X-tee liitumisleping

Liitumistaotlus

Liitumistaotluse allkirjastaja Eksamo Ehitus OÜ, registreerimisnumber 16846213, asukoht Harju maakond, Tallinn, Kesklinna linnaosa, Tatari tn 28-1, keda esindab (esindusõiguslik isik, nt põhimääruse alusel peadirektor või ettevõtte juhatuse liige või volikirja alusel muu isik) PEETER SOOJÄRV,

keda nimetatakse edaspidi kliendiks nõustub järgnevaga:

RIA võimaldab kliendile (edaspidi X-tee) kasutamist liitumistaotluseinfosüsteemide andmevahetuskihi alusel vastavalt liitumislepingule ja selle lisadele ning Vabariigi Valitsuse 23.09.2016 määruses nr 105 „Infosüsteemide andmevahetuskiht“ sätestatule.

Liitumislepingu osadeks on: teenuse üldtingimused (lisa 1), andmekaitsetingimused (lisa 2) ja teenustasemetingimused (lisa 3).

Liitumistaotluse allkirjastamisega kinnitab klient, et on liitumislepingu tingimustega tutvunud ning kohustub neid täitma.

Liitumisleping loetakse sõlmituks hetkel, kui klient on liitumistaotluse iseteeninduskeskkonnas allkirjastanud. Liitumisleping kehtib tähtajatult.

Eksamo Ehitus OÜ PEETER SOOJÄRV 16846213 Harju maakond, Tallinn, Kesklinna linnaosa, Tatari tn 28-1

/kliendi poolt allkirjastatud digitaalselt/

Infosüsteemide andmevahetuskihi X-tee kasutamise üldtingimused (lisa 1)

1 ÜLDSÄTTED

1.1 Riigi Infosüsteemi Amet (edaspidi ) võimaldab seadusest, Vabariigi Valitsuse 23.09.2016RIA määrusest nr 105 „Infosüsteemide andmevahetuskiht“ ja põhimäärusest tuleneva haldusülesandena infosüsteemide andmevahetuskihi (edaspidi ) kasutamist turvaliseks jaX-tee tõestusväärtust tagavaks andmevahetuseks.

1.2 X-teega on võimalik liituda riigi- ja kohaliku omavalitsuse asutustel, juriidilistel isikutel ning seaduse alusel loodud muudel õigussubjektidel.

1.3 RIA võimaldab X-tee kasutamist Vabariigi Valitsuse 23.09.2016 määruses nr 105 „Infosüsteemide andmevahetuskiht“ ja liitumislepingus ja selle lisades, sealhulgas käesolevates X-tee kasutamise üldtingimustes (edaspidi ) kirjeldatud tingimustel.üldtingimused

2 MÕISTED

Üldtingimustes kasutatakse mõisteid järgmises tähenduses:

Infosüsteemide andmevahetuskiht (X-tee)

tehniline infrastruktuur ja keskkond X-tee liikmete vahel, mis võimaldab turvalist ja tõestusväärtust tagavat internetipõhist andmevahetust

Klient X-tee liikmelisuse taotleja või X-tee liige

X-tee liige riigi- või kohaliku omavalitsuse asutus, juriidiline isik või muu seaduse alusel loodud õigussubjekt, kes on liitunud X-teega

Andmeteenus X-tee liikme teenus, mille kaudu toimub internetipõhine andmevahetus

Andmeteenuse osutaja X-tee liige, kes osutab teistele liikmetele andmeteenust

Andmeteenuse kasutaja X-tee liige, kes kasutab andmeteenust

Andmeteenuse vahendaja X-tee liige, kes võimaldab enda organisatsiooni välisele füüsilisele või juriidilisele isikule juurdepääsu andmeteenusele oma infosüsteemi vahendusel

Andmeteenuse lõppkasutaja

füüsiline isik, kes kasutab andmeteenust X-tee liikme infosüsteemi vahendusel

Sõnum vormindatud andmete kogum, mida vahetatakse andmeteenuse osutaja ja kasutaja vahel X-tee kaudu

Alamsüsteem tehnoloogiliselt ja organisatoorselt piiritletud X-tee liikme infosüsteemi osa andmeteenuse osutamiseks või kasutamiseks

Pääsuõigus andmeteenuse kasutamise võimaldamine X-tee tarkvaras

X-tee baasprotokollistik reeglite kogum, mis tagab turvalise andmevahetuse toimimise arvutivõrgu kaudu

Turvaserver tarkvaraline lahendus, mis järgib X-tee baasprotokollistikku

X-tee sõnumiprotokoll X-tee baasprotokollistiku osa, mis võimaldab X-tee liikmetel sõnumeid töödelda

E-tempel

elektrooniliste andmete kogum, mis vastab Euroopa Parlamendi ja nõukogu määruses (EL) nr 910/2014 „e-identimise ja e-tehingute jaoks vajalike usaldusteenuste kohta siseturul ja millega tunnistatakse kehtetuks direktiiv 1999/93/EÜ“ (ELT L 257, 28.08.2014, lk 73–114) (edaspidi Euroopa Parlamendi ja nõukogu määrus (EL) nr 910/2014) sätestatud täiustatud või kvalifitseeritud e-templi nõuetele

Päringulogi X-tee baasprotokollistikule tuginev turvaserveri osa, kuhu salvestatakse e- templiga kinnitatud X-teel vahetatud sõnumid või nende päised

3 LIITUMINE

3.1 X-tee keskkondadega liitumiseks avaldab klient RIA poolt nõutud andmed ning allkirjastab liitumislepingu ja esitab selle koos liitumiseks vajalike andmetega RIA-le. RIA-l on õigus vajadusel kliendilt täiendavat informatsiooni küsida.

3.2 RIA-l on õigus jätta liitumisleping sõlmimata ja keelduda kliendile X-tee liikmelisuse andmisest, kui:

3.2.1 kliendil puudub unikaalne tunnus, millele on võimalik väljastada keskuse veebilehel avalikustatud nõuetele vastavat e-templi sertifikaati;

3.2.2 klient ei ole keskuse nõudmisel esitanud esindusõiguse tuvastamiseks vajalikke dokumente või isikul puudub kliendi esindamiseks esindusõigus;

3.2.3 kliendi esitatud andmed ei ole tõesed; 3.2.4 klient või tema infosüsteem ei vasta käesolevates üldtingimustes või Vabariigi Valitsuse

23.09.2016 määruses nr 105 „Infosüsteemide andmevahetuskiht“ esitatud nõuetele või X-tee toimimise põhimõtetele.

3.3 X-tee liikmelisuse andmisel saadab RIA kliendile allkirjastatud liitumislepingu.

3.4 X-tee liikmelisus tekib pärast liitumislepingu sõlmimist koheselt.

4 POOLTE ÕIGUSED JA KOHUSTUSED

4.1 X-tee liikmel on õigus:

4.1.1 kasutada X-teed üksnes õigusaktides ja liitumislepingus sätestatud tingimustel; 4.1.2 edastada teateid RIA kasutajatoele; 4.1.3 nõuda teenuse osutamist vastavalt X-tee keskkondade teenustasemete

tingimustele; 4.1.4 tutvuda X-tee tehnilise lahendusega;

4.2 X-tee liikmel on kohustus:

4.2.1 tagada X-teega liitumise korral oma infosüsteemi järjepidevuse, haldamise, arendamise ning turvalise ja häireteta töö;

4.2.2 võtta kasutusele turvalise ja standardiseeritud andmevahetuse tagamise elemendid: luua turvaline andmevahetuskanal, tagada e-templiga andmevahetuse terviklus, defineerida alamsüsteem, ühtlustada andmeteenuse osutamise nõuded, määrata kindlaks andmeteenuse kasutaja andmeteenuse kasutamise kokkuleppe ja pääsuõiguse andmise kaudu;

4.2.3 rakendada turvalisusega seotud riskide maandamiseks andmete terviklust, konfidentsiaalsust ja käideldavust tagavaid meetmeid ning tagama rakendatavate meetmete sõltumatu auditeerimise vähemalt iga nelja aasta järel; riigi ja kohaliku omavalitsuse asutus on kohustatud turvameetmete rakendamisel ning rakendatavate meetmete sõltumatu auditeerimise tagama vastavalt õigusaktidele;

4.2.4 täita RIA edastatud korraldusi; 4.2.5 teavitada RIA-t esimesel võimalusel kontaktandmete muutumisest; 4.2.6 teavitada viivitamata RIA-t X-tee kasutamisega seonduvast probleemist ja asjaolust, mis võib

mõjutada RIA või X-tee liikme kohustuste täitmist; 4.2.7 teavitada viivitamata RIA-t X-tee kasutamist mõjutavast turvaintsidendist või selle vahetust

ohust; 4.2.8 esitada RIA nõudmisel turvaserveri turvalisuse hindamiseks vajaliku teabe, turvaeeskirjad ning

rakendatud turvameetmete rakendamise kirjelduse; 4.2.9 võimaldada X-tee turvaserverile RIA monitooringuserveri juurdepääs, kui pooled ei ole kokku

leppinud teisiti; 4.2.10 kasutada X-teed eesmärgipäraselt ja teha kõik endast olenev, et mitte kahjustada X-tee platvormi

ja teisi X-tee liikmeid; 4.2.11 teavitada RIA-t 48 tundi ette planeeritavatest muudatustest, mis võivad olla olulised X-tee

kasutamise seisukohalt, sh toovad kaasa päringute mahu märkimisväärse kasvu; 4.2.12 lugeda regulaarselt enda kontaktisiku e-posti aadressile RIA poolt saadetavaid kirju; 4.2.13 hüvitada RIA-le lepingu rikkumisega süüliselt tekitatud otsene varaline kahju.

4.3 RIA-l on õigus:

4.3.1 nõuda X-tee kasutamist eesmärgipäraselt ja kooskõlas liitumislepingus ning Vabariigi Valitsuse 23.09.2016 määruses nr 105 „Infosüsteemide andmevahetuskiht“ kirjeldatud nõuetega;

4.3.2 seirata X-tee kasutamist statistilistel, kvaliteedi ja turvalisuse tagamise eesmärkidel; 4.3.3 koguda andmeteenuse monitooringu logisid andmetega, mis võimaldavad tuvastada X-tee liikme

nimel päringu teinud isiku, ja säilitada neid kolm aastat nende kogumisest arvates, misjärel andmed anonüümitakse;

4.3.4 koostada ja avalikustada isikustamata kujul X-tee kasutamise statistikat, välja arvatud julgeolekuasutuse ja kaitseväeluure ülesannet täitva Kaitseväe struktuuriüksuse kohta;

4.3.5 piirata X-tee liikme õigusi liitumislepingus või õigusaktides sätestatud juhtudel; 4.3.6 peatada andmeteenuse kasutamiseks vajaliku informatsiooni kättesaadavus kliendi

turvaserverile, kui klient rikub Vabariigi Valitsuse 23.09.2016 määruses nr 105 „Infosüsteemide andmevahetuskiht“, liitumislepingus või selle lisades või andmeteenuse vahendamise korras sätestatud tingimusi.

4.3.7 teha märkusi X-tee mittesihtotstarbelise kasutamise kohta; 4.3.8 käsitleda küberintsidente; 4.3.9 peatada X-tee kasutamise võimalus viivitamatult, kui seatakse ohtu X-tee käideldavus või

turvalisus.

4.4 RIA-l on kohustus:

4.4.1 hallata X-tee keskkondades X-tee liikmete, X-teel registreeritud turvaserverite ja X-teega liitunud alamsüsteemides olevat infot, mis tagavad X-tee turvalise andmevahetuskanali loomiseks ja andmeteenuste kasutamiseks vajaliku informatsiooni kättesaadavuse X-tee liikme turvaserverile;

4.4.2 korraldada X-tee liikmelisust, alamsüsteemi ja turvaserverit puudutavate taotluste menetlemist; 4.4.3 töötada välja X-teega liitumise ja selle kasutamise tingimused ning avalikustada need RIA

veebilehel; 4.4.4 tagada X-tee kasutamise võimalus; 4.4.5 nõustada X-liiget X-teega seotud küsimustes; 4.4.6 teavitada X-tee liikme kontaktisikuid muudatustest X-tee haldamises või kasutamises ning

kõigist teadaolevatest X-tee kasutamist takistavatest asjaoludest või hooldustöödest, arvestades teenustaseme tingimusi;

4.4.7 tagada standardiseeritud turvaserveri tarkvara kättesaadavuse; 4.4.8 luua võimalus X-tee kasutamiseks peale RIA poolset liitumislepingu allkirjastamist.

4.5 Pooltel on kohustus:

4.5.1 esimesel võimalusel teisele poolele teatada kõigist asjaoludest, mis kahjustavad või võivad kahjustada teise poole infosu#steeme, samuti asjaoludest, mis võivad olla vajalikud tehniliste lahenduste ja süsteemide turvaliseks töötamiseks, hoolduseks või rikke kõrvaldamiseks;

4.5.2 teist poolt mõjutava rikke ilmnemisel asuma koheselt riket kõrvaldama ja informeerima rikkest ja selle kestvusest teist poolt.

5 ERITINGIMUSED TURVALISE JA STANDARDISEERITUD ANDMEVAHETUSE TAGAMISEL

5.1 Turvalise andmevahetuskanali loomine

5.1.1 X-tee liikmel on kohustus paigaldada X-tee turvalise andmevahetuskanali loomise võimaldamiseks turvaserveri tarkvara infosüsteemi ning registreerida RIA-s turvaserveri autentimissertifikaat, mis peab vastama RIA veebilehel avaldatud nõuetele.

5.1.2 X-tee liikmel on kohustus kasutada vaid sellist turvaserveri tarkvara, mis järgib RIA poolt tunnustatud X-tee baasprotokollistikku.

5.1.3 X-tee liikmel on kohustus turvaserveri kasutamisel:

5.1.3.1 tagada e-templiga kinnitatud X-teel vahetatud sõnumite päringulogi olemasolu ja päringulogi arhiveerimise korral töötada välja päringulogi arhiveerimise protseduur, mis sisaldab arhiveerimise sagedust ning arhiveeritava informatsiooni loetelu;

5.1.3.2 määrata isikud, kes ja millistel tingimustel saavad päringulogi arhiveerimise korral juurdepääsu turvaserveri arhiveeritud päringulogile;

5.1.3.3 tagada päringulogi arhiveerimisel arhiveeritud sõnumite töötlemisel samad konfidentsiaalsuse nõuded, mis on nõutud andmeteenuse kasutamiseks.

5.1.4 X-tee liikmel on kohustus RIA pakutava turvaserveri kasutamisel täita käesolevates üldtingimustes nimetatud kohustusi ja:

5.1.4.1 kasutada turvaserveri tarkvara vastavalt juhistele, mis on avalikustatud keskuse veebilehel; 5.1.4.2 uuendada turvaserveri tarkvara hiljemalt kaks kuud pärast keskuse poolt tarkvarauuenduste

kättesaadavaks tegemist.

5.1.5 X-tee liikmel on kohustus turvaserveri jagamisel teisele X-tee liikmele kasutada krüpteeritud ühendust ning kahepoolset autentimist turvaserveri ja alamsüsteemi ühendamiseks.

5.1.6 X-tee liikmel on õigus majutada turvaserverit väljaspool Eesti Vabariigi jurisdiktsiooni all olevat territooriumit üksnes RIA loal, kui X-tee liige:

5.1.6.1 tagab liitumislepingus ja Vabariigi Valitsuse 23.09.2016 määruses nr 105 „Infosüsteemide andmevahetuskiht“ sätestatud kohustuste täitmise;

5.1.6.2 rakendab turvalisusega seotud riskide maandamiseks andmete terviklust, konfidentsiaalsust ja käideldavust tagavaid meetmeid ning tagab rakendatavate meetmete sõltumatu auditeerimise vähemalt iga kahe aasta järel.

5.2 Andmevahetuse tervikluse tagamine e-templiga

5.2.1 Andmevahetuse terviklus ning X-teel vahetatud sõnumi ja X-tee liikme seose tuvastamine tagatakse e-templiga, mille loomiseks on klient kohustatud turvaserveris kasutama järgmisi Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 nõuetele vastavaid usaldusteenuseid:

5.2.1.1 sertifitseerimise teenus, mille kaudu väljastatakse e-templi kvalifitseeritud sertifikaat;

5.2.1.2 sertifikaadi kehtivuskinnituse teenus; 5.2.1.3 ajatempliteenus.

5.2.2 X-tee liikmel on õigus kasutada e-templi loomisel RIA väljastatavat e-templi sertifikaati. 5.2.3 X-teel moodustunud e-tempel on kehtiv, kui kasutatud sertifikaadi kehtivuskinnituse ja

ajatempli ajavahe ei ole rohkem kui kaheksa tundi. 5.2.4 X-tee liikmel on keelatud töödelda X-teel vahetatud andmeid, mida ei ole võimalik kinnitada

käesolevates tüüptingimustes kirjeldatud nõuetele vastava e-templiga.

5.3 Alamsüsteemi liidestamine X-teega

5.3.1 X-tee liige peab teenuse kasutamiseks või osutamiseks X-teel alamsüsteemi RIA-s registreerima ja esitama selleks RIA-le taotluse.

5.3.2 X-teel on võimalik registreerida vaid sellist alamsüsteemi:

5.3.2.1 millele on määratud alamsüsteemi toimimise eest vastutav füüsiline isik ja alamsüsteemi teenindava turvaserveri administraatori kontaktandmed;

5.3.2.2 mille suhtes rakendatakse turvalisusega seotud riskide maandamiseks andmete terviklust, konfidentsiaalsust ja käideldavust tagavaid meetmeid ning tagatakse rakendatavate meetmete sõltumatu auditeerimine vähemalt iga nelja aasta järel, kui õigusaktidega ei ole ettenähtud teisiti.

5.3.3 X-tee liige on alamsüsteemi registreerimise järel kohustatud:

5.3.3.1 määrama töö- ja ametikohad, kellel on õigus alamsüsteemi ja seeläbi alamsüsteemile võimaldatud andmeteenuseid kasutada, ning lubama organisatsioonisiseselt juurdepääsu vaid selleks õigustatud isikutele;

5.3.3.2 tagama X-teega liidestatud alamsüsteemi turvalise ja häireteta töö ning vastavuse X-tee liikmete vahelisele andmeteenuse kasutamise kokkuleppele.

5.3.4 RIA-l on õigus alamsüsteemi registreerimise taotlus tagasi lükata või registreeritud alamsüsteem registrist kustutada, kui mõni üldtingimustes esitatud nõue on täitmata.

5.4 Andmeteenuse osutamine, kasutamine ja vahendamine

5.4.1 Andmeteenus peab:

5.4.1.1 vastama RIA kehtestatud X-tee sõnumiprotokollile; 5.4.1.2 olema dokumenteeritud koos RIA nõuetele vastava ning aja- ja asjakohase andmeteenuse

kirjeldusega ja sisaldama informatsiooni andmeteenuse kasutamiseks vajalike turvameetmete kohta, arvestades andmeteenuses sisalduvate andmete koosseisu ning andmeteenuse iseloomu.

5.4.2 Andmeteenust osutatakse ja kasutatakse vastavalt X-tee liikmete vahelisele andmeteenuse kasutamise kokkuleppele, milles määratakse kindlaks:

5.4.2.1 andmeteenuse kasutamiseks vajalikud infoturbemeetmed ning andmeteenuse kasutaja alamsüsteemilt nõutavad organisatsioonilised, füüsilised ja infotehnilised turvameetmed, arvestades töödeldavate andmete koosseisu ning õigusaktidega ettenähtud nõudeid;

5.4.2.2 andmeteenuse kolmandale isikule vahendamise luba; 5.4.2.3 teenustaseme tingimused.

5.4.3 X-tee liige on andmeteenuse osutamisel kohustatud:

5.4.3.1 registreerima andmeteenuse koos andmeteenuse tehnilise kirjeldusega turvaserveris ja hoidma andmeteenuse kirjelduse turvaserveris ajakohasena;

5.4.3.2 veenduma, et andmeteenuse kasutaja rakendab turvalisusega seotud riskide maandamiseks piisavaid andmete terviklust, konfidentsiaalsust ja käideldavust tagavaid meetmeid;

5.4.3.3 tagama X-tee infosüsteemi pääsuõiguse kooskõla X-tee liikmete vahelise andmeteenuse kasutamise kokkuleppega.

5.4.4 Andmeteenuse kasutamine on võimalik X-tee liikme alamsüsteemis, millele on antud konkreetse andmeteenuse kasutamiseks pääsuõigus.

5.4.5 X-tee liige on andmeteenuse kasutaja ja osutajana kohustatud:

5.4.5.1 järgima andmeteenuse kasutamise kokkulepet; 5.4.5.2 siduma turvaserverisse laekunud sõnumid ajatempliga; 5.4.5.3 tagama oma infosüsteemi kaudu andmeteenuse osutamisel või kasutamisel osaleva lõppkasutaja

autentimise ja autoriseerimise.

5.4.6 X-tee liige võib võimaldada alamsüsteemile ligipääsu organisatsioonivälisele isikule vaid juhul, kui:

5.4.6.1 X-tee liige on koostanud ja avalikustanud andmeteenuse vahendamise korra, mis sisaldab andmeteenuse vahendamise alust, andmeteenust kasutava alamsüsteemi vahendatu autentimise ja autoriseerimise korda, andmeteenust kasutava alamsüsteemi vahendatu autentimise ja autoriseerimise logi arhiveerimise korda ja logi säilitamise tähtaega ning X-tee päringulogi arhiveerimise ning arhiivile juurdepääsu korda ja säilitamise tähtaega;

5.4.6.2 X-tee liige on end andmeteenuse vahendajana X-teel registreerinud; 5.4.6.3 andmeteenuse vahendamise luba on fikseeritud X-tee liikmete vahelises andmeteenuse

kasutamise kokkuleppes.

5.4.7 X-tee liige on andmeteenuse vahendajana kohustatud:

5.4.7.1 järgima enda kehtestatud andmeteenuse vahendamise korda; 5.4.7.2 teavitama keskust ja andmeteenuse osutajat, kelle andmeteenuse kasutamiseks on vahendajal

pääsuõigus, andmeteenuse vahendamise korra muutumisest; 5.4.7.3 lähtuma X-tee liikmete vahelises andmeteenuse kasutamise kokkuleppes kindlaks määratud

pooltevahelistest õigustest ja kohustustest ning veenduma andmeteenuse vahendamise lubatavuses;

5.4.7.4 avaldama andmeteenuse pakkujale alamsüsteemi vahendatud osaliste andmed vastavalt X-tee baasprotokollistikule.

6 TEAVITUSTE VORM

Pooled saadavad kõik teated elektrooniliselt e-posti teel või X-tee iseteeninduskeskkonna kaudu. Erandiks on teavitamine intsidendi korral, kui võidakse kasutada teavitamist telefoni teel.

7 TASU JA ARVELDUSED

7.1 Teenusega liitumine on kliendile tasuta. 7.2 X-tee liikmel tuleb katta enda infosüsteemi arendamise ja liidestamise kulud ning enda

infosüsteemi komponentide soetamise ja pidamisega seotud kulud.

8 AVALIKU TEABE JA ISIKUANDMETE TÖÖTLEMINE

8.1 Kuivõrd RIA võimaldab X-tee kasutamist seadusest ja põhimäärusest tuleneva haldusülesandena, on selle ülesande raames tekkiv teave avalik teave, millele seatakse juurdepääsupiirangud seaduses sätestatud alustel ja korras.

8.2 Teenuse raames töödeldavate isikuandmete koosseis ja andmete säilitamise tähtajad on sätestatud andmekaitsetingimustes.

8.3 Pooled kohustuvad hoidma saladuses X-tee kasutamisel teatavaks saanud juurdepääsupiiranguga teavet ning töötlema ja avaldama seda üksnes seaduses sätestatud alustel ja korras.

8.4 Saladuses hoidmise kohustus (konfidentsiaalsuskohustus) kehtib vastavalt juurdepääsupiirangu tähtaegadele sõltumata lepingu kehtivusest või lõppemisest.

8.5 Pooled edastavad juurdepääsupiiranguga teavet ainult nendele töötajatele, kes on teenusega otseselt seotud, ja kindlustavad, et need töötajad on teadlikud ja täidavad konfidentsiaalsuse nõuet.

8.6 Pooled rakendavad juurdepääsupiiranguga teabe, sealhulgas isikuandmete kaitseks asjakohaseid tehnilisi ja korralduslikke meetmeid tagamaks isikuandmete konfidentsiaalsuse, tervikluse ja käideldavuse.

8.7 Pooled teavitavad üksteist viivitamatult konfidentsiaalsuskohustuse täitmisega seonduvatest takistustest, mis on tekkinud või tõenäoliselt võivad tekkida.

8.8 Konfidentsiaalsuskohustuse rikkumist käsitletakse kui lepingu olulist rikkumist.

9 TINGIMUSTE MUUTMINE

9.1 RIA-l on õigus ühepoolselt muuta liitumislepingu tingimusi, sealhulgas käesolevaid üldtingimusi ja muid liitumislepingu lisasid, kui seda tingivad muudatused kehtivates õigusaktides või tavades, vastava valdkonna või teenuste tehnilised või sisulised arengud, klientidele teenuste kasutamiseks täiendavate või paremate võimaluste loomine või vajadus täpsustada teenuste osutamise või kasutamisega seotud asjaolusid. Üldtingimuste muudatustest teatab RIA kliendile kirjalikult hiljemalt 14 kalendripäeva ette.

9.2 Kui X-tee liige ei nõustu punktis 9.1 nimetatud muudatusega, on tal õigus X-tee liikmelisus lõpetada, esitades selleks RIA-le avalduse. X-tee liikmelisuse lõpetamiseni on liitumisleping kehtiv ja X-tee liige on kohustatud täitma oma kohustusi, kusjuures nende kohustuste täitmise osas kohaldatakse X-tee liikme suhtes seniseid tingimusi.

9.3 Kui X-tee liige 1 (ühe) kuu jooksul arvates muudatuste kehtima hakkamise teate saamise päevast ei avalda soovi X-tee liikmelisuse lõpetamiseks, loetakse, et ta on vaikimisega nõustunud muudetud tingimustega.

10 VASTUTUS

10.1 RIA ei vastuta X-tee kasutamise kättesaadavust ja kvaliteeti mõjutavate RIA-st mittesõltuvate asjaolude eest (sh X-tee päringute toimimise eest ulatuses, milles need on kolmanda osapoole vastutusalas) ega häirete, informatsiooni edastamise viivituste, jms juhtumite eest, mis ei allu RIA kontrollile.

10.2 RIA ei vastuta kliendi tegevuse või tegevusetusega põhjustatud andmete hävimise või kadumise ega teenuse mittetoimimise eest juhul, kui katkestus on põhjustatud kliendi tegevusest või tegevusetusest.

10.3 Pool ei vastuta kohustuste täitmata jätmise eest, kui see tuleneb vääramatust jõust. Vääramatu jõuna käsitlevad pooled asjaolu, mida pool ei saa mõjutada, sealhulgas, kuid mitte ainult tulekahju, plahvatus, loodusõnnetus, sõda, streik, üldine elektrikatkestus, äike, erakordsed ilmastikuolud.

10.4 Pool, kelle tegevus kokkuleppega sätestatud kohustuste täitmisel on takistatud vääramatu jõu asjaolude tõttu, on kohustatud sellest teisele poolele teatama esimesel võimalusel, kasutades sidevahendeid, mis tagavad operatiivseima infovahetuse.

10.5 Vääramatust jõust teatamisel lepivad pooled kokku, mil viisil ning mis mahus jätkata kokkuleppe täitmist kooskõlas riikliku kriisireguleerimise plaaniga. Antud kokkulepe vormistatakse esimesel võimalusel kirjalikult.

11 LEPINGU LÕPPEMINE

11.1 Leping lõppeb lepingus, teenuse üldtingimustes ja/või õigusaktides toodud alustel. 11.2 X-tee liikmel on igal ajal õigus liikmesus üles öelda, esitades RIA-le vastavasisulise kirjaliku

avalduse. Kui liikmelisuse ülesütlemise avalduses ei ole märgitud X-tee liikmesuse lõppemise tähtpäeva, lõpeb liikmesus eelnimetatud avalduse kättesaamisele järgnevast tööpäevast.

11.3 RIA-l on õigus X-tee liikme liikmesus lõpetada, teavitades X-tee liiget elektronposti teel 30 kalendripäeva ette.

11.4 RIA-l on õigus liikmelisus kohe lõpetada, kui:

11.4.1 klient rikub Vabariigi Valitsuse 23.09.2016 määruses nr 105 „Infosüsteemide andmevahetuskiht “, liitumislepingus või selle lisades või andmeteenuse vahendamise korras sätestatud tingimusi või seab ohtu X-tee käideldavuse või turvalisuse;

11.4.2 klient on esitanud vale- või puudulikke andmeid; 11.4.3 klient rikub lepingu punktides 8.4, 8.6, 8.7 või 8.8 nimetatud kohustust.

11.5 Lepingu ülesütlemine või lõppemine ei vabasta poolt kohustusest täita teise poole ees lepingu kestuse ajal tekkinud kohustusi.

Infosüsteemide andmevahetuskihi X-tee andmekaitsetingimused (lisa 2)

Käesolevas dokumendis selgitatakse, milliseid isikuandmeid ja millisel eesmärgil Riigi Infosüsteemi Amet (edaspidi RIA) infosüsteemide andmevahetuskihi (edaspidi X-tee) haldamisel töötleb. Käesolevad andmekaitsetingimused rakenduvad kõikidele X-tee keskkondadele.

(edaspidi ) on füüsiline isik, kes on X-tee liikme nimel volitatud tegema või teebAndmesubjekt kasutaja omaenda andmete kohta X-tee keskkonnas päringuid.

1 ANDMETE KOOSSEIS

1.1 RIA töötleb X-tee kasutamise raames isikuandmeid tuvastamaks X-tee liikme nimel päringu teinud isiku.

1.2 RIA seirab X-tee kasutamist ja kogub kasutusstatistikat. Kasutusstatistika kogumine eeldab X- tee liikme turvaserveri andmeteenuse monitooringulogi (operational monitoring) andmete kogumist. Keskuse poolt kogutavad logifailid sisaldavad üksnes päiseväljasid, mis sisaldavad andmeid, milline X-tee liige, millisel ajahetkel ja millise X-tee liikmega andmeid üle X-tee vahetas. Keskuse poolt kogutavad logifailid ei sisalda X-teel tehtud päringute ega vastuste keha elemendi sisu.

1.3 Andmeteenuse monitooringulogi ja X-tee liikme nimel päringu teinud isiku kogumise osas on RIA isikuandmete vastutav töötleja

1.4 X-tee liikme turvaserveri andmeteenuse monitooringulogi sisaldab kasutaja kohta järgmisi andmeid:

1.4.1 Kasutajat identifitseerivad andmed: 1.4.2 autenditud ja autoriseeritud kasutaja

isikukood 1.4.3 Tehnilised andmed:

1.4.3.1 päringu tegemise ja vastuse saamise kuupäev ja kellaaeg; 1.4.3.2 X-tee keskkonna, X-tee liikme, tema alamsüsteemi nimetust ja kasutatud teenuse koodi ning

versiooni tunnused; 1.4.3.3 päringu ja vastuse suurus ning manuste arv; 1.4.3.4 muu tehniline informatsioon turvaserverit läbinud päringu kohta.

1.5 Logi ei sisalda infot, milliseid isikuandmeid ja millises koosseisus X-teel vahetatud sõnumid sisaldavad.

2 ANDMETE SÄILITAMINE

2.1 : RIA säilitab monitooringulogi kasutaja isikuandmeid sisaldaval kujul 3 aastat andmeteTähtaeg kogumisest arvates. Pärast 3-aastase tähtaja möödumist eemaldatakse logidest isikuandmeid sisaldav osa (ehk isikukood) ja logisid säilitatakse isikustamata kujul edasi alaliselt.

2.2 : RIA säilitab monitooringulogi:Eesmärk

2.2.1 teenuse väärkasutamise, samuti küberrünnakute avastamiseks ja uurimiseks; 2.2.2 tehniliste tõrgete avastamiseks ja kõrvaldamiseks; tehniline tõrge võib olla nii riist- kui tarkvara

viga, võrguühenduse viga jms; 2.2.3 X-tee liikmete poolt raporteeritud tehniliste probleemide põhjuste väljaselgitamiseks; 2.2.4 kasutajate pöördumiste (teated võimalike turvaprobleemide või tehniliste rikete kohta)

menetlemiseks.

3 ANDMETE AVALDAMINE

3.1 : RIA avalikustab X-tee kasutamist puudutavaid statistilisi andmeidAndmete avalikustamine veebilehel www.ria.ee. Kasutusstatistika andmed avalikustatakse avaandmetena üldistatud ja isikustamata kujul.

3.2 : logidele juurdepääs on korraldatud rangelt pääsuõiguste põhiselt.Juurdepääs logidele Pääsuõigused on loodud üksnes teenuse käitamisega otseselt seotud süsteemi- ja teenusehalduritele. Põhjendatud juhul võimaldatakse juurdepääs küberintsidentide menetlemisega tegelevatele teenistujatele.

3.3 : andmeid võidakse väljastada ka juhul, kui seda näeb etteAndmete väljastamine seaduse alusel seadus (näiteks õiguskaitseasutusele kriminaalmenetluses või andmesubjektile tema taotlusel).

Infosüsteemide andmevahetuskihi X-tee teenustaseme tingimused (lisa 3)

1 Teenuse kättesaadavus

Teenuse nimi Infosüsteemide andmevahetuskiht X-tee

Teenuse omanik Andmevahetuse osakonna osakonnajuhataja

Nõuete kehtivusaeg Alates käskkirja kinnitamisest kuni käskkirja muutmise või kehtetuks tunnistamiseni.

Teenuse lühikirjeldus

Infosüsteemide andmevahetusplatvorm, mille vahendusel on keskkonna kasutajatel võimalik omavahel osutada ja/või kasutada kokkulepitud veebiteenuseid. Veebiteenuste keskkonna näol on tegemist internetipõhise lahendusega, kus omavaheliseks suhtlemiseks kasutatakse spetsiaalset X-Road tehnoloogiat.

Teenuse teavitused RIA teavitab teenuse kliente esimesel võimalusel kõigist teadaolevatest teenuse katkestustest ja teenuse kasutamist takistavatest asjaoludest e-posti või telefoni teel.

Korralised hooldustööd

RIA toodangukeskkonna korrapärased infrastruktuuri hooldustööd toimuvad iga kuu kolmandal neljapäeval ajavahemikul 18.00–01.00.

RIA toodangukeskkonna teenuste tööajal toimuvatest katkestustest ning suurematest hooldustöödest teavitatakse teenuse kasutajaid e-posti teel vähemalt 2 tööpäeva enne nende toimumist.

Infosüsteemi logid Infosüsteemi logisid säilitatakse üks aasta, välja arvatud monitooringu logisid, mida säilitatakse kolm aastat nende kogumisest arvates, misjärel andmed anonüümitakse.

1.1. Tööaeg Tööaeg on kokkulepitud ajavahemik, millal IT-teenus peab kliendile garanteeritult kättesaadav olema ning mille jooksul pakutakse IT- teenusele kasutajatoe tuge (kasutusnõustamine, planeerimata katkestuste lahendamine jms).

E–N 8.15–17.00,

R 8.15–15.45.

1.2. Maksimaalne lubatud üheaegne pöördumiste arv

50 globaalse konfiguratsiooni päringut minutis

2 Planeerimata katkestus tavaolukorras

Planeerimata katkestuste hulka arvestatakse ainult teenuse tööajal aset leidvad planeerimata katkestused. Planeerimata katkestuseks ei loeta olukorda, kus häiritud on üksikute kasutajate töö, kuid asutuses (sama hoone piires) on teenus kättesaadav. Planeerimata katkestusi tavaolukorras arvestatakse töötundides.

2.1. Ühe planeerimata katkestuse maksimaalne kestus Maksimaalne lubatud ajavahemik, mille jooksul on vaja teenuse töö taastada. Teenuse taastamine toimub tööajal.

12 h

2.2. Maksimaalne planeerimata katkestuste kestus aastas 24 h

3 Planeerimata katkestus katastroofiolukorras

Kriitilisuse klass on teenuse taastamise maksimaalne ajakulu ning prioriteet, mis järjekorras katastroofiolukorras (näiteks serveriruumide vee- või tulekahjustuste või muu ootamatu eriolukorra puhul) teenuseid taastatakse. Lähtuvalt taasteaegadest, jaotatakse infosüsteemi osad järgnevatesse kriitilisuse klassidesse: I – taasteaeg 72 h; II – taasteaeg 168 h; III – taasteaeg määratlemata.

3.1. Kriitilisuse klass 1

4 Planeeritud katkestus

Planeeritud katkestus on eelnevalt kokkulepitud ajavahemik, mille jooksul teenus ei ole kättesaadav. Planeeritud katkestuste hulka arvestatakse ainult teenuse tööajal toimuvaid planeeritud katkestusi. Planeeritud katkestust kasutatakse hoolduseks, testimiseks ja täienduste tegemiseks. Planeeritud katkestusi (v.a. katkestustest etteteatamise aega) arvestatakse töötundides.

4.1. Planeeritud katkestusest etteteatamise aeg 48 h

4.2. Ühe planeeritud katkestuse maksimaalne kestus 8 h

4.3. Maksimaalne planeeritud katkestuste kestus aastas 24 h

4.4. Maksimaalne planeeritud katkestuste arv kuus 2

5 Andmekadu ja varundus

5.1. Maksimaalne andmehulk, mis võib minna kaotsi teenuse taastamise käigus ehk teenuse taastamiskoha klass Teenuse taastamiskoha klass määrab maksimaalse andmehulga, mis võib minna kaotsi teenuse taastamise käigus. Taastamiskoha klass määratakse ajavahemikuna enne tõrget. Näiteks taastamiskoha klass üks ööpäev saavutatakse

24 h

igapäevase varundamisega, kus maksimaalne andmekadu võib olla 24 tunni andmed.

6 Reaktsiooniajad

6.1. Funktsionaalsus Normaalne viide

Maksimaalne viide

6.2. Globaalse konfiguratsiooni päringu reaktsiooni aeg (90% päringutest peab mahtuma maksimaalse viite sisse)

5s 30s