| Dokumendiregister | Riigi IT Keskus |
| Viit | 5-3/25-0161-1 |
| Registreeritud | 18.06.2025 |
| Sünkroonitud | 23.06.2025 |
| Liik | Leping |
| Funktsioon | 5 Riigihanked ja lepingute haldus |
| Sari | 5-3 Lepingud juriidiliste isikutega ja asutustega, aktid, aruanded |
| Toimik | 5-3 Lepingud juriidiliste isikutega ja asutustega, aktid, aruanded |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | |
| Saabumis/saatmisviis | |
| Vastutaja | Kairi Tammik |
| Originaal | Ava uues aknas |
HANKELEPINGU ÜLDTINGIMUSED
1. Üldosa
1.1. Hankelepingu üldtingimused (edaspidi nimetatud Üldtingimused) on riigihanke tulemusel sõlmitud
raamlepingu lisa, hankelepingu lahutamatu osa ning pooltele täitmiseks kohustuslik.
1.2. Pooled võivad hankelepingu eritingimustes kokku leppida üldtingimustes käsitlemata või
üldtingimusi täpsustavates küsimustes, kui vastav võimalus on raamlepingus ja selle lisades ette
nähtud, samuti erisusi üldtingimustest. Selliste tingimuste puudumisel kohaldatakse üldtingimusi.
Üldtingimustes ja eritingimustes sisalduvate sätete vastuolu korral, loetakse ülimuslikuks
eritingimustes sätestatu.
2. Mõisted
2.1. Mõisted laienevad nii hankelepingule kui ka selle osaks olevatele dokumentidele.
2.1.1. Pooled – tellija ja täitja ühise nimetusega.
2.1.2. Üldtingimused – käesolevad hankelepingu üldtingimused. Kui üldtingimustes ei ole
fikseeritud teisiti, tähendavad üldtingimustes viidatud punktid vastavaid üldtingimuste
punkte.
2.1.3. Leping – hankelepingu eri- ja üldtingimused koos lisadega või raamlepingus toodud
juhtudel tellija pakkumuse esitamise ettepanek koos pakkumuse ja üldtingimustega.
Üldtingimuste kontekstis lühendatud terminiga leping.
2.1.4. Riigihanke alusdokumendid – riigihangete seaduse kohaselt tellija poolt läbiviidava
hankemenetlusega seonduv dokumentatsioon. Riigihanke alusdokumendid moodustavad
lepingu lahutamatu osa.
2.1.5. Tööd- hanke alusdokumentides ja tellimuses/ pakkumuse täpsustuses kirjeldatud tööd.
2.1.6. Puudus– puudusega on tegemist juhul, kui tööd ei vasta lepingus ja selle lisades sätestatud
tingimustele. Puudusega on tööd ka juhul, kui see kajastab ebaõigeid tulemusi.
2.1.7. Tehingu alusdokument – raamleping koos pakkumuse esitamise ettepanekuga või
raamleping ja pakkumuse esitamise ettepanek ning hankeleping (kirjaliku hankelepingu
sõlmimisel).
3. Hind ja maksmine
3.1. Lepingu hind peab sisaldama kõiki tasukomponente, mis on vajalikud lepingu nõuetekohaseks
täitmiseks ning kõik lepingu täitmisega seotud maksud, välja arvatud käibemaks.
3.2. Lepingu hinna tasumine tellija poolt toimub üksnes täitja poolt nõuetekohaselt esitatud arve(te) alusel.
Ettemaksete tasumist tellija poolt ei toimu.
3.3. Lepingu hind väljendatakse eurodes.
3.4. Täitja esitab tellijale arve(d) masinloetaval kujul e-arvena. Arve(d) esitatakse pärast vastuvõtuakti
allkirjastamist tellija poolt.
3.5. Tellijal on õigus nõuda, et täitja esitaks eraldiseisvad e-arved I ja II osa tööde lõikes.
3.6. Tellija tasub lepingu hinna täitja esitatud arve(te) alusel.
3.7. E-arve peab sisaldama vähemalt alljärgnevaid andmeid:
3.7.1. info e-arve esitaja kohta;
3.7.2. info maksja kohta;
3.7.3. kirjaliku hankelepingu sõlmimisel hankelepingu number ja lepinguosa viitenumber;
3.7.4. raamlepingu number;
3.7.5. raamlepingu aluseks oleva riigihanke viitenumber;
3.7.6. välisvahendite alusel tööde teostamisel ka viide vastavale projektile. Tellija kohustub
märkima vajaliku viite tehingu alusdokumendis.
3.7.7. käibemaksukohustuslase number;
3.7.8. summa käibemaksuta;
3.7.9. käibemaks;
3.7.10. kogusumma.
3.8. Arve maksetähtaeg ei tohi olla lühem kui 30 kalendripäeva, v.a kui välisvahendite kaasamise tõttu on
ettenähtud teistsugune maksetähtaeg. Erisused maksetähtaja osas sätestatakse hankelepingu
2
eritingimustes või lepitakse kokku vahemaksetena täiendavas maksegraafikus, mis kinnitatakse
lepingu lisana.
3.9. Tellija poolt makstud mistahes summa, mis ületab täitjale lepingus ettenähtu, maksab täitja tellijale
tagasi 30 kalendripäeva jooksul pärast vastava teate saamist.
3.10. Lepingu hinna tasumisega viivitamisel on täitjal õigus nõuda tellijalt viivist iga maksmisega
viivitatud kalendripäeva eest 0,15 (null koma viisteist) % maksmata summast kalendripäevas.
4. Informatsioon ja aruanded
4.1. Niipea kui võimalik, varustab tellija täitjat tema käsutuses oleva informatsiooni ja
dokumentatsiooniga, mis võib olla lepingu täitmisel oluline.
4.2. Tellija abistab täitjat nii palju kui võimalik lepingusse puutuva informatsiooni saamisel, mida täitja
mõistlikkuse piirides lepingu täitmiseks vajab.
4.3. Täitja annab tellijale viimase nõudmisel igal ajal lepingu täitmist puudutavat informatsiooni.
4.4. Juhul kui täitja kasutab EL ühtekuuluvus- ja siseturvalisuspoliitika fondide vahenditest rahastatava
hankelepingu puhul alltöövõtjaid ning alltöövõtulepingu maksumus ületab 50 000 eurot
käibemaksuta, siis peab täitja esitama andmed alltöövõtu kohta. Taaste- ja vastupidavuskava
vahendite kasutamisel tuleb edukal pakkujal esitada pärast hankelepingu sõlmimist riigihangete
registri lepingu töölehel „Alltöövõtjad“ kõigi hankelepingu täitmises osalenud alltöövõtjate kohta
sõltumata riigihanke eeldatavast maksumusest ja alltöövõtulepingu maksumusest. Täitja sisestab
jooksvalt alltöövõtjatega seotud info – alltöövõtja nimi ja registrikood, alltöövõtulepingu nimetus,
kuupäev, number ja summa – riigihangete registrisse, kus hankelepinguga seotud andmete juures on
olemas vastav vaheleht alltöövõtu jaoks.
5. Tööde üleandmise tingimused
Juhul, kui hankelepingu eritingimustes ei ole toodud teistsuguseid nõuded kohaldub tööde üleandmisele
järgnev:
5.1. Kui pakkumuse esitamise ettepanekus, hankelepingu eritingimustes või tellimuses ei ole tellija poolt
täitmise aega kindlaks määratud, loetakse täitmise ajaks 3 kuud.
5.2. Kirjaliku lepingu sõlmimise korral arvestatakse täitmise aega alates tellija poolt allkirjastatud lepingu
kättesaamise päevale järgnevast tööpäevast, muul juhul tellija teavituse päevale järgnevast tööpäevast
pakkuja pakkumuse edukuse kohta. Pooled lepivad kokku, et täitja on tellija poolt allkirjastatud
lepingu kätte saanud täitja kontaktisiku e-posti aadressile edastamisele järgneval päeval. Täitja
informeerib eelnevalt tellijat asja tarnimise täpsest ajast.
5.3. Tööde üleandmisel allkirjastab täitja vabas vormis koostatud kirjaliku üleandmise akti, milles näitab
ära üleandmise kuupäeva ja viisi, osutatud teenuste ja teostatud tööde detailiseeritud nimekirja ning
vajaduse korral esinevad puudused.
5.4. Tellija kontrollib tööde vastavust lepingutingimustele ning allkirjastab vastuvõtuakti hiljemalt 15
kalendripäeva jooksul arvates tööde üleandmisest või esitab täitjale kirjaliku motiveeritud avalduse
vastuvõtmisest keeldumise kohta. Ebakvaliteetse või puudusega tööde vastuvõtmisest keeldumisel,
on tellijal õigus keelduda asja eest tasumisest kuni täitja poolt puuduste kõrvaldamiseni. Puuduste
kõrvaldamise kulud kannab täitja.
5.5. Lepingutingimustele mittevastavate tööde vastuvõtmine tellija poolt ei piira ega välista tellija õigust
alandada hinda või kasutada muid seaduse või lepinguga ettenähtud õiguskaitsevahendeid. Samuti ei
piira tööde vastuvõtmine tellija õigust kasutada seaduse või lepinguga ettenähtud
õiguskaitsevahendeid olukorras, kus tööde mittevastavus või selle esinev puudus selgub hilisemalt.
5.6. Pooled peavad informeerima teist poolt viivitusest või viivituse sattumise ohust ja põhjustest esimesel võimalusel, kuid mitte hiljem kui 7 kalendripäeva jooksul asjaolust teadasaamisest.
6. Tööde kvaliteet ja vastavus lepingu tingimustele
6.1. Üleantavate tööde omadused ja kvaliteet peab olema vastavuses tellija poolt nõutud tingimustega.
6.2. Juhul, kui tellija avastab tööde mittevastavuse lepingule või mittekvaliteetsuse, teavitab tellija täitjat
mittevastavuse või mittekvaliteetsuse ilmnemisest kirjalikku taasesitamist võimaldavas vormis
3
esimesel võimalusel, kuid mitte hiljem, kui 7 tööpäeva jooksul mittevastavuse või mittekvaliteetsuse
tuvastamisest.
6.3. Tuvastatud mittevastavuse või mittekvaliteetsuse fikseerib tellija aktis, milles märgitakse kõik asjal
ilmnevad puudused.
6.4. Täitja poolt kohustuste täitmisega viivitamisel ja lepingu mittekohasel täitmisel, sh tööde puuduste
kõrvaldamata jätmisel rakendatakse lepingu punkti 9 sätteid.
6.5. Tellijal on õigus lisaks teistele õiguskaitsevahenditele rakendada tööde mittekvaliteetsuse või lepingu
tingimustele mittevastavuse ilmnemisel leppetrahvi 30 (kolmkümmend) % lepingu hinnast iga
tuvastatud rikkumise kohta. Leppetrahvi nõudmine ei välista tellija õigust nõuda täitjalt kahjude
hüvitamist leppetrahvi ületavas osas, sh ulatuses, milles välisrahastuse andja nõuab projekti toetuse
tagasi.
6.6. Tellija poolt mistahes nõuete esitamine ei võta temalt õigust leping ühepoolselt ennetähtaegselt
lõpetada.
7. Teated ja kirjavahetus
7.1. Tellija ja täitja vaheline kirjavahetus toimub elektrooniliselt ning selleks otstarbeks määratud poolte
kontaktandmetel.
7.2. Pooltevahelised lepinguga seotud teated peavad olema vähemalt kirjalikku taasesitamist
võimaldavas vormis, välja arvatud juhtudel, kui teated on informatsioonilise iseloomuga, mille
edastamisel teisele poolele ei ole õiguslikke tagajärgi. Teade loetakse kättesaaduks, kui:
7.2.1. teade on üle antud allkirja vastu;
7.2.2. e-kirjaga teate saatmisest on möödunud ööpäev.
8. Lepingu muutmine ja täiendamine
8.1. Lepingu muutmine toimub üksnes poolte kirjaliku kokkuleppe alusel RHS § 123 sätestatut silmas
pidades. Muudatused jõustuvad pärast nende allkirjastamist mõlema poole poolt või poolte poolt
määratud tähtajal. Kirjaliku vormi mittejärgimisel on muudatused tühised.
8.2. Kokkuleppel võivad pooled tööde teostamise tähtaega pikendada maksimaalselt kuni 6 (kuue) kuuni.
9. Poolte vastutus lepingu rikkumisel
9.1. Pooled vastutavad lepinguga võetud kohustuste täitmata jätmise või mittekohase täitmise eest Eesti
Vabariigi õigusaktides ning lepingus ettenähtud korras. Lepingus märgitud leppetrahvisummade
maksimummäära arvestamisel võetakse aluseks lepingu hind brutosummana (käibemaksuga).
9.2. Tellijal õigus igakordselt nõuda leppetrahvi iga tööpäeva eest tööde üleandmisega hilinemisel 150
eurot, kuid kokku mitte rohkem kui 30% lepingu hinnast. Tellijal on õigus käesolevas punktis
nimetatud leppetrahv kinni pidada täitjale tasumisele kuuluvatest summadest.
9.3. Oluliseks lepingurikkumiseks loetakse muuhulgas, kuid mitte ainult, järgmised juhud:
9.3.1. täitja keeldub hankelepingu täitmisest või hilineb oma lepingujärgsete kohustuste
täitmisega rohkem kui 30 kalendripäeva;
9.3.2. täitja ei kõrvalda puudusi või viivitab nende kõrvaldamisega rohkem kui 30 kalendripäeva;
9.3.3. täitja suhtes on algatatud pankrotimenetlus või välja kuulutatud maksejõuetus;
9.3.4. täitja annab oma lepingujärgsed kohustused üle kolmandatele isikutele;
9.3.5. pool on rikkunud konfidentsiaalsusnõuet;
9.3.6. pool on rikkunud avalikustamise keelu kohustust;
9.3.7. tellija on viivituses lepingus kokku lepitud maksetähtajaga rohkem kui 30 kalendripäeva,
v.a juhul kui seadus annab talle õiguse lepingujärgsete maksete peatamiseks või õiguse
keelduda maksete tasumisest.
9.4. Poolel on õigus nõuda lepingu olulise rikkumise korral leppetrahvi 30% lepingu hinnast iga vastava
juhtumi korral. Tellijal on õigus käesolevas punktis nimetatud leppetrahv kinni pidada täitjale
tasumisele kuuluvatest summadest. Leppetrahvi nõude esitamine ei võta poolelt õigust nõuda
tekitatud kahju, sh välisrahastuse alusel rahastatud projekti toetuse tagasimakse hüvitamist või
kasutada muid seadusest tulenevaid õiguskaitsevahendeid.
4
9.5. Poolte rahaline koguvastutus on piiratud lepingu hinnaga, v. a juhul, kui pool rikkus kohustust tahtlikult või raske hooletuse tõttu.
10. Lepingujärgsete kohustuste peatumine
10.1. Tellija võib peatada täitjale lepingujärgselt makstavate summade maksmise kas osaliselt või
täielikult, kui:
10.1.1. täitja ei täida lepingut või ei tee seda nõuetekohaselt;
10.1.2. vastuvõtmise, hindamise või auditeerimise käigus avastatakse puudusi või muid
täitjapoolseid kohustuste rikkumisi;
10.1.3. tellija lepingujärgsete kohustuste õigeaegset ja korrektset täitmist segab muu asjaolu, mille
eest vastutab täitja.
10.2. Makseid võib tellija peatada üksnes rikkumise äralangemiseni.
10.3. Täitja võib peatada tellijale lepingujärgsete kohustuste täitmise kas osaliselt või täielikult, kui:
10.3.1. tellija ei täida lepingut;
10.3.2. tellija ei anna täitjale lepingu täitmiseks vajalikke juhiseid ja/või informatsiooni;
10.3.3. täitja lepingujärgsete kohustuste õigeaegset ja korrektset täitmist segab muu asjaolu, mille
eest vastutab tellija.
11. Load ja litsentsid
11.1. Täitja vastutab ainuisikuliselt lepingu täitmiseks vajalike lubade ja litsentside saamise eest. Tellija
teeb täitjaga mõistlikku koostööd, hoidmaks ära selliste lubade või litsentside väljaandmise asjatut
viivitamist või väljaandmisest keeldumist.
11.2. Täitja kinnitab, et tal on õigus anda tellijale lepingu objektiks olevate tööde ning selles sisalduvate
teiste autori- või muude sarnaste õigustega kaitstavate esemete omandiõigus.
11.3. Täitja garanteerib, et tellijale asja kasutamiseks antavate õiguste üleandmisega ei rikuta kolmandate
isikute õigusi. Juhul kui kolmas isik esitab oma õiguste rikkumise tõttu tellijale nõude või tellija
vastu hagi kohtusse ning see rahuldatakse, on sellise (kahju)nõude tasumise eest kolmandale isikule
vastutav täitja. Lisaks (kahju)nõude täitmisele peab täitja hüvitama tellijale ka kõik menetlusega seotud võimalikud kulud, sh advokaaditasud ja muud kohtumenetlusega seonduvad kulud.
12. Kolmandad isikud
12.1. Täitja ei või oma lepingujärgseid kohustusi anda üle kolmandale isikule. 12.2. Täitja vastutab kõigi isikute eest, keda ta kasutab oma lepingujärgsete kohustuste täitmisel.
13. Konfidentsiaalsus
13.1. Pooled peavad lepingu täitmise käigust teineteiselt ükskõik mis vormis saadud kogu
informatsiooni, millele seda avaldanud lepingupool on osutanud kui konfidentsiaalsele või mille
konfidentsiaalsust võib mõistlikult eeldada, konfidentsiaalseks (sh isikuandmed, knowhow) ja ei
anna seda edasi kolmandatele isikutele ilma teise poole kirjaliku nõusolekuta. Lepingus sätestatud
konfidentsiaalsuse nõue ei laiene informatsiooni avaldamisele poolte audiitoritele ja advokaatidele
ning juhtudel, kui pool on õigusaktidest tulenevalt kohustatud informatsiooni avaldama.
13.2. Täitja kasutab lepingu täitmise käigus saadud konfidentsiaalset informatsiooni üksnes lepingus
sätestatud eesmärkide täitmiseks. Täitja kohustub lepingu lõppemisel kustutama kõik talle lepingu
täitmisel teatavaks saanud konfidentsiaalse info, isikuandmed ja nimetatute koopiad, v.a juhul, kui
õigusaktidest tuleneb teisiti.
13.3. Pooled täidavad kõiki lepingu täitmise kohas kehtivaid isikuandmete töötlemisalaseid nõudeid,
andmete turvalisust puudutavaid ning isikuandmete kaitse alaseid Euroopa Liidu ja Eesti Vabariigi
õigusakte ja muid eeskirju.
13.4. Täitja kohustub võtma organisatsioonilisi, füüsilisi ja infotehnilisi turvameetmeid
konfidentsiaalsete andmete kaitseks juhusliku või tahtliku volitamata muutmise, juhusliku
hävimise, tahtliku hävitamise, avalikustamise jms eest.
5
13.5. Täitja kohustub mitte kasutama konfidentsiaalset teavet mitte ühelgi viisil isikliku kasu saamise
eesmärgil ega kolmandate isikute huvides.
13.6. Pooled on kohustatud hoidma saladuses teise poole poolt kasutatavaid töömeetodeid, töös
kasutatud protsesse, süsteeme jmt, millised neid kasutav pool on ise välja töötanud.
13.7. Pooled võivad teise poole kirjalikul nõusolekul võimaldada juurdepääsu konfidentsiaalsele
informatsioonile üksnes nendele töötajatele, kellel on selleks oma tööülesannete täitmiseks vajadus
ning tagavad, et need töötajad on teadlikud ja täidavad isikuandmete töötlemisalaseid nõudeid ning
õigusakte.
13.8. Konfidentsiaalse informatsiooni avaldamiseks isikule, kes ei ole eelnevas lõikes nimetatud poole
töötaja, tuleb küsida teise poole luba kirjalikku taasesitamist võimaldavas vormis, v.a kui see on
vajalik lepingus toodud eesmärkide täitmiseks ning isikud on teadlikud ja täidavad isikuandmete
töötlemisalaseid nõudeid ning õigusakte.
13.9. Konfidentsiaalsusnõue kehtib nii lepingu täitmise ajal kui ka pärast seda tähtajatult.
13.10. Kõik eelnimetatud kohustused kehtestab täitja kõikidele kolmandatele isikutele, keda ta kasutab
oma lepingujärgsete kohustuste täitmisel.
13.11. Tulenevalt konfidentsiaalse informatsiooni laadist on tellijal õigus seada täiendavaid nõuded ja/või juhised isikuandmete töötlemiseks.
14. Avalikud suhted
14.1. Pooltel on keelatud avalikkusele edastada mistahes lepingu täitmisega seonduvat teavet, anda
teavet ja/või kommentaare ajakirjandusele, esitada pressiteateid või pidada antud osas avaliku
auditooriumi ees kõnet, välja arvatud teise poole eelneval kirjalikul nõusolekul. Avaldada võib vaid
teateid, mis on teise poolega eelnevalt kooskõlastatud.
14.2. Nimetatud kohustus laieneb ka kõikidele kolmandatele isikutele, keda täitja lepingu täitmisel kasutab või kes muul viisil saavad teavet käesoleva lepingu asjaolude kohta.
15. Lepingu kehtivus
15.1. Leping jõustub selle sõlmimise hetkest ja kehtib kuni lepinguliste kohustuste täitmiseni mõlema
poole poolt, kui lepingus ei ole määratletud teisiti.
15.2. Lepingu võib lõpetada ennetähtaegselt poolte kokkuleppel. Lepingu erakorraline ülesütlemine on
võimalik üksnes seaduses või lepingus ettenähtud juhtudel.
16. Vääramatu jõud
16.1. Lepingust tulenevate kohustuste mittetäitmist või mittenõuetekohast täitmist ei loeta Lepingu
rikkumiseks, kui selle põhjuseks oli vääramatu jõud. Vääramatu jõuna käsitlevad pooled
võlaõigusseaduse §-s 103 lg 2 nimetatud asjaolusid.
16.2. Pool, kelle tegevus lepingujärgsete kohustuste täitmisel on takistatud vääramatu jõu asjaolude tõttu,
on kohustatud sellest viivitamatult kirjalikult teatama teisele Poolele, esitades teavitusega ühes
tõendid vääramatu jõu asjaolude esinemise kohta.
16.3. Vääramatu jõu asjaolude ilmnemisel pikeneb Lepingu lõpptähtaeg nimetatud asjaolude esinemise
perioodi võrra. Pool peab vääramatu jõu asjaolude äralangemisel Lepingut viivitamatult täitma
asuma. Kui vääramatu jõu asjaolude tõttu on Poole Lepingust tulenevate kohustuste täitmine takistatud enam kui 60ne kalendripäeva võrra võib teine Pool öelda lepingu üles.
17. Kehtiv seadusandlus
17.1. Lepingule ning kõikidele lepingu osaks olevatele dokumentidele kohaldatakse Eesti Vabariigi õigusakte.
18. Vaidluste lahendamine
18.1. Lepinguga seotud või sellest tulenevate arusaamatuste või vaidluste puhul ja eeldusel, et mõlemad
pooled on sellest kirjalikult teatanud, püüavad pooled leida lahenduse läbirääkimiste teel.
6
18.2. Läbirääkimiste tulemusel kokkuleppe mittesaavutamisel lahendatakse vaidlused Harju Maakohtus.
HANKELEPINGU ERITINGIMUSED NR
Riigi Info- ja Kommunikatsioonitehnoloogia Keskus, registrikood 77001613, aadress Lõõtsa tn 8a, 11415
Lasnamäe linnaosa, Tallinn, Harju maakond, mida põhimääruse alusel esindab Ergo Tars (edaspidi nimetatud
tellija)
ja
Cybernetica AS, registrikoodiga 10140133, asukohaga Mäealuse tn 2/1, Tallinn, 12618, mida põhikirja alusel
esindab juhatuse liige Dan Bogdanov (edaspidi nimetatud täitja), keda nimetatakse edaspidi pool või koos
pooled, sõlmisid käesoleva hankelepingu (edaspidi leping) alljärgnevas:
1. Lepingu alus ja ese
1.1. Leping sõlmitakse riigihanke „Pilvemääruse riskianalüüsid“ (viitenumber 290260 ) tulemusel sõlmitud
raamlepingu nr …. alusel.
1.2. Lepingule kehtivad kõik raamlepingus ja nimetatu lisades toodud tingimused, kui lepingus ei ole
sätestatud teisiti.
1.3. Lepingu alusel teostab täitja tellijale ……….. /märkida vastav lepingu lisa (tellimus)/ kirjeldatud tööd
…… ning täidab kõik muud lepingust tulenevad kohustused.
2. Lepingu dokumendid
2.1. Lepingu lahutamatuteks osadeks on raamleping ja nimetatu lisad, üleandmise- ja vastuvõtmise aktid,
pooltevahelised kirjalikud teated ning kõik lepingu muudatused ja muud lisad.
2.2. Lepingu lisadeks lepingu allkirjastamisel on:
2.2.1. Lisa nr ___ /vastavalt tellija valikule võidakse lisadena märkida pakkumuse esitamise ettepanek,
tellimus ja pakkumuse täpsustus või muud lisad/
2.2.2. Lisa nr ___ /tellija valikul tööde üleandmise-vastuvõtmise akt./
3. Lepingu hind ja tasumine
3.1. Lepingu hind on ……… /märkida teenuse kogumaksumus käibemaksuta/ eurot. Lepingu hind sisaldab
lepingu täitmiseks vajalikke tasusid ja makse. Lepingu hinnale lisandub käibemaks.
3.2. Tellija tasub täitjale hankelepingu üldtingimustes sätestatud korras.
3.3. Maksetähtaeg: /märkida juhul, kui erineb hankelepingu üldtingimustes toodust/
3.4. Lepingu finantseerimise allikas: /märkida vajadusel/
3.5. Lepingu osa viitenumber:
4. Lepingu täitmine
4.1. Tööd teostatakse ……. /märkida tööde teostamise tähtaeg / kuu jooksul alates hankelepingu
sõlmimisest, s.o hiljemalt ……..
4.2. /Tellijal on õigus märkida täiendavalt vajalikke andmeid/.
5. Muud tingimused
5.1. Leping jõustub allkirjastamise hetkest ja kehtib kuni lepingujärgsete kohustuste täitmiseni.
5.2. Pooled kinnitavad, et käesoleva lepingu sõlmimine on kooskõlas kõigi kehtivate seaduste ja muude
õigustloovate aktide sätetega. Eraldiseisvalt kinnitavad pooled täiendavalt, et raamlepingu sõlmimine ei
ole vastuolus tema põhikirjaliste ega varasemate lepinguliste kohustuste ja/või muude sõlmitud
kokkulepetega.
5.3. Pooled kinnitavad ja tõendavad, et neil on olemas kõik õigused ja volitused käesoleva lepingu
sõlmimiseks ja selles sätestatud kohustuste täitmiseks ning lepinguga kavandatud tehingute tegemiseks.
Leping on poolte jaoks siduv ja täitmiseks kohustuslik ning kummagi poole esindajal on kõik vajalikud
volitused, nõusolekud, load ja muud õigused lepingule poole nimel allakirjutamiseks.
5.4. Lepingu sõlmimisega kaotavad kehtivuse kõik pooltevahelised varasemad kokkulepped niivõrd,
kuivõrd need on vastuolus lepinguga.
5.5. Lepingu allakirjutamisega tõendavad pooled, et on tutvunud ja on nõus lepingu ja selle lisadega ning
oluliste osadega ning mõistavad täielikult enesele võetavate kohustuste sisu ning nende tagajärgi.
6. Poolte kontaktandmed
6.1. Tellija kontaktandmed on:
6.1.1. Tellija esindaja tööde vastuvõtmise aktide, teadete jms lepinguga seonduvate dokumentide
allkirjastamisel on …….. ……….. (tel: ……….., elektronpost: …………..).
6.1.2. Tellija kontaktisik täitjale vajaliku lähteinformatsiooni andmisel, tellimuste täpsustamisel jmt. on
……………… (tel: ………….., elektronpost:……………).
6.2. Täitja kontaktandmed on:
6.2.1. Täitja esindajaks tööde üleandmise aktide, teadete jms lepinguga seonduvate dokumentide
allkirjastamisel on …………………. (tel: …….., elektronpost: ……….).
6.2.2. Täitja kontaktisik tööde teostamisel ning tellijale vajaliku informatsiooni ja tööülesannete
täpsustamisel jmt. on ………….. (tel: …….., elektronpost:…………….).
Tellija Täitja
………..
………..
(digitaalselt allkirjastatud) (digitaalselt allkirjastatud)
2
RAAMLEPING nr 5-3/25-0161-1
Raamlepingu sõlmimise
alus
Raamleping sõlmitakse riigihanke „Riigi Info- ja
Kommunikatsioonitehnoloogia Keskuse pilvemääruse riskianalüüside
hankimine“ (viitenumber 290260) (edaspidi nimetatud riigihange)
tulemusena.
Pooled Raamleping sõlmitakse Riigi Info- ja Kommunikatsioonitehnoloogia
Keskuse (edaspidiselt tellija) ning riigihankes edukaks osutunud pakkuja
(edaspidi täitja) vahel, keda nimetatakse edaspidi eraldi pool või koos
pooled.
Raamlepingu eesmärk Raamlepingu eesmärgiks on:
- kehtestada raamlepingu kehtivusaja vältel selle alusel sõlmitavaid
hankelepinguid reguleerivad tingimused;
- määratleda pooltevahelised õigused, kohustused ning vastutus
hankelepingute sõlmimisel;
- kehtestada ühtsed tingimused hankelepingute tõlgendamiseks.
Tellija Riigi Info- ja Kommunikatsioonitehnoloogia Keskus
Registrikood 77001613
Aadress Lõõtsa tn 8a, Tallinn, 11415
Tellija esindaja direktor Ergo Tars
Esinduse alus põhimäärus
Täitja Cybernetica AS
Registrikood 10140133
Aadress Mäealuse tn 2/1, Tallinn, 12618
Täitja esindaja juhatuse liige Dan Bogdanov
Esinduse alus põhikirja alusel
1. Raamlepingu ese ja dokumendid
1.1 Raamlepingu esemeks on riigihanke alusdokumentides sätestatud tingimustele vastava pilvemääruse
riskianalüüside koostamise teenuse soetamine täitjalt raamlepingu poolteks olevate tellija poolt.
1.2 Raamleping koosneb lepingu põhiosast ja selle lisadest. Raamlepinguga samaaegselt allkirjastatavad
lisad on:
1.2.1. Lisa 1, Tehniline kirjeldus koos selle lisadega;
1.2.2. Lisa 2, Hankelepingu üldtingimused;
1.2.3. Lisa 3, Hankelepingu eritingimuste projekt;
1.3 Raamlepingu lahutamatuks osaks on ka raamlepingu sõlmimiseks esitatud pakkumus ning riigihanke
alusdokumendid.
2. Poolte kinnitused
2.1 Pooled kinnitavad, et:
2.1.1. raamlepingu sõlmimisega ei ole nad rikkunud ühtegi enda suhetes kehtiva seaduse, põhikirja
või muu normatiivakti sätet ega varem sõlmitud lepingu või kokkuleppega endale võetud
kohustust;
2.1.2. nad on oma majandustegevuses iseseisvad ja et ükski pool ei vastuta teise poole poolt endale
kolmandate isikute ees raamlepingu või hankelepinguga võetud kohustuste täitmise eest;
2.1.3. et neil on seaduses ettenähtud piisav õigus- ja teovõime raamlepingu ja hankelepingu
sõlmimiseks ning nendest tulenevate kohustuste täitmiseks ja õiguste realiseerimiseks;
2.1.4. nende poolt raamlepingu allkirjastanud isikutele on antud piisavad volitused selle sõlmimiseks
kooskõlas seaduste, põhikirjade või muude normatiivaktidega.
2.2 Poolte esindajad kinnitavad, et neil on kõik õigused ja volitused sõlmida raamleping esindatava nimel
ning nad ei tea ühtegi takistust raamlepinguga võetud kohustuste täitmiseks.
3. Raam- ja hankelepingute tõlgendamine
3.1 Pooled järgivad raamlepingu ja hankelepingu (antud punkti kontekstis ühiselt nimetatud ka kui
leping) täitmisel ja tõlgendamisel järgmisi põhimõtteid:
3.1.1. lepingu jaotiste pealkirjad ei määra nende mõistete ega sätete tähendusi;
3.1.2. lepingus, kui kontekst seda nõuab, võivad ainsuses olevad sõnad tähendada mitmust ja
vastupidi.
3.1.3. pooled käituvad teineteise suhtes heas usus ja mõistlikkuse põhimõttest lähtuvalt;
3.1.4. pooled peavad mõistlikuks seda, mida samas olukorras heas usus tegutsevad isikud loeksid
mõistlikuks;
3.1.5. mõistlikkuse hindamisel arvestatakse lepingulise suhte olemust ja lepingu eesmärki ning
vastava tegevusala praktikat, samuti muid asjaolusid;
3.1.6. kahtluse korral tuleb väljendeid, millel võib olla rohkem kui üks tähendus, mõista viisil, mis
sobib kõige rohkem lepingu olemuse ja eesmärkidega;
3.1.7. lepingu tingimust tuleb tõlgendada koos lepingu teiste tingimustega, andes igaühele neist
tähenduse, mis lähtub lepingu kui terviku tähendusest ning poolte omavahelisest praktikast;
3.1.8. lepingu tingimuste tõlgendamisel eelistatakse tõlgendust, mis muudab lepingu tingimuse
seaduslikuks või kehtivaks;
3.1.9. vastuolu korral lepingu ja / või selle lisade erinevate sätete vahel tühistab hilisem säte
varasema ning üld- ja erisätte vastuolu korral kohaldatakse erisätet;
3.1.10. pooled juhinduvad omavaheliste suhete reguleerimisel lepingust ning lepinguga
reguleerimata küsimustes Eesti Vabariigis kehtivatest õigusaktidest;
3.1.11. kui mõni lepingu säte osutub vastuolus olevaks Eesti Vabariigi seadusega või muude
kehtivate õigusaktidega, ei mõjuta see lepingu ülejäänud sätete kehtivust;
3.1.12. lepingu tõlgendamisel lähtutakse poolte ühisest tegelikust tahtest, isegi kui see erineb
sõnade tavapärasest tähendusest;
3.1.13. kui poolte ühist tegelikku tahet ei õnnestu kindlaks teha, tuleb lepingut tõlgendada nii, nagu
teise poolega samasugune mõistlik isik pidi lepingut samade asjaolude esinemise korral
mõistma;
3.1.14. ühegi poole mistahes viivitus, hoolimatus või keeldumine teist poolt lepingutingimuste
täitma sundimisel või muude nõuete esitamisel ei kujuta endast selle poole mistahes
lepingujärgsetest õigustest loobumist.
4. Raam- ja hankelepingute ulatus ja maht
4.1 Raamlepingu tähtaeg on 24 kuud alates selle sõlmimisest.
4.2 Raamlepingu eeldatav maksumus on 250 000 eurot, millele lisandub käibemaks.
4.2.1. ühe pilvtoote riskianalüüsi maksimaalne maksumus 1 350,00 eurot;
4.2.2. ühe AI riskianalüüsi maksimaalne maksumus 1 350,00 eurot;
4.2.3. andmekaitse mõjuanalüüsi ühe tunni maksimaalne maksumus 190,00 eurot.
4.3 Tellija poolt sõlmitavate hankelepingute maht on piiratud raamlepingu eeldatava maksumuse
täitumisega, kuid puudub kohustus tellida teenuseid raamlepingu kogumaksumuse ulatuses.
5. Raamlepingu täitmine
5.1 Tellija tellib teenuseid vajaduspõhiselt järgides riigihangete seaduses sätestatud nõudeid ning sõlmib
hankelepingu ja täidab kõik hankelepingust tulenevad kohustused.
5.2 Teenuste tellimiseks esitab tellija täitjale tellimusi elektrooniliselt (nt e-kirja teel) või riigihangete
registri kaudu esialgse raamlepingu sõlmimiseks esitatud pakkumuse täpsustamiseks.
5.3 Tellimus sisaldab pakkumuse täpsustamiseks vajaminevaid tingimusi:
5.3.1. tellitavate analüüside skoop (sh kas on vaja teostada andmekaitsealast mõjuanalüüsi);
5.3.2. kogus/maht;
5.3.3. analüüsi teostamise aeg
5.3.4. vajadusel eeldatav maksumus (euro).
5.4 Pakkumuse täpsustus aktsepteeritakse tellija poolt kui see vastab tellimuses kehtestatud
tingimustele.
5.5 Tellijal on õigus tunnistada põhjendatud vajaduse korral omal algatusel esitatud tellimus kehtetuks.
Põhjendatud vajaduseks võib olla eelkõige, kuid mitte ainult:
5.5.1. tekib vajadus hankelepingu eset olulisel määral muuta;
5.5.2. tellimuse läbiviimise aluseks olevad tingimused on oluliselt muutunud ja seetõttu osutub
hankelepingu sõlmimine mittevajalikuks või võimatuks;
5.5.3. tellimuse käigus ilmnenud ebakõlasid ei ole võimalik kõrvaldada ega tellimust seetõttu ka
õiguspäraselt lõpule viia.
5.6 Tellija sõlmib hankelepingu täitjaga, kelle poolt esitatud pakkumus on majanduslikult soodsaim,
vastavalt hindamise kriteeriumitele (milleks on majanduslik soodsus madalama hinna alusel).
5.7 Kirjalik hankeleping sõlmitakse alati 20 000 eurot (ilma käibemaksuta) või suuremate tehingute
korral. Kirjalik hankeleping koosneb hankelepingu eritingimuste projektis toodud lisadest ja
hankelepingu lahutamatuks osaks nimetatud dokumentidest.
5.8 Kirjaliku hankelepingu sõlmimata jätmise korral (s.o ostutehingud kuni 19 999,99 eurot ja vähem)
loetakse hankelepinguks pakkumuse esitamise ettepanek (esialgse raamlepingu sõlmimiseks
esitatud pakkumuse täpsustamine), edukaks tunnistatud pakkumus ning raamlepingu lisaks olevad
hankelepingu üldtingimused kogumina.
5.9 Raamlepingu kehtivuse ajal kehtib muutumatult pakkumuses esitatud ühe pilvtoote riskianalüüsi
maksumus, ühe AI riskianalüüsi maksumus ja andmekaitse mõjuanalüüsi ühe tunni maksumus,
millest kõrgemat hinda ei tohi pakkumuse täpsustamise käigus pakkuda.
6. Raamlepingu rikkumine ja vastutus
6.1 Pooled vastutavad raamlepingust tulenevate kohustuste rikkumise eest iseseisvalt, välja arvatud, kui
rikkumine on vabandatav. Eeldatakse, et rikkumine ei ole vabandatav.
6.2 Kohustuse rikkumine on vabandatav, kui pool rikkus kohustust vääramatu jõu tõttu.
6.3 Täitja vastutab kõikide isikute eest, keda nad kasutavad oma lepingujärgsete kohustuste täitmisel.
7. Raamlepingu ülesütlemine
7.1 Raamlepingu korralise ülesütlemise õigus on Riigi Info- ja Kommunikatsioonitehnoloogia Keskusel.
7.2 Korralise ülesütlemise etteteatamistähtaeg on vähemalt 7 (seitse) kalendripäeva.
7.3 Riigi Info- ja Kommunikatsioonitehnoloogia Keskusel on õigus raamleping erakorraliselt üles öelda
ilma etteteatamistähtajata järgmistel juhtudel:
7.4 kui raamlepingu alusel sõlmitud hankeleping on erakorraliselt üles öeldud;
7.5 täitja suhtes, kes on oma lepingujärgsed kohustused üle andnud kolmandale isikule;
7.6 Raamlepingu ülesütlemine ei mõjuta sõlmitud hankelepingute kehtivust. Täitjal ei teki tellija vastu
raamlepingu korralisest ülesütlemisest tekkinud kahju hüvitamise nõude esitamise õigust, nt saamata
jäänud tulu.
8. Kolmandad isikud ja nõuete loovutamine
8.1 Pooled ei või oma lepingujärgseid kohustusi üle anda kolmandale isikule.
8.2 Pooled võivad loovutada hankelepingust tulenevaid rahalisi nõudeid kolmandatele isikutele. Pooled
on kohustatud teineteist nõude loovutamisest viivitamatult informeerima.
9. Lõppsätted
9.1 Raamlepingu tingimused on avalikud.
9.2 Raamlepingu muudatused vormistatakse lepingu lisana. Raamlepingu muutmine ei mõjuta sõlmitud
hankelepingute tingimusi.
9.3 Raamlepingu ja hankelepingu täitmise keel on eesti keel.
9.4 Raamlepinguga seotud vaidlused lahendatakse läbirääkimiste teel. Läbirääkimiste tulemusel
kokkuleppe mittesaavutamisel lahendatakse vaidlus Harju Maakohtus.
9.5 Raamleping allkirjastatakse digitaalselt.
Tellija
(digitaalselt allkirjastatud)
Täitja
(digitaalselt allkirjastatud)
Riigi Info- ja Kommunikatsioonitehnoloogia Keskus
Ergo Tars
direktor
Cybernetica AS
Dan Bogdanov
juhatuse liige
1 / 12
Microsoft riskianalüüs
Kirjeldus Microsoft Corporation (edaspidi Microsoft) on Ameerika Ühendriikide (USA) tehnoloogiaarendusettevõte, mille peakorter asub Washingtoni osariigis Redmondi linnas. Ettevõte arendab, toodab, litsentseerib ja müüb mitmesuguseid IT- seadmeid ja tarkvara. Samuti pakutakse klientidele tehnilist tuge ning muid teenuseid. Microsoft on asutatud 1975. aastal ning pilvetehnoloogiate valdkonnas üks juhtivaid ettevõtteid, mille perspektiiv teenuseid pikaajaliselt pakkuda on kõrge.
Microsoft tegutseb Eestis, Tallinnas (Microsoft Estonia OÜ) alates 2003. aastast, kuid tooteid müüakse läbi kohalike edasimüüjate. Käesolev riskianalüüs keskendub Microsoft pilvtöötlusteenuse (edaspidi pilv ja sellega seotud teenus ehk pilveteenus) riskide kirjeldamisele ning ei kohaldu toodetele, mida on võimalik kasutada asutuse sisestel ressurssidel.
Microsoft pilve võimalused Microsoft pilveteenused on ülemaailmselt kasutusel, laia kasutajabaasiga ning toodete (M365 tooted) kasutusele võtmine ei eelda kasutajatelt reeglina täiendavat väljaõpet. Microsoft pilveteenused on kasutajasõbralikud ja lihtsalt kasutatavad.
Microsoft pilveteenused võimaldavad asutustel vähendada vajadust omada ja hooldada kohapealset IT-infrastruktuuri, mis võib kaasa tuua märkimisväärseid kulude kokkuhoiuvõimalusi. Asutused saavad kasutada pilveteenuseid vastavalt vajadusele, kasvades või vähenedes vastavalt nõudlusele ja maksta ainult selle eest, mida nad tegelikult kasutavad.
Microsoft pilveteenused võimaldavad hallata suures mahus seadmeid (serverid, tööjaamad, nutiseadmed), kasutajale suunatud teenuseid (OneDrive, Sharepoint, Teams jms), kasutajate identiteete ja ligipääse (Azure AD, PIM) ja erinevaid ressursse (nt litsentsid, Single Sign-On ja ühendused teiste teenustega, turbeteenused, automatiseerimisvahendid jms).
Microsoft pilveteenused võimaldavad juurde pääseda mis tahes interneti ühendust omavast seadmest või piirata ligipääsu kindlatelt aadressidelt. Microsoft pilveteenuseid värskendatakse automaatselt ja regulaarselt uute funktsioonide ja veaparandustega, mis välistab vajaduse uuendusi käsitsi rakendada ja võimaluse, et kasutusel on aegunud tarkvara versioon. Igal Microsoft kliendil (antud juhul käsitletakse kliendina Eesti riiki, kuid võimalik on luua kliente ka madalamal tasemel, nt asutus) on enda keskkond, mis ei puutu kokku teiste Microsoft klientide andmetega.
Microsoft investeerib pidevalt pilveteenuste arengusse ja tootearendusse, pakkudes juurdepääsu uutele tehnoloogiatele ja funktsioonidele. See võimaldab kasutada täiustatud tarkvara/riistvara, tehisintellekti, analüütikat ja andmeid, et parandada teenuste pakkumist, tõhustada töövooge ja teha paremaid otsuseid.
2 / 12
Microsoft pilveteenuseid saab integreerida mitmete teiste ettevõtete tööriistade ja teenustega, sh populaarsete projektihaldus- ja tootlikkuse tööriistadega (nt Atlassian, AWS jms).
Microsoft pilveteenused võimaldavad asutustel kasutada võimsaid
arvutusvõimsusi, andmetöötlusteenuseid, koostöövahendeid ja muid tööriistu, mis parandavad efektiivsust ja suurendavad tootlikkust. Asutused saavad kiiremini käivitada uusi projekte, vähendada IT- infrastruktuuri haldamisega seotud koormust ja võimaldada töötajatel paindlikult ja turvaliselt töötada.
Microsoft pilve puudused Microsoft pilveteenuseid majutatakse väljaspool Eesti territooriumi ning vajavad üldiselt toimimiseks püsivat interneti ühendust. Ühenduseta Microsoft pilve (nt saartalitluse olukorras või olukorras, kus Microsoft teenus ei toimi) on teenuste toimimine võimalik ainult osas, kus infot ajutiselt salvestatakse kohalikku seadmesse (nt Windows turvaseaded, Windows autentimispiletid, kohalikule kettale salvestatud failid (kasutades OneDrive’i) jms), kuid pikaajalise katkestuse korral on vajalikud alternatiivsed rakendused (nt on-prem Active Directory toimimine, võimalus e- posti ümber suunata on-prem serverisse, alternatiivse ja/või on-prem suhtlusrakenduse kasutamine jms). Eesti riigiasutuste jaoks on oluline teabevahetuse korraldamine ka olukordades, kus välisühendused halvatakse kas pahatahtliku ründe tõttu või on sunnitud riik ennetava meetmena ise ühendused katkestama1.
Microsoft pilve kasutamisel saab ettevõttest isikuandmete (all)volitatud või teine volitatud töötleja, kelle andmekeskused paiknevad osaliselt USA-s ning Microsoftiga lepingut sõlmides ei ole võimalik kliendil oluliselt mõjutada lepingutingimusi. USA-s tegutsevatele
1https://www.aki.ee/sites/default/files/ringkirjad/ andmetootlusest_avalikes_pilveteenustes_0.pdf 2 EKo 16.07.2020, C-311/18 – Data Protection Commissioner vs Facebook Ireland Ltd, Maximillian Schrems 3 https://en.wikipedia.org/wiki/CLOUD_Act
isikutele ja asutustele ja/või USA-s asuvatesse andmekeskustesse isikuandmete edastamine ei ole üldjuhul lubatud, sest Euroopa Liidu ja USA vahel ei ole alates 2020. aasta juulikuust2, mil Euroopa Kohus tunnistas kehtetuks Privacy Shield’i nimelise andmekaitseraamistiku, toimivat andmekaitsealast koostööd ning andmete edastust. Sellega seoses ei ole andmesubjektidele USA-s toimuva andmetöötluse osas tagatud samaväärsed õigused (ei pruugi olla tagatud turvameetmed, võidakse teostada andmekorjet või edastada andmeid kolmandatele isikutele, nt järelevalveasutused, vt ka CLOUD Act3), nagu kehtivad Euroopa Liidus toimuva andmetöötluse suhtes. Töö uue vastava andmekaitseraamistiku loomise nimel käib siiski aktiivselt ja selle heakskiitmist võib prognoosida 2023. aasta jooksul4. Microsoft pilv võimaldab riski maandamiseks andmeresidentsuse5 asukohaks valida Euroopas asuvad serverid.
Microsoft teenuseid kasutab valdav osa maailma riikide avaliku sektori asutusi ning suurkorporatsioone, mis muudab Microsoft pilve oluliseks sihtmärgiks pahatahtlikele osapooltele (nt riiklikult sponsoreeritud rühmitused), kelle
4 https://commission.europa.eu/law/law- topic/data-protection/international-dimension- data-protection/eu-us-data-transfers_et 5 https://azure.microsoft.com/en- us/explore/global-infrastructure/data- residency/#overview
Skoor: võimaldab optimeerida baasteenuste kulusid ning maandab tarkvara
uuendamisest tulenevaid turvariske– 4 (kõrge)
3 / 12
eesmärgiks on läbi Microsoft taristu saada ligipääs Microsoft klientide andmetele. Ohu maandamiseks on Microsoftil 24/7 toimiv Cyber Defense Operations Center (CDOC)6 ning lisaks Microsofti integreeritud turvatoodetele on loodud võimalused Microsoft pilvega integreerida kolmanda osapoole turvatooteid.
Microsoft pakub pilves märkimisväärset hulka rakendusi (Azure AD, e-post, kalender, suhtlusrakendus, koostöörakendus jms), mille haldamiseks ja administreerimiseks on igale rakendusele võimalik määrata rohkeid (turva)seadistusi. Enam kasutatavate rakenduste puhul (nt Intune, Teams jms) on võimalik seadistada rohkem kui 1000 erinevat poliisikat, millega kogupoliisikate arv ületab tõenäoliselt 10 000 piiri. Poliisikate ning nende seoste haldamine, nende mõistmine, testimine, turvaline rakendamine, dokumenteerimine ja jälgimine on märkimisväärselt keeruline ülesanne, mille kompetentseks teostamiseks on vajalik pidev väljaõpe, partnerluslepe Microsoftiga ning Microsoft pilvele spetsialiseerunud meeskond.
Microsoft pilv kasutab vaikimisi andmete krüpteerimiseks Microsoft poolt loodud ja hallatud RSA turvavõtmeid, mille pikkus saab olla 1024 või 2048 bitti. Vastavalt RIA krüptouuringus7 viidatule on 2048 bitiste võtmete kasutushorisondiks aasta 2030, peale mida ei saa garanteerida andmete salajasust. Seejuures on oluline, et krüptograafiline võti, mida on vaja andmete dekrüpteerimiseks, asuks vastutava töötleja ainuvalduses. Kui see selliselt korraldatud ei ole, ei saa järeldada, et krüptograafia rakendamine koos andmekaitse standardklauslitega tagaks nõutud tasemel kolmanda riigi, sh USA õigusruumist tulenevad riskid. Käesolevalt ei ole Microsoft pilve võtmed vastutava töötleja ainuvalduses. Riski on võimalik aktsepteerida, kuna Microsoft pilve kasutamist on võimalik vajadusel vältida (kasutades tundlike andmete jaoks on- prem lahendusi) või kasutada eraldiseisvat krüpteeringut (nt ID-kaardi krüpto), mis muudab andmed Microsoftile loetamatuks.
Microsoft pilve kasutamise mõju kasutajale Kasutajad eelistavad Microsoft pilverakenduste kasutusele võtmist, kuna pilverakendused pakuvad rohkem funktsionaalsust ning on kaasaegsemad (nt Skype for Business vs Teams). Mõju on pikas perspektiivis positiivne, Microsoft pilverakenduste kasutusele võtmine tõstab tõenäoliselt töötajate produktiivsust ning võimaldab tööülesandeid täita paindlikumalt (nt kasutades lisaks arvutile nutiseadmeid).
Microsoft pilve kasutamisel võib olla negatiivne mõju, eelkõige Microsoft pilve kättesaadavuse katkemisel avalikele teenustele ja võimaliku väärkasutamise mõju. Kuna selle mõju ulatus on suur, võib tekkida oht riigi julgeolekule, kui puuduvad piisavad alternatiivid Microsoft pilveteenusele. Mõju täpsemaks hindamiseks on võimalik kasutada Microsoft teenuste käideldavusinfot8.
6 microsoft.com/en-us/msrc/cdoc 7 https://www.ria.ee/media/3041/download
8https://www.microsoft.com/licensing/docs/view/ Service-Level-Agreements-SLA-for-Online- Services?lang=1&year=2023
Skoor: tööprotsesside seisak, süsteemide funktsionaalsus andmete tervikluse ja
salajasuse tagamine – 4 (kõrge)
Skoor: positiivne mõju protsessidele – 4 (kõrge)
4 / 12
Rahaline mõju Microsoft pilve kasutamine on teatud piirini kulutõhus, kuna Microsoft litsentsipakett tuleb kasutajatele soetada Office rakenduste kasutamiseks (mida ei ole otstarbekas asendada mõne muu (vabavaralise) rakendusega, näiteks LibreOffice) ning valdavalt kasutatavate litsentsipakettidega (A3/E3) kaasnevad täiendavad funktsioonid (nt pilves majutatud Microsoft Teams) ja ressursid (nt igal kasutajal on 100GB pilve-postkast). Microsoft teenuste litsentsikulud suurenevad pidevalt, keskmiselt on iga kolme aasta tagant tehtava riigihanke hind ca 20% kõrgem eelmisest perioodist.
Kulud kasvavad oluliselt kui:
• on vajadus rakendada täiendavaid turbemeetmeid (nt Defender
lisafunktsionaalsused, Sentinel, Information Boundaries jms);
• kui kasutaja või asutuse vaates ületatakse ette antud mahtusid (nt postkastis, Sharepointis jms teenustes);
• juhul kui asutus kasutab palju osalise töökoormusega töötajaid (Microsoft litsentseerib igat individuaalset isikut);
• kui rakendamisel on vaja kaasata Microsoft täiendavat tuge (nt Unified Support);
• kui asutusel on vajalik valida, millises riigis tema andmeid töödeldakse;
• kui riigi siseselt või asutusel on vajalik eraldada enda ressursse erinevate Microsoft pilveinstantside vahel, loob eraldamine täiendavat keerukust haldamisele ja administreerimisele.
EL/NATO liikmesriigis hoitavad andmed Microsoft peakontor asub USAs, aga klientide andmete asukoht on kliendi enda valida, vaikimisi asuvad Eesti kasutajate andmed Euroopa Liidus (täpsustamata asukoht). Andmeid on võimalik hoida erinevates regioonides, sh valiku tegemiseks Euroopa Liidu siseselt on
vajalik täiendav litsentseerimine9. Siiski ei ole võimalik olla 100% veendunud, et kõik kliendi andmed (sh metaandmed) asuvad igal ajahetkel Euroopas. GDPR-i kohaselt võib andmeid edastada väljapoole Euroopa Liitu kui on rakendatud asjakohased kaitsemeetmed (artikkel 4610).
Teenusest lahkumise ja andmete ekspordi võimalus Microsoft pilve teenusest on võimalik lahkuda ja andmed eksportida, samas sõltub selle teostatavus konkreetsest rakendusest ning selle võimalikest alternatiividest. Näiteks on võimalik mõistlike pingutustega lahkuda Microsoft e-posti teenusest kui on olemas teenus, kuhu suunata uute kirjade vastuvõtmine ning migreerida andmed (näiteks Google Workspace’i11). Samas on tõenäoliselt
9 Advanced data residency in Microsoft 365 - Microsoft 365 Enterprise | Microsoft Learn 10 https://eur-lex.europa.eu/legal- content/ET/TXT/HTML/?uri=CELEX:32016R0679&qi d=1689851996164
ebamõistlik migreerida andmeid Microsoft Teams’ist mõnda muusse rakendusse, mistõttu on otstarbekam andmed arhiveerida ning alustada uue teenusega ilma varasemate andmeteta. Andmekao vältimiseks peaks andmete omanik hindama igas Microsoft pilveteenuses olevat andmete koosseisu ning nende ajaloolist väärtust, et hinnata,
11 Migrate from Exchange or Exchange Online to Google Workspace - Google Workspace Admin Help
Skoor: täiendav kulu eelarves – 4 (kõrge)
Skoor: võimalik valida, kus andmeid hoida – 4 (kõrge)
5 / 12
kas andmete eksportimine on vajalik ja otstarbekas. Microsoft teenuse lõpetamisel on aega andmete migreerimiseks 90 päeva (sh 30 päeva on teenus tavapäraselt kasutatav), kliendi andmed ja nende koopiad
kustutatakse Microsoft teenusest 90-180 päeva pärast12. Teadaolevalt puuduvad Microsoft pilves tõendusmeetmed kõigi kliendi andmete kustutamise kohta ning tuleb eeldada, et peale kustutamist jäävad andmed Microsoftile kättesaadavaks.
Vastavus sertifikaatidele (ISO, E-ITS jms) Microsoft on sertifitseerinud protsessid ning erinevad teenused paljude rahvusvaheliselt tunnustatud metoodikate vastu. Muuhulgas on Microsoft sertifitseerinud kõik olulisemad teenused, mida Eesti avalikus sektoris kasutatakse:
• Azure (nt ISO 27001:2022 ja paljud muud)13;
• Office 365 (nt ISO 27001:2013 ja paljud muud)14.
Andmekaitse meetmete rakendamine Microsoft pilve kantud andmed on krüpteeritud kuni 2048 bitise võtmega (vt sektsioon „Microsoft pilve puudused“). Andmeid anonümiseeritakse teatud ulatuseni Microsoft enda poolt (nt süsteemilogid)15 ning osades teenustes on võimalik kliendil valida andmete anonümiseerimine (nt Defender for Cloud teenuses16). Teadaolevalt krüpteeritakse vaikimisi kõiki andmeid Microsoft pilveteenuste ja kasutaja vahel nende edastamisel (standardsed SSL lahendused, nt veebilehitseja ja veebiteenuse vahel).
Enamik Microsoft pilveteenustest on mitme rentnikuga teenused, mis tähendab, et andmeid, juurutuskomplekte ja virtuaalarvuteid võidakse talleta samas füüsilises riistvaras, kus talletatakse ka teiste klientide omi. Microsoft rakendab loogilist isoleerimist, et eraldada eri klientide talletus- ja töötlusandmed. Selleks kasutatakse eritehnoloogiaid, mis aitavad tagada, et kliendiandmeid ei kombineerita teiste klientide andmetega. Täiendava turvalisuse saavutamiseks on võimalik rakendada BYOK (bring your own key)17.
12 What happens to my data and access when my subscription ends? | Microsoft Learn 13 Azure compliance documentation | Microsoft Learn 14 ISO/IEC 27001:2013 Information Security Management Standards - Microsoft Compliance | Microsoft Learn
15 Continuing Data Transfers that apply to all EU Data Boundary services - Microsoft Privacy | Microsoft Learn 16 Cloud Discovery data anonymization - Microsoft Defender for Cloud Apps | Microsoft Learn 17 Bring Your Own Key (BYOK) details - Azure Information Protection | Microsoft Learn
Skoor: võimalik teenusest lahkuda ja eksportida andmeid – 4 (kõrge)
Skoor: olemasolevad sertifikaadid on vastavuses KüTS nõuetega – 5 (kõrge)
Skoor: andmekaitsetingimused on täidetud – 4 (kõrge)
6 / 12
Andmekaitsetingimused Teadaolevalt toimub Microsoft pilves kõigi kliendi andmete töötlemine automaatselt ning klientide andmeid töödeldakse automatiseerimata vahenditega ainult erandjuhtudel (nt kliendi pöördumise lahendamiseks). Microsoft pilveteenuste puhul töödeldakse kliendi isikuandmeid. Kui Microsoft tellib alltöövõtjalt teenuseid, mille käigus need võivad saada ligipääsu nimetatud andmetele, loetakse alltöövõtjad volitatud andmetöötlejaks. Microsoft avalikustab alltöövõtjad. Microsoft pilv on vastavuses GDPR-i nõuetega18. Microsoft teavitab klienti pilveteenuses toimuvatest sündmustest ning Microsoft iseteeninduses on kliendil võimalik määrata asutuse andmekaitsekontakti, kelle poole Microsoft saab täiendavalt pöörduda19. Microsoft on valmis aitama klienti, kui kliendil on vaja vastata andmesubjekti pöördumistele, st andmete kustutamise, parandamise, töötlemise piiramise korral.
Avaliku teabe seaduse (edaspidi AvTS) § 34 lõike 2 kohaselt võib asutuse juht kehtestada konkreetsele teabele juurdepääsupiirangu, tunnistades vastava teabe AK teabeks. AK teabele on AvTS § 38 lõike 3 kohaselt juurdepääsuõigus vaid riigi ja kohaliku omavalitsuse ametnikul või töötajal oma ametiülesannete täitmiseks. Sama sätte kohaselt ei tohi AK teavet ilma juurdepääsupiirangu kehtestanud asutuse loata edastada kolmandatele isikutele. Isikuandmete puhul leidub kehtivas õiguses GDPR artiklist 28 tulenev õiguslik alus volitatud töötlejate kaasamiseks andmetöötlusprotsessi, kuid seejuures tuleb lähtuda volitatud töötlejale kehtestatud nõuetest (MKM õigusanalüüs, p 53). Kui volitatud töötleja poolt kaasatud teine volitatud töötleja ei täida oma andmekaitsekohustusi, jääb algne volitatud töötleja GDPR artikli 28 lõike 4 kohaselt vastutava töötleja ees teise volitatud töötleja kohustuste täitmise eest täielikult vastutavaks.
Turvameetmete rakendamine Microsoft rakendab oma toodete turvalisuse tagamiseks erinevaid meetmeid: • Microsoft opereerib enda toodete
turvalisuse tagamiseks turbemeeskonda (CDOC) ning on rakendanud meetmed turbeintsidentide lahendamiseks20;
• Microsoft on rakendanud Bug Bounty programmi21 vigadest raporteerimiseks;
18 General Data Protection Regulation - Microsoft GDPR | Microsoft Learn 19 Breach Notification - Microsoft GDPR | Microsoft Learn 20 Security incident management overview - Microsoft Service Assurance | Microsoft Learn
• Microsoft on loonud avaliku sektori asutustele suunatud Government Security Program (GSP)22 turbealase info jagamiseks;
• Microsoft protsessid ning tooted on sertifitseeritud hulga rahvusvaheliselt tunnustatud metoodikate vastu ning kodulehel on avaldatud ka olulisemad põhimõtted turbe tagamisel (nt füüsiline ligipääs andmekeskustele23);
• Microsoft teenuste kasutamisel on võimalik kliendil kasutusele võtta
21 Microsoft Bounty Programs | MSRC 22 Government Security Program (microsoft.com) 23 https://learn.microsoft.com/en- us/compliance/assurance/assurance-datacenter- physical-access-security?source=recommendations
Skoor: andmekaitse tagamine on kooskõlas määrusega – 4 (kõrge)
7 / 12
P il
v e
g a
s e
o tu
d r
is k
id
enamlevinud turvalise töötlemise vahendid (nt mitmetasemeline
autentimine, tingimuslikud ligipääsud jms).
Riskid
Pilveteenuse pakkuja IT süsteemi avarii tõttu ei suudeta pakkuda teenust vastavalt kokkulepitud käideldavusnõuetele ja andmeid ei ole võimalik taastada kokkulepitud ulatuses. Asutuse töö on korraldatud selliselt, et toimimine ei sõltu püsivalt Microsoft pilveteenuse toimimisest. Olemas on plaanid töötamaks ilma pilveteenusteta. Pakutav teenus ei ole ajakohane. SAAS pilveteenuse puhul vastutab uuenduste eest pilveteenuse pakkuja, muudel juhtudel võib vastutus langeda ka teenuse tellijale. Ise teenust majutades on oht, et rakendus ei saa piisavalt kiirelt uuendusi. Microsoft on-prem lahenduse kasutamine on aeglasem ja väiksemate funktsionaalsustega, kui pilveteenuses. Microsoft pilveteenust hoiab teenusepakkuja ajakohasena. Teenuse osutamise ebapiisav järelevalve. Pilveteenuse pakkuja poolt osutatav teenus ei vasta käideldavuse ja tervikluse nõuetele. Asutuse töö on korraldatud selliselt, et toimimine ei sõltu ainult Microsoft pilveteenuse toimimisest. Teenusepakkuja turvameetmete ebapiisav järelevalve. Järelevalve puudumisel muutuvad avalikuks konfidentsiaalsed ja delikaatsed andmed. Microsoft pilveteenused on läbinud infoturbe auditid ja vastavus tuntud standarditele. Teenuse õiguste jagamisel tehakse vigu. Administreerimisel tehakse inimlikke vigu. Rollide jagamise protsess on puudulik (pääsuõiguste protsess). Asutuse IAM rakendamine, kasutajaõiguste automaatne haldamine. Teenuse seadistamisel tehakse vigu. Seadistaja vea või teadmatuse tõttu seadistatakse teenus ebaturvaliselt. E-ITS rakendamine ning vajadusel turbetestimine. Teenust ei kasutata tõhusalt. Ei võeta kasutusele kõiki paketiga kaasa tulenevaid võimalusi (turvanõudeid, teenuseid jne). Pilveteenuse seadistamisel tuleb määrata turvanõuded, mis valitud paketi/teenusega kaasa tulevad (nt kaheastmeline autentimine (2FA), nutiseadmesse lisaparooli lisamine, FIDO2 võtmed jne). E-ITS rakendamine ning sellest tulenev kaasaegsete autentimisvahendite ja turvanõuete kasutamine. Administraatorite koolitamine Microsoft pilveteenuste turvaliseks seadistamiseks ja kasutamiseks. Teenuse kasutamine on ebamugav ja keerukas. Teenuse juurutamisel kasutajad jäävad koolitamata. Hakatakse otsima erinevaid lihtsamaid alternatiive dokumentide arhiveerimiseks või taastamiseks.
Skoor: rakendatud turvameetmed muudavad teenuse kasutamise ohutumaks – 5 (kõrge)
8 / 12
P il
v e
g a
s e
o tu
d r
is k
id
Teadlikkuse tõstmine Microsoft pilveteenuste kasutamisel, üksikute teenuste ning laiema kasutuselevõtu korral teenuse peakasutaja määramine. Välise teenusepakkuja poolne andmete lekitamine kolmandale osapoolele. Teenusepakkuja lubab ligipääsu salajastele andmetele. Asutuse poolne BYOK rakendamine.
Töötajate lahkumine või liikumine organisatsioonis. Süsteemi tundev inimene lahkub või on eemal. Ei ole samade oskustega asendajat. Teadlikkuse tõstmine ja koolitused teenuse kasutamiseks. Pilveteenuse väärkasutus. Tundlike dokumentide saatmisel/jagamisel sisestatakse vale inimese kontaktid, jagatakse read-only dokumente muutmisõigustega, tehakse näiteks dokument kogemata avalikuks või unustatakse dokumendid krüpteerida. Inimesed ei ole piisavalt koolitatud või teadlikud, et teenust turvaliselt kasutada. BYOK rakendamine, kasutajate pidev koolitamine ja teadlikkuse testimine. Internetiühenduse katkemine lõppkasutajal. Internetiühenduse katkemine sideteenusepakkuja rikke/vea tõttu. Ei ole võimalik ligi pääseda pilveteenuses asuvatele andmetele. Asutuse töö on korraldatud selliselt, et toimimine ei sõltu püsivalt Microsoft pilveteenuse toimimisest. Teenust pakkuv server ei vasta. Ei ole võimalik pilveteenusele ligi pääseda teenusepakkujapoolse võrgukatkestuse tõttu. Asutuse töö on korraldatud selliselt, et toimimine ei sõltu püsivalt Microsoft pilveteenuse toimimisest. Ei varundata teenuses hoitavaid andmeid. Varukoopiate puudumisel ei ole võimalik andmeid taastada. Teenuspakkuja poolt tagatud andmete ekspordi ja varundamise võimalus. Ressursside jagatud kasutuse riskid. Pilveteenuse kliendid jagavad samu ressursse- servereid, võrku, salvestusruumi. Erinevate klientide eraldamine on pilveteenuse osutaja ülesanne ning sõltub tema süsteemide ja protsesside turvalisusest. On võimalik, et kliendid saavad teatud tingimustel infot teiste klientide teenuste andmevahetuse või salvestatud andmete kohta. Teenusepakkuja poolt läbitud turbeauditid ja vastavus tuntud standarditele.
Teenuste koormatuse tõus. Pilveteenuse pakkuja ei suuda koormuse tõttu kokkulepitud käideldavuse nõudeid tagada, mille tõttu ei ole andmed kättesaadavad. Asutuse töö on korraldatud selliselt, et toimimine ei sõltu püsivalt Microsoft pilveteenuse toimimisest. Andmete või tarkvara manipuleerimine rünnaku tagajärjel, nt turvanõrkuste olemasolul, teenuse pahatahtlik väärkasutus, DDoS. Ründed pilveteenusepakkuja vastu. Avalik haldusliides (andmevahetus), paroolide lekkimisel rünnatav. Pilveteenuse pakkuja ei suuda kokkulepitud käideldavusnõudeid tagada. Asutuse töö on korraldatud selliselt, et toimimine ei sõltu püsivalt Microsoft pilveteenuse toimimisest.
9 / 12
Is ik
u a
n d
m e
te g
a s
e o
tu d
r is
k id
Väliste teenuste volitamata kasutamine. Pilveteenuse pakkuja kasutab väliseid teenusepakkujaid, kellele esitatud infoturbenõuded ei vasta teenuse terviklikkuse ja käideldavuse nõuetele. Lubatakse ligipääs salajastele andmetele või autentimise infole. Teenusepakkuja poolt läbitud turbeauditid ja vastavus tuntud standarditele. Administraatori õiguste väärkasutus. Pilveteenuse pakkuja IT administraatorite õiguste volitamata kasutamine võib kaasa tuua andmekao või andmete muutmise/hävitamise. Teenusepakkuja poolt läbitud turbeauditid ja vastavus tuntud standarditele. Andmekaitseseaduste eiramine. Euroopa Liidu isikuandmete kaitse üldmäärusest ning kohalduvatel juhtudel isikuandmete kaitse seadusest või muudest regulatsioonidest tulenevad nõuded isikuandmete töötlemisele. Oht tekib, kui organisatsioon eirab isikuandmete töötlemisel rakenduvaid andmekaitsenõudeid, mille eesmärk on andmesubjekti õiguseid kaitsta, näiteks töödeldes andmeid eesmärgita, läbipaistmatult, turvameetmeid rakendamata või ilma andmesubjekti sekkumisvõimaluseta. Teenusepakkuja poolt läbitud turbeauditid ja vastavus tuntud standarditele. Isikuandmete ebapiisav turve veebirakendustes. Isikuandmete lekkimine. Kasutatakse krüpteerimist, pseudonüümiseerimist, anonüümiseerimist. Rakendatakse uuemaid ja kaasaegsemaid infotehnoloogilisi turvameetmeid. Teenusepakkuja poolt läbitud turbeauditid ja vastavus tuntud standarditele. Puudulikud andmetöötlusprotseduurid. Andmete väärkasutamise oht kasvab, kui organisatsioonis puuduvad protseduurid IT- süsteemidele ja andmetele õiguspärase juurdepääsu tagamiseks või kui andmete kasutamine ei ole logide ega dokumentatsiooni abil tõendatav. Teenusepakkuja poolt läbitud turbeauditid ja vastavus tuntud standarditele. Puudulik privaatsus. Isikuandmete töötlemine võib riivata andmesubjekti õigust perekonna- ja eraelu puutumatusele. Eriti võib selline riive tekkida, kui töödeldakse eriliiki isikuandmeid ehk isikuandmeid mis paljastavad rassilist ja etnilist päritolu, poliitilisi vaateid, religioosseid või maailmavaatelisi tõekspidamisi ning ametiühingusse kuulumist, samuti geneetilisi andmeid, andmeid tervise, seksuaalelu ning biomeetria kohta. Puudulik privaatsus tähendab isikuandmete töötlemist viisidel, mille rakendamine, rakendamisega seotud tegevused või tegevusetus, või rakendamisest tulenevad tagajärjed, sealhulgas kõrgendatud oht isikuandmetega seotud rikkumise toimepanemisele, põhjustab õigusvastase riive andmesubjekti õigusele perekonna- ja eraelu puutumatuse vastu. Näiteks võib tekkida õigusvastane privaatsuse riive olukorras, kus õigusliku aluseta tutvutakse inimese andmetega mõnes andmekogus. Teenusepakkuja poolt läbitud turbeauditid ja vastavus tuntud standarditele.
10 / 12
Is ik
u a
n d
m e
te g
a s
e o
tu d
r is
k id
T
a rk
v a
ra g
a
s e
o tu
d
ri s
k id
Puuduv või puudulik andmekaitsekontroll. Avastamata rikkumised ning lubamatu andmete töötlemine. Mainekahju organisatsioonile. Kahjunõuded ja trahvid. Teenusepakkuja poolt läbitud turbeauditid ja vastavus tuntud standarditele. Isikuandmete hankimine ilma seadusliku aluseta või isiku nõusolekuta. Õigusaktide rikkumine. Organisatsioonile mainekahju ja rahaline kahju. Teenusepakkuja poolt läbitud turbeauditid ja vastavus tuntud standarditele. Isikuandmete kasutamine muuks kui hankimiseks lubatud otstarbeks. AK andmete levitamine/lekitamine. Kahjunõuded, rahalised trahvid ning mainekahju. Nt logiandmeid ei tohi koguda selleks, et tuvasta kasutajate harjumusi. Andmeid kogutakse ja kasutatakse minimaalselt (nii vähe kui võimalik) ja säilitatakse üksnes seniks, kuni neid vajatakse. Piiratakse andmetele juurdepääsu (nii organisatsiooni siseselt kui väliselt). Teenusepakkuja poolt läbitud turbeauditid ja vastavus tuntud standarditele. Isikuandmete lubamatu edastamine. AK andmete levitamine/lekitamine. Kahjunõuded, rahalised trahvid ning mainekahju. Rakendatakse uuemaid ja kaasaegsemaid infotehnoloogilisi turvameetmeid. Piiratakse andmetele juurdepääsu (nii organisatsiooni siseselt kui väliselt), nt kasutades pseudonümiseerimist ja krüpteerimist. Töötajate koolitamine. Isikuandmete liigne kogumine. Õigusaktide rikkumine. Organisatsioonile mainekahju ja rahaline kahju. Andmeid kogutakse ja kasutatakse minimaalselt (nii vähe kui võimalik) ja säilitatakse üksnes seniks, kuni neid vajatakse. Piiratakse andmetele juurdepääsu (nii organisatsiooni siseselt kui väliselt). Tagatakse korrapärane isikuandmete kustutamine pärast säilitusaja lõppemist. Andmetöötlusprotsessi ebapiisav või puuduv kaitse isikuandmete töötlemisel välisriikides. Trahvid ja kahjunõuded ning mainekahju organisatsioonile. Andmete töötlemine ilma aluseta või valedel põhjustel. Teenusepakkuja poolt läbitud turbeauditid ja vastavus tuntud standarditele. Puudulik läbipaistvus andmekaitse kontrolliinstantside ja asjakohaste isikute jaoks. Päringute suurenemine, mis takistab tööprotsessi. Trahvid ja rahaline kahju organisatsioonile. Rakendatakse uuemaid ja kaasaegsemaid infotehnoloogilisi turvameetmeid. Luuakse lahendusi, kus isikud saavad kergemini oma andmete ligi (nt e-teenindus). Asutus loob läbipaistvad kasutustingimused, mis annavad ka isikule endale võimaluse enda turvalisuse eest paremini seista. Ohtlikest riikidest hangitud tark- ja riistvara. Teenusepakkuja kasutab nt riist- ja tarkavara ohtlikest riikidest. Mainekahju organisatsioonile. Teenusepakkuja poolt läbitud turbeauditid ja vastavus tuntud standarditele.
11 / 12
A n
d m
e k
a o
tu s
e g
a
s e
o tu
d r
is k
id
T a
rk v
a ra
g a
s e
o tu
d r
is k
id
Andmekaotuse tõttu tekkiv käideldavuse kadu. Andmete kaotuse tõttu võivad mingid protsessid välja langeda ning organisatsioon võib lähtuda väärotsustest. Tekkida võib ka maine- ja rahalinekahju. Asutuse töö on korraldatud selliselt, et toimimine ei sõltu püsivalt Microsoft pilveteenuse toimimisest. Andmete ettevaatamatu või lubamatu kustutus. Vale hoolduse, väärtalituse, toitekatkestuse, saaste või kahjurvara tõttu võivad andmed kustuda. Asutus ei säilita Microsoft pilveteenuses andmetest ainukoopiaid, millest sõltub teenuste pakkumine. Andmetest tehakse varukoopiaid. Tarkvara päritolu mitte kontrollimine. IT-süsteemid võivad nakatuda kahjurvaraga. Teenusepakkuja poolt läbitud turbeauditid ja vastavus tuntud standarditele. Ebausaldatavast allikast pärit teave või tooted põhjustavad valeandmetel või vigastel arvutustel põhinevat väärotsust või konfidentsiaalsete andmete lekete. Teenusepakkuja poolt läbitud turbeauditid ja vastavus tuntud standarditele.
Andmete konfidentsiaalsuse kadu. Ründajal on mobiiltöökohal võrdluses bürooruumidega oluliselt lihtsam juurde pääseda kõvakettal, ird- või paberkandjal olevatele andmetele. Samuti on võimalik pealt kuulata sideühendusi. Selliste andmete avalikustamisel või ründeks kasutamisel võivad olla organisatsioonile märkimisväärsed tagajärjed. Andmeleke võib kaasa tuua seaduserikkumise (näiteks isikuandmete paljastumise tõttu) või ebasoodsa konkurentsiolukorra. Asutus rakendab Microsofti poolt soovitatud turbemeetmeid pilveteenuste turvaliseks kasutamiseks (nt mitmetasemeline autentimine jms).
Kokkuvõte Microsoft on teenusepakkujana rakendanud märkimisväärsed infoturbe ja andmekaitse alaseid meetmeid ning läbinud vastavad turbeauditid, millega saab lugeda teenusepakkuja usaldusväärseks. Samuti on Microsoftil andmete majutamise võimalus Euroopa Liidus, millega on formaalselt tagatud andmekaitsenõuete täitmine.
Microsoft klientidel (eriti avaliku sektori klientidel, kellel on võimalik sõlmida erilepinguid) on märkimisväärsed võimalused saada informatsiooni Microsoft toodete kohta ning seadistada Microsoft pilveteenuste kasutamine turvaliseks.
Samas on vajalik rakendada töökorralduslikke meetmeid, millega asutuse teenuste toimepidevus ei sõltuks ainult Microsoft pilveteenuste katkematust tööst (nt käitades osaliselt paralleelset taristut olulisemate funktsioonide dubleerimiseks on-prem keskkonnas).
Asutusel on võimalus teenusest koos andmetega igal ajal lahkuda ning jooksvalt teha varukoopiaid olulistest andmetest.
Eeltoodust tulenevalt on võimalik Microsoft pilveteenustes kasutada asutusesiseseks kasutamiseks mõeldud teavet.
12 / 12
Lisa 1. maatriks skooride arvutamiseks
V ä
g a
s u
u r
(5 )
VÄGA KÕRGE
S u
u r
(4 )
KÕRGE
K e
s km
in e
(3
)
KESKMINE
V ä
ik e
( 2
)
MADAL
V ä
g a
vä
ik e
(1
)
VÄGA MADAL
Vähetähtis (A)
Kerge (B) Raske (C ) Väga raske (D)
Katastroofiline (E)
Pilvemääruse riskianalüüsid (hanke lisa - I osa)
1 Kontoritarkvara Bizagi
2 X-tee turvaserver Telia X-tee Telia
3 Logide haldus LogStack Bytelife
4 Varundus Atlassian (Jira)
Rewind
Rewind Atlassian Marketplace
Backups for Development Teams - Rewind
https://www.atlassian.com/legal/privacy-
policy#other-important-privacy-information
Rewind
5 Automaatika/Baasfunktsi
onaalsuse täiendused
Atlassian (Jira)
Adaptavist
Adaptavist ScriptRunner for Jira | Atlassian Mark
etplace
adaptavist.com
https://www.atlassian.com/legal/privacy-
policy#other-important-privacy-information
Adaptavist
6 Töötajate küsitluste
korraldamine
Moticheck
7 Esitluste jms tegemine Canva (.com) Privacy Policy Canva
8 Äriühingute taustauuring Creditsafe Creditsafe
9 Printimisteenuse
arendamine
UniFlow Online - (uFO) Privacy Policy // NT-ware Overall Eesti AS
10 Eelarverakenduse
piloteerimine
VeeRa Andmekaitse tingimused VEERA
kodulehelt
VEERA OÜ
11 Atlassiani ja Microsofti
toodete integratsioon
Yasoon - Microsoft 365 for
Jira (Outlook Email,
Teams, Calendar)
Privacy Policy Trinidad Consulting
12 Atlassiani ajalogimise ja
raporteerimise moodul
Timesheets by Tempo -
Jira Time Tracking
General - Privacy | Tempo Trinidad Consulting
13 Videokonverentsi
lahenduse
Cisco Webex Control Hub Cisco Online Privacy Statement -
Cisco
ATEA AS
14 Dünaamilise rakenduste
turvatestimise (DAST)
DAST Security Software OÜ
15 Lokaalne failiteenus Panzura https://panzura.com/privacy-
policy/
Panzura
16 GitLabi koodirepo ja Jira
liidestamine
Atlassian (Jira)
GitLab
GitLab
GitLab Jira Connect
Privacy Policy GitLab
GitLab
Kirjeldus
Teenuse eesmärk
§ 2 lg (1) p 4-6
(pilvteenus, mida RIT kasutab)
Teenuse nimetus ja tähis
§ 2 lg 5 (pilvteenuse poolt
kasutatav pilvteenus, sh allvolitatud töötlejad)
§ 3 lg 3 (pilvteenuse pakkuja
volitatud esindaja, importija või levitaja)
https://www.atlassian.com/legal/pr
ivacy-policy#other-important-
privacy-information
17 Checklisti võimekus Jira
taskidele
Atlassian (Jira)
Didit
Didit - Checklists for Jira
Trust in Didit checklists
Checklists for Atlassian Jira and
Confluence
https://www.atlassian.com/legal/pr
ivacy-policy#other-important-
privacy-information
Didit
18 Infoturbe juhtimise
platvorm
Kordon Straightforward OÜ
19 AI tarkvara lahendus Vectra AI ByteLife Solutions OÜ
20 Infoturbe
koolituskeskkond
KnowBe4 -Knowledge
Base
KnowBe4 Sub-Processors –
Knowledge Base
Bytelife Solutions OÜ (Knowledge
Base)
AI riskianalüüsid
1 AI pilvtoode ChatGPT Privaatsuspoliitika |
OpenAI
OpenAI
2 AI pilvtoode Anthropic Claude Privacy Policy \ Anthropic Anthropic
3 AI pilvtoode Gemini Gemini Apps Privacy Hub -
Gemini Apps Help
4 AI pilvtoode Notion Terms and Privacy Notion Labs, Inc.
5 AI pilvtoode Texta Texta TEXTA OÜ
6 AI pilvtoode Perplexity Privacy Policy Perplexity
7 AI pilvtoode GitHub GitHub General Privacy
Statement - GitHub Docs
GitHub, Inc.
8 AI pilvtoode Chatbot Privacy Policy Text, Inc.
9 AI pilvtoode Adobe Firefly Adobe Privacy Policy Adobe Inc.
10 AI pilvtoode Azure AI Microsofti
privaatsusavaldus –
Microsofti privaatsus
Microsoft
11 AI pilvtoode Atlassian AI Privacy Policy | Atlassian Atlassian
12 AI pilvtoode Rovo Privacy Policy | Atlassian Atlassian
13 AI pilvtoode DeepL DeepL Privacy Policy |
Protecting Your Privacy Is
Important To Us
DeepL
14 AI pilvtoode Google Translate Privaatsus ja tingimused –
15 AI pilvtoode Tartu Ülikooli
masintõlketeenus
Andmekaitsetingimused |
Tartu Ülikool
Tartu Ülikool
16 AI pilvtoode Beautiful.ai Privacy Policy |
Beautiful.ai
Beautiful Slides, Inc.
17 AI pilvtoode Botasti.co Botastico - Chatting made
fantastico
Botastico OÜ
Kirjeldus
Teenuse eesmärk
§ 2 lg (1) p 4-6
(pilvteenus, mida RIT
kasutab)
Teenuse nimetus ja tähis
§ 2 lg 5 (pilvteenuse
poolt kasutatav
pilvteenus, sh
volitatud töötlejad)
Info volitatud töötlejate
osas
§ 3 lg 3 (pilvteenuse
pakkuja volitatud
esindaja, importija või
levitaja)
Info vahendajate osas
18 AI pilvtoode DeepSeek DeepSeek Privacy Policy Hangzhou DeepSeek
Artificial Intelligence Co.,
Ltd.
19 AI pilvtoode Llama Meta Privacy Policy - How Meta collec
ts and uses user data Meta
20 AI pilvtoode Mistral AI Terms of use | Mistral AI Mistral AI
Lisa 4
Lisa 5
Lisa 5
Lisa 5
Lisa 5
Pos I01 I03
Nimetus Teenus/toode/kaup Teenustaja(d)
Kirjelduse
näidis Tenable
Tenable Vulnerability
Management + Nessus
Professional Tenable, Inc.
Toode 1
Toode 2
Toode N
I04 I05 I06
Teave teenustaja kohta
Esindaja, importija, levitaja
Eestis Esindaja kontakt
6100 Merriweather Drive, 12th
Floor, Columbia, MD 21044,
USA
Tenable Network Security
Ireland Limited
81b Campshires, Sir John
Rogerson’s Quay, Dublin 2, Ireland
I07 I08 J01
Teenuse, selle mudeli täpne
olemus ja sisu lühikirjeldus RITi täpne roll koguteenuses
Pilvlahenduse liik, kasutatavad
keelemudelid (AI puhul),
omadused ja kirjeldus
Tenable haldab
ülemaailmset nõrkuste
registrit ja võimaldab
lokaalselt paigaldatava
tarkvara Nessus
Professional abil kliendil
otsida oma süsteemi(de)st
turvanõrkusi, mis leiduvad
registris. Registrit
uuendatakse regulaarselt
klientidelt saadud andmete
põhjal.
RIT haldab ja kasutab
omaenda sisevõrgus (roll:
CSC).
SaaS + lokaalne tarkvara.
Tenable Vulnerability
Management on riskipõhine
nõrkuste haldamise platvorm,
järgmiste funktsioonidega:
varade otsingm avastamine ja
kontekstualiseerimine,
nõrkuste haldamine ja
automaatne prioriteetimine,
reaalajas teavitamine.
Pilvekeskkonnas on ainult
nõrkuste informatsioon. RIT
võrku on paigaldatud kaks
lokaalset skännerit (agenti),
mis on ühenduses RITi
keskhaldusplatvormiga
Tenable teenuses.
J03 J04
Käideldavus Fiskaalaspektid
Garanteeritud
töövõimeaeg
(uptime) 99,95%.
Hinnastatakse varade (asset), mitte IP-aadressi põhiselt.
Litsentsid omistatakse varadele (nagu nt serverid,
salvestusseadmed, võrguseadmed, virtuaalmasinad või
konteinerid), mis on kas skaneerimisel leitud viimase 90 päeva
jooksul või mille nõrkused on välistest süsteemidest
imporditud. Kui varade hulk suureneb, siis tuleb juurde osta ka
litsentse. Tenable litsentside hinnastatamine on regressiivne –
koguse suurenedes tükihind langeb. Tenable Nessus
Professional hind on tellimuspõhine, teha saab kas ühe- või
mitmeaastase tellimuse. Tellimus hõlmab juurdepääsu
nõrkuste skaneerimisele, tooteuuendusi ja tuge. Põhileping
sisaldab vastutuse piiramise ja välistamise sätteid. Väärib
märkimist, et nõrkuseinfo kogumise kontekstis on pilves
paiknevate teenuste roll muutunud möödapääsmatuks ning
see muudab kahjurvaratõrje oluliselt tõhusamaks. Seega
rahaline aspekt pole esmatähtis.
J05 J06 J07
Andmekeskuste (jms) juriidilis
poliitilisgeograafiline aspekt
Andmete porditavus
ning pilvteenuse
ennistatavus
Teenustaja ning teenuse
sertifikaadid
Teenuse andmiseks kasutab
Tenable Amazon Web Services’i
(AWS) andmekeskusi ja teenuseid.
Andmete salvestamise koht
(piirkond, riik) tuleneb konto loomisel
tehtud valikutest. Vaikimisi valib
Tenable kliendi konteineri loomiseks
sobivaima piirkonna, praegused
asukohad Euroopas on London ja
Frankfurt. Teine koopia andmetest
(replica) paigutatakse samasse
piirkonda.
Teenus sisaldab
andmete ekspordi
funktsionaalsust.
Tenable
dokumentatsioon
kirjeldab erinevat tüüpi
andmete, näiteks
nõrkusinfo ja
konfiguratsioonide
eksportimiseks PDF,
CSV või JSON
vormingutesse.
Vastavalt teenuse
kasutamise
tingimustele, lepingu
lõppemisel tarbija
andmed kustutatakse.
Tenable on sertifitseeritud ISO/IEC
27001:2022 kohaselt, lisaks
deklareeritakse ühildumist NIST
CSF raamistikuga. Tenable Security
Center 6.2.0, Nessus Network
Monitor 6.2.2, Nessus 10.5.3,
Nessus Agent 10.4.1 on
sertifitseeritud NIAP/Common
Criteria profiilide osas, sertifikaadid
ja sertifikaatide käsitlusala on leitav
NIAP toodete otsingust. Tenable
Vulnerability Management on heaks
kiidetud PCI-DSS kohaselt
Approved Scanning Vendor (ASV).
Tenable on ühinenud Cloud Security
Alliance(CSA) STAR (Level 1) ja EU-
US Privacy Shield Framework
enesekontrolli raamistikega
J08
Andmekaitse meetmete rakendamine ja andmekaitsetingimused (andmete lekkimise võimalus, teabe
väärkasutamise mõju, avaliku teabe töötlemine, kas on infot allvolitatud töötlejate osas) Põhileping sisaldab üldiseid konfidentsiaalsussätteid. Nii Tenable kui ka klient peavad hoidma
konfidentsiaalset informatsiooni konfidentsiaalsena. Konfidentsiaalse teabe alt jäävad välja mh
anonümiseeritud või koondatud Scan Data (ehk skänneerimise tulemusel loodud) andmed. Kolmandate
isikute (nn Scan Target’ite) konfidentsiaalsuse osas on erireeglid. Veebis kättesaadavas
andmetöötluslepingus on välja toodud töödeldavad isikuandmed ja töötlemise eesmärgid, kuid ei ole
spetsiifiliselt seotud eesmärke konkreetsete andmetega. Samuti ei ole täpsustatud edasist
andmetöötlust (edasiste/täiendavate eesmärkidena on loetletud toodete pakkumine, kliendisuhte
haldamine (sh klienditugi) ja äri juhtimine) seoses konkreetsete isikuandmetega. Tenable teavitab
isikuandmete lekkest põhjendamatu viivituseta, spetsiifilisemat teavitamise aega ei ole määratletud.
Volitatud töötlejate nimekiri on veebis kättesaadav, kuid sinna võib volitatud töötlejaid jooksvalt
lisanduda. Andmetöötluslepinguga saab Tenable kliendilt üldvolituse uute volitatud töötlejate lisamiseks.
Volitatud töötlejaid on ka USA’st. Tenable on meetmete dokumendis kirjeldanud oma tehnilisi ja
korralduslikke turvameetmeid ning vastavale dokumentatsioonile on viidatud andmekaitselepingus.
Tenable edastab isikuandmeid üle riigipiiride või lubab kaugjuurdepääsu ainult kooskõlas andmekaitse
seadusandlusega. Lepingu lõpetamisel peab Tenable kliendi nõudmisel isikuandmed koheselt kliendile
tagastama või need kustutama (v.a. kui esineb seadusest tulenev nõue andmete säilitamiseks).
Tenable peab kehtestama kohased, säilitusperioodi osas kohaseid tehnilisi ja õiguslikke nõudeid
sisaldavaid isikuandmete säilitamise tingimused ja hoidma need kehtivana. Andmetöötluslepingu lisa 2
kohaselt säilitab Tenable Scan Data’t 180 päeva pärast litsentsi lõppemist, kliendi kontaktinfot säilitab
Tenable litsentsi kehtivuse aja ja kooskõlas seadusandlusega. Tehnilisele toele antud andmed
kustutatakse 90 päeva möödumisel. Tenable töötaja ei tohi tehnilise toe andmise käigus laadida kliendi
andmeid laadida avalikele veebilehtedele, sh failijagamislehtedele, käidelda neid muudel seadmetel või
kontodel kui Tenable omad. Toe andmise käigus kogunenud andmed kustutatakse pärast juhtumi
lahendamist Tenable töötaja arvutist, selle eest vastutab eraldi töötaja technical support engineer.
J10 J11
Turvameetmete rakendamine (hankes) /
Turvameetmete üldkirjeldus Taust ja maine
Rakendatud tehnilised ja
organisatoorsed meetmed on esitatud
komplekselt eraldi meetmete kirjelduses
ja faktilehel. Spetsiifilisemad väljavõtted
on esitatud KKK lehel. Olulisematest
meetmetest leiab kasutamist AES
krüpteerimine võrguliikluses ning
ketaste krüpteerimine. Pääsud
lukustatakse automaatselt 5
ebaõnnestunud katse järel,
lisameetmetena saab klient lisaks
seadistada mitmikautentimise ning
SAML autentimise integratsiooni.
Revisjonilogid on kättesaadavad API ja
kasutajaliidese kaudu. Kliendivõrgus
paiknevad sensorid algatavad
võrguühendusi pilve suunal, väidetavalt
pilvest sensori suunas kaugpääs
puudub.
Tenable on asutatud 2002.
aastal Ameerika Ühendriikides.
Tänaseks on ettevõtte klientideks
suurusjärgus 40 000
organisatsiooni üle maailma.
Nessus skänneri loojana pakkus
Tenable esimesena maailmas
platvormi, mis näeb ja turvab
digivarasid mistahes
andmetöötlusplatvormil. Maailma
juhtiva teadus- ja
nõustamisettevõte Gartner
kodulehel on kliendid Tenable
teenuste kasutajakogemust ning
teenuste töövõimekust hinnanud
pigem rahulolevalt ning keskmine
hinne on 4,6 punkti 5-st.
J12
Terviklus
Terviklus nagu ka
konfidentsiaalsus,
kõrgkäideldavus ja kerksus
(elastsus) tagatakse AWS ja
Microsoft Azure taristu
kasutamisega. Kliendiandmete
kaitsmiseks juhusliku või
volitamata hävitamise või kao
eest kasutab Tenable
regulaarselt testitud varundus- ja
taastamisprotsesse. Tenable
määrab iga-aastase ärimõju ja
avariijärgse taaste hindamise
raames pilvepõhiste toodete
taastenõuded ja evitab need.
TEHNILINE KIRJELDUS
1. Riigihanke eesmärk on sõlmida raamleping ühe pakkujaga, mille esemeks on Riigi Info- ja
Kommunikatsioonitehnoloogia Keskuse (edaspidi RIT) poolt kasutatavate ja vahendatavate
pilvteenuste riski- ja andmekaitsealaste analüüside (edaspidi analüüs) koostamine.
2. Esimesed 20 pilvteenuste riskianalüüsi (OSA I alusel) ja andmekaitselised analüüsid (osa II)
vastavalt tellimusele tuleb pakkujal teostada hiljemalt 3 kuu jooksul pärast esimese hankelepingu
sõlmimist.
Seejärel tellib hankija analüüse (nii OSA I kui OSA II alusel) vajaduspõhiselt.
3. OSA II alusel analüüsi läbiviimisel tuleb ära kasutada OSA I sisendit selliselt, et analüüsi osad
üksteist ei kordaks.
4. Analüüsi(de) teostamise ajavahemikul toimub vähemalt üks kohtumine, kus pakkuja annab ülevaate
teostatud töödest. Hankelepingu täitmisel võivad analüüsimist vajavad küsimused täpsustuda, kui
selliselt saavutatakse paremini hankija seatud eesmärk.
5. Lõppraport esitatakse eelnevalt tutvumiseks hankijale. Vajadusel viib pakkuja hankija ettepanekul
muudatused analüüside lõppraportisse.
OSA I – pilvteenuste riskianalüüsid (esmane tellimus 20 pilvteenust)
6. Pakkuja koostab hankijale analüüse ehk usaldusväärsuse hinnanguid enam levinud pilvteenuste
osas, mis peavad vastama Lisa 1 riskianalüüsi näidisele ja lähtuma Lisa 4 metoodikast ning määruse
"Võrgu- ja infosüsteemi turvameetmete nõuded ja nende kohaldamise ulatus pilvteenuse
kasutamisel" (edaspidi pilvemääruse)1 lisas viidatud nõuetele ning kui tegemist on tehisintellekti
sisaldava tootega, tuleb täiendavalt lähtuda Euroopa Parlamendi poolt kehtestatud AI määrusest2.
RIT on küberturvalisuse seaduse (edaspidi KüTS)3 subjekt ja sellest tulenevalt kohaldub nimetatud
määrus RITile. Pilvemäärusest tulenevalt tuleb RITil koostada pilvteenuse, selle pakkujate ning
kasutusjuhtude kohta hinnanguid.
7. Pilvemääruse kohaselt tuleb RITil hinnata: 1) pilvteenuse pakkuja ja tema volitatud esindaja,
importija või levitaja usaldusväärsust; 2) kasutatavat tehnoloogiat ja pilvteenuse toimemudelit ning
mõju olemasolevale võrgu- ja infosüsteemi arhitektuurile; 3) pilvteenuse turvalisust ja kasutatavaid
turvameetmeid.
8. Eelkõige tuleb koostada analüüse pilvteenuste kasutusele võtmisel pakutavate teenuste raames (Lisa
2), kuid koostatakse analüüse ka laiemalt levinud pilvteenuste (sh AI toodete) osas (Lisa 3).
Sealhulgas ka teenuste osas, mida RIT kavatseb kasutusele võtta ja pakkuda Riigipilves. Lisaks tuleb
RITil jagada koostatud analüüse lepingupartneritele või teiste pilvemääruse subjektidega. RIT peab
hindama kõiki teenuseid, mida kavatseb teenusena pakkuda.
9. Töö tulemusena annab pakkuja hankijale üle korrektses eesti keeles vastavalt Lisadele 1-6
vormistatud analüüside aruande, mis koosneb:
9.1. Üks fail kõigi analüüsitud pilvteenuse kohta lisas 6 toodud Exceli formaadis.
9.2. Üks fail iga analüüsitud pilvteenuse kohta lisas 1 toodud Word ja PDF formaadis.
9.3. Muud tähelepanekud ja soovitused ning analüüsi käigus loodud muud dokumendid.
10. Analüüsis käsitlemisest vajavad teemavaldkonnad ja küsimused, millele vastama peab on toodud
Lisas 1 ja kirjeldatud ka Lisas 5. Eelkõige tuleb analüüsiga vastata järgmistele küsimustele:
10.1. Toote pilve võimalused (kasutatavad tehnoloogiad);
10.2. Toote pilve puudused;
1 https://www.riigiteataja.ee/akt/109012024025 2 https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R1689 3 Küberturvalisuse seadus–Riigi Teataja
10.3. Toote pilve kasutamise mõju kasutajale (k.a toimepidavust ning katkemise mõju);
10.4. Rahaline mõju;
10.5. EL / NATO liikmesriikides hoitavad andmed (kus andmeid hoitakse, kas saab valida);
10.6. Teenusest lahkumise ja andmete ekspordi võimalus;
10.7. Vastavus turbenõuetele (nt sertifikaadid ja standardid);
10.8. Andmekaitse meetmete rakendamine (andmete lekke võimalust ning teabe
väärkasutamise mõju);
10.9. Andmekaitsetingimused (Avaliku teabe töötlemist, ning infot volitatud töötlejate osas):
10.10. Turvameetmete rakendamine.
OSA II – andmekaitsealased mõjuanalüüsid (esmane tellimus kuni 10 pilvteenust).
Seejärel vajaduspõhine tellimus, vt p 3.
11. Hankija märgib tellimuses eraldi lisaks kui pilvteenus töötleb olulisel määral isikuandmeid, siis
peab analüüs hõlmama ka andmekaitsealast mõjuanalüüsi ning selle läbiviimisel tuleb arvestada
parimaid praktikaid ning Euroopa Parlamendi ja Nõukogu määrust (EL) 2016/679, 27. aprill 2016,
füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning
direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus)4. Selle alusel
tuleb andmekaitsealase analüüsi käigus täiendavalt analüüsida:
11.1. Vastutavad ja volitatud töötlejad, kasutajad ja nende rollid;
11.2. Süsteemiarhitektuuri üldine kirjeldus, võimalusel tugisüsteemid arvestades punktides
10.1 ja 10.2 teostatud analüüsi tulemusi;
11.3. Millised on isikuandmete töötlemise eesmärgid, edastamise, kustutamise põhimõtted,
andmesubjektide kategooriad, andmekoosseisud- ja allikad, andmeresidentsus arvestades
punktides 10.5 ja 10.9 teostatud analüüsi tulemusi;
11.4. Andmete muutmise, lisamise, ühildamise ja ühendamise, säilitamise põhimõtted,
sealhulgas säilitustähtajad arvestades punktis 10.9 teostatud analüüsi tulemusi;.
11.5. Isikuandmete säilitamisel kasutatavad turvameetmed ning logide ja turvakoopiate
põhimõtted arvestades punktides 10.6, 10.7 ja 10.9 teostatud analüüsi tulemusi.
11.6. Andmekaitsealase mõjuanalüüsi maksimaalne maht ühe pilvtoote kohta on kuni 20
tundi. Hinnastamine toimub teostatud tundide arvu ja tunnihinna alusel.
4 Määrus - 2016/679 - EN - GDPR - EUR-Lex