Cyberlaw

 

Ordinul nr. 493/2009 privind normele tehnice şi metodologice pentru aplicarea Legii nr. 135/2007 privind arhivarea documentelor în formă electronică

CAPITOLUL I
Dispoziţii generale

Art. 1. – Prezentele norme tehnice şi metodologice se aplică activităţii de arhivare electronică a documentelor efectuate în condiţiile Legii nr. 135/2007 privind arhivarea documentelor în formă electronică şi stabilesc procedura privind acordarea, suspendarea sau retragerea acreditării administratorilor de arhive electronice de către Ministerul Comunicaţiilor şi Societăţii Informaţionale, denumit în continuare MCSI, precum şi condiţiile privind desfăşurarea acestei activităţi.

Art. 2. – (1) În înţelesul prezentului ordin, următorii termeni se definesc astfel:
a) beneficiar – persoana fizică sau juridică ce depune spre păstrare documente în formă electronică în cadrul unei arhive electronice;
b) acreditare – constatarea de către MCSI a îndeplinirii condiţiilor legale pentru dobândirea calităţii de administrator al arhivei electronice;
c) sistem de administrare a documentelor electronice – aplicaţie informatică destinată recepţiei, clasării, utilizării şi selecţionării documentelor în formă electronică;
d) evidenţă de auditare – ansamblu de informaţii privind operaţiuni sau orice alte activităţi care au afectat sau au modificat documentul, culese cu suficiente detalii astfel încât să permită reconstituirea unei activităţi anterioare;
e) nomenclator arhivistic – listă structurată alcătuită din schema de clasare, termenele de păstrare corespunzătoare categoriilor de documente din schema de clasare şi acţiunile de dispoziţie asupra documentelor dintr-un sistem de administrare a documentelor electronice.
(2) În cuprinsul prezentului ordin sunt, de asemenea, aplicabile definiţiile prevăzute la art. 15 lit. b) din Legea nr. 182/2002 privind protecţia informaţiilor clasificate, cu modificările şi completările ulterioare, şi la art. 237 prima liniuţă din Standardele naţionale de protecţie a informaţiilor clasificate în România, aprobate prin Hotărârea Guvernului nr. 585/2002, cu modificările şi completările ulterioare.

CAPITOLUL II
Autoritatea de reglementare şi supraveghere

Art. 3. – (1) Autoritatea de reglementare şi supraveghere specializată în domeniul arhivării electronice este MCSI.
(2) MCSI gestionează Registrul administratorilor de arhive electronice, denumit în continuare registru, care va fi actualizat permanent şi va fi disponibil spre consultare pe pagina sa de internet.
(3) Conţinutul şi structura registrului sunt prevăzute în anexa nr. 1.
(4) MCSI face publice, spre consultare, următoarele date din registru:
a) tipul administratorului de arhive electronice, denumit în continuare administrator – persoană fizică sau juridică;
b) numele şi prenumele sau denumirea administratorului, după caz;
c) data la care şi-a început activitatea;
d) descrierea politicii administratorului privind arhivarea electronică;
e) domiciliul sau sediul – ţară, oraş, judeţ/sector, stradă, număr, bloc, scară, etaj, apartament, cod poştal, telefon, fax, e-mail, pagină de internet;
f) cetăţenia, pentru persoana fizică, sau naţionalitatea, pentru persoana juridică;
g) situaţia activităţii administratorului: operaţională, suspendată, încetată, în curs de transferare.

Art. 4. – (1) Controlul respectării dispoziţiilor Legii nr. 135/2007, precum şi ale prezentului ordin revine MCSI, care acţionează prin personalul de control împuternicit în acest scop.
(2) MCSI are dreptul de a efectua controale asupra administratorului, din oficiu sau la solicitarea oricărei persoane interesate, motivată corespunzător. Persoana interesată este acea persoană care ar putea suferi un prejudiciu în urma deteriorării, divulgării neautorizate, pierderii sau distrugerii documentelor aflate în arhiva electronică.
(3) Controalele din oficiu vor fi realizate periodic, la intervale care nu pot depăşi un an.
(4) În vederea exercitării atribuţiilor de control, personalul împuternicit în acest scop este autorizat, în limitele legii:
a) să verifice conformitatea dintre informaţiile declarate în cursul procesului de acreditare şi realitate;
b) să solicite orice document sau informaţie necesar/necesară în vederea verificării respectării obligaţiilor ce incumbă administratorului;
c) să verifice punerea în aplicare a oricăror proceduri utilizate de către administratorul supus controlului.

CAPITOLUL III
Acreditarea administratorului

Art. 5. – (1) Administratorul este persoana fizică ce are rolul de supervizare şi implementare a activităţii de management al unei arhive electronice pentru terţi, respectiv persoana juridică ce are rolul de supervizare şi implementare a activităţii de management al unei arhive electronice în nume propriu sau pentru terţi şi este responsabilă cu activitatea de administrare a sistemului electronic de arhivare şi a documentelor arhivate electronic.
(2) Orice persoană care intenţionează să devină administrator, denumită în continuare solicitant, are obligaţia să transmită MCSI o notificare în acest sens cu 30 de zile înainte de începerea activităţii.
(3) Notificarea se va realiza în mod obligatoriu prin completarea formularului-tip prevăzut în anexa nr. 2.
(4) Odată cu efectuarea notificării prevăzute la alin. (2), solicitantul are obligaţia de a transmite MCSI următoarele documente, care fac parte integrantă din notificare:
a) atestări pentru persoana fizică sau pentru angajatul/angajaţii persoanei juridice care intenţionează să devină administrator ori al persoanei juridice subcontractate în acest scop (atestările pot fi deţinute cumulativ de mai mulţi angajaţi ai persoanei juridice):
1. diplomă de absolvent de studii superioare în domeniul tehnologiei informaţiei;
2. calificări/atestări care să certifice cunoaşterea standardelor ISO/IEC 27001 sau a standardelor echivalente şi a versiunilor ulterioare ale acestora;
3. certificări/atestări în domeniul administrării bazelor de date şi a sistemelor de operare;
4. calificări/atestări în domeniul arhivistic;
b) documente din care să rezulte că sistemul electronic de arhivare îndeplineşte următoarele cerinţe funcţionale:
1. asigură mijloacele de control şi de securitate a documentelor şi a bazei de date;
2. menţine integritatea internă, funcţionarea şi coerenţa sistemului şi a bazei de date;
3. asigură conservarea pe termen nelimitat a documentelor cu caracter permanent şi eliminarea definitivă a celor cu termen de păstrare expirat, potrivit nomenclatorului arhivistic, cu excepţia situaţiilor prevăzute de lege;
4. asigură procesele de introducere a documentelor în sistemul de administrare;
5. asigură funcţia de căutare a documentelor;
6. asigură accesul la documentele stocate în arhivă, cu respectarea regimului de acces stabilit, precum şi prezentarea indiferent de formă (afişare, printare etc.) a documentelor;
7. asigură funcţiile de administrare şi ştergere a documentelor, garantându-se controlul operaţiunilor în vederea înlăturării riscului accesului neautorizat la documente şi al distrugerii necorespunzătoare de documente;
c) datele de identificare a centrului de date care găzduieşte arhiva electronică;
d) politica şi procedurile referitoare la securitatea şi conservarea datelor, inclusiv politica de protecţie a datelor cu caracter personal;
e) copie legalizată de pe înscrisul doveditor al calităţii de operator de date cu caracter personal, eliberat în conformitate cu prevederile Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, cu modificările şi completările ulterioare;
f) în cazul în care solicitantul intenţionează să ofere servicii de arhivare electronică pentru terţi, va prezenta, pe lângă documentele prevăzute la lit. a)-e), o scrisoare de garanţie din partea unei instituţii financiare de specialitate sau o poliţă de asigurare de răspundere civilă generală la o societate de asigurări, în valoare cel puţin egală cu echivalentul în lei al sumei de 300.000 euro, prin care să acopere prejudiciile pe care le-ar putea cauza cu prilejul desfăşurării activităţilor de arhivare electronică.

Art. 6. – (1) Notificarea şi documentele anexate se transmit la sediul MCSI în unul dintre următoarele moduri:
a) prin depunere, personal sau de către reprezentantul legal, cu luare de număr de înregistrare;
b) printr-un serviciu poştal;
c) ca înscris în formă electronică, căruia i s-a încorporat, i s-a ataşat sau i s-a asociat logic o semnătură electronică extinsă, bazată pe un certificat calificat nesuspendat sau nerevocat la momentul respectiv şi generată cu ajutorul unui dispozitiv securizat de creare a semnăturii electronice.
(2) Este considerată dată a transmiterii, după caz, data înregistrării în registrul general de intrare-ieşire a corespondenţei al MCSI, data confirmării primirii documentelor la sediul MCSI printr-un serviciu poştal cu confirmare de primire sau data confirmării primirii înscrisului în formă electronică.

Art. 7. – (1) Solicitantul care a realizat notificarea în termenul şi în condiţiile prevăzute de prezentul ordin dobândeşte calitatea de administrator de la data indicată în formularul-tip al notificării ca fiind data estimativă a începerii activităţii, însă nu mai devreme de 30 de zile de la data realizării notificării în condiţiile alin. (2) sau (3), după caz.
(2) Notificarea este considerată realizată dacă au fost îndeplinite toate cerinţele legale privind transmiterea, forma şi conţinutul său.
(3) În cazul în care notificarea nu îndeplineşte condiţiile prevăzute de prezentul ordin, MCSI va solicita completarea documentaţiei. În acest caz, notificarea este considerată realizată la data transmiterii către MCSI a documentelor care atestă îndeplinirea condiţiilor.
(4) În cazul în care constată îndeplinirea tuturor condiţiilor legale pentru dobândirea calităţii de administrator, MCSI emite şi comunică solicitantului ordinul de acreditare, înscrie administratorul în registru şi emite codul de identificare a acestuia.

Art. 8. – (1) Orice modificare a datelor cuprinse în notificare va fi comunicată MCSI în termen de 15 zile, prin transmiterea unei informări însoţite, acolo unde este cazul, de actele doveditoare, în copie.
(2) Administratorul are obligaţia de a comunica MCSI, cu cel puţin 10 zile în avans, orice intenţie de modificare a procedurilor de securitate şi de conservare, cu precizarea datei şi a orei la care modificarea intră în vigoare, precum şi obligaţia de a confirma, în termen de 24 de ore, modificarea efectuată.
(3) În cazurile urgente în care securitatea serviciilor de arhivare este afectată, administratorul poate efectua modificări ale procedurilor de securitate şi de conservare, urmând să comunice MCSI în termen de 24 de ore modificările efectuate şi justificarea deciziei luate.

Art. 9. – (1) În situaţia în care MCSI constată că administratorul nu mai îndeplineşte una sau mai multe dintre condiţiile prevăzute la art. 5, acreditarea va fi suspendată. În acest caz, MCSI transmite administratorului o notificare, stabilind un termen de maximum 30 de zile în care acesta trebuie să remedieze deficienţele semnalate.
(2) Pe perioada suspendării acreditării, administratorul nu poate primi în arhiva electronică documente noi, dar are obligaţia de a asigura operaţiunile de conservare a documentelor existente.
(3) MCSI poate retrage acreditarea în următoarele cazuri:
a) dacă administratorul nu remediază deficienţele constatate în termenul prevăzut la alin. (1);
b) la data dizolvării sau a intrării în faliment a administratorului persoană juridică, în condiţiile prevăzute de lege.

Art. 10. – (1) Administratorul care intenţionează să îşi înceteze activitatea are obligaţia de a informa MCSI, cu cel puţin 60 de zile în avans, despre intenţia sa, respectiv despre existenţa şi natura împrejurării care justifică imposibilitatea de continuare a activităţii, completând formularul prevăzut în anexa nr. 3.
(2) Administratorul este obligat să transfere activităţile sale unui alt administrator de arhive electronice, cu respectarea următoarelor condiţii:
a) va înştiinţa fiecare beneficiar, cu cel puţin 30 de zile în avans, despre intenţia sa de transferare a activităţilor legate de arhivarea electronică unui alt administrator, menţionând şi identitatea administratorului căruia intenţionează să îi transfere activităţile sale;
b) va face cunoscută beneficiarilor săi posibilitatea de a refuza acest transfer, precum şi termenul şi condiţiile în care refuzul poate fi exercitat.

CAPITOLUL IV
Administrarea arhivei electronice

Art. 11. – (1) Administratorul are obligaţia de a crea şi de a opera un registru în formă electronică.
(2) Referinţa în registrul arhivei electronice la un document care nu este public sau care face parte din categoria documentelor clasificate în conformitate cu Legea nr. 182/2002, cu modificările şi completările ulterioare, poate fi obţinută în funcţie de drepturile de acces ale solicitantului.
(3) Conţinutul minimal şi structura acestui registru sunt prevăzute în anexa nr. 4.

Art. 12. – Arhivarea electronică a documentelor este guvernată de aceleaşi reguli ca şi în cazul documentelor pe suport hârtie şi se supune prevederilor legislaţiei arhivistice în vigoare, cu următoarele precizări:
a) înregistrarea documentelor în formă electronică de către sistemul electronic de arhivare atestă existenţa oficială a documentelor respective. Numărul de înregistrare identifică în mod unic documentul în cadrul sistemului. Odată înregistrat, documentul nu mai poate suferi niciun fel de modificări de conţinut. Concomitent cu înregistrarea se completează fişa electronică a documentului, în condiţiile art. 8 alin. (2) şi (3) din Legea nr. 135/2007;
b) în cazul în care documentele sunt transferate din sistem, respectiv migrate de pe suportul iniţial, evidenţa documentelor pe noile suporturi va include evidenţa suporturilor externe şi evidenţa conţinutului documentelor cuprinse. Pe un suport extern vor fi grupate documentele cu acelaşi termen de păstrare;
c) sistemul de administrare a documentelor electronice trebuie să genereze automat o evidenţă de auditare, în care sunt înregistrate, fără posibilitatea de a fi modificate, toate deciziile şi acţiunile care se produc asupra unui document din momentul înregistrării şi până la distrugerea sau transferul acestuia către Arhivele Naţionale;
d) documentele şi dosarele arhivate în formă electronică vor fi cuprinse în nomenclatorul arhivistic al organizaţiei, precizându-se la rubrica „Observaţii”: „în formă electronică”.

Art. 13. – (1) Arhivarea electronică a documentelor clasificate şi accesul la acestea se vor realiza cu respectarea dispoziţiilor Legii nr. 182/2002, cu modificările şi completările ulterioare, precum şi ale Standardelor naţionale de protecţie a informaţiilor clasificate în România.
(2) Administratorul sau persoana împuternicită de acesta să realizeze şi să implementeze politica de securitate a informaţiilor clasificate arhivate trebuie să deţină un certificat de securitate pentru cel mai înalt nivel de clasificare a informaţiilor stocate, procesate sau transmise prin aceste sisteme.
(3) Modalităţile şi măsurile de protecţie a informaţiilor clasificate în formă electronică sunt similare celor aplicate pentru informaţiile clasificate pe suport hârtie.
(4) Măsurile INFOSEC acoperă securitatea calculatoarelor, a transmisiilor, securitatea criptografică, precum şi depistarea şi prevenirea ameninţărilor la care sunt expuse datele şi sistemele.
(5) Sistemele de arhivare pot fi utilizate în vederea stocării, procesării sau transmiterii de informaţii clasificate numai dacă sunt autorizate în condiţiile Standardelor naţionale de protecţie a informaţiilor clasificate în România.

Art. 14. – Activitatea de arhivare electronică se realizează cu respectarea dispoziţiilor Legii nr. 677/2001, cu modificările şi completările ulterioare.

Art. 15. – Administratorii care oferă servicii de arhivare electronică pentru terţi au obligaţia de a face publice, prin intermediul paginii proprii de internet, cel puţin următoarele informaţii:
a) datele de contact ale administratorului;
b) descrierea generală a politicilor, procedurilor şi tehnologiilor utilizate în activitatea de arhivare electronică;
c) limitări ale dreptului de acces la documentele arhivate;
d) obligaţiile beneficiarilor;
e) disponibilitatea serviciilor.

CAPITOLUL V
Drepturile şi obligaţiile beneficiarilor

Art. 16. – (1) Orice persoană fizică sau juridică poate beneficia de servicii de arhivare electronică a documentelor.
(2) Pentru depunerea unui document în arhiva electronică, beneficiarul trebuie să îndeplinească atât condiţiile stabilite de prevederile art. 7 din Legea nr. 135/2007, cât şi următoarele condiţii:
a) să posede un certificat digital calificat pentru semnătura electronică;
b) certificatul digital calificat să fie valabil;
c) să comunice administratorului informaţiile necesare verificării valabilităţii certificatului folosit pentru semnarea electronică a documentelor stocate în arhiva electronică.
(3) Beneficiarul are următoarele drepturi:
a) stabilirea regimului de acces la documentul arhivat, precum şi modificarea acestuia, în condiţiile art. 14 din Legea nr. 135/2007;
b) atestarea valorii de original sau de copie a documentului arhivat;
c) accesul on-line la registrul în formă electronică al arhivei electronice;
d) accesul on-line la fişa electronică ataşată în mod obligatoriu fiecărui document intrat în arhiva electronică, conform regimului de acces stabilit;
e) accesul la programele utilizate de administrator în cadrul activităţii de arhivare, necesare pentru accesul la documentele personale care au fost arhivate.
(4) Accesul on-line la documentele arhivate care nu au regim de acces public şi la fişele electronice ale acestora se consideră asigurat atunci când persoanele care au drept de acces la documente şi la fişele electronice ale acestora le pot consulta printr-o reţea care nu este conectată la internet. Este necesar acordul scris al beneficiarului în ceea ce priveşte utilizarea respectivei reţele.

CAPITOLUL VI
Dispoziţii finale

Art. 17. – Anexele nr. 1-4 fac parte integrantă din prezentul ordin.

Art. 18. – (1) La data intrării în vigoare a prezentului ordin se abrogă Decizia preşedintelui Autorităţii Naţionale pentru Comunicaţii nr. 1.130/2008 privind normele tehnice şi metodologice pentru aplicarea Legii nr. 135/2007 privind arhivarea documentelor în formă electronică, publicată în Monitorul Oficial al României, Partea I, nr. 831 în 10 decembrie 2008.
(2) Prezentul ordin se publică în Monitorul Oficial al României, Partea I.

Bucureşti, 15 iunie 2009.
Nr. 493.

Răspunde și tu