Comunica experienta
MonitorulJuridic.ro
În temeiul art. 108 din Constituţia României, republicatã, şi având în vedere prevederile art. 2 şi ale <>art. 8 alin. (1) lit. b) din Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, cu modificãrile şi completãrile ulterioare,
Guvernul României adoptã prezenta hotãrâre.
ART. 1
În sensul prezentei hotãrâri, termenii şi expresiile de mai jos au urmãtoarele semnificaţii:
a) HTTP - protocol de transfer al informaţiilor prin internet, folosit pe larg pentru navigarea pe web;
b) HTTPS - protocol HTTP securizat, folosit pentru criptarea transferului de informaţii;
c) identificare fizicã - procesul de recunoaştere unicã a unei persoane în baza informaţiilor cu caracter personal din documentele sale de identitate valabile, emise de autoritãţile competente conform legii;
d) identificare electronicã - procesul de recunoaştere a unei persoane, prin mijloace electronice, în baza informaţiilor cu caracter personal deţinute de un furnizor de servicii;
e) mijloc de identificare electronicã - ansamblul de informaţii şi dispozitivul sau procedura informaticã prin care se poate face la distanţã dovada identitãţii unei persoane în vederea oferirii unui acces la informaţii sau servicii electronice;
f) autentificare electronicã - procedeul folosit de aplicaţii software de recunoaştere la distanţã a identitãţii unei persoane, prin tehnici şi mijloace de identificare electronicã, în vederea obţinerii anumitor drepturi în cadrul aplicaţiei în baza identitãţii acesteia;
g) solicitant - persoana fizicã ce acceseazã prin internet, prin intermediul unui sistem informatic, informaţii publice, servicii comerciale sau administrative;
h) furnizor de servicii publice de autentificare electronicã - furnizorul unui serviciu de autentificare electronicã efectuat în mod obişnuit contra unei remuneraţii, la distanţã, prin intermediul echipamentului electronic şi al unor servicii de prelucrare, inclusiv comprimarea numericã, precum şi stocarea datelor necesare autentificãrii, la cererea destinatarului serviciilor;
i) consumator de identitate electronicã - aplicaţia informaticã ce ruleazã pe echipamentele de calcul ale instituţiilor care oferã informaţii publice şi servicii electronice şi care primesc cereri din partea solicitanţilor, persoane fizice, autentificate electronic de cãtre terţi furnizori de servicii;
j) adresã MAC - adresa fizicã, reprezentând un şir de caractere numerice, ce identificã în mod unic un echipament de comunicaţie într-o reţea;
k) identificatorul solicitantului - şirul de caractere alfanumerice care este asociat în mod unic de cãtre un furnizor de servicii de autentificare electronicã unui solicitant.
ART. 2
(1) În vederea asigurãrii accesului eficient al cetãţenilor la informaţii şi servicii destinate publicului şi furnizate prin mijloace electronice, se pot autoriza în calitate de furnizor de servicii publice de autentificare electronicã acele persoane juridice care, în virtutea desfãşurãrii activitãţii pentru care au fost autorizate în condiţiile legii, opereazã cu baze de date ce conţin date personale, în urmãtoarele condiţii:
a) furnizorul deţine calitatea de operator de date cu caracter personal în conformitate cu <>Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, cu modificãrile şi completãrile ulterioare;
b) furnizorul utilizeazã în realizarea serviciului un sistem informatic în mãsurã sã asigure securitatea sistemelor comunicaţiilor, tranzacţiilor şi datelor personale, în conformitate cu certificatul BS ISO/IEC 27001:2005 pentru sistemul de management al securitãţii sistemului informatic;
c) furnizorul deţine datele de identificare ale persoanelor, obţinute cu acordul acestora, în condiţiile legii, şi o copie de pe un act de identitate care a fost confruntatã cu originalul în cadrul procesului de identificare fizicã;
d) furnizorul oferã serviciul de autentificare folosind protocolul deschis, public, gratuit, descentralizat şi securizat, cunoscut în literatura de specialitate sub denumirea OpenID;
e) autentificarea electronicã se realizeazã folosindu-se simultan minimum douã dintre metodele de verificare prevãzute la alin. (2);
f) schimbul de date realizat în momentul autentificãrii între solicitant, consumatorii de identitate electronicã şi furnizorii serviciului îndeplineşte cerinţe-standard de integritate şi confidenţialitate (protocol HTTPS);
g) furnizorul menţine un registru electronic cu un istoric pentru minimum 12 luni al tuturor solicitãrilor de autentificare electronicã, indiferent de rezultatul procesului de autentificare, în care se vor trece date minimale;
h) furnizorul asigurã sincronizarea ceasului sistemelor de calcul la un sistem unic de referinţã, care este ora exactã a României furnizatã de serverul de timp oficial timp.mcti.ro
(2) Metodele de verificare prin intermediul cãrora se realizeazã autentificarea electronicã sunt:
a) metodã care necesitã cunoaşterea unei informaţii (pereche nume utilizator şi parolã sau cod PIN);
b) metodã care necesitã deţinerea fizicã a unui dispozitiv (token, certificat digital PKI, telefon mobil, smartcard, generator de parole unice, alt sistem de comunicaţii) simultan cu verificarea posesiei acestuia la momentul autentificãrii;
c) metodã care implicã verificarea datelor biometrice (amprentã, scanare iris, semnãturã, amprentã vocalã sau altele) ale persoanei la momentul autentificãrii.
(3) Datele minimale care trebuie înregistrate potrivit alin. (1) lit. g) sunt:
a) data şi ora la care a fost solicitat serviciul de autentificare;
b) adresa de internet a serverului care a solicitat serviciul de autentificare;
c) numele serviciului electronic (aplicaţiei) care a fãcut solicitarea;
d) adresa de internet şi, în mãsura în care este disponibil tehnic, adresa MAC sau alt identificator unic al dispozitivului de cuplare în reţea a solicitantului;
e) identificatorul solicitantului;
f) rezultatul procesului de autentificare (succes sau eşec).
ART. 3
(1) Persoana juridicã interesatã de dobândirea calitãţii de furnizor de servicii publice de autentificare electronicã notificã Ministerul Comunicaţiilor şi Tehnologiei Informaţiei în termen de 10 zile de la data implementãrii sistemului de autentificare electronicã, conform formularului al cãrui model se aprobã prin ordin al ministrului comunicaţiilor şi tehnologiei informaţiei în termen de 30 de zile de la intrarea în vigoare a prezentei hotãrâri. Dosarul de autorizare va cuprinde cererea de autorizare, copie a certificatului de înregistrare fiscalã, copii ale documentelor care atestã calitatea de operator de date cu caracter personal, copie a certificatului BS ISO/IEC 27001:2005 pentru sistemul de management al securitãţii sistemului informatic, descrierea soluţiilor tehnice folosite pentru implementarea serviciului.
(2) Ministerul Comunicaţiilor şi Tehnologiei Informaţiei verificã îndeplinirea de cãtre persoana juridicã a condiţiilor tehnice de implementare a sistemului de furnizare a serviciului de autentificare electronicã, precum şi respectarea condiţiilor prevãzute la art. 2 şi autorizeazã furnizarea serviciilor publice de autentificare electronicã de cãtre solicitant, în termen de 15 zile de la notificarea prevãzutã la alin. (1).
(3) Autorizarea prevãzutã la alin. (2) se realizeazã de Ministerul Comunicaţiilor şi Tehnologiei Informaţiei prin emiterea unui certificat-tip, al cãrui model se aprobã prin ordin al ministrului comunicaţiilor şi tehnologiei informaţiei în termen de 30 de zile de la intrarea în vigoare a prezentei hotãrâri.
(4) Certificatul-tip se comunicã furnizorului de servicii publice de autentificare electronicã în termen de cel mult 5 zile de la emitere şi conferã acestuia dreptul de a începe furnizarea serviciilor de acest tip. Certificatul este valabil pentru 3 ani.
(5) Ministerul Comunicaţiilor şi Tehnologiei Informaţiei publicã pe pagina de internet proprie, într-o secţiune dedicatã, lista furnizorilor de servicii publice de autentificare electronicã autorizaţi.
ART. 4
(1) În cadrul procesului de autentificare electronicã, dupã efectuarea cu succes a identificãrii prin internet, furnizorul de servicii publice de autentificare electronicã are obligaţia de a afişa solicitantului datele personale ale acestuia pe care furnizorul le deţine în baza sa de date şi care urmeazã a fi transmise, denumirea consumatorului de identitate electronicã şi denumirea serviciului electronic ce va prelucra datele personale ale solicitantului şi va cere în mod explicit atât confirmarea veridicitãţii datelor personale, cât şi acordul pentru transmiterea lor în vederea accesãrii serviciilor electronice pentru care a fost solicitatã autentificarea.
(2) Responsabilitatea pentru exactitatea datelor transmise cãtre consumatorul de identitate electronicã cade exclusiv în sarcina solicitantului. Furnizorul de servicii publice de autentificare electronicã nu rãspunde pentru datele personale care s-au schimbat ulterior procesului identificãrii fizice sau care au fost preluate greşit în cadrul acestui proces, fãrã culpa furnizorului de servicii publice de autentificare electronicã.
(3) În cazul în care datele personale ale solicitantului aflate în baza de date a furnizorului de servicii publice de autentificare electronicã nu concordã cu datele reale sau în cazul în care solicitantul nu este de acord cu transmiterea datelor sale personale în forma deţinutã de cãtre furnizor cãtre consumatorul de identitate electronicã, solicitantul trebuie sã aibã posibilitatea de a refuza continuarea operaţiunii de autentificare şi de a informa furnizorul de servicii publice de autentificare electronicã despre aceastã situaţie. În acest caz, procedura de autentificare este opritã şi datele personale ale solicitantului nu vor mai fi transmise cãtre consumatorul de identitate electronicã.
(4) Consumatorul de identitate electronicã poate cere solicitantului, prin intermediul furnizorului de servicii publice de identificare electronicã, acele date personale strict necesare rezolvãrii cererii acestuia transmise în formã electronicã, fãrã a exceda numãrul şi tipul datelor personale care sunt cerute solicitantului prin procedura clasicã, stabilitã prin acte normative specifice.
(5) Solicitanţii persoane fizice au dreptul de acces, intervenţie şi opoziţie asupra datelor personale stocate pe serverele proprii ale consumatorului de identitate electronicã, precum şi celelalte drepturi prevãzute de <>Legea nr. 677/2001 , cu modificãrile şi completãrile ulterioare.
(6) Solicitantul poate cere în orice moment furnizorului de servicii publice de autentificare electronicã întreruperea furnizãrii serviciului de autentificare electronicã aferent identitãţii sale sau reluarea procesului de identificare fizicã şi de actualizare a bazelor de date ale furnizorului în cazul în care datele sale personale s-au schimbat.
ART. 5
(1) Este interzisã stocarea pe serverele proprii ale consumatorului de identitate electronicã a datelor personale ale solicitantului pentru utilizarea acestora în alte scopuri decât acelea pentru care solicitantul a apelat la serviciile electronice.
(2) La îndeplinirea scopurilor urmãrite sau la expirarea termenelor legale de arhivare datele vor fi şterse.
PRIM-MINISTRU
CĂLIN POPESCU-TĂRICEANU
Contrasemneazã:
-------------
p. Ministrul comunicaţiilor şi tehnologiei informaţiei,
Constantin Teodorescu,
secretar de stat
Preşedintele Autoritãţii Naţionale de Supraveghere
a Prelucrãrii Datelor cu Caracter Personal,
Georgeta Basarabescu
Ministrul economiei şi finanţelor,
Varujan Vosganian
Bucureşti, 18 septembrie 2008.
Nr. 1.129.
-------
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.
MonitorulJuridic.ro este un proiect:
