| Dokumendiregister | Riigi Infosüsteemi Amet |
| Viit | 4.2-13/25/3-1 |
| Registreeritud | 05.02.2025 |
| Sünkroonitud | 10.02.2025 |
| Liik | Leping |
| Funktsioon | 4.2 Riigi e-teenuste arendamise ja haldamise korraldamine |
| Sari | 4.2-13 Riigi autentimisteenuse (TARA) lepingud |
| Toimik | 4.2-13/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | |
| Saabumis/saatmisviis | |
| Vastutaja | Hendrik Metspalu (RIA, EID) |
| Originaal | Ava uues aknas |
Liitumisleping nr 4.2-13/25/3-1
Riigi Infosüsteemi Amet (edaspidi RIA), registreerimisnumber 70006317, asukoht Pärnu mnt
139a, Tallinn, 15169, keda esindab seaduse ja põhimääruse peadirektor Joonas Heiter,
ja
Valga Vallavalitsus (edaspidi klient), registreerimisnumber 77000507, asukoht Puiestee 8, Valga
linn, 68203, keda esindab esindusõiguse alusel vallavanem Monika Rogenbaum,
keda nimetatakse edaspidi pool või koos pooled, on kokku leppinud RIA poolt kliendile
Riigi autentimisteenuse (TARA) osutamises teenuse üldtingimustes (lisa 1), Riigi
autentimisteenuse teenustaseme tingimustes (lisa 2) ja RIA autentimisteenuste
andmekaitsetingimustes (lisa 3) sätestatud tingimustel.
Liitumislepingule alla kirjutamisega kinnitab klient, et on teenuse tingimustega tutvunud ning
kohustub neid täitma.
Liitumisleping jõustub hetkel, kui mõlemad pooled on sellele alla kirjutanud ja kehtib tähtajatult.
Riigi Infosüsteemi Amet Valga Linnavalitsus Nimi: Joonas Heiter Monika Rogenbaum
Reg.nr: 70006317 77000507
Aadress: Pärnu mnt 139a, Tallinn, 15169 Puiestee 8, Valga linn, 68203
Tel.nr: 663 0200 766 9900
E-post: [email protected] [email protected]
Kontakt: Kasutajatugi, [email protected]
Kontaktisik: Hendrik Metspalu Mait Rei
Kontaktisiku e-post: [email protected] [email protected]
Kontaktisiku telefon: 5917 1674 5345 9870
Kasutajatoe telefon: 666 8888
/poolte poolt digitaalselt allkirjastatud/
KINNITATUD Riigi Infosüsteemi Ameti peadirektori
01.06.2020 käskkirjaga nr 1.1-2/20-078
1 (5)
Riigi autentimisteenuse üldtingimused
1 ÜLDSÄTTED
1.1 Riigi Infosüsteemi Amet (edaspidi RIA) osutab seadusest ja põhimäärusest tuleneva
haldusülesandena Riigi autentimisteenust (edaspidi TARA), mis võimaldab inimese
autentimist Riigi autentimisteenusega liitunud kliendi jaoks.
1.2 RIA osutab Riigi autentimisteenust järgmistele avaliku sektori asutustele1:
1.2.1 valitsussektorile:
1.2.1.1 keskvalitsuse allsektorile:
1.2.1.2 kohaliku omavalitsuse allsektorile;
1.2.1.3 sotsiaalkindlustusfondide allsektorile.
1.3 RIA osutab Riigi autentimisteenust käesolevas dokumendis, Riigi autentimisteenuse
teenustaseme tingimustes, RIA autentimisteenuste andmekaitsetingimustes (edaspidi koos
nimetatud teenuse tingimused) ja liitumislepingus kirjeldatud tingimustel.
2 MÕISTED
Käesolevates tingimustes kasutatakse mõisteid järgmises tähenduses:
Riigi autentimisteenus RIA arendatud ja hallatav platvorm, mis on liidestatud
kolmanda isiku poolt pakutavate autentimismeetoditega ning
teostab autentimiseks vajalikke (andme)päringuid;
autentimiseks vajalik päring autentimistoimingu sooritamiseks RIA poolt kolmandale
osapoolele tehtav sertifikaadi kehtivuse või isikuandmete
kontrollpäring;
klient teenusega liitunud asutus või isik;
klientrakendus liidestatav kliendi infosüsteem, rakendus või teenus;
teenuse tingimused käesolevad üldtingimused, Riigi autentimisteenuse
teenustaseme tingimused ja RIA autentimisteenuste
andmekaitsetingimused kogumis;
kokkulepe liitumisleping koos teenuse tingimustega.
3 LIITUMINE
3.1 Teenuse toodangukeskkonnas kasutamise eelduseks on edukas teenuse testimine teenuse
testkeskkonnas ja kinnitus selle kohta liitumistaotluses.
3.2 Teenuse kasutamiseks:
3.2.1 saadab klient digitaalallkirjastatud TARA toodangukeskkonnaga liitumistaotluse
kasutajatoe meiliaadressile [email protected];
1 Avaliku sektori üksuste nimekirja avaldab oma kodulehel Rahandusministeerium
https://www.rahandusministeerium.ee/et/riigihaldus.
KINNITATUD Riigi Infosüsteemi Ameti peadirektori
01.06.2020 käskkirjaga nr 1.1-2/20-078
2 (5)
3.2.2 RIA registreerib liitumistaotluse ning vajadusel küsib kliendilt täiendavat
informatsiooni teenuse osutamiseks või osutamise põhjendatuse hindamiseks.
3.2.3 RIA-l on õigus teenuse osutamisest keelduda, kui klient ei vasta punkti 1.2 tingimustele.
3.2.4 Liitumistaotluse rahuldamise korral saadab RIA kliendile eeltäidetud liitumislepingu,
mille klient allkirjastab ja saadab RIA-le tagasi e-posti aadressile [email protected];
3.2.5 RIA allkirjastab liitumislepingu ja edastab kliendile teenuse kasutamiseks
klientrakenduse identifikaatori ja salasõna. Teenus on kasutatav kohe peale
klientrakenduse identifikaatori ja salasõna edastamist.
4 POOLTE ÕIGUSED JA KOHUSTUSED
4.1 Kliendil on õigus:
4.1.1 kasutada teenust õigusaktides ja kokkuleppes sätestatud tingimustel;
4.1.2 edastada teateid RIA kasutajatoele;
4.1.3 nõuda teenuse osutamist vastavalt TARA toodangukeskkonna teenustaseme
tingimustele ja muudele teenuse tingimustele;
4.1.4 tutvuda teenuse osutamise tehnilise lahendusega ja autentimiseks vajalike päringute tasu
arvestuse alustega;
4.1.5 loobuda teenuse kasutamisest teatades loobumise soovist RIA kasutajatoele 7
kalendripäeva ette.
4.2 Kliendil on kohustus:
4.2.1 kasutada teenust üksnes liitumistaotluses märgitud eesmärgil ning sihipäraselt;
4.2.2 mitte jagada teenust edasi RIA eelneva kirjaliku nõusolekuta kolmandatele isikutele;
4.2.3 mitte edastada klientrakenduse salasõna kolmandatele isikutele, rakendada asjakohaseid
turvameetmeid salasõna kaitseks ja teavitada RIA-t viivitamatult salasõna tõenäolisest
või tegelikust lekkimisest;
4.2.4 teha kõik endast olenev, et mitte kahjustada Riigi autentimisteenust ning tagada kliendi
kontrolli all olevate tehniliste lahenduste ja süsteemide turvalisus;
4.2.5 teavitada RIA kasutajatuge 48 tundi ette planeeritavatest muudatustest, mis võivad olla
olulised teenuse kasutamise seisukohalt, sh toovad kaasa päringute mahu
märkimisväärse kasvu;
4.2.6 tasuda teenuse eest vastavalt RIA poolt esitatud arvetele;
4.2.7 teavitada RIA kasutajatuge esimesel võimalusel kontaktandmete ja organisatsioonilise
vormi muutusest;
4.2.8 lugeda regulaarselt enda kontaktisiku e-posti aadressile RIA poolt saadetavaid kirju;
4.2.9 hüvitada RIA-le kokkuleppe rikkumisega süüliselt tekitatud otsene varaline kahju.
4.3 RIA-l on õigus:
4.3.1 teenusesse lisada, eemaldada ja ajutiselt peatada autentimismeetodeid. RIA teavitab
klienti autentimismeetodi peatamisest või eemaldamisest ette vähemalt 2 kuud, v.a kui
autentimismeetodi eemaldamine või peatamine on tingitud turvalisuse tagamise
vajadusest;
4.3.2 seirata ja analüüsida teenuse kasutamist statistilistel, kvaliteedi ja turvalisuse tagamise
eesmärkidel;
4.3.3 logida ja säilitada klientrakenduse logi ning avaldada klientrakenduse turvalogi
seaduses ettenähtud juhtudel;
4.3.4 teha märkusi teenuse mittesihtotstarbelise kasutamise kohta;
KINNITATUD Riigi Infosüsteemi Ameti peadirektori
01.06.2020 käskkirjaga nr 1.1-2/20-078
3 (5)
4.3.5 piirata teenuse osutamist teenuse tingimustes ja õigusaktides sätestatud juhtudel, kui
kliendi kontaktisikut on e-posti teel teavitatud enne teenuse osutamise piiramist
vähemalt 5 (viis) tööpäeva ette. RIA-l on õigus peatada teenuse osutamine viivitamatult,
kui seatakse ohtu teenuse käideldavus või turvalisus.
4.4 RIA-l on kohustus:
4.4.1 tagada teenuse kättesaadavus punktis 9 sätestatud ulatuses vastavalt Riigi
autentimisteenuse toodangukeskkonna teenustaseme tingimustele;
4.4.2 luua võimalus teenuse kasutamiseks peale RIA poolset liitumislepingu allkirjastamist.
4.5 Mõlemal poolel on kohustus:
4.5.1 esimesel võimalusel teisele poolele teatada kõigist asjaoludest, mis kahjustasid või
võivad kahjustada teise poole infosüsteeme, samuti asjaoludest, mis võivad olla
vajalikud tehniliste lahenduste ja süsteemide turvaliseks töötamiseks, hoolduseks või
rikke kõrvaldamiseks;
4.5.2 teist poolt mõjutava rikke ilmnemisel asuma koheselt riket kõrvaldama ja informeerima
rikkest ja selle kestvusest teist poolt.
5 TEAVITUSTE VORM
5.1 Pooled saadavad kõik teated kirjalikult, erandiks on teavitamine planeerimata katkestuse
korral, kus võidakse kasutada teavitamist telefoni teel.
5.2 Klientrakenduste lisamiseks esitab klient liitumistaotluse, klientrakenduse eelmaldamiseks
saadab klient e-postiga teate RIA kasutajatoele.
5.3 Klient saadab kõik teenuse osutamist puudutavad teated kliendi kontaktisiku vahendusel
RIA kasutajatoele. Teiste isikute poolt saadetud nimetatud teated ei ole RIA-e täitmiseks
kohustuslikud, v.a juhul, kui klient on teist isikut selleks volitanud ning RIA-t mõistliku aja
jooksul eelnevalt teavitanud.
5.4 Kliendi kontaktisik edastab teated kasutajatoe kontaktidele:
5.4.1 e-posti aadressile: [email protected];
5.4.2 telefonile: 663 0230;
5.5 Üksnes klienti puudutavad teated saadab RIA kliendi kontaktisiku e-posti aadressile.
6 TASU JA ARVELDUSED
6.1 Teenusega liitumine on kliendile tasuta.
6.2 Kliendil tuleb katta:
6.2.1 enda infosüsteemi arendamise ja liidestamise kulud;
6.2.2 enda infosüsteemi komponentide soetamise ja pidamisega seotud kulud;
6.2.3 autentimiseks vajalike päringute kulud vastavalt RIA poolt esitatud arvetele.
6.3 RIA-l on õigus esitada kliendile arve teenuse kasutamisel tehtud autentimiseks vajalike
päringute eest. Autentimiseks vajalike päringute maksumus sõltub kolmanda osapoole poolt
kehtestatud hinnast2 (mis võib olla muutuv tulenevalt päringute mahust kalendrikuus) ning
fikseeritakse riigihanke alusel sõlmitud lepingus.
6.4 Arve esitatakse kord kvartalis, näidates arvel perioodi, mille eest arve esitatakse. RIA-l on
õigus pakkuda teenust kliendile tasuta ja jätta arve esitamata eelarveliste vahendite
olemasolul.
2 Päringute hinnakirjad: https://www.skidsolutions.eu/teenused/hinnakiri/.
KINNITATUD Riigi Infosüsteemi Ameti peadirektori
01.06.2020 käskkirjaga nr 1.1-2/20-078
4 (5)
6.5 Klient tasub arve pangaülekandega arvel märgitud arveldusarvele arve väljastamisele
järgneva 14 (neljateistkümne) kalendripäeva jooksul.
7 AVALIKU TEABE JA ISIKUANDMETE TÖÖTLEMINE
7.1 Kuivõrd RIA osutab Riigi autentimisteenust seadusest ja põhimäärusest tuleneva
haldusülesandena, on selle ülesande raames tekkiv teave avalik teave, millele seatakse
juurdepääsupiirangud seaduses sätestatud alustel ja korras.
7.2 RIA töötleb Riigi autentimisteenuse osutamise raames isikuandmeid isikusamasuse
tuvastamiseks kliendi tarbeks, edastades autentimise tulemuse kliendile. Autentimise
raames töödeldavate isikuandmete osas on klient isikuandmete vastutav töötleja ning RIA
volitatud töötleja.
7.3 RIA säilitab autentimistoimingu, sh autentimiseks vajalike päringute logisid ning on selles
osas isikuandmete vastutav töötleja.
7.4 Riigi autentimisteenuse raames töödeldavate isikuandmete koosseis ja andmete säilitamise
tähtajad on sätestatud TARA andmekaitsetingimustes.
7.5 Pooled kohustuvad nõuetekohaselt määrama ja tähistama juurdepääsupiiranguga teabe
(eeskätt isikuandmed ja turvaandmed, näiteks info turvameetmete, turvaintsidendi või selle
ohu kohta või info tehnoloogiliste lahenduste kohta, mille avalikuks tuleks ohustaks
infosüsteemi turvalisust).
7.6 Pool teavitab teist poolt viivitamatult, kui on kokkuleppe täitmise käigus saanud
nõuetekohaselt märgistamata teabe, mis peaks seaduse järgi olema juurdepääsupiiranguga.
Sellist teavet kohustub pool hoidma saladuses sõltumata nõuetekohase märgistuse
puudumisest.
7.7 Pooled kohustuvad hoidma saladuses juurdepääsupiiranguga teavet ning töötlema ja
avaldama seda üksnes seaduses sätestatud alustel ja korras.
7.8 Saladuses hoidmise kohustus (konfidentsiaalsuskohustus) kehtib vastavalt
juurdepääsupiirangu tähtaegadele sõltumata kokkuleppe kehtivusest või lõppemisest.
7.9 Pooled edastavad juurdepääsupiiranguga teavet ainult nendele töötajatele, kes on teenusega
otseselt seotud, ja kindlustavad, et need töötajad on teadlikud ja täidavad konfidentsiaalsuse
nõuet.
7.10 Pooled rakendavad juurdepääsupiiranguga teabe, sealhulgas isikuandmete kaitseks
asjakohaseid tehnilisi ja korralduslikke meetmeid tagamaks isikuandmete
konfidentsiaalsuse, tervikluse ja käideldavuse.
7.11 Pooled teavitavad üksteist viivitamatult konfidentsiaalsuskohustuse täitmisega
seonduvatest takistustest, mis on tekkinud või tõenäoliselt võivad tekkida.
7.12 Konfidentsiaalsuskohustuse rikkumist käsitletakse kui kokkuleppe olulist rikkumist.
8 TINGIMUSTE MUUTMINE
8.1 RIA-l on õigus ühepoolselt muuta teenuse tingimusi, kui seda tingivad muudatused
kehtivates õigusaktides või tavades, vastava valdkonna või teenuste tehnilised või sisulised
arengud, klientidele teenuste kasutamiseks täiendavate või paremate võimaluste loomine
või vajadus täpsustada teenuste osutamise või kasutamisega seotud asjaolusid. Teenuse
tingimuste muudatustest teatab RIA kliendile kirjalikult hiljemalt 14 kalendripäeva ette (v.a
punktis 6.3. sätestatud juhul).
8.2 Kui klient ei nõustu teenuse tingimuste muudatustega, on tal õigus kokkulepe lõpetada,
teatades sellest RIA-le 1 (ühe) kuu jooksul arvates muudatuste kehtima hakkamise teate
saamise päevast. Kokkuleppe ülesütlemiseni on kokkulepe kehtiv ja klient on kohustatud
täitma oma kohustusi, kusjuures nende kohustuste täitmise osas kohaldatakse kliendi suhtes
seniseid tingimusi.
KINNITATUD Riigi Infosüsteemi Ameti peadirektori
01.06.2020 käskkirjaga nr 1.1-2/20-078
5 (5)
8.3 Kui klient 1 (ühe) kuu jooksul arvates muudatuste kehtima hakkamise teate saamise päevast
ei avalda soovi kokkulepet lõpetada, loetakse, et ta on vaikimisega nõustunud muudetud
tingimustega.
9 VASTUTUS
9.1 RIA ei vastuta teenuse kättesaadavust ja kvaliteeti mõjutavate RIA-st mittesõltuvate
asjaolude eest (sh autentimismeetodi ega autentimiseks vajalike päringute toimimise eest
ulatuses, milles need on kolmanda osapoole vastutusalas) ega häirete, informatsiooni
edastamise viivituste, jms juhtumite eest, mis ei allu RIA kontrollile.
9.2 RIA ei vastuta kliendi tegevuse või tegevusetusega põhjustatud andmete hävimise või
kadumise ega teenuse mittetoimimise eest juhul, kui katkestus on põhjustatud kliendi
tegevusest või tegevusetusest.
9.3 Pool ei vastuta kohustuste täitmata jätmise eest, kui see tuleneb vääramatust jõust.
Vääramatu jõuna käsitlevad pooled asjaolu, mida pool ei saa mõjutada, sealhulgas, kuid
mitte ainult tulekahju, plahvatus, loodusõnnetus, sõda, streik, üldine elektrikatkestus, äike,
erakordsed ilmastikuolud.
9.4 Pool, kelle tegevus kokkuleppega sätestatud kohustuste täitmisel on takistatud vääramatu
jõu asjaolude tõttu, on kohustatud sellest teisele poolele teatama esimesel võimalusel,
kasutades sidevahendeid, mis tagavad operatiivseima infovahetuse.
9.5 Vääramatust jõust teatamisel lepivad pooled kokku, mil viisil ning mis mahus jätkata
kokkuleppe täitmist kooskõlas riikliku kriisireguleerimise plaaniga. Antud kokkulepe
vormistatakse esimesel võimalusel kirjalikult.
10 KOKKULEPPE LÕPPEMINE
10.1 Kokkulepe lõppeb kokkuleppes, teenuse tingimustes ja/või õigusaktides toodud alustel.
10.2 Pooltel on õigus kokkulepe üles öelda, teatades sellest teisele poolele ette vähemalt kolm
(3) kalendrikuud, kui kokkuleppes ei ole sätestatud teisiti.
10.3 RIA-l on õigus kokkulepe üles öelda ilma etteteatamise tähtaega järgimata ja lõpetada
viivitamatult kliendile teenuse osutamine, kui pool on rikkunud oluliselt mistahes
kokkuleppe tingimusi. Oluliseks rikkumiseks loetakse muuhulgas:
10.3.1 rahaliste kohustuste täitmisega viivitamist üle ühe (1) kalendrikuu;
10.3.2 kokkuleppe tingimuste rikkumist ning rikkumise jätkamist pärast RIA poolse teavituse
saamist või kui rikkumine on sedavõrd tõsine (nt tahtlik tegevus teenuste
kahjustamiseks), et RIA-lt ei saa eeldada kokkuleppe täitmise jätkamist.
10.4 Kokkuleppe ülesütlemine või lõppemine ei vabasta poolt kohustusest täita teise poole ees
vastava kokkuleppe kestuse ajal kokkuleppest tekkinud kohustusi.
KINNITATUD Riigi Infosüsteemi Ameti peadirektori
01.06.2020 käskkirjaga nr 1.1-2/20-078
Riigi autentimisteenuse (TARA) toodangukeskkonna teenustaseme tingimused
1. Teenuse kättesaadavus
1.1. Tööaeg
Tööaeg on kokkulepitud ajavahemik, millal IT-teenus peab kliendile
garanteeritult kättesaadav olema ning mille jooksul pakutakse
IT-teenusele kasutajatoe tuge (kasutusnõustamine, planeerimata
katkestuste lahendamine jms).
Tööaja välisel ajal tagatakse teenuse töö parimal võimalikul
(best effort) moel.
E–N 8.30–17.00
R 8.30–16.00
Teenuse nimi Riigi autentimisteenus (TARA)
Teenuse omanik eID osakonnajuhataja
Nõuete kehtivusaeg Alates käskkirja kinnitamisest kuni käskkirja muutmise või
kehtetuks tunnistamiseni.
Teenuse lühikirjeldus
Riigi autentimisteenus (TARA) on Riigi Infosüsteemi Ameti
arendatud ja hallatav platvorm, mis on liidestatud kolmanda isiku
poolt pakutavate autentimismeetoditega ning teostab autentimiseks
vajalikke (andme)päringuid.
Riigi autentimisteenuse (TARA) teenustaseme tingimused ei taga
kolmanda isiku teenuste käideldavust ja kättesaadavust.
Riigi autentimisteenuse (TARA) teenustaseme tingimused ei taga
EL eID test-autentimisvahendite käideldavust ja kättesaadavust.
Teenuse teavitused
RIA teavitab teenuse kliente esimesel võimalusel kõigist
teadaolevatest teenuse katkestustest ja teenuse kasutamist
takistavatest asjaoludest e-posti teel.
Korralised hooldustööd
RIA toodangukeskkonna korrapärased infrastruktuuri hooldustööd
toimuvad iga kuu kolmandal neljapäeval ajavahemikul 18.00-01.00
RIA toodangukeskkonna teenuste tööajal toimuvatest katkestustest
ning suurematest hooldustöödest teavitatakse teenuse kliente
e-posti teel vähemalt 2 tööpäeva enne nende toimumist. Samuti
avaldatakse vastav info RIA kodulehe hooldusteadetes
(https://www.ria.ee/et/kalender.html) ning hooldusteadete RSS voos.
Infosüsteemi logid Infosüsteemi logisid säilitatakse üks aasta.
2. Planeerimata katkestus katastroofiolukorras
Planeerimata katkestuste hulka arvestatakse ainult teenuse tööajal aset leidvad planeerimata
katkestused. Planeerimata katkestuseks ei loeta olukorda, kus häiritud on üksikute kasutajate töö, kuid
asutuses (sama hoone piires) on teenus kättesaadav. Planeerimata katkestusi tavaolukorras
arvestatakse töötundides.
2.1. Ühe planeerimata katkestuse maksimaalne kestus
Maksimaalne lubatud ajavahemik, mille jooksul on vaja teenuse töö
taastada. Teenuse taastamine toimub tööajal.
12 h
2.2. Maksimaalne planeerimata katkestuste kestus aastas 24 h
3. Planeeritud katkestus
Planeeritud katkestus on eelnevalt kokkulepitud ajavahemik, mille jooksul teenus ei ole kättesaadav.
Planeeritud katkestuste hulka arvestatakse ainult teenuse tööajal toimuvaid planeeritud katkestusi.
Planeeritud katkestust kasutatakse hoolduseks, testimiseks ja täienduste tegemiseks. Planeeritud
katkestusi (v.a. katkestustest etteteatamise aega) arvestatakse töötundides.
3.1. Planeeritud katkestusest etteteatamise aeg 48 h
3.2. Ühe planeeritud katkestuse maksimaalne kestus 8 h
3.3. Maksimaalne planeeritud katkestuste kestus aastas 24 h
3.4. Maksimaalne planeeritud katkestuste arv kuus 2
4. Andmekadu ja varundus
4.1. Maksimaalne andmehulk, mis võib minna kaotsi teenuse
taastamise käigus ehk teenuse taastamiskoha klass Teenuse taastamiskoha klass määrab maksimaalse andmehulga,
mis võib minna kaotsi teenuse taastamise käigus. Taastamiskoha
klass määratakse ajavahemikuna enne tõrget. Näiteks
taastamiskoha klass üks ööpäev saavutatakse igapäevase
varundamisega, kus maksimaalne andmekadu võib olla 24 tunni
andmed.
24 h
4.2. Varukoopia paigutamine tähtajatule säilitamisele määratleb
ajavahemiku, mille lõppedes paigutatakse viimane varukoopia
tähtajatule säilitamisele (kuu – kuu viimane koopia, aasta – aasta
viimane koopia).
1 aasta
4.3. Varukoopiate paigutamine lühiajalisele säilitamisele määratleb varukoopia tsükli pikkuse, ehk ajavahemiku, kui kaua
säilitatakse varukoopiaid enne kustutamist.
24 h koopia - 1 nädal
7 päeva koopia - 4 nädalat
1 kuu koopia - 12 kuud
KINNITATUD Riigi Infosüsteemi Ameti peadirektori
01.06.2020 käskkirjaga nr 1.1-2/20-078
Riigi Infosüsteemi Ameti autentimisteenuste andmekaitsetingimused
1. Käesolevas dokumendis selgitatakse, milliseid isikuandmeid ja mis eesmärgil Riigi
Infosüsteemi Ameti (edaspidi RIA) autentimisteenustes töödeldakse.
2. Käesolevad andmekaitsetingimused rakenduvad:
Riigi autentimisteenusele (TARA)
Eesti autentimisteenusele (IdP)
RIA eIDAS konnektorteenusele
Euroopa Liidu piiriülese autentimistaristu Eesti sõlmele (“eIDAS Node”).
3. Andmesubjekt (edaspidi kasutaja) on füüsiline isik, kes suunatakse Eesti või välismaa
klientrakendusest (nt e-teenusest) RIA autentimisteenusesse isikusamasuse tuvastamisele
(autentimisele).
4. Autentimisandmed
4.1. Teenustes töödeldakse kasutajate kohta järgmisi andmeid (“autentimisandmed”):
Kasutajat identifitseerivad andmed:
kasutaja autentimissertifikaat; 1
kasutaja isikukood vm isiku identifikaator;
kasutaja ees- ja perekonnanimi;
kasutaja sünniaeg;
kasutaja riik;
registrikood vm juriidilise isiku identifikaator;
juriidilise isiku ärinimi;
liidestunud e-teenuse kontaktisiku nimi, isikukood, e-postiaadress ja telefoni number.
Autentimistoimingu andmed:
kuupäev ja kellaaeg;
klientrakendus, kust kasutaja autentimisele suunati;
autentimismeetod, sh pangalingi puhul ka pank; mobiil-ID puhul mobiilinumber;
autentimise tulemus (autenditud või mitte).
4.2. Autentimisandmete väljastamine
4.2.1. Autentimisandmeid väljastatakse RIA autentimisteenusega liidestatud
klientrakendusele või EL piiriülese autentimistaristu teise liikmesriigi sõlmele.
4.2.1.1. ID-kaardi, mobiil-ID ja Smart-ID-ga autentimise korral saadetakse autentimisandmed
SK ID Solutions AS-i välistele teenustele järgmises koosseisus:
4.2.1.1.1. Kehtivuskinnitusteenus (kasutaja autentimissertifikaadi seerianumber);
4.2.1.1.2. MID REST API veebiteenus (kasutaja isikukood ja mobiilinumber);
4.2.1.1.3. Smart-ID veebiteenus (kasutaja isikukood).
4.2.2. Andmete väljastamisel lähtutakse isikuandmete töötlemise minimaalsuse põhimõttest.
Väljastatakse minimaalsed autentimise fakti ja tuvastatud isikut identifitseerivad
1 Sertifikaatide profiili kirjeldus on leitav: https://www.skidsolutions.eu/repositoorium/profiil/
KINNITATUD Riigi Infosüsteemi Ameti peadirektori
01.06.2020 käskkirjaga nr 1.1-2/20-078
andmed. Näiteks mobiil-ID-ga autentimisel ei väljastata kasutaja mobiilinumbrit RIA
autentimisteenustega liidestatud klientrakendustele ega EL piiriülese autentimistaristu
teise liikmesriigi sõlmele.
4.2.3. Kasutajale on autentimise tulemus (sisse logitud või mitte) nähtav sirvikus.
4.3. Klientrakendustega suhtlemisel kasutatakse krüpteeritud kanaleid.
4.4. Eesti eID kasutaja autentimisandmete saatmisel Euroopa Liidu piiriülese
autentimistaristuga liitunud teise riiki küsitakse kasutaja nõusolekut (Eesti
autentimisteenuses).
5. Turvalogi
5.1. Teenuses logitakse autentimistoimingu andmed koos isikut identifitseerivate andmetega
järgmistel eesmärkidel:
5.1.1. teenuse väärkasutamise, sh identiteedivarguste ja nende katsete, samuti küberrünnakute
avastamiseks ja uurimiseks;
5.1.2. tehniliste tõrgete avastamiseks ja kõrvaldamiseks. Tehniline tõrge võib olla nii riist- kui
ka tarkvara viga, võrguühenduse viga jms;
5.1.3. teenustega liidestatud e-teenuste omanike s.t asutuste poolt raporteeritud tehniliste
probleemide põhjuste väljaselgitamiseks;
5.1.4. kasutajate pöördumiste (teated võimalike turvaprobleemide või tehniliste rikete kohta)
menetlemiseks.
5.2. Logile juurdepääs on rangelt vajaduspõhine. Ligi pääsevad ainult teenuse käitamisega
otseselt seotud süsteemi- ja teenusehaldurid, vajadusel ka turvaintsidentide uurimisega
tegelevad ametiisikud.
5.3. Autentimisi soovitame logida ka klientrakenduse poolel. See on vajalik nii tehniliste
tõrgete kui ka teenuse väärkasutuse tuvastamisel ja uurimisel.
6. Statistikalogi
6.1. Statistikalogi eesmärk on teenuste kasutamise kohta statistika tootmine teenuse juhtimise
ja edasiarendamise eesmärgil.
6.2. Statistikalogisse kogutakse andmed autentimistoimingute kohta ilma isikut
identifitseerivate andmeteta.
6.3. Statistikalogi põhjal koostatakse ja avalikustatakse isikuandmeid mittesisaldavaid
statistilisi aruandeid.
6.4. Logisid säilitatakse üks aasta.
7. Liidestatud asutuse kontaktisikud
Teenuste haldamise eesmärgil kogutakse liidestatud asutuste kontaktisikute andmeid.
8. Andmete varundamine
8.1. Varundusprotsess käivitatakse vähemalt korra ööpäeva jooksul. Kõikide teenuse
komponentide andmete (konfiguratsioon, andmebaas, logid) tagavarakoopiaid
säilitatakse sama põhimõtte alusel – 7 päeva / 4 nädalat / 12 kuud.
8.2. Taastada on võimalik jooksva nädala päevade, jooksva kuu nädalate lõpu või viimase 12
kuu lõpu seisuga salvestatud andmed.
8.3. Varunduslahenduses krüpteerimist ei kasutata.
KINNITATUD Riigi Infosüsteemi Ameti peadirektori
01.06.2020 käskkirjaga nr 1.1-2/20-078
9. Turvalogide väljastamine
Turvalogi väljastatakse juhul, kui seda näeb ette seadus (näiteks õiguskaitseasutusele
kriminaalmenetluses või andmesubjektile tema taotlusel).