LEGEA nr. 455 /2001 privind semnatura electronica

Parlamentul României adopta prezenta lege.


 

SECTIUNEA 1: Principii generale

Art. 1

Prezenta lege stabileste regimul juridic al semnaturii electronice si al înscrisurilor în forma electronica, precum si conditiile furnizarii de servicii de certificare a semnaturilor electronice.

Art. 2

Prezenta lege se completeaza cu dispozitiile legale privind încheierea, validitatea si efectele actelor juridice.

Art. 3

Nici o dispozitie a prezentei legi nu poate fi interpretata în sensul limitarii autonomiei de vointa si a libertatii contractuale a partilor.


SECTIUNEA a 2-a: Definitii

Art. 4.


În întelesul prezentei legi:
1. date în forma electronica sunt reprezentari ale informatiei într-o forma conventionala adecvata crearii, prelucrarii, trimiterii, primirii sau stocarii acesteia prin mijloace electronice;
2. înscris în forma electronica reprezinta o colectie de date în forma electronica între care exista relatii logice si functionale si care redau litere, cifre sau orice alte caractere cu semnificatie inteligibila, destinate a fi citite prin intermediul unui program informatic sau al altui procedeu similar;
3. semnatura electronica reprezinta date în forma electronica, care sunt atasate sau logic asociate cu alte date în forma electronica si care servesc ca metoda de identificare;
4. semnatura electronica extinsa reprezinta acea semnatura electronica care îndeplineste cumulativ urmatoarele conditii:
a) este legata în mod unic de semnatar;
b) asigura identificarea semnatarului;
c) este creata prin mijloace controlate exclusiv de semnatar;
d) este legata de datele în forma electronica, la care se raporteaza în asa fel încât orice modificare ulterioara a acestora este identificabila;
5. semnatar reprezinta o persoana care detine un dispozitiv de creare a semnaturii electronice si care actioneaza fie în nume propriu, fie ca reprezentant al unui tert;
6. date de creare a semnaturii electronice reprezinta orice date în forma electronica cu caracter de unicitate, cum ar fi coduri sau chei criptografice private, care sunt folosite de semnatar pentru crearea unei semnaturi electronice;
7. dispozitiv de creare a semnaturii electronice reprezinta software si/sau hardware configurate, utilizat pentru a implementa datele de creare a semnaturii electronice;
8. dispozitiv securizat de creare a semnaturii electronice reprezinta acel dispozitiv de creare a semnaturii electronice care îndeplineste cumulativ urmatoarele conditii:
a) datele de creare a semnaturii, utilizate pentru generarea acesteia, sa poata aparea numai o singura data si confidentialitatea acestora sa poata fi asigurata;
b) datele de creare a semnaturii, utilizate pentru generarea acesteia, sa nu poata fi deduse;
c) semnatura sa fie protejata împotriva falsificarii prin mijloacele tehnice disponibile la momentul generarii acesteia;
d) datele de creare a semnaturii sa poata fi protejate în mod efectiv de catre semnatar împotriva utilizarii acestora de catre persoane neautorizate;
e) sa nu modifice datele în forma electronica, care trebuie sa fie semnate, si nici sa nu împiedice ca acestea sa fie prezentate semnatarului înainte de finalizarea procesului de semnare;
9. date de verificare a semnaturii electronice reprezinta date în forma electronica, cum ar fi coduri sau chei criptografice publice, care sunt utilizate în scopul verificarii unei semnaturi electronice;
10. dispozitiv de verificare a semnaturii electronice reprezinta software si/sau hardware configurate, utilizat pentru a implementa datele de verificare a semnaturii electronice;
11. certificat reprezinta o colectie de date în forma electronica ce atesta legatura dintre datele de verificare a semnaturii electronice si o persoana, confirmând identitatea acelei persoane;
12. certificat calificat reprezinta un certificat care satisface conditiile prevazute la art. 18 si care este eliberat de un furnizor de servicii de certificare ce satisface conditiile prevazute la art. 20;
13. furnizor de servicii de certificare reprezinta orice persoana, româna sau straina, care elibereaza certificate sau care presteaza alte servicii legate de semnatura electronica;
14. furnizor de servicii de certificare calificata este acel furnizor de servicii de certificare care elibereaza certificate calificate;
15. produs asociat semnaturii electronice reprezinta software sau hardware, destinat a fi utilizat de un furnizor de servicii de certificare pentru prestarea serviciilor legate de semnatura electronica sau destinat a fi utilizat pentru crearea ori verificarea semnaturii electronice.


 

Art. 5

Înscrisul în forma electronica, caruia i s-a încorporat, atasat sau i s-a asociat logic o semnatura electronica extinsa, bazata pe un certificat calificat nesuspendat sau nerevocat la momentul respectiv si generata cu ajutorul unui dispozitiv securizat de creare a semnaturii electronice, este asimilat, în ceea ce priveste conditiile si efectele sale, cu înscrisul sub semnatura privata.

Art. 6

Înscrisul în forma electronica, caruia i s-a încorporat, atasat sau i s-a asociat logic o semnatura electronica, recunoscut de catre cel caruia i se opune, are acelasi efect ca actul autentic între cei care l-au subscris si între cei care le reprezinta drepturile.

Art. 7

În cazurile în care, potrivit legii, forma scrisa este ceruta ca o conditie de proba sau de validitate a unui act juridic, un înscris în forma electronica îndeplineste aceasta cerinta daca i s-a încorporat, atasat sau i s-a asociat logic o semnatura electronica extinsa, bazata pe un certificat calificat si generata prin intermediul unui dispozitiv securizat de creare a semnaturii.
 

Art. 8

(1) În cazul în care una dintre parti nu recunoaste înscrisul sau semnatura, instanta va dispune întotdeauna ca verificarea sa se faca prin expertiza tehnica de specialitate.
(2) În acest scop, expertul sau specialistul este dator sa solicite certificate calificate, precum si orice alte documente necesare, potrivit legii, pentru identificarea autorului înscrisului, a semnatarului ori a titularului de certificat.

Art. 9

(1) Partea care invoca înaintea instantei o semnatura electronica extinsa trebuie sa probeze ca aceasta îndeplineste conditiile prevazute la art. 4 pct. 4.
(2) Semnatura electronica extinsa, bazata pe un certificat calificat eliberat de un furnizor de servicii de certificare acreditat, este prezumata a îndeplini conditiile prevazute la art. 4 pct. 4.

Art. 10

(1) Partea care invoca înaintea instantei un certificat calificat trebuie sa probeze ca furnizorul de servicii de certificare care a eliberat respectivul certificat îndeplineste conditiile prevazute la art. 20.
(2) Furnizorul de servicii de certificare acreditat este prezumat a îndeplini conditiile prevazute la art. 20.

Art. 11

(1) Partea care invoca înaintea instantei un mecanism securizat de creare a semnaturii trebuie sa probeze ca acesta îndeplineste conditiile prevazute la art. 4 pct. 8.
(2) Dispozitivul securizat de generare a semnaturii, omologat în sensul prezentei legi, este prezumat a îndeplini conditiile prevazute la art. 4 pct. 8.


 

SECTIUNEA 1: Dispozitii comune

Art. 12

(1) Furnizarea serviciilor de certificare nu este supusa nici unei autorizari prealabile si se desfasoara în concordanta cu principiile concurentei libere si loiale, cu respectarea actelor normative în vigoare.
(2) Furnizarea serviciilor de certificare de catre furnizorii stabiliti în statele membre ale Uniunii Europene se face în conditiile prevazute în Acordul european instituind o asociere între România, pe de o parte, Comunitatile Europene si statele membre ale acestora, pe de alta parte.

Art. 13

(1) Cu 30 de zile înainte de începerea activitatilor legate de certificarea semnaturilor electronice persoanele care intentioneaza sa furnizeze servicii de certificare au obligatia de a notifica autoritatea de reglementare si supraveghere specializata în domeniu cu privire la data începerii acestor activitati.
(2) O data cu efectuarea notificarii prevazute la alin. (1) furnizorii de servicii de certificare au obligatia de a comunica autoritatii de reglementare si supraveghere specializate în domeniu toate informatiile referitoare la procedurile de securitate si de certificare utilizate, precum si orice alte informatii cerute de autoritatea de reglementare si supraveghere specializata în domeniu.
(3) Furnizorii de servicii de certificare au obligatia de a comunica autoritatii de reglementare si supraveghere specializate în domeniu, cu cel putin 10 zile înainte, orice intentie de modificare a procedurilor de securitate si de certificare, cu precizarea datei si orei la care modificarea intra în vigoare, precum si obligatia de a confirma în termen de 24 de ore modificarea efectuata.
(4) În cazurile de urgenta, în care securitatea serviciilor de certificare este afectata, furnizorii pot efectua modificari ale procedurilor de securitate si de certificare, urmând sa comunice, în termen de 24 de ore, autoritatii de reglementare si supraveghere specializate în domeniu modificarile efectuate si justificarea deciziei luate.
(5) Furnizorii de servicii de certificare sunt obligati sa respecte, pe parcursul desfasurarii activitatii, procedurile de securitate si de certificare declarate, potrivit alin. (2), (3) si (4).

Art. 14

(1) Furnizorul de servicii de certificare va asigura accesul la toate informatiile necesare utilizarii corecte si în conditii de siguranta a serviciilor sale. Informatiile respective vor fi furnizate anterior nasterii oricarui raport contractual cu persoana care solicita un certificat sau, dupa caz, la cererea unui tert care se prevaleaza de un asemenea certificat.
(2) Informatiile prevazute la alin. (1) vor fi formulate în scris, într-un limbaj accesibil, si vor fi transmise prin mijloace electronice, în conditii care sa permita stocarea si reproducerea lor.
(3) Informatiile prevazute la alin. (1) vor face referire cel putin la:
a) procedura ce trebuie urmata în scopul crearii si verificarii semnaturii electronice;
b) tarifele percepute;
c) modalitatile si conditiile concrete de utilizare a certificatelor, inclusiv limitele impuse utilizarii acestora, cu conditia ca aceste limite sa poata fi cunoscute de terti;
d) obligatiile care incumba, potrivit prezentei legi, titularului certificatului si furnizorului de servicii de certificare;
e) existenta unei acreditari, daca este cazul;
f) conditiile contractuale de eliberare a certificatului, inclusiv eventualele limitari ale raspunderii furnizorului de servicii de certificare;
g) caile de solutionare a litigiilor;
h) orice alte informatii stabilite de autoritatea de reglementare si supraveghere specializata în domeniu.
(4) Furnizorul de servicii de certificare va transmite solicitantului un exemplar al certificatului.
(5) Din momentul acceptarii certificatului de catre solicitant, furnizorul de servicii de certificare va înscrie certificatul în registrul prevazut la art. 17.

Art. 15

(1) Persoanele fizice care presteaza, conform legii, în nume propriu servicii de certificare, precum si personalul angajat al furnizorului de servicii de certificare, persoana fizica sau juridica, sunt obligate sa pastreze secretul informatiilor încredintate în cadrul activitatii lor profesionale, cu exceptia celor în legatura cu care titularul certificatului accepta sa fie publicate sau comunicate tertilor.
(2) Încalcarea obligatiei prevazute la alin. (1) constituie infractiune de divulgare a secretului profesional, prevazuta si sanctionata de art. 196 din Codul penal.
(3) Nu constituie divulgare a secretului profesional comunicarea de informatii catre o autoritate publica, atunci când aceasta actioneaza în exercitarea si în limitele competentelor sale legale.
(4) Obligatia prevazuta la alin. (1) incumba si personalului autoritatii de reglementare si supraveghere specializate în domeniu, precum si persoanelor împuternicite de aceasta.

Art. 16

(1) Autoritatea de reglementare si supraveghere specializata în domeniu si furnizorii de servicii de certificare au obligatia sa respecte dispozitiile legale privitoare la prelucrarea datelor cu caracter personal.
(2) Furnizorii de servicii de certificare nu pot colecta date cu caracter personal decât de la persoana care solicita un certificat sau, cu consimtamântul expres al acesteia, de la terti. Colectarea se face doar în masura în care aceste informatii sunt necesare în vederea eliberarii si conservarii certificatului. Datele pot fi colectate si utilizate în alte scopuri doar cu consimtamântul expres al persoanei care solicita certificatul.
(3) Atunci când se utilizeaza un pseudonim, identitatea reala a titularului nu poate fi divulgata de catre furnizorul de servicii de certificare decât cu consimtamântul titularului sau în cazurile prevazute la art. 15 alin. (3).

Art. 17

(1) Furnizorii de servicii de certificare au obligatia de a crea si de a mentine un registru electronic de evidenta a certificatelor eliberate.
(2) Registrul electronic de evidenta a certificatelor eliberate trebuie sa faca mentiune despre:
a) data si ora exacta la care certificatul a fost eliberat;
b) data si ora exacta la care expira certificatul;
c) daca este cazul, data si ora exacta la care certificatul a fost suspendat sau revocat, inclusiv cauzele care au condus la suspendare sau la revocare.
(3) Registrul electronic de evidenta a certificatelor eliberate trebuie sa fie disponibil permanent pentru consultare, inclusiv în regim on-line.
 

SECTIUNEA a 2-a: Furnizarea serviciilor de certificare calificata

Art. 18

(1) Certificatul calificat va cuprinde urmatoarele mentiuni:
a) indicarea faptului ca certificatul a fost eliberat cu titlu de certificat calificat;
b) datele de identificare a furnizorului de servicii de certificare, precum si cetatenia acestuia, în cazul persoanelor fizice, respectiv nationalitatea acestuia, în cazul persoanelor juridice;
c) numele semnatarului sau pseudonimul acestuia, identificat ca atare, precum si alte atribute specifice ale semnatarului, daca sunt relevante, în functie de scopul pentru care este eliberat certificatul calificat;
d) codul personal de identificare a semnatarului;
e) datele de verificare a semnaturii, care corespund datelor de creare a semnaturii aflate sub controlul exclusiv al semnatarului;
f) indicarea începutului si sfârsitului perioadei de valabilitate a certificatului calificat;
g) codul de identificare a certificatului calificat;
h) semnatura electronica extinsa a furnizorului de servicii de certificare care elibereaza certificatul calificat;
i) daca este cazul, limitele utilizarii certificatului calificat sau limitele valorice ale operatiunilor pentru care acesta poate fi utilizat;
j) orice alte informatii stabilite de autoritatea de reglementare si supraveghere specializata în domeniu.
(2) Fiecarui semnatar i se va atribui de catre furnizorul de servicii de certificare un cod personal care sa asigure identificarea unica a semnatarului.
(3) Generarea codului personal de identificare si a codului de identificare a certificatului calificat se va face pe baza reglementarilor stabilite de autoritatea de reglementare si supraveghere specializata în domeniu.
(4) La solicitarea titularului furnizorul de servicii de certificare va putea înscrie în certificatul calificat si alte informatii decât cele mentionate la alin. (1), cu conditia ca acestea sa nu fie contrare legii, bunelor moravuri sau ordinii publice, si numai dupa o prealabila verificare a exactitatii acestor informatii.
(5) Certificatul calificat va indica în mod expres faptul ca este utilizat un pseudonim, atunci când titularul se identifica printr-un pseudonim.

Art. 19

(1) La eliberarea certificatelor calificate furnizorii de servicii de certificare au obligatia de a verifica identitatea solicitantilor exclusiv pe baza actelor de identitate.
(2) La eliberarea fiecarui certificat calificat furnizorii au obligatia sa emita doua copii de pe acesta, pe suport de hârtie, dintre care un exemplar este pus la dispozitie titularului, iar celalalt este pastrat de catre furnizori o perioada de 10 ani.

Art. 20

În vederea emiterii certificatelor calificate furnizorii de servicii de certificare trebuie sa îndeplineasca urmatoarele conditii:
a) sa dispuna de mijloace financiare si de resurse materiale, tehnice si umane corespunzatoare pentru garantarea securitatii, fiabilitatii si continuitatii serviciilor de certificare oferite;
b) sa asigure operarea rapida si sigura a înregistrarii informatiilor prevazute la art. 17, în special operarea rapida si sigura a unui serviciu de suspendare si revocare a certificatelor calificate;
c) sa asigure posibilitatea de a se determina cu precizie data si ora exacta a eliberarii, a suspendarii sau a revocarii unui certificat calificat;
d) sa verifice, cu mijloace corespunzatoare si conforme dispozitiilor legale, identitatea si, daca este cazul, atributele specifice ale persoanei careia îi este eliberat certificatul calificat;
e) sa foloseasca personal cu cunostinte de specialitate, experienta si calificare, necesare pentru furnizarea serviciilor respective, si, în special, competenta în domeniul gestiunii, cunostinte de specialitate în domeniul tehnologiei semnaturii electronice si o practica suficienta în ceea ce priveste procedurile de securitate corespunzatoare; de asemenea, sa aplice procedurile administrative si de gestiune adecvate si care corespund standardelor recunoscute;
f) sa utilizeze produse asociate semnaturii electronice, cu un înalt grad de fiabilitate, care sunt protejate împotriva modificarilor si care asigura securitatea tehnica si criptografica a desfasurarii activitatilor de certificare a semnaturii electronice;
g) sa adopte masuri împotriva falsificarii certificatelor si sa garanteze confidentialitatea în cursul procesului de generare a datelor de creare a semnaturilor, în cazul în care furnizorii de servicii de certificare genereaza astfel de date;
h) sa pastreze toate informatiile cu privire la un certificat calificat pentru o perioada de minimum 10 ani de la data încetarii valabilitatii certificatului, în special pentru a putea face dovada certificarii în cadrul unui eventual litigiu;
i) sa nu stocheze, sa nu reproduca si sa nu dezvaluie tertilor datele de creare a semnaturii, cu exceptia cazului în care semnatarul solicita aceasta;
j) sa utilizeze sisteme fiabile pentru stocarea certificatelor calificate, astfel încât: numai persoanele autorizate sa poata introduce si modifica informatiile din certificate; exactitatea informatiei sa poata fi verificata; certificatele sa poata fi consultate de terti doar în cazul în care exista acordul titularului acestora; orice modificare tehnica, care ar putea pune în pericol aceste conditii de securitate, sa poata fi identificata de persoanele autorizate;
k) orice alte conditii stabilite de autoritatea de reglementare si supraveghere specializata în domeniu.

Art. 21

Furnizorii de servicii de certificare calificata sunt obligati sa foloseasca numai dispozitive securizate de creare a semnaturii electronice.

Art. 22

(1) Furnizorul de servicii de certificare calificata trebuie sa dispuna de resurse financiare pentru acoperirea prejudiciilor pe care le-ar putea cauza cu prilejul desfasurarii activitatilor legate de certificarea semnaturilor electronice.
(2) Asigurarea se realizeaza fie prin subscrierea unei polite de asigurare la o societate de asigurari, fie prin intermediul unei scrisori de garantie din partea unei institutii financiare de specialitate, fie printr-o alta modalitate stabilita prin decizie a autoritatii de reglementare si supraveghere specializate în domeniu.
(3) Suma asigurata si suma acoperita prin scrisoarea de garantie sunt stabilite de autoritatea de reglementare si supraveghere specializata în domeniu.

SECTIUNEA a 3-a: Suspendarea si încetarea valabilitatii certificatelor

Art. 23

(1) Orice furnizor de servicii de certificare are obligatia de a suspenda certificatul în termen de 24 de ore din momentul în care a luat cunostinta sau trebuia si putea sa ia cunostinta despre aparitia oricaruia dintre urmatoarele cazuri:
a) la cererea semnatarului, dupa o prealabila verificare a identitatii acestuia;
b) în cazul în care o hotarâre judecatoreasca dispune suspendarea;
c) în cazul în care informatiile continute în certificat nu mai corespund realitatii, daca nu se impune revocarea certificatului;
d) în orice alte situatii care constituie cazuri de suspendare a certificatelor eliberate, potrivit procedurilor de securitate si de certificare declarate de furnizor în baza art. 13.
(2) Orice furnizor de servicii de certificare are obligatia de a revoca certificatul în termen de 24 de ore din momentul în care a luat cunostinta sau trebuia si putea sa ia cunostinta despre aparitia oricaruia dintre urmatoarele cazuri:
a) la cererea semnatarului, dupa o prealabila verificare a identitatii acestuia;
b) la decesul sau punerea sub interdictie a semnatarului; c) în cazul în care o hotarâre judecatoreasca irevocabila dispune revocarea;
d) daca se dovedeste în mod neîndoielnic ca certificatul a fost emis în baza unor informatii eronate sau false;
e) în cazul în care informatiile esentiale continute în certificat nu mai corespund realitatii;
f) atunci când confidentialitatea datelor de creare a semnaturii a fost încalcata;
g) în cazul în care certificatul a fost utilizat în mod fraudulos;
h) în orice alte situatii care constituie cazuri de revocare a certificatelor eliberate, potrivit procedurilor de securitate si de certificare declarate de furnizor în baza art. 13.
(3) Furnizorul de servicii de certificare îl va informa de urgenta pe titular despre suspendarea sau revocarea certificatului, împreuna cu motivele care au stat la baza deciziei sale.
(4) Furnizorul de servicii de certificare va înscrie mentiunea de suspendare sau de revocare a certificatului în registrul electronic de evidenta a certificatelor eliberate prevazut la art. 17, în termen de 24 de ore din momentul în care a luat cunostinta sau trebuia si putea sa ia cunostinta despre adoptarea deciziei respective.
(5) Suspendarea sau revocarea va deveni opozabila tertilor de la data înscrierii sale în registrul electronic de evidenta a certificatelor.

 Art. 24

(1) În cazul în care furnizorul de servicii de certificare intentioneaza sa înceteze activitatile legate de certificarea semnaturilor electronice sau afla ca va fi în imposibilitate de a continua aceste activitati, el va informa, cu cel putin 30 de zile înainte de încetare, autoritatea de reglementare si supraveghere specializata în domeniu despre intentia sa, respectiv despre existenta si natura împrejurarii care justifica imposibilitatea de continuare a activitatilor.
(2) Furnizorului de servicii de certificare îi revine obligatia ca, în situatia în care se afla în imposibilitate de a continua activitatile legate de certificarea semnaturilor electronice si nu a putut prevedea aceasta situatie cu cel putin 30 de zile înainte ca încetarea activitatilor sa se produca, sa informeze autoritatea de reglementare si supraveghere specializata în domeniu, în termen de 24 de ore din momentul în care a luat cunostinta sau trebuia si putea sa ia cunostinta despre imposibilitatea continuarii activitatilor. Informarea trebuie sa se refere la existenta si natura împrejurarii care justifica imposibilitatea de continuare a activitatilor.
(3) Furnizorul de servicii de certificare poate transfera, în tot sau în parte, activitatile sale unui alt furnizor de servicii de certificare. Transferul va opera potrivit urmatoarelor conditii:
a) furnizorul de servicii de certificare va înstiinta fiecare titular de certificate neexpirate, cu cel putin 30 de zile înainte, despre intentia sa de transferare a activitatilor legate de certificarea semnaturilor electronice catre un alt furnizor de servicii de certificare;
b) furnizorul de servicii de certificare va mentiona identitatea furnizorului de servicii de certificare caruia intentioneaza sa îi transfere activitatile sale;
c) furnizorul de servicii de certificare va face cunoscute fiecarui titular de certificat posibilitatea de a refuza acest transfer, precum si termenul si conditiile în care refuzul poate fi exercitat; în lipsa unei acceptari exprese a titularului, în termenul precizat de furnizorul de servicii de certificare, certificatul va fi revocat de catre acesta din urma.
(4) Furnizorul de servicii de certificare, aflat în unul dintre cazurile prevazute la alin. (1) si (2), ale carui activitati nu sunt preluate de un alt furnizor de servicii de certificare, va revoca certificatele în termen de 30 de zile de la data înstiintarii titularilor de certificate si va lua masurile necesare pentru asigurarea conservarii arhivelor sale, precum si pentru asigurarea prelucrarii datelor personale, în conditiile legii.
(5) Sunt considerate cazuri de imposibilitate de continuare a activitatilor legate de certificarea semnaturilor electronice, în întelesul prezentului articol, dizolvarea sau lichidarea, voluntara ori judiciara, falimentul, precum si orice alta cauza de încetare a activitatii, cu exceptia aplicarii sanctiunilor prevazute la art. 33 alin. (2) si (3).


 

SECTIUNEA 1: Autoritatea de reglementare si supraveghere

Art. 25

Responsabilitatea aplicarii dispozitiilor prezentei legi si a reglementarilor legate de aceasta revine autoritatii de reglementare si supraveghere specializate în domeniu.

Art. 26

(1) În termen de cel mult 18 luni de la data publicarii legii în Monitorul Oficial al României, Partea I, se va înfiinta autoritatea publica specializata, cu atributii de reglementare si de supraveghere în domeniu, în sensul prezentei legi.
(2) Pâna la înfiintarea autoritatii mentionate la alin. (1) atributiile acesteia, în sensul prezentei legi, revin Ministerului Comunicatiilor si Tehnologiei Informatiei.

Art. 27

Ministerul Comunicatiilor si Tehnologiei Informatiei poate delega, în tot sau în parte, atributiile sale de supraveghere, în sensul prezentei legi, unei alte autoritati publice aflate în coordonare.

Art. 28

(1) La data intrarii în vigoare a prezentei legi se înfiinteaza Registrul furnizorilor de servicii de certificare, denumit în continuare Registru, care se constituie si se actualizeaza de catre autoritatea de reglementare si supraveghere specializata în domeniu. De la data înfiintarii autoritatii publice specializate prevazute la art. 26 Registrul va fi preluat si actualizat de aceasta autoritate.
(2) Registrul constituie evidenta oficiala: a) a furnizorilor de servicii de certificare care au sediul în România; b) a furnizorilor de servicii de certificare cu sediul sau domiciliul în alt stat, ale caror certificate calificate sunt recunoscute conform art. 40.
(3) Registrul are rolul de a asigura, prin efectuarea înregistrarilor prevazute de prezenta lege, stocarea datelor de identificare si a unor informatii legate de activitatea furnizorilor de servicii de certificare, precum si informarea publicului cu privire la datele si informatiile stocate.
(4) Continutul si structura Registrului se stabilesc, prin reglementari, de catre autoritatea de reglementare si supraveghere specializata în domeniu.

Art. 29

(1) Înregistrarea în Registrul prevazut la art. 28 a datelor de identificare si a informatiilor necesare cu privire la activitatea furnizorilor de servicii de certificare mentionati la art. 28 alin. (2) se efectueaza pe baza de cerere individuala, care trebuie introdusa la autoritatea de reglementare si supraveghere specializata în domeniu, cel mai târziu la data începerii activitatii furnizorului.
(2) Continutul obligatoriu al cererii prevazute la alin. (1) si documentatia necesara se stabilesc prin reglementari de catre autoritatea de reglementare si supraveghere specializata în domeniu.

Art. 30

(1) Registrul este public si se actualizeaza permanent.
(2) Conditiile tinerii Registrului, accesul efectiv la informatiile pe care le contine, informatiile care pot fi oferite solicitantilor si modul de actualizare a acestuia se stabilesc prin normele tehnice si metodologice emise de autoritatea de reglementare si supraveghere specializata în domeniu.


SECTIUNEA a 2-a: Supravegherea activitatii furnizorilor de servicii de certificare
Art. 31

(1) Autoritatea de reglementare si supraveghere specializata în domeniu va putea, din oficiu sau la solicitarea oricarei persoane interesate, sa verifice sau sa dispuna verificarea conformitatii activitatilor unui furnizor de servicii de certificare cu dispozitiile prezentei legi sau cu reglementari emise de catre autoritatea de reglementare si supraveghere specializata în domeniu.
(2) Atributiile de control ce revin autoritatii de reglementare si supraveghere specializate în domeniu, potrivit alin. (1), sunt exercitate de personalul anume împuternicit în acest sens.
(3) În vederea exercitarii controlului, personalul cu atributii de control este autorizat:
a) sa aiba acces liber, permanent, în orice loc în care se afla echipamentele necesare furnizarii de servicii de certificare, în conditiile legii;
b) sa solicite orice document sau informatie necesara în vederea realizarii controlului;
c) sa verifice punerea în aplicare a oricaror proceduri de securitate sau de certificare utilizate de furnizorul de servicii de certificare supus controlului;
d) sa sigileze orice echipamente necesare furnizarii de servicii de certificare sau sa retina orice document ce are legatura cu aceasta activitate, pe o perioada care nu poate depasi 15 zile, daca aceasta masura se impune;
e) sa ia orice alte asemenea masuri, în limitele legii.
(4) Personalul cu atributii de control este obligat:
a) sa nu dezvaluie datele de care a luat cunostinta cu ocazia exercitarii atributiilor sale;
b) sa pastreze confidentialitatea surselor de informatii în legatura cu sesizarile sau plângerile primite.

Art. 32

(1) Furnizorii de servicii de certificare au obligatia de a facilita exercitarea atributiilor de control de catre personalul anume împuternicit în acest sens.
(2) În cazul neîndeplinirii obligatiei prevazute la alin. (1), în afara de aplicarea sanctiunii prevazute la art. 44 lit. c), autoritatea de reglementare si supraveghere specializata în domeniu va putea sa suspende activitatea furnizorului pâna la data la care acesta va coopera cu personalul de control.

Art. 33

(1) Daca în urma controlului efectuat se constata nerespectarea dispozitiilor prezentei legi si a reglementarilor emise de autoritatea de reglementare si supraveghere specializata în domeniu, aceasta va solicita furnizorului de servicii de certificare sa se conformeze, în termenul pe care îl va stabili, dispozitiilor legale. În acest caz, autoritatea de reglementare si supraveghere specializata în domeniu poate dispune suspendarea activitatii furnizorului.
(2) Neîndeplinirea în termenul stabilit a obligatiei de conformare prevazute la alin. (1) constituie motiv pentru autoritatea de reglementare si supraveghere specializata în domeniu de a dispune încetarea activitatii furnizorului de servicii de certificare si radierea acestuia din Registru.
(3) În cazul în care se constata o încalcare grava a dispozitiilor legale, autoritatea de reglementare si supraveghere specializata în domeniu poate dispune direct si imediat încetarea activitatii furnizorului de servicii de certificare si radierea acestuia din Registru.

Art. 34

(1) În cazul în care dispune încetarea activitatii unui furnizor de servicii de certificare, autoritatea de reglementare si supraveghere specializata în domeniu va asigura fie revocarea certificatelor furnizorului de servicii de certificare si ale semnatarilor, fie preluarea activitatii sau cel putin a registrului electronic de evidenta a certificatelor eliberate si a serviciului de revocare a acestora de catre un alt furnizor de servicii de certificare, cu acordul acestuia.
(2) Semnatarii vor fi informati imediat de autoritatea de reglementare si supraveghere specializata în domeniu despre încetarea activitatii furnizorului, precum si despre revocarea certificatelor sau preluarea acestora de catre un alt furnizor.
(3) Daca activitatea furnizorului de servicii de certificare nu este preluata de catre un alt furnizor, furnizorul de servicii de certificare este obligat sa asigure revocarea tuturor certificatelor eliberate de el. Autoritatea de reglementare si supraveghere specializata în domeniu va revoca certificatele, pe cheltuiala furnizorului, daca acesta nu îsi îndeplineste obligatia.
(4) Autoritatea de reglementare si supraveghere specializata în domeniu va prelua si va mentine arhivele si registrul electronic de evidenta a certificatelor eliberate de furnizorul de servicii de certificare a carui activitate nu a fost preluata de catre un alt furnizor.

Art. 35

(1) Radierea furnizorilor de servicii de certificare din Registru se efectueaza pe baza comunicarii facute de catre furnizor autoritatii de reglementare si supraveghere specializate în domeniu cu cel putin 30 de zile înainte de data încetarii activitatii sale.
(2) Radierea se poate efectua si din oficiu de catre autoritatea de reglementare si supraveghere specializata în domeniu, în situatia în care aceasta constata pe orice alta cale ca furnizorul si-a încetat activitatea.
 SECTIUNEA a 3-a: Acreditarea voluntara

Art. 36

(1) În scopul asigurarii unui grad sporit de securitate a operatiunilor si al protejarii corespunzatoare a drepturilor si intereselor legitime ale beneficiarilor de servicii de certificare, furnizorii de servicii de certificare care doresc sa îsi desfasoare activitatea ca furnizori acreditati pot solicita obtinerea unei acreditari din partea autoritatii de reglementare si supraveghere specializate în domeniu.
(2) Conditiile si procedura acordarii, suspendarii si retragerii deciziei de acreditare, continutul acestei decizii, durata ei de valabilitate, precum si efectele suspendarii si ale retragerii deciziei se stabilesc de autoritatea de reglementare si supraveghere specializata în domeniu, prin reglementari, cu respectarea principiilor obiectivitatii, transparentei, proportionalitatii si tratamentului nediscriminatoriu.

Art. 37

(1) Furnizorii de servicii de certificare acreditati în conditiile prezentei legi au dreptul de a folosi o mentiune distinctiva care sa se refere la aceasta calitate în toate activitatile pe care le desfasoara, legate de certificarea semnaturilor.
(2) Furnizorii de servicii de certificare acreditati în conditiile prezentei legi sunt obligati sa solicite efectuarea unei mentiuni în acest sens în Registru.

SECTIUNEA a 4-a: Omologarea

Art. 38

(1) Conformitatea dispozitivelor securizate de creare a semnaturii electronice cu prevederile prezentei legi se verifica de catre agentii de omologare, persoane juridice de drept public sau de drept privat, agreate de autoritatea de reglementare si supraveghere specializata în domeniu, în conditiile stabilite prin reglementari emise de aceasta.
(2) În urma îndeplinirii procedurii de verificare se emite certificatul de omologare a dispozitivului securizat de creare a semnaturii electronice. Certificatul poate fi retras în cazul în care agentia de omologare constata ca dispozitivul securizat de creare a semnaturii electronice nu mai îndeplineste una dintre conditiile prevazute în prezenta lege.
(3) Conditiile si procedura de agreare a agentiilor de omologare se stabilesc prin reglementari de catre autoritatea de reglementare si supraveghere specializata în domeniu. (4) Decizia de agreare se emite de catre autoritatea de reglementare si supraveghere specializata în domeniu.

Art. 39

(1) Autoritatea de reglementare si supraveghere specializata în domeniu vegheaza la respectarea, de catre agentiile de omologare, a prevederilor prezentei legi, a reglementarilor emise, precum si a dispozitiilor cuprinse în decizia de agreare.

(2) Prevederile art. 31-32 se aplica în mod corespunzator controlului exercitat de autoritatea de reglementare si supraveghere specializata în domeniu asupra activitatii agentiilor de omologare.


 

Art. 40

Certificatul calificat eliberat de catre un furnizor de servicii de certificare cu domiciliul sau cu sediul într-un alt stat este recunoscut ca fiind echivalent din punct de vedere al efectelor juridice cu certificatul calificat eliberat de un furnizor de servicii de certificare cu domiciliul sau cu sediul în România, daca:
a) furnizorul de servicii de certificare cu domiciliul sau sediul în alt stat a fost acreditat în cadrul regimului de acreditare, în conditiile prevazute de prezenta lege;
b) un furnizor de servicii de certificare acreditat, cu domiciliul sau cu sediul în România, garanteaza certificatul;
c) certificatul sau furnizorul de servicii de certificare care l-a eliberat este recunoscut prin aplicarea unui acord bilateral sau multilateral între România si alte state sau organizatii internationale, pe baza de reciprocitate.


 

Art. 41br>
Furnizorul de servicii de certificare, care elibereaza certificate prezentate ca fiind calificate sau care garanteaza asemenea certificate, este raspunzator pentru prejudiciul adus oricarei persoane care îsi întemeiaza conduita pe efectele juridice ale respectivelor certificate:
a) în ceea ce priveste exactitatea, în momentul eliberarii certificatului, a tuturor informatiilor pe care le contine;
b) în ceea ce priveste asigurarea ca, în momentul eliberarii certificatului, semnatarul identificat în cuprinsul acestuia detinea datele de generare a semnaturii corespunzatoare datelor de verificare a semnaturii mentionate în respectivul certificat;
c) în ceea ce priveste asigurarea ca datele de generare a semnaturii corespund datelor de verificare a semnaturii, în cazul în care furnizorul de servicii de certificare le genereaza pe amândoua;
d) în ceea ce priveste suspendarea sau revocarea certificatului, în cazurile si cu respectarea conditiilor prevazute la art. 24 alin. (1) si (2);
e) în privinta îndeplinirii tuturor obligatiilor prevazute la art. 13-17 si la art. 19-22, cu exceptia cazurilor în care furnizorul de servicii de certificare probeaza ca, desi a depus diligenta necesara, nu a putut împiedica producerea prejudiciului.

Art. 42

(1) Furnizorul de servicii de certificare poate sa indice în cuprinsul unui certificat calificat restrictii ale utilizarii acestuia, precum si limite ale valorii operatiunilor pentru care acesta poate fi utilizat, cu conditia ca respectivele restrictii sa poata fi cunoscute de terti.
(2) Furnizorul de servicii de certificare nu va fi raspunzator pentru prejudiciile rezultând din utilizarea unui certificat calificat cu încalcarea restrictiilor prevazute în cuprinsul acestuia.


CAPITOLUL VII: Obligatiile titularilor de certificate

Art. 43

Titularii de certificate sunt obligati sa solicite, de îndata, revocarea certificatelor, în cazul în care:
a) au pierdut datele de creare a semnaturii electronice;
b)au motive sa creada ca datele de creare a semnaturii electronice au ajuns la cunostinta unui tert neautorizat;
c) informatiile esentiale cuprinse în certificat nu mai corespund realitatii.


 

Art. 44

Constituie contraventie, daca, potrivit legii, nu constituie infractiune, si se sanctioneaza cu amenda de la 5.000.000 lei la 100.000.000 lei fapta furnizorului de servicii de certificare care:
a) omite sa efectueze notificarea prevazuta la art. 13 alin. (1);
b) omite sa informeze autoritatea de reglementare si supraveghere specializata în domeniu asupra procedurilor de securitate si de certificare utilizate, în conditiile si cu respectarea termenelor prevazute la art. 13;
c) nu îsi îndeplineste obligatia de a facilita exercitarea atributiilor de control de catre personalul autoritatii de reglementare si supraveghere specializate în domeniu, anume împuternicit în acest sens;
d) realizeaza transferul activitatilor legate de certificarea semnaturilor electronice cu nerespectarea prevederilor art.24 alin. (3).

Art. 45

Constituie contraventie, daca, potrivit legii, nu constituie infractiune, si se sanctioneaza cu amenda de la 10.000.000 lei la 250.000.000 lei fapta furnizorului de servicii de certificare care:
a) nu furnizeaza persoanelor mentionate la art. 14 alin. (1), în conditiile prevazute la art. 14 alin. (1) si (2), informatiile obligatorii prevazute la art. 14 alin. (3) ori nu furnizeaza toate aceste informatii sau furnizeaza informatii inexacte;
b) încalca obligatiile privitoare la prelucrarea datelor cu caracter personal prevazute la art. 16;
c) omite sa efectueze înregistrarile obligatorii, potrivit legii, în registrul electronic de evidenta a certificatelor eliberate, prevazut la art. 17, sau le efectueaza cu nerespectarea termenului prevazut la art. 14 alin. (5), art. 23 alin.(1) sau (2) ori înregistreaza mentiuni inexacte;
d) elibereaza certificate prezentate titularilor ca fiind calificate, care nu contin toate mentiunile obligatorii prevazute la art. 18;
e) elibereaza certificate calificate care contin informatii inexacte, informatii care sunt contrare legii, bunelor moravuri sau ordinii publice, ori informatii a caror exactitate nu a fost verificata în conditiile prevazute la art. 18 alin. (4);
f) elibereaza certificate calificate fara a verifica identitatea solicitantului, în conditiile prevazute la art. 19;
g) omite sa ia masuri de natura sa garanteze confidentialitatea în cursul procesului de generare a datelor de creare a semnaturilor, în cazul în care furnizorul de servicii de certificare genereaza astfel de date;
h) nu pastreaza toate informatiile cu privire la un certificat calificat o perioada de minimum 5 ani de la data încetarii valabilitatii certificatului;
i) stocheaza, reproduce sau dezvaluie tertilor datele de creare a semnaturii electronice, cu exceptia cazului în care semnatarul solicita aceasta, în cazul în care furnizorul elibereaza certificate calificate;
j) stocheaza certificatele calificate într-o forma care nu respecta conditiile prevazute la art. 20 lit. j);
k) utilizeaza dispozitive de creare a semnaturii electronice, care nu îndeplinesc conditiile prevazute la art. 4 pct. 8, în cazul în care furnizorul de servicii de certificare elibereaza certificate calificate;
l) în cazul în care intentioneaza sa înceteze activitatile legate de certificarea semnaturilor electronice sau în oricare dintre situatiile prevazute la art. 24 alin. (5), când afla ca va fi în imposibilitate de a continua aceste activitati, nu informeaza cu cel putin 30 de zile înainte de încetarea activitatilor autoritatea de reglementare si supraveghere specializata în domeniu despre intentia sa, respectiv despre existenta si natura împrejurarii care justifica imposibilitatea de continuare a activitatilor;
m) în oricare dintre situatiile prevazute la art. 24 alin. (5), când se afla în imposibilitate de a continua activitatile legate de certificarea semnaturilor electronice si nu a putut prevedea aceasta situatie cu cel putin 30 de zile înainte ca încetarea activitatilor sa se produca, nu a informat autoritatea de reglementare si supraveghere specializata în domeniu în termenul prevazut la art. 24 alin. (2) despre existenta si natura împrejurarii care justifica imposibilitatea de continuare a activitatilor;
n) aflându-se în unul dintre cazurile prevazute la art. 24 alin. (1) si (2), omite sa ia masurile necesare pentru asigurarea conservarii arhivelor sale sau pentru asigurarea prelucrarii datelor cu caracter personal în conditiile legii;
o) nu suspenda sau nu revoca certificatele eliberate, în cazurile în care suspendarea sau revocarea este obligatorie, sau le revoca cu nerespectarea termenului legal;
p) continua sa desfasoare activitati legate de certificarea semnaturilor electronice în situatia în care autoritatea de reglementare si supraveghere specializata în domeniu a dispus suspendarea sau încetarea activitatii furnizorului de servicii de certificare;
q) elibereaza certificate sau desfasoara alte activitati legate de certificarea semnaturilor electronice, folosindu-se fara a avea dreptul de calitatea de furnizor de servicii de certificare acreditat, prin prezentarea unei mentiuni distinctive care sa se refere la aceasta calitate sau prin orice alte mijloace;
r) omite sa solicite, în termenul prevazut la art. 29 alin. (1), înregistrarea în Registru a datelor si informatiilor mentionate la art. 29.

Art. 46

Încalcarea de catre agentia de omologare a obligatiei de a facilita exercitarea atributiilor de control de catre personalul autoritatii de reglementare si supraveghere specializate în domeniu, anume împuternicit în acest sens, constituie contraventie si se sanctionaza cu amenda de la 15.000.000 lei la 250.000.000 lei.

Art. 47

Constatarea contraventiilor si aplicarea sanctiunilor prevazute în cadrul prezentului capitol sunt de competenta personalului cu atributii de control din cadrul autoritatii de reglementare si supraveghere specializate în domeniu.

Art. 48

Contraventiilor prevazute în prezentul capitol le sunt aplicabile prevederile Legii nr. 32/1968 privind stabilirea si sanctionarea contraventiilor.


 

Art. 49

(1) Nivelul tarifelor percepute de agentiile de omologare pentru prestarea serviciilor de omologare a dispozitivelor securizate de creare a semnaturii electronice, precum si pentru serviciile accesorii se stabileste în mod liber, cu respectarea prevederilor Legii concurentei nr. 21/1996.
(2) Agentiile mentionate la alin. (1) pot percepe tarife cu niveluri diferite pentru zone geografice diferite sau pentru serviciile prestate în regim de urgenta, pentru înscrierile on-line, potrivit propriilor strategii comerciale, cu respectarea dispozitiilor legale.
(3) Sunt interzise agentiilor de omologare si împuternicitilor acestora publicarea de tabele comparative privind nivelul tarifelor si adoptarea oricaror masuri al caror scop este sa limiteze reclama privind nivelul tarifelor încasate de alte agentii pentru serviciile prestate.

Art. 50

(1) Agentiile de omologare sunt supuse prevederilor Legii concurentei nr. 21/1996 în ceea ce priveste stabilirea tarifelor percepute pentru serviciile prestate, precum si în privinta actelor sau faptelor care au sau pot avea ca efect restrângerea concurentei pe piata serviciilor respective.
(2) Agentiile de omologare sunt, de asemenea, supuse prevederilor Legii nr. 11/1991 privind combaterea concurentei neloiale, cu modificarile ulterioare.

Art. 51

Cuantumul amenzilor prevazute de prezenta lege va fi actualizat prin hotarâre a Guvernului, în functie de evolutia indicelui de inflatie.

Art. 52

În termen de 3 luni de la data publicarii prezentei legi în Monitorul Oficial al României, Partea I, autoritatea de reglementare si supraveghere specializata în domeniu va elabora norme tehnice si metodologice de aplicare a acesteia.

Art. 53

Prezenta lege va intra în vigoare la data publicarii ei în Monitorul Oficial al României, Partea I, si se pune în aplicare la 3 luni de la data intrarii în vigoare.

Aceasta lege a fost adoptata de Senat în sedinta din 26 iunie 2001, cu respectarea prevederilor art. 74 alin. (1) din Constitutia României.

PRESEDINTELE SENATULUI,
DORU IOAN TARACILA


Aceasta lege a fost adoptata de Camera Deputatilor în sedinta din 28 iunie 2001, cu respectarea prevederilor art. 74 alin.(1) din Constitutia României.

PRESEDINTELE CAMEREI DEPUTATILOR
VALER DORNEANU


Publicata în Monitorul Oficial cu numarul 429 din data de 31 iulie 2001