Ordin nr. 493 din 15/06/2009 privind normele tehnice si metodologice pentru aplicarea Legii nr. 135/2007 privind arhivarea documentelor in forma electronica
In temeiul art. 4 alin. (1) pct. 58 si al art. 6 alin. (6) din Hotararea
Guvernului nr. 12/2009 privind organizarea si functionarea Ministerului
Comunicatiilor si Societatii Informationale, cu modificarile si completarile
ulterioare, precum si al art. 27 din Legea nr. 135/2007 privind arhivarea
documentelor in forma electronica,
ministrul comunicatiilor si societatii informationale emite prezentul ordin.
CAPITOLUL I -
Dispozitii generale
Art. 1. - Prezentele norme tehnice si metodologice se aplica activitatii de
arhivare electronica a documentelor efectuate in conditiile Legii nr. 135/2007
privind arhivarea documentelor in forma electronica si stabilesc procedura
privind acordarea, suspendarea sau retragerea acreditarii administratorilor de
arhive electronice de catre Ministerul Comunicatiilor si Societatii
Informationale, denumit in continuare MCSI, precum si conditiile privind
desfasurarea acestei activitati.
Art. 2. - (1) In intelesul prezentului ordin, urmatorii termeni se definesc
astfel:
a) beneficiar - persoana fizica sau juridica ce depune spre pastrare documente
in forma electronica in cadrul unei arhive electronice;
b) acreditare - constatarea de catre MCSI a indeplinirii conditiilor legale
pentru dobandirea calitatii de administrator al arhivei electronice;
c) sistem de administrare a documentelor electronice - aplicatie informatica
destinata receptiei, clasarii, utilizarii si selectionarii documentelor in forma
electronica;
d) evidenta de auditare - ansamblu de informatii privind operatiuni sau orice
alte activitati care au afectat sau au modificat documentul, culese cu
suficiente detalii astfel incat sa permita reconstituirea unei activitati
anterioare;
e) nomenclator arhivistic - lista structurata alcatuita din schema de clasare,
termenele de pastrare corespunzatoare categoriilor de documente din schema de
clasare si actiunile de dispozitie asupra documentelor dintr-un sistem de
administrare a documentelor electronice.
(2) In cuprinsul prezentului ordin sunt, de asemenea, aplicabile definitiile
prevazute la art. 15 lit. b) din Legea nr. 182/2002 privind protectia
informatiilor clasificate, cu modificarile si completarile ulterioare, si la
art. 237 prima liniuta din Standardele nationale de protectie a informatiilor
clasificate in Romania, aprobate prin Hotararea Guvernului nr. 585/2002, cu
modificarile si completarile ulterioare.
CAPITOLUL II -
Autoritatea de reglementare si supraveghere
Art. 3. - (1) Autoritatea de reglementare si supraveghere specializata in
domeniul arhivarii electronice este MCSI.
(2) MCSI gestioneaza Registrul administratorilor de arhive electronice, denumit
in continuare registru, care va fi actualizat permanent si va fi disponibil spre
consultare pe pagina sa de internet.
(3) Continutul si structura registrului sunt prevazute in anexa nr. 1.
(4) MCSI face publice, spre consultare, urmatoarele date din registru:
a) tipul administratorului de arhive electronice, denumit in continuare
administrator - persoana fizica sau juridica;
b) numele si prenumele sau denumirea administratorului, dupa caz;
c) data la care si-a inceput activitatea;
d) descrierea politicii administratorului privind arhivarea electronica;
e) domiciliul sau sediul - tara, oras, judet/sector, strada, numar, bloc, scara,
etaj, apartament, cod postal, telefon, fax, e-mail, pagina de internet;
f) cetatenia, pentru persoana fizica, sau nationalitatea, pentru persoana
juridica;
g) situatia activitatii administratorului: operationala, suspendata, incetata,
in curs de transferare.
Art. 4. - (1) Controlul respectarii dispozitiilor Legii nr. 135/2007, precum si
ale prezentului ordin revine MCSI, care actioneaza prin personalul de control
imputernicit in acest scop.
(2) MCSI are dreptul de a efectua controale asupra administratorului, din oficiu
sau la solicitarea oricarei persoane interesate, motivata corespunzator.
Persoana interesata este acea persoana care ar putea suferi un prejudiciu in
urma deteriorarii, divulgarii neautorizate, pierderii sau distrugerii
documentelor aflate in arhiva electronica.
(3) Controalele din oficiu vor fi realizate periodic, la intervale care nu pot
depasi un an.
(4) In vederea exercitarii atributiilor de control, personalul imputernicit in
acest scop este autorizat, in limitele legii:
a) sa verifice conformitatea dintre informatiile declarate in cursul procesului
de acreditare si realitate;
b) sa solicite orice document sau informatie necesar/necesara in vederea
verificarii respectarii obligatiilor ce incumba administratorului;
c) sa verifice punerea in aplicare a oricaror proceduri utilizate de catre
administratorul supus controlului.
CAPITOLUL III -
Acreditarea administratorului
Art. 5. - (1) Administratorul este persoana fizica ce are rolul de supervizare
si implementare a activitatii de management al unei arhive electronice pentru
terti, respectiv persoana juridica ce are rolul de supervizare si implementare a
activitatii de management al unei arhive electronice in nume propriu sau pentru
terti si este responsabila cu activitatea de administrare a sistemului
electronic de arhivare si a documentelor arhivate electronic.
(2) Orice persoana care intentioneaza sa devina administrator, denumita in
continuare solicitant, are obligatia sa transmita MCSI o notificare in acest
sens cu 30 de zile inainte de inceperea activitatii.
(3) Notificarea se va realiza in mod obligatoriu prin completarea
formularului-tip prevazut in anexa nr. 2.
(4) Odata cu efectuarea notificarii prevazute la alin. (2), solicitantul are
obligatia de a transmite MCSI urmatoarele documente, care fac parte integranta
din notificare:
a) atestari pentru persoana fizica sau pentru angajatul/angajatii persoanei
juridice care intentioneaza sa devina administrator ori al persoanei juridice
subcontractate in acest scop (atestarile pot fi detinute cumulativ de mai multi
angajati ai persoanei juridice):
1. diploma de absolvent de studii superioare in domeniul tehnologiei
informatiei;
2. calificari/atestari care sa certifice cunoasterea standardelor ISO/IEC 27001
sau a standardelor echivalente si a versiunilor ulterioare ale acestora;
3. certificari/atestari in domeniul administrarii bazelor de date si a
sistemelor de operare;
4. calificari/atestari in domeniul arhivistic;
b) documente din care sa rezulte ca sistemul electronic de arhivare indeplineste
urmatoarele cerinte functionale:
1. asigura mijloacele de control si de securitate a documentelor si a bazei de
date;
2. mentine integritatea interna, functionarea si coerenta sistemului si a bazei
de date;
3. asigura conservarea pe termen nelimitat a documentelor cu caracter permanent
si eliminarea definitiva a celor cu termen de pastrare expirat, potrivit
nomenclatorului arhivistic, cu exceptia situatiilor prevazute de lege;
4. asigura procesele de introducere a documentelor in sistemul de administrare;
5. asigura functia de cautare a documentelor;
6. asigura accesul la documentele stocate in arhiva, cu respectarea regimului de
acces stabilit, precum si prezentarea indiferent de forma (afisare, printare
etc.) a documentelor;
7. asigura functiile de administrare si stergere a documentelor, garantandu-se
controlul operatiunilor in vederea inlaturarii riscului accesului neautorizat la
documente si al distrugerii necorespunzatoare de documente;
c) datele de identificare a centrului de date care gazduieste arhiva
electronica;
d) politica si procedurile referitoare la securitatea si conservarea datelor,
inclusiv politica de protectie a datelor cu caracter personal;
e) copie legalizata de pe inscrisul doveditor al calitatii de operator de date
cu caracter personal, eliberat in conformitate cu prevederile Legii nr. 677/2001
pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter
personal si libera circulatie a acestor date, cu modificarile si completarile
ulterioare;
f) in cazul in care solicitantul intentioneaza sa ofere servicii de arhivare
electronica pentru terti, va prezenta, pe langa documentele prevazute la lit.
a)-e), o scrisoare de garantie din partea unei institutii financiare de
specialitate sau o polita de asigurare de raspundere civila generala la o
societate de asigurari, in valoare cel putin egala cu echivalentul in lei al
sumei de 300.000 euro, prin care sa acopere prejudiciile pe care le-ar putea
cauza cu prilejul desfasurarii activitatilor de arhivare electronica.
Art. 6. - (1) Notificarea si documentele anexate se transmit la sediul MCSI in
unul dintre urmatoarele moduri:
a) prin depunere, personal sau de catre reprezentantul legal, cu luare de numar
de inregistrare;
b) printr-un serviciu postal;
c) ca inscris in forma electronica, caruia i s-a incorporat, i s-a atasat sau i
s-a asociat logic o semnatura electronica extinsa, bazata pe un certificat
calificat nesuspendat sau nerevocat la momentul respectiv si generata cu
ajutorul unui dispozitiv securizat de creare a semnaturii electronice.
(2) Este considerata data a transmiterii, dupa caz, data inregistrarii in
registrul general de intrare-iesire a corespondentei al MCSI, data confirmarii
primirii documentelor la sediul MCSI printr-un serviciu postal cu confirmare de
primire sau data confirmarii primirii inscrisului in forma electronica.
Art. 7. - (1) Solicitantul care a realizat notificarea in termenul si in
conditiile prevazute de prezentul ordin dobandeste calitatea de administrator de
la data indicata in formularul-tip al notificarii ca fiind data estimativa a
inceperii activitatii, insa nu mai devreme de 30 de zile de la data realizarii
notificarii in conditiile alin. (2) sau (3), dupa caz.
(2) Notificarea este considerata realizata daca au fost indeplinite toate
cerintele legale privind transmiterea, forma si continutul sau.
(3) In cazul in care notificarea nu indeplineste conditiile prevazute de
prezentul ordin, MCSI va solicita completarea documentatiei. In acest caz,
notificarea este considerata realizata la data transmiterii catre MCSI a
documentelor care atesta indeplinirea conditiilor.
(4) In cazul in care constata indeplinirea tuturor conditiilor legale pentru
dobandirea calitatii de administrator, MCSI emite si comunica solicitantului
ordinul de acreditare, inscrie administratorul in registru si emite codul de
identificare a acestuia.
Art. 8. - (1) Orice modificare a datelor cuprinse in notificare va fi comunicata
MCSI in termen de 15 zile, prin transmiterea unei informari insotite, acolo unde
este cazul, de actele doveditoare, in copie.
(2) Administratorul are obligatia de a comunica MCSI, cu cel putin 10 zile in
avans, orice intentie de modificare a procedurilor de securitate si de
conservare, cu precizarea datei si a orei la care modificarea intra in vigoare,
precum si obligatia de a confirma, in termen de 24 de ore, modificarea
efectuata.
(3) In cazurile urgente in care securitatea serviciilor de arhivare este
afectata, administratorul poate efectua modificari ale procedurilor de
securitate si de conservare, urmand sa comunice MCSI in termen de 24 de ore
modificarile efectuate si justificarea deciziei luate.
Art. 9. - (1) In situatia in care MCSI constata ca administratorul nu mai
indeplineste una sau mai multe dintre conditiile prevazute la art. 5,
acreditarea va fi suspendata. In acest caz, MCSI transmite administratorului o
notificare, stabilind un termen de maximum 30 de zile in care acesta trebuie sa
remedieze deficientele semnalate.
(2) Pe perioada suspendarii acreditarii, administratorul nu poate primi in
arhiva electronica documente noi, dar are obligatia de a asigura operatiunile de
conservare a documentelor existente.
(3) MCSI poate retrage acreditarea in urmatoarele cazuri:
a) daca administratorul nu remediaza deficientele constatate in termenul
prevazut la alin. (1);
b) la data dizolvarii sau a intrarii in faliment a administratorului persoana
juridica, in conditiile prevazute de lege.
Art. 10. - (1) Administratorul care intentioneaza sa isi inceteze activitatea
are obligatia de a informa MCSI, cu cel putin 60 de zile in avans, despre
intentia sa, respectiv despre existenta si natura imprejurarii care justifica
imposibilitatea de continuare a activitatii, completand formularul prevazut in
anexa nr. 3.
(2) Administratorul este obligat sa transfere activitatile sale unui alt
administrator de arhive electronice, cu respectarea urmatoarelor conditii:
a) va instiinta fiecare beneficiar, cu cel putin 30 de zile in avans, despre
intentia sa de transferare a activitatilor legate de arhivarea electronica unui
alt administrator, mentionand si identitatea administratorului caruia
intentioneaza sa ii transfere activitatile sale;
b) va face cunoscuta beneficiarilor sai posibilitatea de a refuza acest
transfer, precum si termenul si conditiile in care refuzul poate fi exercitat.
CAPITOLUL IV -
Administrarea arhivei electronice
Art. 11. - (1) Administratorul are obligatia de a crea si de a opera un registru
in forma electronica.
(2) Referinta in registrul arhivei electronice la un document care nu este
public sau care face parte din categoria documentelor clasificate in
conformitate cu Legea nr. 182/2002, cu modificarile si completarile ulterioare,
poate fi obtinuta in functie de drepturile de acces ale solicitantului.
(3) Continutul minimal si structura acestui registru sunt prevazute in anexa nr.
4.
Art. 12. - Arhivarea electronica a documentelor este guvernata de aceleasi
reguli ca si in cazul documentelor pe suport hartie si se supune prevederilor
legislatiei arhivistice in vigoare, cu urmatoarele precizari:
a) inregistrarea documentelor in forma electronica de catre sistemul electronic
de arhivare atesta existenta oficiala a documentelor respective. Numarul de
inregistrare identifica in mod unic documentul in cadrul sistemului. Odata
inregistrat, documentul nu mai poate suferi niciun fel de modificari de
continut. Concomitent cu inregistrarea se completeaza fisa electronica a
documentului, in conditiile art. 8 alin. (2) si (3) din Legea nr. 135/2007;
b) in cazul in care documentele sunt transferate din sistem, respectiv migrate
de pe suportul initial, evidenta documentelor pe noile suporturi va include
evidenta suporturilor externe si evidenta continutului documentelor cuprinse. Pe
un suport extern vor fi grupate documentele cu acelasi termen de pastrare;
c) sistemul de administrare a documentelor electronice trebuie sa genereze
automat o evidenta de auditare, in care sunt inregistrate, fara posibilitatea de
a fi modificate, toate deciziile si actiunile care se produc asupra unui
document din momentul inregistrarii si pana la distrugerea sau transferul
acestuia catre Arhivele Nationale;
d) documentele si dosarele arhivate in forma electronica vor fi cuprinse in
nomenclatorul arhivistic al organizatiei, precizandu-se la rubrica "Observatii":
"in forma electronica".
Art. 13. - (1) Arhivarea electronica a documentelor clasificate si accesul la
acestea se vor realiza cu respectarea dispozitiilor Legii nr. 182/2002, cu
modificarile si completarile ulterioare, precum si ale Standardelor nationale de
protectie a informatiilor clasificate in Romania.
(2) Administratorul sau persoana imputernicita de acesta sa realizeze si sa
implementeze politica de securitate a informatiilor clasificate arhivate trebuie
sa detina un certificat de securitate pentru cel mai inalt nivel de clasificare
a informatiilor stocate, procesate sau transmise prin aceste sisteme.
(3) Modalitatile si masurile de protectie a informatiilor clasificate in forma
electronica sunt similare celor aplicate pentru informatiile clasificate pe
suport hartie.
(4) Masurile INFOSEC acopera securitatea calculatoarelor, a transmisiilor,
securitatea criptografica, precum si depistarea si prevenirea amenintarilor la
care sunt expuse datele si sistemele.
(5) Sistemele de arhivare pot fi utilizate in vederea stocarii, procesarii sau
transmiterii de informatii clasificate numai daca sunt autorizate in conditiile
Standardelor nationale de protectie a informatiilor clasificate in Romania.
Art. 14. - Activitatea de arhivare electronica se realizeaza cu respectarea
dispozitiilor Legii nr. 677/2001, cu modificarile si completarile ulterioare.
Art. 15. - Administratorii care ofera servicii de arhivare electronica pentru
terti au obligatia de a face publice, prin intermediul paginii proprii de
internet, cel putin urmatoarele informatii:
a) datele de contact ale administratorului;
b) descrierea generala a politicilor, procedurilor si tehnologiilor utilizate in
activitatea de arhivare electronica;
c) limitari ale dreptului de acces la documentele arhivate;
d) obligatiile beneficiarilor;
e) disponibilitatea serviciilor.
CAPITOLUL V -
Drepturile si obligatiile beneficiarilor
Art. 16. - (1) Orice persoana fizica sau juridica poate beneficia de servicii de
arhivare electronica a documentelor.
(2) Pentru depunerea unui document in arhiva electronica, beneficiarul trebuie
sa indeplineasca atat conditiile stabilite de prevederile art. 7 din Legea nr.
135/2007, cat si urmatoarele conditii:
a) sa posede un certificat digital calificat pentru semnatura electronica;
b) certificatul digital calificat sa fie valabil;
c) sa comunice administratorului informatiile necesare verificarii valabilitatii
certificatului folosit pentru semnarea electronica a documentelor stocate in
arhiva electronica.
(3) Beneficiarul are urmatoarele drepturi:
a) stabilirea regimului de acces la documentul arhivat, precum si modificarea
acestuia, in conditiile art. 14 din Legea nr. 135/2007;
b) atestarea valorii de original sau de copie a documentului arhivat;
c) accesul on-line la registrul in forma electronica al arhivei electronice;
d) accesul on-line la fisa electronica atasata in mod obligatoriu fiecarui
document intrat in arhiva electronica, conform regimului de acces stabilit;
e) accesul la programele utilizate de administrator in cadrul activitatii de
arhivare, necesare pentru accesul la documentele personale care au fost
arhivate.
(4) Accesul on-line la documentele arhivate care nu au regim de acces public si
la fisele electronice ale acestora se considera asigurat atunci cand persoanele
care au drept de acces la documente si la fisele electronice ale acestora le pot
consulta printr-o retea care nu este conectata la internet. Este necesar acordul
scris al beneficiarului in ceea ce priveste utilizarea respectivei retele.
CAPITOLUL VI -
Dispozitii finale
Art. 17. - Anexele nr. 1-4 fac parte integranta din prezentul ordin.
Art. 18. - (1) La data intrarii in vigoare a prezentului ordin se abroga Decizia
presedintelui Autoritatii Nationale pentru Comunicatii nr. 1.130/2008 privind
normele tehnice si metodologice pentru aplicarea Legii nr. 135/2007 privind
arhivarea documentelor in forma electronica, publicata in Monitorul Oficial al
Romaniei, Partea I, nr. 831 in 10 decembrie 2008.
(2) Prezentul ordin se publica in Monitorul Oficial al Romaniei, Partea I.
