Sertifitseerimise registri põhimäärus
Vastu võetud 10.12.2009 nr 187
Määrus kehtestatakse «Digitaalallkirja seaduse» § 32 lõike 1 alusel ja kooskõlas «Avaliku teabe seaduse» § 435 lõikega 1.
1. peatükk ÜLDSÄTTED
§ 1. Sertifitseerimise register ja selle pidamise eesmärk
Sertifitseerimise register (edaspidi register) on Vabariigi Valitsuse 12. detsembri 2000. a määrusega nr 416 «Sertifitseerimise riikliku registri asutamine ja pidamise põhimäärus» asutatud andmekogu, mille eesmärk on pidada arvestust sertifitseerimis- ja ajatempliteenuse osutajate üle.
§ 2. Registri vastutav ja volitatud töötleja ning nende ülesanded
(1) Registri vastutav töötleja on Majandus- ja Kommunikatsiooniministeerium.
(2) Registri vastutav töötleja registri pidamisel:
1) vastutab registri pidamise seaduslikkuse eest;
2) korraldab ja juhib registri arendustöid ning registri infrastruktuuri (riist- ja tarkvara) hankimist või rentimist;
3) lahendab registri pidamisel tekkinud tehnilisi probleeme;
4) teostab järelevalvet registri pidamise üle;
5) tagab registri kaitsmise abinõud.
(3) Registri volitatud töötleja on Tehnilise Järelevalve Amet.
(4) Registri volitatud töötleja registri pidamisel:
1) sisestab, töötleb ja väljastab andmeid;
2) rakendab meetmeid andmekaitse ning andmetele juurdepääsu ja nende säilimise tagamiseks;
3) teeb registri vastutavale töötlejale ettepanekuid registri arendustöödeks;
4) vastutab registrisse kantud andmete ajakohasuse ja õigsuse eest;
5) teavitab viivitamata vastutavat töötlejat ebaõigetest andmetest, mille parandamine pole tema pädevuses, registri pidamisel tekkinud probleemidest ja talle teatavaks saanud andmete mittesihipärase kasutamise juhtudest.
2. peatükk REGISTRI PIDAMINE JA KOOSSEIS
§ 3. Registri pidamine ja koosseis
(1) Registrit peetakse ühetasandilise infotehnoloogilise andmekoguna.
(2) Registri koosseisu kuuluvad:
1) sertifitseerimisteenuse osutajate andmebaas, mis sisaldab andmeid sertifitseerimisteenuse osutajate kohta;
2) ajatempliteenuse osutajate andmebaas, mis sisaldab andmeid ajatempliteenuse osutajate kohta;
3) registriarhiiv, mis sisaldab aktuaalsuse kaotanud andmeid sertifitseerimis- või ajatempliteenuse osutajate kohta ning registri volitatud töötlejale esitatud andmete registrisse kandmise aluseks olevaid dokumente.
3. peatükk REGISTRISSE KANTAVAD ANDMED JA NENDE TÖÖTLEMISE KORD
§ 4. Registrisse kantavad andmed ja nende õiguslik tähendus
(1) Sertifitseerimis- ja ajatempliteenuse osutaja kohta kantakse registrisse järgmised andmed:
1) teenuse osutajale antav registrikood;
2) teenuse osutaja nimi või nimetus;
3) teenuse osutaja asukoha aadress või teenuse osutamise asukoha aadress;
4) teenuse osutaja sidevahendite numbrid või aadressid;
5) äriühingust teenuse osutaja puhul tema Eesti äriregistri kood;
6) avalik-õiguslikust juriidilisest isikust ja riigiasutusest teenuse osutaja puhul tema riigi- ja kohaliku omavalitsuse asutuste riikliku registri kood;
7) teenuse osutaja esindaja nimi, ametinimetus, isikukood ja kontaktandmed;
8) teenuse osutamiseks seatud piirangud;
9) teenuse osutaja registrisse kandmise aeg;
10) andmed auditi läbiviimise ja tulemuste kohta, millele õigusaktidest tulenevalt ei ole kehtestatud juurdepääsupiiranguid;
11) andmed teenuse osutaja «Digitaalallkirja seaduses» sätestatud nõuete rikkumiste kohta;
12) teenuse osutaja sertifitseerimis- või ajatembelduspõhimõtted;
13) andmed teenuse osutamise lõpetamise kohta;
14) avalik võti, mida teenuse osutamisel kasutatakse.
(2) Registri volitatud töötleja tagab, et registrisse kantakse andmed ka lõikes 1 nimetatud andmete muutmise, parandamise ja sulgemise kohta.
(3) Registrisse kantud andmed on õiguslikuks aluseks sertifitseerimis- või ajatempliteenuse osutamisel Eesti Vabariigi territooriumil.
§ 5. Andmete registrisse kandmise aluseks olevad dokumendid
(1) Andmete registrisse kandmise aluseks olevateks dokumentideks (edaspidi alusdokumendid) on:
1) sertifitseerimis- või ajatempliteenuse osutamise registreerimise, andmete muutmise või teenuse osutamise lõpetamise otsus;
2) sertifitseerimis- või ajatempliteenust osutada sooviva isiku (edaspidi taotleja) seadusliku esindaja allkirjastatud taotleja teenuse osutajana registreerimise avaldus, kuhu on märgitud ka taotleja avalik võti, mida taotleja hakkab sertifitseerimis- või ajatempliteenuse osutamisel kasutama;
3) punktis 2 nimetatud avaldus digitaalsel kujul, mis on kinnitatud väljaantavate sertifikaatide ja ajatemplite kinnitamise korra kohaselt ning millele on lisatud tõendus sertifitseerimis- või ajatempliteenuse osutamisel kasutatavate isiklike võtmete valdamise kohta;
4) sertifitseerimis- ja ajatembelduspõhimõtted;
5) taotleja sertifitseerimis- või ajatempliteenuse osutamisega seotud infosüsteemi auditi raport, samuti muud auditi dokumendid, mille esitamist taotleja, audiitor või registri volitatud töötleja peavad vajalikuks andmete registrisse kandmisel;
6) taotleja kindlustuspoliisi ärakiri;
7) dokumendid sertifitseerimis- või ajatempliteenuse osutamise üle järelevalve teostamise kohta;
8) dokumendid sertifitseerimis- või ajatempliteenuse osutamise lõpetamise kohta;
9) muud dokumendid, mida taotleja peab vajalikuks registrile esitada;
10) registriandmete muutmise, parandamise ja sulgemise aluseks olevad dokumendid.
(2) Registri volitatud töötleja tagab registreerimise avalduse vormi kättesaadavuse oma veebilehel.
(3) Kannete tegemise alusdokumendid ja andmed säilitab ning arhiveerib registri volitatud töötleja.
(4) Registri volitatud töötlejale esitatud andmete õigsuse eest vastutab andmete esitaja.
§ 6. Andmete registrisse esitamise ja kandmise kord
(1) Registrisse andmete esitajateks on:
1) taotleja;
2) sertifitseerimis- või ajatempliteenuse osutaja;
3) registri vastutav töötleja;
4) sertifitseerimis- või ajatempliteenuse osutamise üle järelevalvet teostava asutuse volitatud isik.
(2) Andmed esitatakse registri volitatud töötlejale alusdokumentidel digitaalselt või paberkandjal.
(3) Registrisse andmete kandjaks on registri volitatud töötleja vastava õigusega ametnik, kelle isikusamasus tuvastatakse isikutunnistusele (ID-kaardile) või digitaalsele isikutunnistusele kantud digitaalset tuvastamist võimaldava sertifikaadi alusel igakordsel registrile juurdepääsul.
(4) Esitatud andmete vastuolulisuse korral on sertifitseerimis- või ajatempliteenuse osutaja kohustatud registri volitatud töötlejale nõudmisel esitama alusdokumendid õigete andmetega.
(5) Registri volitatud töötlejal on õigus nõuda sertifitseerimis- või ajatempliteenuse osutajalt andmete esitamist tema poolt määratud vormingus digitaalkujul, kui esitatud andmeid ei ole tehnilistel põhjustel võimalik esitatud vormingus digitaalselt menetleda.
(6) Enne andmete registrisse kandmist peab registri volitatud töötleja elektrooniliselt kontrollima taotleja kantust äriregistrisse või riigi ja kohaliku omavalitsuse asutuste registrisse, maksuvõla puudumist ja riigilõivu tasumist ning kõigi esitatud andmete õigsust.
(7) Andmed kantakse registrisse:
1) sertifitseerimis- või ajatempliteenuse registreerimise korral pärast registri volitatud töötleja tehtud taotleja sertifitseerimis- või ajatempliteenuse osutajana registreerimise otsust ja teenuse osutaja poolt registri volitatud töötlejale kindlustuspoliisi ärakirja esitamist;
2) esitatud andmete muutmise ja sertifitseerimis- või ajatempliteenuse osutaja tegevuse lõpetamise korral pärast registri volitatud töötleja tehtud vastavat otsust.
§ 7. Registrisse kantud andmete muutmine, ebaõigete andmete parandamine ja sellest teavitamine
(1) Andmete esitaja on kohustatud registri volitatud töötlejat teavitama andmete muutumisest kümne tööpäeva jooksul andmete muutumisest arvates.
(2) Registrisse kantud andmete muutmiseks esitab sertifitseerimis- või ajatempliteenuse osutaja registri volitatud töötlejale vormikohase avalduse kas paberkandjal või digitaalselt.
(3) Registri volitatud töötleja teeb registrisse kantud andmetes muudatused viie tööpäeva jooksul andmete muutumise teate kättesaamisest.
(4) Registri volitatud töötleja on kohustatud tegema sertifitseerimis- või ajatempliteenuse osutaja kohta registrisse kantud andmetes muudatused viivitamata, kui teenuse osutaja või järelevalvet teostanud isik on registri volitatud töötlejat teavitanud:
1) sertifitseerimis- või ajatempliteenuse osutamiseks kasutatava isikliku võtme võimalikust kasutamisest võtme omaniku nõusolekuta;
2) sertifitseerimis- või ajatempliteenuse osutamise lõpetamisest.
(5) Vea ilmnemisel registrisse kantud andmetes on vea avastaja kohustatud sellest viivitamata teavitama registri volitatud töötlejat, kes on kohustatud kontrollima andmete õigsust alusdokumentidelt ja vajaduse korral vea viivitamata parandama.
(6) Registris ebaõigete andmete avastamisel teeb registri volitatud töötleja järelepärimise andmete esitajale, kes on kohustatud teavitama registri volitatud töötlejat õigetest andmetest ja vajaduse korral esitama õigeid andmeid tõendava dokumendi.
4. peatükk JUURDEPÄÄS REGISTRISSE KANTUD ANDMETELE JA REGISTRIST ANDMETE VÄLJASTAMINE
§ 8. Registriandmete väljastamine
(1) Registrisse kantud andmed on avalikud seadusega sätestatud ulatuses.
(2) Piiratud juurdepääsuga andmeid väljastatakse vaid õigustatud isikutele kirjaliku avalduse alusel «Avaliku teabe seaduses» ja «Isikuandmete kaitse seaduses» sätestatud korras.
(3) Registrist väljastatakse andmeid tasuta, kui õigusaktidega ei ole sätestatud teisiti.
§ 9. Juurdepääs registrisse kantud andmetele
(1) Juurdepääs registrile tagatakse infotehnoloogiliste ja organisatsiooniliste vahenditega.
(2) Juurdepääs registrisse kantud avalikele andmetele on kõigil andmetest huvitatud isikutel.
(3) Registri volitatud töötleja tagab registrisse kantud andmete avalikkuse ning ööpäevaringse kättesaadavuse veebiliidese kaudu.
§ 10. Andmete säilimise ja kaitsmise kord
Registri andmete säilimise tagamiseks tehakse registriandmetest turvakoopiad.
5. peatükk JÄRELEVALVE REGISTRI PIDAMISE ÜLE, REGISTRI FINANTSEERIMINE JA TEGEVUSE LÕPETAMINE
§ 11. Järelevalve registri pidamise üle
(1) Järelevalvet registri pidamise üle teostavad registri vastutav töötleja, «Avaliku teabe seaduse» § 531 lõikes 1 nimetatud asutus ning Andmekaitse Inspektsioon vastavalt oma pädevusele.
(2) Registri üle järelevalvet teostama volitatud isikul on õigus tutvuda registrisse kantud andmete ja nende alusdokumentidega, siseneda ruumidesse, kus andmeid töödeldakse või kus paiknevad töötlemiseks kasutatavad seadmed, ja saada teavet andmete registrist väljastamise ja kasutamise kohta.
(3) Registri pidamisel tekkinud puuduste ilmnemisel on registri volitatud töötleja kohustatud likvideerima puudused järelevalvet teostanud isiku määratud tähtajaks.
§ 12. Registri pidamise finantseerimine
Registri pidamist finantseeritakse riigieelarvest sihtotstarbeliste summadena registri vastutava töötleja eelarverealt.
§ 13. Registri tegevuse lõpetamine
Registri tegevus lõpetatakse registri pidamise kohustuse lõppemisel kooskõlas «Arhiiviseadusega» ja «Avaliku teabe seaduse» § 439 lõike 1 punkti 6 alusel kehtestatud õigusaktiga.
6. peatükk RAKENDUSSÄTE
§ 14. Määruse kehtetuks tunnistamine
Vabariigi Valitsuse 12. detsembri 2000. a määrus nr 416 «Sertifitseerimise riikliku registri asutamine ja pidamise põhimäärus» (RT I 2000, 97, 628; 2008, 18, 128) tunnistatakse kehtetuks.
Haridus- ja teadusminister peaministri ülesannetes Tõnis LUKAS |
Majandus- ja kommunikatsiooniminister Juhan PARTS |
Riigisekretär Heiki LOOT |