| Dokumendiregister | Riigi IT Keskus |
| Viit | 5-3/23-0004-1 |
| Registreeritud | 02.05.2023 |
| Sünkroonitud | 12.02.2025 |
| Liik | Leping |
| Funktsioon | 5 Riigihanked ja lepingute haldus |
| Sari | 5-3 Lepingud juriidiliste isikutega ja asutustega, aktid, aruanded |
| Toimik | 5-3/2024 2024. a lõppenud lepingud ja aktid |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | |
| Saabumis/saatmisviis | |
| Vastutaja | Maria Juurmaa |
| Originaal | Ava uues aknas |
Lisa 3 VALITSUSPORTAAL 2.0 ARENDUSMUDEL
1. Arendusmudeli eesmärk
Valitsusportaal (edaspidi VP) sisaldab lahendusi ja funktsionaalsust, mis võimaldab veebilehe
loomist sellele ilma täiendava arendusvajaduseta. VP arendusmudeli eesmärgiks on kirjeldada
valitsusportaali arendusprotsessi ning selle järgimine tagab:
1.1. tarkvara platvormi ja selle funktsionaalsuste ajakohasuse ja terviklikkuse;
1.2. tarkvara platvormi edasiarendatavuse;
1.3. edasiarenduste kasutatavuse asutuste vaheliselt mistahes ajahetkel minimaalsete kuludega;
1.4. uute VP instantside loomise koos kõikide selleks hetkeks loodud funktsionaalsustega;
1.5. uute arenduste vastavuse valdkonnas kehtivatele standarditele (WCAG, OWASP);
1.6. et uued arendused ei põhjusta tarkvara platvormi üldist jõudluskadu ega sea takistusi selle
käideldavusele;
1.7. arendusvajadused oleks koondatud ning esitatud valitsusportaali demokeskkonna kaudu
https://demo.test.rmit.ee/poordumine.
2. Arenduse vastavus kehtestatud standarditele ja nõuetele
Uus arendatav moodul peab vastama:
2.1. keskse haldus- ja majutuspartneri kehtestatud IT-profiilile, millega tagatakse infosüsteemide
(sh VP) optimaalsed haldus-, hooldus- ja koolituskulud ning minimeeritakse tehnilist keerukust;
2.2. keskse haldus- ja majutuspartneri kehtestatud mittefunktsionaalsete, ristfunktsionaalsete ja
tehnilistele nõuetele;
2.3. Juurdepääsetavus standard WCAG 2.1 AA tasemele;
2.4. Turvalisuse standard OWASP ASVS 3.0 tase 2-le;
2.5. VP 2.0 stiiliraamatule.
3. Arendusprotsessiga seotud rollid ja kohustused
3.1. Asutus (tellija), mis vajab veebi arendusena lisa moodulit või -funktsionaalsust vms vajadust:
3.1.1. tutvustab arendusvajadust digikommunikatsiooni töörühmas enne arenduste tellimist ja ka
peale selle realiseerimist;
3.1.2. koostab ärivajadust käsitleva lähteülesande, milles on välja toodud püstituse kirjeldus ja
sellega saavutatav tulemus;
3.2. Riigikantselei (valitsusportaali vastutav töötleja):
3.2.1. korraldab digikommunikatsooni töörühmas arendusvajaduste tutvustamise ja sellega
seonduvad arutelu;
3.2.2. korraldab arendusvajaduste lähteülesande kirjelduste ning seotud dokumentatsiooni
kogumise ja kättesaadavuse asutustele;
3.2.3. esitab keskse haldus- ja majutusteenuse osutajale pisiarenduste tellimused ning kontrollib
nende täitmist.
3.3. Arenduspartner:
3.3.1. teostab arendustööd vastavalt arendusprotsessi reguleerivatele alusdokumentidele ja
standarditele;
3.3.2. loob vajadusel prototüüpvaated ja korraldab kasutatavuse analüüsi;
3.3.3. loob lisaarendustega kaasneva dokumentsatsiooni ja kasutusjuhendid;
3.3.4. koostab lisaarendustele paigaldus- ja seadistusjuhised;
3.3.5. viib läbi funktsionaalse ja mittefunktsionaalse testimine, sh vastavus-, jõudlus- ja
koormustestimise, kasutatavuse testimise, turvalisuse testimise, juurdepääsetavuse testimise ning
esitab sellekohased raportid kesksele haldus- ja majutuspartnerile.
3.4. Keskne haldus- ja majutuspartner:
3.4.1. korraldab arendustegevusega seonduva projektijuhtimist osas, mis puudutab alustingimuste
täpsustusi ja arenduste paigaldamist kesksesse koodihoidlasse;
3.4.2. hoiab arendustingimusi sätestava alusdokumentatsiooni ajakohasena ja tagab selle
kättesaadavuse arenduspartneritele;
3.4.3. hoiab platvormteenuse dokumentsatsiooni ajakohasena ja tagab selle kättesaadavuse
arenduspartnerile;
3.4.4. annab arenduspartnerile lähtekoodi arendustööde teostamiseks vajaliku keskkonna
loomiseks (GIT repo või nightly built Docker image), tehes seda Riigikantselei nõusoleku alusel;
3.4.5. paigaldab veebi lisaarendused kesksesse koodirepositooriumisse ning tagab selle
kättesaadavuse asutuse veebilehel või arendusest huvitatud teistele asutustele (tellijatele).
4. Arendustööde teostamise kord
4.1. Arendustöid võivada teostada:
4.1.1. Asutuse enda arendusüksus;
4.1.2. Asutuse enda IT-maja;
4.1.3. Keskne haldus- ja majutuspartner;
4.1.4. Väline partner erasektorist.
4.2. Keskne haldus- ja majutuspartnerilt on valik tellida lisateenusena: turvatestide teostamine
teostatud arendusele ning koodi ühildamine ja valideerimine kolmandate osapoolte poolt teostatud
arendustele.
4.3. Keskne haldus- ja majutuspartner korraldab VP platvormile ca 64 tunni ulatuses keskseid
pisiarendusi ühes kalendrikuus.
4.4. Pisiarendused (kuni 2 tööpäeva arendusmahuga), mis ei mahu keskselt pakutava
arendustundide sisse või on teostatud mõne teise partneri poolt nt aegkriitilisuse tõttu, vajavad
samuti punktis 3.3 nimetatud dokumentsatsiooni koostamist või vajadusel täiendatakse
olemasolevat informatsiooni.
4.5. Arendustööde teostaja võib punktis 3.3 nimetatud kohustusi jagada keskse haldus- ja
majutusparteriga eelnevalt sõlmitud kokkulepete alusel.
4.6. Vajadusel moodustatakse poolte kokkuleppel lisaarenduste teostamiseks (planeerimisest kuni
juurutamise lõpuni) ajutised tööruumid.
5. Digikommunikatsioon töörühma teavitamine lisaarendustest
5.1. asutus teavitab arendusvajadusest töörühma. Erandlikult ajakriitilisest arendusest
(arendusmahuga kuni 2 tööpäeva) ei pea töörühma teavitama. Eelnev teavitamine võimaldab:
5.1.1. leida püstitusele lahendus olemasoleva funktsionaalsuse pealt;
5.1.2. laiendada võimalusel püstitust selliselt, et see täidaks universaalsemal kujul rohkemate
asutuste vajadusi;
5.1.3. leida püstitusele teisi huvitatud osapooli arenduskulu jaotamiseks või kõikide osapoolte
huvi korral tellida keskselt;
5.2. Töörühma teavitamine peale juurutust on samuti oluline, et hoida funktsionaalsusega seonduv
info ajakohane.
5.3. Teavitustegevusel puudub kindel formaat.
Lisa 1. Arendusprotsessi põhisammud
Lisa 4 Andmetöötlus
1. Eesmärk.
1.1 Käesoleva lisa eesmärk on kokku leppida volitatud töötleja õigustes ja kohustuses
isikuandmete töötlemisel, millest pooled valitsusportaali teenuslepingu (edaspidi
leping) täitmisel juhinduvad. Käesolev lisa kujutab endast isikuandmete töötlemist
puudutavat andmetöötluse lepingut vastavalt Euroopa Liidu isikuandmete kaitse
üldmäärusele (2016/679) (edaspidi: üldmäärus).
1.2 Lisas sätestatud tingimused kehtivad juhul, kui Rahandusministeeriumi
Infotehnoloogiakeskus (edaspidi RMIT) töötleb tellija nimel isikuandmeid
üldmääruse mõistes.
1.3 Andmesubjektide kategooriad ja isikuandmete liigid, mida lepingu täitmisel
töödeldakse (edaspidi: isikuandmed), isikuandmete töötlemise kestus, iseloom ja
eesmärgid on välja toodud alljärgnevalt:
Töötlemise
kestus
Töötlemise
laad
Töötlemise
eesmärk
Töödeldavate
isikuandmete
kategooriad
Andmesubjektid
e kategooriad
Kuni inimesele
on vastatud või
suunatud õige
asutuse/osakonn
a poole
Kogumine,
säilitamine
või
edastamine
(vastavalt
infopäringu
sisule)
Infopäringule
vastamine
Isikuandmed
(nimi (on
valikuline), e-
post, andmed
mida inimene
ise sisestab)
Kõik inimesed,
kes veebilehte
külastavad
Andmete
töötlemine
toimub
registreerimise
lõpuni
Ligipääs
andmetele
veebilehe
sisu- ja
tehnilise
toimetamise
käigus,
vajadusel
andmete
korrastamin
e
Sündmusele
registreerimin
e
Isikuandmed
(Nimi, e-mail,
esindatav
organisatsioon
)
Sündmusel
osalejad
Kuni
uudiskirjast
loobumiseni
Ligipääs
andmetele
veebilehe
sisu- ja
tehnilise
toimetamise
käigus,
vajadusel
andmete
korrastamin
e
Uudiskirja
edastamine
E-mail Kõik huvilised
2. Isikuandmete töötlemine.
2.1 RMIT töötleb isikuandmeid ainult tellijalt saadud dokumenteeritud juhiste alusel,
sealhulgas seoses isikuandmete edastamisega kolmandale riigile või
rahvusvahelisele organisatsioonile, välja arvatud juhul, kui RMIT on kohustatud
seda tegema talle kohalduva liidu või liikmesriigi õigusega.
2.2 RMIT kohustub hoidma lepingu täitmise käigus teatavaks saanud isikuandmeid
konfidentsiaalsena ning mitte töötlema isikuandmeid muul kui lepingus sätestatud
eesmärgil. Samuti tagama, et isikuandmeid töötlema volitatud isikud (sh teised
volitatud töötlejad, volitatud töötleja töötajad jt, kellel on ligipääs lepingu täitmise
käigus töödeldavatele isikuandmetele) järgivad konfidentsiaalsusnõuet.
2.3 RMIT võib isikuandmete töötlemiseks kasutada teisi volitatud töötlejaid üksnes
tellija (vastutava töötleja) eelneval nõusolekul, mis on antud vähemalt kirjalikku
taasesitamist võimaldavas vormis. Ilma tellija kirjalikku taasesitamist võimaldava
nõusolekuta võib RMIT kasutada isikuandmete töötlemiseks teisi volitatud
töötlejaid üksnes juhul, kui see on vajalik tema info- ja sidesüsteemide hoolduseks,
kui hoolduse läbiviimine ilma isikuandmeid töötlemata pole võimalik.
2.4 RMIT aitab võimaluste piires tellijal asjakohaste tehniliste ja korralduslike
meetmete abil täita vastutava töötleja kohustusi vastata üldmääruse tähenduses
kõigile andmesubjekti taotlustele oma õiguste teostamisel, muu hulgas edastades
kõik andmesubjektidelt saadud andmete kontrollimise, parandamise ja kustutamise,
andmetöötluse keelamise ja muud taotlused vastutavale töötlejale viivitamatult
nende saamisest alates.
2.5 RMIT aitab vastutaval töötlejal täita üldmääruse artiklites 32–36 sätestatud
kohustusi, võttes arvesse isikuandmete töötlemise laadi ja volitatud töötlejale
kättesaadavat teavet.
2.6 RMIT teeb tellijale kättesaadavaks kogu teabe, mida on vaja üldmääruse artiklis 28
kehtestatud kohustuste täitmise tõendamiseks ning mis võimaldab tellijal või tellija
poolt valitud audiitoril teha auditeid, sealhulgas kontrolle.
3. Isikuandmete töötlemisega seotud rikkumistest teavitamine.
3.1 RMIT teavitab tellijat kõikidest isikuandmete töötlemisega seotud rikkumistest, või
kui on alust kahtlustada, et selline rikkumine on aset leidnud, ilma põhjendamatu
viivituseta alates hetkest, kui RMIT või tema poolt kasutatav teine volitatud töötleja
saab teada isikuandmete töötlemisega seotud rikkumisest või on alust kahelda, et
selline rikkumine on aset leidnud.
3.2 RMIT peab viivitamatult, aga mitte hiljem kui 24 tundi pärast rikkumisest teada
saamist edastama vastutavale töötlejale kogu isikuandmetega seotud rikkumist
puudutava asjakohase informatsiooni. Juhul, kui kõiki asjaolusid ei ole võimalik
selleks ajaks välja selgitada, esitab volitatud töötleja vastutavale töötlejale esialgsed
andmed ning kogu info esimesel võimalusel.
3.3 Tellija vastutab järelevalveasutuse teavitamise eest.
4. Vastutus
4.1 Tellija vastutab, et RMIT-le lepingu täitmise käigus edastatud isikuandmed on õiged
ja, et tal on õiguslik alus neid isikuandmeid töödelda, ka. kolmandale isikule edasi
anda.
4.2 RMIT ei vastuta kahju eest, mis on tekkinud talle tellija süül, ilma õigusliku aluseta
edastatud andmete töötlemise tõttu.
4.3 RMIT vastutab kahju eest, mida ta on tekitanud tellijale, andmesubjektidele või
muudele kolmandatele isikutele isikuandmete töötlemise tagajärjel, mis on tekitatud
käesoleva lisa nõudeid, rikkudes.
5. Muud sätted
5.1 RMIT kohustub lepingu lõppemisel tagastama tellijale kõik andmesubjektide
isikuandmed või kustutama või hävitama isikuandmed ja nende koopiad vastavalt
tellija antud juhistele. Kui pole antud teistsuguseid juhiseid, siis tuleb isikuandmed
tagastada või hävitada või kustutada mitte hiljem kui 10 tööpäeva jooksul peale
lepingu lõppemist, välja arvatud juhul, kui Euroopa Liidu või selle liikmesriigi
õiguse kohaselt nõutakse andmete säilitamist.
5.2 RMIT teavitab tellijat kirjalikult kõigist muudatustest, mis võivad mõjutada tema
võimet või väljavaateid pidada kinni käesolevast lisast ja vastutava töötleja
dokumenteeritud juhistest. Pooled lepivad kõigis käesolevat lisa puudutavates
täiendustes ja muudatustes kokku kirjalikult.
5.3 Kohustused, mis oma iseloomu tõttu peavad jääma jõusse hoolimata käesoleva lisa
kehtivuse lõppemisest, nagu konfidentsiaalsuskohustus, jäävad jõusse ka pärast
käesoleva lisa kehtivuse lõppemist ning nendele rakendatakse lepingus sätestatut,
kui käesolevas lisas ei ole kokku lepitud teisiti.
Valitsusportaali keskse majutus- ja haldusteenuse teenuslepingu
muutmise kokkulepe nr 1.1-4/088-1
Riigi Info- ja Kommunikatsioonitehnoloogia Keskus, registrikood 77001613, asukoht
SuurAmeerika tn 1, 10122 Tallinn, keda esindab põhimääruse alusel direktor Ergo Tars
(edaspidi tellija, lühend RIT)
ja
Rahandusministeeriumi Infotehnoloogiakeskus, registrikood 70009244, asukoht Lõõtsa 8a,
11415 Tallinn, keda esindab põhimääruse alusel direktor Meelis Riimaa (edaspidi
teenuseosutaja, lühend RMIT),
on kokku leppinud poolte vahel 31.01.2022 sõlmitud teenuslepingu nr 1.1-4/088 (edaspidi
leping) muutmises punkti 12.6 alusel järgnevalt:
1. Muudetakse punkti 2.3.1.9 ja sõnastatakse see järgnevalt:
2.3.1.9 omab õigust teha ühepoolselt ja tellijat eelnevalt teavitamata muudatusi teenuse
osutamise tingimuste, kui need on vajalikud infoturbekaalutlustel ning teavitab
tellijat peale muudatuste rakendamist ühe tööpäeva jooksul;
2. Muudetakse punkti 3.1.1 ning sõnastatakse see järgnevalt:
3.1.1 platvormide paigaldust ja seadistust teenuseosutaja hallatavas Riigipilve ja RMIT
taristul olevate projektide osas;
3. Muudetakse punkti 3.1.3.2 ning sõnastatakse see järgnevalt:
3.1.3.2 Riigipilve taristu maht ühe platvormi kohta, millega on tagatud ressurss
järgnevalt: protsessori maht vCPU 8; operatiivmälu maht RAM 10 GB; salvestusmaht
16 GB (tootekeskkond);
4. Lisatakse punkt 3.1.3.3 järgmises sõnastuses:
3.1.3.3 RMIT taristu maht ühe platvormi kohta, millega on tagatud ressurss järgnevalt:
protsessori maht vCPU 8; operatiivmälu maht RAM 10 GB; salvestusmaht 16 GB
(testkeskkond).
5. Asendatakse punktis 3.2.1.1.1 RMITi IT kasutajatoe e-posti aadress aadressiga
6. Asendatakse punktis 3.2.1.1.2 RMITi IT kasutajatoe telefoni number numbriga 671
3888.
7. Muudetakse punktis 3.2.2 toodud intsidentide vastamise tabelit ning lisatakse tabelisse
tulp „Lahendusaeg“ järgmiselt:
Mõju Prioriteet Reageerimisaeg vea
lokaliseerimiseks
Lahendusaeg
Töö on täielikult
takistatud, ärilahendus
ei toimi
Kriitiline Kuni 15 minutit Kuni 1 tund
8. Lisatakse punkt 4.1.6 järgmises sõnastuses:
4.1.6 Projektijuhi teenus – projektijuht koordineerib lisaarendustega seotud tegevusi
(lähteülesande valideerimisest kuni arenduse tootestamiseni), viib läbi juurutustööde
väliselt täiendavaid kasutajakoolitusi ja osutab konsultatsiooniteenust. Projektijuht
omab teadmisi platvormi ülesehituse ja loogika põhimõtete kohta, on kursis juba
arendatud funktsionaalsustega ning oskab teha seadistusi platvormi administreerimise
liideses.
9. Täiendatakse punkti 5.1 kahe lausega järgmises sõnastuses:
„Juhul kui nimetatud summa muutub, siis sõlmitakse selle kohta lepingu lisa. Muul
juhul kehtib viimane kokkulepitud maksumus.“
10. Muudetakse Lisa 1 ja täiendatakse lisateenuste tabelit järgmise veeruga:
Lisateenus Projektijuhi
teenus
Arveldatakse vastavalt tunni arvestuse alusel 50 €/1h
11. Asendatakse teenuslepingu lisa 3 „VP arendusmudel“ (lisatud).
12. Lisatakse teenuslepingu lisa 4 „Andmetöötlus“ (lisatud).
Tellija Teenuseosutaja
(allkirjastatud digitaalselt) (allkirjastatud digitaalselt)
Töö on osaliselt
takistatud, ärirakenduse
funktsioonid osaliselt ei
toimi
Kõrge Kuni 2 tundi Kuni 4 tundi
Töö on häiritud,
ärirakenduse
funktsionaalsus toimib
vigadega
Keskmine Kuni 8 tundi Kuni 1 tööpäev
Töö ei ole häiritud Madal Kuni 48 tundi Kuni 5 tööpäeva