Koostöökokkulepe

Riigi Info- ja Kommunikatsioonitehnoloogia Keskus Lõõtsa tn 8a 10415 TALLINN

Volikiri 24.03.2026 nr CR 1-9/6

Käesolevaga volitan sihtasutuse CR14 (registrikood 90015175, asukoht Rävala pst 14, Tallinn, 10143, Eesti Vabariik) juhatuse nimel alljärgnevaid töötajaid:

1. Tehnoloogiajuhti Hannes Aavastet (AAVASTE, isikukood 37605180219, e-post: [email protected], tel +372 5306 3114) ja

2. Ärijuhti Carl-Robert Reidolfi (REIDOLF, isikukood 39806160242, e-post [email protected], tel +372 513 2294)

esindama Sihtasutuse CR14 huve Riigipilve teenusega seotud küsimustes, peakasutaja rollis: omama juurdepääsu iseteeninduskeskkonnale, tellima teenuste kataloogist ressursse ja haldama kasutajatest koosnevat projektimeeskonda ning projekti seadeid.

Peakasutajale antud volikiri on edasivolitamise õiguseta välja arvatud kasutajate haldamisega seotud volituste andmise õigused.

Volitatud isik kohustub järgima Riigipilve eeskirja, tellitud teenuste teenustingimusi ja kasutusjuhendeid.

Käesolev volikiri on jõus kuni Sihtasutus CR14 poolt volikirja tagasi võtmiseni.

Lugupidamisega /allkirjastatud digitaalselt/ Silver Andre Tegevjuht ja juhatuse liige Sihtasutus CR14

KOOSTÖÖKOKKULEPE nr 7-2.2/26-16-1 Sihtasutus CR14 (registrikood 90015175), asukohaga Rävala pst 14, 10143 Tallinn, keda esindab põhikirja alusel juhatuse liige Silver Andre (edaspidi tellija), ja Riigi Info- ja Kommunikatsioonitehnoloogia Keskus (registrikood 77001613), asukohaga Lõõtsa 8a, 11415 Tallinn, keda esindab põhimääruse alusel direktor Ergo Tars (edaspidi täitja), keda nimetatakse edaspidi pool või koos pooled, arvestades, et täitja põhimäärusest tulenev tegevusvaldkond on info- ja kommunikatsioonitehnoloogia alusteenuste ehk arvutitöökohateenuse, servertaristuteenuse ning nendega seotud lisateenuste ja erilahenduste (edaspidi teenus või teenused) osutamine, samuti on täitja Vabariigi Valitsuse 12.10.2017 korraldusega nr 281 nimetatud info- ja kommunikatsioonitehnoloogia valdkonna vabatahtlikuks keskseks hankijaks ning

tellijale osutatavate teenuste tingimused ning korraldus lepitakse täitja põhimääruse kohaselt kokku IKT-alusteenuste osutamise koostöökokkuleppes ja selle lisades, sh IKT-alusteenuste standardites (edaspidi standard), mille kinnitamise kord on sätestatud täitja põhimääruses,

sõlmisid käesoleva koostöökokkuleppe (edaspidi nimetatud lepe) alljärgnevas.

Leppe ese ja dokumendid

Täitja osutab tellijale riigipilve eeskirjas (edaspidi standard) kirjeldatud tingimustel ja korras teenuseid. Riigipilv on täitja poolt hallatav pilvekeskkond, mis võimaldab pakkuda keskseid pilvelahendusi ja nendega seotud teenuseid. Tellija ja täitja vahelisi suhteid Riigipilve teenuste kasutamisel reguleerib standard. Riigipilve teenuseid ja nende kasutamise tingimusi, sh teenuste teenustaseme leppeid (SLAd) ja maksumusi, kirjeldavad teenustingimused. Teenuse tellimisega iseteeninduskeskkonnas nõustub tellija teenustingimustega ning vastava teenuse teenustingimused saavad leppe osaks. Standardist erinevad kokkulepped lepivad pooled kokku leppe lisas.

Leppe allkirjastamisel on sellel: 1.2.1. lisa 1 – andmetöötluse leping.

Tellija kinnitab leppe allkirjastamisega, et on tutvunud standardiga. Täitja teeb kehtiva versiooni standardist kättesaadavaks riigipilve kodulehel ja/või iseteeninduskeskkonnas. Standardi muutmisest teavitab täitja tellijat riigipilve iseteeninduskeskkonnas või e-kirja teel, avaldades standardi uue versiooni. Standardi muutmisel pooled lepet ei muuda.

Kui ilmneb vastuolu käesoleva leppe ning selle lisa või standardi vahel, lähtutakse leppe lisast või standardist. Kui ilmneb vastuolu leppe lisa ja standardi vahel, lähtutakse leppe lisast.

Poolte õigused ja kohustused

Riigipilve teenuste tellimused ja nende muutmise teeb tellija riigipilve iseteeninduskeskkonnas vastavalt riigipilve eeskirjale ja teenustingimustele.

Pooled tagavad oma tegevuses vastavuse kohalduvatele andmekaitse õigusaktidele. Pooled töötlevad isikuandmeid kooskõlas poolte vahel sõlmitud andmetöötluse lepinguga.

Pooled tagavad turvaandmete ning muu teabe ja asjaolude, mille avalikuks tulemine võiks kahjustada kummagi poole huve, konfidentsiaalsuse. Konfidentsiaalne informatsioon ei hõlma endas informatsiooni, mille avalikustamise kohustus tuleneb õigusaktist, tingimusel, et selline avaldamine viiakse läbi võimalikest variantidest kõige piiratumal viisil.

2 / 3

Konfidentsiaalsusnõue on tähtajatu, kui seadusest või selle alusel antud õigusaktidest ei tulene teisiti.

Täitja kohustub: 2.4.1. osutama teenust vastavalt õigusaktidele, leppele, selle lisadele ja standarditele; 2.4.2. informeerima tellijat koheselt kõikidest võimalikest takistustest ja probleemidest

teenuse osutamisel; 2.4.3. tagama kontrolli teostamiseks tellijale juurdepääsu vajalikule teabele; 2.4.4. teavitama tellijat esimesel võimalusel intsidentidest, puudustest ja vigadest, mis

teenuse osutamisel ilmnevad. Täitja ei vastuta, kui leppejärgne teenustase jääb saavutamata alljärgnevatel juhtudel:

2.5.1. ilmnevad vead teenuse tarkvara koodis, loogikas, andmebaasis, andmete tervikluses, riistvaras, protsessides või mis tahes muus osas, mis ei ole arendatud või loodud täitja poolt või mille integratsioon või juurutus ei ole täitja vastutusel;

2.5.2. tellija on asunud kasutama teenust, eirates soovitusi, mis on antud täitja või täitja volitusel muu teenusepakkuja poolt;

2.5.3. muu teenusepakkuja teenus, kelle teenust täitja vahendab tellijale, ei tööta; 2.5.4. tellija poolt ületatakse kokkulepitud teenustasemeid või eiratakse teenuse

kasutamise tingimusi; 2.5.5. on ilmnenud vead, viivitused või häired, mis on tekkinud tellija poolt teenuse

kasutamisel sisestatud ebakorrektsetest või valeandmetest; 2.5.6. tellija edastatud informatsioon ei ole piisav leppe täitmiseks; 2.5.7. teenustaseme mittesaavutamine ajaperioodil on kokku lepitud.

Täitja ei vastuta otsese või kaudse kahju eest, mis on põhjustatud tellija kasutajate tegevusest või tegevusetusest.

Tellija kohustub: hüvitama täitjale teenuse osutamise kulud, tasudes täitja esitatud arve 21 kalendripäeva

jooksul alates arve saamisest. Arveldamisel lisandub tasule käibemaks; 2.7.1. kasutama talle üleantud IT-vara heaperemehelikult ning hüvitama teenuse raames

kasutada antud vara (sh riist- ja tarkvara) maksumuse, mis on hävinud või mida pole võimalik muul põhjusel tagastada või vara tagastamisel hüvitama tekitatud kahju, kui vara pole töökorras või kui varale on kasutamise käigus tekitatud kahjustusi;

2.7.2. võimaldama täitjale teenuse osutamiseks vajalikud tingimused, organisatsioonilise keskkonna, vajalike kommunikatsiooniseadmete ja sideteenuste olemasolu ning juurdepääsud teenusega seotud seadmetele;

2.7.3. teavitama täitjat mõistliku aja jooksul kõikidest teenuse osutamist mõjutavatest tellijale teatavaks saanud asjaoludest ja andma leppe täitmiseks muud vajalikku teavet;

2.7.4. tegema täitjaga koostööd teenuse osutamisel, sh viima läbi testimisi, vajadusel korral tutvustama täitja töötajatele ning koostööpartneritele oma tööprotsesse.

Poolte õiguskaitsevahendid

Oluliseks leppe rikkumiseks loetakse muu hulgas järgmisi rikkumisi: 3.1.1. pool ei täida mis tahes leppest tulenevat kohustust teise poole poolt leppest

tuleneva vastava kohustuse täitmiseks antud mõistliku tähtaja jooksul; 3.1.2. tellija on viivituses leppes kokku lepitud maksetähtajaga rohkem kui 60

kalendripäeva. Olulise leppe rikkumise korral on poolel õigus lepe erakorraliselt lõpetada ja nõuda kahju

hüvitamist. Juhul kui tellija hilineb leppejärgse tasu maksmisega, võib täitja nõuda viivise tasumist

0,05% iga viivitatud kalendripäeva eest.

Kontaktandmed Tellija kontaktandmed:

3 / 3

Roll Nimi/ametinimetus E-post Telefon

Leppekontakt tehnoloogiajuht Hannes Aavaste

[email protected] 53063114

Kriisikontakt

Andmekaitsespetsialist Infoturbe kontaktisik Patrik Maldre [email protected]

Täitja kontaktandmed:

Roll Ametinimetus E-post Telefon Täitja esindaja [email protected] 699 1140 Kriisikontakt Kriisikoordinaator [email protected] 5681 1085 Andmekaitsespetsialist Õigus- ja

hankeosakonna andmekaitsejuht

[email protected] 5866 4974

Infoturbe kontaktisik Infoturbeosakonna ekspert

[email protected] 666 0156

Leppe kehtivus, muutmine ja lõpetamine

Lepe jõustub selle allkirjastamisest mõlema poole poolt ja kehtib tähtajatult. Lepet võib muuta poolte kirjalikul kokkuleppel. Muudatused jõustuvad pärast nende

allkirjastamist mõlema poole poolt või poolte määratud tähtajal. Leppe võib ühepoolselt üles öelda, teavitades teist poolt sellest vähemalt kolm kuud ette.

Leppe ülesütlemisel kohustub tellija maksma täitjale tasu vastavalt faktiliselt osutatud teenusele.

Poolel on õigus käesolev lepe erakorraliselt ühepoolselt üles öelda juhul, kui teine pool ei täida leppest tulenevaid kohustusi ega kõrvalda rikkumist poole nõudmisel mõistliku tähtaja jooksul. Leppe ülesütlemise kohta edastab pool teisele poolele kirjaliku leppe ülesütlemisavalduse. Leppest ülesütlemine loetakse toimunuks, kui teine pool on ülesütlemisavalduse kätte saanud.

Muud tingimused Kõik leppe täitmisest, muutmisest, lõpetamisest või vastutuse kohaldamisest tulenevad

vaidlused lahendatakse läbirääkimiste teel. Läbirääkimiste tulemusel kokkuleppe mittesaavutamisel lahendatakse vaidlus Harju Maakohtus.

Tellija: Täitja:

Silver Andre Ergo Tars juhatuse liige direktor (allkirjastatud digitaalselt) (allkirjastatud digitaalselt)

Lisa 1

ANDMETÖÖTLUSE LEPING

Isikuandmete töötlemise leping (edaspidi leping) on koostöökokkuleppe lisa, milles lepitakse kokku teenuse pakkumisel isikuandmete töötlemise tingimused. Riigi Info- ja Kommunikatsioonitehnoloogia Keskus on isikuandmete töötlemise osas volitatud töötleja ja Sihtasutus CR14 on vastutav töötleja. 1. Kohaldamisala Lepingu õigusi ja kohustusi kohaldatakse poolte kokku lepitud teenustele: 1.1. Arvutitöökohateenusele kohaldatakse järgmisi punkte: 2., 3.1., 3.3.–3.5., 4.–6. 1.2. Serveri alustaristu ehk Riigipilve teenusele kohaldatakse järgmisi punkte: 2., 3.1. ja 3.2.,

3.5., 4.2.–4.3., 4.5.–4.11., 5. ja 6. 1.3. Avalike pilvandmetöötlussüsteemide vahendusteenusele kohalduvad vastutavale

töötlejale konkreetse teenuseosutaja andmete töötlemise tingimused. RIT nende teenuste osas vastutava töötleja süsteemides isikuandmeid ei töötle.

2. Üldsätted 2.1. Lepingu eesmärk on leppida kokku isikuandmete töötlemise tingimused, mida näeb ette

eelkõige 27. aprill 2016.a Euroopa Parlamendi ja Nõukogu (EL) 2016/679 Isikuandmete

kaitse üldmääruse (edaspidi üldmäärus) artikkel 28 lõige 3.

2.2. Pooled on kohustatud järgima kõiki isikuandmete töötlemise nõudeid, andmete

turvalisust puudutavaid ning isikuandmete kaitse alaseid Euroopa Liidu ja Eesti Vabariigi

õigusakte ja muid eeskirju. Mõistete defineerimisel lähtutakse üldmääruses sätestatust.

2.3. Kui koostöökokkuleppe esemeks olevate isikuandmete töötlemine toimub väljaspool

Euroopa Liitu ja Euroopa Majanduspiirkonda, sealhulgas nende edastamine kolmandale

riigile või rahvusvahelisele organisatsioonile, ja andmete töötlemine on vajalik

koostöökokkuleppe täitmiseks, lepivad pooled sellises andmetöötluses eelnevalt kokku.

Kokkulepet ei ole vaja sõlmida, kui volitatud töötleja on kohustatud isikuandmeid

kolmandale riigile või rahvusvahelisele organisatsioonile edastama volitatud töötleja

suhtes kohaldatava Euroopa Liidu või liikmesriigi õiguse alusel. Sellise õigusliku aluse

olemasolust teavitab volitatud töötleja enne isikuandmete töötlemist vastutavat töötlejat,

kui selline teavitamine ei ole olulise avaliku huvi tõttu kõnealuse õigusega keelatud.

2.4. Pooled on kokku leppinud, et koostöökokkuleppega seotud isikuandmete üksteisele

edastamisel kasutatakse eelnevalt kokku lepitud turvalist andmevahetusviisi.

3. Vastutava töötleja õigused ja kohustused

3.1. Vastutav töötleja tagab, et volitatud töötlejale üle antud isikuandmete töötlemiseks on

vastutaval töötlejal olemas õiguslikud alused ning töötlemine toimub õiguspäraste

eesmärkide saavutamiseks.

3.2. Vastutav töötleja teavitab volitatud töötlejat seaduse alusel asutatud andmekogudest,

mis on majutatud volitatud töötleja serveri alustaristu ehk Riigipilve teenusel.

3.3. Kui vastutav töötleja soovib saada lisateavet koostöökokkuleppe alusel tekkinud

isikuandmete kohta või esitada isikuandmete töötlemise osas lisataotlusi, peab ta

pöördumise enne kooskõlastama oma andmekaitsespetsialistiga.

Kui hinnangut ei ole lisatud, võib volitatud töötleja selle andmekaitsespetsialistilt ise

küsida.

3.4. Vastutav töötleja on teadlik, et volitatud töötlejal seirab koostöökokkuleppes kirjeldatud

teenuste ulatuses vastutava töötleja lõppkasutajate käitumismustreid, võrguliiklust ning

muid andmeid, mis on koostöökokkuleppe täitmiseks vajalikud. Seiret peetakse selleks,

et ennetada ja takistada infoturbeintsidentide toimumist ja täita küberturvalisuse seaduse

nõudeid. Vastavad andmed ja andmetega seotud logid salvestatakse isikustatud kujul.

Vastutaval töötlejal on õigus saada teavet käesoleva punkti alusel tehtud seire

2 / 3

tulemustest. Volitatud töötleja teavitab vastutava töötleja lõppkasutajat seire tegemise

eesmärgist, ulatusest ning kestusest.

3.5. Vastutav töötleja võib viia läbi auditeid, taotledes volitatud töötlejalt kirjalikku

taasesitamist võimaldavas vormis asjakohast teavet eesmärgiga kontrollida volitatud

töötleja koostöökokkuleppest tulenevate kohustuste täitmist. Pooled on kokku leppinud,

et:

3.5.1. vastutava töötleja auditeid võib läbi viia vastutav töötleja ja/või kolmas isik, keda vastutav

töötleja selleks volitanud on;

3.5.2. volitatud töötlejal on kohustus anda vastutavale töötlejale teavet, andmeid ja dokumente,

mida on vaja selleks, et tõendada lepingu nõuetekohast täitmist;

3.5.3. vastutav töötleja käsitleb auditi raames saadud teavet konfidentsiaalsena.

4. Volitatud töötleja õigused ja kohustused

4.1. Volitatud töötleja teavitab info- või muudest andmetöötlussüsteemidest, mis on seotud

koostöökokkuleppe alusel osutatavate teenustega. Volitatud töötleja tagab nimetatud

süsteemide loetelu teenusveebis teenused.rit.ee, mille juures avaldatakse ka valminud

andmekaitsealased mõjuhinnangud ning pilvandmetöötlussüsteemide riskianalüüsid.

4.2. Volitatud töötleja töötleb isikuandmeid koostöökokkuleppes nimetatud teenuste

osutamiseks või volitatud töötleja põhimääruses sätestatud ülesannete täitmiseks.

Volitatud töötleja võib isikuandmeid töödelda vastutava töötleja kirjalikku taasesitamist

võimaldavas vormis antud juhiste alusel koostöökokkuleppes nimetatud teenuse piires.

Samuti on volitatud töötlejal õigus isikuandmeid töödelda volitatud töötleja info- ja

sidesüsteemide hooldamiseks, arendamiseks ja ohuolukordade ennetamiseks

järjepidava seiramisega.

4.3. Kui volitatud töötleja ei ole vastutava töötleja juhistes kindel, kohustub ta mõistliku aja

jooksul vastutava töötlejaga selgituste või täiendavate juhiste saamiseks ühendust

võtma. Volitatud töötleja teavitab vastutavat töötlejat kõigist juhiste ja õigusaktide vahel

avastatud vastuoludest.

4.4. Volitatud töötleja avaldab teenustega seotud andmete töötlemise tingimused

teenusveebis teenused.rit.ee. Vastutav töötleja teavitab nendest tingimustest

lõppkasutajaid.

4.5. Volitatud töötleja kohustub hoidma koostöökokkuleppe täitmise käigus teatavaks saanud

isikuandmeid konfidentsiaalsena ning mitte töötlema isikuandmeid muul eesmärgil kui

on koostöökokkuleppes kokku lepitud. Konfidentsiaalsuskohustus jääb kehtima ka

pärast koostöökokkuleppe lõppemist. Konfidentsiaalsusnõudega on seotud volitatud

töötleja töötajad, sealhulgas teised volitatud töötlejad ja muud isikud, kellel on ligipääs

koostöökokkuleppe täitmise käigus töödeldavatele isikuandmetele.

4.6. Volitatud töötleja aitab vastutaval töötlejal täita üldmääruse artiklites 32–36 sätestatud

kohustusi, võttes arvesse isikuandmete töötlemise laadi ja volitatud töötlejale

kättesaadavat teavet. Eelkõige peab kasutusele võtma üldmääruse artiklis 32 nõutavad

meetmed andmete turvalisuse tagamiseks, sealhulgas:

4.6.1. vältima kõrvaliste isikute ligipääsu isikuandmete töötlemiseks kasutatavatele

andmetöötlusseadmetele;

4.6.2. ära hoidma andmekandjate omavolilist teisaldamist;

4.6.3. tagama, et tagantjärele oleks võimalik teha kindlaks, millal, kelle poolt ja milliseid

isikuandmeid töödeldi.

4.6.4. teavitama vastutavat töötlejat esimesel võimalusel võimalikest infoturbeintsidentidest.

4.7. Volitatud töötleja kohustub piirama vastutava töötleja ligipääsu süsteemile

küberturvalisuse seaduse § 7 lõike 2 punkti 4 alusel, kui see on vajalik küberintsidendi

mõju ja leviku piiramiseks. See tähendab, et ligipääsu piiramine võib toimuda volitatud

töötleja küberturvalisuse seadusest tuleneva kohustuse täitmiseks.

3 / 3

4.8. Volitatud töötlejal on õigus kasutada teisi volitatud töötlejaid pakutavate teenuste

tagamiseks, sealhulgas on volitatud töötlejal õigus kasutada oma teenuste tagamiseks

teenuseosutajaid, kes töötlevad vastutava töötleja andmeid

pilvandmetöötlussüsteemides. Volitatud töötleja ei edasta isikuandmeid kolmandatele

isikutele ilma vastutava töötleja eelneva nõusolekuta.

4.9. Volitatud töötleja aitab võimaluse piires vastutava töötleja taotlusel asjakohaste tehniliste

ja korralduslike meetmete abil täita vastutava töötleja kohustust vastata andmesubjekti

taotlustele. Kui andmesubjekt on edastanud taotluse otse volitatud töötlejale, edastab ta

nimetatud taotlused vastutavale töötlejale viivitamatult nende saamisest alates.

4.10. Volitatud töötleja kohustub koostöökokkuleppe lõppemisel tagastama vastutavale

töötlejale kõik isikuandmed või muud vastutava töötlejaga seotud andmed ja kustutama

või hävitama isikuandmed ja nende koopiad vastavalt vastutava töötleja antud juhistele,

õigusaktidele ning teenuse osutamise tingimustele, kui õigusaktis ei ole sätestatud teisiti.

4.11. Volitatud töötleja säilitab osutatud teenuste käigus tekkinud isikuandmeid vastavalt

teenuse standardile, mis avaldatakse teenusveebis teenused.rit.ee või veebilehel

riigipilv.ee vastavalt valitud teenusele.

5. Rikkumisest teavitamine

5.1. Volitatud töötleja teavitab vastutavat töötlejat kõikidest isikuandmete töötlemisega

seotud rikkumistest või kahtlustest kui sellised rikkumised on aset leidnud, alates

hetkest, kui volitatud töötleja või tema poolt kasutatav teine volitatud töötleja saab teada

isikuandmete töötlemisega seotud rikkumisest või kui tekib kahtlus, et selline rikkumine

on aset leidnud.

5.2. Volitatud töötleja peab viivitamatult, aga mitte hiljem kui 24 tundi pärast rikkumisest teada

saamist edastama vastutavale töötlejale kogu isikuandmetega seotud rikkumist

puudutava teadaoleva informatsiooni. Juhul kui kõiki asjaolusid ei ole võimalik selleks

ajaks välja selgitada, esitab volitatud töötleja vastutavale töötlejale esialgsed andmed

ning kogu täiendava info esimesel võimalusel. Vastutav töötleja teavitab omakorda

isikuandmetega seotud rikkumisest üldmääruse artikkel 33 alusel järelevalveasutust.

5.3. Volitatud töötleja teeb vastutava töötlejaga koostööd selleks, et isikuandmetega seotud

rikkumine kõrvaldada, ja kaasab vastutava töötleja intsidendi haldamise protsessi.

Volitatud töötleja teeb kõikvõimaliku, et edasist rikkumist ära hoida ning kahju

vähendada.

5.4. Volitatud töötleja teeb vastutava töötlejaga koostööd volitatud töötlejat puudutavates

küsimustes või toimingutes järelevalveasutusele vastamisel, aga ei esinda vastutavat

töötlejat järelevalveasutusega suhtlusel.

6. Vastutus

6.1. Pool vastutab kahju eest, mille ta on teisele poolele või kolmandale isikule põhjustanud,

rikkudes koostöökokkuleppest või õigusaktidest tulenevaid nõudeid.