Andmevahetusleping

Andmevahetusleping

kuupäev digitaalallkirjas

Maksu- ja Tolliamet (edaspidi Andmeandja), mida esindab peadirektori 31.01.2024 käskkirja nr

23-P „Volituste andmine arendusosakonna juhatajale“ alusel arendusosakonna juhataja Alvar

Pihlapuu,

Justiits- ja Digiministeerium (edaspidi Andmesaaja või JDM), mida esindab kantsler Tiina

Uudeberg ning

Registrite ja Infosüsteemide Keskus (edaspidi RIK), mida esindab direktor Rivo Reitmann

(edaspidi koos ja ühiselt pooled ning eraldi ja üksikult pool), sõlmisid käesoleva

andmevahetuslepingu (edaspidi leping) alljärgnevas:

1. MÕISTED

1.1. Andmekogu – maksukorralduse seaduse (edaspidi MKS) § 17 lõikes 1 sätestatud registri

alamregister – Töötamise Register (edaspidi TÖR).

1.2. Andmed – TÖR-is sisalduvad andmed, sealhulgas isikuandmed, mida teenuse osutamise

käigus töödeldakse.

1.3. Andmesaaja – Justiits- ja Digiministeerium, kes saab juurdepääsu MTA andmekogule.

1.4. Andmeandja – Maksu- ja Tolliamet, kes annab teisele poolele juurdepääsu oma

andmekogule.

1.5. Päring – teenuse osutamiseks kokkulepitud sisend- ja väljundandmehulgad. Üheks

päringuks loetakse sisendandmehulga alusel andmete otsimist võimaldava funktsiooni

rakendamist ja väljundandmehulga tagastamist, sõltumata tagastatavate andmehulkade

arvust.

1.6. Teenus – andmevahetus üle X-tee TÖR-i ja e-äriregistri vahel, võimaldamaks JDM-ile

juurdepääsu TÖR andmetele.

1.7. Teenuse kasutaja – e-äriregistrisse sisse loginud elutähtsa teenuse osutaja füüsilisest

isikust esindaja, kellel on vajalik juurdepääs andmetele seadusest tulenevate ülesannete

täitmiseks ning kellel on antud päringu tegemise õigus.

1.8. Elutähtsa teenuse osutaja – hädaolukorra seaduse § 38 lõike 1 alusel juriidiline isik, kelle

pädevuses on elutähtsa teenusena määratletud avaliku halduse ülesande täitmine vastavalt

hädaolukorra seaduse § 36 lõikele 1, või elutähtsat teenust osutav ettevõtjana tegutsev

isik.

1.9. Rike – teenuse eesmärgipärast kasutamist mittevõimaldav olukord.

1.10. Turvaintsident – situatsioon, kus infosüsteemi ja/või infosüsteemis töödeldava

informatsiooni konfidentsiaalsust, terviklikkust ja käideldavust rikutakse, mh kui süsteemi on

üritatud volitamata kasutada, nii edukalt kui ebaedukalt. 1.11. Konfidentsiaalne teave – lepingu täitmisel väljastatavad andmed, teenuse kasutamiseks

kasutatavad infotehnoloogilised lahendused ning muu teave, mille avalikuks tulek võiks

kahjustada poole huve või mille avalikustamine ei ole kooskõlas isikuandmete kaitse

nõuetega, v.a avalik teave avaliku teabe seaduse (edaspidi AvTS) kohaselt.

1.12. Tööaeg – esmaspäevast neljapäevani kell 08.00-16.45 ja reedel kell 08.00-15.30.

2

2. LEPINGU EESMÄRK

2.1. Lepingu eesmärk on sätestada poolte õigused ja kohustused teenuse osutamisel ning

võimaldada andmesaajale juurdepääs TÖR-ile järgmiselt:

2.1.1. MTA on andmeandja, kes edastab lepingu lisas 1 loetletud TÖR andmed e-

äriregistrisse.

2.1.2. JDM on andmesaaja, kes töötleb lepingu lisas 1 toodud andmeid MKS § 29 p 461

alusel, võimaldamaks elutähtsa teenuse osutajale juurdepääsu taustakontrollile

allutatud töötajate andmetele TÖR-is karistusregistrist taustakontrolli tegemiseks.

2.1.3. RIK täidab tema põhimääruse §-s 8 loetletud ülesandeid ja pakub tehnilist

võimekust päringute tegemiseks üle X-tee. RIK töötleb andmeid MKS § 26 lg 21 ja 3

alusel info- ja sidesüsteemide hooldamiseks ja arendamiseks.

2.2. Lepingu lisad on lepingu lahutamatud osad. Kõik lepingu muudatused sõlmitakse lepingu

lisadena ning jõustuvad pärast nende kõigipoolset allkirjastamist või poolte määratud

tähtajal. Kontaktisikute või -andmete muutmine toimub poolte teavitamisega ning selleks

lepingu lisasid ei sõlmita.

3. TEENUSE OSUTAMINE JA KASUTAMINE

3.1. Teenuse kasutamine toimub andmevahetuskihi X-tee kaudu lepingus ettenähtud

tingimustel.

3.2. Teenuse avamiseks või sulgemiseks teeb andmesaaja kontaktisik kirjalikku taasesitamist

võimaldavas vormis taotluse kontaktaadressile teenindusabi@emta.ee.

3.3. Teenuse kasutamiseks algatab teenuse kasutaja andmeandjale igakordselt nõuetekohase

päringu. Päringu sisend- ja väljundandmekomplektid on toodud lepingu lisades.

3.4. Andmed loetakse andmesaajale väljastatuks päringule vastuse saamisest arvates.

3.5. Teenuse kasutaja autentimisteabe edastamisel peab olema tagatud andmesaaja

informatsiooni sisaldumine päringu päises.

3.6. Andmeandja pakub teenust viisil, mis võimaldab andmesaaja poolt teenuse kasutamise üle

digitaalse arvestuse pidamist ja järelevalve teostamist.

3.7. Andmeandja võib keelduda teenuse osutamisest põhjendatud kahtluse korral teenuse

kasutaja volitustes, teenuse kasutamise seaduslikkuses või kui teenuse kasutamine ei vasta

lepingus kokkulepitud nõuetele.

3.8. Andmeid, mille õigsus on vaidlustatud, ei edasta pooled seni, kuni andmete edastamise

õigsus on kindlaks tehtud või õiged andmed on välja selgitatud.

4. JDM KOHUSTUSED

4.1. Andmeandja annab JDM-ile juurdepääsu andmekogule MKS § 29 p 461 alusel,

võimaldamaks elutähtsa teenuse osutajale juurdepääsu taustakontrollile allutatud töötajate

andmetele TÖR-is karistusregistrist taustakontrolli tegemiseks.

4.2. Kohustused:

4.2.1. tagada, et TÖRi andmetele saavad juurdepääsu ainult selleks volitatud ja vastava

koolituse saanud JDM-i töötajad ja ametnikud, kellele on see vahetult vajalik neile

pandud tööülesannete täitmiseks;

4.2.2. tutvustada enne andmetele juurdepääsu andmist JDMi töötajatele või ametnikele

andmete kasutamist puudutavaid õigusi ja kohustusi;

4.2.3. tagada, et kõikidel JDMi töötajatel või ametnikel, kellele on antud andmetele

juurdepääs, on piisavad teadmised isikuandmete töötlemise nõuetest ning neil on

konfidentsiaalsuskohustus, mis jääb kehtima ka pärast teenistusest vabastamist või

töölepingu lõppemist;

3

4.2.4. teavitada RIKi, kui JDMi töötajal või ametnikul kaob vajadus juurdepääsuks või

vabastatakse ta teenistusest või töösuhe temaga lõppeb;

4.2.5. vastutada JDMi töötajate või ametnike tegevuse õiguspärasuse eest ja

mitteõiguspärasest tegevusest põhjustatud kahju eest.

5. RIKi KOHUSTUSED:

5.1. Andmeandja võimaldab RIKile juurdepääsu andmekogule MKS § 26 lõike 21 ja 3 alusel info-

ja sidesüsteemide hooldamiseks ja arendamiseks ja RIKi põhimääruse § 8 toodud

ülesannete täitmiseks.

5.2. Kohustused:

5.2.1. määrata RIKi töötajad, kellel on tööülesannete täitmiseks vajalik juurdepääs

andmetele;

5.2.2. tagada, et RIKi töötajad ei kasuta juurdepääsuga saadud andmeid muudel

eesmärkidel, kui andmesaaja info- ja sidesüsteemide hooldamiseks, arendamiseks

ja tehnilise toe tagamiseks kooskõlas õigusaktidega;

5.2.3. tagada, et kõikidel RIKi töötajatel, kellel on juurdepääs andmetele, on piisavad

teadmised isikuandmete töötlemise nõuetest ning neil on konfidentsiaalsuskohustus,

mis jääb kehtima ka pärast töölepingu lõppemist;

5.2.4. sulgeda RIKi töötajale andmetele juurdepääs koheselt, kui RIK-i töötajal kaob

vajadus juurdepääsuks või töösuhe temaga lõppeb;

5.2.5. sulgeda JDMi töötaja või ametniku andmetele juurdepääs koheselt, kui JDM on

RIKile vastavasisulise teavituse edastanud;

5.2.6. tagada juurdepääs teenuse kasutajatele, kellel on vajalik juurdepääs andmetele

seadusest tulenevate ülesannete täitmiseks ning kellele on antud päringu tegemise

õigus, seejuures teenuse kasutajatel, kellele on antud juurdepääsuõigus, peab olema

personaalne kasutajatunnus, mille järgi on teenuse kasutajat võimalik tuvastada;

5.2.7. tagab, et juurdepääs suletakse teenuse kasutajale, kellel ei ole e-äriregistris

elutähtsa teenuse osutaja esindaja õigust, kui RIKile on vastav teavitus edastatud;

5.2.8. tagada, et RIK ei edasta ega anna muul viisil üle saadud andmeid

kolmandatele isikutele, v.a seaduses sätestatud alustel ja seadusest tulenevate

ülesannete täitmiseks;

5.2.9. vastutada RIKi töötajate tegevuse õiguspärasuse eest ja mitteõiguspärasest

tegevusest põhjustatud kahju eest.

6. LOGIDE TÖÖTLEMINE

6.1. Andmesaaja logid peavad võimaldama tuvastada lubatavaid ja lubamatuid andmekogu

poole pöördumisi või pöörduskatseid, nende täpset aega ja lähtekohta, sisaldades

muuhulgas järgnevaid andmeid:

6.1.3. tegevuse teostaja;

6.1.4. tegevuse/sündmuse liik või klass;

6.1.5. infosüsteemi identifikaator;

6.1.6. ajamärgistus, mis sisaldab täpset sündmuse kuupäeva ning kellaaega;

6.1.7. teostatud tegevuse väljund või tegevuse tulem.

6.2. Andmeandja fikseerib päringu kohta järgmised andmed:

6.2.3. asutuse nimi, kellele andmeid väljastati;

6.2.4. isik, kellele andmeid väljastati;

6.2.5. väljastatud andmete koosseis;

6.2.6. andmete väljastamise aeg.

6.3. Pooled peavad tagama logide muutmatuse.

6.4. Pooled säilitavad auditlogisid vähemalt 2 aastat.

4

7. TEENUSE KASUTAJAD

7.1. Teenuse kasutajad on e-äriregistrisse sisse loginud elutähtsa teenuse osutaja füüsilisest

isikust esindajad, kellel on vajalik juurdepääs andmetele seadusest tulenevate ülesannete

täitmiseks ning kellele on antud päringu tegemise õigus.

7.2. JDM tagab, et teenuse kasutajatele on tutvustatud teenuse kasutamist puudutavaid õigusi

ja kohustusi.

8. VÄLJASTATUD ANDMETE KAITSE

8.1. Andmete väljastamisel andmeandja poolt tekib andmesaajal kohustus tagada andmete

turvalisus. Andmesaaja töötleb isikuandmeid kooskõlas isikuandmete kaitse üldmäärusega

(Euroopa Parlamendi ja Nõukogu määrus (EL) 2016/679) ja muude isikuandmete töötlemist

käsitletavate teiste Eesti Vabariigi õigusaktidega. Andmesaaja töötleb maksusaladuse

andmeid kooskõlas maksusaladuse andmete kaitset reguleerivatele õigusaktidega.

8.2. Pooled ei tohi andmeid töödelda muudel eesmärkidel, kui talle seadusega pandud

ülesannete täitmiseks.

8.3. Turvaintsidendist, isikuandmete töötlemise rikkumisest või selle kahtlusest, teadasaamisest

või avastamisest teavitab andmesaaja andmeandjat viivitamatult e-posti aadressil

infoturve@emta.ee.

8.4. Pooled on kohustatud omapoolsete tehniliste ja organisatsiooniliste vahenditega ära

hoidma juhuslikke ja tahtlikke teenuse kasutamist takistavaid ründeid (Denial of Service

Attack) ja koormusrünnete toimumist andmeandja andmekogule ja rakendusele, mis võivad

toimuda seoses lepingus toodud teenuse osutamise ja kasutamisega.

8.5. Kui teenuse kasutamisel on tekkinud turvaintsident, jätab andmeandja endale õiguse

teenuse osutamine ühepoolselt katkestada kuni turvaintsidendi lahendamiseni.

Andmeandja edastab vastava informatsiooni esimesel võimalusel enne teenuse

katkestamist andmesaaja ja RIKi kontaktisikutele.

8.6. Kui teenuse kasutamisel on tekkinud põhjendatud kahtlus lepinguga pandud kohustuste

rikkumise kohta, on andmeandjal õigus sulgeda juurdepääs teenusele koheselt, teavitades

sellest esimesel võimalusel andmesaaja ja RIKi kontaktisikuid.

8.7. Andmeandjal on õigus piirata andmeandja süsteemide jõudluse probleemide tekkimisel

teenuste kasutamist, teavitades sellest esimesel võimalusel andmesaaja ja RIKi

kontaktisikuid.

8.8. Andmesaaja ei edasta ega anna muul viisil üle vastuvõetud andmeid kolmandatele isikutele,

v.a seadusest tulenevate ülesannete täitmiseks.

8.9. Pooled tagavad MKS § 26 lõikes 3 toodud kohustuse täitmise, mille kohaselt on MKS §-de

28–30 alusel või teenistus- või tööülesannete täitmisel maksusaladuse kohta teavet saanud

ametnikud ja töötajad ning avalik-õiguslikke ülesandeid täitvad isikud kohustatud hoidma

saladuses neile maksukohustuslase kohta teatavaks saanud teavet. Maksusaladuse

hoidmise kohustus ei lõpe JDMi töötaja ja ametniku ning RIKi töötaja teenistus- või töösuhte

lõppemisega;

8.10. Pooled rakendavad punktis 8.1. ja 8.9. nimetatud õigusaktidest tulenevaid asjakohaseid

organisatsioonilisi, infotehnilisi ja füüsilisi turvameetmeid andmete kaitsmiseks, et ära hoida:

8.12.1. volitamata isikute juurdepääs andmetele, sealhulgas isikuandmete töötlemiseks

kasutatavatele andmetöötlusseadmetele;

8.12.2. andmetöötlussüsteemi kasutamine andmesidevahendite abil volitamata isikute

poolt.

5

8.13. Juhul kui andmesubjekt, kelle isikuandmeid on andmesaaja töödelnud, pöördub

andmeandja poole saamaks infot tema kohta käivate isikuandmete töötlemise kohta,

edastab andmeandja päringu andmesaajale. Andmesaaja vastutab andmesubjekti

päringule vastamise eest.

9. KONFIDENTSIAALNE TEAVE

9.1. Pooled on kohustatud hoidma konfidentsiaalse teabena neile teadaolevaid materjale ja

teadmisi, mis õigusaktidest tulenevalt või poolte kokkuleppel loetakse konfidentsiaalseks

teabeks või mis on oletatavasti sellised, samuti hoiduma neid kasutamast muul otstarbel kui

lepingus sätestatud eesmärkidel. Konfidentsiaalsusnõue ei laiene teabe avaldamisele selleks

õigustatud riigi- ja valitsusasutusele või muule juriidilisele isikule.

9.2. Kui leping lõppeb või kui pool ei kasuta kõnealust materjali enam lepingus toodud eesmärgil,

peab andmesaaja viivitamatult lõpetama konfidentsiaalset teavet sisaldava materjali ja

teabe kasutamise ja, kui ei ole eraldi kokku lepitud materjali tagastamises, hävitama

kõnealuse materjali kõikide sellest tehtud koopiatega.

9.3. Konfidentsiaalse teabe hoidmise nõue on tähtajatu.

10. TEATED

10.1. Pooltevahelised lepinguga seotud teated peavad olema edastatud vähemalt kirjalikku

taasesitamist võimaldavas vormis lepingus määratud kontaktisikutele. Teade loetakse

kättesaaduks järgmisel päeval pärast e-kirja saabumist saaja või tema teenusepakkuja

serverisse.

10.2. Kontaktandmete muutusest on pool kohustatud koheselt informeerima teisi pooli. Juhul, kui

pool on lepingu kehtivuse aja jooksul muutnud oma e-posti aadressi ning ei ole sellest teisi

pooli vähemalt kirjalikku taasesitamist võimaldavas vormis informeerinud, loetakse teade

poole poolt kättesaaduks, kui see on saadetud lepingus märgitud aadressile.

11. MUUD TINGIMUSED

11.1. MTA ja JDM kannavad iseseisvalt kulud teenuse osutamiseks ja kasutamiseks vajaliku

tehnilise lahenduse loomiseks, hooldamiseks ning andmekaitse nõuete,

organisatsiooniliste, füüsiliste ja infotehniliste turvameetmete järgimiseks.

11.2. Väljaspool tööaega tagavad pooled võimalusel riketele reageerimise ja nende

kõrvaldamise.

11.3. Pooled vastutavad rikete kõrvaldamise eest oma vastutusala piires.

11.4. Pooled ei vastuta viivituste ja rikete eest, mis tulenevad nende mõjualast väljaspool olevast

tegurist, mida ei suudeta ennetada ja mille tagajärgi ei oleks saanud vältida või ära hoida.

11.5. Pooled ei vastuta kolmandate isikute poolt osutatavate teenuste, sh infosüsteemide

andmevahetuskihi X-tee, sideliinide rikete, telefoniside katkestuste ja muude pooltest

mitteolenevate takistuste eest.

11.6. Andmeandjal on õigus katkestada juurdepääs andmetele andmeandja poolt kehtestatud

süsteemihoolduseks ettenähtud ajal (tööpäeviti 7:00–8:00 ja lisaks kolmapäeviti 17:00–

20:00).

11.7. Andmeandjal on õigus katkestada juurdepääs teenusele muul ajal, teavitades andmesaaja

kontaktisikut üks (1) tööpäev ette.

6

12. KONTAKTISIKUD

12.1. Andmesaaja kontaktisik lepingu sõlmimise hetkel on Evar Sõmer tel. 5884 4703, e-post:

evar.somer@justdigi.ee.

12.2. RIK kontaktisik lepingu sõlmimise hetkel on Tambet Artma, e-post: tambet.artma@rik.ee.

12.3. Andmeandja kontakt on teenindusabi@emta.ee.

12.4. Kontaktisiku muutmisest teavitavad pooled üksteist hiljemalt 5 tööpäeva jooksul.

12.5. Pooled määravad iga andmekogu osas kontaktisikud või kontaktandmed, mis esitatakse

vastavas lepingu lisas või edastatakse teineteisele punktis 12.1., 12.2. või 12.3. toodud e-

posti aadressil 5 tööpäeva jooksul lepingu allkirjastamisest arvates.

13. LÕPPSÄTTED

13.1. Leping jõustub hetkest, mil pooled on lepingu allkirjastanud, ja kehtib tähtajatult.

13.2. Juhul, kui lepingu mõni säte osutub vastuolus olevaks Eestis kehtivate õigusaktidega, ei

mõjuta see ülejäänud sätete kehtivust.

13.3. Lepingu täitmisel tekkivad vaidlused lahendavad pooled läbirääkimiste teel. Läbirääkimiste

ebaõnnestumisel lahendatakse vaidlused Eesti Vabariigi õigusaktidega ettenähtud korras.

13.4. Leping lõppeb poolte kokkuleppel või juhul, kui sellekohased muudatused on sisse viidud

õigusaktidesse või kui andmesaaja poolt on tahtlikult rikutud teenuse osutamise tingimusi

või kui lepingu täitmisest tekkivaid vaidlusi ei lahendata mõistliku aja jooksul.

13.5. Lepingu sõlmise hetkel on lepingu lisa järgnev:

Lisa 1 - EDASTATAVATE ANDMETE JA ANDMEVAHETUSE KIRJELDUS teenuse

„Taustakontrollile allutatud isikute pärimine TORTKA“ kohta.

14. POOLTE REKVISIIDID

Justiits- ja Digiministeerium Maksu- ja Tolliamet

Aadress: Suur-Ameerika 1, 10122 Tallinn Aadress: Lõõtsa 8A, 15176 Tallinn

Registrikood: 70000898 Registrikood: 70000349

Tel: +3726 20 8100 Tel: +372 8800811

E-post: info@justdigi.ee

E-post: emta@emta.ee

[allkirjastatud digitaalselt]

[allkirjastatud digitaalselt]

Tiina Uudeberg Alvar Pihlapuu

kantsler arendusosakonna juhataja

Registrite ja Infosüsteemide Keskus

Aadress: Lubja 4, 19081 Tallinn

Registrikood: 70000310

Tel: +372 663 6300

E-post: rik@rik.ee

[allkirjastatud digitaalselt]

Rivo Reitmann

direktor

7

8

Lisa 1

MKR ANDMEKOGU KASUTAMISE TINGIMUSED

1. Juurdepääs töötamise registrile antakse MKS § 29 p 461 alusel.

2. Juurdepääs töötamise registri andmetele X-tee kaudu antakse Justiits- ja Digiministeeriumile

eesmärgiga võimaldada elutähtsa teenuse osutajale juurdepääsu taustakontrollile allutatud

töötajate andmetele TÖR-is karistusregistrist taustakontrolli tegemiseks.

3. Andmesaaja nimeks X-teel on Registrite ja Infosüsteemide Keskus ning registrikood on

70000310

EDASTATAVATE ANDMETE JA ANDMEVAHETUSE KIRJELDUS teenuse

„Taustakontrollile allutatud isikute pärimine TORTKA“ kohta

Teenuse tehniline nimetus: EE/GOV/70000349/TORTKA

Teenuse WSDL: https://x-tee.ee/catalogue/EE

 Teenuse X-tee päise väljad ja selgitused

rd:client/id:memberCode Andmeandja identifikaator (X-teega liitunud isiku

registrikood)

repr:representedParty/repr:partyCode Tööd võimaldava isiku kood

xrd:userId Sõnumi saatja IK ja selle ees isikukoodi väljastanud riigi

kahekohaline kood (EE). E-MTAs peab olema antud

õigus TOR_TAUSTAKONTROLL_MUUTJA

Päringu sisend

 Elutähtsa teenuse osutaja (ETO) registrikood (TÖRi mõistes tööd võimaldav isik)

Päringu väljund

 Töötaja isikukood

 Töötaja perekonnanimi

 Töötaja eesnimi

 Töötaja ametinimetus

 Vastuse kood ja koodide selgitused - tagastatavad teated:

3 Päringus küsitud andmete nägemiseks puuduvad õigused.

51 Päringus puuduvad sisendandmed

62 Sisendandmetes puudub tööandja kood

67 Tööandjal puuduvad õigused

70 Üldine viga, andmete laadimine andmebaasist ebaõnnestus

155 Saatja IK ei ole olemas