| Dokumendiregister | Riigi Infosüsteemi Amet |
| Viit | 4.2-13/228-1 |
| Registreeritud | 19.12.2022 |
| Sünkroonitud | 26.03.2024 |
| Liik | Leping |
| Funktsioon | 4.2 Riigi e-teenuste arendamise ja haldamise korraldamine |
| Sari | 4.2-13 Riigi autentimisteenuse (TARA) lepingud |
| Toimik | 4.2-13/2022 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | |
| Saabumis/saatmisviis | |
| Vastutaja | Piret Elm (RIA, EID) |
| Originaal | Ava uues aknas |
ASUTUSESISESEKS KASUTAMISEKS Märge tehtud________
Kehtib kuni________ Alus: AvTS § 35 lg 1 p 9
Teabevaldaja: Riigi Infosüsteemi Amet Riigi autentimisteenuse (TARA) toodangukeskkonna liitumistaotlus
1. Soovime liituda Riigi autentimisteenuse toodangukeskkonnaga. 2. Kinnitame, et oleme välja arendanud omapoolse liidese ja oleme liidest TARA testkeskkonnas
testinud. 3. Kinnitame, et kasutame teenust eesmärgipäraselt ning oleme tutvunud ja nõustume Riigi
autentimisteenuse (TARA) teenuse tingimustega (teenuse üldtingimused, toodangukeskkonna teenustaseme tingimused ja andmekaitsetingimused). Kinnitame, et oleme tutvunud Riigi autentimisteenuse tehnilise dokumentatsiooniga ja arvestame RIA poolt kehtestatud ärikirjelduses toodud nõuete ning soovitustega oma klientrakenduse liidestamisel.
4. Palume 4.1 registreerida meid Riigi autentimisteenuse (TARA) kliendiks; 4.2 väljastada meile klientrakenduse identifikaator ja salasõna; 4.3 avada juurdepääs Riigi autentimisteenuse (TARA) toodanguteenusele.
Kliendi asutuse nimi või nimetus: Registrikood: Aadress: Telefon: E-post:
Kontaktisiku nimi: Kontaktisiku e-post: Kontaktisiku telefon: Kontaktisiku isikukood: (klientrakenduse salasõna krüpteeritult saatmiseks)
Riigi autentimisteenuse kasutamise eesmärk nt avaliku ülesande kirjeldus, mille raames teenust kasutada soovitakse
Klientrakenduse nimetus Klientrakenduse nimetus kuvatakse kasutajale Riigi autentimisteenuse (TARA) autentimisvalikute lehel. Nimetuse pikkus maksimaalselt 150 tähemärki. Soovi korral lisada inglise- ja venekeelsed tõlked.
Klientrakenduse lühinimetus • klientrakenduse nimetus lühendatud kujul • klientrakenduse lühinimetust kuvatakse
kasutajale mobiilseadmega autentimisel. • maksimaalne pikkus 20 - 40 tähemärki
sõltuvalt kasutatud tähemärkidest. Soovi korral lisada inglise- ja venekeelsed tõlked. Loe rohkem siit.
ASUTUSESISESEKS KASUTAMISEKS Märge tehtud________
Kehtib kuni________ Alus: AvTS § 35 lg 1 p 9
Teabevaldaja: Riigi Infosüsteemi Amet
Klientrakenduse kirjeldus:
Autentimismeetod(id), mida soovime kasutada:
Kasutajate arvu prognoos kuus (vabas sõnastuses)
Vajadusel keskkonna täpsustus (toodangu-, eeltoodangu-, koolituskeskkond vm)
Klientrakenduse identifikaatori ettepanek client_id OpenID Connect protokolli kohaselt: Loe nõuete kohta lähemalt siit.
Klientrakenduse tagasisuunamis-URL (redirect-URL), OpenID Connect protokolli kohaselt. Märkus: URL-i fragmendi osa (URL-is `#` sümbol ja sellele järgnev osa) kasutamine ei ole lubatud.
Klientrakenduse backend süsteemi serveri poolne IP-aadress. Identsustõendi otspunktile lastakse ligi üksnes lubatud IP-aadresside alusel. Palun teavitada RIA-t, kui on tekkinud vajadus klientrakenduse IP-aadressi muuta.
Tehniliste teavituste e-posti aadress(id):
Katkestustest teavitamise e-posti aadress(id):
Kliendi esindaja nimi ja amet .................................................................................... (asutuse esindusõigust omav isik) /digitaalselt allkirjastatud/
Koostöökokkuleppe nr 1.1-13/1852-1 lisa
Käesolev koostöökokkuleppe nr 1.1-13/1852-1 lisa (edaspidi lisa) on Riigi Infosüsteemi Ameti
(edaspidi RIA) ja Rahandusministeeriumi Infotehnoloogiakeskuse (edaspidi klient) vahel
sõlmitud koostöökokkuleppe nr 1.1-13/1852-1 (edaspidi kokkulepe) lahutamatuks osaks. RIA
ja klient on kokku leppinud alljärgnevas:
1. Lisa kehtib kliendi poolt RIA-le esitatud Riigi autentimisteenuse (TARA)
toodangukeskkonna liitumistaotluse E-maksuamet/E-toll klientrakenduse e-teenuse
smart-ID autentimismeetodi kohta perioodil 01.01.2022 – 31.12.2022.
2. Klient tasub teenuse eest vastavalt RIA poolt esitatud arvetele kokkuleppe üldtingimuste
punkti 4.2.6, 6.3 ja 6.5 kohaselt. Arve esitatakse kord kuus, hiljemalt autentimisteenuse
kasutamisele järgnenud kuu 15. kuupäevaks, näidates arvel perioodi, mille eest arve
esitatakse.
3. Smart-ID päringu maksumus sõltub kolmanda osapoole poolt kehtestatud hinnast1 (mis
võib olla muutuv tulenevalt päringute mahust kalendrikuus) ning fikseeritakse riigihanke
alusel sõlmitud lepingus.
3.1. Ühe smart-ID päringu maksumus on 0,013 eurot ilma käibemaksuta.
3.2. Sõltuvalt Riigi autentimisteenuste smart-ID päringute kogumahust võib punktis 3.1
toodud ühe smart-ID päringu maksumus olla soodsam.
4. Teenuse summaarne maksumus ühe kalendriaasta jooksul on kuni 30 000 eurot
(käibemaksuta). Piirmäära ületamine või mitteületamine ei mõjuta kalendriaasta jooksul
teenuse osutamist.
Poolte kontaktandmed:
Riigi Infosüsteemi Amet
Margus Noormaa
peadirektor
(allkirjastatud digitaalselt)
Klient
Rahandusministeeriumi Infotehnoloogiakeskus
Nimi: Meelis Riimaa
Amet: direktor
Arve e-posti aadressile: [email protected]
Statistika (arve aluseks) e-posti aadressi(de)le: [email protected]
(allkirjastatud digitaalselt)
1 Smart-ID päringu hinnakiri: https://www.skidsolutions.eu/teenused/hinnakiri/smart-id/
KINNITATUD Riigi Infosüsteemi Ameti peadirektori
01.06.2020 käskkirjaga nr 1.1-2/20-078
1 (5)
Riigi autentimisteenuse üldtingimused
1 ÜLDSÄTTED
1.1 Riigi Infosüsteemi Amet (edaspidi RIA) osutab seadusest ja põhimäärusest tuleneva
haldusülesandena Riigi autentimisteenust (edaspidi TARA), mis võimaldab inimese
autentimist Riigi autentimisteenusega liitunud kliendi jaoks.
1.2 RIA osutab Riigi autentimisteenust järgmistele avaliku sektori asutustele1:
1.2.1 valitsussektorile:
1.2.1.1 keskvalitsuse allsektorile:
1.2.1.2 kohaliku omavalitsuse allsektorile;
1.2.1.3 sotsiaalkindlustusfondide allsektorile.
1.3 RIA osutab Riigi autentimisteenust käesolevas dokumendis, Riigi autentimisteenuse
teenustaseme tingimustes, RIA autentimisteenuste andmekaitsetingimustes (edaspidi koos
nimetatud teenuse tingimused) ja liitumislepingus kirjeldatud tingimustel.
2 MÕISTED
Käesolevates tingimustes kasutatakse mõisteid järgmises tähenduses:
Riigi autentimisteenus RIA arendatud ja hallatav platvorm, mis on liidestatud
kolmanda isiku poolt pakutavate autentimismeetoditega ning
teostab autentimiseks vajalikke (andme)päringuid;
autentimiseks vajalik päring autentimistoimingu sooritamiseks RIA poolt kolmandale
osapoolele tehtav sertifikaadi kehtivuse või isikuandmete
kontrollpäring;
klient teenusega liitunud asutus või isik;
klientrakendus liidestatav kliendi infosüsteem, rakendus või teenus;
teenuse tingimused käesolevad üldtingimused, Riigi autentimisteenuse
teenustaseme tingimused ja RIA autentimisteenuste
andmekaitsetingimused kogumis;
kokkulepe liitumisleping koos teenuse tingimustega.
3 LIITUMINE
3.1 Teenuse toodangukeskkonnas kasutamise eelduseks on edukas teenuse testimine teenuse
testkeskkonnas ja kinnitus selle kohta liitumistaotluses.
3.2 Teenuse kasutamiseks:
3.2.1 saadab klient digitaalallkirjastatud TARA toodangukeskkonnaga liitumistaotluse
kasutajatoe meiliaadressile [email protected];
1 Avaliku sektori üksuste nimekirja avaldab oma kodulehel Rahandusministeerium
https://www.rahandusministeerium.ee/et/riigihaldus.
KINNITATUD Riigi Infosüsteemi Ameti peadirektori
01.06.2020 käskkirjaga nr 1.1-2/20-078
2 (5)
3.2.2 RIA registreerib liitumistaotluse ning vajadusel küsib kliendilt täiendavat
informatsiooni teenuse osutamiseks või osutamise põhjendatuse hindamiseks.
3.2.3 RIA-l on õigus teenuse osutamisest keelduda, kui klient ei vasta punkti 1.2 tingimustele.
3.2.4 Liitumistaotluse rahuldamise korral saadab RIA kliendile eeltäidetud liitumislepingu,
mille klient allkirjastab ja saadab RIA-le tagasi e-posti aadressile [email protected];
3.2.5 RIA allkirjastab liitumislepingu ja edastab kliendile teenuse kasutamiseks
klientrakenduse identifikaatori ja salasõna. Teenus on kasutatav kohe peale
klientrakenduse identifikaatori ja salasõna edastamist.
4 POOLTE ÕIGUSED JA KOHUSTUSED
4.1 Kliendil on õigus:
4.1.1 kasutada teenust õigusaktides ja kokkuleppes sätestatud tingimustel;
4.1.2 edastada teateid RIA kasutajatoele;
4.1.3 nõuda teenuse osutamist vastavalt TARA toodangukeskkonna teenustaseme
tingimustele ja muudele teenuse tingimustele;
4.1.4 tutvuda teenuse osutamise tehnilise lahendusega ja autentimiseks vajalike päringute tasu
arvestuse alustega;
4.1.5 loobuda teenuse kasutamisest teatades loobumise soovist RIA kasutajatoele 7
kalendripäeva ette.
4.2 Kliendil on kohustus:
4.2.1 kasutada teenust üksnes liitumistaotluses märgitud eesmärgil ning sihipäraselt;
4.2.2 mitte jagada teenust edasi RIA eelneva kirjaliku nõusolekuta kolmandatele isikutele;
4.2.3 mitte edastada klientrakenduse salasõna kolmandatele isikutele, rakendada asjakohaseid
turvameetmeid salasõna kaitseks ja teavitada RIA-t viivitamatult salasõna tõenäolisest
või tegelikust lekkimisest;
4.2.4 teha kõik endast olenev, et mitte kahjustada Riigi autentimisteenust ning tagada kliendi
kontrolli all olevate tehniliste lahenduste ja süsteemide turvalisus;
4.2.5 teavitada RIA kasutajatuge 48 tundi ette planeeritavatest muudatustest, mis võivad olla
olulised teenuse kasutamise seisukohalt, sh toovad kaasa päringute mahu
märkimisväärse kasvu;
4.2.6 tasuda teenuse eest vastavalt RIA poolt esitatud arvetele;
4.2.7 teavitada RIA kasutajatuge esimesel võimalusel kontaktandmete ja organisatsioonilise
vormi muutusest;
4.2.8 lugeda regulaarselt enda kontaktisiku e-posti aadressile RIA poolt saadetavaid kirju;
4.2.9 hüvitada RIA-le kokkuleppe rikkumisega süüliselt tekitatud otsene varaline kahju.
4.3 RIA-l on õigus:
4.3.1 teenusesse lisada, eemaldada ja ajutiselt peatada autentimismeetodeid. RIA teavitab
klienti autentimismeetodi peatamisest või eemaldamisest ette vähemalt 2 kuud, v.a kui
autentimismeetodi eemaldamine või peatamine on tingitud turvalisuse tagamise
vajadusest;
4.3.2 seirata ja analüüsida teenuse kasutamist statistilistel, kvaliteedi ja turvalisuse tagamise
eesmärkidel;
4.3.3 logida ja säilitada klientrakenduse logi ning avaldada klientrakenduse turvalogi
seaduses ettenähtud juhtudel;
4.3.4 teha märkusi teenuse mittesihtotstarbelise kasutamise kohta;
KINNITATUD Riigi Infosüsteemi Ameti peadirektori
01.06.2020 käskkirjaga nr 1.1-2/20-078
3 (5)
4.3.5 piirata teenuse osutamist teenuse tingimustes ja õigusaktides sätestatud juhtudel, kui
kliendi kontaktisikut on e-posti teel teavitatud enne teenuse osutamise piiramist
vähemalt 5 (viis) tööpäeva ette. RIA-l on õigus peatada teenuse osutamine viivitamatult,
kui seatakse ohtu teenuse käideldavus või turvalisus.
4.4 RIA-l on kohustus:
4.4.1 tagada teenuse kättesaadavus punktis 9 sätestatud ulatuses vastavalt Riigi
autentimisteenuse toodangukeskkonna teenustaseme tingimustele;
4.4.2 luua võimalus teenuse kasutamiseks peale RIA poolset liitumislepingu allkirjastamist.
4.5 Mõlemal poolel on kohustus:
4.5.1 esimesel võimalusel teisele poolele teatada kõigist asjaoludest, mis kahjustasid või
võivad kahjustada teise poole infosüsteeme, samuti asjaoludest, mis võivad olla
vajalikud tehniliste lahenduste ja süsteemide turvaliseks töötamiseks, hoolduseks või
rikke kõrvaldamiseks;
4.5.2 teist poolt mõjutava rikke ilmnemisel asuma koheselt riket kõrvaldama ja informeerima
rikkest ja selle kestvusest teist poolt.
5 TEAVITUSTE VORM
5.1 Pooled saadavad kõik teated kirjalikult, erandiks on teavitamine planeerimata katkestuse
korral, kus võidakse kasutada teavitamist telefoni teel.
5.2 Klientrakenduste lisamiseks esitab klient liitumistaotluse, klientrakenduse eelmaldamiseks
saadab klient e-postiga teate RIA kasutajatoele.
5.3 Klient saadab kõik teenuse osutamist puudutavad teated kliendi kontaktisiku vahendusel
RIA kasutajatoele. Teiste isikute poolt saadetud nimetatud teated ei ole RIA-e täitmiseks
kohustuslikud, v.a juhul, kui klient on teist isikut selleks volitanud ning RIA-t mõistliku aja
jooksul eelnevalt teavitanud.
5.4 Kliendi kontaktisik edastab teated kasutajatoe kontaktidele:
5.4.1 e-posti aadressile: [email protected];
5.4.2 telefonile: 663 0230;
5.5 Üksnes klienti puudutavad teated saadab RIA kliendi kontaktisiku e-posti aadressile.
6 TASU JA ARVELDUSED
6.1 Teenusega liitumine on kliendile tasuta.
6.2 Kliendil tuleb katta:
6.2.1 enda infosüsteemi arendamise ja liidestamise kulud;
6.2.2 enda infosüsteemi komponentide soetamise ja pidamisega seotud kulud;
6.2.3 autentimiseks vajalike päringute kulud vastavalt RIA poolt esitatud arvetele.
6.3 RIA-l on õigus esitada kliendile arve teenuse kasutamisel tehtud autentimiseks vajalike
päringute eest. Autentimiseks vajalike päringute maksumus sõltub kolmanda osapoole poolt
kehtestatud hinnast2 (mis võib olla muutuv tulenevalt päringute mahust kalendrikuus) ning
fikseeritakse riigihanke alusel sõlmitud lepingus.
6.4 Arve esitatakse kord kvartalis, näidates arvel perioodi, mille eest arve esitatakse. RIA-l on
õigus pakkuda teenust kliendile tasuta ja jätta arve esitamata eelarveliste vahendite
olemasolul.
2 Päringute hinnakirjad: https://www.skidsolutions.eu/teenused/hinnakiri/.
KINNITATUD Riigi Infosüsteemi Ameti peadirektori
01.06.2020 käskkirjaga nr 1.1-2/20-078
4 (5)
6.5 Klient tasub arve pangaülekandega arvel märgitud arveldusarvele arve väljastamisele
järgneva 14 (neljateistkümne) kalendripäeva jooksul.
7 AVALIKU TEABE JA ISIKUANDMETE TÖÖTLEMINE
7.1 Kuivõrd RIA osutab Riigi autentimisteenust seadusest ja põhimäärusest tuleneva
haldusülesandena, on selle ülesande raames tekkiv teave avalik teave, millele seatakse
juurdepääsupiirangud seaduses sätestatud alustel ja korras.
7.2 RIA töötleb Riigi autentimisteenuse osutamise raames isikuandmeid isikusamasuse
tuvastamiseks kliendi tarbeks, edastades autentimise tulemuse kliendile. Autentimise
raames töödeldavate isikuandmete osas on klient isikuandmete vastutav töötleja ning RIA
volitatud töötleja.
7.3 RIA säilitab autentimistoimingu, sh autentimiseks vajalike päringute logisid ning on selles
osas isikuandmete vastutav töötleja.
7.4 Riigi autentimisteenuse raames töödeldavate isikuandmete koosseis ja andmete säilitamise
tähtajad on sätestatud TARA andmekaitsetingimustes.
7.5 Pooled kohustuvad nõuetekohaselt määrama ja tähistama juurdepääsupiiranguga teabe
(eeskätt isikuandmed ja turvaandmed, näiteks info turvameetmete, turvaintsidendi või selle
ohu kohta või info tehnoloogiliste lahenduste kohta, mille avalikuks tuleks ohustaks
infosüsteemi turvalisust).
7.6 Pool teavitab teist poolt viivitamatult, kui on kokkuleppe täitmise käigus saanud
nõuetekohaselt märgistamata teabe, mis peaks seaduse järgi olema juurdepääsupiiranguga.
Sellist teavet kohustub pool hoidma saladuses sõltumata nõuetekohase märgistuse
puudumisest.
7.7 Pooled kohustuvad hoidma saladuses juurdepääsupiiranguga teavet ning töötlema ja
avaldama seda üksnes seaduses sätestatud alustel ja korras.
7.8 Saladuses hoidmise kohustus (konfidentsiaalsuskohustus) kehtib vastavalt
juurdepääsupiirangu tähtaegadele sõltumata kokkuleppe kehtivusest või lõppemisest.
7.9 Pooled edastavad juurdepääsupiiranguga teavet ainult nendele töötajatele, kes on teenusega
otseselt seotud, ja kindlustavad, et need töötajad on teadlikud ja täidavad konfidentsiaalsuse
nõuet.
7.10 Pooled rakendavad juurdepääsupiiranguga teabe, sealhulgas isikuandmete kaitseks
asjakohaseid tehnilisi ja korralduslikke meetmeid tagamaks isikuandmete
konfidentsiaalsuse, tervikluse ja käideldavuse.
7.11 Pooled teavitavad üksteist viivitamatult konfidentsiaalsuskohustuse täitmisega
seonduvatest takistustest, mis on tekkinud või tõenäoliselt võivad tekkida.
7.12 Konfidentsiaalsuskohustuse rikkumist käsitletakse kui kokkuleppe olulist rikkumist.
8 TINGIMUSTE MUUTMINE
8.1 RIA-l on õigus ühepoolselt muuta teenuse tingimusi, kui seda tingivad muudatused
kehtivates õigusaktides või tavades, vastava valdkonna või teenuste tehnilised või sisulised
arengud, klientidele teenuste kasutamiseks täiendavate või paremate võimaluste loomine
või vajadus täpsustada teenuste osutamise või kasutamisega seotud asjaolusid. Teenuse
tingimuste muudatustest teatab RIA kliendile kirjalikult hiljemalt 14 kalendripäeva ette (v.a
punktis 6.3. sätestatud juhul).
8.2 Kui klient ei nõustu teenuse tingimuste muudatustega, on tal õigus kokkulepe lõpetada,
teatades sellest RIA-le 1 (ühe) kuu jooksul arvates muudatuste kehtima hakkamise teate
saamise päevast. Kokkuleppe ülesütlemiseni on kokkulepe kehtiv ja klient on kohustatud
täitma oma kohustusi, kusjuures nende kohustuste täitmise osas kohaldatakse kliendi suhtes
seniseid tingimusi.
KINNITATUD Riigi Infosüsteemi Ameti peadirektori
01.06.2020 käskkirjaga nr 1.1-2/20-078
5 (5)
8.3 Kui klient 1 (ühe) kuu jooksul arvates muudatuste kehtima hakkamise teate saamise päevast
ei avalda soovi kokkulepet lõpetada, loetakse, et ta on vaikimisega nõustunud muudetud
tingimustega.
9 VASTUTUS
9.1 RIA ei vastuta teenuse kättesaadavust ja kvaliteeti mõjutavate RIA-st mittesõltuvate
asjaolude eest (sh autentimismeetodi ega autentimiseks vajalike päringute toimimise eest
ulatuses, milles need on kolmanda osapoole vastutusalas) ega häirete, informatsiooni
edastamise viivituste, jms juhtumite eest, mis ei allu RIA kontrollile.
9.2 RIA ei vastuta kliendi tegevuse või tegevusetusega põhjustatud andmete hävimise või
kadumise ega teenuse mittetoimimise eest juhul, kui katkestus on põhjustatud kliendi
tegevusest või tegevusetusest.
9.3 Pool ei vastuta kohustuste täitmata jätmise eest, kui see tuleneb vääramatust jõust.
Vääramatu jõuna käsitlevad pooled asjaolu, mida pool ei saa mõjutada, sealhulgas, kuid
mitte ainult tulekahju, plahvatus, loodusõnnetus, sõda, streik, üldine elektrikatkestus, äike,
erakordsed ilmastikuolud.
9.4 Pool, kelle tegevus kokkuleppega sätestatud kohustuste täitmisel on takistatud vääramatu
jõu asjaolude tõttu, on kohustatud sellest teisele poolele teatama esimesel võimalusel,
kasutades sidevahendeid, mis tagavad operatiivseima infovahetuse.
9.5 Vääramatust jõust teatamisel lepivad pooled kokku, mil viisil ning mis mahus jätkata
kokkuleppe täitmist kooskõlas riikliku kriisireguleerimise plaaniga. Antud kokkulepe
vormistatakse esimesel võimalusel kirjalikult.
10 KOKKULEPPE LÕPPEMINE
10.1 Kokkulepe lõppeb kokkuleppes, teenuse tingimustes ja/või õigusaktides toodud alustel.
10.2 Pooltel on õigus kokkulepe üles öelda, teatades sellest teisele poolele ette vähemalt kolm
(3) kalendrikuud, kui kokkuleppes ei ole sätestatud teisiti.
10.3 RIA-l on õigus kokkulepe üles öelda ilma etteteatamise tähtaega järgimata ja lõpetada
viivitamatult kliendile teenuse osutamine, kui pool on rikkunud oluliselt mistahes
kokkuleppe tingimusi. Oluliseks rikkumiseks loetakse muuhulgas:
10.3.1 rahaliste kohustuste täitmisega viivitamist üle ühe (1) kalendrikuu;
10.3.2 kokkuleppe tingimuste rikkumist ning rikkumise jätkamist pärast RIA poolse teavituse
saamist või kui rikkumine on sedavõrd tõsine (nt tahtlik tegevus teenuste
kahjustamiseks), et RIA-lt ei saa eeldada kokkuleppe täitmise jätkamist.
10.4 Kokkuleppe ülesütlemine või lõppemine ei vabasta poolt kohustusest täita teise poole ees
vastava kokkuleppe kestuse ajal kokkuleppest tekkinud kohustusi.
KINNITATUD
Riigi Infosüsteemi Ameti peadirektori
__.__.2022 käskkirjaga nr _______
Riigi Infosüsteemi Ameti autentimisteenuste andmekaitsetingimused
1. Käesolevas dokumendis selgitatakse, milliseid isikuandmeid ja mis eesmärgil Riigi
Infosüsteemi Ameti (edaspidi RIA) autentimisteenustes töödeldakse.
2. Käesolevad andmekaitsetingimused rakenduvad:
Riigi autentimisteenusele (TARA)
Riigi SSO teenusele (GOVSSO)
Euroopa Liidu piiriülese autentimistaristu Eesti sõlmele (Riiklik eIDAS-Node).
2.1 Käesolevad andmekaitsetingimused täiendavad ülaltoodud teenuste üldtingimusi.
3. Andmesubjekt (edaspidi kasutaja) on füüsiline isik, kes suunatakse Eesti või välisriigi
klientrakendusest (nt e-teenusest) RIA autentimisteenustesse isikusamasuse tuvastamisele
(autentimisele).
4. Isikuandmete töötlemise õiguslik alus
RIA töötleb isikuandmeid käesoleva dokumendi punktis 2 toodud teenuste raames seadusest ja
RIA põhimäärusest tuleneva haldusülesandena, mis võimaldab isiku autentimist teenustega
liitunud kliendi jaoks.
5. Autentimisandmed
5.1. Teenustes töödeldakse kasutajate kohta järgmisi andmeid (“autentimisandmed”):
Kasutajat identifitseerivad andmed:
kasutaja autentimissertifikaat; 1
kasutaja isikukood vm isiku identifikaator;
kasutaja ees- ja perekonnanimi;
kasutaja sünniaeg;
kasutaja riik;
registrikood vm juriidilise isiku identifikaator;
juriidilise isiku ärinimi;
liidestunud e-teenuse kontaktisiku nimi, isikukood, e-posti aadress ja telefoni number.
Autentimistoimingu andmed:
kuupäev ja kellaaeg;
klientrakendus, kust kasutaja autentimisele suunati;
autentimismeetod, sh mobiil-ID puhul mobiilinumber;
IP-aadress, millelt kasutaja autentimisele suunati;
autentimise tulemus (autenditud või mitte).
1 Sertifikaatide profiili kirjeldus on leitav: https://www.skidsolutions.eu/repositoorium/profiil/
KINNITATUD
Riigi Infosüsteemi Ameti peadirektori
__.__.2022 käskkirjaga nr _______
5.2. Autentimisandmete väljastamine
5.2.1. Autentimisandmeid väljastatakse RIA autentimisteenustega liidestatud
klientrakendusele või Euroopa Liidu piiriülese autentimistaristu teise liikmesriigi
sõlmele (eIDAS-Node).
5.2.1.1. ID-kaardi, mobiil-ID ja Smart-ID-ga autentimise korral saadetakse autentimisandmed
SK ID Solutions AS-i välistele teenustele järgmises koosseisus:
5.2.1.1.1. Kehtivuskinnitusteenus (kasutaja autentimissertifikaadi seerianumber);
5.2.1.1.2. MID REST API veebiteenus (kasutaja isikukood ja mobiilinumber);
5.2.1.1.3. Smart-ID veebiteenus (kasutaja isikukood).
5.2.2. Andmete väljastamisel lähtutakse isikuandmete töötlemise minimaalsuse põhimõttest.
Väljastatakse minimaalsed autentimise fakti ja tuvastatud isikut identifitseerivad
andmed. Näiteks mobiil-ID-ga autentimisel ei väljastata kasutaja mobiilinumbrit RIA
autentimisteenustega liidestatud klientrakendustele ega Euroopa Liidu piiriülese
autentimistaristu teise liikmesriigi sõlmele.
5.2.3. Kasutajale on autentimise tulemus (sisse logitud või mitte) nähtav veebisirvikus.
5.3. Klientrakendustega suhtlemisel kasutatakse krüpteeritud kanaleid.
5.4. Eesti eID kasutaja autentimisandmete saatmisel Euroopa Liidu piiriülese
autentimistaristuga (eIDAS-Node) liitunud teise riiki küsitakse TARAs kasutaja
nõusolekut.
6. Turvalogi
6.1. Teenuses logitakse autentimistoimingu andmed koos isikut identifitseerivate andmetega
järgmistel eesmärkidel:
6.1.1. teenuse väärkasutamise, sh identiteedivarguste ja nende katsete, samuti küberrünnakute
avastamiseks ja uurimiseks;
6.1.2. tehniliste tõrgete avastamiseks ja kõrvaldamiseks. Tehniline tõrge võib olla nii riist- kui
ka tarkvara viga, võrguühenduse viga vms;
6.1.3. teenustega liidestatud e-teenuste omanike (asutuste) poolt raporteeritud tehniliste
probleemide põhjuste väljaselgitamiseks;
6.1.4. kasutajate pöördumiste (teated võimalike turvaprobleemide või tehniliste rikete kohta)
menetlemiseks.
6.2. Logile juurdepääs on rangelt vajaduspõhine. Ligi pääsevad ainult teenuse käitamisega
otseselt seotud süsteemi- ja teenusehaldurid, vajadusel ka turvaintsidentide uurimisega
tegelevad ametiisikud.
6.3. Autentimisi soovitame logida ka klientrakenduse poolel. See on vajalik nii tehniliste
tõrgete kui ka teenuse väärkasutuse tuvastamisel ja uurimisel.
7. Statistikalogi
7.1. Statistikalogi eesmärk on teenuste kasutamise kohta statistika tootmine teenuse juhtimise
ja edasiarendamise eesmärgil.
7.2. Statistikalogisse kogutakse andmed autentimistoimingute kohta ilma isikut
identifitseerivate andmeteta.
7.3. Statistikalogi põhjal koostatakse ja avalikustatakse isikuandmeid mittesisaldavaid
statistilisi aruandeid.
7.4. Logisid säilitatakse üks aasta.
KINNITATUD
Riigi Infosüsteemi Ameti peadirektori
__.__.2022 käskkirjaga nr _______
8. Liidestatud asutuse kontaktisikud
Teenuste haldamise eesmärgil kogutakse liidestatud asutuste kontaktisikute andmeid:
kontaktisiku nimi;
kontaktisiku e-posti aadress;
kontaktisiku telefon;
kontaktisiku isikukood.
9. Andmete varundamine
9.1 Varundusprotsess käivitatakse vähemalt korra ööpäeva jooksul. Kõikide teenuste
komponentide andmete (konfiguratsioon, andmebaas, logid) tagavarakoopiad säilitatakse
ühe põhimõtte alusel – 7 päeva / 4 nädalat / 12 kuud.
9.2. Taastada on võimalik jooksva nädala päevade, jooksva kuu nädalate lõpu või viimase 12
kuu lõpu seisuga salvestatud andmed.
9.3. Varunduslahenduses krüpteerimist ei kasutata.
10. Turvalogide väljastamine
Turvalogi väljastatakse juhul, kui seda näeb ette seadus (näiteks õiguskaitseasutusele
kriminaalmenetluses või andmesubjektile tema taotlusel).
11. Andmesubjekti õigused isikuandmete töötlemisel
11.1. Andmesubjektil on igal ajal õigus pöörduda RIA poole vastavasisulise lihtkirjaliku ja
vabas vormis taotlusega e-posti aadressil [email protected], et:
11.1.1. Taotleda juurdepääsu andmesubjekti kohta käivatele isikuandmetele;
11.1.2. Asjakohasel juhul rakendada isikuandmete kaitse üldmääruse III peatükist tulenevaid
muid õigusi.
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|---|---|---|---|---|---|
| Leping | 29.01.2024 | 58 | 4.2-13/24/5-1 | Leping | ria |