 |
INREGISTRARE DOMENII INTERNET / GÃZDUIRE DNS, CERTIFICATE SSL |
||||||
- Domenii
|
INREGISTRARE DOMENII INTERNET / GÃZDUIRE DNS, CERTIFICATE SSL |
||||||
LEGE nr. 455 din 18 iulie 2001
privind semnatura electronica
Emitent : PARLAMENTUL
Publicata in : MONITORUL OFICIAL nr. 429 din 31 iulie 2001
Parlamentul Romaniei adopta prezenta lege.
CAP. 1
Dispozitii generale
SECTIUNEA 1
Principii generale
ART. 1
Prezenta lege stabileste regimul juridic al semnaturii electronice
si al inscrisurilor in forma electronica, precum si conditiile
furnizarii de servicii de certificare a semnaturilor electronice.
ART. 2
Prezenta lege se completeaza cu dispozitiile legale privind
incheierea, validitatea si efectele actelor juridice.
ART. 3
Nici o dispozitie a prezentei legi nu poate fi interpretata in
sensul limitarii autonomiei de vointa si a libertatii contractuale a
partilor.
SECTIUNEA a 2-a
Definitii
ART. 4
In intelesul prezentei legi:
1. date in forma electronica sunt reprezentari ale informatiei
intr-o forma conventionala adecvata crearii, prelucrarii, trimiterii,
primirii sau stocarii acesteia prin mijloace electronice;
2. inscris in forma electronica reprezinta o colectie de date in
forma electronica intre care exista relatii logice si functionale si
care redau litere, cifre sau orice alte caractere cu semnificatie
inteligibila, destinate a fi citite prin intermediul unui program
informatic sau al altui procedeu similar;
3. semnatura electronica reprezinta date in forma electronica, care
sunt atasate sau logic asociate cu alte date in forma electronica si
care servesc ca metoda de identificare;
4. semnatura electronica extinsa reprezinta acea semnatura
electronica care indeplineste cumulativ urmatoarele conditii:
a) este legata in mod unic de semnatar;
b) asigura identificarea semnatarului;
c) este creata prin mijloace controlate exclusiv de semnatar;
d) este legata de datele in forma electronica, la care se raporteaza
in asa fel incat orice modificare ulterioara a acestora este identificabila;
5. semnatar reprezinta o persoana care detine un dispozitiv de
creare a semnaturii electronice si care actioneazp fie en nume propriu,
fie ca reprezentant al unui tert;
6. date de creare a semnaturii electronice reprezinta orice date in
forma electronica cu caracter de unicitate, cum ar fi coduri sau chei
criptografice private, care sunt folosite de semnatar pentru crearea
unei semnaturi electronice;
7. dispozitiv de creare a semnaturii electronice reprezinta software
si/sau hardware configurate, utilizat pentru a implementa datele de
creare a semnaturii electronice;
8. dispozitiv securizat de creare a semnaturii electronice
reprezinta acel dispozitiv de creare a semnaturii electronice care
indeplineste cumulativ urmatoarele conditii:
a) datele de creare a semnaturii, utilizate pentru generarea
acesteia, sa poata aparea numai o singura data si confidentialitatea
acestora sa poata fi asigurata;
b) datele de creare a semnaturii, utilizate pentru generarea
acesteia, sa nu poata fi deduse;
c) semnatura sa fie protejata impotriva falsificarii prin mijloacele
tehnice disponibile la momentul generarii acesteia;
d) datele de creare a semnaturii sa poata fi protejate in mod
efectiv de catre semnatar impotriva utilizarii acestora de catre
persoane neautorizate;
e) sa nu modifice datele in forma electronica, care trebuie sa fie
semnate, si nici sa nu impiedice ca acestea sa fie prezentate
semnatarului inainte de finalizarea procesului de semnare;
9. date de verificare a semnaturii electronice reprezinta date in
forma electronica, cum ar fi coduri sau chei criptografice publice, care
sunt utilizate in scopul verificarii unei semnaturi electronice;
10. dispozitiv de verificare a semnaturii electronice reprezinta
software si/sau hardware configurate, utilizat pentru a implementa
datele de verificare a semnaturii electronice;
11. certificat reprezinta o colectie de date in forma electronica ce
atesta legatura dintre datele de verificare a semnaturii electronice si
o persoana, confirmand identitatea acelei persoane;
12. certificat calificat reprezinta un certificat care satisface
conditiile prevazute la art. 18 si care este eliberat de un furnizor de
servicii de certificare ce satisface conditiile prevazute la art. 20;
13. furnizor de servicii de certificare reprezinta orice persoana,
romana sau straina, care elibereaza certificate sau care presteaza alte
servicii legate de semnatura electronica;
14. furnizor de servicii de certificare calificata este acel
furnizor de servicii de certificare care elibereaza certificate calificate;
15. produs asociat semnaturii electronice reprezinta software sau
hardware, destinat a fi utilizat de un furnizor de servicii de
certificare pentru prestarea serviciilor legate de semnatura electronica
sau destinat a fi utilizat pentru crearea ori verificarea semnaturii
electronice.
CAP. 2
Regimul juridic al inscrisurilor in forma electronica
ART. 5
Inscrisul in forma electronica, caruia i s-a incorporat, atasat sau
i s-a asociat logic o semnatura electronica extinsa, bazata pe un
certificat calificat nesuspendat sau nerevocat la momentul respectiv si
generata cu ajutorul unui dispozitiv securizat de creare a semnaturii
electronice, este asimilat, in ceea ce priveste conditiile si efectele
sale, cu inscrisul sub semnatura privata.
ART. 6
Inscrisul in forma electronica, caruia i s-a incorporat, atasat sau
i s-a asociat logic o semnatura electronica, recunoscut de catre cel
caruia i se opune, are acelasi efect ca actul autentic intre cei care
l-au subscris si intre cei care le reprezinta drepturile.
ART. 7
In cazurile in care, potrivit legii, forma scrisa este ceruta ca o
conditie de proba sau de validitate a unui act juridic, un inscris in
forma electronica indeplineste aceasta cerinta daca i s-a incorporat,
atasat sau i s-a asociat logic o semnatura electronica extinsa, bazata
pe un certificat calificat si generata prin intermediul unui dispozitiv
securizat de creare a semnaturii.
ART. 8
(1) In cazul in care una dintre parti nu recunoaste inscrisul sau
semnatura, instanta va dispune intotdeauna ca verificarea sa se faca
prin expertiza tehnica de specialitate.
(2) In acest scop, expertul sau specialistul este dator sa solicite
certificate calificate, precum si orice alte documente necesare,
potrivit legii, pentru identificarea autorului inscrisului, a
semnatarului ori a titularului de certificat.
ART. 9
(1) Partea care invoca inaintea instantei o semnatura electronica
extinsa trebuie sa probeze ca aceasta indeplineste conditiile prevazute
la art. 4 pct. 4.
(2) Semnatura electronica extinsa, bazata pe un certificat calificat
eliberat de un furnizor de servicii de certificare acreditat, este
prezumata a indeplini conditiile prevazute la art. 4 pct. 4.
ART. 10
(1) Partea care invoca inaintea instantei un certificat calificat
trebuie sa probeze ca furnizorul de servicii de certificare care a
eliberat respectivul certificat indeplineste conditiile prevazute la
art. 20.
(2) Furnizorul de servicii de certificare acreditat este prezumat a
indeplini conditiile prevazute la art. 20.
ART. 11
(1) Partea care invoca inaintea instantei un mecanism securizat de
creare a semnaturii trebuie sa probeze ca acesta indeplineste conditiile
prevazute la art. 4 pct. 8.
(2) Dispozitivul securizat de generare a semnaturii, omologat in
sensul prezentei legi, este prezumat a indeplini conditiile prevazute la
art. 4 pct. 8.
CAP. 3
Furnizarea serviciilor de certificare
SECTIUNEA 1
Dispozitii comune
ART. 12
(1) Furnizarea serviciilor de certificare nu este supusa nici unei
autorizari prealabile si se desfasoara in concordanta cu principiile
concurentei libere si loiale, cu respectarea actelor normative in vigoare.
(2) Furnizarea serviciilor de certificare de catre furnizorii
stabiliti in statele membre ale Uniunii Europene se face in conditiile
prevazute in Acordul european instituind o asociere intre Romania, pe de
o parte, Comunitatile Europene si statele membre ale acestora, pe de
alta parte.
ART. 13
(1) Cu 30 de zile inainte de inceperea activitatilor legate de
certificarea semnaturilor electronice persoanele care intentioneaza sa
furnizeze servicii de certificare au obligatia de a notifica autoritatea
de reglementare si supraveghere specializata in domeniu cu privire la
data inceperii acestor activitati.
(2) O data cu efectuarea notificarii prevazute la alin. (1)
furnizorii de servicii de certificare au obligatia de a comunica
autoritatii de reglementare si supraveghere specializate in domeniu
toate informatiile referitoare la procedurile de securitate si de
certificare utilizate, precum si orice alte informatii cerute de
autoritatea de reglementare si supraveghere specializata in domeniu.
(3) Furnizorii de servicii de certificare au obligatia de a comunica
autoritatii de reglementare si supraveghere specializate in domeniu, cu
cel putin 10 zile inainte, orice intentie de modificare a procedurilor
de securitate si de certificare, cu precizarea datei si orei la care
modificarea intra in vigoare, precum si obligatia de a confirma in
termen de 24 de ore modificarea efectuata.
(4) In cazurile de urgenta, in care securitatea serviciilor de
certificare este afectata, furnizorii pot efectua modificari ale
procedurilor de securitate si de certificare, urmand sa comunice, in
termen de 24 de ore, autoritatii de reglementare si supraveghere
specializate in domeniu modificarile efectuate si justificarea deciziei
luate.
(5) Furnizorii de servicii de certificare sunt obligati sa respecte,
pe parcursul desfasurarii activitatii, procedurile de securitate si de
certificare declarate, potrivit alin. (2), (3) si (4).
ART. 14
(1) Furnizorul de servicii de certificare va asigura accesul la
toate informatiile necesare utilizarii corecte si in conditii de
siguranta a serviciilor sale. Informatiile respective vor fi furnizate
anterior nasterii oricarui raport contractual cu persoana care solicita
un certificat sau, dupa caz, la cererea unui tert care se prevaleaza de
un asemenea certificat.
(2) Informatiile prevazute la alin. (1) vor fi formulate in scris,
intr-un limbaj accesibil, si vor fi transmise prin mijloace electronice,
in conditii care sa permita stocarea si reproducerea lor.
(3) Informatiile prevazute la alin. (1) vor face referire cel putin la:
a) procedura ce trebuie urmata in scopul crearii si verificarii
semnaturii electronice;
b) tarifele percepute;
c) modalitatile si conditiile concrete de utilizare a
certificatelor, inclusiv limitele impuse utilizarii acestora, cu
conditia ca aceste limite sa poata fi cunoscute de terti;
d) obligatiile care incumba, potrivit prezentei legi, titularului
certificatului si furnizorului de servicii de certificare;
e) existenta unei acreditari, daca este cazul;
f) conditiile contractuale de eliberare a certificatului, inclusiv
eventualele limitari ale raspunderii furnizorului de servicii de
certificare;
g) caile de solutionare a litigiilor;
h) orice alte informatii stabilite de autoritatea de reglementare si
supraveghere specializata in domeniu.
(4) Furnizorul de servicii de certificare va transmite
solicitantului un exemplar al certificatului.
(5) Din momentul acceptarii certificatului de catre solicitant,
furnizorul de servicii de certificare va inscrie certificatul in
registrul prevazut la art. 17.
ART. 15
(1) Persoanele fizice care presteaza, conform legii, in nume propriu
servicii de certificare, precum si personalul angajat al furnizorului de
servicii de certificare, persoana fizica sau juridica, sunt obligate sa
pastreze secretul informatiilor incredintate in cadrul activitatii lor
profesionale, cu exceptia celor in legatura cu care titularul
certificatului accepta sa fie publicate sau comunicate tertilor.
(2) Incalcarea obligatiei prevazute la alin. (1) constituie
infractiune de divulgare a secretului profesional, prevazuta si
sanctionata de art. 196 din Codul penal.
(3) Nu constituie divulgare a secretului profesional comunicarea de
informatii catre o autoritate publica, atunci cand aceasta actioneaza in
exercitarea si in limitele competentelor sale legale.
(4) Obligatia prevazuta la alin. (1) incumba si personalului
autoritatii de reglementare si supraveghere specializate in domeniu,
precum si persoanelor imputernicite de aceasta.
ART. 16
(1) Autoritatea de reglementare si supraveghere specializata in
domeniu si furnizorii de servicii de certificare au obligatia sa
respecte dispozitiile legale privitoare la prelucrarea datelor cu
caracter personal.
(2) Furnizorii de servicii de certificare nu pot colecta date cu
caracter personal decat de la persoana care solicita un certificat sau,
cu consimtamantul expres al acesteia, de la terti. Colectarea se face
doar in masura in care aceste informatii sunt necesare in vederea
eliberarii si conservarii certificatului. Datele pot fi colectate si
utilizate in alte scopuri doar cu consimtamantul expres al persoanei
care solicita certificatul.
(3) Atunci cand se utilizeaza un pseudonim, identitatea reala a
titularului nu poate fi divulgata de catre furnizorul de servicii de
certificare decat cu consimtamantul titularului sau in cazurile
prevazute la art. 15 alin. (3).
ART. 17
(1) Furnizorii de servicii de certificare au obligatia de a crea si
de a mentine un registru electronic de evidenta a certificatelor eliberate.
(2) Registrul electronic de evidenta a certificatelor eliberate
trebuie sa faca mentiune despre:
a) data si ora exacta la care certificatul a fost eliberat;
b) data si ora exacta la care expira certificatul;
c) daca este cazul, data si ora exacta la care certificatul a fost
suspendat sau revocat, inclusiv cauzele care au condus la suspendare sau
la revocare.
(3) Registrul electronic de evidenta a certificatelor eliberate
trebuie sa fie disponibil permanent pentru consultare, inclusiv in regim
on-line.
SECTIUNEA a 2-a
Furnizarea serviciilor de certificare calificata
ART. 18
(1) Certificatul calificat va cuprinde urmatoarele mentiuni:
a) indicarea faptului ca certificatul a fost eliberat cu titlu de
certificat calificat;
b) datele de identificare a furnizorului de servicii de certificare,
precum si cetatenia acestuia, in cazul persoanelor fizice, respectiv
nationalitatea acestuia, in cazul persoanelor juridice;
c) numele semnatarului sau pseudonimul acestuia, identificat ca
atare, precum si alte atribute specifice ale semnatarului, daca sunt
relevante, in functie de scopul pentru care este eliberat certificatul
calificat;
d) codul personal de identificare a semnatarului;
e) datele de verificare a semnaturii, care corespund datelor de
creare a semnaturii aflate sub controlul exclusiv al semnatarului;
f) indicarea inceputului si sfarsitului perioadei de valabilitate a
certificatului calificat;
g) codul de identificare a certificatului calificat;
h) semnatura electronica extinsa a furnizorului de servicii de
certificare care elibereaza certificatul calificat;
i) daca este cazul, limitele utilizarii certificatului calificat sau
limitele valorice ale operatiunilor pentru care acesta poate fi utilizat;
j) orice alte informatii stabilite de autoritatea de reglementare si
supraveghere specializata in domeniu.
(2) Fiecarui semnatar i se va atribui de catre furnizorul de
servicii de certificare un cod personal care sa asigure identificarea
unica a semnatarului.
(3) Generarea codului personal de identificare si a codului de
identificare a certificatului calificat se va face pe baza
reglementarilor stabilite de autoritatea de reglementare si supraveghere
specializata in domeniu.
(4) La solicitarea titularului furnizorul de servicii de certificare
va putea inscrie in certificatul calificat si alte informatii decat cele
mentionate la alin. (1), cu conditia ca acestea sa nu fie contrare
legii, bunelor moravuri sau ordinii publice, si numai dupa o prealabila
verificare a exactitatii acestor informatii.
(5) Certificatul calificat va indica in mod expres faptul ca este
utilizat un pseudonim, atunci cand titularul se identifica printr-un
pseudonim.
ART. 19
(1) La eliberarea certificatelor calificate furnizorii de servicii
de certificare au obligatia de a verifica identitatea solicitantilor
exclusiv pe baza actelor de identitate.
(2) La eliberarea fiecarui certificat calificat furnizorii au
obligatia sa emita doua copii de pe acesta, pe suport de hartie, dintre
care un exemplar este pus la dispozitie titularului, iar celalalt este
pastrat de catre furnizori o perioada de 10 ani.
ART. 20
In vederea emiterii certificatelor calificate furnizorii de servicii
de certificare trebuie sa indeplineasca urmatoarele conditii:
a) sa dispuna de mijloace financiare si de resurse materiale,
tehnice si umane corespunzatoare pentru garantarea securitatii,
fiabilitatii si continuitatii serviciilor de certificare oferite;
b) sa asigure operarea rapida si sigura a inregistrarii
informatiilor prevazute la art. 17, in special operarea rapida si sigura
a unui serviciu de suspendare si revocare a certificatelor calificate;
c) sa asigure posibilitatea de a se determina cu precizie data si
ora exacta a eliberarii, a suspendarii sau a revocarii unui certificat
calificat;
d) sa verifice, cu mijloace corespunzatoare si conforme
dispozitiilor legale, identitatea si, daca este cazul, atributele
specifice ale persoanei careia ii este eliberat certificatul calificat;
e) sa foloseasca personal cu cunostinte de specialitate, experienta
si calificare, necesare pentru furnizarea serviciilor respective, si, in
special, competenta in domeniul gestiunii, cunostinte de specialitate in
domeniul tehnologiei semnaturii electronice si o practica suficienta in
ceea ce priveste procedurile de securitate corespunzatoare; de asemenea,
sa aplice procedurile administrative si de gestiune adecvate si care
corespund standardelor recunoscute;
f) sa utilizeze produse asociate semnaturii electronice, cu un inalt
grad de fiabilitate, care sunt protejate impotriva modificarilor si care
asigura securitatea tehnica si criptografica a desfasurarii
activitatilor de certificare a semnaturii electronice;
g) sa adopte masuri impotriva falsificarii certificatelor si sa
garanteze confidentialitatea in cursul procesului de generare a datelor
de creare a semnaturilor, in cazul in care furnizorii de servicii de
certificare genereaza astfel de date;
h) sa pastreze toate informatiile cu privire la un certificat
calificat pentru o perioada de minimum 10 ani de la data incetarii
valabilitatii certificatului, in special pentru a putea face dovada
certificarii in cadrul unui eventual litigiu;
i) sa nu stocheze, sa nu reproduca si sa nu dezvaluie tertilor
datele de creare a semnaturii, cu exceptia cazului in care semnatarul
solicita aceasta;
j) sa utilizeze sisteme fiabile pentru stocarea certificatelor
calificate, astfel incat: numai persoanele autorizate sa poata introduce
si modifica informatiile din certificate; exactitatea informatiei sa
poata fi verificata; certificatele sa poata fi consultate de terti doar
in cazul in care exista acordul titularului acestora; orice modificare
tehnica, care ar putea pune in pericol aceste conditii de securitate, sa
poata fi identificata de persoanele autorizate;
k) orice alte conditii stabilite de autoritatea de reglementare si
supraveghere specializata in domeniu.
ART. 21
Furnizorii de servicii de certificare calificata sunt obligati sa
foloseasca numai dispozitive securizate de creare a semnaturii electronice.
ART. 22
(1) Furnizorul de servicii de certificare calificata trebuie sa
dispuna de resurse financiare pentru acoperirea prejudiciilor pe care
le-ar putea cauza cu prilejul desfasurarii activitatilor legate de
certificarea semnaturilor electronice.
(2) Asigurarea se realizeaza fie prin subscrierea unei polite de
asigurare la o societate de asigurari, fie prin intermediul unei
scrisori de garantie din partea unei institutii financiare de
specialitate, fie printr-o alta modalitate stabilita prin decizie a
autoritatii de reglementare si supraveghere specializate in domeniu.
(3) Suma asigurata si suma acoperita prin scrisoarea de garantie
sunt stabilite de autoritatea de reglementare si supraveghere
specializata in domeniu.
SECTIUNEA a 3-a
Suspendarea si incetarea valabilitasii certificatelor
ART. 23
(1) Orice furnizor de servicii de certificare are obligatia de a
suspenda certificatul in termen de 24 de ore din momentul in care a luat
cunostinta sau trebuia si putea sa ia cunostinta despre aparitia
oricaruia dintre urmatoarele cazuri:
a) la cererea semnatarului, dupa o prealabila verificare a
identitatii acestuia;
b) in cazul in care o hotarare judecatoreasca dispune suspendarea;
c) in cazul in care informatiile continute in certificat nu mai
corespund realitatii, daca nu se impune revocarea certificatului;
d) in orice alte situatii care constituie cazuri de suspendare a
certificatelor eliberate, potrivit procedurilor de securitate si de
certificare declarate de furnizor in baza art. 13.
(2) Orice furnizor de servicii de certificare are obligatia de a
revoca certificatul in termen de 24 de ore din momentul in care a luat
cunostinta sau trebuia si putea sa ia cunostinta despre aparitia
oricaruia dintre urmatoarele cazuri:
a) la cererea semnatarului, dupa o prealabila verificare a
identitatii acestuia;
b) la decesul sau punerea sub interdictie a semnatarului;
c) in cazul in care o hotarare judecatoreasca irevocabila dispune
revocarea;
d) daca se dovedeste in mod neindoielnic ca certificatul a fost emis
in baza unor informatii eronate sau false;
e) in cazul in care informatiile esentiale continute in certificat
nu mai corespund realitatii;
f) atunci cand confidentialitatea datelor de creare a semnaturii a
fost incalcata;
g) in cazul in care certificatul a fost utilizat in mod fraudulos;
h) in orice alte situatii care constituie cazuri de revocare a
certificatelor eliberate, potrivit procedurilor de securitate si de
certificare declarate de furnizor in baza art. 13.
(3) Furnizorul de servicii de certificare il va informa de urgenta
pe titular despre suspendarea sau revocarea certificatului, impreuna cu
motivele care au stat la baza deciziei sale.
(4) Furnizorul de servicii de certificare va inscrie mentiunea de
suspendare sau de revocare a certificatului in registrul electronic de
evidenta a certificatelor eliberate prevazut la art. 17, in termen de 24
de ore din momentul in care a luat cunostinta sau trebuia si putea sa ia
cunostinta despre adoptarea deciziei respective.
(5) Suspendarea sau revocarea va deveni opozabila tertilor de la
data inscrierii sale in registrul electronic de evidenta a certificatelor.
ART. 24
(1) In cazul in care furnizorul de servicii de certificare
intentioneaza sa inceteze activitatile legate de certificarea
semnaturilor electronice sau afla ca va fi in imposibilitate de a
continua aceste activitati, el va informa, cu cel putin 30 de zile
inainte de incetare, autoritatea de reglementare si supraveghere
specializata in domeniu despre intentia sa, respectiv despre existenta
si natura imprejurarii care justifica imposibilitatea de continuare a
activitatilor.
(2) Furnizorului de servicii de certificare ii revine obligatia ca,
in situatia in care se afla in imposibilitate de a continua activitatile
legate de certificarea semnaturilor electronice si nu a putut prevedea
aceasta situatie cu cel putin 30 de zile inainte ca incetarea
activitatilor sa se produca, sa informeze autoritatea de reglementare si
supraveghere specializata in domeniu, in termen de 24 de ore din
momentul in care a luat cunostinta sau trebuia si putea sa ia cunostinta
despre imposibilitatea continuarii activitatilor. Informarea trebuie sa
se refere la existenta si natura imprejurarii care justifica
imposibilitatea de continuare a activitatilor.
(3) Furnizorul de servicii de certificare poate transfera, in tot
sau in parte, activitatile sale unui alt furnizor de servicii de
certificare. Transferul va opera potrivit urmatoarelor conditii:
a) furnizorul de servicii de certificare va instiinta fiecare
titular de certificate neexpirate, cu cel putin 30 de zile inainte,
despre intentia sa de transferare a activitatilor legate de certificarea
semnaturilor electronice catre un alt furnizor de servicii de certificare;
b) furnizorul de servicii de certificare va mentiona identitatea
furnizorului de servicii de certificare caruia intentioneaza sa ii
transfere activitatile sale;
c) furnizorul de servicii de certificare va face cunoscute fiecarui
titular de certificat posibilitatea de a refuza acest transfer, precum
si termenul si conditiile in care refuzul poate fi exercitat; in lipsa
unei acceptari exprese a titularului, in termenul precizat de furnizorul
de servicii de certificare, certificatul va fi revocat de catre acesta
din urma.
(4) Furnizorul de servicii de certificare, aflat in unul dintre
cazurile prevazute la alin. (1) si (2), ale carui activitati nu sunt
preluate de un alt furnizor de servicii de certificare, va revoca
certificatele in termen de 30 de zile de la data instiintarii
titularilor de certificate si va lua masurile necesare pentru asigurarea
conservarii arhivelor sale, precum si pentru asigurarea prelucrarii
datelor personale, in conditiile legii.
(5) Sunt considerate cazuri de imposibilitate de continuare a
activitatilor legate de certificarea semnaturilor electronice, in
intelesul prezentului articol, dizolvarea sau lichidarea, voluntara ori
judiciara, falimentul, precum si orice alta cauza de incetare a
activitatii, cu exceptia aplicarii sanctiunilor prevazute la art. 33
alin. (2) si (3).
CAP. 4
Monitorizare si control
SECTIUNEA 1
Autoritatea de reglementare si supraveghere
ART. 25
Responsabilitatea aplicarii dispozitiilor prezentei legi si a
reglementarilor legate de aceasta revine autoritatii de reglementare si
supraveghere specializate in domeniu.
ART. 26
(1) In termen de cel mult 18 luni de la data publicarii legii in
Monitorul Oficial al Romaniei, Partea I, se va infiinta autoritatea
publica specializata, cu atributii de reglementare si de supraveghere in
domeniu, in sensul prezentei legi.
(2) Pana la infiintarea autoritatii mentionate la alin. (1)
atributiile acesteia, in sensul prezentei legi, revin Ministerului
Comunicatiilor si Tehnologiei Informatiei.
ART. 27
Ministerul Comunicatiilor si Tehnologiei Informatiei poate delega,
in tot sau in parte, atributiile sale de supraveghere, in sensul
prezentei legi, unei alte autoritati publice aflate in coordonare.
ART. 28
(1) La data intrarii in vigoare a prezentei legi se infiinteaza
Registrul furnizorilor de servicii de certificare, denumit in continuare
Registru, care se constituie si se actualizeaza de catre autoritatea de
reglementare si supraveghere specializata in domeniu. De la data
infiintarii autoritatii publice specializate prevazute la art. 26
Registrul va fi preluat si actualizat de aceasta autoritate.
(2) Registrul constituie evidenta oficiala:
a) a furnizorilor de servicii de certificare care au sediul in Romania;
b) a furnizorilor de servicii de certificare cu sediul sau
domiciliul in alt stat, ale caror certificate calificate sunt
recunoscute conform art. 40.
(3) Registrul are rolul de a asigura, prin efectuarea
inregistrarilor prevazute de prezenta lege, stocarea datelor de
identificare si a unor informatii legate de activitatea furnizorilor de
servicii de certificare, precum si informarea publicului cu privire la
datele si informatiile stocate.
(4) Continutul si structura Registrului se stabilesc, prin
reglementari, de catre autoritatea de reglementare si supraveghere
specializata in domeniu.
ART. 29
(1) Inregistrarea in Registrul prevazut la art. 28 a datelor de
identificare si a informatiilor necesare cu privire la activitatea
furnizorilor de servicii de certificare mentionati la art. 28
alin. (2) se efectueaza pe baza de cerere individuala, care
trebuie introdusa la autoritatea de reglementare si supraveghere
specializata in domeniu, cel mai tarziu la data inceperii activitatii
furnizorului.
(2) Continutul obligatoriu al cererii prevazute la alin. (1) si
documentatia necesara se stabilesc prin reglementari de catre
autoritatea de reglementare si supraveghere specializata in domeniu.
ART. 30
(1) Registrul este public si se actualizeaza permanent.
(2) Conditiile tinerii Registrului, accesul efectiv la informatiile
pe care le contine, informatiile care pot fi oferite solicitantilor si
modul de actualizare a acestuia se stabilesc prin normele tehnice si
metodologice emise de autoritatea de reglementare si supraveghere
specializata in domeniu.
SECTIUNEA a 2-a
Supravegherea activitatii furnizorilor de servicii de certificare
ART. 31
(1) Autoritatea de reglementare si supraveghere specializata in
domeniu va putea, din oficiu sau la solicitarea oricarei persoane
interesate, sa verifice sau sa dispuna verificarea conformitatii
activitatilor unui furnizor de servicii de certificare cu dispozitiile
prezentei legi sau cu reglementari emise de catre autoritatea de
reglementare si supraveghere specializata in domeniu.
(2) Atributiile de control ce revin autoritatii de reglementare si
supraveghere specializate in domeniu, potrivit alin. (1), sunt
exercitate de personalul anume imputernicit in acest sens.
(3) In vederea exercitarii controlului, personalul cu atributii de
control este autorizat:
a) sa aiba acces liber, permanent, in orice loc in care se afla
echipamentele necesare furnizarii de servicii de certificare, in
conditiile legii;
b) sa solicite orice document sau informatie necesara in vederea
realizarii controlului;
c) sa verifice punerea in aplicare a oricaror proceduri de
securitate sau de certificare utilizate de furnizorul de servicii de
certificare supus controlului;
d) sa sigileze orice echipamente necesare furnizarii de servicii de
certificare sau sa retina orice document ce are legatura cu aceasta
activitate, pe o perioada care nu poate depasi 15 zile, daca aceasta
masura se impune;
e) sa ia orice alte asemenea masuri, in limitele legii.
(4) Personalul cu atributii de control este obligat:
a) sa nu dezvaluie datele de care a luat cunostinta cu ocazia
exercitarii atributiilor sale;
b) sa pastreze confidentialitatea surselor de informatii in legatura
cu sesizarile sau plangerile primite.
ART. 32
(1) Furnizorii de servicii de certificare au obligatia de a facilita
exercitarea atributiilor de control de catre personalul anume
imputernicit in acest sens.
(2) In cazul neindeplinirii obligatiei prevazute la alin. (1), in
afara de aplicarea sanctiunii prevazute la art. 44 lit. c), autoritatea
de reglementare si supraveghere specializata in domeniu va putea sa
suspende activitatea furnizorului pana la data la care acesta va coopera
cu personalul de control.
ART. 33
(1) Daca in urma controlului efectuat se constata nerespectarea
dispozitiilor prezentei legi si a reglementarilor emise de autoritatea
de reglementare si supraveghere specializata in domeniu, aceasta va
solicita furnizorului de servicii de certificare sa se conformeze, in
termenul pe care il va stabili, dispozitiilor legale. In acest caz,
autoritatea de reglementare si supraveghere specializata in domeniu
poate dispune suspendarea activitatii furnizorului.
(2) Neindeplinirea in termenul stabilit a obligatiei de conformare
prevazute la alin. (1) constituie motiv pentru autoritatea de
reglementare si supraveghere specializata in domeniu de a dispune
incetarea activitatii furnizorului de servicii de certificare si
radierea acestuia din Registru.
(3) In cazul in care se constata o incalcare grava a dispozitiilor
legale, autoritatea de reglementare si supraveghere specializata in
domeniu poate dispune direct si imediat incetarea activitatii
furnizorului de servicii de certificare si radierea acestuia din Registru.
ART. 34
(1) In cazul in care dispune incetarea activitatii unui furnizor de
servicii de certificare, autoritatea de reglementare si supraveghere
specializata in domeniu va asigura fie revocarea certificatelor
furnizorului de servicii de certificare si ale semnatarilor, fie
preluarea activitatii sau cel putin a registrului electronic de evidenta
a certificatelor eliberate si a serviciului de revocare a acestora de
catre un alt furnizor de servicii de certificare, cu acordul acestuia.
(2) Semnatarii vor fi informati imediat de autoritatea de
reglementare si supraveghere specializata in domeniu despre incetarea
activitatii furnizorului, precum si despre revocarea certificatelor sau
preluarea acestora de catre un alt furnizor.
(3) Daca activitatea furnizorului de servicii de certificare nu este
preluata de catre un alt furnizor, furnizorul de servicii de certificare
este obligat sa asigure revocarea tuturor certificatelor eliberate de
el. Autoritatea de reglementare si supraveghere specializata in domeniu
va revoca certificatele, pe cheltuiala furnizorului, daca acesta nu isi
indeplineste obligatia.
(4) Autoritatea de reglementare si supraveghere specializata in
domeniu va prelua si va mentine arhivele si registrul electronic de
evidenta a certificatelor eliberate de furnizorul de servicii de
certificare a carui activitate nu a fost preluata de catre un alt furnizor.
ART. 35
(1) Radierea furnizorilor de servicii de certificare din Registru se
efectueaza pe baza comunicarii facute de catre furnizor autoritatii de
reglementare si supraveghere specializate in domeniu cu cel putin 30 de
zile inainte de data incetarii activitatii sale.
(2) Radierea se poate efectua si din oficiu de catre autoritatea de
reglementare si supraveghere specializata in domeniu, in situatia in
care aceasta constata pe orice alta cale ca furnizorul si-a incetat
activitatea.
SECTIUNEA a 3-a
Acreditarea voluntara
ART. 36
(1) In scopul asigurarii unui grad sporit de securitate a
operatiunilor si al protejarii corespunzatoare a drepturilor si
intereselor legitime ale beneficiarilor de servicii de certificare,
furnizorii de servicii de certificare care doresc sa isi desfasoare
activitatea ca furnizori acreditati pot solicita obtinerea unei
acreditari din partea autoritatii de reglementare si supraveghere
specializate in domeniu.
(2) Conditiile si procedura acordarii, suspendarii si retragerii
deciziei de acreditare, continutul acestei decizii, durata ei de
valabilitate, precum si efectele suspendarii si ale retragerii deciziei
se stabilesc de autoritatea de reglementare si supraveghere specializata
in domeniu, prin reglementari, cu respectarea principiilor
obiectivitatii, transparentei, proportionalitatii si tratamentului
nediscriminatoriu.
ART. 37
(1) Furnizorii de servicii de certificare acreditati in conditiile
prezentei legi au dreptul de a folosi o mentiune distinctiva care sa se
refere la aceasta calitate in toate activitatile pe care le desfasoara,
legate de certificarea semnaturilor.
(2) Furnizorii de servicii de certificare acreditati in conditiile
prezentei legi sunt obligati sa solicite efectuarea unei mentiuni in
acest sens in Registru.
SECTIUNEA a 4-a
Omologarea
ART. 38
(1) Conformitatea dispozitivelor securizate de creare a semnaturii
electronice cu prevederile prezentei legi se verifica de catre agentii
de omologare, persoane juridice de drept public sau de drept privat,
agreate de autoritatea de reglementare si supraveghere specializata in
domeniu, in conditiile stabilite prin reglementari emise de aceasta.
(2) In urma indeplinirii procedurii de verificare se emite
certificatul de omologare a dispozitivului securizat de creare a
semnaturii electronice. Certificatul poate fi retras in cazul in care
agentia de omologare constata ca dispozitivul securizat de creare a
semnaturii electronice nu mai indeplineste una dintre conditiile
prevazute in prezenta lege.
(3) Conditiile si procedura de agreare a agentiilor de omologare se
stabilesc prin reglementari de catre autoritatea de reglementare si
supraveghere specializata in domeniu.
(3) Conditiile si procedura de agreare a agentiilor de omologare se
stabilesc prin reglementari de catre autoritatea de reglementare si
supraveghere specializata in domeniu.
ART. 39
(1) Autoritatea de reglementare si supraveghere specializata in
domeniu vegheaza la respectarea, de catre agentiile de omologare, a
prevederilor prezentei legi, a reglementarilor emise, precum si a
dispozitiilor cuprinse in decizia de agreare.
(2) Prevederile art. 31-32 se aplica in mod corespunzator
controlului exercitat de autoritatea de reglementare si supraveghere
specializata in domeniu asupra activitatii agentiilor de omologare.
CAP. 5
Recunoasterea certificatelor eliberate de furnizorii de servicii de
certificare straini
ART. 40
Certificatul calificat eliberat de catre un furnizor de servicii de
certificare cu domiciliul sau cu sediul intr-un alt stat este recunoscut
ca fiind echivalent din punct de vedere al efectelor juridice cu
certificatul calificat eliberat de un furnizor de servicii de
certificare cu domiciliul sau cu sediul in Romania, daca:
a) furnizorul de servicii de certificare cu domiciliul sau sediul in
alt stat a fost acreditat in cadrul regimului de acreditare, in
conditiile prevazute de prezenta lege;
b) un furnizor de servicii de certificare acreditat, cu domiciliul
sau cu sediul in Romania, garanteaza certificatul;
c) certificatul sau furnizorul de servicii de certificare care l-a
eliberat este recunoscut prin aplicarea unui acord bilateral sau
multilateral intre Romania si alte state sau organizatii internationale,
pe baza de reciprocitate.
CAP. 6
Raspunderea furnizorilor de servicii de certificare
ART. 41
Furnizorul de servicii de certificare, care elibereaza certificate
prezentate ca fiind calificate sau care garanteaza asemenea certificate,
este raspunzator pentru prejudiciul adus oricarei persoane care isi
intemeiaza conduita pe efectele juridice ale respectivelor certificate:
a) in ceea ce priveste exactitatea, in momentul eliberarii
certificatului, a tuturor informatiilor pe care le contine;
b) in ceea ce priveste asigurarea ca, in momentul eliberarii
certificatului, semnatarul identificat in cuprinsul acestuia detinea
datele de generare a semnaturii corespunzatoare datelor de verificare a
semnaturii mentionate in respectivul certificat;
c) in ceea ce priveste asigurarea ca datele de generare a semnaturii
corespund datelor de verificare a semnaturii, in cazul in care
furnizorul de servicii de certificare le genereaza pe amandoua;
d) in ceea ce priveste suspendarea sau revocarea certificatului, in
cazurile si cu respectarea conditiilor prevazute la art. 24 alin. (1) si
(2);
e) in privinta indeplinirii tuturor obligatiilor prevazute la art.
13-17 si la art. 19-22, cu exceptia cazurilor in care furnizorul de
servicii de certificare probeaza ca, desi a depus diligenta necesara, nu
a putut impiedica producerea prejudiciului.
ART. 42
(1) Furnizorul de servicii de certificare poate sa indice in
cuprinsul unui certificat calificat restrictii ale utilizarii acestuia,
precum si limite ale valorii operatiunilor pentru care acesta poate fi
utilizat, cu conditia ca respectivele restrictii sa poata fi cunoscute
de terti.
(2) Furnizorul de servicii de certificare nu va fi raspunzator
pentru prejudiciile rezultand din utilizarea unui certificat calificat
cu incalcarea restrictiilor prevazute in cuprinsul acestuia.
CAP. 7
Obligatiile titularilor de certificate
ART. 43
Titularii de certificate sunt obligati sa solicite, de indata,
revocarea certificatelor, in cazul in care:
a) au pierdut datele de creare a semnaturii electronice;
b) au motive sa creada ca datele de creare a semnaturii electronice
au ajuns la cunostinta unui tert neautorizat;
c) informatiile esentiale cuprinse in certificat nu mai corespund
realitatii.
CAP. 8
Contraventii si sanctiuni
ART. 44
Constituie contraventie, daca, potrivit legii, nu constituie
infractiune, si se sanctioneaza cu amenda de la 5.000.000 lei la
100.000.000 lei fapta furnizorului de servicii de certificare care:
a) omite sa efectueze notificarea prevazuta la art. 13 alin. (1);
b) omite sa informeze autoritatea de reglementare si supraveghere
specializata in domeniu asupra procedurilor de securitate si de
certificare utilizate, in conditiile si cu respectarea termenelor
prevazute la art. 13;
c) nu isi indeplineste obligatia de a facilita exercitarea
atributiilor de control de catre personalul autoritatii de reglementare
si supraveghere specializate in domeniu, anume imputernicit in acest sens;
d) realizeaza transferul activitatilor legate de certificarea
semnaturilor electronice cu nerespectarea prevederilor art. 24 alin. (3).
ART. 45
Constituie contraventie, daca, potrivit legii, nu constituie
infractiune, si se sanctioneaza cu amenda de la 10.000.000 lei la
250.000.000 lei fapta furnizorului de servicii de certificare care:
a) nu furnizeaza persoanelor mentionate la art. 14 alin. (1), in
conditiile prevazute la art. 14 alin. (1) si (2), informatiile
obligatorii prevazute la art. 14 alin. (3) ori nu furnizeaza toate
aceste informatii sau furnizeaza informatii inexacte;
b) incalca obligatiile privitoare la prelucrarea datelor cu caracter
personal prevazute la art. 16;
c) omite sa efectueze inregistrarile obligatorii, potrivit legii, in
registrul electronic de evidenta a certificatelor eliberate, prevazut la
art. 17, sau le efectueaza cu nerespectarea termenului prevazut la art.
14 alin. (5), art. 23 alin. (1) sau (2) ori inregistreaza mentiuni inexacte;
d) elibereaza certificate prezentate titularilor ca fiind
calificate, care nu contin toate mentiunile obligatorii prevazute la
art. 18;
e) elibereaza certificate calificate care contin informatii
inexacte, informatii care sunt contrare legii, bunelor moravuri sau
ordinii publice, ori informatii a caror exactitate nu a fost verificata
in conditiile prevazute la art. 18 alin. (4);
f) elibereaza certificate calificate fara a verifica identitatea
solicitantului, in conditiile prevazute la art. 19;
g) omite sa ia masuri de natura sa garanteze confidentialitatea in
cursul procesului de generare a datelor de creare a semnaturilor, in
cazul in care furnizorul de servicii de certificare genereaza astfel de
date;
h) nu pastreaza toate informatiile cu privire la un certificat
calificat o perioada de minimum 5 ani de la data incetarii valabilitatii
certificatului;
i) stocheaza, reproduce sau dezvaluie tertilor datele de creare a
semnaturii electronice, cu exceptia cazului in care semnatarul solicita
aceasta, in cazul in care furnizorul elibereaza certificate calificate;
j) stocheaza certificatele calificate intr-o forma care nu respecta
conditiile prevazute la art. 20 lit. j);
k) utilizeaza dispozitive de creare a semnaturii electronice, care
nu indeplinesc conditiile prevazute la art. 4 pct. 8, in cazul in care
furnizorul de servicii de certificare elibereaza certificate calificate;
l) in cazul in care intentioneaza sa inceteze activitatile legate de
certificarea semnaturilor electronice sau in oricare dintre situatiile
prevazute la art. 24 alin. (5), cand afla ca va fi in imposibilitate de
a continua aceste activitati, nu informeaza cu cel putin 30 de zile
inainte de incetarea activitatilor autoritatea de reglementare si
supraveghere specializata in domeniu despre intentia sa, respectiv
despre existenta si natura imprejurarii care justifica imposibilitatea
de continuare a activitatilor;
m) in oricare dintre situatiile prevazute la art. 24 alin. (5), cand
se afla in imposibilitate de a continua activitatile legate de
certificarea semnaturilor electronice si nu a putut prevedea aceasta
situatie cu cel putin 30 de zile inainte ca incetarea activitatilor sa
se produca, nu a informat autoritatea de reglementare si supraveghere
specializata in domeniu in termenul prevazut la art. 24 alin. (2) despre
existenta si natura imprejurarii care justifica imposibilitatea de
continuare a activitatilor;
n) aflandu-se in unul dintre cazurile prevazute la art. 24 alin. (1)
si (2), omite sa ia masurile necesare pentru asigurarea conservarii
arhivelor sale sau pentru asigurarea prelucrarii datelor cu caracter
personal in conditiile legii;
o) nu suspenda sau nu revoca certificatele eliberate, in cazurile in
care suspendarea sau revocarea este obligatorie, sau le revoca cu
nerespectarea termenului legal;
p) continua sa desfasoare activitati legate de certificarea
semnaturilor electronice in situatia in care autoritatea de reglementare
si supraveghere specializata in domeniu a dispus suspendarea sau
incetarea activitatii furnizorului de servicii de certificare;
q) elibereaza certificate sau desfasoara alte activitati legate de
certificarea semnaturilor electronice, folosindu-se fara a avea dreptul
de calitatea de furnizor de servicii de certificare acreditat, prin
prezentarea unei mentiuni distinctive care sa se refere la aceasta
calitate sau prin orice alte mijloace;
r) omite sa solicite, in termenul prevazut la art. 29 alin. (1),
inregistrarea in Registru a datelor si informatiilor mentionate la art. 29.
ART. 46
Incalcarea de catre agentia de omologare a obligatiei de a facilita
exercitarea atributiilor de control de catre personalul autoritatii de
reglementare si supraveghere specializate in domeniu, anume imputernicit
in acest sens, constituie contraventie si se sanctionaza cu amenda de la
15.000.000 lei la 250.000.000 lei.
ART. 47
Constatarea contraventiilor si aplicarea sanctiunilor prevazute in
cadrul prezentului capitol sunt de competenta personalului cu atributii
de control din cadrul autoritatii de reglementare si supraveghere
specializate in domeniu.
ART. 48
Contraventiilor prevazute in prezentul capitol le sunt aplicabile
prevederile Legii nr. 32/1968 privind stabilirea si sanctionarea
contraventiilor.
CAP. 9
Dispozitii finale
ART. 49
(1) Nivelul tarifelor percepute de agentiile de omologare pentru
prestarea serviciilor de omologare a dispozitivelor securizate de creare
a semnaturii electronice, precum si pentru serviciile accesorii se
stabileste in mod liber, cu respectarea prevederilor Legii concurentei
nr. 21/1996.
(2) Agentiile mentionate la alin. (1) pot percepe tarife cu niveluri
diferite pentru zone geografice diferite sau pentru serviciile prestate
in regim de urgenta, pentru inscrierile on-line, potrivit propriilor
strategii comerciale, cu respectarea dispozitiilor legale.
(3) Sunt interzise agentiilor de omologare si imputernicitilor
acestora publicarea de tabele comparative privind nivelul tarifelor si
adoptarea oricaror masuri al caror scop este sa limiteze reclama privind
nivelul tarifelor incasate de alte agentii pentru serviciile prestate.
ART. 50
(1) Agentiile de omologare sunt supuse prevederilor Legii
concurentei nr. 21/1996 in ceea ce priveste stabilirea tarifelor
percepute pentru serviciile prestate, precum si in privinta actelor sau
faptelor care au sau pot avea ca efect restrangerea concurentei pe piata
serviciilor respective.
(2) Agentiile de omologare sunt, de asemenea, supuse prevederilor
Legii nr. 11/1991 privind combaterea concurentei neloiale, cu
modificarile ulterioare.
ART. 51
Cuantumul amenzilor prevazute de prezenta lege va fi actualizat prin
hotarare a Guvernului, in functie de evolutia indicelui de inflatie.
ART. 52
In termen de 3 luni de la data publicarii prezentei legi in
Monitorul Oficial al Romaniei, Partea I, autoritatea de reglementare si
supraveghere specializata in domeniu va elabora norme tehnice si
metodologice de aplicare a acesteia.
ART. 53
Prezenta lege va intra in vigoare la data publicarii ei in Monitorul
Oficial al Romaniei, Partea I, si se pune in aplicare la 3 luni de la
data intrarii in vigoare.
Aceasta lege a fost adoptata de Senat in sedinta din 26 iunie 2001,
cu respectarea prevederilor art. 74 alin. (1) din Constitutia Romaniei.
p. PRESEDINTELE SENATULUI,
DORU IOAN TARACILA
Aceasta lege a fost adoptata de Camera Deputatilor in sedinta din 28
iunie 2001, cu respectarea prevederilor art. 74 alin. (1) din
Constitutia Romaniei.
PRESEDINTELE CAMEREI DEPUTATILOR
VALER DORNEANU
|
|
|
|
Internet Domreg SRL este inscrisa in Registrul de Evidenta a Prelucrarilor de Date cu Caracter Personal sub Nr. 10665. Copyright © 2000-2020 INTERNET DOMREG SRL, All rights reserved. |
