Parlamentul Romaniei
Lege nr. 455
din 18 iulie 2001
privind semnatura electronica
Publicat în Monitorul Oficial,
Partea I nr. 429 din 31 iulie 2001
Parlamentul Romaniei adopta prezenta lege:
CAPITOLUL I
Dispozitii generale
SECTIUNEA 1
Principii generale
Art. 1. - Prezenta lege stabileste regimul juridic al semnaturii
electronice si al înscrisurilor în forma electronica, precum
si conditiile furnizarii de servicii de certificare a semnaturilor electronice.
Art. 2. - Prezenta lege se completeaza cu dispozitiile legale privind
încheierea, validitatea si efectele actelor juridice.
Art. 3. - Nici o dispozitie a prezentei legi nu poate fi interpretata
în sensul limitarii autonomiei de vointa si a libertatii contractuale
a partilor.
SECTIUNEA a
2-a
Definitii
Art. 4. - In întelesul prezentei legi:
1. date în
forma electronica sunt reprezentari ale informatiei într-o forma conventionala
adecvata crearii, prelucrarii, trimiterii, primirii sau stocarii acesteia
prin mijloace electronice;
2. înscris
în forma electronica reprezinta o colectie de date în forma
electronica între care exista relatii logice si functionale si care
redau litere, cifre sau orice alte caractere cu semnificatie inteligibila,
destinate a fi citite prin intermediul unui program informatic sau al altui
procedeu similar;
3. semnatura electronica
reprezinta date în forma electronica, care sunt atasate sau logic
asociate cu alte date în forma electronica si care servesc ca metoda
de identificare;
4. semnatura electronica
extinsa reprezinta acea semnatura electronica care îndeplineste cumulativ
urmatoarele conditii:
a) este legata
în mod unic de semnatar;
b) asigura identificarea
semnatarului;
c) este creata
prin mijloace controlate exclusiv de semnatar;
d) este legata
de datele în forma electronica, la care se raporteaza în asa
fel încat orice modificare ulterioara a acestora este identificabila;
5. semnatar reprezinta
o persoana care detine un dispozitiv de creare a semnaturii electronice
si care actioneaza fie în nume propriu, fie ca reprezentant al unui
tert;
6. date de creare
a semnaturii electronice reprezinta orice date în forma electronica
cu caracter de unicitate, cum ar fi coduri sau chei criptografice private,
care sunt folosite de semnatar pentru crearea unei semnaturi electronice;
7. dispozitiv de
creare a semnaturii electronice reprezinta software si/sau hardware configurate,
utilizat pentru a implementa datele de creare a semnaturii electronice;
8. dispozitiv securizat
de creare a semnaturii electronice reprezinta acel dispozitiv de creare
a semnaturii electronice care îndeplineste cumulativ urmatoarele conditii:
a) datele de creare
a semnaturii, utilizate pentru generarea acesteia, sa poata aparea numai
o singura data si confidentialitatea acestora sa poata fi asigurata;
b) datele de creare
a semnaturii, utilizate pentru generarea acesteia, sa nu poata fi deduse;
c) semnatura sa
fie protejata împotriva falsificarii prin mijloacele tehnice disponibile
la momentul generarii acesteia;
d) datele de creare
a semnaturii sa poata fi protejate în mod efectiv de catre semnatar
împotriva utilizarii acestora de catre persoane neautorizate;
e) sa nu modifice
datele în forma electronica, care trebuie sa fie semnate, si nici
sa nu împiedice ca acestea sa fie prezentate semnatarului înainte
de finalizarea procesului de semnare;
9. date de verificare
a semnaturii electronice reprezinta date în forma electronica, cum
ar fi coduri sau chei criptografice publice, care sunt utilizate în
scopul verificarii unei semnaturi electronice;
10. dispozitiv
de verificare a semnaturii electronice reprezinta software si/sau hardware
configurate, utilizat pentru a implementa datele de verificare a semnaturii
electronice;
11. certificat
reprezinta o colectie de date în forma electronica ce atesta legatura
dintre datele de verificare a semnaturii electronice si o persoana, confirmand
identitatea acelei persoane;
12. certificat
calificat reprezinta un certificat care satisface conditiile prevazute la
art. 18 si care este eliberat de un furnizor de servicii de certificare
ce satisface conditiile prevazute la art. 20;
13. furnizor de
servicii de certificare reprezinta orice persoana, romana sau straina, care
elibereaza certificate sau care presteaza alte servicii legate de semnatura
electronica;
14. furnizor de
servicii de certificare calificata este acel furnizor de servicii de certificare
care elibereaza certificate calificate;
15. produs asociat
semnaturii electronice reprezinta software sau hardware, destinat a fi utilizat
de un furnizor de servicii de certificare pentru prestarea serviciilor legate
de semnatura electronica sau destinat a fi utilizat pentru crearea ori verificarea
semnaturii electronice.
CAPITOLUL II
Regimul juridic al înscrisurilor în forma
electronica
Art. 5. - Inscrisul în forma electronica, caruia i s-a încorporat,
atasat sau i s-a asociat logic o semnatura electronica extinsa, bazata pe
un certificat calificat nesuspendat sau nerevocat la momentul respectiv
si generata cu ajutorul unui dispozitiv securizat de creare a semnaturii
electronice, este asimilat, în ceea ce priveste conditiile si efectele
sale, cu înscrisul sub semnatura privata.
Art. 6. - Inscrisul în forma electronica, caruia i s-a încorporat,
atasat sau i s-a asociat logic o semnatura electronica, recunoscut de catre
cel caruia i se opune, are acelasi efect ca actul autentic între cei
care l-au subscris si între cei care le reprezinta drepturile.
Art. 7. - In cazurile în care, potrivit legii, forma scrisa
este ceruta ca o conditie de proba sau de validitate a unui act juridic,
un înscris în forma electronica îndeplineste aceasta cerinta
daca i s-a încorporat, atasat sau i s-a asociat logic o semnatura
electronica extinsa, bazata pe un certificat calificat si generata prin
intermediul unui dispozitiv securizat de creare a semnaturii.
Art. 8. - (1) In cazul în
care una dintre parti nu recunoaste înscrisul sau semnatura, instanta
va dispune întotdeauna ca verificarea sa se faca prin expertiza tehnica
de specialitate.
(2) In acest scop,
expertul sau specialistul este dator sa solicite certificate calificate,
precum si orice alte documente necesare, potrivit legii, pentru identificarea
autorului înscrisului, a semnatarului ori a titularului de certificat.
Art. 9. - (1) Partea care invoca
înaintea instantei o semnatura electronica extinsa trebuie sa probeze
ca aceasta îndeplineste conditiile prevazute la art. 4 pct. 4.
(2) Semnatura
electronica extinsa, bazata pe un certificat calificat eliberat de un furnizor
de servicii de certificare acreditat, este prezumata a îndeplini conditiile
prevazute la art. 4 pct. 4.
Art. 10. - (1) Partea care invoca
înaintea instantei un certificat calificat trebuie sa probeze ca furnizorul
de servicii de certificare care a eliberat respectivul certificat îndeplineste
conditiile prevazute la art. 20.
(2) Furnizorul
de servicii de certificare acreditat este prezumat a îndeplini conditiile
prevazute la art. 20.
Art. 11. - (1) Partea care invoca
înaintea instantei un mecanism securizat de creare a semnaturii trebuie
sa probeze ca acesta îndeplineste conditiile prevazute la art. 4 pct.
8.
(2) Dispozitivul
securizat de generare a semnaturii, omologat în sensul prezentei legi,
este prezumat a îndeplini conditiile prevazute la art. 4 pct. 8.
CAPITOLUL III
Furnizarea serviciilor de certificare
SECTIUNEA 1
Dispozitii comune
Art. 12. - (1) Furnizarea serviciilor
de certificare nu este supusa nici unei autorizari prealabile si se desfasoara
în concordanta cu principiile concurentei libere si loiale, cu respectarea
actelor normative în vigoare.
(2) Furnizarea
serviciilor de certificare de catre furnizorii stabiliti în statele
membre ale Uniunii Europene se face în conditiile prevazute în
Acordul european instituind o asociere între Romania, pe de o parte,
Comunitatile Europene si statele membre ale acestora, pe de alta parte.
Art. 13. - (1) Cu 30 de zile înainte
de începerea activitatilor legate de certificarea semnaturilor electronice
persoanele care intentioneaza sa furnizeze servicii de certificare au obligatia
de a notifica autoritatea de reglementare si supraveghere specializata în
domeniu cu privire la data începerii acestor activitati.
(2) O data cu efectuarea
notificarii prevazute la alin. (1) furnizorii de servicii de certificare
au obligatia de a comunica autoritatii de reglementare si supraveghere specializate
în domeniu toate informatiile referitoare la procedurile de securitate
si de certificare utilizate, precum si orice alte informatii cerute de autoritatea
de reglementare si supraveghere specializata în domeniu.
(3) Furnizorii
de servicii de certificare au obligatia de a comunica autoritatii de reglementare
si supraveghere specializate în domeniu, cu cel putin 10 zile înainte,
orice intentie de modificare a procedurilor de securitate si de certificare,
cu precizarea datei si orei la care modificarea intra în vigoare,
precum si obligatia de a confirma în termen de 24 de ore modificarea
efectuata.
(4) In cazurile
de urgenta, în care securitatea serviciilor de certificare este afectata,
furnizorii pot efectua modificari ale procedurilor de securitate si de certificare,
urmand sa comunice, în termen de 24 de ore, autoritatii de reglementare
si supraveghere specializate în domeniu modificarile efectuate si
justificarea deciziei luate.
(5) Furnizorii
de servicii de certificare sunt obligati sa respecte, pe parcursul desfasurarii
activitatii, procedurile de securitate si de certificare declarate, potrivit
alin. (2), (3) si (4).
Art. 14. - (1) Furnizorul de servicii
de certificare va asigura accesul la toate informatiile necesare utilizarii
corecte si în conditii de siguranta a serviciilor sale. Informatiile
respective vor fi furnizate anterior nasterii oricarui raport contractual
cu persoana care solicita un certificat sau, dupa caz, la cererea unui tert
care se prevaleaza de un asemenea certificat.
(2) Informatiile
prevazute la alin. (1) vor fi formulate în scris, într-un limbaj
accesibil, si vor fi transmise prin mijloace electronice, în conditii
care sa permita stocarea si reproducerea lor.
(3) Informatiile
prevazute la alin. (1) vor face referire cel putin la:
a) procedura ce
trebuie urmata în scopul crearii si verificarii semnaturii electronice;
b) tarifele percepute;
c) modalitatile
si conditiile concrete de utilizare a certificatelor, inclusiv limitele
impuse utilizarii acestora, cu conditia ca aceste limite sa poata fi cunoscute
de terti;
d) obligatiile
care incumba, potrivit prezentei legi, titularului certificatului si furnizorului
de servicii de certificare;
e) existenta unei
acreditari, daca este cazul;
f) conditiile contractuale
de eliberare a certificatului, inclusiv eventualele limitari ale raspunderii
furnizorului de servicii de certificare;
g) caile de solutionare
a litigiilor;
h) orice alte
informatii stabilite de autoritatea de reglementare si supraveghere specializata
în domeniu.
(4) Furnizorul
de servicii de certificare va transmite solicitantului un exemplar al certificatului.
(5) Din momentul
acceptarii certificatului de catre solicitant, furnizorul de servicii de
certificare va înscrie certificatul în registrul prevazut la
art. 17.
Art. 15. - (1) Persoanele fizice
care presteaza, conform legii, în nume propriu servicii de certificare,
precum si personalul angajat al furnizorului de servicii de certificare,
persoana fizica sau juridica, sunt obligate sa pastreze secretul informatiilor
încredintate în cadrul activitatii lor profesionale, cu exceptia
celor în legatura cu care titularul certificatului accepta sa fie
publicate sau comunicate tertilor.
(2) Incalcarea
obligatiei prevazute la alin. (1) constituie infractiune de divulgare a
secretului profesional, prevazuta si sanctionata de art. 196 din Codul penal.
(3) Nu constituie
divulgare a secretului profesional comunicarea de informatii catre o autoritate
publica, atunci cand aceasta actioneaza în exercitarea si în
limitele competentelor sale legale.
(4) Obligatia prevazuta
la alin. (1) incumba si personalului autoritatii de reglementare si supraveghere
specializate în domeniu, precum si persoanelor împuternicite
de aceasta.
Art. 16. - (1) Autoritatea de reglementare
si supraveghere specializata în domeniu si furnizorii de servicii
de certificare au obligatia sa respecte dispozitiile legale privitoare la
prelucrarea datelor cu caracter personal.
(2) Furnizorii
de servicii de certificare nu pot colecta date cu caracter personal decat
de la persoana care solicita un certificat sau, cu consimtamantul expres
al acesteia, de la terti. Colectarea se face doar în masura în
care aceste informatii sunt necesare în vederea eliberarii si conservarii
certificatului. Datele pot fi colectate si utilizate în alte scopuri
doar cu consimtamantul expres al persoanei care solicita certificatul.
(3) Atunci cand
se utilizeaza un pseudonim, identitatea reala a titularului nu poate fi
divulgata de catre furnizorul de servicii de certificare decat cu consimtamantul
titularului sau în cazurile prevazute la art. 15 alin. (3).
Art. 17. - (1) Furnizorii de servicii
de certificare au obligatia de a crea si de a mentine un registru electronic
de evidenta a certificatelor eliberate.
(2) Registrul
electronic de evidenta a certificatelor eliberate trebuie sa faca mentiune
despre:
a) data si ora
exacta la care certificatul a fost eliberat;
b) data si ora
exacta la care expira certificatul;
c) daca este cazul,
data si ora exacta la care certificatul a fost suspendat sau revocat, inclusiv
cauzele care au condus la suspendare sau la revocare.
(3) Registrul electronic
de evidenta a certificatelor eliberate trebuie sa fie disponibil permanent
pentru consultare, inclusiv în regim on-line.
SECTIUNEA a
2-a
Furnizarea serviciilor de certificare calificata
Art. 18. - (1) Certificatul calificat
va cuprinde urmatoarele mentiuni:
a) indicarea faptului
ca certificatul a fost eliberat cu titlu de certificat calificat;
b) datele de identificare
a furnizorului de servicii de certificare, precum si cetatenia acestuia,
în cazul persoanelor fizice, respectiv nationalitatea acestuia, în
cazul persoanelor juridice;
c) numele semnatarului
sau pseudonimul acestuia, identificat ca atare, precum si alte atribute
specifice ale semnatarului, daca sunt relevante, în functie de scopul
pentru care este eliberat certificatul calificat;
d) codul personal
de identificare a semnatarului;
e) datele de verificare
a semnaturii, care corespund datelor de creare a semnaturii aflate sub controlul
exclusiv al semnatarului;
f) indicarea începutului
si sfarsitului perioadei de valabilitate a certificatului calificat;
g) codul de identificare
a certificatului calificat;
h) semnatura electronica
extinsa a furnizorului de servicii de certificare care elibereaza certificatul
calificat;
i) daca este cazul,
limitele utilizarii certificatului calificat sau limitele valorice ale operatiunilor
pentru care acesta poate fi utilizat;
j) orice alte
informatii stabilite de autoritatea de reglementare si supraveghere specializata
în domeniu.
(2) Fiecarui semnatar
i se va atribui de catre furnizorul de servicii de certificare un cod personal
care sa asigure identificarea unica a semnatarului.
(3) Generarea codului
personal de identificare si a codului de identificare a certificatului calificat
se va face pe baza reglementarilor stabilite de autoritatea de reglementare
si supraveghere specializata în domeniu.
(4) La solicitarea
titularului furnizorul de servicii de certificare va putea înscrie
în certificatul calificat si alte informatii decat cele mentionate
la alin. (1), cu conditia ca acestea sa nu fie contrare legii, bunelor moravuri
sau ordinii publice, si numai dupa o prealabila verificare a exactitatii
acestor informatii.
(5) Certificatul
calificat va indica în mod expres faptul ca este utilizat un pseudonim,
atunci cand titularul se identifica printr-un pseudonim.
Art. 19. - (1) La eliberarea certificatelor
calificate furnizorii de servicii de certificare au obligatia de a verifica
identitatea solicitantilor exclusiv pe baza actelor de identitate.
(2) La eliberarea
fiecarui certificat calificat furnizorii au obligatia sa emita doua copii
de pe acesta, pe suport de hartie, dintre care un exemplar este pus la dispozitie
titularului, iar celalalt este pastrat de catre furnizori o perioada de
10 ani.
Art. 20. - In vederea emiterii certificatelor calificate furnizorii
de servicii de certificare trebuie sa îndeplineasca urmatoarele conditii:
a) sa dispuna
de mijloace financiare si de resurse materiale, tehnice si umane corespunzatoare
pentru garantarea securitatii, fiabilitatii si continuitatii serviciilor
de certificare oferite;
b) sa asigure
operarea rapida si sigura a înregistrarii informatiilor prevazute
la art. 17, în special operarea rapida si sigura a unui serviciu de
suspendare si revocare a certificatelor calificate;
c) sa asigure
posibilitatea de a se determina cu precizie data si ora exacta a eliberarii,
a suspendarii sau a revocarii unui certificat calificat;
d) sa verifice,
cu mijloace corespunzatoare si conforme dispozitiilor legale, identitatea
si, daca este cazul, atributele specifice ale persoanei careia îi
este eliberat certificatul calificat;
e) sa foloseasca
personal cu cunostinte de specialitate, experienta si calificare, necesare
pentru furnizarea serviciilor respective, si, în special, competenta
în domeniul gestiunii, cunostinte de specialitate în domeniul
tehnologiei semnaturii electronice si o practica suficienta în ceea
ce priveste procedurile de securitate corespunzatoare; de asemenea, sa aplice
procedurile administrative si de gestiune adecvate si care corespund standardelor
recunoscute;
f) sa utilizeze
produse asociate semnaturii electronice, cu un înalt grad de fiabilitate,
care sunt protejate împotriva modificarilor si care asigura securitatea
tehnica si criptografica a desfasurarii activitatilor de certificare a semnaturii
electronice;
g) sa adopte masuri
împotriva falsificarii certificatelor si sa garanteze confidentialitatea
în cursul procesului de generare a datelor de creare a semnaturilor,
în cazul în care furnizorii de servicii de certificare genereaza
astfel de date;
h) sa pastreze
toate informatiile cu privire la un certificat calificat pentru o perioada
de minimum 10 ani de la data încetarii valabilitatii certificatului,
în special pentru a putea face dovada certificarii în cadrul
unui eventual litigiu;
i) sa nu stocheze,
sa nu reproduca si sa nu dezvaluie tertilor datele de creare a semnaturii,
cu exceptia cazului în care semnatarul solicita aceasta;
j) sa utilizeze
sisteme fiabile pentru stocarea certificatelor calificate, astfel încat:
numai persoanele autorizate sa poata introduce si modifica informatiile
din certificate; exactitatea informatiei sa poata fi verificata; certificatele
sa poata fi consultate de terti doar în cazul în care exista
acordul titularului acestora; orice modificare tehnica, care ar putea pune
în pericol aceste conditii de securitate, sa poata fi identificata
de persoanele autorizate;
k) orice alte conditii
stabilite de autoritatea de reglementare si supraveghere specializata în
domeniu.
Art. 21. - Furnizorii de servicii de certificare calificata sunt obligati
sa foloseasca numai dispozitive securizate de creare a semnaturii electronice.
Art. 22. - (1) Furnizorul de servicii
de certificare calificata trebuie sa dispuna de resurse financiare pentru
acoperirea prejudiciilor pe care le-ar putea cauza cu prilejul desfasurarii
activitatilor legate de certificarea semnaturilor electronice.
(2) Asigurarea
se realizeaza fie prin subscrierea unei polite de asigurare la o societate
de asigurari, fie prin intermediul unei scrisori de garantie din partea
unei institutii financiare de specialitate, fie printr-o alta modalitate
stabilita prin decizie a autoritatii de reglementare si supraveghere specializate
în domeniu.
(3) Suma asigurata
si suma acoperita prin scrisoarea de garantie sunt stabilite de autoritatea
de reglementare si supraveghere specializata în domeniu.
SECTIUNEA a
3-a
Suspendarea si încetarea valabilitatii certificatelor
Art. 23. - (1) Orice furnizor de
servicii de certificare are obligatia de a suspenda certificatul în
termen de 24 de ore din momentul în care a luat cunostinta sau trebuia
si putea sa ia cunostinta despre aparitia oricaruia dintre urmatoarele cazuri:
a) la cererea semnatarului,
dupa o prealabila verificare a identitatii acestuia;
b) în cazul
în care o hotarare judecatoreasca dispune suspendarea;
c) în cazul
în care informatiile continute în certificat nu mai corespund
realitatii, daca nu se impune revocarea certificatului;
d) în orice
alte situatii care constituie cazuri de suspendare a certificatelor eliberate,
potrivit procedurilor de securitate si de certificare declarate de furnizor
în baza art. 13.
(2) Orice furnizor
de servicii de certificare are obligatia de a revoca certificatul în
termen de 24 de ore din momentul în care a luat cunostinta sau trebuia
si putea sa ia cunostinta despre aparitia oricaruia dintre urmatoarele cazuri:
a) la cererea semnatarului,
dupa o prealabila verificare a identitatii acestuia;
b) la decesul sau
punerea sub interdictie a semnatarului;
c) în cazul
în care o hotarare judecatoreasca irevocabila dispune revocarea;
d) daca se dovedeste
în mod neîndoielnic ca certificatul a fost emis în baza
unor informatii eronate sau false;
e) în cazul
în care informatiile esentiale continute în certificat nu mai
corespund realitatii;
f) atunci cand
confidentialitatea datelor de creare a semnaturii a fost încalcata;
g) în cazul
în care certificatul a fost utilizat în mod fraudulos;
h) în orice
alte situatii care constituie cazuri de revocare a certificatelor eliberate,
potrivit procedurilor de securitate si de certificare declarate de furnizor
în baza art. 13.
(3) Furnizorul
de servicii de certificare îl va informa de urgenta pe titular despre
suspendarea sau revocarea certificatului, împreuna cu motivele care
au stat la baza deciziei sale.
(4) Furnizorul
de servicii de certificare va înscrie mentiunea de suspendare sau
de revocare a certificatului în registrul electronic de evidenta a
certificatelor eliberate prevazut la art. 17, în termen de 24 de ore
din momentul în care a luat cunostinta sau trebuia si putea sa ia
cunostinta despre adoptarea deciziei respective.
(5) Suspendarea
sau revocarea va deveni opozabila tertilor de la data înscrierii sale
în registrul electronic de evidenta a certificatelor.
Art. 24. - (1) In cazul în care
furnizorul de servicii de certificare intentioneaza sa înceteze activitatile
legate de certificarea semnaturilor electronice sau afla ca va fi în
imposibilitate de a continua aceste activitati, el va informa, cu cel putin
30 de zile înainte de încetare, autoritatea de reglementare
si supraveghere specializata în domeniu despre intentia sa, respectiv
despre existenta si natura împrejurarii care justifica imposibilitatea
de continuare a activitatilor.
(2) Furnizorului
de servicii de certificare îi revine obligatia ca, în situatia
în care se afla în imposibilitate de a continua activitatile
legate de certificarea semnaturilor electronice si nu a putut prevedea aceasta
situatie cu cel putin 30 de zile înainte ca încetarea activitatilor
sa se produca, sa informeze autoritatea de reglementare si supraveghere
specializata în domeniu, în termen de 24 de ore din momentul
în care a luat cunostinta sau trebuia si putea sa ia cunostinta despre
imposibilitatea continuarii activitatilor. Informarea trebuie sa se refere
la existenta si natura împrejurarii care justifica imposibilitatea
de continuare a activitatilor.
(3) Furnizorul
de servicii de certificare poate transfera, în tot sau în parte,
activitatile sale unui alt furnizor de servicii de certificare. Transferul
va opera potrivit urmatoarelor conditii:
a) furnizorul de
servicii de certificare va înstiinta fiecare titular de certificate
neexpirate, cu cel putin 30 de zile înainte, despre intentia sa de
transferare a activitatilor legate de certificarea semnaturilor electronice
catre un alt furnizor de servicii de certificare;
b) furnizorul de
servicii de certificare va mentiona identitatea furnizorului de servicii
de certificare caruia intentioneaza sa îi transfere activitatile sale;
c) furnizorul de
servicii de certificare va face cunoscute fiecarui titular de certificat
posibilitatea de a refuza acest transfer, precum si termenul si conditiile
în care refuzul poate fi exercitat; în lipsa unei acceptari
exprese a titularului, în termenul precizat de furnizorul de servicii
de certificare, certificatul va fi revocat de catre acesta din urma.
(4) Furnizorul
de servicii de certificare, aflat în unul dintre cazurile prevazute
la alin. (1) si (2), ale carui activitati nu sunt preluate de un alt furnizor
de servicii de certificare, va revoca certificatele în termen de 30
de zile de la data înstiintarii titularilor de certificate si va lua
masurile necesare pentru asigurarea conservarii arhivelor sale, precum si
pentru asigurarea prelucrarii datelor personale, în conditiile legii.
(5) Sunt considerate
cazuri de imposibilitate de continuare a activitatilor legate de certificarea
semnaturilor electronice, în întelesul prezentului articol,
dizolvarea sau lichidarea, voluntara ori judiciara, falimentul, precum si
orice alta cauza de încetare a activitatii, cu exceptia aplicarii
sanctiunilor prevazute la art. 33 alin. (2) si (3).
CAPITOLUL IV
Monitorizare si control
SECTIUNEA 1
Autoritatea de reglementare si supraveghere
Art. 25. - Responsabilitatea aplicarii dispozitiilor prezentei legi
si a reglementarilor legate de aceasta revine autoritatii de reglementare
si supraveghere specializate în domeniu.
Art. 26. - (1) In termen de cel mult
18 luni de la data publicarii legii în Monitorul Oficial al Romaniei,
Partea I, se va înfiinta autoritatea publica specializata, cu atributii
de reglementare si de supraveghere în domeniu, în sensul prezentei
legi.
(2) Pana la înfiintarea
autoritatii mentionate la alin. (1) atributiile acesteia, în sensul
prezentei legi, revin Ministerului Comunicatiilor si Tehnologiei Informatiei.
Art. 27. - Ministerul Comunicatiilor si Tehnologiei Informatiei poate
delega, în tot sau în parte, atributiile sale de supraveghere,
în sensul prezentei legi, unei alte autoritati publice aflate în
coordonare.
Art. 28. - (1) La data intrarii în
vigoare a prezentei legi se înfiinteaza Registrul furnizorilor de
servicii de certificare, denumit în continuare Registru, care se constituie
si se actualizeaza de catre autoritatea de reglementare si supraveghere
specializata în domeniu. De la data înfiintarii autoritatii
publice specializate prevazute la art. 26 Registrul va fi preluat si actualizat
de aceasta autoritate.
(2) Registrul constituie
evidenta oficiala:
a) a furnizorilor
de servicii de certificare care au sediul în Romania;
b) a furnizorilor
de servicii de certificare cu sediul sau domiciliul în alt stat, ale
caror certificate calificate sunt recunoscute conform art. 40.
(3) Registrul are
rolul de a asigura, prin efectuarea înregistrarilor prevazute de prezenta
lege, stocarea datelor de identificare si a unor informatii legate de activitatea
furnizorilor de servicii de certificare, precum si informarea publicului
cu privire la datele si informatiile stocate.
(4) Continutul
si structura Registrului se stabilesc, prin reglementari, de catre autoritatea
de reglementare si supraveghere specializata în domeniu.
Art. 29. - (1) Inregistrarea în
Registrul prevazut la art. 28 a datelor de identificare si a informatiilor
necesare cu privire la activitatea furnizorilor de servicii de certificare
mentionati la art. 28 alin. (2) se efectueaza pe baza de cerere individuala,
care trebuie introdusa la autoritatea de reglementare si supraveghere specializata
în domeniu, cel mai tarziu la data începerii activitatii furnizorului.
(2) Continutul
obligatoriu al cererii prevazute la alin. (1) si documentatia necesara se
stabilesc prin reglementari de catre autoritatea de reglementare si supraveghere
specializata în domeniu.
Art. 30. - (1) Registrul este public
si se actualizeaza permanent.
(2) Conditiile
tinerii Registrului, accesul efectiv la informatiile pe care le contine,
informatiile care pot fi oferite solicitantilor si modul de actualizare
a acestuia se stabilesc prin normele tehnice si metodologice emise de autoritatea
de reglementare si supraveghere specializata în domeniu.
SECTIUNEA a
2-a
Supravegherea activitatii furnizorilor de servicii de certificare
Art. 31. - (1) Autoritatea de reglementare
si supraveghere specializata în domeniu va putea, din oficiu sau la
solicitarea oricarei persoane interesate, sa verifice sau sa dispuna verificarea
conformitatii activitatilor unui furnizor de servicii de certificare cu
dispozitiile prezentei legi sau cu reglementari emise de catre autoritatea
de reglementare si supraveghere specializata în domeniu.
(2) Atributiile
de control ce revin autoritatii de reglementare si supraveghere specializate
în domeniu, potrivit alin. (1), sunt exercitate de personalul anume
împuternicit în acest sens.
(3) In vederea
exercitarii controlului, personalul cu atributii de control este autorizat:
a) sa aiba acces
liber, permanent, în orice loc în care se afla echipamentele
necesare furnizarii de servicii de certificare, în conditiile legii;
b) sa solicite
orice document sau informatie necesara în vederea realizarii controlului;
c) sa verifice
punerea în aplicare a oricaror proceduri de securitate sau de certificare
utilizate de furnizorul de servicii de certificare supus controlului;
d) sa sigileze
orice echipamente necesare furnizarii de servicii de certificare sau sa
retina orice document ce are legatura cu aceasta activitate, pe o perioada
care nu poate depasi 15 zile, daca aceasta masura se impune;
e) sa ia orice
alte asemenea masuri, în limitele legii.
(4) Personalul
cu atributii de control este obligat:
a) sa nu dezvaluie
datele de care a luat cunostinta cu ocazia exercitarii atributiilor sale;
b) sa pastreze
confidentialitatea surselor de informatii în legatura cu sesizarile
sau plangerile primite.
Art. 32. - (1) Furnizorii de servicii
de certificare au obligatia de a facilita exercitarea atributiilor de control
de catre personalul anume împuternicit în acest sens.
(2) In cazul neîndeplinirii
obligatiei prevazute la alin. (1), în afara de aplicarea sanctiunii
prevazute la art. 44 lit. c), autoritatea de reglementare si supraveghere
specializata în domeniu va putea sa suspende activitatea furnizorului
pana la data la care acesta va coopera cu personalul de control.
Art. 33. - (1) Daca în urma
controlului efectuat se constata nerespectarea dispozitiilor prezentei legi
si a reglementarilor emise de autoritatea de reglementare si supraveghere
specializata în domeniu, aceasta va solicita furnizorului de servicii
de certificare sa se conformeze, în termenul pe care îl va stabili,
dispozitiilor legale. In acest caz, autoritatea de reglementare si supraveghere
specializata în domeniu poate dispune suspendarea activitatii furnizorului.
(2) Neîndeplinirea
în termenul stabilit a obligatiei de conformare prevazute la alin.
(1) constituie motiv pentru autoritatea de reglementare si supraveghere
specializata în domeniu de a dispune încetarea activitatii furnizorului
de servicii de certificare si radierea acestuia din Registru.
(3) In cazul în
care se constata o încalcare grava a dispozitiilor legale, autoritatea
de reglementare si supraveghere specializata în domeniu poate dispune
direct si imediat încetarea activitatii furnizorului de servicii de
certificare si radierea acestuia din Registru.
Art. 34. - (1) In cazul în care
dispune încetarea activitatii unui furnizor de servicii de certificare,
autoritatea de reglementare si supraveghere specializata în domeniu
va asigura fie revocarea certificatelor furnizorului de servicii de certificare
si ale semnatarilor, fie preluarea activitatii sau cel putin a registrului
electronic de evidenta a certificatelor eliberate si a serviciului de revocare
a acestora de catre un alt furnizor de servicii de certificare, cu acordul
acestuia.
(2) Semnatarii
vor fi informati imediat de autoritatea de reglementare si supraveghere
specializata în domeniu despre încetarea activitatii furnizorului,
precum si despre revocarea certificatelor sau preluarea acestora de catre
un alt furnizor.
(3) Daca activitatea
furnizorului de servicii de certificare nu este preluata de catre un alt
furnizor, furnizorul de servicii de certificare este obligat sa asigure
revocarea tuturor certificatelor eliberate de el. Autoritatea de reglementare
si supraveghere specializata în domeniu va revoca certificatele, pe
cheltuiala furnizorului, daca acesta nu îsi îndeplineste obligatia.
(4) Autoritatea
de reglementare si supraveghere specializata în domeniu va prelua
si va mentine arhivele si registrul electronic de evidenta a certificatelor
eliberate de furnizorul de servicii de certificare a carui activitate nu
a fost preluata de catre un alt furnizor.
Art. 35. - (1) Radierea furnizorilor
de servicii de certificare din Registru se efectueaza pe baza comunicarii
facute de catre furnizor autoritatii de reglementare si supraveghere specializate
în domeniu cu cel putin 30 de zile înainte de data încetarii
activitatii sale.
(2) Radierea se
poate efectua si din oficiu de catre autoritatea de reglementare si supraveghere
specializata în domeniu, în situatia în care aceasta constata
pe orice alta cale ca furnizorul si-a încetat activitatea.
SECTIUNEA a
3-a
Acreditarea voluntara
Art. 36. - (1) In scopul asigurarii
unui grad sporit de securitate a operatiunilor si al protejarii corespunzatoare
a drepturilor si intereselor legitime ale beneficiarilor de servicii de
certificare, furnizorii de servicii de certificare care doresc sa îsi
desfasoare activitatea ca furnizori acreditati pot solicita obtinerea unei
acreditari din partea autoritatii de reglementare si supraveghere specializate
în domeniu.
(2) Conditiile
si procedura acordarii, suspendarii si retragerii deciziei de acreditare,
continutul acestei decizii, durata ei de valabilitate, precum si efectele
suspendarii si ale retragerii deciziei se stabilesc de autoritatea de reglementare
si supraveghere specializata în domeniu, prin reglementari, cu respectarea
principiilor obiectivitatii, transparentei, proportionalitatii si tratamentului
nediscriminatoriu.
Art. 37. - (1) Furnizorii de servicii
de certificare acreditati în conditiile prezentei legi au dreptul
de a folosi o mentiune distinctiva care sa se refere la aceasta calitate
în toate activitatile pe care le desfasoara, legate de certificarea
semnaturilor.
(2) Furnizorii
de servicii de certificare acreditati în conditiile prezentei legi
sunt obligati sa solicite efectuarea unei mentiuni în acest sens în
Registru.
SECTIUNEA a
4-a
Omologarea
Art. 38. - (1) Conformitatea dispozitivelor
securizate de creare a semnaturii electronice cu prevederile prezentei legi
se verifica de catre agentii de omologare, persoane juridice de drept public
sau de drept privat, agreate de autoritatea de reglementare si supraveghere
specializata în domeniu, în conditiile stabilite prin reglementari
emise de aceasta.
(2) In urma îndeplinirii
procedurii de verificare se emite certificatul de omologare a dispozitivului
securizat de creare a semnaturii electronice. Certificatul poate fi retras
în cazul în care agentia de omologare constata ca dispozitivul
securizat de creare a semnaturii electronice nu mai îndeplineste una
dintre conditiile prevazute în prezenta lege.
(3) Conditiile
si procedura de agreare a agentiilor de omologare se stabilesc prin reglementari
de catre autoritatea de reglementare si supraveghere specializata în
domeniu.
(4) Decizia de
agreare se emite de catre autoritatea de reglementare si supraveghere specializata
în domeniu.
Art. 39. - (1) Autoritatea de reglementare
si supraveghere specializata în domeniu vegheaza la respectarea, de
catre agentiile de omologare, a prevederilor prezentei legi, a reglementarilor
emise, precum si a dispozitiilor cuprinse în decizia de agreare.
(2) Prevederile
art. 31-32 se aplica în mod corespunzator controlului exercitat de
autoritatea de reglementare si supraveghere specializata în domeniu
asupra activitatii agentiilor de omologare.
CAPITOLUL V
Recunoasterea certificatelor eliberate de furnizorii
de servicii de certificare straini
Art. 40. - Certificatul calificat eliberat de catre un furnizor de
servicii de certificare cu domiciliul sau cu sediul într-un alt stat
este recunoscut ca fiind echivalent din punct de vedere al efectelor juridice
cu certificatul calificat eliberat de un furnizor de servicii de certificare
cu domiciliul sau cu sediul în Romania, daca:
a) furnizorul
de servicii de certificare cu domiciliul sau sediul în alt stat a
fost acreditat în cadrul regimului de acreditare, în conditiile
prevazute de prezenta lege;
b) un furnizor
de servicii de certificare acreditat, cu domiciliul sau cu sediul în
Romania, garanteaza certificatul;
c) certificatul
sau furnizorul de servicii de certificare care l-a eliberat este recunoscut
prin aplicarea unui acord bilateral sau multilateral între Romania
si alte state sau organizatii internationale, pe baza de reciprocitate.
CAPITOLUL VI
Raspunderea furnizorilor de servicii de certificare
Art. 41. - Furnizorul de servicii de certificare, care elibereaza certificate
prezentate ca fiind calificate sau care garanteaza asemenea certificate,
este raspunzator pentru prejudiciul adus oricarei persoane care îsi
întemeiaza conduita pe efectele juridice ale respectivelor certificate:
a) în ceea
ce priveste exactitatea, în momentul eliberarii certificatului, a
tuturor informatiilor pe care le contine;
b) în ceea
ce priveste asigurarea ca, în momentul eliberarii certificatului,
semnatarul identificat în cuprinsul acestuia detinea datele de generare
a semnaturii corespunzatoare datelor de verificare a semnaturii mentionate
în respectivul certificat;
c) în ceea
ce priveste asigurarea ca datele de generare a semnaturii corespund datelor
de verificare a semnaturii, în cazul în care furnizorul de servicii
de certificare le genereaza pe amandoua;
d) în ceea
ce priveste suspendarea sau revocarea certificatului, în cazurile
si cu respectarea conditiilor prevazute la art. 24 alin. (1) si (2);
e) în privinta
îndeplinirii tuturor obligatiilor prevazute la art. 13-17 si la art.
19-22, cu exceptia cazurilor în care furnizorul de servicii de certificare
probeaza ca, desi a depus diligenta necesara, nu a putut împiedica
producerea prejudiciului.
Art. 42. - (1) Furnizorul de servicii
de certificare poate sa indice în cuprinsul unui certificat calificat
restrictii ale utilizarii acestuia, precum si limite ale valorii operatiunilor
pentru care acesta poate fi utilizat, cu conditia ca respectivele restrictii
sa poata fi cunoscute de terti.
(2) Furnizorul
de servicii de certificare nu va fi raspunzator pentru prejudiciile rezultand
din utilizarea unui certificat calificat cu încalcarea restrictiilor
prevazute în cuprinsul acestuia.
CAPITOLUL VII
Obligatiile titularilor de certificate
Art. 43. - Titularii de certificate sunt obligati sa solicite, de îndata,
revocarea certificatelor, în cazul în care:
a) au pierdut datele
de creare a semnaturii electronice;
b) au motive sa
creada ca datele de creare a semnaturii electronice au ajuns la cunostinta
unui tert neautorizat;
c) informatiile
esentiale cuprinse în certificat nu mai corespund realitatii.
CAPITOLUL VIII
Contraventii si sanctiuni
Art. 44. - Constituie contraventie, daca, potrivit legii, nu constituie
infractiune, si se sanctioneaza cu amenda de la 5.000.000 lei la 100.000.000
lei fapta furnizorului de servicii de certificare care:
a) omite sa efectueze
notificarea prevazuta la art. 13 alin. (1);
b) omite sa informeze
autoritatea de reglementare si supraveghere specializata în domeniu
asupra procedurilor de securitate si de certificare utilizate, în
conditiile si cu respectarea termenelor prevazute la art. 13;
c) nu îsi
îndeplineste obligatia de a facilita exercitarea atributiilor de control
de catre personalul autoritatii de reglementare si supraveghere specializate
în domeniu, anume împuternicit în acest sens;
d) realizeaza
transferul activitatilor legate de certificarea semnaturilor electronice
cu nerespectarea prevederilor art. 24 alin. (3).
Art. 45. - Constituie contraventie, daca, potrivit legii, nu constituie
infractiune, si se sanctioneaza cu amenda de la 10.000.000 lei la 250.000.000
lei fapta furnizorului de servicii de certificare care:
a) nu furnizeaza
persoanelor mentionate la art. 14 alin. (1), în conditiile prevazute
la art. 14 alin. (1) si (2), informatiile obligatorii prevazute la art.
14 alin. (3) ori nu furnizeaza toate aceste informatii sau furnizeaza informatii
inexacte;
b) încalca
obligatiile privitoare la prelucrarea datelor cu caracter personal prevazute
la art. 16;
c) omite sa efectueze
înregistrarile obligatorii, potrivit legii, în registrul electronic
de evidenta a certificatelor eliberate, prevazut la art. 17, sau le efectueaza
cu nerespectarea termenului prevazut la art. 14 alin. (5), art. 23 alin.
(1) sau (2) ori înregistreaza mentiuni inexacte;
d) elibereaza
certificate prezentate titularilor ca fiind calificate, care nu contin toate
mentiunile obligatorii prevazute la art. 18;
e) elibereaza
certificate calificate care contin informatii inexacte, informatii care
sunt contrare legii, bunelor moravuri sau ordinii publice, ori informatii
a caror exactitate nu a fost verificata în conditiile prevazute la
art. 18 alin. (4);
f) elibereaza certificate
calificate fara a verifica identitatea solicitantului, în conditiile
prevazute la art. 19;
g) omite sa ia
masuri de natura sa garanteze confidentialitatea în cursul procesului
de generare a datelor de creare a semnaturilor, în cazul în care
furnizorul de servicii de certificare genereaza astfel de date;
h) nu pastreaza
toate informatiile cu privire la un certificat calificat o perioada de minimum
5 ani de la data încetarii valabilitatii certificatului;
i) stocheaza, reproduce
sau dezvaluie tertilor datele de creare a semnaturii electronice, cu exceptia
cazului în care semnatarul solicita aceasta, în cazul în
care furnizorul elibereaza certificate calificate;
j) stocheaza certificatele
calificate într-o forma care nu respecta conditiile prevazute la art.
20 lit. j);
k) utilizeaza dispozitive
de creare a semnaturii electronice, care nu îndeplinesc conditiile
prevazute la art. 4 pct. 8, în cazul în care furnizorul de servicii
de certificare elibereaza certificate calificate;
l) în cazul
în care intentioneaza sa înceteze activitatile legate de certificarea
semnaturilor electronice sau în oricare dintre situatiile prevazute
la art. 24 alin. (5), cand afla ca va fi în imposibilitate de a continua
aceste activitati, nu informeaza cu cel putin 30 de zile înainte de
încetarea activitatilor autoritatea de reglementare si supraveghere
specializata în domeniu despre intentia sa, respectiv despre existenta
si natura împrejurarii care justifica imposibilitatea de continuare
a activitatilor;
m) în oricare
dintre situatiile prevazute la art. 24 alin. (5), cand se afla în
imposibilitate de a continua activitatile legate de certificarea semnaturilor
electronice si nu a putut prevedea aceasta situatie cu cel putin 30 de zile
înainte ca încetarea activitatilor sa se produca, nu a informat
autoritatea de reglementare si supraveghere specializata în domeniu
în termenul prevazut la art. 24 alin. (2) despre existenta si natura
împrejurarii care justifica imposibilitatea de continuare a activitatilor;
n) aflandu-se în
unul dintre cazurile prevazute la art. 24 alin. (1) si (2), omite sa ia
masurile necesare pentru asigurarea conservarii arhivelor sale sau pentru
asigurarea prelucrarii datelor cu caracter personal în conditiile
legii;
o) nu suspenda
sau nu revoca certificatele eliberate, în cazurile în care suspendarea
sau revocarea este obligatorie, sau le revoca cu nerespectarea termenului
legal;
p) continua sa
desfasoare activitati legate de certificarea semnaturilor electronice în
situatia în care autoritatea de reglementare si supraveghere specializata
în domeniu a dispus suspendarea sau încetarea activitatii furnizorului
de servicii de certificare;
q) elibereaza
certificate sau desfasoara alte activitati legate de certificarea semnaturilor
electronice, folosindu-se fara a avea dreptul de calitatea de furnizor de
servicii de certificare acreditat, prin prezentarea unei mentiuni distinctive
care sa se refere la aceasta calitate sau prin orice alte mijloace;
r) omite sa solicite,
în termenul prevazut la art. 29 alin. (1), înregistrarea în
Registru a datelor si informatiilor mentionate la art. 29.
Art. 46. - Incalcarea de catre agentia de omologare a obligatiei de
a facilita exercitarea atributiilor de control de catre personalul autoritatii
de reglementare si supraveghere specializate în domeniu, anume împuternicit
în acest sens, constituie contraventie si se sanctioneaza cu amenda
de la 15.000.000 lei la 250.000.000 lei.
Art. 47. - Constatarea contraventiilor si aplicarea sanctiunilor prevazute
în cadrul prezentului capitol sunt de competenta personalului cu atributii
de control din cadrul autoritatii de reglementare si supraveghere specializate
în domeniu.
Art. 48. - Contraventiilor prevazute în prezentul capitol le
sunt aplicabile prevederile Legii nr. 32/1968 privind stabilirea
si sanctionarea contraventiilor.
CAPITOLUL IX
Dispozitii finale
Art. 49. - (1) Nivelul tarifelor
percepute de agentiile de omologare pentru prestarea serviciilor de omologare
a dispozitivelor securizate de creare a semnaturii electronice, precum si
pentru serviciile accesorii se stabileste în mod liber, cu respectarea
prevederilor Legii concurentei nr. 21/1996.
(2) Agentiile mentionate
la alin. (1) pot percepe tarife cu niveluri diferite pentru zone geografice
diferite sau pentru serviciile prestate în regim de urgenta, pentru
înscrierile on-line, potrivit propriilor strategii comerciale, cu
respectarea dispozitiilor legale.
(3) Sunt interzise
agentiilor de omologare si împuternicitilor acestora publicarea de
tabele comparative privind nivelul tarifelor si adoptarea oricaror masuri
al caror scop este sa limiteze reclama privind nivelul tarifelor încasate
de alte agentii pentru serviciile prestate.
Art. 50. - (1) Agentiile de omologare
sunt supuse prevederilor Legii concurentei nr. 21/1996 în ceea ce priveste stabilirea tarifelor percepute
pentru serviciile prestate, precum si în privinta actelor sau faptelor
care au sau pot avea ca efect restrangerea concurentei pe piata serviciilor
respective.
(2) Agentiile de
omologare sunt, de asemenea, supuse prevederilor Legii nr. 11/1991 privind combaterea concurentei neloiale, cu modificarile
ulterioare.
Art. 51. - Cuantumul amenzilor prevazute de prezenta lege va fi actualizat
prin hotarare a Guvernului, în functie de evolutia indicelui de inflatie.
Art. 52. - In termen de 3 luni de la data publicarii prezentei legi
în Monitorul Oficial al Romaniei, Partea I, autoritatea de reglementare
si supraveghere specializata în domeniu va elabora norme tehnice si
metodologice de aplicare a acesteia.
Art. 53. - Prezenta lege va intra în vigoare la data publicarii
ei în Monitorul Oficial al Romaniei, Partea I, si se pune în
aplicare la 3 luni de la data intrarii în vigoare.
p. PRESEDINTELE SENATULUI,
DORU IOAN TÃRÃCILÃ
Aceasta lege a fost adoptata de Camera Deputatilor
în sedinta din 28 iunie 2001, cu respectarea prevederilor art. 74
alin. (1) din Constitutia Romaniei.
PRESEDINTELE CAMEREI DEPUTATILOR
VALER DORNEANU
Bucuresti, 18 iulie 2001.
Nr. 455.
Data adoptarii în Senat: 06/26/2001
Data adoptarii în Camera Deputatilor: 06/28/2001
Data promulgarii: 07/18/2001
Data intrarii în vigoare: 07/31/2001