Comunica experienta
MonitorulJuridic.ro
Parlamentul României adoptă prezenta lege.
CAP. I
Dispoziţii generale
ART. 1
Cadrul de reglementare a legii
(1) Prezenta lege are drept scop adoptarea unor măsuri referitoare la tehnologii, echipamente, programe software şi datele utilizate de acestea, în vederea contribuirii la creşterea gradului de interconectare între sistemele informatice ale autorităţilor şi instituţiilor publice şi la facilitatea schimbului de date între acestea, pornind de la principiile şi obiectivele Cadrului european de interoperabilitate.
(2) Prezenta lege reglementează crearea, operaţionalizarea şi administrarea instrumentului/mijlocului necesar pentru livrarea într-un format integrat a mai multor servicii electronice prin implementarea platformei de interoperabilitate.
(3) Prezenta lege stabileşte atribuţiile autorităţilor şi instituţiilor publice cu privire la utilizarea şi integrarea în Platforma naţională de interoperabilitate, precum şi schimbul de date, respectiv atribuţiile autorităţii publice responsabile pentru crearea, dezvoltarea şi administrarea acesteia.
(4) Prezenta lege are ca obiectiv creşterea calităţii serviciilor publice prin facilitarea schimbului de date între sisteme informatice, reducerea sarcinilor birocratice şi administrative ale persoanelor fizice şi juridice şi creşterea transparenţei utilizării datelor de către autorităţile şi instituţiile publice.
(5) Prezenta lege se aplică prin participare voluntară, în baza unui contract de schimb de date, şi persoanelor juridice de drept privat, respectiv persoanelor care exercită profesii liberale reglementate, celor care deţin sisteme informatice şi dispun de date care prezintă interes pentru autorităţile şi instituţiile publice.
(6) Prezenta lege nu se aplică registrelor de bază gestionate de instituţiile din sistemul naţional de apărare, ordine publică şi securitate naţională, cu excepţia celor necesare furnizării serviciilor publice, respectiv a registrelor de bază pentru care autorităţile şi instituţiile publice solicită în mod expres interconectarea cu Platforma naţională de interoperabilitate.
ART. 2
Obiectivele legii
Prezenta lege are următoarele obiective:
a) facilitarea furnizării de servicii publice de calitate, disponibile permanent, proiectate în acord cu nevoile beneficiarilor acestor servicii;
b) promovarea utilizării pe scară largă a tehnologiei informaţiei şi comunicaţiilor (TIC) în cadrul administraţiei publice;
c) creşterea gradului de trasabilitate şi transparenţă a actului administrativ, prin oferirea posibilităţii titularului datelor a cunoaşterii accesării şi prelucrării datelor sale cu caracter personal;
d) creşterea eficienţei şi eficacităţii actului administrativ, prin sporirea gradului de interconectare a sistemelor informatice ale autorităţilor şi instituţiilor publice şi facilitatea schimbului de date între instituţiile publice;
e) implementarea principiului „doar o singură dată“, astfel cum este descris în Regulamentul (UE) 2018/1.724 al Parlamentului European şi al Consiliului din 2 octombrie 2018 privind înfiinţarea unui portal digital unic (gateway) pentru a oferi acces la informaţii, la proceduri şi la servicii de asistenţă şi de soluţionare a problemelor şi de modificare a Regulamentului (UE) nr. 1.024/2012, pentru eliminarea schimbului de date în format letric şi a birocraţiei;
f) creşterea încrederii publicului şi mediului de afaceri în utilizarea tehnologiei informaţiei şi comunicaţiilor;
g) promovarea interoperabilităţii în administraţia publică centrală, între administraţia locală şi administraţia centrală şi între administraţiile publice locale;
h) facilitarea accesului instituţiilor private la datele deţinute de instituţii publice şi viceversa;
i) asigurarea securităţii şi confidenţialităţii schimburilor de date;
j) crearea şi actualizarea anuală a unui registru permanent al aplicaţiilor informatice utilizate de autorităţile şi instituţiile publice;
k) identificarea şi definirea furnizorilor de date primare;
l) facilitarea integrării în piaţa unică digitală europeană;
m) asigurarea că implementarea funcţionalităţilor implică alinierea infrastructurilor naţionale de identificare şi autorizare cu statele membre ale Uniunii Europene într-o schemă transnaţională, în concordanţă cu regulile stabilite în Regulamentul (UE) nr. 910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE.
ART. 3
Definiţii
În sensul prezentei legi, termenii şi expresiile de mai jos au următoarele semnificaţii:
a) acces - interogarea de către un utilizator a datelor care au fost furnizate de un deţinător de date, în conformitate cu cerinţele tehnice, juridice sau organizatorice specifice, fără a implica neapărat transmiterea sau descărcarea acestor date;
b) administratorii registrelor de bază - autorităţi sau instituţii publice care, în conformitate cu prevederile legale, colectează sau creează, modifică pentru prima dată, şterg ori transmit date primare din registru despre persoane fizice sau juridice, bunuri mobile sau imobile, animale, societăţi sau orice alte entităţi despre care se colectează date în vederea oferirii unui serviciu public;
c) contract de schimb de date - acord încheiat între administratorul Platformei naţionale de interoperabilitate şi un participant la schimbul de date, altul decât o autoritate sau o instituţie publică, prin care se stabilesc obligaţii precise pentru cele două părţi, în vederea realizării interoperabilităţii sistemelor informatice;
d) date - orice reprezentare digitală a unor acte, fapte sau informaţii şi orice compilaţie a unor astfel de acte, fapte sau informaţii, inclusiv sub forma unei înregistrări audio, video sau audiovizuale;
e) date primare - date prezumate ca fiind sursa de referinţă şi veridică de informaţie şi care primează în faţa datelor colectate de alte autorităţi sau instituţii publice;
f) interoperabilitate - capacitatea unor organizaţii distincte şi diverse de a interacţiona în scopul realizării unor obiective care aduc beneficii reciproce şi sunt convenite mutual, care implică partajarea de informaţii şi cunoştinţe între organizaţii prin intermediul proceselor profesionale pe care acestea le sprijină, utilizând schimbul de date între respectivele sisteme informatice deţinute de acestea;
g) partajare de date - furnizarea de date de către un deţinător de date către un utilizator de date în scopul utilizării în comun sau individual a datelor partajate, direct sau printr-un intermediar;
h) Platforma naţională de interoperabilitate - totalitatea proceselor tehnice şi a sistemelor informatice stabilite prin Normele de referinţă pentru realizarea interoperabilităţii în domeniul tehnologiei informaţiei şi comunicaţiilor, pentru asigurarea schimbului de date între sistemele informatice deţinute de participanţii la schimbul de date şi pentru îmbunătăţirea colaborării şi a prestării comune a serviciilor publice;
i) registru de bază - registru de date care conţine date primare;
j) registru de date - un fişier sau un set de fişiere care conţine date şi informaţii organizate cu scopul a de deservi anumite domenii de activitate/procese de business;
k) schimb de date - punerea la dispoziţie a datelor de către furnizori de date şi accesarea acestora de către utilizatori sau transmiterea datelor dintr-un sistem informatic către un alt sistem informatic prin intermediul Platformei naţionale de interoperabilitate;
l) serviciu public electronic - serviciul public definit la art. 5 lit. kk) din Ordonanţa de urgenţă a Guvernului nr. 57/2019 privind Codul administrativ, cu modificările şi completările ulterioare;
m) sistem informatic - ansamblu de elemente tehnologice, resurse şi proceduri care susţin procese sau părţi din procese în cadrul unui sistem informaţional;
n) titularul datelor - persoana fizică sau persoana juridică asociată cu date din registrele de bază în mod direct sau indirect, în special prin referire la un element de identificare, cum ar fi numele, denumirea, numărul de identificare, codul de identificare fiscală, datele de localizare ori un identificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale, sau care are un drept asupra unui bun mobil sau imobil ale cărui date de identificare fac obiectul registrelor de bază;
o) utilizator de date - persoana fizică sau juridică de drept public sau de drept privat care are acces legal la anumite date cu sau fără caracter personal prin intermediul Platformei naţionale de interoperabilitate şi care este autorizată să utilizeze datele respective în scopuri comerciale sau necomerciale.
CAP. II
Normele de referinţă pentru realizarea interoperabilităţii (NRRI)
ART. 4
Definirea NRRI
(1) Normele de referinţă pentru realizarea interoperabilităţii în domeniul tehnologiei informaţiei şi comunicaţiilor, denumite în continuare NRRI, conţin măsurile şi obligaţiile pentru autorităţile şi instituţiile publice centrale şi locale, altele decât normele conţinute în prezenta lege, în vederea asigurării interoperabilităţii între autorităţile şi instituţiile publice sau entităţile private pentru furnizarea serviciilor publice. NRRI conţin un set de elemente comune, precum vocabular, concepte, principii, recomandări, standarde, specificaţii şi practici.
(2) Interoperabilitatea este înţeleasă în sensul ei multidimensional, ţinând cont de dimensiunile legale, organizaţionale, semantice şi tehnice, şi această abordare este avută în vedere încă de la conceperea serviciilor şi a sistemelor şi pe tot parcursul ciclului lor de viaţă: planificare, proiectare, achiziţie, implementare, derulare. Lanţul de interoperabilitate se manifestă în practică din oficiu între autorităţile şi instituţiile publice şi în contracte de schimb de date între entităţi şi sectoare publice şi între entităţi publice şi private.
ART. 5
Principii
(1) Utilizarea NRRI de către autorităţile şi instituţiile publice trebuie să respecte cel puţin următoarele principii:
a) Principiul reutilizării:
(i) autorităţile şi instituţiile publice cooperează pentru dezvoltarea unor soluţii informatice comune, în vederea furnizării serviciilor publice;
(ii) autorităţile şi instituţiile publice partajează şi reutilizează componente ale soluţiilor informatice, în vederea furnizării de servicii publice;
(iii) autorităţile şi instituţiile publice partajează şi reutilizează informaţii şi date cu caracter personal, în vederea furnizării de servicii publice, cu respectarea legislaţiei privind protecţia datelor cu caracter personal;
(iv) autorităţile şi instituţiile publice fac demersuri pentru a obţine beneficii prin examinarea produselor, serviciilor, conceptelor, specificaţiilor, standardelor, instrumentelor, datelor sau a componentelor pentru a le refolosi. Pentru atingerea acestui deziderat, autorităţile şi instituţiile publice trebuie mai întâi să îşi pună propriile date la dispoziţia terţilor într-o manieră care să le facă uşor reutilizabile.
b) Principiul eficacităţii şi eficienţei:
(i) sistemele informatice care stau la baza serviciilor publice electronice vor fi proiectate sau adaptate pentru a permite cu uşurinţă transferul datelor între ele, cu respectarea legislaţiei privind protecţia datelor cu caracter personal;
(ii) eficacitatea şi eficienţa soluţiilor de interoperabilitate şi a opţiunilor tehnologice se măsoară anual şi se publică prin rapoarte publice;
(iii) în evaluarea prevăzută la pct. (ii) se iau în considerare nevoile utilizatorilor, proporţionalitatea eforturilor şi echilibrul între costuri şi beneficii.
c) Principiul simplificării administrative:
(i) autorităţile şi instituţiile publice îşi proiectează sau adaptează serviciile publice pentru un mediu de lucru electronic, eficientizând şi simplificând procesele administrative ce stau la baza furnizării respectivelor servicii publice;
(ii) autorităţile şi instituţiile publice urmăresc permanent reducerea timpului de aşteptare pentru răspunsul la solicitările utilizatorilor şi a sarcinii administrative asupra autorităţilor şi instituţiilor publice, a entităţilor private şi a persoanelor fizice.
d) Principiul securităţii şi confidenţialităţii:
(i) autorităţile şi instituţiile publice garantează respectarea caracterului privat, a confidenţialităţii, autenticităţii, integrităţii, nerepudierii datelor şi interzicerea transferului neautorizat al informaţiilor furnizate de utilizatori;
(ii) schimbul de date între instituţiile şi autorităţile publice, precum şi între acestea şi utilizatori persoane fizice şi juridice din mediul privat se face în condiţii de siguranţă, încredere şi confidenţialitate, în conformitate cu legislaţia privind securitatea informaţiei, a celei privind serviciile de asigurare a încrederii, precum şi a celei privind protecţia datelor cu caracter personal;
(iii) autorităţile şi instituţiile publice vor urmări creşterea gradului de trasabilitate şi transparenţă a actului administrativ, prin oferirea posibilităţii titularului datelor a cunoaşterii accesării şi prelucrării datelor sale.
e) Principiul subsidiarităţii şi proporţionalităţii:
(i) abordarea naţională în domeniul interoperabilităţii sistemelor informatice pentru furnizarea serviciilor publice este aliniată cu cea europeană, pe care o extinde şi o adaptează necesităţilor naţionale;
(ii) autorităţile şi instituţiile publice limitează deciziile la cele necesare pentru îndeplinirea misiunii specifice.
f) Principiul transparenţei: documentaţia publicată este detaliată şi actualizată cel puţin privind nivelul semantic al interfeţelor externe ale sistemelor informatice prin intermediul cărora se furnizează servicii publice.
g) Principiul deschiderii administrative:
(i) datele deţinute de autorităţile şi instituţiile publice, cu excepţia celor pentru care se aplică restricţii legale care sunt supuse reglementărilor de protecţie a datelor personale, se publică ca date deschise;
(ii) datele deţinute de instituţiile şi autorităţile publice, cu excepţia celor pentru care se aplică restricţii legale, vor fi puse la dispoziţia utilizatorilor pe portalul data.gov.ro;
(iii) documentaţia publicată este detaliată şi actualizată cel puţin privind nivelul semantic al interfeţelor externe ale sistemelor informatice prin intermediul cărora se furnizează servicii publice.
h) Principiul conservării informaţiilor:
(i) informaţiile deţinute de autorităţile şi instituţiile publice sunt modificate doar în conformitate cu reglementările aplicabile în domeniul respectiv şi pot fi accesate în conformitate cu legislaţia privind securitatea informatică, protecţia datelor cu caracter personal şi arhivarea;
(ii) autorităţile şi instituţiile publice au obligaţia să asigure respectarea principiilor prevăzute la pct. (i) la planificarea, proiectarea, achiziţia, implementarea şi administrarea sistemelor informatice ale administraţiei publice.
i) Principiul nediscriminării:
(i) autorităţile şi instituţiile publice vor lua măsuri pentru a face disponibile serviciile electronice şi persoanelor care folosesc rar sau deloc mediul online, punându-le la dispoziţie căi adiţionale de a accesa serviciile publice fără costuri suplimentare;
(ii) instituţiile şi autorităţile publice vor lua măsuri pentru a asista digital persoanele care folosesc rar sau deloc mediul online, pentru a le facilita livrarea serviciului public digital;
(iii) autorităţile şi instituţiile publice îşi vor regândi dimensionarea şi pregătirea resursei umane ce interacţionează cu cei care au nevoie de asistenţă digitală, inclusiv recunoscându-i rolul critic în livrarea unui serviciu public de calitate.
j) Principiul neutralităţii şi adaptabilităţii:
(i) atunci când vor defini un serviciu public electronic, autorităţile şi instituţiile publice vor avea în vedere cerinţele funcţionale şi vor evita impunerea unei tehnologii sau a unui produs partenerilor, pentru a fi capabile să se adapteze mediului tehnologic în continuă evoluţie;
(ii) când înfiinţează un serviciu public, autorităţile şi instituţiile publice nu trebuie să impună nicio soluţie tehnologică cetăţenilor, mediului de afaceri sau altor autorităţi şi instituţii publice. Autorităţile şi instituţiile publice trebuie să se asigure că sistemele lor informatice permit transferul facil al datelor către alte sisteme informatice.
k) Principiul centrării pe utilizator:
(i) cerinţele cetăţeanului trebuie să determine care sunt serviciile de care este nevoie şi modul de furnizare al acestora;
(ii) furnizorii de servicii publice vor avea în vedere oferirea de servicii cu o interfaţă prietenoasă, sigură şi flexibilă, ce permite personalizarea, livrarea serviciilor pe mai multe canale de distribuţie pentru asigurarea accesului în orice mod, oriunde şi oricând, un singur punct de contact chiar şi atunci când diverse sectoare ale administraţiei publice trebuie să colaboreze pentru furnizarea serviciului, furnizarea de către cetăţean doar a minimului de informaţii necesare pentru obţinerea serviciului public;
(iii) autorităţile şi instituţiile publice trebuie să furnizeze informaţii persoanelor fizice şi persoanelor juridice din propria iniţiativă;
(iv) autorităţile şi instituţiile publice vor înregistra, evalua şi lua în considerare părerea utilizatorilor.
l) Principiul incluziunii şi accesibilităţii:
(i) autorităţile şi instituţiile publice vor utiliza tehnologia informaţiei pentru a crea oportunităţi egale pentru cetăţeni şi mediul de afaceri prin servicii publice electronice prezentate public şi accesibile fără discriminare;
(ii) incluziunea implică dreptul oricărei persoane de a beneficia de avantajul deplin al oportunităţilor oferite de noile tehnologii pentru a depăşi dezavantajele şi excluziunea socială şi economică;
(iii) autorităţile şi instituţiile publice trebuie să se asigure că serviciile publice electronice vor fi accesibile tuturor cetăţenilor, inclusiv persoanelor cu dizabilităţi sau în vârstă;
(iv) incluziunea şi accesibilitatea trebuie să fie parte a întregului ciclu de dezvoltare a serviciilor publice electronice, pornind de la proiectare, conţinut de informaţie şi livrare;
(v) modul tradiţional de furnizare a serviciilor publice, faţă în faţă sau utilizând formulare de hârtie, este necesar să coexiste cu furnizarea prin mijloace electronice, pentru a oferi cetăţeanului dreptul de a opta pentru modalitatea de accesare a serviciilor;
(vi) incluziunea şi accesibilitatea pot fi îmbunătăţite prin capacitarea unui sistem de a permite unor terţi să acţioneze în numele cetăţenilor lipsiţi, temporar sau permanent, de capacitatea de accesare a serviciilor publice.
m) Principiul multilingvismului:
(i) multilingvismul trebuie luat în considerare cu atenţie la proiectarea serviciilor publice electronice;
(ii) autorităţile şi instituţiile publice vor căuta un echilibru între aşteptările cetăţenilor şi ale mediului de afaceri de a dispune de servicii în limba sau limbile lor şi capacitatea administraţiei publice de a oferi servicii în toate limbile oficiale ale UE;
(iii) ori de câte ori este posibil, informaţiile trebuie transferate într-un format independent de limbă, convenit între părţile implicate;
(iv) autorităţile şi instituţiile publice trebuie să utilizeze sistemele de informaţii şi arhitecturile tehnice care iau în considerare aspectele legate de multilingvism la proiectarea serviciilor publice electronice.
(2) Autorităţile şi instituţiile publice au obligaţia respectării cel puţin a principiilor enunţate atunci când dezvoltă sistemele informatice.
CAP. III
Registrele de bază şi schimbul de informaţii în format electronic
ART. 6
Registre de bază
În scopul furnizării serviciilor publice, registrele de bază reprezintă fundamentul asigurării interoperabilităţii sistemelor informatice ale autorităţilor şi instituţiilor publice.
ART. 7
Lista registrelor de bază
(1) Sunt registre de bază cel puţin următoarele baze de date:
a) Sistemul naţional informatic de evidenţă a persoanelor, prevăzut în Ordonanţa de urgenţă a Guvernului nr. 97/2005 privind evidenţa, domiciliul, reşedinţa şi actele de identitate ale cetăţenilor români, republicată, cu modificările şi completările ulterioare;
b) Registrul electronic naţional al nomenclaturilor stradale, prevăzut în Legea cadastrului şi a publicităţii imobiliare nr. 7/1996, republicată, cu modificările şi completările ulterioare;
c) Sistemul integrat de cadastru şi carte funciară, prevăzut în Legea nr. 7/1996, republicată, cu modificările şi completările ulterioare;
d) Registrul Naţional de Publicitate Mobiliară, prevăzut de Legea nr. 297/2018 privind publicitatea mobiliară, republicată;
e) Registrul central al comerţului, ţinut de către Oficiul Naţional al Registrului Comerţului şi registrele comerţului ţinute de oficiile registrului comerţului organizate în fiecare judeţ şi în municipiul Bucureşti, prevăzute în Legea nr. 26/1990 privind registrul comerţului, republicată, cu modificările şi completările ulterioare;
f) Buletinul procedurilor de insolvenţă, prevăzut în Hotărârea Guvernului nr. 460/2005 privind conţinutul, etapele, condiţiile de finanţare, publicare şi distribuire a Buletinului procedurilor de insolvenţă, cu modificările şi completările ulterioare;
g) Registrul naţional de evidenţă a permiselor de conducere şi a vehiculelor înmatriculate, prevăzut în Ordonanţa de urgenţă a Guvernului nr. 195/2002 privind circulaţia pe drumurile publice, republicată, cu modificările şi completările ulterioare;
h) Sistemul naţional de identificare şi înregistrare a animalelor;
i) Baza de date a portalului instanţelor de judecată;
j) Registrul contribuabililor persoane fizice;
k) Registrul contribuabililor persoane juridice;
l) Registrul de date privind resursele minerale, perimetrele de prospecţiune, explorare, exploatare de resurse minerale;
m) Registrul naţional ONG;
n) Registrul matricol unic;
o) Sistemului electronic naţional, prevăzut în Legea nr. 161/2003 privind unele măsuri pentru asigurarea transparenţei în exercitarea demnităţilor publice, a funcţiilor publice şi în mediul de afaceri, prevenirea şi sancţionarea corupţiei, cu modificările şi completările ulterioare.
(2) Prin hotărâre a Guvernului se pot stabili registre de bază suplimentare faţă de cele prevăzute la alin. (1), precum şi administratorii acestora.
(3) Categoriile de date primare cuprinse în registrele de bază se referă cel puţin la persoane, cum ar fi date de identificare, date cu privire la sănătate, educaţie, finanţe, la bunuri mobile, inclusiv mijloace de transport, la bunuri imobile, la societăţi, asociaţii şi fundaţii sau la animale.
(4) Este interzisă stabilirea de registre publice pentru datele care sunt deja colectate ca date primare în registrele de bază, fiind obligatorie utilizarea datelor din registrele de bază existente.
ART. 8
Registrul naţional al registrelor
(1) Pentru atingerea scopului prezentei legi, Autoritatea pentru Digitalizarea României (ADR) va înfiinţa Registrul naţional al registrelor, denumit în continuare RNR.
(2) RNR conţine informaţii despre organizarea registrelor de date şi a datelor conţinute de acestea, care indică autenticitatea datelor respective, informaţii cu privire la semantica datelor şi informaţii privind autorităţile şi instituţiile publice care au acces la aceste date, temeiurile legale pentru transmiterea datelor, descrierea proceselor de colectare a datelor, precum şi modalitatea utilizării datelor colectate.
(3) Metodele şi mecanismele de accesare a registrelor de bază şi stabilirea drepturilor de acces la acestea sunt descrise în RNR.
(4) ADR este administratorul RNR şi propune Ministerului Cercetării, Inovării şi Digitalizării (MCID) conţinutul RNR cu acordul prealabil al administratorilor registrelor de bază.
(5) Structura şi conţinutul datelor şi informaţiilor din RNR se aprobă prin ordin al ministrului cercetării, inovării şi digitalizării, la propunerea preşedintelui ADR, cu acordul prealabil al administratorilor registrelor de bază.
(6) Acordul prealabil prevăzut la alin. (4) şi (5) sau refuzul motivat se comunică în termen de 30 de zile de la data solicitării. Necomunicarea acordului prealabil sau a unui refuz motivat în condiţiile alin. (7), în termenul de 30 de zile, constituie acord tacit.
(7) Temeinicia refuzului se constată de către ADR. Refuzul se consideră întemeiat doar dacă accesul la date aduce atingere unor aspecte de apărare naţională sau securitate naţională şi dacă administratorul registrului de bază aduce dovezi în acest sens.
(8) Toate registrele de bază ale autorităţilor şi instituţiilor publice sunt prevăzute în RNR.
(9) RNR nu conţine datele din registrele de bază, ci doar informaţii care fac referire la aceste date.
ART. 9
Platforma naţională de interoperabilitate
(1) Se instituie Platforma naţională de interoperabilitate necesară în vederea asigurării interoperabilităţii sistemelor informatice publice pentru furnizarea serviciilor publice, precum şi pentru accesarea informaţiilor de către persoane juridice de drept privat sau persoane care exercită profesii liberale reglementate.
(2) ADR este desemnată ca unic administrator al Platformei naţionale de interoperabilitate.
(3) Suportul tehnic al Platformei naţionale de interoperabilitate este asigurat de o infrastructură informatică dedicată, care oferă mecanisme de acces automat la toate registrele de bază sau la sistemul informatic al instituţiei sau autorităţii care deţine în administrare/gestionare registrul de bază şi care permite schimbul de date între autorităţile şi instituţiile publice sau între acestea şi persoanele juridice de drept privat, respectiv persoanele care exercită profesii liberale reglementate, în vederea asigurării interoperabilităţii sistemelor informatice pentru furnizarea serviciilor publice.
(4) În vederea asigurării securităţii cibernetice a Platformei naţionale de interoperabilitate, ADR va colabora cu Directoratul Naţional de Securitate Cibernetică şi cu Serviciul Român de Informaţii.
(5) În vederea asigurării securităţii comunicaţiilor prin reţelele de transmisii de date utilizate de Platforma naţională de interoperabilitate, ADR va colabora cu Serviciul de Telecomunicaţii Speciale.
(6) În vederea interconectării registrelor de bază cu Platforma naţională de interoperabilitate şi asigurării schimbului de date între autorităţile şi instituţiile publice se utilizează reţeaua de transmisii de date securizată, asigurată, în limita resurselor disponibile, de către Serviciul de Telecomunicaţii Speciale.
(7) În situaţia în care Serviciul de Telecomunicaţii Speciale nu poate asigura infrastructura de comunicaţii menţionată la alin. (5), în conformitate cu cerinţele ADR, autoritatea sau instituţia publică în cauză poate utiliza, în vederea interconectării, reţele de transmisii de date furnizate de către furnizorii de reţele publice de comunicaţii electronice.
(8) Reţelele de transmisii de date nu sunt parte a Platformei naţionale de interoperabilitate şi asigură un mediu sigur pentru transmiterea de date.
(9) Platforma naţională de interoperabilitate este dezvoltată cu respectarea cerinţelor tehnice şi operaţionale necesare pentru migrarea în infrastructuri de tip cloud, în vederea funcţionării acesteia în cadrul infrastructurii de cloud guvernamental a statului român.
ART. 10
Disponibilitatea şi utilizarea datelor accesibile prin Platforma naţională de interoperabilitate
(1) Administratorii registrelor de bază au obligaţia de a garanta administratorului Platformei naţionale de interoperabilitate disponibilitatea datelor conţinute în registrele de bază pe care le deţin, date care sunt necesare furnizării serviciilor publice de către orice autorităţi şi instituţii publice potrivit legislaţiei aplicabile, în vederea asigurării interoperabilităţii sistemelor publice. Accesul se permite în baza acordului prealabil al administratorului unui registru de bază şi cu respectarea standardelor Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor).
(2) Acordul prealabil prevăzut la alin. (1) sau refuzul motivat se comunică în termen de 30 de zile de la data solicitării. Necomunicarea acordului prealabil sau a unui refuz motivat în condiţiile alin. (3), în termenul de 30 de zile, constituie acord tacit.
(3) Temeinicia refuzului se constată de către ADR. Refuzul se consideră întemeiat doar dacă accesul la date aduce atingere unor aspecte de apărare naţională sau securitate naţională şi dacă administratorul registrului de bază aduce dovezi în acest sens.
(4) În scopul verificării legalităţii prelucrării datelor cu caracter personal, monitorizării şi asigurării integrităţii şi securităţii corespunzătoare a datelor, administratorul Platformei naţionale de interoperabilitate are obligaţia de a stoca informaţii cu privire la toate acţiunile derulate prin intermediul Platformei naţionale de interoperabilitate, sub forma unor jurnale, şi de a prezenta în mod transparent şi nemijlocit administratorului registrului de date şi titularului datelor informaţii despre colectarea, accesarea, modificarea, combinarea, dezvăluirea, reutilizarea sau ştergerea datelor cu caracter personal, scopurile prelucrării şi temeiul legal în baza căruia au fost accesate datele. Jurnalele nu vor fi supuse niciunor modificări şi se vor comunica la cerere către Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal, către responsabilul cu protecţia datelor cu caracter personal şi, dacă este necesar, pentru o investigaţie specifică, autorităţilor competente în acest sens. Jurnalele vor fi şterse după trei ani, cu excepţia cazului în care datele pe care le conţin sunt necesare în continuare pentru asigurarea controlului.
(5) Datele nu vor fi stocate decât dacă există un temei legal în acest sens şi vor fi păstrate de instituţiile care le stochează cu respectarea legislaţiei aplicabile.
(6) Administratorul Platformei naţionale de interoperabilitate oferă acces la date din registrele de bază necesare în exercitarea funcţiilor şi îndeplinirea atribuţiilor prevăzute de lege tuturor autorităţilor şi instituţiilor publice.
(7) Fiecare autoritate şi instituţie publică, dar şi persoanele juridice de drept privat şi persoanele care exercită profesii liberale reglementate, dacă au încheiat un contract de schimb de date în condiţiile prezentei legi, sunt responsabile pentru conferirea drepturilor de acces la datele din registrele de bază angajaţilor proprii, cu asigurarea protecţiei datelor cu caracter personal şi a securităţii cibernetice.
(8) Schimbul de date între instituţiile şi autorităţile publice are loc în mod gratuit prin utilizarea Platformei naţionale de interoperabilitate.
(9) Orice solicitare de furnizare a datelor în temeiul prezentei legi se efectuează automat şi în mod electronic conform drepturilor de acces acordate de ADR.
(10) Administratorul registrelor de bază nu are dreptul de a impune cerinţe suplimentare sau de a stabili o altă procedură de schimb de date faţă de cele prevăzute în prezenta lege.
(11) Pentru a dovedi autenticitatea datelor obţinute la un anumit moment în timp, Platforma naţională de interoperabilitate oferă instanţelor de judecată posibilitatea de a consulta istoricul modificării şi accesării datelor din platformă.
ART. 11
Obligativitatea utilizării datelor primare
(1) Autorităţile şi instituţiile publice au obligaţia de a utiliza Platforma naţională de interoperabilitate pentru accesarea datelor cuprinse în registrele administrate de către alte autorităţi şi instituţii publice, necesare furnizării serviciilor publice.
(2) Autorităţile şi instituţiile publice au obligaţia de a asigura prestarea serviciilor fără a solicita documente suplimentare care conţin exclusiv informaţii disponibile prin Platforma naţională de interoperabilitate sau în scopul obţinerii unor date care pot fi furnizate prin intermediul Platformei naţionale de interoperabilitate.
(3) Autorităţile şi instituţiile publice care oferă servicii publice nu au dreptul să solicite persoanelor fizice şi juridice dovezi sau certificări ale datelor deja colectate sau create de către autorităţile şi instituţiile respective. Datele utilizate în furnizarea serviciilor publice trebuie preluate exclusiv din registrele de bază disponibile prin intermediul Platformei naţionale de interoperabilitate.
(4) Instituţiile publice pot reutiliza sau distribui date pe care persoanele fizice şi juridice le-au furnizat unei autorităţi sau instituţii publice. Distribuirea sau reutilizarea informaţiei se va realiza într-o manieră transparentă şi securizată, cu respectarea principiului colectării şi stocării exclusiv a informaţiilor necesare, a regulilor şi obligaţiilor prevăzute de Regulamentul general privind protecţia datelor.
(5) Datele pentru care s-a asigurat implementarea principiului securităţii şi confidenţialităţii, în conformitate cu prevederile prezentei legi, care sunt accesate prin Platforma naţională de interoperabilitate, au aceeaşi valoare juridică cu datele conţinute în documentul prezentat fizic, într-o copie conformă cu originalul a acestuia, sau într-un document electronic certificat cu semnătură electronică calificată, care conţine sau confirmă datele respective.
(6) Autorităţile şi instituţiile publice au obligaţia de a-şi schimba procedurile de lucru, respectiv de a propune schimbări cu privire la legislaţia în vigoare, pentru a presta serviciile publice aflate în responsabilitatea lor, exclusiv în baza datelor ce pot fi obţinute prin Platforma naţională de interoperabilitate.
ART. 12
Interoperabilitatea în administraţia publică locală, între administraţia publică centrală şi administraţia publică locală şi între administraţiile publice locale
(1) Prezenta lege se aplică atât autorităţilor şi instituţiilor publice centrale, cât şi celor locale.
(2) Aplicarea prezentei legi la nivel local, precum şi asigurarea schimbului de date între autorităţile administraţiei publice centrale şi autorităţile administraţiei publice locale, dar şi între autorităţile administraţiei publice locale se vor realiza de către ADR în colaborare cu autorităţile executive de la nivelul unităţilor administrativ-teritoriale şi cu sprijinul acestora.
ART. 13
Accesul persoanelor fizice şi persoanelor juridice de drept privat la date deţinute de instituţii publice şi accesul instituţiilor publice la date deţinute de primele
(1) Schimbul de date între autorităţile şi instituţiile publice, pe de o parte, şi utilizatorii persoane juridice de drept privat sau persoane care exercită profesii liberale reglementate, pe de altă parte, are loc în bază contractuală, cu respectarea prevederilor prezentei legi.
(2) Conectarea şi acordarea drepturilor de acces ale participanţilor la Platforma naţională de interoperabilitate au loc în baza deciziei preşedintelui ADR, cu acordul administratorilor registrelor de bază şi cu respectarea cerinţelor tehnice, de protecţie a datelor cu caracter personal şi de securitate cibernetică. Acordul prealabil sau refuzul motivat se comunică în termen de 30 de zile de la data solicitării. Necomunicarea acordului prealabil sau a unui refuz motivat în condiţiile alin. (3), în termenul de 30 de zile, constituie acord tacit.
(3) Temeinicia refuzului se constată de către ADR. Refuzul se consideră întemeiat doar dacă accesul la date aduce atingere unor aspecte de apărare naţională sau securitate naţională şi dacă administratorul registrului de bază aduce dovezi în acest sens.
(4) Contractul de schimb de date se încheie între autoritatea care administrează Platforma naţională de interoperabilitate şi persoana juridică de drept privat, respectiv persoane care exercită profesii liberale reglementate şi care deţin sisteme informatice şi este cu titlu oneros.
(5) Participanţii la schimbul de date pot avea simultan rol de furnizor şi de consumator de date.
(6) Costurile vor fi stabilite de administratorul Platformei naţionale de interoperabilitate şi vor depinde de costurile operaţionale ale administratorilor registrelor de bază consultate, respectiv ale administratorului Platformei naţionale de interoperabilitate. Parte din veniturile realizate de administratorul Platformei naţionale de interoperabilitate vor fi vărsate administratorilor registrelor de bază, în urma unei analize realizate de MCID cu privire la costuri.
(7) Persoanele juridice de drept privat, respectiv persoanele care exercită profesii liberale reglementate şi care deţin sisteme informatice au dreptul de a accesa date prin intermediul Platformei naţionale de interoperabilitate dacă se încadrează în temeiurile prevăzute de Regulamentul general privind protecţia datelor.
(8) Datele cu caracter personal pot fi accesate doar atunci când sunt necesare pentru executarea serviciului prestat de către persoanele juridice de drept privat, respectiv persoanele care exercită o profesie liberală reglementată.
(9) Nicio persoană vizată nu va fi afectată de o decizie a unei autorităţi sau instituţii publice, a unei persoane juridice de drept privat ori a unei persoane care exercită o profesie liberală reglementată, bazată exclusiv pe prelucrarea automată a datelor sale, inclusiv prin crearea de profiluri, cu excepţia cazului în care o astfel de decizie este autorizată de legislaţia Uniunii Europene sau de dreptul intern aplicabil.
(10) Platforma naţională de interoperabilitate poate expune date deschise furnizate de autorităţi şi instituţii publice, la solicitarea acestora.
(11) Accesul la datele deţinute de către o instituţie publică sau de o entitate privată este conferit cu respectarea legislaţiei în domeniu şi a reglementărilor privind protecţia datelor cu caracter personal.
CAP. IV
Autorităţile şi instituţiile publice responsabile pentru crearea şi implementarea Platformei naţionale de interoperabilitate şi atribuţiile acestora
ART. 14
Atribuţii privind administrarea şi funcţionarea Platformei naţionale de interoperabilitate
(1) Pentru realizarea obiectivelor prezentei legi prevăzute la art. 2, MCID va elabora NRRI. MCID va colabora cu administratorul Platformei naţionale de interoperabilitate şi cu administratorii registrelor de date pentru a se asigura că la implementarea NRRI se vor îndeplini toate standardele prevăzute de prezenta lege şi de Cadrul european de interoperabilitate.
(2) Funcţiile de reglementare, monitorizare, control şi evaluare a realizării politicilor din domeniul interoperabilităţii se realizează după cum urmează:
a) funcţia de reglementare în domeniul implementării Platformei naţionale de interoperabilitate se exercită de către MCID şi se realizează în principal în temeiul informaţiilor puse la dispoziţie de ADR;
b) funcţia de monitorizare, control şi evaluare a realizării politicilor în domeniul interoperabilităţii se exercită de către ADR;
c) funcţia de monitorizare a implementării şi gestionării Platformei naţionale de interoperabilitate se exercită de către MCID.
ART. 15
Principalele atribuţii ale Ministerului Cercetării, Inovării şi Digitalizării
(1) Principalele atribuţii ale MCID sunt următoarele:
a) stabilirea modalităţilor de cooperare şi elaborarea procedurilor de lucru pentru autorităţile şi instituţiile publice centrale şi locale în ceea ce priveşte managementul informaţiei în administraţia publică. Cooperarea va avea ca scop promovarea implementării obiectivelor prezentei legi şi dezvoltarea practicilor administraţiei publice şi a metodelor de producere şi prestare a serviciilor publice prin utilizarea Platformei naţionale de interoperabilitate;
b) dezvoltarea managementului informaţiei în administraţia publică şi crearea structurilor de servicii tehnice pentru utilizarea Platformei naţionale de interoperabilitate;
c) crearea procedurii de conectare şi participare la Platforma naţională de interoperabilitate şi a schimbului de date;
d) colaborarea cu administratorii registrelor de date şi cu administratorul Platformei naţionale de interoperabilitate în vederea identificării şi promovării intervenţiilor legislative necesare pentru furnizarea de servicii publice electronice prin utilizarea Platformei naţionale de interoperabilitate.
(2) În termen de 5 luni de la data intrării în vigoare a prezentei legi, la propunerea ADR, se aprobă, prin ordin al ministrului cercetării, inovării şi digitalizării, Normele de referinţă pentru realizarea interoperabilităţii în domeniul tehnologiei informaţiei şi al comunicaţiilor, care se publică în Monitorul Oficial al României, Partea I.
(3) NRRI devin obligatorii pentru autorităţile şi instituţiile publice din cadrul administraţiei publice centrale şi locale.
(4) NRRI vor fi evaluate cel puţin o dată la doi ani şi, dacă se impune, actualizate ori de câte ori este necesar.
(5) În termen de 30 de zile de la data intrării în vigoare a prezentei legi, MCID va crea o nouă direcţie în cadrul ADR, care va acţiona în calitate de administrator al Platformei naţionale de interoperabilitate.
(6) MCID va putea prevedea în bugetul propriu de venituri şi cheltuieli sumele necesare sprijinirii autorităţilor publice locale pentru conectarea acestora la Platforma naţională de interoperabilitate.
ART. 16
Principalele atribuţii ale administratorului Platformei naţionale de interoperabilitate
(1) ADR este autoritatea competentă pentru asigurarea schimbului de date şi a interoperabilităţii, desemnată în conformitate cu prezenta lege, care asigură interoperabilitatea juridică şi semantică şi stabileşte principiile interoperabilităţii organizaţionale şi tehnice.
(2) Prin niveluri de interoperabilitate legală, organizaţională, semantică şi tehnică se înţeleg expresiile definite în Cadrul Naţional de Interoperabilitate, aprobat prin Hotărârea Guvernului nr. 908/2017.
(3) În îndeplinirea prevederilor alin. (1), principalele atribuţii ale ADR sunt următoarele:
a) în termen de 3 luni de la data intrării în vigoare a ordinului prevăzut la art. 15 alin. (2), ADR demarează procedurile administrative pentru implementarea Platformei naţionale de interoperabilitate;
b) asigurarea aplicării unitare şi coerente a NRRI la nivel naţional;
c) propunerea de norme subsecvente în aplicarea NRRI şi adaptarea constantă a acestora la realităţile şi dezvoltările tehnice;
d) stabilirea datelor necesare asigurării interoperabilităţii sistemelor publice pentru furnizarea serviciilor publice care trebuie puse la dispoziţia Platformei naţionale de interoperabilitate de către autorităţile şi instituţiile publice;
e) în colaborare cu administratorii registrelor de date, stabilirea categoriilor de date care sunt partajate de fiecare autoritate şi instituţie publică şi acordarea drepturilor de acces celorlalte autorităţi şi instituţii publice, persoane juridice de drept privat, respectiv persoane care exercită profesii liberale reglementate, pentru fiecare categorie de date;
f) prezentarea în mod transparent şi nemijlocit a informaţiilor prevăzute la art. 10 alin. (4) administratorului registrului de date şi titularului datelor;
g) administrarea, monitorizarea şi supravegherea Platformei naţionale de interoperabilitate;
h) stabilirea atribuţiilor şi responsabilităţilor participanţilor la schimbul de date, monitorizarea şi controlul utilizării Platformei naţionale de interoperabilitate şi sancţionarea refuzului de a participa la platformă sau a utilizării abuzive sau necorespunzătoare;
i) popularizarea NRRI şi a normelor de aplicare la nivelul administraţiei publice centrale şi locale;
j) menţinerea unei relaţii constante cu autorităţile şi instituţiile publice şi cu persoanele juridice de drept privat, respectiv persoanele care exercită profesii liberale reglementate, prin intermediul responsabilului NRRI din cadrul acestora;
k) furnizarea de asistenţă tehnică pentru respectarea conformităţii cu NRRI şi normele subsecvente de informatizare ale instituţiilor publice;
l) verificarea periodică a conformităţii aderării la NRRI a autorităţilor şi instituţiilor publice;
m) în termen de două luni de la data intrării în vigoare a prezentei legi, în vederea constituirii Platformei naţionale de interoperabilitate, ADR are obligaţia de a solicita tuturor autorităţilor şi instituţiilor publice care deţin registre de bază toate informaţiile necesare în vederea elaborării NRRI. În ceea ce priveşte administratorii registrelor de bază prevăzute de prezenta lege, ADR le va comunica totodată şi sancţiunea prevăzută la art. 22 alin. (8);
n) la conectarea unui registru de date cu Platforma naţională de interoperabilitate, va colabora cu administratorul registrelor de date pentru realizarea standardelor unice de date, pe care le va transmite ulterior MCID pentru a fi integrate în NRRI.
(4) În exercitarea funcţiei de reglementare, în urma consultării cu administratorii registrelor de date, ADR va constata şi va publica prin decizie a preşedintelui ADR următoarele:
a) datele şi seturile de date stabilite împreună cu administratorii registrelor de date, care fac obiectul partajării în Platforma naţională de interoperabilitate;
b) scopurile în care datele vor fi puse la dispoziţia participanţilor la Platforma naţională de interoperabilitate şi standardele adecvate prelucrării datelor pentru fiecare domeniu, cu respectarea legislaţiei specifice;
c) instituţiile publice şi persoanele juridice de drept privat, respectiv persoanele care exercită profesii liberale reglementate destinatare ale datelor;
d) atribuţiile autorităţilor şi instituţiilor publice, respectiv funcţiile persoanelor juridice de drept privat la care se referă scopurile prevăzute la lit. b);
e) temeiul legal pentru punerea la dispoziţie a datelor şi pentru orice prelucrare ulterioară de către participanţii la Platforma naţională de interoperabilitate;
f) datele care vor fi puse la dispoziţie şi informaţiile ce vor rezulta din prelucrarea respectivelor date;
g) dacă iniţiativa pentru punerea la dispoziţie a informaţiilor în temeiul prezentei legi provine de la o persoană vizată, de la o autoritate sau instituţie publică ori de la o persoană juridică de drept privat;
h) dacă punerea la dispoziţie a datelor priveşte date referitoare la persoane vizate individuale sau categorii de persoane vizate;
i) dacă punerea la dispoziţie a informaţiilor în temeiul prezentei legi va fi unică sau cu caracter permanent;
j) modul în care informaţiile care urmează a fi puse la dispoziţie vor fi prelucrate şi perioada de timp pentru care va avea loc prelucrarea sau stocarea datelor;
k) orice restricţii privind punerea la dispoziţie a informaţiilor după prelucrarea prevăzută la lit. j);
l) criteriile pe baza cărora autorităţile şi instituţiile publice participante comunică ADR categoriile de date nou-apărute;
m) măsurile concrete de securitate care trebuie aplicate transmiterii, stocării şi accesării datelor cu caracter personal.
(5) În vederea îndeplinirii atribuţiilor prevăzute de prezenta lege, ADR întocmeşte un registru public al aplicaţiilor informatice utilizate în mod direct de autorităţile şi instituţiile publice în procesul de furnizare a serviciilor publice, ca parte integrantă a NRRI.
ART. 17
Principalele atribuţii ale autorităţilor şi instituţiilor publice
(1) Principalele atribuţii ale autorităţilor şi instituţiilor publice sunt următoarele:
a) autorităţile şi instituţiile publice centrale şi locale iau măsurile necesare şi încorporează tehnologiile necesare pentru interconectarea sistemelor informatice şi schimbul de informaţii şi servicii între acestea;
b) autorităţile şi instituţiile publice centrale, precum şi cele locale care deţin un registru de bază sunt obligate să se integreze cu Platforma naţională de interoperabilitate în maximum 18 luni de la punerea în funcţiune a platformei şi să ofere acces la aceste date prin Platforma naţională de interoperabilitate;
c) în termen de 5 ani de la data intrării în vigoare a prezentei legi, autorităţile şi instituţiile publice vor furniza serviciile publice şi în mod electronic, prin intermediul portalurilor proprii, atunci când acest lucru este posibil;
d) autorităţile şi instituţiile publice stabilesc condiţiile şi instrumentele pentru înfiinţarea şi prestarea serviciilor publice electronice, cu respectarea principiilor transparenţei, publicităţii, responsabilităţii, calităţii, siguranţei, disponibilităţii, accesibilităţii, neutralităţii şi interoperabilităţii;
e) autorităţile şi instituţiile publice care participă la schimbul de date asigură resursele umane, financiare şi tehnologice necesare şi iau măsurile necesare sau recomandate de autoritatea competentă în scopul asigurării conectării la Platforma naţională de interoperabilitate, a continuităţii şi securităţii schimbului de date, precum şi a caracterului actual al datelor furnizate;
f) responsabilul pentru protecţia datelor cu caracter personal, desemnat în cadrul autorităţilor şi instituţiilor publice care participă la schimbul de date, monitorizează legalitatea schimbului de date, a scopurilor prelucrării acestora şi a contractelor de schimb de date, precum şi respectarea prevederilor Regulamentului general privind protecţia datelor. Responsabilul cu protecţia datelor trebuie să fie în măsură să îşi îndeplinească sarcinile în mod independent şi eficient, fiindu-i asigurate resursele necesare în acest scop;
g) autorităţile şi instituţiile publice au obligaţia să participe la standardizarea proceselor de lucru relevante, să creeze sau să adopte astfel de procese standardizate şi să adere la schemele comune impuse de Platforma naţională de interoperabilitate, inclusiv RNR, pentru facilitarea interconectării componentelor serviciilor şi a creării infrastructurii necesare furnizării serviciilor publice;
h) în termen de 30 de zile de la data solicitării ADR, prevăzute la art. 16 alin. (3) lit. m), autorităţile şi instituţiile publice din administraţia publică centrală şi locală au obligaţia să transmită ADR informaţiile solicitate;
i) Comitetul Tehnico-Economic pentru Societatea Informaţională (CTE), organism fără personalitate juridică, abilitat prin Hotărârea Guvernului nr. 941/2013 privind organizarea şi funcţionarea Comitetului Tehnico-Economic pentru Societatea Informaţională, cu modificările şi completările ulterioare, să asiste Autoritatea pentru Digitalizarea României şi să aprobe strategiile şi proiectele de informatizare ale instituţiilor publice în vederea asigurării interoperabilităţii sistemelor informatice şi a eliminării suprapunerilor multiple de finanţare şi funcţionale, va emite avize de funcţionare doar pentru acele sisteme tehnologice ale căror funcţionalităţi vor fi pe deplin aliniate la infrastructurile naţionale de identificare şi autorizare notificate de ADR în cadrul unui sistem transnaţional, în conformitate cu normele europene prevăzute în Regulamentul (UE) 2014/910 al Parlamentului European şi al Consiliului din 23 iulie 2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE, precum şi cu reglementările de punere în aplicare.
(2) De la data implementării Platformei naţionale de interoperabilitate, autorităţile şi instituţiile publice nu vor mai avea dreptul să solicite persoanelor fizice sau juridice de drept privat informaţii care pot fi obţinute prin interogarea Platformei naţionale de interoperabilitate.
(3) Autorităţile şi instituţiile publice vor putea folosi infrastructuri informatice private în vederea conectării la Platforma Naţională de Interoperabilitate atunci când propria infrastructură nu le permite acest lucru conform standardelor de calitate stabilite prin NRRI.
ART. 18
Principalele atribuţii ale persoanelor juridice de drept privat
(1) Toate persoanele juridice de drept privat care oferă servicii sau soluţii informatice autorităţilor şi instituţiilor publice au obligaţia ca în termen de 90 de zile de la intrarea în vigoare a prezentei legi să ofere acces beneficiarilor şi furnizorilor împuterniciţi de aceştia în mod continuu, prin interfeţe standardizate de comunicare de software de tip REST API şi documentaţia aferentă pentru folosirea lor, la bazele de date utilizate de aplicaţiile gestionate de ei.
(2) Persoanele juridice prevăzute la alin. (1) au obligaţia de a-şi conecta sistemele informatice gestionate în numele sau pentru autorităţile şi instituţiile publice la Platforma Naţională de Interoperabilitate.
ART. 19
Principalele atribuţii ale Ministerului Finanţelor
(1) Ministerul Finanţelor va introduce modificările ce decurg din implementarea prevederilor prezentei legi în structura bugetului de stat şi în bugetul ADR, la propunerea MCID.
(2) Se abilitează Ministerul Finanţelor să prevadă cu prioritate, în procesul de elaborare a legii bugetului de stat, sumele necesare întreţinerii sau, după caz, modernizării sistemelor informatice care susţin funcţionarea registrelor de bază.
ART. 20
Securitatea şi confidenţialitatea schimbului de date
(1) Securitatea şi confidenţialitatea schimbului de date sunt asigurate de către toţi participanţii la schimbul de date şi de către administratorul Platformei naţionale de interoperabilitate, fiecare pe domeniile sale de competenţă şi în conformitate cu cerinţele de securitate aplicabile categoriei respective de date. Fiecare autoritate sau instituţie publică şi toate persoanele juridice de drept privat, respectiv persoanele care exercită profesii liberale reglementate vor defini politici de securitate a datelor în conformitate cu standardele naţionale şi internaţionale.
(2) Participanţii la schimbul de date sunt obligaţi să informeze Directoratul Naţional de Securitate Cibernetică şi orice altă instituţie publică cu competenţe în domeniu despre vulnerabilităţile şi incidentele de securitate în utilizarea Platformei naţionale de interoperabilitate în termen de cel mult 72 de ore din momentul depistării acestora.
(3) Transferul datelor prin intermediul Platformei naţionale de interoperabilitate se realizează în formă criptată.
(4) Transferul datelor este organizat într-o manieră în care identitatea destinatarului este cunoscută în mod cert înainte de a permite destinatarului să prelucreze datele primite.
(5) Prelucrarea datelor cu caracter personal de către autorităţile şi instituţiile publice, persoanele fizice şi entităţile de drept privat în procesul de utilizare şi furnizare a serviciilor publice prin intermediul Platformei naţionale de interoperabilitate se realizează cu respectarea reglementărilor legale aplicabile în domeniul protecţiei datelor cu caracter personal.
(6) Fiecare autoritate sau instituţie publică va acorda angajaţilor şi colaboratorilor săi drepturile de acces la date furnizate prin intermediul Platformei naţionale de interoperabilitate în condiţiile art. 16 alin. (3) lit. e) şi cu respectarea prevederilor legale aplicabile.
(7) Administratorii registrelor de bază şi administratorii oricăror alte registre de date au următoarele obligaţii:
a) să asigure implementarea cerinţelor minime de securitate cibernetică prevăzute de legislaţia naţională şi europeană şi de standardele şi specificaţiile naţionale, europene şi internaţionale aplicabile în domeniul securităţii cibernetice, în special cele prevăzute de Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice, cu modificările şi completările ulterioare;
b) să implementeze, să asigure procese şi proceduri specifice pentru asigurarea securităţii operaţionale a serviciului;
c) să se asigure că datele stocate sau aflate în tranzit sunt protejate în mod adecvat împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin măsuri de protecţie a reţelei informatice şi de criptare a datelor;
d) să nu permită accesul fără drept la datele din Platforma naţională de interoperabilitate aflate sub autoritatea lor şi să se asigure că accesul la toate interfeţele de servicii este limitat la persoanele autentificate şi autorizate pe baza necesităţii de a cunoaşte;
e) să gestioneze şi să rezolve de îndată incidentele de securitate cibernetică;
f) să nu afecteze, prin acţiunile proprii, securitatea altor reţele şi sisteme informatice;
g) să se asigure că personalul este instruit corespunzător pentru utilizarea Platformei naţionale de interoperabilitate şi controlat periodic pentru a preîntâmpina erori umane sau încălcări de securitate.
(8) Utilizatorii de date nu trebuie să se angajeze în nicio activitate care să compromită siguranţa Platformei naţionale de interoperabilitate.
(9) Protecţia datelor se asigură prin implementarea, la nivelul fiecărui sistem informatic implicat în schimbul de date, a:
a) principiilor „confidenţialităţii prin concepţie“ şi „securităţii prin concepţie“, pentru a asigura securitatea modulelor şi a infrastructurii lor;
b) planurilor de gestionare a riscurilor pentru identificarea riscurilor, evaluarea potenţialului impact al acestora şi planificarea intervenţiilor cu măsuri tehnice şi organizatorice adecvate. Pe baza ultimelor evoluţii tehnologice, aceste măsuri trebuie să asigure un nivel de securitate proporţional cu gradul de risc;
c) planurilor de continuitate a activităţii şi planurilor de rezervă şi de redresare pentru a institui procedurile necesare de asigurare a disponibilităţii funcţiilor în urma unui eveniment dezastruos şi readucere a tuturor funcţiilor la situaţia normală cât mai curând posibil;
d) unui plan de acces la date şi autorizare, care stabileşte persoanele care au acces la date, datele care sunt accesibile şi condiţiile accesării datelor, pentru a asigura confidenţialitatea. Accesul neautorizat şi încălcarea normelor de securitate trebuie monitorizate şi trebuie luate măsuri corespunzătoare pentru a preveni orice repetare a încălcărilor.
CAP. V
Răspundere şi sancţiuni
ART. 21
Răspundere
Încălcarea prevederilor prezentei legi atrage răspunderea disciplinară, civilă, contravenţională sau penală, după caz.
ART. 22
Sancţiuni
(1) Constituie contravenţie, în măsura în care nu este săvârşită în astfel de condiţii încât să fie considerată, potrivit legii penale, infracţiune, nerespectarea de către conducătorii autorităţilor şi instituţiilor publice participante la Platforma naţională de interoperabilitate a dispoziţiilor art. 10 alin. (1) şi (5), art. 17 alin. (1) lit. b) şi h), art. 17 alin. (2), art. 18 alin. (1) şi ale alin. (8) şi (9) din prezentul articol.
(2) Contravenţia prevăzută la art. 10 alin. (1) se sancţionează cu amendă de la 10.000 lei la 25.000 lei.
(3) Contravenţia constând în nerespectarea dispoziţiilor art. 10 alin. (5) se sancţionează cu amendă de la 5.000 lei la 10.000 lei.
(4) Contravenţia constând în nerespectarea dispoziţiei art. 17 alin. (1) lit. b) se sancţionează cu amendă de la 10.000 lei la 25.000 lei.
(5) Contravenţia constând în nerespectarea dispoziţiei art. 17 alin. (1) lit. h) se sancţionează cu amendă de la 5.000 lei la 10.000 lei.
(6) Contravenţia constând în nerespectarea dispoziţiei art. 17 alin. (2) se sancţionează cu amendă de la 10.000 lei la 25.000 lei.
(7) Contravenţia constând în nerespectarea dispoziţiei art. 18 alin. (1) se sancţionează cu amendă de la 20.000 lei la 40.000 lei.
(8) Constituie contravenţie refuzul unui administrator al unui registru de bază de a se integra la Platforma naţională de interoperabilitate şi se sancţionează cu amendă de la 10.000 lei la 25.000 lei şi, după caz, cu răspunderea disciplinară a persoanelor care au contribuit la săvârşirea contravenţiei.
(9) Constituie contravenţie utilizarea abuzivă sau necorespunzătoare a Platformei naţionale de interoperabilitate şi se sancţionează cu amendă de la 10.000 lei la 25.000 lei şi, după caz, cu răspunderea disciplinară a persoanelor care au contribuit la săvârşirea contravenţiei.
(10) Constatarea contravenţiilor prevăzute la alin. (1) şi aplicarea sancţiunii aferente se fac de către ADR.
(11) Contravenţiilor prevăzute de prezenta lege le sunt aplicabile dispoziţiile Ordonanţei Guvernului nr. 2/2001 privind regimul juridic al contravenţiilor, aprobată cu modificări şi completări prin Legea nr. 180/2002, cu modificările şi completările ulterioare.
(12) Prin derogare de la prevederile art. 28 din Ordonanţa Guvernului nr. 2/2001, aprobată cu modificări şi completări prin Legea nr. 180/2002, cu modificările şi completările ulterioare, contravenientul poate achita, în termen de cel mult 15 zile de la data înmânării sau comunicării procesului-verbal, jumătate din cuantumul amenzii aplicate, agentul constatator făcând menţiune despre această posibilitate în procesul-verbal.
(13) Sumele provenite din amenzile aplicate pentru contravenţiile prevăzute de prezenta lege se fac venit integral la bugetul de stat.
(14) Comitetul Tehnico-Economic pentru Societatea Informaţională, înfiinţat prin Ordonanţa de urgenţă a Guvernului nr. 96/2012 privind stabilirea unor măsuri de reorganizare în cadrul administraţiei publice centrale şi pentru modificarea unor acte normative, aprobată cu modificări şi completări prin Legea nr. 71/2013, cu modificările şi completările ulterioare, nu va emite avize conforme autorităţilor şi instituţiilor publice care deţin registre de bază şi nu le integrează cu Platforma naţională de interoperabilitate în conformitate cu dispoziţiile prezentei legi.
CAP. VI
Dispoziţii tranzitorii şi finale
ART. 23
Dispoziţii tranzitorii şi finale
După intrarea în vigoare a prezentei legi şi până la implementarea Platformei naţionale de interoperabilitate, autorităţile şi instituţiile publice care deţin registre de bază au obligaţia de a asigura accesul la datele din registrele de bază pentru alte autorităţi sau instituţii publice, în scopul îndeplinirii atribuţiilor lor legale, cu respectarea standardelor de securitate, confidenţialitate şi protecţie a datelor.
ART. 24
Accesul la datele din registrele de bază până la implementarea Platformei naţionale de interoperabilitate
Accesul la datele din registrele de bază în condiţiile art. 23 se realizează în baza unor acorduri bilaterale, chiar şi înaintea emiterii normelor prevăzute la art. 15 alin. (2), cu respectarea prevederilor art. 10 alin. (4).
Această lege a fost adoptată de Parlamentul României, cu respectarea prevederilor art. 75 şi ale art. 76 alin. (2) din Constituţia României, republicată.
PREŞEDINTELE CAMEREI DEPUTAŢILOR
ION-MARCEL CIOLACU
p. PREŞEDINTELE SENATULUI,
ALINA-ŞTEFANIA GORGHIU
Bucureşti, 20 iulie 2022.
Nr. 242.
-----
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.
MonitorulJuridic.ro este un proiect:
