| Dokumendiregister | Terviseamet |
| Viit | 5-5/25/2750-2 |
| Registreeritud | 30.05.2025 |
| Sünkroonitud | 02.06.2025 |
| Liik | Väljaminev dokument |
| Funktsioon | 5 Teabe- ja arhiivihaldus |
| Sari | 5-5 Terviseameti kirjavahetus |
| Toimik | 5-5-12/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Tervise ja Heaolu Infosüsteemide Keskus |
| Saabumis/saatmisviis | Tervise ja Heaolu Infosüsteemide Keskus |
| Vastutaja | Ragne Tsäkko (TA, Peadirektori vastutusvaldkond, Õigusosakond) |
| Originaal | Ava uues aknas |
Paldiski mnt 81, 10614 Tallinn telefon +372 794 3500 registrikood 70008799
Paju 2, 50603 Tartu e-post: [email protected] KMKN EE101339803
Akadeemia 2, 80011 Pärnu www.terviseamet.ee EE891010220034796011
Kalevi 10, 30322 Kohtla-Järve viitenumber 2800048574
Margus Arm
Tervise ja Heaolu Infosüsteemide Keskus
Teie 10.04.2025 nr 5-2/193-1
Meie 30.05.2025 nr 5-5/25/2750-2
MS Teamsi kasutamine
Terviseamet soovib MS Teamsi kasutamisel rakendada profiili 2.
Oleme MS Teamsi kasutuselevõtmiseks läbi viinud andmekaitsealase mõjuhinnangu ning
riskianalüüsi, mille tulemusena juhime Tervise ja Heaolu Infosüsteemide Keskuse kui ametile
IT-teenust tagava partneri ja andmete volitatud töötleja tähelepanu asjaolule, et andmete
säilitamine MS Teamsis ei ole täielikult kooskõlas andmekaitse reeglitega.
Kõnede, videokõnede ning koosolekute salvesti säilitatakse 120 kalendripäeva ning logisid 30
kalendripäeva, misjärel need kustutatakse infosüsteemist automaatselt. Seevastu kasutajate
vahelisi vestlusi, kanalivestlusi ning töörühmade sisu säilitatakse MS Teamsis määramata ajaks.
Võrdlusena näiteks Skype Business`is peetud vestluste ajalugu säilitatakse MS Outlook`i
Inboxis 2 aastat ning võrguarhiivis 3 aastat, misjärel need kasutaja arvutist automaatselt
kustutatakse.
Kasutajate vahelised vestlused võivad sisaldada arvamusi ja seisukohti, mis on käsitletavad
isikuandmetena. Isikuandmete kaitse üldmäärus sätestab andmete säilitamise piirangu
põhimõtte, mis tähendab, et andmete säilitamise aeg tuleb tagada rangelt minimaalsena.
Mõistame, et nende isikuandmete, mille töötlemise eesmärk on saavutatud, MS Teamsist
kustutamine on eelkõige vastutava töötleja ülesanne. Samas näeb isikuandmete kaitse
üldmääruse artikkel 32 ette isikuandmete töötlemise turvalisuse tagamise kohustuse nii
vastutavale kui volitatud töötlejale, kes mõlemad peavad võtma isikuandmete turvalisuse
tagamiseks asjakohaseid tehnilisi ja korralduslikke meetmeid.
Teie teenusehaldurilt saadud info kohaselt on automaatse kustutamise lahenduseks tehnilist
meedet võimalik rakendada ka MS Teamsile, kui soetada MS Purview Complience litsents. See
vähendaks oluliselt ameti kui vastutava töötleja koormust eesmärgi täitnud isikuandmete käsitsi
kustutamisel MS Teamsist.
Palume täpsemat infot MS Purview Complience litsentsi kasutamise võimalikkuse kohta,
sh millistel tingimustel on see Terviseametile võimalik ning kas ja kui suured kulutused sellega
kaasnevad.
Lisaks palume infot, kuidas on tagatud andmete kustutamine ning mittekasutamine
Microsofti poolt. Saame aru, et nii kasutaja poolt käsitsi kustutatud andmed kui ka automaatselt
tähtaja saabumisel kustutatavad andmed kustutakse koheselt ka Microsofti pilvest. Kas selle
kohustuse täitmine on tagatud Microsoftiga sõlmitud lepinguga või muul viisil? Kas on ka
2(2)
mingid kontrollmehhanismid selle kohustuse täitmise kontrollimiseks, mida Tehik saab
kasutada?
Lugupidamisega
(allkirjastatud digitaalselt)
Birgit Lao
peadirektor
Ragne Tsäkko
58224204 [email protected]
Paldiski mnt 81, 10614 Tallinn telefon +372 794 3500 registrikood 70008799
Paju 2, 50603 Tartu e-post: [email protected] KMKN EE101339803
Akadeemia 2, 80011 Pärnu www.terviseamet.ee EE891010220034796011
Kalevi 10, 30322 Kohtla-Järve viitenumber 2800048574
Margus Arm
Tervise ja Heaolu Infosüsteemide Keskus
Teie 10.04.2025 nr 5-2/193-1
Meie 30.05.2025 nr 5-5/25/2750-2
MS Teamsi kasutamine
Terviseamet soovib MS Teamsi kasutamisel rakendada profiili 2.
Oleme MS Teamsi kasutuselevõtmiseks läbi viinud andmekaitsealase mõjuhinnangu ning
riskianalüüsi, mille tulemusena juhime Tervise ja Heaolu Infosüsteemide Keskuse kui ametile
IT-teenust tagava partneri ja andmete volitatud töötleja tähelepanu asjaolule, et andmete
säilitamine MS Teamsis ei ole täielikult kooskõlas andmekaitse reeglitega.
Kõnede, videokõnede ning koosolekute salvesti säilitatakse 120 kalendripäeva ning logisid 30
kalendripäeva, misjärel need kustutatakse infosüsteemist automaatselt. Seevastu kasutajate
vahelisi vestlusi, kanalivestlusi ning töörühmade sisu säilitatakse MS Teamsis määramata ajaks.
Võrdlusena näiteks Skype Business`is peetud vestluste ajalugu säilitatakse MS Outlook`i
Inboxis 2 aastat ning võrguarhiivis 3 aastat, misjärel need kasutaja arvutist automaatselt
kustutatakse.
Kasutajate vahelised vestlused võivad sisaldada arvamusi ja seisukohti, mis on käsitletavad
isikuandmetena. Isikuandmete kaitse üldmäärus sätestab andmete säilitamise piirangu
põhimõtte, mis tähendab, et andmete säilitamise aeg tuleb tagada rangelt minimaalsena.
Mõistame, et nende isikuandmete, mille töötlemise eesmärk on saavutatud, MS Teamsist
kustutamine on eelkõige vastutava töötleja ülesanne. Samas näeb isikuandmete kaitse
üldmääruse artikkel 32 ette isikuandmete töötlemise turvalisuse tagamise kohustuse nii
vastutavale kui volitatud töötlejale, kes mõlemad peavad võtma isikuandmete turvalisuse
tagamiseks asjakohaseid tehnilisi ja korralduslikke meetmeid.
Teie teenusehaldurilt saadud info kohaselt on automaatse kustutamise lahenduseks tehnilist
meedet võimalik rakendada ka MS Teamsile, kui soetada MS Purview Complience litsents. See
vähendaks oluliselt ameti kui vastutava töötleja koormust eesmärgi täitnud isikuandmete käsitsi
kustutamisel MS Teamsist.
Palume täpsemat infot MS Purview Complience litsentsi kasutamise võimalikkuse kohta,
sh millistel tingimustel on see Terviseametile võimalik ning kas ja kui suured kulutused sellega
kaasnevad.
Lisaks palume infot, kuidas on tagatud andmete kustutamine ning mittekasutamine
Microsofti poolt. Saame aru, et nii kasutaja poolt käsitsi kustutatud andmed kui ka automaatselt
tähtaja saabumisel kustutatavad andmed kustutakse koheselt ka Microsofti pilvest. Kas selle
kohustuse täitmine on tagatud Microsoftiga sõlmitud lepinguga või muul viisil? Kas on ka
2(2)
mingid kontrollmehhanismid selle kohustuse täitmise kontrollimiseks, mida Tehik saab
kasutada?
Lugupidamisega
(allkirjastatud digitaalselt)
Birgit Lao
peadirektor
Ragne Tsäkko
58224204 [email protected]
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|---|---|---|---|---|---|
| Vastuskiri | 12.06.2025 | 1 | 5-5/25/2750-3 | Sissetulev dokument | ta | Tervise ja Heaolu Infosüsteemide Keskus |