Valitsusportaali keskse majutus- ja haldusteenuse teenuslepingu muutmise kokkulepe nr 1.1-4/078-1

Lisa 3 VALITSUSPORTAAL 2.0 ARENDUSMUDEL

1. Arendusmudeli eesmärk

Valitsusportaal (edaspidi VP) sisaldab lahendusi ja funktsionaalsust, mis võimaldab veebilehe

loomist sellele ilma täiendava arendusvajaduseta. VP arendusmudeli eesmärgiks on kirjeldada

valitsusportaali arendusprotsessi ning selle järgimine tagab:

1.1. tarkvara platvormi ja selle funktsionaalsuste ajakohasuse ja terviklikkuse;

1.2. tarkvara platvormi edasiarendatavuse;

1.3. edasiarenduste kasutatavuse asutuste vaheliselt mistahes ajahetkel minimaalsete kuludega;

1.4. uute VP instantside loomise koos kõikide selleks hetkeks loodud funktsionaalsustega;

1.5. uute arenduste vastavuse valdkonnas kehtivatele standarditele (WCAG, OWASP);

1.6. et uued arendused ei põhjusta tarkvara platvormi üldist jõudluskadu ega sea takistusi selle

käideldavusele;

1.7. arendusvajadused oleks koondatud ning esitatud valitsusportaali demokeskkonna kaudu

https://demo.test.rmit.ee/poordumine.

2. Arenduse vastavus kehtestatud standarditele ja nõuetele

Uus arendatav moodul peab vastama:

2.1. keskse haldus- ja majutuspartneri kehtestatud IT-profiilile, millega tagatakse infosüsteemide

(sh VP) optimaalsed haldus-, hooldus- ja koolituskulud ning minimeeritakse tehnilist keerukust;

2.2. keskse haldus- ja majutuspartneri kehtestatud mittefunktsionaalsete, ristfunktsionaalsete ja

tehnilistele nõuetele;

2.3. Juurdepääsetavus standard WCAG 2.1 AA tasemele;

2.4. Turvalisuse standard OWASP ASVS 3.0 tase 2-le;

2.5. VP 2.0 stiiliraamatule.

3. Arendusprotsessiga seotud rollid ja kohustused

3.1. Asutus (tellija), mis vajab veebi arendusena lisa moodulit või -funktsionaalsust vms vajadust:

3.1.1. tutvustab arendusvajadust digikommunikatsiooni töörühmas enne arenduste tellimist ja ka

peale selle realiseerimist;

3.1.2. koostab ärivajadust käsitleva lähteülesande, milles on välja toodud püstituse kirjeldus ja

sellega saavutatav tulemus;

3.2. Riigikantselei (valitsusportaali vastutav töötleja):

3.2.1. korraldab digikommunikatsooni töörühmas arendusvajaduste tutvustamise ja sellega

seonduvad arutelu;

3.2.2. korraldab arendusvajaduste lähteülesande kirjelduste ning seotud dokumentatsiooni

kogumise ja kättesaadavuse asutustele;

3.2.3. esitab keskse haldus- ja majutusteenuse osutajale pisiarenduste tellimused ning kontrollib

nende täitmist.

3.3. Arenduspartner:

3.3.1. teostab arendustööd vastavalt arendusprotsessi reguleerivatele alusdokumentidele ja

standarditele;

3.3.2. loob vajadusel prototüüpvaated ja korraldab kasutatavuse analüüsi;

3.3.3. loob lisaarendustega kaasneva dokumentsatsiooni ja kasutusjuhendid;

3.3.4. koostab lisaarendustele paigaldus- ja seadistusjuhised;

3.3.5. viib läbi funktsionaalse ja mittefunktsionaalse testimine, sh vastavus-, jõudlus- ja

koormustestimise, kasutatavuse testimise, turvalisuse testimise, juurdepääsetavuse testimise ning

esitab sellekohased raportid kesksele haldus- ja majutuspartnerile.

3.4. Keskne haldus- ja majutuspartner:

3.4.1. korraldab arendustegevusega seonduva projektijuhtimist osas, mis puudutab alustingimuste

täpsustusi ja arenduste paigaldamist kesksesse koodihoidlasse;

3.4.2. hoiab arendustingimusi sätestava alusdokumentatsiooni ajakohasena ja tagab selle

kättesaadavuse arenduspartneritele;

3.4.3. hoiab platvormteenuse dokumentsatsiooni ajakohasena ja tagab selle kättesaadavuse

arenduspartnerile;

3.4.4. annab arenduspartnerile lähtekoodi arendustööde teostamiseks vajaliku keskkonna

loomiseks (GIT repo või nightly built Docker image), tehes seda Riigikantselei nõusoleku alusel;

3.4.5. paigaldab veebi lisaarendused kesksesse koodirepositooriumisse ning tagab selle

kättesaadavuse asutuse veebilehel või arendusest huvitatud teistele asutustele (tellijatele).

4. Arendustööde teostamise kord

4.1. Arendustöid võivada teostada:

4.1.1. Asutuse enda arendusüksus;

4.1.2. Asutuse enda IT-maja;

4.1.3. Keskne haldus- ja majutuspartner;

4.1.4. Väline partner erasektorist.

4.2. Keskne haldus- ja majutuspartnerilt on valik tellida lisateenusena: turvatestide teostamine

teostatud arendusele ning koodi ühildamine ja valideerimine kolmandate osapoolte poolt teostatud

arendustele.

4.3. Keskne haldus- ja majutuspartner korraldab VP platvormile ca 64 tunni ulatuses keskseid

pisiarendusi ühes kalendrikuus.

4.4. Pisiarendused (kuni 2 tööpäeva arendusmahuga), mis ei mahu keskselt pakutava

arendustundide sisse või on teostatud mõne teise partneri poolt nt aegkriitilisuse tõttu, vajavad

samuti punktis 3.3 nimetatud dokumentsatsiooni koostamist või vajadusel täiendatakse

olemasolevat informatsiooni.

4.5. Arendustööde teostaja võib punktis 3.3 nimetatud kohustusi jagada keskse haldus- ja

majutusparteriga eelnevalt sõlmitud kokkulepete alusel.

4.6. Vajadusel moodustatakse poolte kokkuleppel lisaarenduste teostamiseks (planeerimisest kuni

juurutamise lõpuni) ajutised tööruumid.

5. Digikommunikatsioon töörühma teavitamine lisaarendustest

5.1. asutus teavitab arendusvajadusest töörühma. Erandlikult ajakriitilisest arendusest

(arendusmahuga kuni 2 tööpäeva) ei pea töörühma teavitama. Eelnev teavitamine võimaldab:

5.1.1. leida püstitusele lahendus olemasoleva funktsionaalsuse pealt;

5.1.2. laiendada võimalusel püstitust selliselt, et see täidaks universaalsemal kujul rohkemate

asutuste vajadusi;

5.1.3. leida püstitusele teisi huvitatud osapooli arenduskulu jaotamiseks või kõikide osapoolte

huvi korral tellida keskselt;

5.2. Töörühma teavitamine peale juurutust on samuti oluline, et hoida funktsionaalsusega seonduv

info ajakohane.

5.3. Teavitustegevusel puudub kindel formaat.

Lisa 1. Arendusprotsessi põhisammud

Lisa 4 Andmetöötlus

1. Eesmärk.

1.1 Käesoleva lisa eesmärk on kokku leppida volitatud töötleja õigustes ja kohustuses

isikuandmete töötlemisel, millest pooled valitsusportaali teenuslepingu (edaspidi leping)

täitmisel juhinduvad. Käesolev lisa kujutab endast isikuandmete töötlemist puudutavat

andmetöötluse lepingut vastavalt Euroopa Liidu isikuandmete kaitse üldmäärusele

(2016/679) (edaspidi: üldmäärus).

1.2 Lisas sätestatud tingimused kehtivad juhul, kui Rahandusministeeriumi

Infotehnoloogiakeskus (edaspidi RMIT) töötleb tellija nimel isikuandmeid üldmääruse

mõistes.

1.3 Andmesubjektide kategooriad ja isikuandmete liigid, mida lepingu täitmisel töödeldakse

(edaspidi: isikuandmed), isikuandmete töötlemise kestus, iseloom ja eesmärgid on välja

toodud alljärgnevalt:

Töötlemise kestus

Töötlemise laad Töötlemise eesmärk

Töödeldavate isikuandmete kategooriad

Andmesubjektide kategooriad

Veebivormid Kuni välja kuulutatud konkursi registreerimise või küsitluse lõpuni millele lisandub 31 päeva andmete varukoopia kustutamiseni.

Andmed, mida registreerimiseks, küsitluseks või konkursi korraldamiseks oleme pidanud vajalikuks küsida ning mille kodanik meile vormi kaudu ise esitab, töödeldakse elektrooniliselt.

Isikusamasus tuvastamiseks konkursi, registreerimise või küsitluse läbiviimisel

Eelkõige ees- ja perekonnanimi ja isikukood), kontaktandmed (telefon, e-post, elukoht) ja muu vajaminev lisainfo, mis võib vastavalt veebivormile (st küsitluse, konkursi või registreerimise iseloomust) erineda.

Füüsilised isikud, kes soovivad konkursil osaleda, ennast registreerida või küsitlusel osaleda

Veebilehe tavapärane külastamine

Kuni külastaja lahkub veebilehelt.

Andmeid töödeldakse elektrooniliselt.

Koguda statistilise analüüsi jaoks vajaminevaid arvandmeid veebilehe külastatavuse kohta.

IP-aadress. Füüsilisest isikust veebilehe külastaja

2. Isikuandmete töötlemine.

2.1 RMIT töötleb isikuandmeid ainult tellijalt saadud dokumenteeritud juhiste alusel,

sealhulgas seoses isikuandmete edastamisega kolmandale riigile või rahvusvahelisele

organisatsioonile, välja arvatud juhul, kui RMIT on kohustatud seda tegema talle

kohalduva liidu või liikmesriigi õigusega.

2.2 RMIT kohustub hoidma lepingu täitmise käigus teatavaks saanud isikuandmeid

konfidentsiaalsena ning mitte töötlema isikuandmeid muul kui lepingus sätestatud

eesmärgil. Samuti tagama, et isikuandmeid töötlema volitatud isikud (sh teised volitatud

töötlejad, volitatud töötleja töötajad jt, kellel on ligipääs lepingu täitmise käigus

töödeldavatele isikuandmetele) järgivad konfidentsiaalsusnõuet.

2.3 RMIT võib isikuandmete töötlemiseks kasutada teisi volitatud töötlejaid üksnes tellija

(vastutava töötleja) eelneval nõusolekul, mis on antud vähemalt kirjalikku taasesitamist

võimaldavas vormis. Ilma tellija kirjalikku taasesitamist võimaldava nõusolekuta võib RMIT

kasutada isikuandmete töötlemiseks teisi volitatud töötlejaid üksnes juhul, kui see on

vajalik tema info- ja sidesüsteemide hoolduseks, kui hoolduse läbiviimine ilma

isikuandmeid töötlemata pole võimalik.

2.4 RMIT aitab võimaluste piires tellijal asjakohaste tehniliste ja korralduslike meetmete abil

täita vastutava töötleja kohustusi vastata üldmääruse tähenduses kõigile andmesubjekti

taotlustele oma õiguste teostamisel, muu hulgas edastades kõik andmesubjektidelt

saadud andmete kontrollimise, parandamise ja kustutamise, andmetöötluse keelamise ja

muud taotlused vastutavale töötlejale viivitamatult nende saamisest alates.

2.5 RMIT aitab vastutaval töötlejal täita üldmääruse artiklites 32–36 sätestatud kohustusi,

võttes arvesse isikuandmete töötlemise laadi ja volitatud töötlejale kättesaadavat teavet.

2.6 RMIT teeb tellijale kättesaadavaks kogu teabe, mida on vaja üldmääruse artiklis 28

kehtestatud kohustuste täitmise tõendamiseks ning mis võimaldab tellijal või tellija poolt

valitud audiitoril teha auditeid, sealhulgas kontrolle.

3. Isikuandmete töötlemisega seotud rikkumistest teavitamine.

3.1 RMIT teavitab tellijat kõikidest isikuandmete töötlemisega seotud rikkumistest, või kui on

alust kahtlustada, et selline rikkumine on aset leidnud, ilma põhjendamatu viivituseta

alates hetkest, kui RMIT või tema poolt kasutatav teine volitatud töötleja saab teada

isikuandmete töötlemisega seotud rikkumisest või on alust kahelda, et selline rikkumine

on aset leidnud.

3.2 RMIT peab viivitamatult, aga mitte hiljem kui 24 tundi pärast rikkumisest teada saamist

edastama vastutavale töötlejale kogu isikuandmetega seotud rikkumist puudutava

asjakohase informatsiooni. Juhul, kui kõiki asjaolusid ei ole võimalik selleks ajaks välja

selgitada, esitab volitatud töötleja vastutavale töötlejale esialgsed andmed ning kogu info

esimesel võimalusel.

3.3 Tellija vastutab järelevalveasutuse teavitamise eest.

4. Vastutus

4.1 Tellija vastutab, et RMIT-le lepingu täitmise käigus edastatud isikuandmed on õiged ja, et

tal on õiguslik alus neid isikuandmeid töödelda, ka. kolmandale isikule edasi anda.

4.2 RMIT ei vastuta kahju eest, mis on tekkinud talle tellija süül, ilma õigusliku aluseta

edastatud andmete töötlemise tõttu.

4.3 RMIT vastutab kahju eest, mida ta on tekitanud tellijale, andmesubjektidele või muudele

kolmandatele isikutele isikuandmete töötlemise tagajärjel, mis on tekitatud käesoleva lisa

nõudeid, rikkudes.

5. Muud sätted

5.1 RMIT kohustub lepingu lõppemisel tagastama tellijale kõik andmesubjektide isikuandmed

või kustutama või hävitama isikuandmed ja nende koopiad vastavalt tellija antud juhistele.

Kui pole antud teistsuguseid juhiseid, siis tuleb isikuandmed tagastada või hävitada või

kustutada mitte hiljem kui 10 tööpäeva jooksul peale lepingu lõppemist, välja arvatud

juhul, kui Euroopa Liidu või selle liikmesriigi õiguse kohaselt nõutakse andmete säilitamist.

5.2 RMIT teavitab tellijat kirjalikult kõigist muudatustest, mis võivad mõjutada tema võimet

või väljavaateid pidada kinni käesolevast lisast ja vastutava töötleja dokumenteeritud

juhistest. Pooled lepivad kõigis käesolevat lisa puudutavates täiendustes ja muudatustes

kokku kirjalikult.

5.3 Kohustused, mis oma iseloomu tõttu peavad jääma jõusse hoolimata käesoleva lisa

kehtivuse lõppemisest, nagu konfidentsiaalsuskohustus, jäävad jõusse ka pärast käesoleva

lisa kehtivuse lõppemist ning nendele rakendatakse lepingus sätestatut, kui käesolevas

lisas ei ole kokku lepitud teisiti.

Valitsusportaali keskse majutus- ja haldusteenuse teenuslepingu

muutmise kokkulepe nr 1.1-4/078-1

Siseministeerium, registrikood 70000562, Pikk 61, 15065 Tallinn, keda esindab põhimääruse

alusel kantsler Tarmo Miilits (edaspidi tellija, lühend SiM)

ja

Rahandusministeeriumi Infotehnoloogiakeskus, registrikood 70009244, asukoht Lõõtsa 8a,

11415 Tallinn, keda esindab põhimääruse alusel direktor Meelis Riimaa (edaspidi

teenuseosutaja, lühend RMIT),

on kokku leppinud poolte vahel 21.02.2022 sõlmitud teenuslepingu nr 1.1-4/078 (edaspidi

leping) muutmises punkti 12.6 alusel järgnevalt:

1. Muudetakse punkti 2.3.1.9 ja sõnastatakse see järgnevalt:

2.3.1.9 omab õigust teha ühepoolselt ja tellijat eelnevalt teavitamata muudatusi teenuse

osutamise tingimuste, kui need on vajalikud infoturbekaalutlustel ning teavitab

tellijat peale muudatuste rakendamist ühe tööpäeva jooksul;

2. Muudetakse punkti 3.1.1 ning sõnastatakse see järgnevalt:

3.1.1 platvormide paigaldust ja seadistust teenuseosutaja hallatavas Riigipilve ja RMIT

taristul olevate projektide osas;

3. Muudetakse punkti 3.1.3.2 ning sõnastatakse see järgnevalt:

3.1.3.2 Riigipilve taristu maht ühe platvormi kohta, millega on tagatud ressurss

järgnevalt: protsessori maht vCPU 8; operatiivmälu maht RAM 10 GB; salvestusmaht

16 GB (tootekeskkond);

4. Lisatakse punkt 3.1.3.3 järgmises sõnastuses:

3.1.3.3 RMIT taristu maht ühe platvormi kohta, millega on tagatud ressurss järgnevalt:

protsessori maht vCPU 8; operatiivmälu maht RAM 10 GB; salvestusmaht 16 GB

(testkeskkond).

5. Asendatakse punktis 3.2.1.1.1 RMITi IT kasutajatoe e-posti aadress aadressiga

[email protected].

6. Asendatakse punktis 3.2.1.1.2 RMITi IT kasutajatoe telefoni number numbriga 671

3888.

7. Muudetakse punktis 3.2.2 toodud intsidentide vastamise tabelit ning lisatakse tabelisse

tulp „Lahendusaeg“ järgmiselt:

Mõju Prioriteet Reageerimisaeg vea

lokaliseerimiseks

Lahendusaeg

Töö on täielikult

takistatud, ärilahendus

ei toimi

Kriitiline Kuni 15 minutit Kuni 1 tund

8. Lisatakse punkt 4.1.6 järgmises sõnastuses:

4.1.6 Projektijuhi teenus – projektijuht koordineerib lisaarendustega seotud tegevusi

(lähteülesande valideerimisest kuni arenduse tootestamiseni), viib läbi juurutustööde

väliselt täiendavaid kasutajakoolitusi ja osutab konsultatsiooniteenust. Projektijuht

omab teadmisi platvormi ülesehituse ja loogika põhimõtete kohta, on kursis juba

arendatud funktsionaalsustega ning oskab teha seadistusi platvormi administreerimise

liideses.

9. Täiendatakse punkti 5.1 kahe lausega järgmises sõnastuses:

„Juhul kui nimetatud summa muutub, siis sõlmitakse selle kohta lepingu lisa. Muul

juhul kehtib viimane kokkulepitud maksumus.“

10. Muudetakse punkti 8.1.1 sõnastust järgnevalt:

8.1.1 Tellja esindaja Kaja Sepp (kommunikatsiooniosakonna juhataja)

[email protected];

11. Muudetakse Lisa 1 ja täiendatakse lisateenuste tabelit järgmise veeruga:

Lisateenus Projektijuhi

teenus

Arveldatakse vastavalt tunni arvestuse alusel 50 €/1h

12. Asendatakse teenuslepingu lisa 3 „VP arendusmudel“ (lisatud).

13. Lisatakse teenuslepingu lisa 4 „Andmetöötlus“ (lisatud).

Tellija Teenuseosutaja

(allkirjastatud digitaalselt) (allkirjastatud digitaalselt)

Töö on osaliselt

takistatud, ärirakenduse

funktsioonid osaliselt ei

toimi

Kõrge Kuni 2 tundi Kuni 4 tundi

Töö on häiritud,

ärirakenduse

funktsionaalsus toimib

vigadega

Keskmine Kuni 8 tundi Kuni 1 tööpäev

Töö ei ole häiritud Madal Kuni 48 tundi Kuni 5 tööpäeva