|
|
Legea semnaturii electronice
privind semnatura electronica
Publicat in Monitorul
Oficial, Partea I nr. 429 din 31 iulie 2001
Parlamentul Romaniei adopta prezenta lege.
CAPITOLUL
I
Dispozitii generale
SECTIUNEA
1
Principii generale
Art. 1. - Prezenta lege stabileste regimul juridic al semnaturii
electronice si al inscrisurilor in forma electronica, precum si
conditiile furnizarii de servicii de certificare a semnaturilor
electronice.
Art. 2. - Prezenta lege se completeaza cu dispozitiile
legale privind incheierea, validitatea si efectele actelor juridice.
Art. 3. - Nici o dispozitie a prezentei legi nu poate fi
interpretata in sensul limitarii autonomiei de vointa si a libertatii
contractuale a partilor.
SECTIUNEA
a 2-a
Definitii
Art. 4. - In intelesul prezentei legi:
1. date in forma electronica sunt reprezentari ale informatiei
intr-o forma conventionala adecvata crearii, prelucrarii, trimiterii,
primirii sau stocarii acesteia prin mijloace electronice;
2. inscris in forma electronica reprezinta o colectie de
date in forma electronica intre care exista relatii logice si
functionale si care redau litere, cifre sau orice alte caractere
cu semnificatie inteligibila, destinate a fi citite prin intermediul
unui program informatic sau al altui procedeu similar;
3. semnatura electronica reprezinta date in forma electronica,
care sunt atasate sau logic asociate cu alte date in forma electronica
si care servesc ca metoda de identificare;
4. semnatura electronica extinsa reprezinta acea semnatura
electronica care indeplineste cumulativ urmatoarele conditii:
a) este legata in mod unic de semnatar;
b) asigura identificarea semnatarului;
c) este creata prin mijloace controlate exclusiv de semnatar;
d) este legata de datele in forma electronica, la care
se raporteaza in asa fel incat orice modificare ulterioara a acestora
este identificabila;
5. semnatar reprezinta o persoana care detine un dispozitiv
de creare a semnaturii electronice si care actioneaza fie in nume
propriu, fie ca reprezentant al unui tert;
6. date de creare a semnaturii electronice reprezinta orice
date in forma electronica cu caracter de unicitate, cum ar fi
coduri sau chei criptografice private, care sunt folosite de semnatar
pentru crearea unei semnaturi electronice;
7. dispozitiv de creare a semnaturii electronice reprezinta
software si/sau hardware configurate, utilizat pentru a implementa
datele de creare a semnaturii electronice;
8. dispozitiv securizat de creare a semnaturii electronice
reprezinta acel dispozitiv de creare a semnaturii electronice
care indeplineste cumulativ urmatoarele conditii:
a) datele de creare a semnaturii, utilizate pentru generarea
acesteia, sa poata aparea numai o singura data si confidentialitatea
acestora sa poata fi asigurata;
b) datele de creare a semnaturii, utilizate pentru generarea
acesteia, sa nu poata fi deduse;
c) semnatura sa fie protejata impotriva falsificarii prin
mijloacele tehnice disponibile la momentul generarii acesteia;
d) datele de creare a semnaturii sa poata fi protejate
in mod efectiv de catre semnatar impotriva utilizarii acestora
de catre persoane neautorizate;
e) sa nu modifice datele in forma electronica, care trebuie
sa fie semnate, si nici sa nu impiedice ca acestea sa fie prezentate
semnatarului inainte de finalizarea procesului de semnare;
9. date de verificare a semnaturii electronice reprezinta
date in forma electronica, cum ar fi coduri sau chei criptografice
publice, care sunt utilizate in scopul verificarii unei semnaturi
electronice;
10. dispozitiv de verificare a semnaturii electronice reprezinta
software si/sau hardware configurate, utilizat pentru a implementa
datele de verificare a semnaturii electronice;
11. certificat reprezinta o colectie de date in forma electronica
ce atesta legatura dintre datele de verificare a semnaturii electronice
si o persoana, confirmand identitatea acelei persoane;
12. certificat calificat reprezinta un certificat care
satisface conditiile prevazute la art. 18 si care este eliberat
de un furnizor de servicii de certificare ce satisface conditiile
prevazute la art. 20;
13. furnizor de servicii de certificare reprezinta orice
persoana, romana sau straina, care elibereaza certificate sau
care presteaza alte servicii legate de semnatura electronica;
14. furnizor de servicii de certificare calificata este
acel furnizor de servicii de certificare care elibereaza certificate
calificate;
15. produs asociat semnaturii electronice reprezinta software
sau hardware, destinat a fi utilizat de un furnizor de servicii
de certificare pentru prestarea serviciilor legate de semnatura
electronica sau destinat a fi utilizat pentru crearea ori verificarea
semnaturii electronice.
CAPITOLUL
II
Regimul juridic al inscrisurilor in forma electronica
Art. 5. - Inscrisul in forma electronica, caruia i s-a
incorporat, atasat sau i s-a asociat logic o semnatura electronica
extinsa, bazata pe un certificat calificat nesuspendat sau nerevocat
la momentul respectiv si generata cu ajutorul unui dispozitiv
securizat de creare a semnaturii electronice, este asimilat, in
ceea ce priveste conditiile si efectele sale, cu inscrisul sub
semnatura privata.
Art. 6. - Inscrisul in forma electronica, caruia i s-a
incorporat, atasat sau i s-a asociat logic o semnatura electronica,
recunoscut de catre cel caruia i se opune, are acelasi efect ca
actul autentic intre cei care l-au subscris si intre cei care
le reprezinta drepturile.
Art. 7. - In cazurile in care, potrivit legii, forma scrisa
este ceruta ca o conditie de proba sau de validitate a unui act
juridic, un inscris in forma electronica indeplineste aceasta
cerinta daca i s-a incorporat, atasat sau i s-a asociat logic
o semnatura electronica extinsa, bazata pe un certificat calificat
si generata prin intermediul unui dispozitiv securizat de creare
a semnaturii.
Art. 8. - (1) In cazul in care una dintre parti nu recunoaste
inscrisul sau semnatura, instanta va dispune intotdeauna ca verificarea
sa se faca prin expertiza tehnica de specialitate.
(2) In acest scop, expertul sau specialistul este dator
sa solicite certificate calificate, precum si orice alte documente
necesare, potrivit legii, pentru identificarea autorului inscrisului,
a semnatarului ori a titularului de certificat.
Art. 9. - (1) Partea care invoca inaintea instantei o semnatura
electronica extinsa trebuie sa probeze ca aceasta indeplineste
conditiile prevazute la art. 4 pct. 4.
(2) Semnatura electronica extinsa, bazata pe un certificat
calificat eliberat de un furnizor de servicii de certificare acreditat,
este prezumata a indeplini conditiile prevazute la art. 4 pct.
4.
Art. 10. - (1) Partea care invoca inaintea instantei un
certificat calificat trebuie sa probeze ca furnizorul de servicii
de certificare care a eliberat respectivul certificat indeplineste
conditiile prevazute la art. 20.
(2) Furnizorul de servicii de certificare acreditat este
prezumat a indeplini conditiile prevazute la art. 20.
Art. 11. - (1) Partea care invoca inaintea instantei un
mecanism securizat de creare a semnaturii trebuie sa probeze ca
acesta indeplineste conditiile prevazute la art. 4 pct. 8.
(2) Dispozitivul securizat de generare a semnaturii, omologat
in sensul prezentei legi, este prezumat a indeplini conditiile
prevazute la art. 4 pct. 8.
CAPITOLUL
III
Furnizarea serviciilor de certificare
SECTIUNEA
1
Dispozitii comune
Art. 12. - (1) Furnizarea serviciilor de certificare nu
este supusa nici unei autorizari prealabile si se desfasoara in
concordanta cu principiile concurentei libere si loiale, cu respectarea
actelor normative in vigoare.
(2) Furnizarea serviciilor de certificare de catre furnizorii
stabiliti in statele membre ale Uniunii Europene se face in conditiile
prevazute in Acordul european instituind o asociere intre Romania,
pe de o parte, Comunitatile Europene si statele membre ale acestora,
pe de alta parte.
Art. 13. - (1) Cu 30 de zile inainte de inceperea activitatilor
legate de certificarea semnaturilor electronice persoanele care
intentioneaza sa furnizeze servicii de certificare au obligatia
de a notifica autoritatea de reglementare si supraveghere specializata
in domeniu cu privire la data inceperii acestor activitati.
(2) O data cu efectuarea notificarii prevazute la alin.
(1) furnizorii de servicii de certificare au obligatia de a comunica
autoritatii de reglementare si supraveghere specializate in domeniu
toate informatiile referitoare la procedurile de securitate si
de certificare utilizate, precum si orice alte informatii cerute
de autoritatea de reglementare si supraveghere specializata in
domeniu.
(3) Furnizorii de servicii de certificare au obligatia
de a comunica autoritatii de reglementare si supraveghere specializate
in domeniu, cu cel putin 10 zile inainte, orice intentie de modificare
a procedurilor de securitate si de certificare, cu precizarea
datei si orei la care modificarea intra in vigoare, precum si
obligatia de a confirma in termen de 24 de ore modificarea efectuata.
(4) In cazurile de urgenta, in care securitatea serviciilor
de certificare este afectata, furnizorii pot efectua modificari
ale procedurilor de securitate si de certificare, urmand sa comunice,
in termen de 24 de ore, autoritatii de reglementare si supraveghere
specializate in domeniu modificarile efectuate si justificarea
deciziei luate.
(5) Furnizorii de servicii de certificare sunt obligati
sa respecte, pe parcursul desfasurarii activitatii, procedurile
de securitate si de certificare declarate, potrivit alin. (2),
(3) si (4).
Art. 14. - (1) Furnizorul de servicii de certificare va
asigura accesul la toate informatiile necesare utilizarii corecte
si in conditii de siguranta a serviciilor sale. Informatiile respective
vor fi furnizate anterior nasterii oricarui raport contractual
cu persoana care solicita un certificat sau, dupa caz, la cererea
unui tert care se prevaleaza de un asemenea certificat.
(2) Informatiile prevazute la alin. (1) vor fi formulate
in scris, intr-un limbaj accesibil, si vor fi transmise prin mijloace
electronice, in conditii care sa permita stocarea si reproducerea
lor.
(3) Informatiile prevazute la alin. (1) vor face referire
cel putin la:
a) procedura ce trebuie urmata in scopul crearii si verificarii
semnaturii electronice;
b) tarifele percepute;
c) modalitatile si conditiile concrete de utilizare a certificatelor,
inclusiv limitele impuse utilizarii acestora, cu conditia ca aceste
limite sa poata fi cunoscute de terti;
d) obligatiile care incumba, potrivit prezentei legi, titularului
certificatului si furnizorului de servicii de certificare;
e) existenta unei acreditari, daca este cazul;
f) conditiile contractuale de eliberare a certificatului,
inclusiv eventualele limitari ale raspunderii furnizorului de
servicii de certificare;
g) caile de solutionare a litigiilor;
h) orice alte informatii stabilite de autoritatea de reglementare
si supraveghere specializata in domeniu.
(4) Furnizorul de servicii de certificare va transmite
solicitantului un exemplar al certificatului.
(5) Din momentul acceptarii certificatului de catre solicitant,
furnizorul de servicii de certificare va inscrie certificatul
in registrul prevazut la art. 17.
Art. 15. - (1) Persoanele fizice care presteaza, conform
legii, in nume propriu servicii de certificare, precum si personalul
angajat al furnizorului de servicii de certificare, persoana fizica
sau juridica, sunt obligate sa pastreze secretul informatiilor
incredintate in cadrul activitatii lor profesionale, cu exceptia
celor in legatura cu care titularul certificatului accepta sa
fie publicate sau comunicate tertilor.
(2) Incalcarea obligatiei prevazute la alin. (1) constituie
infractiune de divulgare a secretului profesional, prevazuta si
sanctionata de art. 196 din Codul penal.
(3) Nu constituie divulgare a secretului profesional comunicarea
de informatii catre o autoritate publica, atunci cand aceasta
actioneaza in exercitarea si in limitele competentelor sale legale.
(4) Obligatia prevazuta la alin. (1) incumba si personalului
autoritatii de reglementare si supraveghere specializate in domeniu,
precum si persoanelor imputernicite de aceasta.
Art. 16. - (1) Autoritatea de reglementare si supraveghere
specializata in domeniu si furnizorii de servicii de certificare
au obligatia sa respecte dispozitiile legale privitoare la prelucrarea
datelor cu caracter personal.
(2) Furnizorii de servicii de certificare nu pot colecta
date cu caracter personal decat de la persoana care solicita un
certificat sau, cu consimtamantul expres al acesteia, de la terti.
Colectarea se face doar in masura in care aceste informatii sunt
necesare in vederea eliberarii si conservarii certificatului.
Datele pot fi colectate si utilizate in alte scopuri doar cu consimtamantul
expres al persoanei care solicita certificatul.
(3) Atunci cand se utilizeaza un pseudonim, identitatea
reala a titularului nu poate fi divulgata de catre furnizorul
de servicii de certificare decat cu consimtamantul titularului
sau in cazurile prevazute la art. 15 alin. (3).
Art. 17. - (1) Furnizorii de servicii de certificare au
obligatia de a crea si de a mentine un registru electronic de
evidenta a certificatelor eliberate.
(2) Registrul electronic de evidenta a certificatelor eliberate
trebuie sa faca mentiune despre:
a) data si ora exacta la care certificatul a fost eliberat;
b) data si ora exacta la care expira certificatul;
c) daca este cazul, data si ora exacta la care certificatul
a fost suspendat sau revocat, inclusiv cauzele care au condus
la suspendare sau la revocare.
(3) Registrul electronic de evidenta a certificatelor eliberate
trebuie sa fie disponibil permanent pentru consultare, inclusiv
in regim on-line.
SECTIUNEA
a 2-a
Furnizarea serviciilor de certificare calificata
Art. 18. - (1) Certificatul calificat va cuprinde urmatoarele
mentiuni:
a) indicarea faptului ca certificatul a fost eliberat cu
titlu de certificat calificat;
b) datele de identificare a furnizorului de servicii de
certificare, precum si cetatenia acestuia, in cazul persoanelor
fizice, respectiv nationalitatea acestuia, in cazul persoanelor
juridice;
c) numele semnatarului sau pseudonimul acestuia, identificat
ca atare, precum si alte atribute specifice ale semnatarului,
daca sunt relevante, in functie de scopul pentru care este eliberat
certificatul calificat;
d) codul personal de identificare a semnatarului;
e) datele de verificare a semnaturii, care corespund datelor
de creare a semnaturii aflate sub controlul exclusiv al semnatarului;
f) indicarea inceputului si sfarsitului perioadei de valabilitate
a certificatului calificat;
g) codul de identificare a certificatului calificat;
h) semnatura electronica extinsa a furnizorului de servicii
de certificare care elibereaza certificatul calificat;
i) daca este cazul, limitele utilizarii certificatului
calificat sau limitele valorice ale operatiunilor pentru care
acesta poate fi utilizat;
j) orice alte informatii stabilite de autoritatea de reglementare
si supraveghere specializata in domeniu.
(2) Fiecarui semnatar i se va atribui de catre furnizorul
de servicii de certificare un cod personal care sa asigure identificarea
unica a semnatarului.
(3) Generarea codului personal de identificare si a codului
de identificare a certificatului calificat se va face pe baza
reglementarilor stabilite de autoritatea de reglementare si supraveghere
specializata in domeniu.
(4) La solicitarea titularului furnizorul de servicii de
certificare va putea inscrie in certificatul calificat si alte
informatii decat cele mentionate la alin. (1), cu conditia ca
acestea sa nu fie contrare legii, bunelor moravuri sau ordinii
publice, si numai dupa o prealabila verificare a exactitatii acestor
informatii.
(5) Certificatul calificat va indica in mod expres faptul
ca este utilizat un pseudonim, atunci cand titularul se identifica
printr-un pseudonim.
Art. 19. - (1) La eliberarea certificatelor calificate
furnizorii de servicii de certificare au obligatia de a verifica
identitatea solicitantilor exclusiv pe baza actelor de identitate.
(2) La eliberarea fiecarui certificat calificat furnizorii
au obligatia sa emita doua copii de pe acesta, pe suport de hartie,
dintre care un exemplar este pus la dispozitie titularului, iar
celalalt este pastrat de catre furnizori o perioada de 10 ani.
Art. 20. - In vederea emiterii certificatelor calificate
furnizorii de servicii de certificare trebuie sa indeplineasca
urmatoarele conditii:
a) sa dispuna de mijloace financiare si de resurse materiale,
tehnice si umane corespunzatoare pentru garantarea securitatii,
fiabilitatii si continuitatii serviciilor de certificare oferite;
b) sa asigure operarea rapida si sigura a inregistrarii
informatiilor prevazute la art. 17, in special operarea rapida
si sigura a unui serviciu de suspendare si revocare a certificatelor
calificate;
c) sa asigure posibilitatea de a se determina cu precizie
data si ora exacta a eliberarii, a suspendarii sau a revocarii
unui certificat calificat;
d) sa verifice, cu mijloace corespunzatoare si conforme
dispozitiilor legale, identitatea si, daca este cazul, atributele
specifice ale persoanei careia ii este eliberat certificatul calificat;
e) sa foloseasca personal cu cunostinte de specialitate,
experienta si calificare, necesare pentru furnizarea serviciilor
respective, si, in special, competenta in domeniul gestiunii,
cunostinte de specialitate in domeniul tehnologiei semnaturii
electronice si o practica suficienta in ceea ce priveste procedurile
de securitate corespunzatoare; de asemenea, sa aplice procedurile
administrative si de gestiune adecvate si care corespund standardelor
recunoscute;
f) sa utilizeze produse asociate semnaturii electronice,
cu un inalt grad de fiabilitate, care sunt protejate impotriva
modificarilor si care asigura securitatea tehnica si criptografica
a desfasurarii activitatilor de certificare a semnaturii electronice;
g) sa adopte masuri impotriva falsificarii certificatelor
si sa garanteze confidentialitatea in cursul procesului de generare
a datelor de creare a semnaturilor, in cazul in care furnizorii
de servicii de certificare genereaza astfel de date;
h) sa pastreze toate informatiile cu privire la un certificat
calificat pentru o perioada de minimum 10 ani de la data incetarii
valabilitatii certificatului, in special pentru a putea face dovada
certificarii in cadrul unui eventual litigiu;
i) sa nu stocheze, sa nu reproduca si sa nu dezvaluie tertilor
datele de creare a semnaturii, cu exceptia cazului in care semnatarul
solicita aceasta;
j) sa utilizeze sisteme fiabile pentru stocarea certificatelor
calificate, astfel incat: numai persoanele autorizate sa poata
introduce si modifica informatiile din certificate; exactitatea
informatiei sa poata fi verificata; certificatele sa poata fi
consultate de terti doar in cazul in care exista acordul titularului
acestora; orice modificare tehnica, care ar putea pune in pericol
aceste conditii de securitate, sa poata fi identificata de persoanele
autorizate;
k) orice alte conditii stabilite de autoritatea de reglementare
si supraveghere specializata in domeniu.
Art. 21. - Furnizorii de servicii de certificare calificata
sunt obligati sa foloseasca numai dispozitive securizate de creare
a semnaturii electronice.
Art. 22. - (1) Furnizorul de servicii de certificare calificata
trebuie sa dispuna de resurse financiare pentru acoperirea prejudiciilor
pe care le-ar putea cauza cu prilejul desfasurarii activitatilor
legate de certificarea semnaturilor electronice.
(2) Asigurarea se realizeaza fie prin subscrierea unei
polite de asigurare la o societate de asigurari, fie prin intermediul
unei scrisori de garantie din partea unei institutii financiare
de specialitate, fie printr-o alta modalitate stabilita prin decizie
a autoritatii de reglementare si supraveghere specializate in
domeniu.
(3) Suma asigurata si suma acoperita prin scrisoarea de
garantie sunt stabilite de autoritatea de reglementare si supraveghere
specializata in domeniu.
SECTIUNEA
a 3-a
Suspendarea si incetarea valabilitatii certificatelor
Art. 23. - (1) Orice furnizor de servicii de certificare
are obligatia de a suspenda certificatul in termen de 24 de ore
din momentul in care a luat cunostinta sau trebuia si putea sa
ia cunostinta despre aparitia oricaruia dintre urmatoarele cazuri:
a) la cererea semnatarului, dupa o prealabila verificare
a identitatii acestuia;
b) in cazul in care o hotarare judecatoreasca dispune suspendarea;
c) in cazul in care informatiile continute in certificat
nu mai corespund realitatii, daca nu se impune revocarea certificatului;
d) in orice alte situatii care constituie cazuri de suspendare
a certificatelor eliberate, potrivit procedurilor de securitate
si de certificare declarate de furnizor in baza art. 13.
(2) Orice furnizor de servicii de certificare are obligatia
de a revoca certificatul in termen de 24 de ore din momentul in
care a luat cunostinta sau trebuia si putea sa ia cunostinta despre
aparitia oricaruia dintre urmatoarele cazuri:
a) la cererea semnatarului, dupa o prealabila verificare
a identitatii acestuia;
b) la decesul sau punerea sub interdictie a semnatarului;
c) in cazul in care o hotarare judecatoreasca irevocabila
dispune revocarea;
d) daca se dovedeste in mod neindoielnic ca certificatul
a fost emis in baza unor informatii eronate sau false;
e) in cazul in care informatiile esentiale continute in
certificat nu mai corespund realitatii;
f) atunci cand confidentialitatea datelor de creare a semnaturii
a fost incalcata;
g) in cazul in care certificatul a fost utilizat in mod
fraudulos;
h) in orice alte situatii care constituie cazuri de revocare
a certificatelor eliberate, potrivit procedurilor de securitate
si de certificare declarate de furnizor in baza art. 13.
(3) Furnizorul de servicii de certificare il va informa
de urgenta pe titular despre suspendarea sau revocarea certificatului,
impreuna cu motivele care au stat la baza deciziei sale.
(4) Furnizorul de servicii de certificare va inscrie mentiunea
de suspendare sau de revocare a certificatului in registrul electronic
de evidenta a certificatelor eliberate prevazut la art. 17, in
termen de 24 de ore din momentul in care a luat cunostinta sau
trebuia si putea sa ia cunostinta despre adoptarea deciziei respective.
(5) Suspendarea sau revocarea va deveni opozabila tertilor
de la data inscrierii sale in registrul electronic de evidenta
a certificatelor.
Art. 24. - (1) In cazul in care furnizorul de servicii
de certificare intentioneaza sa inceteze activitatile legate de
certificarea semnaturilor electronice sau afla ca va fi in imposibilitate
de a continua aceste activitati, el va informa, cu cel putin 30
de zile inainte de incetare, autoritatea de reglementare si supraveghere
specializata in domeniu despre intentia sa, respectiv despre existenta
si natura imprejurarii care justifica imposibilitatea de continuare
a activitatilor.
(2) Furnizorului de servicii de certificare ii revine obligatia
ca, in situatia in care se afla in imposibilitate de a continua
activitatile legate de certificarea semnaturilor electronice si
nu a putut prevedea aceasta situatie cu cel putin 30 de zile inainte
ca incetarea activitatilor sa se produca, sa informeze autoritatea
de reglementare si supraveghere specializata in domeniu, in termen
de 24 de ore din momentul in care a luat cunostinta sau trebuia
si putea sa ia cunostinta despre imposibilitatea continuarii activitatilor.
Informarea trebuie sa se refere la existenta si natura imprejurarii
care justifica imposibilitatea de continuare a activitatilor.
(3) Furnizorul de servicii de certificare poate transfera,
in tot sau in parte, activitatile sale unui alt furnizor de servicii
de certificare. Transferul va opera potrivit urmatoarelor conditii:
a) furnizorul de servicii de certificare va instiinta fiecare
titular de certificate neexpirate, cu cel putin 30 de zile inainte,
despre intentia sa de transferare a activitatilor legate de certificarea
semnaturilor electronice catre un alt furnizor de servicii de
certificare;
b) furnizorul de servicii de certificare va mentiona identitatea
furnizorului de servicii de certificare caruia intentioneaza sa
ii transfere activitatile sale;
c) furnizorul de servicii de certificare va face cunoscute
fiecarui titular de certificat posibilitatea de a refuza acest
transfer, precum si termenul si conditiile in care refuzul poate
fi exercitat; in lipsa unei acceptari exprese a titularului, in
termenul precizat de furnizorul de servicii de certificare, certificatul
va fi revocat de catre acesta din urma.
(4) Furnizorul de servicii de certificare, aflat in unul
dintre cazurile prevazute la alin. (1) si (2), ale carui activitati
nu sunt preluate de un alt furnizor de servicii de certificare,
va revoca certificatele in termen de 30 de zile de la data instiintarii
titularilor de certificate si va lua masurile necesare pentru
asigurarea conservarii arhivelor sale, precum si pentru asigurarea
prelucrarii datelor personale, in conditiile legii.
(5) Sunt considerate cazuri de imposibilitate de continuare
a activitatilor legate de certificarea semnaturilor electronice,
in intelesul prezentului articol, dizolvarea sau lichidarea, voluntara
ori judiciara, falimentul, precum si orice alta cauza de incetare
a activitatii, cu exceptia aplicarii sanctiunilor prevazute la
art. 33 alin. (2) si (3).
CAPITOLUL
IV
Monitorizare si control
SECTIUNEA
1
Autoritatea de reglementare si supraveghere
Art. 25. - Responsabilitatea aplicarii dispozitiilor prezentei
legi si a reglementarilor legate de aceasta revine autoritatii
de reglementare si supraveghere specializate in domeniu.
Art. 26. - (1) In termen de cel mult 18 luni de la data
publicarii legii in Monitorul Oficial al Romaniei, Partea I, se
va infiinta autoritatea publica specializata, cu atributii de
reglementare si de supraveghere in domeniu, in sensul prezentei
legi.
(2) Pana la infiintarea autoritatii mentionate la alin.
(1) atributiile acesteia, in sensul prezentei legi, revin Ministerului
Comunicatiilor si Tehnologiei Informatiei.
Art. 27. - Ministerul Comunicatiilor si Tehnologiei Informatiei
poate delega, in tot sau in parte, atributiile sale de supraveghere,
in sensul prezentei legi, unei alte autoritati publice aflate
in coordonare.
Art. 28. - (1) La data intrarii in vigoare a prezentei
legi se infiinteaza Registrul furnizorilor de servicii de certificare,
denumit in continuare Registru, care se constituie si se actualizeaza
de catre autoritatea de reglementare si supraveghere specializata
in domeniu. De la data infiintarii autoritatii publice specializate
prevazute la art. 26 Registrul va fi preluat si actualizat de
aceasta autoritate.
(2) Registrul constituie evidenta oficiala:
a) a furnizorilor de servicii de certificare care au sediul
in Romania;
b) a furnizorilor de servicii de certificare cu sediul
sau domiciliul in alt stat, ale caror certificate calificate sunt
recunoscute conform art. 40.
(3) Registrul are rolul de a asigura, prin efectuarea inregistrarilor
prevazute de prezenta lege, stocarea datelor de identificare si
a unor informatii legate de activitatea furnizorilor de servicii
de certificare, precum si informarea publicului cu privire la
datele si informatiile stocate.
(4) Continutul si structura Registrului se stabilesc, prin
reglementari, de catre autoritatea de reglementare si supraveghere
specializata in domeniu.
Art. 29. - (1) Inregistrarea in Registrul prevazut la art.
28 a datelor de identificare si a informatiilor necesare cu privire
la activitatea furnizorilor de servicii de certificare mentionati
la art. 28 alin. (2) se efectueaza pe baza de cerere individuala,
care trebuie introdusa la autoritatea de reglementare si supraveghere
specializata in domeniu, cel mai tarziu la data inceperii activitatii
furnizorului.
(2) Continutul obligatoriu al cererii prevazute la alin.
(1) si documentatia necesara se stabilesc prin reglementari de
catre autoritatea de reglementare si supraveghere specializata
in domeniu.
Art. 30. - (1) Registrul este public si se actualizeaza
permanent.
(2) Conditiile tinerii Registrului, accesul efectiv la
informatiile pe care le contine, informatiile care pot fi oferite
solicitantilor si modul de actualizare a acestuia se stabilesc
prin normele tehnice si metodologice emise de autoritatea de reglementare
si supraveghere specializata in domeniu.
SECTIUNEA
a 2-a
Supravegherea activitatii furnizorilor de
servicii de certificare
Art. 31. - (1) Autoritatea de reglementare si supraveghere
specializata in domeniu va putea, din oficiu sau la solicitarea
oricarei persoane interesate, sa verifice sau sa dispuna verificarea
conformitatii activitatilor unui furnizor de servicii de certificare
cu dispozitiile prezentei legi sau cu reglementari emise de catre
autoritatea de reglementare si supraveghere specializata in domeniu.
(2) Atributiile de control ce revin autoritatii de reglementare
si supraveghere specializate in domeniu, potrivit alin. (1), sunt
exercitate de personalul anume imputernicit in acest sens.
(3) In vederea exercitarii controlului, personalul cu atributii
de control este autorizat:
a) sa aiba acces liber, permanent, in orice loc in care
se afla echipamentele necesare furnizarii de servicii de certificare,
in conditiile legii;
b) sa solicite orice document sau informatie necesara in
vederea realizarii controlului;
c) sa verifice punerea in aplicare a oricaror proceduri
de securitate sau de certificare utilizate de furnizorul de servicii
de certificare supus controlului;
d) sa sigileze orice echipamente necesare furnizarii de
servicii de certificare sau sa retina orice document ce are legatura
cu aceasta activitate, pe o perioada care nu poate depasi 15 zile,
daca aceasta masura se impune;
e) sa ia orice alte asemenea masuri, in limitele legii.
(4) Personalul cu atributii de control este obligat:
a) sa nu dezvaluie datele de care a luat cunostinta cu
ocazia exercitarii atributiilor sale;
b) sa pastreze confidentialitatea surselor de informatii
in legatura cu sesizarile sau plangerile primite.
Art. 32. - (1) Furnizorii de servicii de certificare au
obligatia de a facilita exercitarea atributiilor de control de
catre personalul anume imputernicit in acest sens.
(2) In cazul neindeplinirii obligatiei prevazute la alin.
(1), in afara de aplicarea sanctiunii prevazute la art. 44 lit.
c), autoritatea de reglementare si supraveghere specializata in
domeniu va putea sa suspende activitatea furnizorului pana la
data la care acesta va coopera cu personalul de control.
Art. 33. - (1) Daca in urma controlului efectuat se constata
nerespectarea dispozitiilor prezentei legi si a reglementarilor
emise de autoritatea de reglementare si supraveghere specializata
in domeniu, aceasta va solicita furnizorului de servicii de certificare
sa se conformeze, in termenul pe care il va stabili, dispozitiilor
legale. In acest caz, autoritatea de reglementare si supraveghere
specializata in domeniu poate dispune suspendarea activitatii
furnizorului.
(2) Neindeplinirea in termenul stabilit a obligatiei de
conformare prevazute la alin. (1) constituie motiv pentru autoritatea
de reglementare si supraveghere specializata in domeniu de a dispune
incetarea activitatii furnizorului de servicii de certificare
si radierea acestuia din Registru.
(3) In cazul in care se constata o incalcare grava a dispozitiilor
legale, autoritatea de reglementare si supraveghere specializata
in domeniu poate dispune direct si imediat incetarea activitatii
furnizorului de servicii de certificare si radierea acestuia din
Registru.
Art. 34. - (1) In cazul in care dispune incetarea activitatii
unui furnizor de servicii de certificare, autoritatea de reglementare
si supraveghere specializata in domeniu va asigura fie revocarea
certificatelor furnizorului de servicii de certificare si ale
semnatarilor, fie preluarea activitatii sau cel putin a registrului
electronic de evidenta a certificatelor eliberate si a serviciului
de revocare a acestora de catre un alt furnizor de servicii de
certificare, cu acordul acestuia.
(2) Semnatarii vor fi informati imediat de autoritatea
de reglementare si supraveghere specializata in domeniu despre
incetarea activitatii furnizorului, precum si despre revocarea
certificatelor sau preluarea acestora de catre un alt furnizor.
(3) Daca activitatea furnizorului de servicii de certificare
nu este preluata de catre un alt furnizor, furnizorul de servicii
de certificare este obligat sa asigure revocarea tuturor certificatelor
eliberate de el. Autoritatea de reglementare si supraveghere specializata
in domeniu va revoca certificatele, pe cheltuiala furnizorului,
daca acesta nu isi indeplineste obligatia.
(4) Autoritatea de reglementare si supraveghere specializata
in domeniu va prelua si va mentine arhivele si registrul electronic
de evidenta a certificatelor eliberate de furnizorul de servicii
de certificare a carui activitate nu a fost preluata de catre
un alt furnizor.
Art. 35. - (1) Radierea furnizorilor de servicii de certificare
din Registru se efectueaza pe baza comunicarii facute de catre
furnizor autoritatii de reglementare si supraveghere specializate
in domeniu cu cel putin 30 de zile inainte de data incetarii activitatii
sale.
(2) Radierea se poate efectua si din oficiu de catre autoritatea
de reglementare si supraveghere specializata in domeniu, in situatia
in care aceasta constata pe orice alta cale ca furnizorul si-a
incetat activitatea.
SECTIUNEA
a 3-a
Acreditarea voluntara
Art. 36. - (1) In scopul asigurarii unui grad sporit de
securitate a operatiunilor si al protejarii corespunzatoare a
drepturilor si intereselor legitime ale beneficiarilor de servicii
de certificare, furnizorii de servicii de certificare care doresc
sa isi desfasoare activitatea ca furnizori acreditati pot solicita
obtinerea unei acreditari din partea autoritatii de reglementare
si supraveghere specializate in domeniu.
(2) Conditiile si procedura acordarii, suspendarii si retragerii
deciziei de acreditare, continutul acestei decizii, durata ei
de valabilitate, precum si efectele suspendarii si ale retragerii
deciziei se stabilesc de autoritatea de reglementare si supraveghere
specializata in domeniu, prin reglementari, cu respectarea principiilor
obiectivitatii, transparentei, proportionalitatii si tratamentului
nediscriminatoriu.
Art. 37. - (1) Furnizorii de servicii de certificare acreditati
in conditiile prezentei legi au dreptul de a folosi o mentiune
distinctiva care sa se refere la aceasta calitate in toate activitatile
pe care le desfasoara, legate de certificarea semnaturilor.
(2) Furnizorii de servicii de certificare acreditati in
conditiile prezentei legi sunt obligati sa solicite efectuarea
unei mentiuni in acest sens in Registru.
SECTIUNEA
a 4-a
Omologarea
Art. 38. - (1) Conformitatea dispozitivelor securizate
de creare a semnaturii electronice cu prevederile prezentei legi
se verifica de catre agentii de omologare, persoane juridice de
drept public sau de drept privat, agreate de autoritatea de reglementare
si supraveghere specializata in domeniu, in conditiile stabilite
prin reglementari emise de aceasta.
(2) In urma indeplinirii procedurii de verificare se emite
certificatul de omologare a dispozitivului securizat de creare
a semnaturii electronice. Certificatul poate fi retras in cazul
in care agentia de omologare constata ca dispozitivul securizat
de creare a semnaturii electronice nu mai indeplineste una dintre
conditiile prevazute in prezenta lege.
(3) Conditiile si procedura de agreare a agentiilor de
omologare se stabilesc prin reglementari de catre autoritatea
de reglementare si supraveghere specializata in domeniu.
(4) Decizia de agreare se emite de catre autoritatea de
reglementare si supraveghere specializata in domeniu.
Art. 39. - (1) Autoritatea de reglementare si supraveghere
specializata in domeniu vegheaza la respectarea, de catre agentiile
de omologare, a prevederilor prezentei legi, a reglementarilor
emise, precum si a dispozitiilor cuprinse in decizia de agreare.
(2) Prevederile art. 31-32 se aplica in mod corespunzator
controlului exercitat de autoritatea de reglementare si supraveghere
specializata in domeniu asupra activitatii agentiilor de omologare.
CAPITOLUL
V
Recunoasterea certificatelor eliberate de furnizorii
de servicii de certificare straini
Art. 40. - Certificatul calificat eliberat de catre un
furnizor de servicii de certificare cu domiciliul sau cu sediul
intr-un alt stat este recunoscut ca fiind echivalent din punct
de vedere al efectelor juridice cu certificatul calificat eliberat
de un furnizor de servicii de certificare cu domiciliul sau cu
sediul in Romania, daca:
a) furnizorul de servicii de certificare cu domiciliul
sau sediul in alt stat a fost acreditat in cadrul regimului de
acreditare, in conditiile prevazute de prezenta lege;
b) un furnizor de servicii de certificare acreditat, cu
domiciliul sau cu sediul in Romania, garanteaza certificatul;
c) certificatul sau furnizorul de servicii de certificare
care l-a eliberat este recunoscut prin aplicarea unui acord bilateral
sau multilateral intre Romania si alte state sau organizatii internationale,
pe baza de reciprocitate.
CAPITOLUL
VI
Raspunderea furnizorilor de servicii de certificare
Art. 41. - Furnizorul de servicii de certificare, care
elibereaza certificate prezentate ca fiind calificate sau care
garanteaza asemenea certificate, este raspunzator pentru prejudiciul
adus oricarei persoane care isi intemeiaza conduita pe efectele
juridice ale respectivelor certificate:
a) in ceea ce priveste exactitatea, in momentul eliberarii
certificatului, a tuturor informatiilor pe care le contine;
b) in ceea ce priveste asigurarea ca, in momentul eliberarii
certificatului, semnatarul identificat in cuprinsul acestuia detinea
datele de generare a semnaturii corespunzatoare datelor de verificare
a semnaturii mentionate in respectivul certificat;
c) in ceea ce priveste asigurarea ca datele de generare
a semnaturii corespund datelor de verificare a semnaturii, in
cazul in care furnizorul de servicii de certificare le genereaza
pe amandoua;
d) in ceea ce priveste suspendarea sau revocarea certificatului,
in cazurile si cu respectarea conditiilor prevazute la art. 24
alin. (1) si (2);
e) in privinta indeplinirii tuturor obligatiilor prevazute
la art. 13-17 si la art. 19-22, cu exceptia cazurilor in care
furnizorul de servicii de certificare probeaza ca, desi a depus
diligenta necesara, nu a putut impiedica producerea prejudiciului.
Art. 42. - (1) Furnizorul de servicii de certificare poate
sa indice in cuprinsul unui certificat calificat restrictii ale
utilizarii acestuia, precum si limite ale valorii operatiunilor
pentru care acesta poate fi utilizat, cu conditia ca respectivele
restrictii sa poata fi cunoscute de terti.
(2) Furnizorul de servicii de certificare nu va fi raspunzator
pentru prejudiciile rezultand din utilizarea unui certificat calificat
cu incalcarea restrictiilor prevazute in cuprinsul acestuia.
CAPITOLUL
VII
Obligatiile titularilor de certificate
Art. 43. - Titularii de certificate sunt obligati sa solicite,
de indata, revocarea certificatelor, in cazul in care:
a) au pierdut datele de creare a semnaturii electronice;
b) au motive sa creada ca datele de creare a semnaturii
electronice au ajuns la cunostinta unui tert neautorizat;
c) informatiile esentiale cuprinse in certificat nu mai
corespund realitatii.
CAPITOLUL
VIII
Contraventii si sanctiuni
Art. 44. - Constituie contraventie, daca, potrivit legii,
nu constituie infractiune, si se sanctioneaza cu amenda de la
5.000.000 lei la 100.000.000 lei fapta furnizorului de servicii
de certificare care:
a) omite sa efectueze notificarea prevazuta la art. 13
alin. (1);
b) omite sa informeze autoritatea de reglementare si supraveghere
specializata in domeniu asupra procedurilor de securitate si de
certificare utilizate, in conditiile si cu respectarea termenelor
prevazute la art. 13;
c) nu isi indeplineste obligatia de a facilita exercitarea
atributiilor de control de catre personalul autoritatii de reglementare
si supraveghere specializate in domeniu, anume imputernicit in
acest sens;
d) realizeaza transferul activitatilor legate de certificarea
semnaturilor electronice cu nerespectarea prevederilor art. 24
alin. (3).
Art. 45. - Constituie contraventie, daca, potrivit legii,
nu constituie infractiune, si se sanctioneaza cu amenda de la
10.000.000 lei la 250.000.000 lei fapta furnizorului de servicii
de certificare care:
a) nu furnizeaza persoanelor mentionate la art. 14 alin.
(1), in conditiile prevazute la art. 14 alin. (1) si (2), informatiile
obligatorii prevazute la art. 14 alin. (3) ori nu furnizeaza toate
aceste informatii sau furnizeaza informatii inexacte;
b) incalca obligatiile privitoare la prelucrarea datelor
cu caracter personal prevazute la art. 16;
c) omite sa efectueze inregistrarile obligatorii, potrivit
legii, in registrul electronic de evidenta a certificatelor eliberate,
prevazut la art. 17, sau le efectueaza cu nerespectarea termenului
prevazut la art. 14 alin. (5), art. 23 alin. (1) sau (2) ori inregistreaza
mentiuni inexacte;
d) elibereaza certificate prezentate titularilor ca fiind
calificate, care nu contin toate mentiunile obligatorii prevazute
la art. 18;
e) elibereaza certificate calificate care contin informatii
inexacte, informatii care sunt contrare legii, bunelor moravuri
sau ordinii publice, ori informatii a caror exactitate nu a fost
verificata in conditiile prevazute la art. 18 alin. (4);
f) elibereaza certificate calificate fara a verifica identitatea
solicitantului, in conditiile prevazute la art. 19;
g) omite sa ia masuri de natura sa garanteze confidentialitatea
in cursul procesului de generare a datelor de creare a semnaturilor,
in cazul in care furnizorul de servicii de certificare genereaza
astfel de date;
h) nu pastreaza toate informatiile cu privire la un certificat
calificat o perioada de minimum 5 ani de la data incetarii valabilitatii
certificatului;
i) stocheaza, reproduce sau dezvaluie tertilor datele de
creare a semnaturii electronice, cu exceptia cazului in care semnatarul
solicita aceasta, in cazul in care furnizorul elibereaza certificate
calificate;
j) stocheaza certificatele calificate intr-o forma care
nu respecta conditiile prevazute la art. 20 lit. j);
k) utilizeaza dispozitive de creare a semnaturii electronice,
care nu indeplinesc conditiile prevazute la art. 4 pct. 8, in
cazul in care furnizorul de servicii de certificare elibereaza
certificate calificate;
l) in cazul in care intentioneaza sa inceteze activitatile
legate de certificarea semnaturilor electronice sau in oricare
dintre situatiile prevazute la art. 24 alin. (5), cand afla ca
va fi in imposibilitate de a continua aceste activitati, nu informeaza
cu cel putin 30 de zile inainte de incetarea activitatilor autoritatea
de reglementare si supraveghere specializata in domeniu despre
intentia sa, respectiv despre existenta si natura imprejurarii
care justifica imposibilitatea de continuare a activitatilor;
m) in oricare dintre situatiile prevazute la art. 24 alin.
(5), cand se afla in imposibilitate de a continua activitatile
legate de certificarea semnaturilor electronice si nu a putut
prevedea aceasta situatie cu cel putin 30 de zile inainte ca incetarea
activitatilor sa se produca, nu a informat autoritatea de reglementare
si supraveghere specializata in domeniu in termenul prevazut la
art. 24 alin. (2) despre existenta si natura imprejurarii care
justifica imposibilitatea de continuare a activitatilor;
n) aflandu-se in unul dintre cazurile prevazute la art.
24 alin. (1) si (2), omite sa ia masurile necesare pentru asigurarea
conservarii arhivelor sale sau pentru asigurarea prelucrarii datelor
cu caracter personal in conditiile legii;
o) nu suspenda sau nu revoca certificatele eliberate, in
cazurile in care suspendarea sau revocarea este obligatorie, sau
le revoca cu nerespectarea termenului legal;
p) continua sa desfasoare activitati legate de certificarea
semnaturilor electronice in situatia in care autoritatea de reglementare
si supraveghere specializata in domeniu a dispus suspendarea sau
incetarea activitatii furnizorului de servicii de certificare;
q) elibereaza certificate sau desfasoara alte activitati
legate de certificarea semnaturilor electronice, folosindu-se
fara a avea dreptul de calitatea de furnizor de servicii de certificare
acreditat, prin prezentarea unei mentiuni distinctive care sa
se refere la aceasta calitate sau prin orice alte mijloace;
r) omite sa solicite, in termenul prevazut la art. 29 alin.
(1), inregistrarea in Registru a datelor si informatiilor mentionate
la art. 29.
Art. 46. - Incalcarea de catre agentia de omologare a obligatiei
de a facilita exercitarea atributiilor de control de catre personalul
autoritatii de reglementare si supraveghere specializate in domeniu,
anume imputernicit in acest sens, constituie contraventie si se
sanctioneaza cu amenda de la 15.000.000 lei la 250.000.000 lei.
Art. 47. - Constatarea contraventiilor si aplicarea sanctiunilor
prevazute in cadrul prezentului capitol sunt de competenta personalului
cu atributii de control din cadrul autoritatii de reglementare
si supraveghere specializate in domeniu.
Art. 48. - Contraventiilor prevazute in prezentul capitol
le sunt aplicabile prevederile Legii nr. 32/1968 privind stabilirea
si sanctionarea contraventiilor.
CAPITOLUL
IX
Dispozitii finale
Art. 49. - (1) Nivelul tarifelor percepute de agentiile
de omologare pentru prestarea serviciilor de omologare a dispozitivelor
securizate de creare a semnaturii electronice, precum si pentru
serviciile accesorii se stabileste in mod liber, cu respectarea
prevederilor Legii concurentei nr. 21/1996.
(2) Agentiile mentionate la alin. (1) pot percepe tarife
cu niveluri diferite pentru zone geografice diferite sau pentru
serviciile prestate in regim de urgenta, pentru inscrierile on-line,
potrivit propriilor strategii comerciale, cu respectarea dispozitiilor
legale.
(3) Sunt interzise agentiilor de omologare si imputernicitilor
acestora publicarea de tabele comparative privind nivelul tarifelor
si adoptarea oricaror masuri al caror scop este sa limiteze reclama
privind nivelul tarifelor incasate de alte agentii pentru serviciile
prestate.
Art. 50. - (1) Agentiile de omologare sunt supuse prevederilor
Legii concurentei nr. 21/1996 in ceea ce priveste stabilirea tarifelor
percepute pentru serviciile prestate, precum si in privinta actelor
sau faptelor care au sau pot avea ca efect restrangerea concurentei
pe piata serviciilor respective.
(2) Agentiile de omologare sunt, de asemenea, supuse prevederilor
Legii nr. 11/1991 privind combaterea concurentei neloiale, cu
modificarile ulterioare.
Art. 51. - Cuantumul amenzilor prevazute de prezenta lege
va fi actualizat prin hotarare a Guvernului, in functie de evolutia
indicelui de inflatie.
Art. 52. - In termen de 3 luni de la data publicarii prezentei
legi in Monitorul Oficial al Romaniei, Partea I, autoritatea de
reglementare si supraveghere specializata in domeniu va elabora
norme tehnice si metodologice de aplicare a acesteia.
Art. 53. - Prezenta lege va intra in vigoare la data publicarii
ei in Monitorul Oficial al Romaniei, Partea I, si se pune in aplicare
la 3 luni de la data intrarii in vigoare.
Aceasta lege a fost adoptata de Senat in sedinta din 26 iunie
2001, cu respectarea prevederilor art. 74 alin. (1) din Constitutia
Romaniei.
p. PRESEDINTELE SENATULUI,
DORU IOAN TARACILA
Aceasta lege a fost adoptata de Camera Deputatilor in sedinta
din 28 iunie 2001, cu respectarea prevederilor art. 74 alin. (1)
din Constitutia Romaniei.
PRESEDINTELE CAMEREI
DEPUTATILOR
VALER DORNEANU
Bucuresti, 18 iulie 2001.
Nr. 455.
Data adoptarii in Senat: 06/26/2001 Data adoptarii in Camera Deputatilor:
06/28/2001
Data promulgarii: 07/18/2001
Data intrarii in vigoare: 07/31/2001
|
|