Taotlus

KÜBERTESTI KASUTAMISE TAOTLUS

Käesoleva taotluse esitamisega soovib Klient hakata kasutama Kübertesti platvormi

vastavalt „Kübertesti platvormi kasutamise üldtingimustele” (Lisa 1). Klient peab täitma taotluses kõik väljad.

Kliendi kontaktandmed

Asutus: _____________________________________

Registrikood: _____________________________________

Aadress: _____________________________________

Telefon: _____________________________________

E-post: _____________________________________

Nimi: _____________________________________

(esindusõigust omav isik)

Amet: _____________________________________

Vastutav isik: _____________________________________

Vastutava isiku e-post: _____________________________________

Vastutava isiku telefon: _____________________________________

Vastutava isiku isikukood: _____________________________________

Taotluse allkirjastamisega Klient kinnitab, et ta on tutvunud ja nõustub Kübertesti platvormi

kasutamise üldtingimustega ning nõustub, et RIA võib töödelda Kliendi ja tema teenistujate

andmeid teenuse osutamiseks vajalikus ulatuses ning vastavalt „Kübertesti andmekaitse

põhimõtetele” (Lisa 2).

…………………………..

/allkirjastatud digitaalselt/

LISA 1

KÜBERTESTI PLATVORMI KASUTAMISE ÜLDTINGIMUSED

Kohaldatakse Riigi Infosüsteemi Ameti (edaspidi RIA) domeenis majutatud platvormi

kasutamisele alates 1. jaanuarist 2023.

1. ÜLDSÄTTED

1.1. Tingimustes kasutatakse järgmisi mõisteid.

Klient on teenusega liitunud asutus, kelle volitatud esindaja on allkirjastanud taotluse

Kübertesti kasutamiseks.

Vastutav isik on Kliendi poolt Kübertesti kasutamise taotluses välja toodud isik.

Teenus on kliendile pakutav Kübertesti platvorm.

Kübertest on küberhügieeni tarkvara, mille eesmärgiks on hinnata ja tõsta Kasutajate

küberhügieeni taset.

Kasutaja on Kübertesti e-õppe lahenduse vahendusel küberturvalisuse baastaseme lühikursust

tegema asuv isik.

Üldtingimused on tingimused, mis sätestavad RIA ja Kliendi jaoks Kübertesti kasutamise

tingimused, teenuse kvaliteedile esitatavad nõuded, poolte vahelise kommunikatsiooni

põhimõtted ning muud poolte vahelised õigused ja kohustused.

Kübertesti andmekaitse põhimõtted on tingimused, mis sätestavad RIA ja Kliendi vahelised

põhimõtted Kasutajate andmete töötlemisele Kübertestis. Need tingimused avalikustatakse ka

Kübertesti täitvatele Klientide töötajatele (andmesubjektidele).

Kübertesti andmetöötlusleping on leping, mis on sõlmitud Kliendi (vastutava töötleja) ja RIA

(volitatud töötleja) vahel ja sätestab täpsemad andmetöötlustoimingud ning reeglid kuidas

isikuandmeid töödelda.

2. KÜBERTESTI KASUTAMINE

2.1. Kübertesti kasutamiseks peab Klient esitama RIA-le „ Kübertesti kasutamise taotluse“

RIA poolt aktsepteeritavate elektrooniliste kanalite kaudu või muul Poolte vahel

kokkulepitud viisil. Taotluse esitamisega Klient nõustub teenuse saamisega vastavalt

Üldtingimustele ja Kübertesti andmekaitse põhimõtetele.

2.2. Klient kinnitab, et tema esindusõigust omav isik ja vastutav isik omavad kõiki

vajalikke nõusolekuid ja valmidusi teenuse saamiseks.

2.3. RIA-l on õigus nõuda Kliendilt teenusega seonduvalt täiendavat informatsiooni, kui

see on vajalik teenuse osutamiseks või vajalik õigusaktidest tulenevate kohustuste

täitmiseks. 2.4. RIA annab Vastutavale isikule peakasutaja rollis ligipääsu Kübertesti keskkonnas, mis _ võimaldab Kliendi kasutajate haldamist ning kasutajate üksik- ja koondtulemuste ------vaatamist.

2.5. Vastutaval isikul on keelatud töödelda isikuandmeid Kübertesti eesmärkidega

kooskõlas mitteolevatel juhtudel.

2.6. Kliendil on keelatud võimaldada Kübertesti kasutajateks registreerida kolmandatel isikutel. Klient kohustub lubamatu juurdepääsu välistamiseks rakendama mõistlikke

ettevaatusabinõusid. Kolmandateks isikuteks ei loeta Kliendi töötajaid.

3. TEENUSE KVALITEET JA HOOLDUSTÖÖD

3.1. RIA tagab teenuse kvaliteedi vastavalt kokkulepitud tingimustele.

3.2. RIA tagab Kliendile Kübertesti kättesaadavuse tööpäevadel ajavahemikus 8:00-17:00.

3.3. RIA ei vastuta teenuse kättesaadavuse eest punkti 3.2. sätestatud ajal juhul, kui

tegemist on RIA jaoks vältimatu olukorraga. Vältimatu olukorrana mõistetakse

vähemalt DDoS rünnakuid või muid ettenägematuid asjaolusid, mis ei ole RIA

kontrolli all.

3.4. Hooldustöödest, mis võivad avaldada mõju teenuse kasutamisele või võivad tuua kaasa

katkestuse, teavitatakse vastutavat isikut kirjalikult vähemalt 48 (nelikümmend

kaheksa) tundi ette.

4. TEENUSE MAKSUMUS

4.1. Teenus on Kliendile tasuta.

5. ISIKUANDMETE TÖÖTLEMINE

5.1. Isikuandmeid töödeldakse vastavalt andmekaitse põhimõtetele „Kübertesti

andmekaitse põhimõtted” (Lisa 2) ja üksnes andmetöötluslepingus sätestatule (Lisa 3).

5.2. Kübertesti keskkonnas on Kasutajate andmete vastutavaks töötlejaks Klient.

5.3. Klient volitab taotluse ja selle juurde kuuluvate lisade allkirjastamisega RIA-t

Kasutajate andmeid töötlema teenuse osutamiseks vajalikus ulatuses. 5.4. Klient pääseb läbi vastava rolli Kübertesti keskkonnas ligi Kliendi asutuse teenistujate

tulemustele.

5.5. RIA on Kübertesti keskkonnas Kasutajate andmete volitatud töötleja.

6. KOMMUNIKATSIOON

6.1. Klient on kohustatud 3 tööpäeva jooksul kirjalikku taasesitamist võimaldamas

vormis teavitama RIA-t enda poolt taotluses toodud mistahes andmete muutumisest.

6.2. Tundliku informatsiooni edastamiseks Poolte vahel kasutab RIA taotluses toodud

vastutava isiku isikukoodi informatsiooni krüpteerimiseks.

6.3. Tundlikuks loevad pooled informatsiooni, mis sisaldab isikustatud Kübertesti

tulemusi, turvalisust puudutavat informatsiooni ning muud piiratud iseloomuga

informatsiooni, mis mõistlikult eeldades vajab täiendavat kaitset.

6.4. Teade loetakse kättesaaduks, kui teine pool on kinnitanud kirjalikku taasesitamist

võimaldavas vormis kirja kättesaamist.

6.5. Informatsioonilise iseloomuga teadet võib edastada vabas vormis, eelkõige telefoni teel või elektroonilisi sidekanaleid kasutades.

7. ÜLDTINGIMUSTE MUUTMINE

7.1. RIA-l on õigus ühepoolselt muuta Kübertesti keskkonna kasutamise tingimusi,

teatades muudatustest Kliendile vastavalt Üldtingimuste punktis 6 sätestatud korras

ette vähemalt 30 (kolmkümmend) kalendripäeva enne muudatuste jõustumist.

8. TEENUSE OSUTAMISE LÕPETAMINE

8.1. RIA võib mistahes põhjusel lõpetada Kübertesti teenuse osutamise, teatades sellest

Kliendile vastavalt Üldtingimuste punktis 6 sätestatud korras ette vähemalt 30

(kolmkümmend) kalendripäeva.

LISA 2

KÜBERTESTI ANDMEKAITSE PÕHIMÕTTED

Järgnevalt kirjeldatakse kuidas, miks ja milliseid isikuandmeid Riigi Infosüsteemi Amet

(edaspidi RIA) Kübertesti keskkonnas töötleb, ning milliseid meetmeid kasutaja eraelu

privaatsuse kaitseks rakendab.

Keskkonnas töödeldakse kasutajate kohta järgmiseid andmeid:

1. Kasutaja nimi ja isikukood;

2. Kasutaja e-posti aadress;

3. IP aadress, küpsised;

4. Kübertesti sisestatud andmed, sh info kursuse ja testi läbimise kohta.

RIA töötleb isikuandmeid Kübertesti kasutamise taotluse allkirjastamisega sõlmitud

andmetöötluslepingu alusel. Riiklikku statistikat Kübertesti platvormi kasutamise

üldtingimuste mõistes luuakse isikuandmete kaitse seaduse § 6 lõigete 2 ja 3 kohaselt. Kuigi

statistika luuakse anonüümsetest andmetest, siis anonümiseerimise protsessi käigus

töödeldakse isikuandmeid.

Kübertest on loodud aitamaks tagada küberturvalisust riigis ning ennetamaks küberintsidente

läbi kasutajate turvateadlikkuse tõstmise.

RIA ei jaga kasutaja andmeid avalikkusega, kuid andmetele võivad ligi pääseda RIA

teenistujad, kes vastutavad Kübertesti toimimise eest ning täiendavalt võib andmeid näha

Kliendi organisatsiooni selleks õigustatud isik, kelle ülesandeks on tagada organisatsiooni

ülene turvateadlikkuse tõstmine ja vastavate koolituste planeerimine. Juurdepääs kogutud

andmetele on rangelt vajaduspõhine.

Kübertesti sisestatud andmeid analüüsib RIA volitatud töötlejana eesmärgiga hinnata

kasutajate üldist teadlikust küberturvalisusest ning jälgimaks trende turvateadlikkuse

muutustest ja riikliku statistika vajadusteks. Nimetatud analüüside tulemusena tekkinud

informatsiooni avalikustatakse statistiliste aruannetena üksnes anonümiseeritult ehk

konkreetseid isikuid tuvastamata kujul.

Kogutud andmeid säilitatakse kasutaja kohta tuvastataval kujul senikaua kuni kasutaja töötab

Kliendi asutuses. Peale seda andmed anonümiseeritakse ning hoitakse isikustamata kujul

tähtajatult üldise turvateadlikkuse muutustest statistilise ülevaate omamiseks.

Kasutajal on õigus enda kohta kogutud isikuandmetega tutvuda esitades andmete saamiseks

taotluse. Andmed väljastatakse esimesel võimalusel, kuid mitte hiljem kui ühe kuu jooksul

alates alates taotluse registreerimisest. Andmed väljastatakse vastavalt soovile kas paberil või

elektrooniliselt.

RIA poolsete isikuandmete töötlemise toimingutega seotud küsimustes palume pöörduda RIA

poole [email protected].

Isikul, kelle õigusi on isikuandmete töötlemisel rikutud, on õigus esitada kaebus Andmekaitse

Inspektsioonile või halduskohtule.

LISA 3

ANDMETÖÖTLUSLEPING

1. ÜLDSÄTTED

1.1. Kübertesti raames töödeldavate isikuandmete suhtes on Klient vastutava töötleja

(edaspidi vastutav töötleja) ja Riigi Infosüsteemi Amet volitatud töötleja rollis

(edaspidi volitatud töötleja). Töötlejaid nimetatakse andmetöötluslepingu raames ka

ainsuses töötleja või mitmuses töötlejad.

1.2. Andmetöötluse eesmärk on hinnata kasutajate üldist teadlikust küberturvalisusest ning

jälgimaks trende turvateadlikkuse muutustest ja riikliku statistika teostamine.

Nimetatud analüüside tulemusena saab vastutav töötleja enda asutuse turvateadlikkust

tõsta ja parandada ning tekkinud informatsiooni avalikustatakse RIA poolt statistiliste

aruannetena üksnes anonümiseeritult ehk konkreetseid isikuid tuvastamata kujul.

1.3. Volitatud töötleja töötleb seoses teenuse osutamisega isikuandmeid vastutava töötleja

nimel ja ainult juhul, kui selleks on vajadust. Eelkõige töötleb volitatud töötleja

Kübertestis olevaid isikuandmeid ülevaatlike analüüside teostamiseks riigi ülese

statistika tegemise eesmärgil. Täiendavaks isikuandmete töötlemise eesmärgiks on

Kübertesti edukas haldamine ning kasutajatoe pakkumise võimaldamine.

1.4. Töötlejad töötlevad isikuandmeid kooskõlas Euroopa Parlamendi ja nõukogu määruse

(EL) 2016/679, 27. aprill 2016, füüsiliste isikute kaitse kohta isikuandmete töötlemisel

ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise

kohta (isikuandmete kaitse üldmäärus) ja muude isikuandmete töötlemist käsitlevate

Eesti Vabariigis kehtivate õigusaktidega.

2. TÖÖTLEJATE KOHUSTUSED

2.1. Vastutava töötleja kohustused:

2.1.1. Vastutav töötleja on kohustatud tagama, et teenuse kasutamisega seotud

isikuandmete töötlemiseks on kohaldatava õiguse kohaselt õiguslik alus ja

isikuandmete töötlemine toimub õigustatud eesmärkidel.

2.1.2. Vastutav töötleja kinnitab, et andmesubjektidele on antud asjakohast teavet

isikuandmete töötlemise kohta ning vastutaval töötlejal on õigus edastada

isikuandmed töötlemiseks volitatud töötlejale. See tähendab, et vastutav töötleja

on Kübertesti täitvale andmesubjektile tutvustanud selle täitmise käigus

töödeldavate isikuandmete andmekaitse põhimõtteid.

2.1.3. Vastutav töötleja on kohustatud esitama volitatud töötlejale kõik vajalikud

andmed ja dokumendid, et volitatud töötleja saaks taotluse korral täita oma

kohustusi kooskõlas kohaldatava õigusega (eelkõige vastata järelevalveasutuse

päringutele).

2.1.4. Kui Kübertesti täitnud andmesubjekt lõpetab oma töösuhte Kliendiga, siis peab

vastutav töötleja andmesubjekti kasutajakonto deaktiveerima.

2.2. Volitatud töötleja kohustused:

2.2.1. Volitatud töötleja on kohustatud rakendama teenuse osutamisel isikuandmete

turvalisuse tagamiseks asjakohaseid tehnilisi ja korralduslike meetmeid, hõlmates

muu hulgas vastavalt vajadusele järgmist: kohustus tagada isikuandmeid

töötlevate süsteemide ja teenuste kasutamisel kogutud isikuandmete kestev

konfidentsiaalsus, terviklus, kättesaadavus ja vastupidavus; võimekus taastada

õigeaegselt isikuandmete kättesaadavus ja juurdepääs andmetele füüsilise või

tehnilise vahejuhtumi korral; tehniliste ja korralduslike meetmete tõhususe

korrapärase testimise ja hindamise kord isikuandmete töötlemise turvalisuse

tagamiseks vastavalt teenuse osutamise tingimustele;

2.2.2. Volitatud töötleja teeb kõik endast sõltuva, et kaitsta töödeldavaid isikuandmeid

loata või ebaseadusliku töötlemise ning juhusliku kaotamise, hävitamise või

avalikustamise eest;

2.2.3. Kui volitatud töötleja kahtleb vastutava töötleja määratud tehniliste ja

korralduslike meetmete asjakohasuses ja piisavuses, teatab ta sellest viivitamatult

vastutavale töötlejale;

2.2.4. Volitatud töötleja tagab tehniliste ja korralduslike meetmete rakendamise

valmisoleku enne isikuandmete töötlemisega alustamist;

2.2.5. Volitatud töötlejal ei ole õigust töödelda teenuse osutamisel andmesubjekti

isikuandmeid mis tahes muudel eesmärkidel kui need, mis on sätestatud lepingus;

2.2.6. Teenuse osutamisel aset leidnud isikuandmete töötlemise rikkumise korral

teavitab volitatud töötleja sellest viivitamatult vastutavat töötlejat. Teates annab

volitatud töötleja vastutavale töötlejale teavet asjaoludest, mis on põhjustanud

isikuandmetega seotud rikkumise, ning ükskõik mis muust isikuandmete

vastutava töötleja poolt mõistlikult nõutud seonduvast teabest, mis isikuandmete

volitatud töötlejale kättesaadav on;

2.3. Töötlejad esitavad lepingu alusel toimuva isikuandmete töötlemise kohta kõik

vajalikud andmed, teabe ja dokumentatsiooni ning osutavad vajalikku abi, kui see on

vajalik töötlejale kohaldatava õiguse kohaselt pandud ülesannete täitmiseks;

2.4. Kui volitatud töötleja kaasab vastutava töötleja nimel konkreetsete isikuandmete

töötlemise toimingute tegemiseks teise volitatud töötleja, nähakse lepingus või muus

liidu või liikmesriigi õiguse kohases õigusaktis asjaomase teise volitatud töötleja

suhtes ette samad andmekaitsekohustused, mis on sätestatud käesolevas vastutava

töötleja ja volitatud töötleja vahelises lepingus1.

2.5. Kui andmesubjekt taotleb töötlejalt teavet tema kohta kogutud isikuandmete

1 Isikuandmete kaitse üldmääruse artikkel 28 lõige 4 – Kättesaadav: https://eur-lex.europa.eu/legal-

content/ET/ALL/?uri=celex:32016R0679

kohta,teevad töötlejad andmesubjekti vastava taotluse lahendamisel koostööd ja abistavad teineteist koondamaks teavet asjakohaste tehniliste ja korralduslike meetmete kohta, mida töötleja isikuandmete töötlemisel rakendab. Volitatud töötleja peab tagama, et tema süsteemid on üles ehitatud nii, et andmesubjekti taotlusele oleks võimalik vastata kohaldatava õigusega sätestatud tähtaegu kinni pidades.

2.6. Kui andmekaitse- või muu järelevalveasutus algatab vastutava töötleja poolt läbi

viidud isikuandmete töötlemise toimingute läbivaatamise või kui andmesubjekt esitab

vastutava töötleja kohta kaebuse ja see kaebus on seotud volitatud töötleja poolt läbi

viidud isikuandmete töötlemisega, abistab volitatud töötleja vastutavat töötlejat

dokumentide ja teabe avaldamisel asjaomastele pädevatele asutustele.

3. RIKKUMINE JA VASTUTUS

3.1. Töötleja vastutab teisele töötlejale lepingu või kohaldatava õiguse või pädeva

andmekaitseasutuse otsusega vastuolus oleva tegevusega tekitatud kahju eest.

3.2. Kui töötleja vastu suunatud nõue või trahv on põhjustatud lepingu või kohaldatava

õiguse rikkumisest, teavitab rikkunud töötleja teist töötlejat sellest viivitamatult ning

rakendab kõikvõimalikke meetmeid, et leevendada sellisest rikkumisest tulenevat

kahju.

4. LEPINGU LÕPPEMINE JA ANDMETE ÜLEKANDMINE/KUSTUTAMINE

4.1. Teenuse osutamise lõpetamisel lõpeb volitatud töötleja õigus töödelda lepingu alusel

vastutava töötleja nimel andmesubjekti isikuandmeid.

4.2. Kogutud logisid säilitatakse 12 kuud. Põhjendatud juhtudel, eelkõige korrakaitse- ja

õiguskaitseasutuste palvel, säilitatakse logisid kauem.

4.3. Töötlejatel on õigus sõlmida täiendavaid kokkuleppeid isikuandmete töötlemise

lõpetamise tingimustes.