Copierea de continut din prezentul site este supusa regulilor precizate in Termeni si conditii! Click aici.
Prin utilizarea siteului sunteti de acord, in mod implicit cu Termenii si conditiile! Orice abatere de la acestea constituie incalcarea dreptului nostru de autor si va angajeaza raspunderea!
X
LEGE nr. 455 din 18 iulie 2001 privind semnatura electronica
ART. 1 Prezenta lege stabileşte regimul juridic al semnãturii electronice şi al înscrisurilor în forma electronica, precum şi condiţiile furnizarii de servicii de certificare a semnaturilor electronice. ART. 2 Prezenta lege se completeazã cu dispoziţiile legale privind încheierea, validitatea şi efectele actelor juridice. ART. 3 Nici o dispoziţie a prezentei legi nu poate fi interpretatã în sensul limitãrii autonomiei de vointa şi a libertãţii contractuale a pãrţilor.
SECŢIUNEA a 2-a Definiţii
ART. 4 În înţelesul prezentei legi: 1. date în forma electronica sunt reprezentari ale informatiei într-o forma conventionala adecvatã creãrii, prelucrãrii, trimiterii, primirii sau stocãrii acesteia prin mijloace electronice; 2. înscris în forma electronica reprezintã o colectie de date în forma electronica între care exista relaţii logice şi functionale şi care redau litere, cifre sau orice alte caractere cu semnificatie inteligibila, destinate a fi citite prin intermediul unui program informatic sau al altui procedeu similar; 3. semnatura electronica reprezintã date în forma electronica, care sunt ataşate sau logic asociate cu alte date în forma electronica şi care servesc ca metoda de identificare; 4. semnatura electronica extinsã reprezintã acea semnatura electronica care îndeplineşte cumulativ urmãtoarele condiţii: a) este legatã în mod unic de semnatar; b) asigura identificarea semnatarului; c) este creata prin mijloace controlate exclusiv de semnatar; d) este legatã de datele în forma electronica, la care se raporteazã în asa fel încât orice modificare ulterioara a acestora este identificabila; 5. semnatar reprezintã o persoana care deţine un dispozitiv de creare a semnãturii electronice şi care actioneazp fie en nume propriu, fie ca reprezentant al unui terţ; 6. date de creare a semnãturii electronice reprezintã orice date în forma electronica cu caracter de unicitate, cum ar fi coduri sau chei criptografice private, care sunt folosite de semnatar pentru crearea unei semnãturi electronice; 7. dispozitiv de creare a semnãturii electronice reprezintã software şi/sau hardware configurate, utilizat pentru a implementa datele de creare a semnãturii electronice; 8. dispozitiv securizat de creare a semnãturii electronice reprezintã acel dispozitiv de creare a semnãturii electronice care îndeplineşte cumulativ urmãtoarele condiţii: a) datele de creare a semnãturii, utilizate pentru generarea acesteia, sa poatã aparea numai o singura data şi confidenţialitatea acestora sa poatã fi asigurata; b) datele de creare a semnãturii, utilizate pentru generarea acesteia, sa nu poatã fi deduse; c) semnatura sa fie protejata impotriva falsificãrii prin mijloacele tehnice disponibile la momentul generarii acesteia; d) datele de creare a semnãturii sa poatã fi protejate în mod efectiv de cãtre semnatar impotriva utilizãrii acestora de cãtre persoane neautorizate; e) sa nu modifice datele în forma electronica, care trebuie sa fie semnate, şi nici sa nu împiedice ca acestea sa fie prezentate semnatarului înainte de finalizarea procesului de semnare; 9. date de verificare a semnãturii electronice reprezintã date în forma electronica, cum ar fi coduri sau chei criptografice publice, care sunt utilizate în scopul verificãrii unei semnãturi electronice; 10. dispozitiv de verificare a semnãturii electronice reprezintã software şi/sau hardware configurate, utilizat pentru a implementa datele de verificare a semnãturii electronice; 11. certificat reprezintã o colectie de date în forma electronica ce atesta legatura dintre datele de verificare a semnãturii electronice şi o persoana, confirmand identitatea acelei persoane; 12. certificat calificat reprezintã un certificat care satisface condiţiile prevãzute la art. 18 şi care este eliberat de un furnizor de servicii de certificare ce satisface condiţiile prevãzute la art. 20; 13. furnizor de servicii de certificare reprezintã orice persoana, romana sau strãinã, care elibereazã certificate sau care presteazã alte servicii legate de semnatura electronica; 14. furnizor de servicii de certificare calificatã este acel furnizor de servicii de certificare care elibereazã certificate calificate; 15. produs asociat semnãturii electronice reprezintã software sau hardware, destinat a fi utilizat de un furnizor de servicii de certificare pentru prestarea serviciilor legate de semnatura electronica sau destinat a fi utilizat pentru crearea ori verificarea semnãturii electronice.
CAP. 2 Regimul juridic al înscrisurilor în forma electronica
ART. 5 Înscrisul în forma electronica, cãruia i s-a incorporat, atasat sau i s-a asociat logic o semnatura electronica extinsã, bazatã pe un certificat calificat nesuspendat sau nerevocat la momentul respectiv şi generata cu ajutorul unui dispozitiv securizat de creare a semnãturii electronice, este asimilat, în ceea ce priveşte condiţiile şi efectele sale, cu înscrisul sub semnatura privatã. ART. 6 Înscrisul în forma electronica, cãruia i s-a incorporat, atasat sau i s-a asociat logic o semnatura electronica, recunoscut de cãtre cel cãruia i se opune, are acelaşi efect ca actul autentic între cei care l-au subscris şi între cei care le reprezintã drepturile. ART. 7 În cazurile în care, potrivit legii, forma scrisã este cerutã ca o condiţie de proba sau de validitate a unui act juridic, un înscris în forma electronica îndeplineşte aceasta cerinta dacã i s-a incorporat, atasat sau i s-a asociat logic o semnatura electronica extinsã, bazatã pe un certificat calificat şi generata prin intermediul unui dispozitiv securizat de creare a semnãturii. ART. 8 (1) În cazul în care una dintre pãrţi nu recunoaşte înscrisul sau semnatura, instanta va dispune întotdeauna ca verificarea sa se facã prin expertiza tehnica de specialitate. (2) În acest scop, expertul sau specialistul este dator sa solicite certificate calificate, precum şi orice alte documente necesare, potrivit legii, pentru identificarea autorului înscrisului, a semnatarului ori a titularului de certificat. ART. 9 (1) Partea care invoca înaintea instanţei o semnatura electronica extinsã trebuie sa probeze ca aceasta îndeplineşte condiţiile prevãzute la art. 4 pct. 4. (2) Semnatura electronica extinsã, bazatã pe un certificat calificat eliberat de un furnizor de servicii de certificare acreditat, este prezumatã a îndeplini condiţiile prevãzute la art. 4 pct. 4. ART. 10 (1) Partea care invoca înaintea instanţei un certificat calificat trebuie sa probeze ca furnizorul de servicii de certificare care a eliberat respectivul certificat îndeplineşte condiţiile prevãzute la art. 20. (2) Furnizorul de servicii de certificare acreditat este prezumat a îndeplini condiţiile prevãzute la art. 20. ART. 11 (1) Partea care invoca înaintea instanţei un mecanism securizat de creare a semnãturii trebuie sa probeze ca acesta îndeplineşte condiţiile prevãzute la art. 4 pct. 8. (2) Dispozitivul securizat de generare a semnãturii, omologat în sensul prezentei legi, este prezumat a îndeplini condiţiile prevãzute la art. 4 pct. 8.
CAP. 3 Furnizarea serviciilor de certificare
SECŢIUNEA 1 Dispoziţii comune
ART. 12 (1) Furnizarea serviciilor de certificare nu este supusã nici unei autorizari prealabile şi se desfãşoarã în concordanta cu principiile concurentei libere şi loiale, cu respectarea actelor normative în vigoare. (2) Furnizarea serviciilor de certificare de cãtre furnizorii stabiliţi în statele membre ale Uniunii Europene se face în condiţiile prevãzute în Acordul european instituind o asociere între România, pe de o parte, Comunitatile Europene şi statele membre ale acestora, pe de alta parte. ART. 13 (1) Cu 30 de zile înainte de începerea activitãţilor legate de certificarea semnaturilor electronice persoanele care intenţioneazã sa furnizeze servicii de certificare au obligaţia de a notifica autoritatea de reglementare şi supraveghere specializatã în domeniu cu privire la data începerii acestor activitãţi. (2) O data cu efectuarea notificãrii prevãzute la alin. (1) furnizorii de servicii de certificare au obligaţia de a comunica autoritãţii de reglementare şi supraveghere specializate în domeniu toate informaţiile referitoare la procedurile de securitate şi de certificare utilizate, precum şi orice alte informaţii cerute de autoritatea de reglementare şi supraveghere specializatã în domeniu. (3) Furnizorii de servicii de certificare au obligaţia de a comunica autoritãţii de reglementare şi supraveghere specializate în domeniu, cu cel puţin 10 zile înainte, orice intenţie de modificare a procedurilor de securitate şi de certificare, cu precizarea datei şi orei la care modificarea intra în vigoare, precum şi obligaţia de a confirma în termen de 24 de ore modificarea efectuatã. (4) În cazurile de urgenta, în care securitatea serviciilor de certificare este afectatã, furnizorii pot efectua modificãri ale procedurilor de securitate şi de certificare, urmând sa comunice, în termen de 24 de ore, autoritãţii de reglementare şi supraveghere specializate în domeniu modificãrile efectuate şi justificarea deciziei luate. (5) Furnizorii de servicii de certificare sunt obligaţi sa respecte, pe parcursul desfãşurãrii activitãţii, procedurile de securitate şi de certificare declarate, potrivit alin. (2), (3) şi (4). ART. 14 (1) Furnizorul de servicii de certificare va asigura accesul la toate informaţiile necesare utilizãrii corecte şi în condiţii de siguranta a serviciilor sale. Informaţiile respective vor fi furnizate anterior naşterii oricãrui raport contractual cu persoana care solicita un certificat sau, dupã caz, la cererea unui terţ care se prevaleazã de un asemenea certificat. (2) Informaţiile prevãzute la alin. (1) vor fi formulate în scris, într-un limbaj accesibil, şi vor fi transmise prin mijloace electronice, în condiţii care sa permitã stocarea şi reproducerea lor. (3) Informaţiile prevãzute la alin. (1) vor face referire cel puţin la: a) procedura ce trebuie urmatã în scopul creãrii şi verificãrii semnãturii electronice; b) tarifele percepute; c) modalitãţile şi condiţiile concrete de utilizare a certificatelor, inclusiv limitele impuse utilizãrii acestora, cu condiţia ca aceste limite sa poatã fi cunoscute de terţi; d) obligaţiile care incumba, potrivit prezentei legi, titularului certificatului şi furnizorului de servicii de certificare; e) existenta unei acreditari, dacã este cazul; f) condiţiile contractuale de eliberare a certificatului, inclusiv eventualele limitãri ale rãspunderii furnizorului de servicii de certificare; g) cãile de soluţionare a litigiilor; h) orice alte informaţii stabilite de autoritatea de reglementare şi supraveghere specializatã în domeniu. (4) Furnizorul de servicii de certificare va transmite solicitantului un exemplar al certificatului. (5) Din momentul acceptãrii certificatului de cãtre solicitant, furnizorul de servicii de certificare va înscrie certificatul în registrul prevãzut la art. 17. ART. 15 (1) Persoanele fizice care presteazã, conform legii, în nume propriu servicii de certificare, precum şi personalul angajat al furnizorului de servicii de certificare, persoana fizica sau juridicã, sunt obligate sa pãstreze secretul informaţiilor încredinţate în cadrul activitãţii lor profesionale, cu excepţia celor în legatura cu care titularul certificatului accepta sa fie publicate sau comunicate terţilor. (2) Încãlcarea obligaţiei prevãzute la alin. (1) constituie infracţiune de divulgare a secretului profesional, prevãzutã şi sancţionatã de art. 196 din Codul penal. (3) Nu constituie divulgare a secretului profesional comunicarea de informaţii cãtre o autoritate publica, atunci când aceasta acţioneazã în exercitarea şi în limitele competentelor sale legale. (4) Obligaţia prevãzutã la alin. (1) incumba şi personalului autoritãţii de reglementare şi supraveghere specializate în domeniu, precum şi persoanelor împuternicite de aceasta. ART. 16 (1) Autoritatea de reglementare şi supraveghere specializatã în domeniu şi furnizorii de servicii de certificare au obligaţia sa respecte dispoziţiile legale privitoare la prelucrarea datelor cu caracter personal. (2) Furnizorii de servicii de certificare nu pot colecta date cu caracter personal decât de la persoana care solicita un certificat sau, cu consimţãmântul expres al acesteia, de la terţi. Colectarea se face doar în mãsura în care aceste informaţii sunt necesare în vederea eliberãrii şi conservãrii certificatului. Datele pot fi colectate şi utilizate în alte scopuri doar cu consimţãmântul expres al persoanei care solicita certificatul. (3) Atunci când se utilizeazã un pseudonim, identitatea realã a titularului nu poate fi divulgatã de cãtre furnizorul de servicii de certificare decât cu consimţãmântul titularului sau în cazurile prevãzute la art. 15 alin. (3). ART. 17 (1) Furnizorii de servicii de certificare au obligaţia de a crea şi de a menţine un registru electronic de evidenta a certificatelor eliberate. (2) Registrul electronic de evidenta a certificatelor eliberate trebuie sa facã menţiune despre: a) data şi ora exactã la care certificatul a fost eliberat; b) data şi ora exactã la care expira certificatul; c) dacã este cazul, data şi ora exactã la care certificatul a fost suspendat sau revocat, inclusiv cauzele care au condus la suspendare sau la revocare. (3) Registrul electronic de evidenta a certificatelor eliberate trebuie sa fie disponibil permanent pentru consultare, inclusiv în regim on-line.
SECŢIUNEA a 2-a Furnizarea serviciilor de certificare calificatã
ART. 18 (1) Certificatul calificat va cuprinde urmãtoarele menţiuni: a) indicarea faptului ca certificatul a fost eliberat cu titlu de certificat calificat; b) datele de identificare a furnizorului de servicii de certificare, precum şi cetãţenia acestuia, în cazul persoanelor fizice, respectiv naţionalitatea acestuia, în cazul persoanelor juridice; c) numele semnatarului sau pseudonimul acestuia, identificat ca atare, precum şi alte atribute specifice ale semnatarului, dacã sunt relevante, în funcţie de scopul pentru care este eliberat certificatul calificat; d) codul personal de identificare a semnatarului; e) datele de verificare a semnãturii, care corespund datelor de creare a semnãturii aflate sub controlul exclusiv al semnatarului; f) indicarea inceputului şi sfarsitului perioadei de valabilitate a certificatului calificat; g) codul de identificare a certificatului calificat; h) semnatura electronica extinsã a furnizorului de servicii de certificare care elibereazã certificatul calificat; i) dacã este cazul, limitele utilizãrii certificatului calificat sau limitele valorice ale operaţiunilor pentru care acesta poate fi utilizat; j) orice alte informaţii stabilite de autoritatea de reglementare şi supraveghere specializatã în domeniu. (2) Fiecãrui semnatar i se va atribui de cãtre furnizorul de servicii de certificare un cod personal care sa asigure identificarea unica a semnatarului. (3) Generarea codului personal de identificare şi a codului de identificare a certificatului calificat se va face pe baza reglementãrilor stabilite de autoritatea de reglementare şi supraveghere specializatã în domeniu. (4) La solicitarea titularului furnizorul de servicii de certificare va putea înscrie în certificatul calificat şi alte informaţii decât cele menţionate la alin. (1), cu condiţia ca acestea sa nu fie contrare legii, bunelor moravuri sau ordinii publice, şi numai dupã o prealabilã verificare a exactitatii acestor informaţii. (5) Certificatul calificat va indica în mod expres faptul ca este utilizat un pseudonim, atunci când titularul se identifica printr-un pseudonim. ART. 19 (1) La eliberarea certificatelor calificate furnizorii de servicii de certificare au obligaţia de a verifica identitatea solicitanţilor exclusiv pe baza actelor de identitate. (2) La eliberarea fiecãrui certificat calificat furnizorii au obligaţia sa emita doua copii de pe acesta, pe suport de hârtie, dintre care un exemplar este pus la dispoziţie titularului, iar celãlalt este pãstrat de cãtre furnizori o perioada de 10 ani. ART. 20 În vederea emiterii certificatelor calificate furnizorii de servicii de certificare trebuie sa îndeplineascã urmãtoarele condiţii: a) sa dispunã de mijloace financiare şi de resurse materiale, tehnice şi umane corespunzãtoare pentru garantarea securitãţii, fiabilitatii şi continuitãţii serviciilor de certificare oferite; b) sa asigure operarea rapida şi sigura a înregistrãrii informaţiilor prevãzute la art. 17, în special operarea rapida şi sigura a unui serviciu de suspendare şi revocare a certificatelor calificate; c) sa asigure posibilitatea de a se determina cu precizie data şi ora exactã a eliberãrii, a suspendãrii sau a revocãrii unui certificat calificat; d) sa verifice, cu mijloace corespunzãtoare şi conforme dispoziţiilor legale, identitatea şi, dacã este cazul, atributele specifice ale persoanei cãreia îi este eliberat certificatul calificat; e) sa foloseascã personal cu cunoştinţe de specialitate, experienta şi calificare, necesare pentru furnizarea serviciilor respective, şi, în special, competenta în domeniul gestiunii, cunoştinţe de specialitate în domeniul tehnologiei semnãturii electronice şi o practica suficienta în ceea ce priveşte procedurile de securitate corespunzãtoare; de asemenea, sa aplice procedurile administrative şi de gestiune adecvate şi care corespund standardelor recunoscute; f) sa utilizeze produse asociate semnãturii electronice, cu un înalt grad de fiabilitate, care sunt protejate impotriva modificãrilor şi care asigura securitatea tehnica şi criptografica a desfãşurãrii activitãţilor de certificare a semnãturii electronice; g) sa adopte mãsuri impotriva falsificãrii certificatelor şi sa garanteze confidenţialitatea în cursul procesului de generare a datelor de creare a semnaturilor, în cazul în care furnizorii de servicii de certificare genereazã astfel de date; h) sa pãstreze toate informaţiile cu privire la un certificat calificat pentru o perioada de minimum 10 ani de la data încetãrii valabilitãţii certificatului, în special pentru a putea face dovada certificãrii în cadrul unui eventual litigiu; i) sa nu stocheze, sa nu reproduca şi sa nu dezvaluie terţilor datele de creare a semnãturii, cu excepţia cazului în care semnatarul solicita aceasta; j) sa utilizeze sisteme fiabile pentru stocarea certificatelor calificate, astfel încât: numai persoanele autorizate sa poatã introduce şi modifica informaţiile din certificate; exactitatea informatiei sa poatã fi verificata; certificatele sa poatã fi consultate de terţi doar în cazul în care exista acordul titularului acestora; orice modificare tehnica, care ar putea pune în pericol aceste condiţii de securitate, sa poatã fi identificata de persoanele autorizate; k) orice alte condiţii stabilite de autoritatea de reglementare şi supraveghere specializatã în domeniu. ART. 21 Furnizorii de servicii de certificare calificatã sunt obligaţi sa foloseascã numai dispozitive securizate de creare a semnãturii electronice. ART. 22 (1) Furnizorul de servicii de certificare calificatã trebuie sa dispunã de resurse financiare pentru acoperirea prejudiciilor pe care le-ar putea cauza cu prilejul desfãşurãrii activitãţilor legate de certificarea semnaturilor electronice. (2) Asigurarea se realizeazã fie prin subscrierea unei poliţe de asigurare la o societate de asigurãri, fie prin intermediul unei scrisori de garanţie din partea unei instituţii financiare de specialitate, fie printr-o alta modalitate stabilitã prin decizie a autoritãţii de reglementare şi supraveghere specializate în domeniu. (3) Suma asigurata şi suma acoperitã prin scrisoarea de garanţie sunt stabilite de autoritatea de reglementare şi supraveghere specializatã în domeniu.
SECŢIUNEA a 3-a Suspendarea şi încetarea valabilitasii certificatelor
ART. 23 (1) Orice furnizor de servicii de certificare are obligaţia de a suspenda certificatul în termen de 24 de ore din momentul în care a luat cunostinta sau trebuia şi putea sa ia cunostinta despre apariţia oricãruia dintre urmãtoarele cazuri: a) la cererea semnatarului, dupã o prealabilã verificare a identitãţii acestuia; b) în cazul în care o hotãrâre judecãtoreascã dispune suspendarea; c) în cazul în care informaţiile conţinute în certificat nu mai corespund realitãţii, dacã nu se impune revocarea certificatului; d) în orice alte situaţii care constituie cazuri de suspendare a certificatelor eliberate, potrivit procedurilor de securitate şi de certificare declarate de furnizor în baza art. 13. (2) Orice furnizor de servicii de certificare are obligaţia de a revoca certificatul în termen de 24 de ore din momentul în care a luat cunostinta sau trebuia şi putea sa ia cunostinta despre apariţia oricãruia dintre urmãtoarele cazuri: a) la cererea semnatarului, dupã o prealabilã verificare a identitãţii acestuia; b) la decesul sau punerea sub interdicţie a semnatarului; c) în cazul în care o hotãrâre judecãtoreascã irevocabilã dispune revocarea; d) dacã se dovedeşte în mod neîndoielnic ca certificatul a fost emis în baza unor informaţii eronate sau false; e) în cazul în care informaţiile esenţiale conţinute în certificat nu mai corespund realitãţii; f) atunci când confidenţialitatea datelor de creare a semnãturii a fost incalcata; g) în cazul în care certificatul a fost utilizat în mod fraudulos; h) în orice alte situaţii care constituie cazuri de revocare a certificatelor eliberate, potrivit procedurilor de securitate şi de certificare declarate de furnizor în baza art. 13. (3) Furnizorul de servicii de certificare îl va informa de urgenta pe titular despre suspendarea sau revocarea certificatului, împreunã cu motivele care au stat la baza deciziei sale. (4) Furnizorul de servicii de certificare va înscrie menţiunea de suspendare sau de revocare a certificatului în registrul electronic de evidenta a certificatelor eliberate prevãzut la art. 17, în termen de 24 de ore din momentul în care a luat cunostinta sau trebuia şi putea sa ia cunostinta despre adoptarea deciziei respective. (5) Suspendarea sau revocarea va deveni opozabilã terţilor de la data înscrierii sale în registrul electronic de evidenta a certificatelor. ART. 24 (1) În cazul în care furnizorul de servicii de certificare intenţioneazã sa înceteze activitãţile legate de certificarea semnaturilor electronice sau afla ca va fi în imposibilitate de a continua aceste activitãţi, el va informa, cu cel puţin 30 de zile înainte de încetare, autoritatea de reglementare şi supraveghere specializatã în domeniu despre intenţia sa, respectiv despre existenta şi natura împrejurãrii care justifica imposibilitatea de continuare a activitãţilor. (2) Furnizorului de servicii de certificare îi revine obligaţia ca, în situaţia în care se afla în imposibilitate de a continua activitãţile legate de certificarea semnaturilor electronice şi nu a putut prevedea aceasta situaţie cu cel puţin 30 de zile înainte ca încetarea activitãţilor sa se producã, sa informeze autoritatea de reglementare şi supraveghere specializatã în domeniu, în termen de 24 de ore din momentul în care a luat cunostinta sau trebuia şi putea sa ia cunostinta despre imposibilitatea continuãrii activitãţilor. Informarea trebuie sa se refere la existenta şi natura împrejurãrii care justifica imposibilitatea de continuare a activitãţilor. (3) Furnizorul de servicii de certificare poate transfera, în tot sau în parte, activitãţile sale unui alt furnizor de servicii de certificare. Transferul va opera potrivit urmãtoarelor condiţii: a) furnizorul de servicii de certificare va înştiinţa fiecare titular de certificate neexpirate, cu cel puţin 30 de zile înainte, despre intenţia sa de transferare a activitãţilor legate de certificarea semnaturilor electronice cãtre un alt furnizor de servicii de certificare; b) furnizorul de servicii de certificare va mentiona identitatea furnizorului de servicii de certificare cãruia intenţioneazã sa îi transfere activitãţile sale; c) furnizorul de servicii de certificare va face cunoscute fiecãrui titular de certificat posibilitatea de a refuza acest transfer, precum şi termenul şi condiţiile în care refuzul poate fi exercitat; în lipsa unei acceptãri exprese a titularului, în termenul precizat de furnizorul de servicii de certificare, certificatul va fi revocat de cãtre acesta din urma. (4) Furnizorul de servicii de certificare, aflat în unul dintre cazurile prevãzute la alin. (1) şi (2), ale cãrui activitãţi nu sunt preluate de un alt furnizor de servicii de certificare, va revoca certificatele în termen de 30 de zile de la data înştiinţãrii titularilor de certificate şi va lua mãsurile necesare pentru asigurarea conservãrii arhivelor sale, precum şi pentru asigurarea prelucrãrii datelor personale, în condiţiile legii. (5) Sunt considerate cazuri de imposibilitate de continuare a activitãţilor legate de certificarea semnaturilor electronice, în înţelesul prezentului articol, dizolvarea sau lichidarea, voluntara ori judiciarã, falimentul, precum şi orice alta cauza de încetare a activitãţii, cu excepţia aplicãrii sancţiunilor prevãzute la art. 33 alin. (2) şi (3).
CAP. 4 Monitorizare şi control
SECŢIUNEA 1 Autoritatea de reglementare şi supraveghere
ART. 25 Responsabilitatea aplicãrii dispoziţiilor prezentei legi şi a reglementãrilor legate de aceasta revine autoritãţii de reglementare şi supraveghere specializate în domeniu. ART. 26 (1) În termen de cel mult 18 luni de la data publicãrii legii în Monitorul Oficial al României, Partea I, se va infiinta autoritatea publica specializatã, cu atribuţii de reglementare şi de supraveghere în domeniu, în sensul prezentei legi. (2) Pana la înfiinţarea autoritãţii menţionate la alin. (1) atribuţiile acesteia, în sensul prezentei legi, revin Ministerului Comunicaţiilor şi Tehnologiei Informatiei. ART. 27 Ministerul Comunicaţiilor şi Tehnologiei Informatiei poate delega, în tot sau în parte, atribuţiile sale de supraveghere, în sensul prezentei legi, unei alte autoritãţi publice aflate în coordonare. ART. 28 (1) La data intrãrii în vigoare a prezentei legi se înfiinţeazã Registrul furnizorilor de servicii de certificare, denumit în continuare Registru, care se constituie şi se actualizeazã de cãtre autoritatea de reglementare şi supraveghere specializatã în domeniu. De la data infiintarii autoritãţii publice specializate prevãzute la art. 26 Registrul va fi preluat şi actualizat de aceasta autoritate. (2) Registrul constituie evidenta oficialã: a) a furnizorilor de servicii de certificare care au sediul în România; b) a furnizorilor de servicii de certificare cu sediul sau domiciliul în alt stat, ale cãror certificate calificate sunt recunoscute conform art. 40. (3) Registrul are rolul de a asigura, prin efectuarea înregistrãrilor prevãzute de prezenta lege, stocarea datelor de identificare şi a unor informaţii legate de activitatea furnizorilor de servicii de certificare, precum şi informarea publicului cu privire la datele şi informaţiile stocate. (4) Conţinutul şi structura Registrului se stabilesc, prin reglementãri, de cãtre autoritatea de reglementare şi supraveghere specializatã în domeniu. ART. 29 (1) Înregistrarea în Registrul prevãzut la art. 28 a datelor de identificare şi a informaţiilor necesare cu privire la activitatea furnizorilor de servicii de certificare mentionati la art. 28 alin. (2) se efectueazã pe baza de cerere individualã, care trebuie introdusã la autoritatea de reglementare şi supraveghere specializatã în domeniu, cel mai târziu la data începerii activitãţii furnizorului. (2) Conţinutul obligatoriu al cererii prevãzute la alin. (1) şi documentaţia necesarã se stabilesc prin reglementãri de cãtre autoritatea de reglementare şi supraveghere specializatã în domeniu. ART. 30 (1) Registrul este public şi se actualizeazã permanent. (2) Condiţiile ţinerii Registrului, accesul efectiv la informaţiile pe care le conţine, informaţiile care pot fi oferite solicitanţilor şi modul de actualizare a acestuia se stabilesc prin normele tehnice şi metodologice emise de autoritatea de reglementare şi supraveghere specializatã în domeniu.
SECŢIUNEA a 2-a Supravegherea activitãţii furnizorilor de servicii de certificare
ART. 31 (1) Autoritatea de reglementare şi supraveghere specializatã în domeniu va putea, din oficiu sau la solicitarea oricãrei persoane interesate, sa verifice sau sa dispunã verificarea conformitatii activitãţilor unui furnizor de servicii de certificare cu dispoziţiile prezentei legi sau cu reglementãri emise de cãtre autoritatea de reglementare şi supraveghere specializatã în domeniu. (2) Atribuţiile de control ce revin autoritãţii de reglementare şi supraveghere specializate în domeniu, potrivit alin. (1), sunt exercitate de personalul anume împuternicit în acest sens. (3) În vederea exercitãrii controlului, personalul cu atribuţii de control este autorizat: a) sa aibã acces liber, permanent, în orice loc în care se afla echipamentele necesare furnizarii de servicii de certificare, în condiţiile legii; b) sa solicite orice document sau informaţie necesarã în vederea realizãrii controlului; c) sa verifice punerea în aplicare a oricãror proceduri de securitate sau de certificare utilizate de furnizorul de servicii de certificare supus controlului; d) sa sigileze orice echipamente necesare furnizarii de servicii de certificare sau sa retina orice document ce are legatura cu aceasta activitate, pe o perioada care nu poate depãşi 15 zile, dacã aceasta mãsura se impune; e) sa ia orice alte asemenea mãsuri, în limitele legii. (4) Personalul cu atribuţii de control este obligat: a) sa nu dezvaluie datele de care a luat cunostinta cu ocazia exercitãrii atribuţiilor sale; b) sa pãstreze confidenţialitatea surselor de informaţii în legatura cu sesizãrile sau plângerile primite. ART. 32 (1) Furnizorii de servicii de certificare au obligaţia de a facilita exercitarea atribuţiilor de control de cãtre personalul anume împuternicit în acest sens. (2) În cazul neîndeplinirii obligaţiei prevãzute la alin. (1), în afarã de aplicarea sancţiunii prevãzute la art. 44 lit. c), autoritatea de reglementare şi supraveghere specializatã în domeniu va putea sa suspende activitatea furnizorului pana la data la care acesta va coopera cu personalul de control. ART. 33 (1) Dacã în urma controlului efectuat se constata nerespectarea dispoziţiilor prezentei legi şi a reglementãrilor emise de autoritatea de reglementare şi supraveghere specializatã în domeniu, aceasta va solicita furnizorului de servicii de certificare sa se conformeze, în termenul pe care îl va stabili, dispoziţiilor legale. În acest caz, autoritatea de reglementare şi supraveghere specializatã în domeniu poate dispune suspendarea activitãţii furnizorului. (2) Neîndeplinirea în termenul stabilit a obligaţiei de conformare prevãzute la alin. (1) constituie motiv pentru autoritatea de reglementare şi supraveghere specializatã în domeniu de a dispune încetarea activitãţii furnizorului de servicii de certificare şi radierea acestuia din Registru. (3) În cazul în care se constata o încãlcare grava a dispoziţiilor legale, autoritatea de reglementare şi supraveghere specializatã în domeniu poate dispune direct şi imediat încetarea activitãţii furnizorului de servicii de certificare şi radierea acestuia din Registru. ART. 34 (1) În cazul în care dispune încetarea activitãţii unui furnizor de servicii de certificare, autoritatea de reglementare şi supraveghere specializatã în domeniu va asigura fie revocarea certificatelor furnizorului de servicii de certificare şi ale semnatarilor, fie preluarea activitãţii sau cel puţin a registrului electronic de evidenta a certificatelor eliberate şi a serviciului de revocare a acestora de cãtre un alt furnizor de servicii de certificare, cu acordul acestuia. (2) Semnatarii vor fi informati imediat de autoritatea de reglementare şi supraveghere specializatã în domeniu despre încetarea activitãţii furnizorului, precum şi despre revocarea certificatelor sau preluarea acestora de cãtre un alt furnizor. (3) Dacã activitatea furnizorului de servicii de certificare nu este preluatã de cãtre un alt furnizor, furnizorul de servicii de certificare este obligat sa asigure revocarea tuturor certificatelor eliberate de el. Autoritatea de reglementare şi supraveghere specializatã în domeniu va revoca certificatele, pe cheltuiala furnizorului, dacã acesta nu îşi îndeplineşte obligaţia. (4) Autoritatea de reglementare şi supraveghere specializatã în domeniu va prelua şi va menţine arhivele şi registrul electronic de evidenta a certificatelor eliberate de furnizorul de servicii de certificare a cãrui activitate nu a fost preluatã de cãtre un alt furnizor. ART. 35 (1) Radierea furnizorilor de servicii de certificare din Registru se efectueazã pe baza comunicãrii fãcute de cãtre furnizor autoritãţii de reglementare şi supraveghere specializate în domeniu cu cel puţin 30 de zile înainte de data încetãrii activitãţii sale. (2) Radierea se poate efectua şi din oficiu de cãtre autoritatea de reglementare şi supraveghere specializatã în domeniu, în situaţia în care aceasta constata pe orice alta cale ca furnizorul şi-a încetat activitatea.
SECŢIUNEA a 3-a Acreditarea voluntara
ART. 36 (1) În scopul asigurãrii unui grad sporit de securitate a operaţiunilor şi al protejãrii corespunzãtoare a drepturilor şi intereselor legitime ale beneficiarilor de servicii de certificare, furnizorii de servicii de certificare care doresc sa îşi desfãşoare activitatea ca furnizori acreditaţi pot solicita obţinerea unei acreditari din partea autoritãţii de reglementare şi supraveghere specializate în domeniu. (2) Condiţiile şi procedura acordãrii, suspendãrii şi retragerii deciziei de acreditare, conţinutul acestei decizii, durata ei de valabilitate, precum şi efectele suspendãrii şi ale retragerii deciziei se stabilesc de autoritatea de reglementare şi supraveghere specializatã în domeniu, prin reglementãri, cu respectarea principiilor obiectivitatii, transparenţei, proportionalitatii şi tratamentului nediscriminatoriu. ART. 37 (1) Furnizorii de servicii de certificare acreditaţi în condiţiile prezentei legi au dreptul de a folosi o menţiune distinctiva care sa se refere la aceasta calitate în toate activitãţile pe care le desfãşoarã, legate de certificarea semnaturilor. (2) Furnizorii de servicii de certificare acreditaţi în condiţiile prezentei legi sunt obligaţi sa solicite efectuarea unei menţiuni în acest sens în Registru.
SECŢIUNEA a 4-a Omologarea
ART. 38 (1) Conformitatea dispozitivelor securizate de creare a semnãturii electronice cu prevederile prezentei legi se verifica de cãtre agenţii de omologare, persoane juridice de drept public sau de drept privat, agreate de autoritatea de reglementare şi supraveghere specializatã în domeniu, în condiţiile stabilite prin reglementãri emise de aceasta. (2) În urma îndeplinirii procedurii de verificare se emite certificatul de omologare a dispozitivului securizat de creare a semnãturii electronice. Certificatul poate fi retras în cazul în care agenţia de omologare constata ca dispozitivul securizat de creare a semnãturii electronice nu mai îndeplineşte una dintre condiţiile prevãzute în prezenta lege. (3) Condiţiile şi procedura de agreare a agentiilor de omologare se stabilesc prin reglementãri de cãtre autoritatea de reglementare şi supraveghere specializatã în domeniu. (3) Condiţiile şi procedura de agreare a agentiilor de omologare se stabilesc prin reglementãri de cãtre autoritatea de reglementare şi supraveghere specializatã în domeniu. ART. 39 (1) Autoritatea de reglementare şi supraveghere specializatã în domeniu vegheazã la respectarea, de cãtre agenţiile de omologare, a prevederilor prezentei legi, a reglementãrilor emise, precum şi a dispoziţiilor cuprinse în decizia de agreare. (2) Prevederile art. 31-32 se aplica în mod corespunzãtor controlului exercitat de autoritatea de reglementare şi supraveghere specializatã în domeniu asupra activitãţii agentiilor de omologare.
CAP. 5 Recunoaşterea certificatelor eliberate de furnizorii de servicii de certificare strãini
ART. 40 Certificatul calificat eliberat de cãtre un furnizor de servicii de certificare cu domiciliul sau cu sediul într-un alt stat este recunoscut ca fiind echivalent din punct de vedere al efectelor juridice cu certificatul calificat eliberat de un furnizor de servicii de certificare cu domiciliul sau cu sediul în România, dacã: a) furnizorul de servicii de certificare cu domiciliul sau sediul în alt stat a fost acreditat în cadrul regimului de acreditare, în condiţiile prevãzute de prezenta lege; b) un furnizor de servicii de certificare acreditat, cu domiciliul sau cu sediul în România, garanteazã certificatul; c) certificatul sau furnizorul de servicii de certificare care l-a eliberat este recunoscut prin aplicarea unui acord bilateral sau multilateral între România şi alte state sau organizaţii internaţionale, pe baza de reciprocitate.
CAP. 6 Rãspunderea furnizorilor de servicii de certificare
ART. 41 Furnizorul de servicii de certificare, care elibereazã certificate prezentate ca fiind calificate sau care garanteazã asemenea certificate, este rãspunzãtor pentru prejudiciul adus oricãrei persoane care îşi întemeiazã conduita pe efectele juridice ale respectivelor certificate: a) în ceea ce priveşte exactitatea, în momentul eliberãrii certificatului, a tuturor informaţiilor pe care le conţine; b) în ceea ce priveşte asigurarea ca, în momentul eliberãrii certificatului, semnatarul identificat în cuprinsul acestuia detinea datele de generare a semnãturii corespunzãtoare datelor de verificare a semnãturii menţionate în respectivul certificat; c) în ceea ce priveşte asigurarea ca datele de generare a semnãturii corespund datelor de verificare a semnãturii, în cazul în care furnizorul de servicii de certificare le genereazã pe amândouã; d) în ceea ce priveşte suspendarea sau revocarea certificatului, în cazurile şi cu respectarea condiţiilor prevãzute la art. 24 alin. (1) şi (2); e) în privinta îndeplinirii tuturor obligaţiilor prevãzute la art. 13-17 şi la art. 19-22, cu excepţia cazurilor în care furnizorul de servicii de certificare probeazã ca, deşi a depus diligenta necesarã, nu a putut impiedica producerea prejudiciului. ART. 42 (1) Furnizorul de servicii de certificare poate sa indice în cuprinsul unui certificat calificat restrictii ale utilizãrii acestuia, precum şi limite ale valorii operaţiunilor pentru care acesta poate fi utilizat, cu condiţia ca respectivele restrictii sa poatã fi cunoscute de terţi. (2) Furnizorul de servicii de certificare nu va fi rãspunzãtor pentru prejudiciile rezultând din utilizarea unui certificat calificat cu încãlcarea restrictiilor prevãzute în cuprinsul acestuia.
CAP. 7 Obligaţiile titularilor de certificate
ART. 43 Titularii de certificate sunt obligaţi sa solicite, de îndatã, revocarea certificatelor, în cazul în care: a) au pierdut datele de creare a semnãturii electronice; b) au motive sa creadã ca datele de creare a semnãturii electronice au ajuns la cunostinta unui terţ neautorizat; c) informaţiile esenţiale cuprinse în certificat nu mai corespund realitãţii.
CAP. 8 Contravenţii şi sancţiuni
ART. 44 Constituie contravenţie, dacã, potrivit legii, nu constituie infracţiune, şi se sancţioneazã cu amenda de la 5.000.000 lei la 100.000.000 lei fapta furnizorului de servicii de certificare care: a) omite sa efectueze notificarea prevãzutã la art. 13 alin. (1); b) omite sa informeze autoritatea de reglementare şi supraveghere specializatã în domeniu asupra procedurilor de securitate şi de certificare utilizate, în condiţiile şi cu respectarea termenelor prevãzute la art. 13; c) nu îşi îndeplineşte obligaţia de a facilita exercitarea atribuţiilor de control de cãtre personalul autoritãţii de reglementare şi supraveghere specializate în domeniu, anume împuternicit în acest sens; d) realizeazã transferul activitãţilor legate de certificarea semnaturilor electronice cu nerespectarea prevederilor art. 24 alin. (3). ART. 45 Constituie contravenţie, dacã, potrivit legii, nu constituie infracţiune, şi se sancţioneazã cu amenda de la 10.000.000 lei la 250.000.000 lei fapta furnizorului de servicii de certificare care: a) nu furnizeazã persoanelor menţionate la art. 14 alin. (1), în condiţiile prevãzute la art. 14 alin. (1) şi (2), informaţiile obligatorii prevãzute la art. 14 alin. (3) ori nu furnizeazã toate aceste informaţii sau furnizeazã informaţii inexacte; b) incalca obligaţiile privitoare la prelucrarea datelor cu caracter personal prevãzute la art. 16; c) omite sa efectueze înregistrãrile obligatorii, potrivit legii, în registrul electronic de evidenta a certificatelor eliberate, prevãzut la art. 17, sau le efectueazã cu nerespectarea termenului prevãzut la art. 14 alin. (5), art. 23 alin. (1) sau (2) ori înregistreazã menţiuni inexacte; d) elibereazã certificate prezentate titularilor ca fiind calificate, care nu conţin toate menţiunile obligatorii prevãzute la art. 18; e) elibereazã certificate calificate care conţin informaţii inexacte, informaţii care sunt contrare legii, bunelor moravuri sau ordinii publice, ori informaţii a cãror exactitate nu a fost verificata în condiţiile prevãzute la art. 18 alin. (4); f) elibereazã certificate calificate fãrã a verifica identitatea solicitantului, în condiţiile prevãzute la art. 19; g) omite sa ia mãsuri de natura sa garanteze confidenţialitatea în cursul procesului de generare a datelor de creare a semnaturilor, în cazul în care furnizorul de servicii de certificare genereazã astfel de date; h) nu pãstreazã toate informaţiile cu privire la un certificat calificat o perioada de minimum 5 ani de la data încetãrii valabilitãţii certificatului; i) stocheaza, reproduce sau dezvaluie terţilor datele de creare a semnãturii electronice, cu excepţia cazului în care semnatarul solicita aceasta, în cazul în care furnizorul elibereazã certificate calificate; j) stocheaza certificatele calificate într-o forma care nu respecta condiţiile prevãzute la art. 20 lit. j); k) utilizeazã dispozitive de creare a semnãturii electronice, care nu îndeplinesc condiţiile prevãzute la art. 4 pct. 8, în cazul în care furnizorul de servicii de certificare elibereazã certificate calificate; l) în cazul în care intenţioneazã sa înceteze activitãţile legate de certificarea semnaturilor electronice sau în oricare dintre situaţiile prevãzute la art. 24 alin. (5), când afla ca va fi în imposibilitate de a continua aceste activitãţi, nu informeazã cu cel puţin 30 de zile înainte de încetarea activitãţilor autoritatea de reglementare şi supraveghere specializatã în domeniu despre intenţia sa, respectiv despre existenta şi natura împrejurãrii care justifica imposibilitatea de continuare a activitãţilor; m) în oricare dintre situaţiile prevãzute la art. 24 alin. (5), când se afla în imposibilitate de a continua activitãţile legate de certificarea semnaturilor electronice şi nu a putut prevedea aceasta situaţie cu cel puţin 30 de zile înainte ca încetarea activitãţilor sa se producã, nu a informat autoritatea de reglementare şi supraveghere specializatã în domeniu în termenul prevãzut la art. 24 alin. (2) despre existenta şi natura împrejurãrii care justifica imposibilitatea de continuare a activitãţilor; n) aflându-se în unul dintre cazurile prevãzute la art. 24 alin. (1) şi (2), omite sa ia mãsurile necesare pentru asigurarea conservãrii arhivelor sale sau pentru asigurarea prelucrãrii datelor cu caracter personal în condiţiile legii; o) nu suspenda sau nu revoca certificatele eliberate, în cazurile în care suspendarea sau revocarea este obligatorie, sau le revoca cu nerespectarea termenului legal; p) continua sa desfãşoare activitãţi legate de certificarea semnaturilor electronice în situaţia în care autoritatea de reglementare şi supraveghere specializatã în domeniu a dispus suspendarea sau încetarea activitãţii furnizorului de servicii de certificare; q) elibereazã certificate sau desfãşoarã alte activitãţi legate de certificarea semnaturilor electronice, folosindu-se fãrã a avea dreptul de calitatea de furnizor de servicii de certificare acreditat, prin prezentarea unei menţiuni distinctive care sa se refere la aceasta calitate sau prin orice alte mijloace; r) omite sa solicite, în termenul prevãzut la art. 29 alin. (1), înregistrarea în Registru a datelor şi informaţiilor menţionate la art. 29. ART. 46 Încãlcarea de cãtre agenţia de omologare a obligaţiei de a facilita exercitarea atribuţiilor de control de cãtre personalul autoritãţii de reglementare şi supraveghere specializate în domeniu, anume împuternicit în acest sens, constituie contravenţie şi se sanctionaza cu amenda de la 15.000.000 lei la 250.000.000 lei. ART. 47 Constatarea contravenţiilor şi aplicarea sancţiunilor prevãzute în cadrul prezentului capitol sunt de competenta personalului cu atribuţii de control din cadrul autoritãţii de reglementare şi supraveghere specializate în domeniu. ART. 48 Contravenţiilor prevãzute în prezentul capitol le sunt aplicabile prevederile <>Legii nr. 32/1968 privind stabilirea şi sancţionarea contravenţiilor.
CAP. 9 Dispoziţii finale
ART. 49 (1) Nivelul tarifelor percepute de agenţiile de omologare pentru prestarea serviciilor de omologare a dispozitivelor securizate de creare a semnãturii electronice, precum şi pentru serviciile accesorii se stabileşte în mod liber, cu respectarea prevederilor <>Legii concurentei nr. 21/1996 . (2) Agenţiile menţionate la alin. (1) pot percepe tarife cu niveluri diferite pentru zone geografice diferite sau pentru serviciile prestate în regim de urgenta, pentru înscrierile on-line, potrivit propriilor strategii comerciale, cu respectarea dispoziţiilor legale. (3) Sunt interzise agentiilor de omologare şi imputernicitilor acestora publicarea de tabele comparative privind nivelul tarifelor şi adoptarea oricãror mãsuri al cãror scop este sa limiteze reclama privind nivelul tarifelor încasate de alte agenţii pentru serviciile prestate. ART. 50 (1) Agenţiile de omologare sunt supuse prevederilor <>Legii concurentei nr. 21/1996 în ceea ce priveşte stabilirea tarifelor percepute pentru serviciile prestate, precum şi în privinta actelor sau faptelor care au sau pot avea ca efect restrangerea concurentei pe piata serviciilor respective. (2) Agenţiile de omologare sunt, de asemenea, supuse prevederilor <>Legii nr. 11/1991 privind combaterea concurentei neloiale, cu modificãrile ulterioare. ART. 51 Cuantumul amenzilor prevãzute de prezenta lege va fi actualizat prin hotãrâre a Guvernului, în funcţie de evoluţia indicelui de inflaţie. ART. 52 În termen de 3 luni de la data publicãrii prezentei legi în Monitorul Oficial al României, Partea I, autoritatea de reglementare şi supraveghere specializatã în domeniu va elabora norme tehnice şi metodologice de aplicare a acesteia. ART. 53 Prezenta lege va intra în vigoare la data publicãrii ei în Monitorul Oficial al României, Partea I, şi se pune în aplicare la 3 luni de la data intrãrii în vigoare.
Aceasta lege a fost adoptatã de Senat în şedinţa din 26 iunie 2001, cu respectarea prevederilor art. 74 alin. (1) din Constituţia României.
p. PREŞEDINTELE SENATULUI, DORU IOAN TARACILA
Aceasta lege a fost adoptatã de Camera Deputaţilor în şedinţa din 28 iunie 2001, cu respectarea prevederilor art. 74 alin. (1) din Constituţia României.
PREŞEDINTELE CAMEREI DEPUTAŢILOR VALER DORNEANU
──────────────
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
