Ordin MCSI 493/2009 privind normele tehnice si metodologice pentru aplicarea Legii nr. 135/2007 privind arhivarea documentelor in forma electronica

Publicat in Monitorul Oficial nr. 432 din 24.06.2009


in temeiul art. 4 alin. (1) pct. 58 si al art. 6 alin. (6) din Hotararea Guvernului nr. 12/2009 privind organizarea si functionarea Ministerului Comunicatiilor si Societatii Informationale, cu modificarile si completarile ulterioare, precum si al art. 27 din Legea nr. 135/2007 privind arhivarea documentelor in forma electronica.

 Textul actului normativ

Art. 1

Prezentele norme tehnice si metodologice se aplica activitatii de arhivare electronica a documentelor efectuate in conditiile Legii nr. 135/2007 privind arhivarea documentelor in forma electronica si stabilesc procedura privind acordarea, suspendarea sau retragerea acreditarii administratorilor de arhive electronice de catre Ministerul Comunicatiilor si Societatii Informationale, denumit in continuare MCSI, precum si conditiile privind desfasurarea acestei activitati.

Art. 2

(1) in intelesul prezentului ordin, urmatorii termeni se definesc astfel:

a) beneficiar - persoana fizica sau juridica ce depune spre pastrare documente in forma electronica in cadrul unei arhive electronice;

b) acreditare - constatarea de catre MCSI a indeplinirii conditiilor legale pentru dobandirea calitatii de administrator al arhivei electronice;

c) sistem de administrare a documentelor electronice - aplicatie informatica destinata receptiei, clasarii, utilizarii si selectionarii documentelor in forma electronica;

d) evidenta de auditare - ansamblu de informatii privind operatiuni sau orice alte activitati care au afectat sau au modificat documentul, culese cu suficiente detalii astfel incat sa permita reconstituirea unei activitati anterioare;

e) nomenclator arhivistic - lista structurata alcatuita din schema de clasare, termenele de pastrare corespunzatoare categoriilor de documente din schema de clasare si actiunile de dispozitie asupra documentelor dintr-un sistem de administrare a documentelor electronice.

(2) in cuprinsul prezentului ordin sunt, de asemenea, aplicabile definitiile prevazute la art. 15 lit. b) din Legea nr. 182/2002 privind protectia informatiilor clasificate, cu modificarile si completarile ulterioare, si la art. 237 prima liniuta din Standardele nationale de protectie a informatiilor clasificate in Romania, aprobate prin Hotararea Guvernului nr. 585/2002, cu modificarile si completarile ulterioare.

Art. 3

(1) Autoritatea de reglementare si supraveghere specializata in domeniul arhivarii electronice este MCSI.

(2) MCSI gestioneaza Registrul administratorilor de arhive electronice, denumit in continuare registru, care va fi actualizat permanent si va fi disponibil spre consultare pe pagina sa de internet.

(3) Continutul si structura registrului sunt prevazute in anexa nr. 1.

(4) MCSI face publice, spre consultare, urmatoarele date din registru:

a) tipul administratorului de arhive electronice, denumit in continuare administrator - persoana fizica sau juridica;

b) numele si prenumele sau denumirea administratorului, dupa caz;

c) data la care si-a inceput activitatea;

d) descrierea politicii administratorului privind arhivarea electronica;

e) domiciliul sau sediul - tara, oras, judet/sector, strada, numar, bloc, scara, etaj, apartament, cod postal, telefon, fax, e-mail, pagina de internet;

f) cetatenia, pentru persoana fizica, sau nationalitatea, pentru persoana juridica;

g) situatia activitatii administratorului: operationala, suspendata, incetata, in curs de transferare.

 

Art. 4

(1) Controlul respectarii dispozitiilor Legii nr. 135/2007, precum si ale prezentului ordin revine MCSI, care actioneaza prin personalul de control imputernicit in acest scop.

(2) MCSI are dreptul de a efectua controale asupra administratorului, din oficiu sau la solicitarea oricarei persoane interesate, motivata corespunzator. Persoana interesata este acea persoana care ar putea suferi un prejudiciu in urma deteriorarii, divulgarii neautorizate, pierderii sau distrugerii documentelor aflate in arhiva electronica.

(3) Controalele din oficiu vor fi realizate periodic, la intervale care nu pot depasi un an.

(4) in vederea exercitarii atributiilor de control, personalul imputernicit in acest scop este autorizat, in limitele legii:

a) sa verifice conformitatea dintre informatiile declarate in cursul procesului de acreditare si realitate;

b) sa solicite orice document sau informatie necesar/necesara in vederea verificarii respectarii obligatiilor ce incumba administratorului;

c) sa verifice punerea in aplicare a oricaror proceduri utilizate de catre administratorul supus controlului.

Art. 5

(1) Administratorul este persoana fizica ce are rolul de supervizare si implementare a activitatii de management al unei arhive electronice pentru terti, respectiv persoana juridica ce are rolul de supervizare si implementare a activitatii de management al unei arhive electronice in nume propriu sau pentru terti si este responsabila cu activitatea de administrare a sistemului electronic de arhivare si a documentelor arhivate electronic.

(2) Orice persoana care intentioneaza sa devina administrator, denumita in continuare solicitant, are obligatia sa transmita MCSI o notificare in acest sens cu 30 de zile inainte de inceperea activitatii.

(3) Notificarea se va realiza in mod obligatoriu prin completarea formularului-tip prevazut in anexa nr. 2.

(4) Odata cu efectuarea notificarii prevazute la alin. (2), solicitantul are obligatia de a transmite MCSI urmatoarele documente, care fac parte integranta din notificare:

a) atestari pentru persoana fizica sau pentru angajatul/angajatii persoanei juridice care intentioneaza sa devina administrator ori al persoanei juridice subcontractate in acest scop (atestarile pot fi detinute cumulativ de mai multi angajati ai persoanei juridice):

1. diploma de absolvent de studii superioare in domeniul tehnologiei informatiei;

2. calificari/atestari care sa certifice cunoasterea standardelor ISO/IEC 27001 sau a standardelor echivalente si a versiunilor ulterioare ale acestora;

3. certificari/atestari in domeniul administrarii bazelor de date si a sistemelor de operare;

4. calificari/atestari in domeniul arhivistic;

b) documente din care sa rezulte ca sistemul electronic de arhivare indeplineste urmatoarele cerinte functionale:

1. asigura mijloacele de control si de securitate a documentelor si a bazei de date;

2. mentine integritatea interna, functionarea si coerenta sistemului si a bazei de date;

3. asigura conservarea pe termen nelimitat a documentelor cu caracter permanent si eliminarea definitiva a celor cu termen de pastrare expirat, potrivit nomenclatorului arhivistic, cu exceptia situatiilor prevazute de lege;

4. asigura procesele de introducere a documentelor in sistemul de administrare;

5. asigura functia de cautare a documentelor;

6. asigura accesul la documentele stocate in arhiva, cu respectarea regimului de acces stabilit, precum si prezentarea indiferent de forma (afisare, printare etc.) a documentelor;

7. asigura functiile de administrare si stergere a documentelor, garantandu-se controlul operatiunilor in vederea inlaturarii riscului accesului neautorizat la documente si al distrugerii necorespunzatoare de documente;

c) datele de identificare a centrului de date care gazduieste arhiva electronica;

d) politica si procedurile referitoare la securitatea si conservarea datelor, inclusiv politica de protectie a datelor cu caracter personal;

e) copie legalizata de pe inscrisul doveditor al calitatii de operator de date cu caracter personal, eliberat in conformitate cu prevederile Legii nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, cu modificarile si completarile ulterioare;

f) in cazul in care solicitantul intentioneaza sa ofere servicii de arhivare electronica pentru terti, va prezenta, pe langa documentele prevazute la lit. a)-e), o scrisoare de garantie din partea unei institutii financiare de specialitate sau o polita de asigurare de raspundere civila generala la o societate de asigurari, in valoare cel putin egala cu echivalentul in lei al sumei de 300.000 euro, prin care sa acopere prejudiciile pe care le-ar putea cauza cu prilejul desfasurarii activitatilor de arhivare electronica.

Art. 6

(1) Notificarea si documentele anexate se transmit la sediul MCSI in unul dintre urmatoarele moduri:

a) prin depunere, personal sau de catre reprezentantul legal, cu luare de numar de inregistrare;

b) printr-un serviciu postal;

c) ca inscris in forma electronica, caruia i s-a incorporat, i s-a atasat sau i s-a asociat logic o semnatura electronica extinsa, bazata pe un certificat calificat nesuspendat sau nerevocat la momentul respectiv si generata cu ajutorul unui dispozitiv securizat de creare a semnaturii electronice.

(2) Este considerata data a transmiterii, dupa caz, data inregistrarii in registrul general de intrare-iesire a corespondentei al MCSI, data confirmarii primirii documentelor la sediul MCSI printr-un serviciu postal cu confirmare de primire sau data confirmarii primirii inscrisului in forma electronica.

Art. 7

(1) Solicitantul care a realizat notificarea in termenul si in conditiile prevazute de prezentul ordin dobandeste calitatea de administrator de la data indicata in formularul-tip al notificarii ca fiind data estimativa a inceperii activitatii, insa nu mai devreme de 30 de zile de la data realizarii notificarii in conditiile alin. (2) sau (3), dupa caz.

(2) Notificarea este considerata realizata daca au fost indeplinite toate cerintele legale privind transmiterea, forma si continutul sau.

(3) in cazul in care notificarea nu indeplineste conditiile prevazute de prezentul ordin, MCSI va solicita completarea documentatiei. in acest caz, notificarea este considerata realizata la data transmiterii catre MCSI a documentelor care atesta indeplinirea conditiilor.

(4) in cazul in care constata indeplinirea tuturor conditiilor legale pentru dobandirea calitatii de administrator, MCSI emite si comunica solicitantului ordinul de acreditare, inscrie administratorul in registru si emite codul de identificare a acestuia.

Art. 8

(1) Orice modificare a datelor cuprinse in notificare va fi comunicata MCSI in termen de 15 zile, prin transmiterea unei informari insotite, acolo unde este cazul, de actele doveditoare, in copie.

(2) Administratorul are obligatia de a comunica MCSI, cu cel putin 10 zile in avans, orice intentie de modificare a procedurilor de securitate si de conservare, cu precizarea datei si a orei la care modificarea intra in vigoare, precum si obligatia de a confirma, in termen de 24 de ore, modificarea efectuata.

(3) in cazurile urgente in care securitatea serviciilor de arhivare este afectata, administratorul poate efectua modificari ale procedurilor de securitate si de conservare, urmand sa comunice MCSI in termen de 24 de ore modificarile efectuate si justificarea deciziei luate.

Art. 9

(1) in situatia in care MCSI constata ca administratorul nu mai indeplineste una sau mai multe dintre conditiile prevazute la art. 5, acreditarea va fi suspendata. in acest caz, MCSI transmite administratorului o notificare, stabilind un termen de maximum 30 de zile in care acesta trebuie sa remedieze deficientele semnalate.

(2) Pe perioada suspendarii acreditarii, administratorul nu poate primi in arhiva electronica documente noi, dar are obligatia de a asigura operatiunile de conservare a documentelor existente.

(3) MCSI poate retrage acreditarea in urmatoarele cazuri:

a) daca administratorul nu remediaza deficientele constatate in termenul prevazut la alin. (1);

b) la data dizolvarii sau a intrarii in faliment a administratorului persoana juridica, in conditiile prevazute de lege.

Art. 10

(1) Administratorul care intentioneaza sa isi inceteze activitatea are obligatia de a informa MCSI, cu cel putin 60 de zile in avans, despre intentia sa, respectiv despre existenta si natura imprejurarii care justifica imposibilitatea de continuare a activitatii, completand formularul prevazut in anexa nr. 3.

(2) Administratorul este obligat sa transfere activitatile sale unui alt administrator de arhive electronice, cu respectarea urmatoarelor conditii:

a) va instiinta fiecare beneficiar, cu cel putin 30 de zile in avans, despre intentia sa de transferare a activitatilor legate de arhivarea electronica unui alt administrator, mentionand si identitatea administratorului caruia intentioneaza sa ii transfere activitatile sale;

b) va face cunoscuta beneficiarilor sai posibilitatea de a refuza acest transfer, precum si termenul si conditiile in care refuzul poate fi exercitat.

Art. 11

(1) Administratorul are obligatia de a crea si de a opera un registru in forma electronica.

(2) Referinta in registrul arhivei electronice la un document care nu este public sau care face parte din categoria documentelor clasificate in conformitate cu Legea nr. 182/2002, cu modificarile si completarile ulterioare, poate fi obtinuta in functie de drepturile de acces ale solicitantului.

(3) Continutul minimal si structura acestui registru sunt prevazute in anexa nr. 4.

Art. 12

Arhivarea electronica a documentelor este guvernata de aceleasi reguli ca si in cazul documentelor pe suport hartie si se supune prevederilor legislatiei arhivistice in vigoare, cu urmatoarele precizari:

a) inregistrarea documentelor in forma electronica de catre sistemul electronic de arhivare atesta existenta oficiala a documentelor respective. Numarul de inregistrare identifica in mod unic documentul in cadrul sistemului. Odata inregistrat, documentul nu mai poate suferi niciun fel de modificari de continut. Concomitent cu inregistrarea se completeaza fisa electronica a documentului, in conditiile art. 8 alin. (2) si (3) din Legea nr. 135/2007;

b) in cazul in care documentele sunt transferate din sistem, respectiv migrate de pe suportul initial, evidenta documentelor pe noile suporturi va include evidenta suporturilor externe si evidenta continutului documentelor cuprinse. Pe un suport extern vor fi grupate documentele cu acelasi termen de pastrare;

c) sistemul de administrare a documentelor electronice trebuie sa genereze automat o evidenta de auditare, in care sunt inregistrate, fara posibilitatea de a fi modificate, toate deciziile si actiunile care se produc asupra unui document din momentul inregistrarii si pana la distrugerea sau transferul acestuia catre Arhivele Nationale;

d) documentele si dosarele arhivate in forma electronica vor fi cuprinse in nomenclatorul arhivistic al organizatiei, precizandu-se la rubrica „Observatii-: „in forma electronica-.

Art. 13

(1) Arhivarea electronica a documentelor clasificate si accesul la acestea se vor realiza cu respectarea dispozitiilor Legii nr. 182/2002, cu modificarile si completarile ulterioare, precum si ale Standardelor nationale de protectie a informatiilor clasificate in Romania.

(2) Administratorul sau persoana imputernicita de acesta sa realizeze si sa implementeze politica de securitate a informatiilor clasificate arhivate trebuie sa detina un certificat de securitate pentru cel mai inalt nivel de clasificare a informatiilor stocate, procesate sau transmise prin aceste sisteme.

(3) Modalitatile si masurile de protectie a informatiilor clasificate in forma electronica sunt similare celor aplicate pentru informatiile clasificate pe suport hartie.

(4) Masurile INFOSEC acopera securitatea calculatoarelor, a transmisiilor, securitatea criptografica, precum si depistarea si prevenirea amenintarilor la care sunt expuse datele si sistemele.

(5) Sistemele de arhivare pot fi utilizate in vederea stocarii, procesarii sau transmiterii de informatii clasificate numai daca sunt autorizate in conditiile Standardelor nationale de protectie a informatiilor clasificate in Romania.

Art. 14

Activitatea de arhivare electronica se realizeaza cu respectarea dispozitiilor Legii nr. 677/2001, cu modificarile si completarile ulterioare.

Art. 15

Administratorii care ofera servicii de arhivare electronica pentru terti au obligatia de a face publice, prin intermediul paginii proprii de internet, cel putin urmatoarele informatii:

a) datele de contact ale administratorului;

b) descrierea generala a politicilor, procedurilor si tehnologiilor utilizate in activitatea de arhivare electronica;

c) limitari ale dreptului de acces la documentele arhivate;

d) obligatiile beneficiarilor;

e) disponibilitatea serviciilor.

Art. 16

(1) Orice persoana fizica sau juridica poate beneficia de servicii de arhivare electronica a documentelor.

(2) Pentru depunerea unui document in arhiva electronica, beneficiarul trebuie sa indeplineasca atat conditiile stabilite de prevederile art. 7 din Legea nr. 135/2007, cat si urmatoarele conditii:

a) sa posede un certificat digital calificat pentru semnatura electronica;

b) certificatul digital calificat sa fie valabil;

c) sa comunice administratorului informatiile necesare verificarii valabilitatii certificatului folosit pentru semnarea electronica a documentelor stocate in arhiva electronica.

(3) Beneficiarul are urmatoarele drepturi:

a) stabilirea regimului de acces la documentul arhivat, precum si modificarea acestuia, in conditiile art. 14 din Legea nr. 135/2007;

b) atestarea valorii de original sau de copie a documentului arhivat;

c) accesul on-line la registrul in forma electronica al arhivei electronice;

d) accesul on-line la fisa electronica atasata in mod obligatoriu fiecarui document intrat in arhiva electronica, conform regimului de acces stabilit;

e) accesul la programele utilizate de administrator in cadrul activitatii de arhivare, necesare pentru accesul la documentele personale care au fost arhivate.

(4) Accesul on-line la documentele arhivate care nu au regim de acces public si la fisele electronice ale acestora se considera asigurat atunci cand persoanele care au drept de acces la documente si la fisele electronice ale acestora le pot consulta printr-o retea care nu este conectata la internet. Este necesar acordul scris al beneficiarului in ceea ce priveste utilizarea respectivei retele.

Art. 17

Anexele nr. 1-4 fac parte integranta din prezentul ordin.
Art. 18

(1) La data intrarii in vigoare a prezentului ordin se abroga Decizia presedintelui Autoritatii Nationale pentru Comunicatii nr. 1.130/2008 privind normele tehnice si metodologice pentru aplicarea Legii nr. 135/2007 privind arhivarea documentelor in forma electronica, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 831 din 10 decembrie 2008.

(2) Prezentul ordin se publica in Monitorul Oficial al Romaniei, Partea I.