu <[email protected]>
Subject: Pilvemääruse rakendamine
Tähelepanu! Tegemist on välisvõrgust saabunud kirjaga. |
Tere!
Jaanus Põldmaa (RITist) soovitas mul teie poole pöörduda.
Nimelt täidame MKM tellimusel uuringust, kus viime läbi intervjuusid ja saame poliitikakujundajalt AKI loa alusel kontaktandmete loetelu, mille põhjal kutsuda inimesi intervjuudele. Hoiame intervjuude salvestusi ja saadud kontaktandmeid oma pilveserveris. Kasutame Microsofti SharePoint pilveteenust.
RIT poolt viidati sel aastal jõustunud pilvemäärusele ja kohustusele, mille kohaselt tuleks teha pilveteenuse riskianalüüs. Tema viite järgi täidame meie hankelepingu järgi avalikku ülesannet (teostame poliitikaanalüüsi hankelepingu alusel), siis RIT hinnangul on pilveteenuse hindamine ka meile kohustuslik. Samas viitas ta, et hetkel pole selge, kas hankelepingu alusel AK teabe töötlemine erasektori poolt tuleb kohaldada pilvemääruse nõudeid või mitte ja soovitas selle küsimusega pöörduda teie poole.
Seega: mis on teie tõlgendus pilvemääruse rakendamisest? Kas ka erasektor peab vastavat riskianalüüsi läbi viima kui teostatakse ülesandeid hankelepingu alusel? Samuti kasutame üsna levinud pilveteenust, mis on laialdaselt ka avalikus sektori kasutusel? Kas tõesti peab iga asutus ja avaliku sektori hankeid täitev eraettevõtte eraldi sama pilveteenust hindama? See ei tundu mõistlik ressursikasutus. Täidame üsna palju avaliku sektori lepinguid ja ükski teine lepingu partner ei ole meile ootust kasutatava pilveteenuse riskianalüüsiks esitanud.
Olen tänulik teie poolse tõlgenduse eest, et teaksime kuidas oma lepingu partnerile selles osas vastata või kas peame mingisuguse riskianalüüsi määruses viidatud tähtajaks läbi viima. Sealt edasi tekib kohe küsimus, kes on pädev sellist riskianalüüsi teostama või piisab organisatsiooni enda hinnangust pilveteenusele.
Tervitades
Kirsti Melesk
Töö- ja sotsiaalpoliitika programmi juht
Poliitikauuringute Keskus Praxis
Ahtri 6A, Tallinn 10151
Telefon +372 506 4269
E-post [email protected]
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|