Lege 455 Din 2001 Privind Semnatura Electronica

7/31/2019 Lege 455 Din 2001 Privind Semnatura Electronica

1/18

1

LEGE nr. 455 /2001 privind semntura electronic, publicat n Monitorul

Oficial nr . 429 din 31 iul ie 2001

Parlamentul Romniei adopt prezenta lege.

CAPITOLUL I: Dispoziii generale

SECIUNEA 1: Principii generale

Art. 1

Prezenta lege stabilete regimul juridic al semnturii electronice i al nscrisurilorn form electronic, precum i condiiile furnizrii de servicii de certificare asemnturilor electronice.

Art. 2

Prezenta lege se completeaz cu dispoziiile legale privind ncheierea, validitatea iefectele actelor juridice.

Art. 3

Nici o dispoziie a prezentei legi nu poate fi interpretat n sensul limitriiautonomiei de voin i a libertii contractuale a prilor.

SECIUNEA a 2-a: Definiii

Art. 4. - n nelesul prezentei legi:

1. date n form electronic sunt reprezentri ale informaiei ntr-o formconvenional adecvat crerii, prelucrrii, trimiterii, primirii sau stocrii acesteiaprin mijloace electronice;

2. nscris n form electronic reprezint o colecie de date n form electronicntre care exist relaii logice i funcionale i care redau litere, cifre sau orice altecaractere cu semnificaie inteligibil, destinate a fi citite prin intermediul unuiprogram informaic sau al altui procedeu similar;

3. semntur electronic reprezint date n form electronic, care sunt ataatesau logic asociate cu alte date n form electronic i care servesc ca metod deidentificare;

4. semntur electronic extins reprezint acea semntur electronic carendeplinete cumulativ urmtoarele condiii:

a) este legat n mod unic de semnatar;

b) asigur identificarea semnatarului;

c) este creat prin mijloace controlate exclusiv de semnatar;

d) este legat de datele n form electronic, la care se raporteaz n aa fel nctorice modificare ulterioar a acestora este identificabil;

5. semnatar reprezint o persoan care deine un dispozitiv de creare asemnturii electronice i care acioneaz fie n nume propriu, fie ca reprezentantal unui ter;


2/18

2

6. date de creare a semnturii electronice reprezint orice date n formelectronic cu caracter de unicitate, cum ar fi coduri sau chei criptografice private,care sunt folosite de semnatar pentru crearea unei semnturi electronice;

7. dispozitiv de creare a semnturii electronice reprezint software i/sauhardware configurate, utilizat pentru a implementa datele de creare a semnturiielectronice;

8. dispozitiv securizat de creare a semnturii electronice reprezint acel dispozitivde creare a semnturii electronice care ndeplinete cumulativ urmtoarelecondiii:

a) datele de creare a semnturii, utilizate pentru generarea acesteia, s poataprea numai o singur dat i confidenialitatea acestora s poat fi asigurat;

b) datele de creare a semnturii, utilizate pentru generarea acesteia, s nu poatfi deduse;

c) semntura s fie protejat mpotriva falsificrii prin mijloacele tehnicedisponibile la momentul generrii acesteia;

d) datele de creare a semnturii s poat fi protejate n mod efectiv de ctresemnatar mpotriva utilizrii acestora de ctre persoane neautorizate;

e) s nu modifice datele n form electronic, care trebuie s fie semnate, i nicis nu mpiedice ca acestea s fie prezentate semnatarului nainte de finalizareaprocesului de semnare;

9. date de verificare a semnturii electronice reprezint date n form electronic,cum ar fi coduri sau chei criptografice publice, care sunt utilizate n scopulverificrii unei semnturi electronice;

10. dispozitiv de verificare a semnturii electronice reprezint software i/sauhardware configurate, utilizat pentru a implementa datele de verificare asemnturii electronice;

11. certificat reprezint o colecie de date n form electronic ce atest legturadintre datele de verificare a semnturii electronice i o persoan, confirmndidentitatea acelei persoane;

12. certificat calificat reprezint un certificat care satisface condiiile prevzute laart. 18 i care este eliberat de un furnizor de servicii de certificare ce satisfacecondiiile prevzute la art. 20;

13. furnizor de servicii de certificare reprezint orice persoan, romn saustrin, care elibereaz certificate sau care presteaz alte servicii legate desemntura electronic;

14. furnizor de servicii de certificare calificat este acel furnizor de servicii de

certificare care elibereaz certificate calificate;15. produs asociat semnturii electronice reprezint software sau hardware,destinat a fi utilizat de un furnizor de servicii de certificare pentru prestareaserviciilor legate de semntura electronic sau destinat a fi utilizat pentru creareaori verificarea semnturii electronice.


3/18

3

CAPITOLUL II: Regimul juridic al nscrisurilor n form electronic

Art. 5

nscrisul n form electronic, cruia i s-a ncorporat, ataat sau i s-a asociat logico semntur electronic extins, bazat pe un certificat calificat nesuspendat sau

nerevocat la momentul respectiv i generat cu ajutorul unui dispozitiv securizatde creare a semnturii electronice, este asimilat, n ceea ce privete condiiile iefectele sale, cu nscrisul sub semntur privat.

Art. 6

nscrisul n form electronic, cruia i s-a ncorporat, ataat sau i s-a asociat logico semntur electronic, recunoscut de ctre cel cruia i se opune, are acelaiefect ca actul autentic ntre cei care l-au subscris i ntre cei care le reprezintdrepturile.

Art. 7

n cazurile n care, potrivit legii, forma scris este cerut ca o condiie de probsau de validitate a unui act juridic, un nscris n form electronic ndeplineteaceast cerin dac i s-a ncorporat, ataat sau i s-a asociat logic o semnturelectronic extins, bazat pe un certificat calificat i generat prin intermediulunui dispozitiv securizat de creare a semnturii.

Art. 8

(1) n cazul n care una dintre pri nu recunoate nscrisul sau semntura,instana va dispune ntotdeauna ca verificarea s se fac prin expertiz tehnic despecialitate.

(2) n acest scop, expertul sau specialistul este dator s solicite certificatecalificate, precum i orice alte documente necesare, potrivit legii, pentruidentificarea autorului nscrisului, a semnatarului ori a titularului de certificat.

Art. 9(1) Partea care invoc naintea instanei o semntur electronic extins trebuies probeze c aceasta ndeplinete condiiile prevzute la art. 4 pct. 4.

(2) Semntura electronic extins, bazat pe un certificat calificat eliberat de unfurnizor de servicii de certificare acreditat, este prezumat a ndeplini condiiileprevzute la art. 4 pct. 4.

Art. 10

(1) Partea care invoc naintea instanei un certificat calificat trebuie s probezec furnizorul de servicii de certificare care a eliberat respectivul certificatndeplinete condiiile prevzute la art. 20.

(2) Furnizorul de servicii de certificare acreditat este prezumat a ndeplinicondiiile prevzute la art. 20.

Art. 11

(1) Partea care invoc naintea instanei un mecanism securizat de creare asemnturii trebuie s probeze c acesta ndeplinete condiiile prevzute la art. 4pct. 8.


4/18

4

(2) Dispozitivul securizat de generare a semnturii, omologat n sensul prezenteilegi, este prezumat a ndeplini condiiile prevzute la art. 4 pct. 8.

CAPITOLUL III: Furnizarea serviciilor de certificare

SECIUNEA 1: Dispoziii comune

Art. 12

(1) Furnizarea serviciilor de certificare nu este supus nici unei autorizriprealabile i se desfoar n concordan cu principiile concurenei libere i loiale,cu respectarea actelor normative n vigoare.

(2) Furnizarea serviciilor de certificare de ctre furnizorii stabilii n statelemembre ale Uniunii Europene se face n condiiile prevzute n Acordul europeaninstituind o asociere ntre Romnia, pe de o parte, Comunitile Europene istatele membre ale acestora, pe de alt parte.

Art. 13

(1) Cu 30 de zile nainte de nceperea activitilor legate de certificareasemnturilor electronice persoanele care intenioneaz s furnizeze servicii decertificare au obligaia de a notifica autoritatea de reglementare i supravegherespecializat n domeniu cu privire la data nceperii acestor activiti.

(2) O dat cu efectuarea notificrii prevzute la alin. (1) furnizorii de servicii decertificare au obligaia de a comunica autoritii de reglementare i supravegherespecializate n domeniu toate informaiile referitoare la procedurile de securitate ide certificare utilizate, precum i orice alte informaii cerute de autoritatea dereglementare i supraveghere specializat n domeniu.

(3) Furnizorii de servicii de certificare au obligaia de a comunica autoritii dereglementare i supraveghere specializate n domeniu, cu cel puin 10 zile nainte,

orice intenie de modificare a procedurilor de securitate i de certificare, cuprecizarea datei i orei la care modificarea intr n vigoare, precum i obligaia dea confirma n termen de 24 de ore modificarea efectuat.

(4) n cazurile de urgen, n care securitatea serviciilor de certificare esteafectat, furnizorii pot efectua modificri ale procedurilor de securitate i decertificare, urmnd s comunice, n termen de 24 de ore, autoritii dereglementare i supraveghere specializate n domeniu modificrile efectuate ijustificarea deciziei luate.

(5) Furnizorii de servicii de certificare sunt obligai s respecte, pe parcursuldesfurrii activitii, procedurile de securitate i de certificare declarate, potrivitalin. (2), (3) i (4).

Art. 14(1) Furnizorul de servicii de certificare va asigura accesul la toate informaiilenecesare utilizrii corecte i n condiii de siguran a serviciilor sale. Informaiilerespective vor fi furnizate anterior naterii oricrui raport contractual cu persoanacare solicit un certificat sau, dup caz, la cererea unui ter care se prevaleaz deun asemenea certificat.


5/18

5

(2) Informaiile prevzute la alin. (1) vor fi formulate n scris, ntr-un limbajaccesibil, i vor fi transmise prin mijloace electronice, n condiii care s permitstocarea i reproducerea lor.

(3) Informaiile prevzute la alin. (1) vor face referire cel puin la:

a) procedura ce trebuie urmat n scopul crerii i verificrii semnturii

electronice;b) tarifele percepute;

c) modalitile i condiiile concrete de utilizare a certificatelor, inclusiv limiteleimpuse utilizrii acestora, cu condiia ca aceste limite s poat fi cunoscute deteri;

d) obligaiile care incumb, potrivit prezentei legi, titularului certificatului ifurnizorului de servicii de certificare;

e) existena unei acreditri, dac este cazul;

f) condiiile contractuale de eliberare a certificatului, inclusiv eventualele limitriale rspunderii furnizorului de servicii de certificare;

g) cile de soluionare a litigiilor;

h) orice alte informaii stabilite de autoritatea de reglementare i supravegherespecializat n domeniu.

(4) Furnizorul de servicii de certificare va transmite solicitantului un exemplar alcertificatului.

(5) Din momentul acceptrii certificatului de ctre solicitant, furnizorul de serviciide certificare va nscrie certificatul n registrul prevzut la art. 17.

Art. 15

(1) Persoanele fizice care presteaz, conform legii, n nume propriu servicii de

certificare, precum i personalul angajat al furnizorului de servicii de certificare,persoan fizic sau juridic, sunt obligate s pstreze secretul informaiilorncredinate n cadrul activitii lor profesionale, cu excepia celor n legtur cucare titularul certificatului accept s fie publicate sau comunicate terilor.

(2) nclcarea obligaiei prevzute la alin. (1) constituie infraciune de divulgare asecretului profesional, prevzut i sancionat de art. 196 din Codul penal.

(3) Nu constituie divulgare a secretului profesional comunicarea de informaiictre o autoritate public, atunci cnd aceasta acioneaz n exercitarea i nlimitele competenelor sale legale.

(4) Obligaia prevzut la alin. (1) incumb i personalului autoritii dereglementare i supraveghere specializate n domeniu, precum i persoanelormputernicite de aceasta.

Art. 16

(1) Autoritatea de reglementare i supraveghere specializat n domeniu ifurnizorii de servicii de certificare au obligaia s respecte dispoziiile legaleprivitoare la prelucrarea datelor cu caracter personal.

(2) Furnizorii de servicii de certificare nu pot colecta date cu caracter personaldect de la persoana care solicit un certificat sau, cu consimmntul expres al


6/18

6

acesteia, de la teri. Colectarea se face doar n msura n care aceste informaiisunt necesare n vederea eliberrii i conservrii certificatului. Datele pot ficolectate i utilizate n alte scopuri doar cu consimmntul expres al persoaneicare solicit certificatul.

(3) Atunci cnd se utilizeaz un pseudonim, identitatea real a titularului nu poatefi divulgat de ctre furnizorul de servicii de certificare dect cu consimmntultitularului sau n cazurile prevzute la art. 15 alin. (3).

Art. 17

(1) Furnizorii de servicii de certificare au obligaia de a crea i de a menine unregistru electronic de eviden a certificatelor eliberate.

(2) Registrul electronic de eviden a certificatelor eliberate trebuie s facmeniune despre:

a) data i ora exact la care certificatul a fost eliberat;

b) data i ora exact la care expir certificatul;

c) dac este cazul, data i ora exact la care certificatul a fost suspendat saurevocat, inclusiv cauzele care au condus la suspendare sau la revocare.

(3) Registrul electronic de eviden a certificatelor eliberate trebuie s fiedisponibil permanent pentru consultare, inclusiv n regim on-line.

SECIUNEA a 2-a: Furnizarea serviciilor de certificare calificat

Art. 18

(1) Certificatul calificat va cuprinde urmtoarele meniuni:

a) indicarea faptului c certificatul a fost eliberat cu titlu de certificat calificat;

b) datele de identificare a furnizorului de servicii de certificare, precum icetenia acestuia, n cazul persoanelor fizice, respectiv naionalitatea acestuia, ncazul persoanelor juridice;

c) numele semnatarului sau pseudonimul acestuia, identificat ca atare, precum ialte atribute specifice ale semnatarului, dac sunt relevante, n funcie de scopulpentru care este eliberat certificatul calificat;

d) codul personal de identificare a semnatarului;

e) datele de verificare a semnturii, care corespund datelor de creare a semnturiiaflate sub controlul exclusiv al semnatarului;

f) indicarea nceputului i sfritului perioadei de valabilitate a certificatuluicalificat;

g) codul de identificare a certificatului calificat;

h) semntura electronic extins a furnizorului de servicii de certificare careelibereaz certificatul calificat;

i) dac este cazul, limitele utilizrii certificatului calificat sau limitele valorice aleoperaiunilor pentru care acesta poate fi utilizat;

j) orice alte informaii stabilite de autoritatea de reglementare i supravegherespecializat n domeniu.


7/18

7

(2) Fiecrui semnatar i se va atribui de ctre furnizorul de servicii de certificare uncod personal care s asigure identificarea unic a semnatarului.

(3) Generarea codului personal de identificare i a codului de identificare acertificatului calificat se va face pe baza reglementrilor stabilite de autoritatea dereglementare i supraveghere specializat n domeniu.

(4) La solicitarea titularului furnizorul de servicii de certificare va putea nscrie ncertificatul calificat i alte informaii dect cele menionate la alin. (1), cu condiiaca acestea s nu fie contrare legii, bunelor moravuri sau ordinii publice, i numaidup o prealabil verificare a exactitii acestor informaii.

(5) Certificatul calificat va indica n mod expres faptul c este utilizat unpseudonim, atunci cnd titularul se identific printr-un pseudonim.

Art. 19

(1) La eliberarea certificatelor calificate furnizorii de servicii de certificare auobligaia de a verifica identitatea solicitanilor exclusiv pe baza actelor deidentitate.

(2) La eliberarea fiecrui certificat calificat furnizorii au obligaia s emit doucopii de pe acesta, pe suport de hrtie, dintre care un exemplar este pus ladispoziie titularului, iar cellalt este pstrat de ctre furnizori o perioad de 10ani.

Art. 20

n vederea emiterii certificatelor calificate furnizorii de servicii de certificaretrebuie s ndeplineasc urmtoarele condiii:

a) s dispun de mijloace financiare i de resurse materiale, tehnice i umanecorespunztoare pentru garantarea securitii, fiabilitii i continuitii serviciilorde certificare oferite;

b) s asigure operarea rapid i sigur a nregistrrii informaiilor prevzute la art.17, n special operarea rapid i sigur a unui serviciu de suspendare i revocare acertificatelor calificate;

c) s asigure posibilitatea de a se determina cu precizie data i ora exact aeliberrii, a suspendrii sau a revocrii unui certificat calificat;

d) s verifice, cu mijloace corespunztoare i conforme dispoziiilor legale,identitatea i, dac este cazul, atributele specifice ale persoanei creia i esteeliberat certificatul calificat;

e) s foloseasc personal cu cunotine de specialitate, experien i calificare,necesare pentru furnizarea serviciilor respective, i, n special, competen ndomeniul gestiunii, cunotine de specialitate n domeniul tehnologiei semnturii

electronice i o practic suficient n ceea ce privete procedurile de securitatecorespunztoare; de asemenea, s aplice procedurile administrative i de gestiuneadecvate i care corespund standardelor recunoscute;

f) s utilizeze produse asociate semnturii electronice, cu un nalt grad defiabilitate, care sunt protejate mpotriva modificrilor i care asigur securitateatehnic i criptografic a desfurrii activitilor de certificare a semnturiielectronice;


8/18

8

g) s adopte msuri mpotriva falsificrii certificatelor i s garantezeconfidenialitatea n cursul procesului de generare a datelor de creare asemnturilor, n cazul n care furnizorii de servicii de certificare genereaz astfelde date;

h) s pstreze toate informaiile cu privire la un certificat calificat pentru operioad de minimum 10 ani de la data ncetrii valabilitii certificatului, nspecial pentru a putea face dovada certificrii n cadrul unui eventual litigiu;

i) s nu stocheze, s nu reproduc i s nu dezvluie terilor datele de creare asemnturii, cu excepia cazului n care semnatarul solicit aceasta;

j) s utilizeze sisteme fiabile pentru stocarea certificatelor calificate, astfel nct:numai persoanele autorizate s poat introduce i modifica informaiile dincertificate; exactitatea informaiei s poat fi verificat; certificatele s poat ficonsultate de teri doar n cazul n care exist acordul titularului acestora; oricemodificare tehnic, care ar putea pune n pericol aceste condiii de securitate, spoat fi identificat de persoanele autorizate;

k) orice alte condiii stabilite de autoritatea de reglementare i supraveghere

specializat n domeniu.Art. 21

Furnizorii de servicii de certificare calificat sunt obligai s foloseasc numaidispozitive securizate de creare a semnturii electronice.

Art. 22

(1) Furnizorul de servicii de certificare calificat trebuie s dispun de resursefinanciare pentru acoperirea prejudiciilor pe care le-ar putea cauza cu prilejuldesfurrii activitilor legate de certificarea semnturilor electronice.

(2) Asigurarea se realizeaz fie prin subscrierea unei polie de asigurare la osocietate de asigurri, fie prin intermediul unei scrisori de garanie din partea unei

instituii financiare de specialitate, fie printr-o alt modalitate stabilit prin deciziea autoritii de reglementare i supraveghere specializate n domeniu.

(3) Suma asigurat i suma acoperit prin scrisoarea de garanie sunt stabilite deautoritatea de reglementare i supraveghere specializat n domeniu.

SECIUNEA a 3-a: Suspendarea i ncetarea valabilitii certificatelor

Art. 23

(1) Orice furnizor de servicii de certificare are obligaia de a suspenda certificatuln termen de 24 de ore din momentul n care a luat cunotin sau trebuia iputea s ia cunotin despre apariia oricruia dintre urmtoarele cazuri:

a) la cererea semnatarului, dup o prealabil verificare a identitii acestuia;

b) n cazul n care o hotrre judectoreasc dispune suspendarea;

c) n cazul n care informaiile coninute n certificat nu mai corespund realitii,dac nu se impune revocarea certificatului;

d) n orice alte situaii care constituie cazuri de suspendare a certificateloreliberate, potrivit procedurilor de securitate i de certificare declarate de furnizorn baza art. 13.


9/18

9

(2) Orice furnizor de servicii de certificare are obligaia de a revoca certificatul ntermen de 24 de ore din momentul n care a luat cunotin sau trebuia i puteas ia cunotin despre apariia oricruia dintre urmtoarele cazuri:

a) la cererea semnatarului, dup o prealabil verificare a identitii acestuia;

b) la decesul sau punerea sub interdicie a semnatarului;

c) n cazul n care o hotrre judectoreasc irevocabil dispune revocarea;

d) dac se dovedete n mod nendoielnic c certificatul a fost emis n baza unorinformaii eronate sau false;

e) n cazul n care informaiile eseniale coninute n certificat nu mai corespundrealitii;

f) atunci cnd confidenialitatea datelor de creare a semnturii a fost nclcat;

g) n cazul n care certificatul a fost utilizat n mod fraudulos;

h) n orice alte situaii care constituie cazuri de revocare a certificatelor eliberate,potrivit procedurilor de securitate i de certificare declarate de furnizor n baza art.

13.(3) Furnizorul de servicii de certificare l va informa de urgen pe titular despresuspendarea sau revocarea certificatului, mpreun cu motivele care au stat labaza deciziei sale.

(4) Furnizorul de servicii de certificare va nscrie meniunea de suspendare sau derevocare a certificatuluin registrul electronic de eviden a certificatelor eliberateprevzut la art. 17, n termen de 24 de ore din momentul n care a luat cunotinsau trebuia i putea s ia cunotin despre adoptarea deciziei respective.

(5) Suspendarea sau revocarea va deveni opozabil terilor de la data nscrieriisale n registrul electronic de eviden a certificatelor.

Art. 24(1) n cazul n care furnizorul de servicii de certificare intenioneaz s ncetezeactivitile legate de certificarea semnturilor electronice sau afl c va fi nimposibilitate de a continua aceste activiti, el va informa, cu cel puin 30 de zilenainte de ncetare, autoritatea de reglementare i supraveghere specializat ndomeniu despre intenia sa, respectiv despre existena i natura mprejurrii carejustific imposibilitatea de continuare a activitilor.

(2) Furnizorului de servicii de certificare i revine obligaia ca, n situaia n care seafl n imposibilitate de a continua activitile legate de certificarea semnturilorelectronice i nu a putut prevedea aceast situaie cu cel puin 30 de zile nainteca ncetarea activitilor s se produc, s informeze autoritatea de reglementarei supraveghere specializat n domeniu, n termen de 24 de ore din momentul n

care a luat cunotin sau trebuia i putea s ia cunotin despre imposibilitateacontinurii activitilor. Informarea trebuie s se refere la existena i naturamprejurrii care justific imposibilitatea de continuare a activitilor.

(3) Furnizorul de servicii de certificare poate transfera, n tot sau n parte,activitile sale unui alt furnizor de servicii de certificare. Transferul va operapotrivit urmtoarelor condiii:

a) furnizorul de servicii de certificare va ntiina fiecare titular de certificateneexpirate, cu cel puin 30 de zile nainte, despre intenia sa de transferare a


10/18

10

activitilor legate de certificarea semnturilor electronice ctre un alt furnizor deservicii de certificare;

b) furnizorul de servicii de certificare va meniona identitatea furnizorului deservicii de certificare cruia intenioneaz s i transfere activitile sale;

c) furnizorul de servicii de certificare va face cunoscute fiecrui titular de certificat

posibilitatea de a refuza acest transfer, precum i termenul i condiiile n carerefuzul poate fi exercitat;

n lipsa unei acceptri exprese a titularului, n termenul precizat de furnizorul deservicii de certificare, certificatul va fi revocat de ctre acesta din urm.

(4) Furnizorul de servicii de certificare, aflat n unul dintre cazurile prevzute laalin. (1) i (2), ale crui activiti nu sunt preluate de un alt furnizor de servicii decertificare, va revoca certificatele n termen de 30 de zile de la data ntiinriititularilor de certificate i va lua msurile necesare pentru asigurarea conservriiarhivelor sale, precum i pentru asigurarea prelucrrii datelor personale, ncondiiile legii.

(5) Sunt considerate cazuri de imposibilitate de continuare a activitilor legate de

certificarea semnturilor electronice, n nelesul prezentului articol, dizolvarea saulichidarea, voluntar ori judiciar, falimentul, precum i orice alt cauz dencetare a activitii, cu excepia aplicrii sanciunilor prevzute la art. 33 alin. (2)i (3).

CAPITOLUL IV: Monitorizare i control

SECIUNEA 1: Autoritatea de reglementare i supraveghere

Art. 25

Responsabilitatea aplicrii dispoziiilor prezentei legi i a reglementrilor legate de

aceasta revine autoritii de reglementare i supraveghere specializate ndomeniu.

Art. 26

(1) n termen de cel mult 18 luni de la data publicrii legii n Monitorul Oficial alRomniei, Partea I, se va nfiina autoritatea public specializat, cu atribuii dereglementare i de supraveghere n domeniu, n sensul prezentei legi.

(2) Pn la nfiinarea autoritii menionate la alin. (1) atribuiile acesteia, nsensul prezentei legi, revin Ministerului Comunicaiilor i Tehnologiei Informaiei.

Art. 27

Ministerul Comunicaiilor i Tehnologiei Informaiei poate delega, n tot sau n

parte, atribuiile sale de supraveghere, n sensul prezentei legi, unei alte autoritipublice aflate n coordonare.

Art. 28

(1) La data intrrii n vigoare a prezentei legi se nfiineaz Registrul furnizorilorde servicii de certificare, denumit n continuare Registru, care se constituie i seactualizeaz de ctre autoritatea de reglementare i supraveghere specializat ndomeniu. De la data nfiinrii autoritii publice specializate prevzute la art. 26Registrul va fi preluat i actualizat de aceast autoritate.


11/18

11

(2) Registrul constituie evidena oficial:

a) a furnizorilor de servicii de certificare care au sediul n Romnia;

b) a furnizorilor de servicii de certificare cu sediul sau domiciliul n alt stat, alecror certificate calificate sunt recunoscute conform art. 40.

(3) Registrul are rolul de a asigura, prin efectuarea nregistrrilor prevzute deprezenta lege, stocarea datelor de identificare i a unor informaii legate deactivitatea furnizorilor de servicii de certificare, precum i informarea publicului cuprivire la datele i informaiile stocate.

(4) Coninutul i structura Registrului se stabilesc, prin reglementri, de ctreautoritatea de reglementare i supraveghere specializat n domeniu.

Art. 29

(1) nregistrarea n Registrul prevzut la art. 28 a datelor de identificare i ainformaiilor necesare cu privire la activitatea furnizorilor de servicii de certificaremenionai la art. 28 alin. (2) se efectueaz pe baz de cerere individual, caretrebuie introdus la autoritatea de reglementare i supraveghere specializat n

domeniu, cel mai trziu la data nceperii activitii furnizorului.(2) Coninutul obligatoriu al cererii prevzute la alin. (1) i documentaia necesarse stabilesc prin reglementri de ctre autoritatea de reglementare isupraveghere specializat n domeniu.

Art. 30

(1) Registrul este public i se actualizeaz permanent.

(2) Condiiile inerii Registrului, accesul efectiv la informaiile pe care le conine,informaiile care pot fi oferite solicitanilor i modul de actualizare a acestuia sestabilesc prin normele tehnice i metodologice emise de autoritatea dereglementare i supraveghere specializat n domeniu.

SECIUNEA a 2-a: Supravegherea activitii furnizorilor de servicii decertificare

Art. 31

(1) Autoritatea de reglementare i supraveghere specializat n domeniu va putea,din oficiu sau la solicitarea oricrei persoane interesate, s verifice sau s dispunverificarea conformitii activitilor unui furnizor de servicii de certificare cudispoziiile prezentei legi sau cu reglementri emise de ctre autoritatea dereglementare i supraveghere specializat n domeniu.

(2) Atribuiile de control ce revin autoritii de reglementare i supravegherespecializate n domeniu, potrivit alin. (1), sunt exercitate de personalul anumemputernicit n acest sens.

(3) n vederea exercitrii controlului, personalul cu atribuii de control esteautorizat:

a) s aib acces liber, permanent, n orice loc n care se afl echipamentelenecesare furnizrii de servicii de certificare, n condiiile legii;

b) s solicite orice document sau informaie necesar n vederea realizriicontrolului;


12/18

12

c) s verifice punerea n aplicare a oricror proceduri de securitate sau decertificare utilizate de furnizorul de servicii de certificare supus controlului;

d) s sigileze orice echipamente necesare furnizrii de servicii de certificare sau srein orice document ce are legtur cu aceast activitate, pe o perioad care nupoate depi 15 zile, dac aceast msur se impune;

e) s ia orice alte asemenea msuri, n limitele legii.(4) Personalul cu atribuii de control este obligat:

a) s nu dezvluie datele de care a luat cunotin cu ocazia exercitrii atribuiilorsale;

b) s pstreze confidenialitatea surselor de informaii n legtur cu sesizrile sauplngerile primite.

Art. 32

(1) Furnizorii de servicii de certificare au obligaia de a facilita exercitareaatribuiilor de control de ctre personalul anume mputernicit n acest sens.

(2) n cazul nendeplinirii obligaiei prevzute la alin. (1), n afar de aplicareasanciunii prevzute la art. 44 lit. c), autoritatea de reglementare i supravegherespecializat n domeniu va putea s suspende activitatea furnizorului pn la datala care acesta va coopera cu personalul de control.

Art. 33

(1) Dac n urma controlului efectuat se constat nerespectarea dispoziiilorprezentei legi i a reglementrilor emise de autoritatea de reglementare isupraveghere specializat n domeniu, aceasta va solicita furnizorului de serviciide certificare s se conformeze, n termenul pe care l va stabili, dispoziiilorlegale. n acest caz, autoritatea de reglementare i supraveghere specializat ndomeniu poate dispune suspendarea activitii furnizorului.

(2) Nendeplinirea n termenul stabilit a obligaiei de conformare prevzute la alin.(1) constituie motiv pentru autoritatea de reglementare i supravegherespecializat n domeniu de a dispune ncetarea activitii furnizorului de servicii decertificare i radierea acestuia din Registru.

(3) n cazul n care se constat o nclcare grav a dispoziiilor legale, autoritateade reglementare i supraveghere specializat n domeniu poate dispune direct iimediat ncetarea activitii furnizorului de servicii de certificare i radiereaacestuia din Registru.

Art. 34

(1) n cazul n care dispune ncetarea activitii unui furnizor de servicii decertificare, autoritatea de reglementare i supraveghere specializat n domeniu

va asigura fie revocarea certificatelor furnizorului de servicii de certificare i alesemnatarilor, fie preluarea activitii sau cel puin a registrului electronic deeviden a certificatelor eliberate i a serviciului de revocare a acestora de ctreun alt furnizor de servicii de certificare, cu acordul acestuia.

(2) Semnatarii vor fi informai imediat de autoritatea de reglementare isupraveghere specializat n domeniu despre ncetarea activitii furnizorului,precum i despre revocarea certificatelor sau preluarea acestora de ctre un altfurnizor.


13/18

13

(3) Dac activitatea furnizorului de servicii de certificare nu este preluat de ctreun alt furnizor, furnizorul de servicii de certificare este obligat s asigurerevocarea tuturor certificatelor eliberate de el. Autoritatea de reglementare isupraveghere specializat n domeniu va revoca certificatele, pe cheltuialafurnizorului, dac acesta nu i ndeplinete obligaia.

(4) Autoritatea de reglementare i supraveghere specializat n domeniu va preluai va menine arhivele i registrul electronic de eviden a certificatelor eliberatede furnizorul de servicii de certificare a crui activitate nu a fost preluat de ctreun alt furnizor.

Art. 35

(1) Radierea furnizorilor de servicii de certificare din Registru se efectueaz pebaza comunicrii fcute de ctre furnizor autoritii de reglementare isupraveghere specializate n domeniu cu cel puin 30 de zile nainte de datancetrii activitii sale.

(2) Radierea se poate efectua i din oficiu de ctre autoritatea de reglementare isupraveghere specializat n domeniu, n situaia n care aceasta constat pe orice

alt cale c furnizorul i-a ncetat activitatea.SECIUNEA a 3-a: Acreditarea voluntar

Art. 36

(1) n scopul asigurrii unui grad sporit de securitate a operaiunilor i al protejriicorespunztoare a drepturilor i intereselor legitime ale beneficiarilor de servicii decertificare, furnizorii de servicii de certificare care doresc s i desfoareactivitatea ca furnizori acreditai pot solicita obinerea unei acreditri din parteaautoritii de reglementare i supraveghere specializate n domeniu.

(2) Condiiile i procedura acordrii, suspendrii i retragerii deciziei de acreditare,coninutul acestei decizii, durata ei de valabilitate, precum i efectele suspendriii ale retragerii deciziei se stabilesc de autoritatea de reglementare isupraveghere specializat n domeniu, prin reglementri, cu respectareaprincipiilor obiectivitii, transparenei, proporionalitii i tratamentuluinediscriminatoriu.

Art. 37

(1) Furnizorii de servicii de certificare acreditai n condiiile prezentei legi audreptul de a folosi o meniune distinctiv care s se refere la aceast calitate ntoate activitile pe care le desfoar, legate de certificarea semnturilor.

(2) Furnizorii de servicii de certificare acreditai n condiiile prezentei legi suntobligai s solicite efectuarea unei meniuni n acest sens n Registru.

SECIUNEA a 4-a: Omologarea

Art. 38

(1) Conformitatea dispozitivelor securizate de creare a semnturii electronice cuprevederile prezentei legi se verific de ctre agenii de omologare, persoanejuridice de drept public sau de drept privat, agreate de autoritatea de


14/18

14

reglementare i supraveghere specializat n domeniu, n condiiile stabilite prinreglementri emise de aceasta.

(2) n urma ndeplinirii procedurii de verificare se emite certificatul de omologarea dispozitivului securizat de creare a semnturii electronice. Certificatul poate firetras n cazul n care agenia de omologare constat c dispozitivul securizat decreare a semnturii electronice nu mai ndeplinete una dintre condiiile prevzuten prezenta lege.

(3) Condiiile i procedura de agreare a ageniilor de omologare se stabilesc prinreglementri de ctre autoritatea de reglementare i supraveghere specializat ndomeniu. (4) Decizia de agreare se emite de ctre autoritatea de reglementare isupraveghere specializat n domeniu.

Art. 39

(1) Autoritatea de reglementare i supraveghere specializat n domeniu vegheazla respectarea, de ctre ageniile de omologare, a prevederilor prezentei legi, areglementrilor emise, precum i a dispoziiilor cuprinse n decizia de agreare.

(2) Prevederile art. 31-32 se aplic n mod corespunztor controlului exercitat de

autoritatea de reglementare i supraveghere specializat n domeniu asupraactivitii ageniilor de omologare.

CAPITOLUL V: Recunoaterea certificatelor eliberate de furnizorii de serviciide certificare strini

Art. 40

Certificatul calificat eliberat de ctre un furnizor de servicii de certificare cudomiciliul sau cu sediul ntr-un alt stat este recunoscut ca fiind echivalent dinpunct de vedere al efectelor juridice cu certificatul calificat eliberat de un furnizorde servicii de certificare cu domiciliul sau cu sediul n Romnia, dac:

a) furnizorul de servicii de certificare cu domiciliul sau sediul n alt stat a fostacreditat n cadrul regimului de acreditare, n condiiile prevzute de prezentalege;

b) un furnizor de servicii de certificare acreditat, cu domiciliul sau cu sediul nRomnia, garanteaz certificatul;

c) certificatul sau furnizorul de servicii de certificare care l-a eliberat esterecunoscut prin aplicarea unui acord bilateral sau multilateral ntre Romnia i altestate sau organizaii internaionale, pe baz de reciprocitate.

CAPITOLUL VI: Rspunderea furnizorilor de servicii de certificare

Art. 41Furnizorul de servicii de certificare, care elibereaz certificate prezentate ca fiindcalificate sau care garanteaz asemenea certificate, este rspunztor pentruprejudiciul adus oricrei persoane care i ntemeiaz conduita pe efectele juridiceale respectivelor certificate:

a) n ceea ce privete exactitatea, n momentul eliberrii certificatului, a tuturorinformaiilor pe care le conine;


15/18

15

b) n ceea ce privete asigurarea c, n momentul eliberrii certificatului,semnatarul identificat n cuprinsul acestuia deinea datele de generare asemnturii corespunztoare datelor de verificare a semnturii menionate nrespectivul certificat;

c) n ceea ce privete asigurarea c datele de generare a semnturii corespunddatelor de verificare a semnturii, n cazul n care furnizorul de servicii decertificare le genereaz pe amndou;

d) n ceea ce privete suspendarea sau revocarea certificatului, n cazurile i curespectarea condiiilor prevzute la art. 24 alin. (1) i (2);

e) n privina ndeplinirii tuturor obligaiilor prevzute la art. 13-17 i la art. 19-22,cu excepia cazurilor n care furnizorul de servicii de certificare probeaz c, dei adepus diligena necesar, nu a putut mpiedica producerea prejudiciului.

Art. 42

(1) Furnizorul de servicii de certificare poate s indice n cuprinsul unui certificatcalificat restricii ale utilizrii acestuia, precum i limite ale valorii operaiunilorpentru care acesta poate fi utilizat, cu condiia ca respectivele restricii s poat fi

cunoscute de teri.(2) Furnizorul de servicii de certificare nu va fi rspunztor pentru prejudiciilerezultnd din utilizarea unui certificat calificat cu nclcarea restriciilor prevzuten cuprinsul acestuia.

CAPITOLUL VII: Obligaiile titularilor de certificate

Art. 43

Titularii de certificate sunt obligai s solicite, de ndat, revocarea certificatelor,n cazul n care:

a) au pierdut datele de creare a semnturii electronice;b)au motive s cread c datele de creare a semnturii electronice au ajuns lacunotina unui ter neautorizat;

c) informaiile eseniale cuprinse n certificat nu mai corespund realitii.

CAPITOLUL VIII: Contravenii i sanciuni

Art. 44

Constituie contravenie, dac, potrivit legii, nu constituie infraciune, i sesancioneaz cu amend de la 5.000.000 lei la 100.000.000 lei fapta furnizoruluide servicii de certificare care:

a) omite s efectueze notificarea prevzut la art. 13 alin. (1);

b) omite s informeze autoritatea de reglementare i supraveghere specializat ndomeniu asupra procedurilor de securitate i de certificare utilizate, n condiiile icu respectarea termenelor prevzute la art. 13;

c) nu i ndeplinete obligaia de a facilita exercitarea atribuiilor de control dectre personalul autoritii de reglementare i supraveghere specializate ndomeniu, anume mputernicit n acest sens;


16/18

16

d) realizeaz transferul activitilor legate de certificarea semnturilor electronicecu nerespectarea prevederilor art.24 alin. (3).

Art. 45

Constituie contravenie, dac, potrivit legii, nu constituie infraciune, i sesancioneaz cu amend de la 10.000.000 lei la 250.000.000 lei fapta furnizorului

de servicii de certificare care:a) nu furnizeaz persoanelor menionate la art. 14 alin. (1), n condiiile prevzutela art. 14 alin. (1) i (2), informaiile obligatorii prevzute la art. 14 alin. (3) ori nufurnizeaz toate aceste informaii sau furnizeaz informaii inexacte;

b) ncalc obligaiile privitoare la prelucrarea datelor cu caracter personalprevzute la art. 16;

c) omite s efectueze nregistrrile obligatorii, potrivit legii, n registrul electronicde eviden a certificatelor eliberate, prevzut la art. 17, sau le efectueaz cunerespectarea termenului prevzut la art. 14 alin. (5), art. 23 alin.(1) sau (2) orinregistreaz meniuni inexacte;

d) elibereaz certificate prezentate titularilor ca fiind calificate, care nu conintoate meniunile obligatorii prevzute la art. 18;

e) elibereaz certificate calificate care conin informaii inexacte, informaii caresunt contrare legii, bunelor moravuri sau ordinii publice, ori informaii a crorexactitate nu a fost verificat n condiiile prevzute la art. 18 alin. (4);

f) elibereaz certificate calificate fr a verifica identitatea solicitantului, ncondiiile prevzute la art. 19;

g) omite s ia msuri de natur s garanteze confidenialitatea n cursulprocesului de generare a datelor de creare a semnturilor, n cazul n carefurnizorul de servicii de certificare genereaz astfel de date;

h) nu pstreaz toate informaiile cu privire la un certificat calificat o perioad deminimum 5 ani de la data ncetrii valabilitii certificatului;

i) stocheaz, reproduce sau dezvluie terilor datele de creare a semnturiielectronice, cu excepia cazului n care semnatarul solicit aceasta, n cazul n carefurnizorul elibereaz certificate calificate;

j) stocheaz certificatele calificate ntr-o form care nu respect condiiileprevzute la art. 20 lit. j);

k) utilizeaz dispozitive de creare a semnturii electronice, care nu ndeplinesccondiiile prevzute la art. 4 pct. 8, n cazul n care furnizorul de servicii decertificare elibereaz certificate calificate;

l) n cazul n care intenioneaz s nceteze activitile legate de certificarea

semnturilor electronice sau n oricare dintre situaiile prevzute la art. 24 alin.(5), cnd afl c va fi n imposibilitate de a continua aceste activiti, nuinformeaz cu cel puin 30 de zile nainte de ncetarea activitilor autoritatea dereglementare i supraveghere specializat n domeniu despre intenia sa,respectiv despre existena i natura mprejurrii care justific imposibilitatea decontinuare a activitilor;

m) n oricare dintre situaiile prevzute la art. 24 alin. (5), cnd se afl nimposibilitate de a continua activitile legate de certificarea semnturilor


17/18

17

electronice i nu a putut prevedea aceast situaie cu cel puin 30 de zile nainteca ncetarea activitilor s se produc, nu a informat autoritatea de reglementarei supraveghere specializat n domeniu n termenul prevzut la art. 24 alin. (2)despre existena i natura mprejurrii care justific imposibilitatea de continuarea activitilor;

n) aflndu-se n unul dintre cazurile prevzute la art. 24 alin. (1) i (2), omite sia msurile necesare pentru asigurarea conservrii arhivelor sale sau pentruasigurarea prelucrrii datelor cu caracter personal n condiiile legii;

o) nu suspend sau nu revoc certificatele eliberate, n cazurile n caresuspendarea sau revocarea este obligatorie, sau le revoc cu nerespectareatermenului legal;

p) continu s desfoare activiti legate de certificarea semnturilor electronicen situaia n care autoritatea de reglementare i supraveghere specializat ndomeniu a dispus suspendarea sau ncetarea activitii furnizorului de servicii decertificare;

q) elibereaz certificate sau desfoar alte activiti legate de certificarea

semnturilor electronice, folosindu-se fr a avea dreptul de calitatea de furnizorde servicii de certificare acreditat, prin prezentarea unei meniuni distinctive cares se refere la aceast calitate sau prin orice alte mijloace;

r) omite s solicite, n termenul prevzut la art. 29 alin. (1), nregistrarea nRegistru a datelor i informaiilor menionate la art. 29.

Art. 46

nclcarea de ctre agenia de omologare a obligaiei de a facilita exercitareaatribuiilor de control de ctre personalul autoritii de reglementare isupraveghere specializate n domeniu, anume mputernicit n acest sens,constituie contravenie i se sancionaz cu amend de la 15.000.000 lei la250.000.000 lei.

Art. 47

Constatarea contraveniilor i aplicarea sanciunilor prevzute n cadrulprezentului capitol sunt de competena personalului cu atribuii de control dincadrul autoritii de reglementare i supraveghere specializate n domeniu.

Art. 48

Contraveniilor prevzute n prezentul capitol le sunt aplicabile prevederile Legiinr. 32/1968 privind stabilirea i sancionarea contraveniilor.

CAPITOLUL IX: Dispoziii finale

Art. 49(1) Nivelul tarifelor percepute de ageniile de omologare pentru prestareaserviciilor de omologare a dispozitivelor securizate de creare a semnturiielectronice, precum i pentru serviciile accesorii se stabilete n mod liber, curespectarea prevederilor Legii concurenei nr. 21/1996.

(2) Ageniile menionate la alin. (1) pot percepe tarife cu niveluri diferite pentruzone geografice diferite sau pentru serviciile prestate n regim de urgen, pentru


18/18

18

nscrierile on-line, potrivit propriilor strategii comerciale, cu respectareadispoziiilor legale.

(3) Sunt interzise ageniilor de omologare i mputerniciilor acestora publicareade tabele comparative privind nivelul tarifelor i adoptarea oricror msuri al crorscop este s limiteze reclama privind nivelul tarifelor ncasate de alte ageniipentru serviciile prestate.

Art. 50

(1) Ageniile de omologare sunt supuse prevederilor Legii concurenei nr.21/1996 n ceea ce privete stabilirea tarifelor percepute pentru serviciileprestate, precum i n privina actelor sau faptelor care au sau pot avea ca efectrestrngerea concurenei pe piaa serviciilor respective.

(2) Ageniile de omologare sunt, de asemenea, supuse prevederilor Legii nr.11/1991 privind combaterea concurenei neloiale, cu modificrile ulterioare.

Art. 51

Cuantumul amenzilor prevzute de prezenta lege va fi actualizat prin hotrre a

Guvernului, n funcie de evoluia indicelui de inflaie.Art. 52

n termen de 3 luni de la data publicrii prezentei legi n Monitorul Oficial alRomniei, Partea I, autoritatea de reglementare i supraveghere specializat ndomeniu va elabora norme tehnice i metodologice de aplicare a acesteia.

Art. 53

Prezenta lege va intra n vigoare la data publicrii ei n Monitorul Oficial alRomniei, Partea I, i se pune n aplicare la 3 luni de la data intrrii n vigoare.

Aceast lege a fost adoptat de Senat n edina din 26 iunie 2001, cu respectareaprevederilor art. 74 alin. (1) din Constituia Romniei.

p. PREEDINTELE SENATULUI,

DORU IOAN TRCIL

Aceast lege a fost adoptat de Camera Deputailor n edina din 28 iunie 2001,cu respectarea prevederilor art. 74 alin.(1) din Constituia Romniei.

PREEDINTELE CAMEREI DEPUTAILOR

VALER DORNEANU

Publicat n Monitorul Oficial cu numrul 429 din data de 31 iulie 2001

Lege 455 Din 2001 Privind Semnatura Electronica

Documents

Transcript of Lege 455 Din 2001 Privind Semnatura Electronica