LEGE nr. 242 din 20 iulie 2022privind schimbul de date între sisteme informatice și crearea Platformei naționale de interoperabilitate
EMITENT
  • PARLAMENTUL ROMÂNIEI
  • Publicat în  MONITORUL OFICIAL nr. 752 din 27 iulie 2022
    Parlamentul României adoptă prezenta lege.

    Capitolul I Dispoziții generale

    Articolul 1

    Cadrul de reglementare a legii(1) Prezenta lege are drept scop adoptarea unor măsuri referitoare la tehnologii, echipamente, programe software și datele utilizate de acestea, în vederea contribuirii la creșterea gradului de interconectare între sistemele informatice ale autorităților și instituțiilor publice și la facilitatea schimbului de date între acestea, pornind de la principiile și obiectivele Cadrului european de interoperabilitate.(2) Prezenta lege reglementează crearea, operaționalizarea și administrarea instrumentului/mijlocului necesar pentru livrarea într-un format integrat a mai multor servicii electronice prin implementarea platformei de interoperabilitate.(3) Prezenta lege stabilește atribuțiile autorităților și instituțiilor publice cu privire la utilizarea și integrarea în Platforma națională de interoperabilitate, precum și schimbul de date, respectiv atribuțiile autorității publice responsabile pentru crearea, dezvoltarea și administrarea acesteia.(4) Prezenta lege are ca obiectiv creșterea calității serviciilor publice prin facilitarea schimbului de date între sisteme informatice, reducerea sarcinilor birocratice și administrative ale persoanelor fizice și juridice și creșterea transparenței utilizării datelor de către autoritățile și instituțiile publice.(5) Prezenta lege se aplică prin participare voluntară, în baza unui contract de schimb de date, și persoanelor juridice de drept privat, respectiv persoanelor care exercită profesii liberale reglementate, celor care dețin sisteme informatice și dispun de date care prezintă interes pentru autoritățile și instituțiile publice.(6) Prezenta lege nu se aplică registrelor de bază gestionate de instituțiile din sistemul național de apărare, ordine publică și securitate națională, cu excepția celor necesare furnizării serviciilor publice, respectiv a registrelor de bază pentru care autoritățile și instituțiile publice solicită în mod expres interconectarea cu Platforma națională de interoperabilitate.


    Articolul 2

    Obiectivele legii
    Prezenta lege are următoarele obiective:
    a) facilitarea furnizării de servicii publice de calitate, disponibile permanent, proiectate în acord cu nevoile beneficiarilor acestor servicii;
    b) promovarea utilizării pe scară largă a tehnologiei informației și comunicațiilor (TIC) în cadrul administrației publice;
    c) creșterea gradului de trasabilitate și transparență a actului administrativ, prin oferirea posibilității titularului datelor a cunoașterii accesării și prelucrării datelor sale cu caracter personal;
    d) creșterea eficienței și eficacității actului administrativ, prin sporirea gradului de interconectare a sistemelor informatice ale autorităților și instituțiilor publice și facilitatea schimbului de date între instituțiile publice;
    e) implementarea principiului „doar o singură dată“, astfel cum este descris în Regulamentul (UE) 2018/1.724 al Parlamentului European și al Consiliului din 2 octombrie 2018 privind înființarea unui portal digital unic (gateway) pentru a oferi acces la informații, la proceduri și la servicii de asistență și de soluționare a problemelor și de modificare a Regulamentului (UE) nr. 1.024/2012, pentru eliminarea schimbului de date în format letric și a birocrației;
    f) creșterea încrederii publicului și mediului de afaceri în utilizarea tehnologiei informației și comunicațiilor;
    g) promovarea interoperabilității în administrația publică centrală, între administrația locală și administrația centrală și între administrațiile publice locale;
    h) facilitarea accesului instituțiilor private la datele deținute de instituții publice și viceversa;
    i) asigurarea securității și confidențialității schimburilor de date;
    j) crearea și actualizarea anuală a unui registru permanent al aplicațiilor informatice utilizate de autoritățile și instituțiile publice;
    k) identificarea și definirea furnizorilor de date primare;
    l) facilitarea integrării în piața unică digitală europeană;
    m) asigurarea că implementarea funcționalităților implică alinierea infrastructurilor naționale de identificare și autorizare cu statele membre ale Uniunii Europene într-o schemă transnațională, în concordanță cu regulile stabilite în Regulamentul (UE) nr. 910/2014 al Parlamentului European și al Consiliului din 23 iulie 2014 privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă și de abrogare a Directivei 1999/93/CE.


    Articolul 3

    Definiții
    În sensul prezentei legi, termenii și expresiile de mai jos au următoarele semnificații:
    a) acces - interogarea de către un utilizator a datelor care au fost furnizate de un deținător de date, în conformitate cu cerințele tehnice, juridice sau organizatorice specifice, fără a implica neapărat transmiterea sau descărcarea acestor date;
    b) administratorii registrelor de bază - autorități sau instituții publice care, în conformitate cu prevederile legale, colectează sau creează, modifică pentru prima dată, șterg ori transmit date primare din registru despre persoane fizice sau juridice, bunuri mobile sau imobile, animale, societăți sau orice alte entități despre care se colectează date în vederea oferirii unui serviciu public;
    c) contract de schimb de date - acord încheiat între administratorul Platformei naționale de interoperabilitate și un participant la schimbul de date, altul decât o autoritate sau o instituție publică, prin care se stabilesc obligații precise pentru cele două părți, în vederea realizării interoperabilității sistemelor informatice;
    d) date - orice reprezentare digitală a unor acte, fapte sau informații și orice compilație a unor astfel de acte, fapte sau informații, inclusiv sub forma unei înregistrări audio, video sau audiovizuale;
    e) date primare - date prezumate ca fiind sursa de referință și veridică de informație și care primează în fața datelor colectate de alte autorități sau instituții publice;
    f) interoperabilitate - capacitatea unor organizații distincte și diverse de a interacționa în scopul realizării unor obiective care aduc beneficii reciproce și sunt convenite mutual, care implică partajarea de informații și cunoștințe între organizații prin intermediul proceselor profesionale pe care acestea le sprijină, utilizând schimbul de date între respectivele sisteme informatice deținute de acestea;
    g) partajare de date - furnizarea de date de către un deținător de date către un utilizator de date în scopul utilizării în comun sau individual a datelor partajate, direct sau printr-un intermediar;
    h) Platforma națională de interoperabilitate - totalitatea proceselor tehnice și a sistemelor informatice stabilite prin Normele de referință pentru realizarea interoperabilității în domeniul tehnologiei informației și comunicațiilor, pentru asigurarea schimbului de date între sistemele informatice deținute de participanții la schimbul de date și pentru îmbunătățirea colaborării și a prestării comune a serviciilor publice;
    i) registru de bază - registru de date care conține date primare;
    j) registru de date - un fișier sau un set de fișiere care conține date și informații organizate cu scopul a de deservi anumite domenii de activitate/procese de business;
    k) schimb de date - punerea la dispoziție a datelor de către furnizori de date și accesarea acestora de către utilizatori sau transmiterea datelor dintr-un sistem informatic către un alt sistem informatic prin intermediul Platformei naționale de interoperabilitate;
    l) serviciu public electronic - serviciul public definit la art. 5 lit. kk) din Ordonanța de urgență a Guvernului nr. 57/2019 privind Codul administrativ, cu modificările și completările ulterioare;
    m) sistem informatic - ansamblu de elemente tehnologice, resurse și proceduri care susțin procese sau părți din procese în cadrul unui sistem informațional;
    n) titularul datelor - persoana fizică sau persoana juridică asociată cu date din registrele de bază în mod direct sau indirect, în special prin referire la un element de identificare, cum ar fi numele, denumirea, numărul de identificare, codul de identificare fiscală, datele de localizare ori un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale, sau care are un drept asupra unui bun mobil sau imobil ale cărui date de identificare fac obiectul registrelor de bază;
    o) utilizator de date - persoana fizică sau juridică de drept public sau de drept privat care are acces legal la anumite date cu sau fără caracter personal prin intermediul Platformei naționale de interoperabilitate și care este autorizată să utilizeze datele respective în scopuri comerciale sau necomerciale.


    Capitolul II Normele de referință pentru realizarea interoperabilității (NRRI)

    Articolul 4

    Definirea NRRI(1) Normele de referință pentru realizarea interoperabilității în domeniul tehnologiei informației și comunicațiilor, denumite în continuare NRRI, conțin măsurile și obligațiile pentru autoritățile și instituțiile publice centrale și locale, altele decât normele conținute în prezenta lege, în vederea asigurării interoperabilității între autoritățile și instituțiile publice sau entitățile private pentru furnizarea serviciilor publice. NRRI conțin un set de elemente comune, precum vocabular, concepte, principii, recomandări, standarde, specificații și practici.(2) Interoperabilitatea este înțeleasă în sensul ei multidimensional, ținând cont de dimensiunile legale, organizaționale, semantice și tehnice, și această abordare este avută în vedere încă de la conceperea serviciilor și a sistemelor și pe tot parcursul ciclului lor de viață: planificare, proiectare, achiziție, implementare, derulare. Lanțul de interoperabilitate se manifestă în practică din oficiu între autoritățile și instituțiile publice și în contracte de schimb de date între entități și sectoare publice și între entități publice și private.


    Articolul 5

    Principii(1) Utilizarea NRRI de către autoritățile și instituțiile publice trebuie să respecte cel puțin următoarele principii:
    a) Principiul reutilizării:(i) autoritățile și instituțiile publice cooperează pentru dezvoltarea unor soluții informatice comune, în vederea furnizării serviciilor publice;(ii) autoritățile și instituțiile publice partajează și reutilizează componente ale soluțiilor informatice, în vederea furnizării de servicii publice;(iii) autoritățile și instituțiile publice partajează și reutilizează informații și date cu caracter personal, în vederea furnizării de servicii publice, cu respectarea legislației privind protecția datelor cu caracter personal;(iv) autoritățile și instituțiile publice fac demersuri pentru a obține beneficii prin examinarea produselor, serviciilor, conceptelor, specificațiilor, standardelor, instrumentelor, datelor sau a componentelor pentru a le refolosi. Pentru atingerea acestui deziderat, autoritățile și instituțiile publice trebuie mai întâi să își pună propriile date la dispoziția terților într-o manieră care să le facă ușor reutilizabile.
    b) Principiul eficacității și eficienței:(i) sistemele informatice care stau la baza serviciilor publice electronice vor fi proiectate sau adaptate pentru a permite cu ușurință transferul datelor între ele, cu respectarea legislației privind protecția datelor cu caracter personal;(ii) eficacitatea și eficiența soluțiilor de interoperabilitate și a opțiunilor tehnologice se măsoară anual și se publică prin rapoarte publice;(iii) în evaluarea prevăzută la pct. (ii) se iau în considerare nevoile utilizatorilor, proporționalitatea eforturilor și echilibrul între costuri și beneficii.
    c) Principiul simplificării administrative:
    (i) autoritățile și instituțiile publice își proiectează sau adaptează serviciile publice pentru un mediu de lucru electronic, eficientizând și simplificând procesele administrative ce stau la baza furnizării respectivelor servicii publice;
    (ii) autoritățile și instituțiile publice urmăresc permanent reducerea timpului de așteptare pentru răspunsul la solicitările utilizatorilor și a sarcinii administrative asupra autorităților și instituțiilor publice, a entităților private și a persoanelor fizice.

    d) Principiul securității și confidențialității:(i) autoritățile și instituțiile publice garantează respectarea caracterului privat, a confidențialității, autenticității, integrității, nerepudierii datelor și interzicerea transferului neautorizat al informațiilor furnizate de utilizatori;(ii) schimbul de date între instituțiile și autoritățile publice, precum și între acestea și utilizatori persoane fizice și juridice din mediul privat se face în condiții de siguranță, încredere și confidențialitate, în conformitate cu legislația privind securitatea informației, a celei privind serviciile de asigurare a încrederii, precum și a celei privind protecția datelor cu caracter personal;(iii) autoritățile și instituțiile publice vor urmări creșterea gradului de trasabilitate și transparență a actului administrativ, prin oferirea posibilității titularului datelor a cunoașterii accesării și prelucrării datelor sale.
    e) Principiul subsidiarității și proporționalității:(i) abordarea națională în domeniul interoperabilității sistemelor informatice pentru furnizarea serviciilor publice este aliniată cu cea europeană, pe care o extinde și o adaptează necesităților naționale;(ii) autoritățile și instituțiile publice limitează deciziile la cele necesare pentru îndeplinirea misiunii specifice.
    f) Principiul transparenței: documentația publicată este detaliată și actualizată cel puțin privind nivelul semantic al interfețelor externe ale sistemelor informatice prin intermediul cărora se furnizează servicii publice.
    g) Principiul deschiderii administrative:(i) datele deținute de autoritățile și instituțiile publice, cu excepția celor pentru care se aplică restricții legale care sunt supuse reglementărilor de protecție a datelor personale, se publică ca date deschise;(ii) datele deținute de instituțiile și autoritățile publice, cu excepția celor pentru care se aplică restricții legale, vor fi puse la dispoziția utilizatorilor pe portalul data.gov.ro;(iii) documentația publicată este detaliată și actualizată cel puțin privind nivelul semantic al interfețelor externe ale sistemelor informatice prin intermediul cărora se furnizează servicii publice.
    h) Principiul conservării informațiilor:(i) informațiile deținute de autoritățile și instituțiile publice sunt modificate doar în conformitate cu reglementările aplicabile în domeniul respectiv și pot fi accesate în conformitate cu legislația privind securitatea informatică, protecția datelor cu caracter personal și arhivarea;(ii) autoritățile și instituțiile publice au obligația să asigure respectarea principiilor prevăzute la pct. (i) la planificarea, proiectarea, achiziția, implementarea și administrarea sistemelor informatice ale administrației publice.
    i) Principiul nediscriminării:(i) autoritățile și instituțiile publice vor lua măsuri pentru a face disponibile serviciile electronice și persoanelor care folosesc rar sau deloc mediul online, punându-le la dispoziție căi adiționale de a accesa serviciile publice fără costuri suplimentare;(ii) instituțiile și autoritățile publice vor lua măsuri pentru a asista digital persoanele care folosesc rar sau deloc mediul online, pentru a le facilita livrarea serviciului public digital;(iii) autoritățile și instituțiile publice își vor regândi dimensionarea și pregătirea resursei umane ce interacționează cu cei care au nevoie de asistență digitală, inclusiv recunoscându-i rolul critic în livrarea unui serviciu public de calitate.
    j) Principiul neutralității și adaptabilității:(i) atunci când vor defini un serviciu public electronic, autoritățile și instituțiile publice vor avea în vedere cerințele funcționale și vor evita impunerea unei tehnologii sau a unui produs partenerilor, pentru a fi capabile să se adapteze mediului tehnologic în continuă evoluție;(ii) când înființează un serviciu public, autoritățile și instituțiile publice nu trebuie să impună nicio soluție tehnologică cetățenilor, mediului de afaceri sau altor autorități și instituții publice. Autoritățile și instituțiile publice trebuie să se asigure că sistemele lor informatice permit transferul facil al datelor către alte sisteme informatice.
    k) Principiul centrării pe utilizator:(i) cerințele cetățeanului trebuie să determine care sunt serviciile de care este nevoie și modul de furnizare al acestora;(ii) furnizorii de servicii publice vor avea în vedere oferirea de servicii cu o interfață prietenoasă, sigură și flexibilă, ce permite personalizarea, livrarea serviciilor pe mai multe canale de distribuție pentru asigurarea accesului în orice mod, oriunde și oricând, un singur punct de contact chiar și atunci când diverse sectoare ale administrației publice trebuie să colaboreze pentru furnizarea serviciului, furnizarea de către cetățean doar a minimului de informații necesare pentru obținerea serviciului public;(iii) autoritățile și instituțiile publice trebuie să furnizeze informații persoanelor fizice și persoanelor juridice din propria inițiativă;(iv) autoritățile și instituțiile publice vor înregistra, evalua și lua în considerare părerea utilizatorilor.
    l) Principiul incluziunii și accesibilității:(i) autoritățile și instituțiile publice vor utiliza tehnologia informației pentru a crea oportunități egale pentru cetățeni și mediul de afaceri prin servicii publice electronice prezentate public și accesibile fără discriminare;(ii) incluziunea implică dreptul oricărei persoane de a beneficia de avantajul deplin al oportunităților oferite de noile tehnologii pentru a depăși dezavantajele și excluziunea socială și economică;(iii) autoritățile și instituțiile publice trebuie să se asigure că serviciile publice electronice vor fi accesibile tuturor cetățenilor, inclusiv persoanelor cu dizabilități sau în vârstă;(iv) incluziunea și accesibilitatea trebuie să fie parte a întregului ciclu de dezvoltare a serviciilor publice electronice, pornind de la proiectare, conținut de informație și livrare;(v) modul tradițional de furnizare a serviciilor publice, față în față sau utilizând formulare de hârtie, este necesar să coexiste cu furnizarea prin mijloace electronice, pentru a oferi cetățeanului dreptul de a opta pentru modalitatea de accesare a serviciilor;(vi) incluziunea și accesibilitatea pot fi îmbunătățite prin capacitarea unui sistem de a permite unor terți să acționeze în numele cetățenilor lipsiți, temporar sau permanent, de capacitatea de accesare a serviciilor publice.
    m) Principiul multilingvismului:(i) multilingvismul trebuie luat în considerare cu atenție la proiectarea serviciilor publice electronice;(ii) autoritățile și instituțiile publice vor căuta un echilibru între așteptările cetățenilor și ale mediului de afaceri de a dispune de servicii în limba sau limbile lor și capacitatea administrației publice de a oferi servicii în toate limbile oficiale ale UE;(iii) ori de câte ori este posibil, informațiile trebuie transferate într-un format independent de limbă, convenit între părțile implicate;(iv) autoritățile și instituțiile publice trebuie să utilizeze sistemele de informații și arhitecturile tehnice care iau în considerare aspectele legate de multilingvism la proiectarea serviciilor publice electronice.
    (2) Autoritățile și instituțiile publice au obligația respectării cel puțin a principiilor enunțate atunci când dezvoltă sistemele informatice.


    Capitolul III Registrele de bază și schimbul de informații în format electronic

    Articolul 6

    Registre de bază
    În scopul furnizării serviciilor publice, registrele de bază reprezintă fundamentul asigurării interoperabilității sistemelor informatice ale autorităților și instituțiilor publice.


    Articolul 7

    Lista registrelor de bază(1) Sunt registre de bază cel puțin următoarele baze de date:
    a) Sistemul național informatic de evidență a persoanelor, prevăzut în Ordonanța de urgență a Guvernului nr. 97/2005 privind evidența, domiciliul, reședința și actele de identitate ale cetățenilor români, republicată, cu modificările și completările ulterioare;
    b) Registrul electronic național al nomenclaturilor stradale, prevăzut în Legea cadastrului și a publicității imobiliare nr. 7/1996, republicată, cu modificările și completările ulterioare;
    c) Sistemul integrat de cadastru și carte funciară, prevăzut în Legea nr. 7/1996, republicată, cu modificările și completările ulterioare;
    d) Registrul Național de Publicitate Mobiliară, prevăzut de Legea nr. 297/2018 privind publicitatea mobiliară, republicată;
    e) Registrul central al comerțului, ținut de către Oficiul Național al Registrului Comerțului și registrele comerțului ținute de oficiile registrului comerțului organizate în fiecare județ și în municipiul București, prevăzute în Legea nr. 26/1990 privind registrul comerțului, republicată, cu modificările și completările ulterioare;
    f) Buletinul procedurilor de insolvență, prevăzut în Hotărârea Guvernului nr. 460/2005 privind conținutul, etapele, condițiile de finanțare, publicare și distribuire a Buletinului procedurilor de insolvență, cu modificările și completările ulterioare;
    g) Registrul național de evidență a permiselor de conducere și a vehiculelor înmatriculate, prevăzut în Ordonanța de urgență a Guvernului nr. 195/2002 privind circulația pe drumurile publice, republicată, cu modificările și completările ulterioare;
    h) Sistemul național de identificare și înregistrare a animalelor;
    i) Baza de date a portalului instanțelor de judecată;
    j) Registrul contribuabililor persoane fizice;
    k) Registrul contribuabililor persoane juridice;
    l) Registrul de date privind resursele minerale, perimetrele de prospecțiune, explorare, exploatare de resurse minerale;
    m) Registrul național ONG;
    n) Registrul matricol unic;
    o) Sistemului electronic național, prevăzut în Legea nr. 161/2003 privind unele măsuri pentru asigurarea transparenței în exercitarea demnităților publice, a funcțiilor publice și în mediul de afaceri, prevenirea și sancționarea corupției, cu modificările și completările ulterioare.
    (2) Prin hotărâre a Guvernului se pot stabili registre de bază suplimentare față de cele prevăzute la alin. (1), precum și administratorii acestora.(3) Categoriile de date primare cuprinse în registrele de bază se referă cel puțin la persoane, cum ar fi date de identificare, date cu privire la sănătate, educație, finanțe, la bunuri mobile, inclusiv mijloace de transport, la bunuri imobile, la societăți, asociații și fundații sau la animale.(4) Este interzisă stabilirea de registre publice pentru datele care sunt deja colectate ca date primare în registrele de bază, fiind obligatorie utilizarea datelor din registrele de bază existente.


    Articolul 8

    Registrul național al registrelor(1) Pentru atingerea scopului prezentei legi, Autoritatea pentru Digitalizarea României (ADR) va înființa Registrul național al registrelor, denumit în continuare RNR.(2) RNR conține informații despre organizarea registrelor de date și a datelor conținute de acestea, care indică autenticitatea datelor respective, informații cu privire la semantica datelor și informații privind autoritățile și instituțiile publice care au acces la aceste date, temeiurile legale pentru transmiterea datelor, descrierea proceselor de colectare a datelor, precum și modalitatea utilizării datelor colectate.(3) Metodele și mecanismele de accesare a registrelor de bază și stabilirea drepturilor de acces la acestea sunt descrise în RNR.(4) ADR este administratorul RNR și propune Ministerului Cercetării, Inovării și Digitalizării (MCID) conținutul RNR cu acordul prealabil al administratorilor registrelor de bază.(5) Structura și conținutul datelor și informațiilor din RNR se aprobă prin ordin al ministrului cercetării, inovării și digitalizării, la propunerea președintelui ADR, cu acordul prealabil al administratorilor registrelor de bază.(6) Acordul prealabil prevăzut la alin. (4) și (5) sau refuzul motivat se comunică în termen de 30 de zile de la data solicitării. Necomunicarea acordului prealabil sau a unui refuz motivat în condițiile alin. (7), în termenul de 30 de zile, constituie acord tacit.(7) Temeinicia refuzului se constată de către ADR. Refuzul se consideră întemeiat doar dacă accesul la date aduce atingere unor aspecte de apărare națională sau securitate națională și dacă administratorul registrului de bază aduce dovezi în acest sens. (8) Toate registrele de bază ale autorităților și instituțiilor publice sunt prevăzute în RNR.(9) RNR nu conține datele din registrele de bază, ci doar informații care fac referire la aceste date.


    Articolul 9

    Platforma națională de interoperabilitate(1) Se instituie Platforma națională de interoperabilitate necesară în vederea asigurării interoperabilității sistemelor informatice publice pentru furnizarea serviciilor publice, precum și pentru accesarea informațiilor de către persoane juridice de drept privat sau persoane care exercită profesii liberale reglementate.(2) ADR este desemnată ca unic administrator al Platformei naționale de interoperabilitate.(3) Suportul tehnic al Platformei naționale de interoperabilitate este asigurat de o infrastructură informatică dedicată, care oferă mecanisme de acces automat la toate registrele de bază sau la sistemul informatic al instituției sau autorității care deține în administrare/gestionare registrul de bază și care permite schimbul de date între autoritățile și instituțiile publice sau între acestea și persoanele juridice de drept privat, respectiv persoanele care exercită profesii liberale reglementate, în vederea asigurării interoperabilității sistemelor informatice pentru furnizarea serviciilor publice.(4) În vederea asigurării securității cibernetice a Platformei naționale de interoperabilitate, ADR va colabora cu Directoratul Național de Securitate Cibernetică și cu Serviciul Român de Informații.(5) În vederea asigurării securității comunicațiilor prin rețelele de transmisii de date utilizate de Platforma națională de interoperabilitate, ADR va colabora cu Serviciul de Telecomunicații Speciale.(6) În vederea interconectării registrelor de bază cu Platforma națională de interoperabilitate și asigurării schimbului de date între autoritățile și instituțiile publice se utilizează rețeaua de transmisii de date securizată, asigurată, în limita resurselor disponibile, de către Serviciul de Telecomunicații Speciale.(7) În situația în care Serviciul de Telecomunicații Speciale nu poate asigura infrastructura de comunicații menționată la alin. (5), în conformitate cu cerințele ADR, autoritatea sau instituția publică în cauză poate utiliza, în vederea interconectării, rețele de transmisii de date furnizate de către furnizorii de rețele publice de comunicații electronice.(8) Rețelele de transmisii de date nu sunt parte a Platformei naționale de interoperabilitate și asigură un mediu sigur pentru transmiterea de date. (9) Platforma națională de interoperabilitate este dezvoltată cu respectarea cerințelor tehnice și operaționale necesare pentru migrarea în infrastructuri de tip cloud, în vederea funcționării acesteia în cadrul infrastructurii de cloud guvernamental a statului român.


    Articolul 10

    Disponibilitatea și utilizarea datelor accesibile prin Platforma națională de interoperabilitate(1) Administratorii registrelor de bază au obligația de a garanta administratorului Platformei naționale de interoperabilitate disponibilitatea datelor conținute în registrele de bază pe care le dețin, date care sunt necesare furnizării serviciilor publice de către orice autorități și instituții publice potrivit legislației aplicabile, în vederea asigurării interoperabilității sistemelor publice. Accesul se permite în baza acordului prealabil al administratorului unui registru de bază și cu respectarea standardelor Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor).(2) Acordul prealabil prevăzut la alin. (1) sau refuzul motivat se comunică în termen de 30 de zile de la data solicitării. Necomunicarea acordului prealabil sau a unui refuz motivat în condițiile alin. (3), în termenul de 30 de zile, constituie acord tacit.(3) Temeinicia refuzului se constată de către ADR. Refuzul se consideră întemeiat doar dacă accesul la date aduce atingere unor aspecte de apărare națională sau securitate națională și dacă administratorul registrului de bază aduce dovezi în acest sens. (4) În scopul verificării legalității prelucrării datelor cu caracter personal, monitorizării și asigurării integrității și securității corespunzătoare a datelor, administratorul Platformei naționale de interoperabilitate are obligația de a stoca informații cu privire la toate acțiunile derulate prin intermediul Platformei naționale de interoperabilitate, sub forma unor jurnale, și de a prezenta în mod transparent și nemijlocit administratorului registrului de date și titularului datelor informații despre colectarea, accesarea, modificarea, combinarea, dezvăluirea, reutilizarea sau ștergerea datelor cu caracter personal, scopurile prelucrării și temeiul legal în baza căruia au fost accesate datele. Jurnalele nu vor fi supuse niciunor modificări și se vor comunica la cerere către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, către responsabilul cu protecția datelor cu caracter personal și, dacă este necesar, pentru o investigație specifică, autorităților competente în acest sens. Jurnalele vor fi șterse după trei ani, cu excepția cazului în care datele pe care le conțin sunt necesare în continuare pentru asigurarea controlului.(5) Datele nu vor fi stocate decât dacă există un temei legal în acest sens și vor fi păstrate de instituțiile care le stochează cu respectarea legislației aplicabile.(6) Administratorul Platformei naționale de interoperabilitate oferă acces la date din registrele de bază necesare în exercitarea funcțiilor și îndeplinirea atribuțiilor prevăzute de lege tuturor autorităților și instituțiilor publice.(7) Fiecare autoritate și instituție publică, dar și persoanele juridice de drept privat și persoanele care exercită profesii liberale reglementate, dacă au încheiat un contract de schimb de date în condițiile prezentei legi, sunt responsabile pentru conferirea drepturilor de acces la datele din registrele de bază angajaților proprii, cu asigurarea protecției datelor cu caracter personal și a securității cibernetice.(8) Schimbul de date între instituțiile și autoritățile publice are loc în mod gratuit prin utilizarea Platformei naționale de interoperabilitate.(9) Orice solicitare de furnizare a datelor în temeiul prezentei legi se efectuează automat și în mod electronic conform drepturilor de acces acordate de ADR.(10) Administratorul registrelor de bază nu are dreptul de a impune cerințe suplimentare sau de a stabili o altă procedură de schimb de date față de cele prevăzute în prezenta lege.(11) Pentru a dovedi autenticitatea datelor obținute la un anumit moment în timp, Platforma națională de interoperabilitate oferă instanțelor de judecată posibilitatea de a consulta istoricul modificării și accesării datelor din platformă.


    Articolul 11

    Obligativitatea utilizării datelor primare(1) Autoritățile și instituțiile publice au obligația de a utiliza Platforma națională de interoperabilitate pentru accesarea datelor cuprinse în registrele administrate de către alte autorități și instituții publice, necesare furnizării serviciilor publice.(2) Autoritățile și instituțiile publice au obligația de a asigura prestarea serviciilor fără a solicita documente suplimentare care conțin exclusiv informații disponibile prin Platforma națională de interoperabilitate sau în scopul obținerii unor date care pot fi furnizate prin intermediul Platformei naționale de interoperabilitate.(3) Autoritățile și instituțiile publice care oferă servicii publice nu au dreptul să solicite persoanelor fizice și juridice dovezi sau certificări ale datelor deja colectate sau create de către autoritățile și instituțiile respective. Datele utilizate în furnizarea serviciilor publice trebuie preluate exclusiv din registrele de bază disponibile prin intermediul Platformei naționale de interoperabilitate.(4) Instituțiile publice pot reutiliza sau distribui date pe care persoanele fizice și juridice le-au furnizat unei autorități sau instituții publice. Distribuirea sau reutilizarea informației se va realiza într-o manieră transparentă și securizată, cu respectarea principiului colectării și stocării exclusiv a informațiilor necesare, a regulilor și obligațiilor prevăzute de Regulamentul general privind protecția datelor.(5) Datele pentru care s-a asigurat implementarea principiului securității și confidențialității, în conformitate cu prevederile prezentei legi, care sunt accesate prin Platforma națională de interoperabilitate, au aceeași valoare juridică cu datele conținute în documentul prezentat fizic, într-o copie conformă cu originalul a acestuia, sau într-un document electronic certificat cu semnătură electronică calificată, care conține sau confirmă datele respective.(6) Autoritățile și instituțiile publice au obligația de a-și schimba procedurile de lucru, respectiv de a propune schimbări cu privire la legislația în vigoare, pentru a presta serviciile publice aflate în responsabilitatea lor, exclusiv în baza datelor ce pot fi obținute prin Platforma națională de interoperabilitate.


    Articolul 12

    Interoperabilitatea în administrația publică locală, între administrația publică centrală și administrația publică locală și între administrațiile publice locale(1) Prezenta lege se aplică atât autorităților și instituțiilor publice centrale, cât și celor locale.(2) Aplicarea prezentei legi la nivel local, precum și asigurarea schimbului de date între autoritățile administrației publice centrale și autoritățile administrației publice locale, dar și între autoritățile administrației publice locale se vor realiza de către ADR în colaborare cu autoritățile executive de la nivelul unităților administrativ-teritoriale și cu sprijinul acestora.


    Articolul 13

    Accesul persoanelor fizice și persoanelor juridice de drept privat la date deținute de instituții publice și accesul instituțiilor publice la date deținute de primele(1) Schimbul de date între autoritățile și instituțiile publice, pe de o parte, și utilizatorii persoane juridice de drept privat sau persoane care exercită profesii liberale reglementate, pe de altă parte, are loc în bază contractuală, cu respectarea prevederilor prezentei legi.(2) Conectarea și acordarea drepturilor de acces ale participanților la Platforma națională de interoperabilitate au loc în baza deciziei președintelui ADR, cu acordul administratorilor registrelor de bază și cu respectarea cerințelor tehnice, de protecție a datelor cu caracter personal și de securitate cibernetică. Acordul prealabil sau refuzul motivat se comunică în termen de 30 de zile de la data solicitării. Necomunicarea acordului prealabil sau a unui refuz motivat în condițiile alin. (3), în termenul de 30 de zile, constituie acord tacit. (3) Temeinicia refuzului se constată de către ADR. Refuzul se consideră întemeiat doar dacă accesul la date aduce atingere unor aspecte de apărare națională sau securitate națională și dacă administratorul registrului de bază aduce dovezi în acest sens. (4) Contractul de schimb de date se încheie între autoritatea care administrează Platforma națională de interoperabilitate și persoana juridică de drept privat, respectiv persoane care exercită profesii liberale reglementate și care dețin sisteme informatice și este cu titlu oneros.(5) Participanții la schimbul de date pot avea simultan rol de furnizor și de consumator de date.(6) Costurile vor fi stabilite de administratorul Platformei naționale de interoperabilitate și vor depinde de costurile operaționale ale administratorilor registrelor de bază consultate, respectiv ale administratorului Platformei naționale de interoperabilitate. Parte din veniturile realizate de administratorul Platformei naționale de interoperabilitate vor fi vărsate administratorilor registrelor de bază, în urma unei analize realizate de MCID cu privire la costuri. (7) Persoanele juridice de drept privat, respectiv persoanele care exercită profesii liberale reglementate și care dețin sisteme informatice au dreptul de a accesa date prin intermediul Platformei naționale de interoperabilitate dacă se încadrează în temeiurile prevăzute de Regulamentul general privind protecția datelor.(8) Datele cu caracter personal pot fi accesate doar atunci când sunt necesare pentru executarea serviciului prestat de către persoanele juridice de drept privat, respectiv persoanele care exercită o profesie liberală reglementată.(9) Nicio persoană vizată nu va fi afectată de o decizie a unei autorități sau instituții publice, a unei persoane juridice de drept privat ori a unei persoane care exercită o profesie liberală reglementată, bazată exclusiv pe prelucrarea automată a datelor sale, inclusiv prin crearea de profiluri, cu excepția cazului în care o astfel de decizie este autorizată de legislația Uniunii Europene sau de dreptul intern aplicabil.(10) Platforma națională de interoperabilitate poate expune date deschise furnizate de autorități și instituții publice, la solicitarea acestora.(11) Accesul la datele deținute de către o instituție publică sau de o entitate privată este conferit cu respectarea legislației în domeniu și a reglementărilor privind protecția datelor cu caracter personal.


    Capitolul IV Autoritățile și instituțiile publice responsabile pentru crearea și implementarea Platformei naționale de interoperabilitate și atribuțiile acestora

    Articolul 14

    Atribuții privind administrarea și funcționarea Platformei naționale de interoperabilitate(1) Pentru realizarea obiectivelor prezentei legi prevăzute la art. 2, MCID va elabora NRRI. MCID va colabora cu administratorul Platformei naționale de interoperabilitate și cu administratorii registrelor de date pentru a se asigura că la implementarea NRRI se vor îndeplini toate standardele prevăzute de prezenta lege și de Cadrul european de interoperabilitate.(2) Funcțiile de reglementare, monitorizare, control și evaluare a realizării politicilor din domeniul interoperabilității se realizează după cum urmează:
    a) funcția de reglementare în domeniul implementării Platformei naționale de interoperabilitate se exercită de către MCID și se realizează în principal în temeiul informațiilor puse la dispoziție de ADR;
    b) funcția de monitorizare, control și evaluare a realizării politicilor în domeniul interoperabilității se exercită de către ADR;
    c) funcția de monitorizare a implementării și gestionării Platformei naționale de interoperabilitate se exercită de către MCID.


    Articolul 15

    Principalele atribuții ale Ministerului Cercetării, Inovării și Digitalizării(1) Principalele atribuții ale MCID sunt următoarele:
    a) stabilirea modalităților de cooperare și elaborarea procedurilor de lucru pentru autoritățile și instituțiile publice centrale și locale în ceea ce privește managementul informației în administrația publică. Cooperarea va avea ca scop promovarea implementării obiectivelor prezentei legi și dezvoltarea practicilor administrației publice și a metodelor de producere și prestare a serviciilor publice prin utilizarea Platformei naționale de interoperabilitate;
    b) dezvoltarea managementului informației în administrația publică și crearea structurilor de servicii tehnice pentru utilizarea Platformei naționale de interoperabilitate;
    c) crearea procedurii de conectare și participare la Platforma națională de interoperabilitate și a schimbului de date;
    d) colaborarea cu administratorii registrelor de date și cu administratorul Platformei naționale de interoperabilitate în vederea identificării și promovării intervențiilor legislative necesare pentru furnizarea de servicii publice electronice prin utilizarea Platformei naționale de interoperabilitate.
    (2) În termen de 5 luni de la data intrării în vigoare a prezentei legi, la propunerea ADR, se aprobă, prin ordin al ministrului cercetării, inovării și digitalizării, Normele de referință pentru realizarea interoperabilității în domeniul tehnologiei informației și al comunicațiilor, care se publică în Monitorul Oficial al României, Partea I.(3) NRRI devin obligatorii pentru autoritățile și instituțiile publice din cadrul administrației publice centrale și locale.(4) NRRI vor fi evaluate cel puțin o dată la doi ani și, dacă se impune, actualizate ori de câte ori este necesar.(5) În termen de 30 de zile de la data intrării în vigoare a prezentei legi, MCID va crea o nouă direcție în cadrul ADR, care va acționa în calitate de administrator al Platformei naționale de interoperabilitate.(6) MCID va putea prevedea în bugetul propriu de venituri și cheltuieli sumele necesare sprijinirii autorităților publice locale pentru conectarea acestora la Platforma națională de interoperabilitate.


    Articolul 16

    Principalele atribuții ale administratorului Platformei naționale de interoperabilitate(1) ADR este autoritatea competentă pentru asigurarea schimbului de date și a interoperabilității, desemnată în conformitate cu prezenta lege, care asigură interoperabilitatea juridică și semantică și stabilește principiile interoperabilității organizaționale și tehnice.(2) Prin niveluri de interoperabilitate legală, organizațională, semantică și tehnică se înțeleg expresiile definite în Cadrul Național de Interoperabilitate, aprobat prin Hotărârea Guvernului nr. 908/2017.(3) În îndeplinirea prevederilor alin. (1), principalele atribuții ale ADR sunt următoarele:
    a) în termen de 3 luni de la data intrării în vigoare a ordinului prevăzut la art. 15 alin. (2), ADR demarează procedurile administrative pentru implementarea Platformei naționale de interoperabilitate;
    b) asigurarea aplicării unitare și coerente a NRRI la nivel național;
    c) propunerea de norme subsecvente în aplicarea NRRI și adaptarea constantă a acestora la realitățile și dezvoltările tehnice;
    d) stabilirea datelor necesare asigurării interoperabilității sistemelor publice pentru furnizarea serviciilor publice care trebuie puse la dispoziția Platformei naționale de interoperabilitate de către autoritățile și instituțiile publice;
    e) în colaborare cu administratorii registrelor de date, stabilirea categoriilor de date care sunt partajate de fiecare autoritate și instituție publică și acordarea drepturilor de acces celorlalte autorități și instituții publice, persoane juridice de drept privat, respectiv persoane care exercită profesii liberale reglementate, pentru fiecare categorie de date;
    f) prezentarea în mod transparent și nemijlocit a informațiilor prevăzute la art. 10 alin. (4) administratorului registrului de date și titularului datelor;
    g) administrarea, monitorizarea și supravegherea Platformei naționale de interoperabilitate;
    h) stabilirea atribuțiilor și responsabilităților participanților la schimbul de date, monitorizarea și controlul utilizării Platformei naționale de interoperabilitate și sancționarea refuzului de a participa la platformă sau a utilizării abuzive sau necorespunzătoare;
    i) popularizarea NRRI și a normelor de aplicare la nivelul administrației publice centrale și locale;
    j) menținerea unei relații constante cu autoritățile și instituțiile publice și cu persoanele juridice de drept privat, respectiv persoanele care exercită profesii liberale reglementate, prin intermediul responsabilului NRRI din cadrul acestora;
    k) furnizarea de asistență tehnică pentru respectarea conformității cu NRRI și normele subsecvente de informatizare ale instituțiilor publice;
    l) verificarea periodică a conformității aderării la NRRI a autorităților și instituțiilor publice;
    m) în termen de două luni de la data intrării în vigoare a prezentei legi, în vederea constituirii Platformei naționale de interoperabilitate, ADR are obligația de a solicita tuturor autorităților și instituțiilor publice care dețin registre de bază toate informațiile necesare în vederea elaborării NRRI. În ceea ce privește administratorii registrelor de bază prevăzute de prezenta lege, ADR le va comunica totodată și sancțiunea prevăzută la art. 22 alin. (8);
    n) la conectarea unui registru de date cu Platforma națională de interoperabilitate, va colabora cu administratorul registrelor de date pentru realizarea standardelor unice de date, pe care le va transmite ulterior MCID pentru a fi integrate în NRRI.
    (4) În exercitarea funcției de reglementare, în urma consultării cu administratorii registrelor de date, ADR va constata și va publica prin decizie a președintelui ADR următoarele:
    a) datele și seturile de date stabilite împreună cu administratorii registrelor de date, care fac obiectul partajării în Platforma națională de interoperabilitate;
    b) scopurile în care datele vor fi puse la dispoziția participanților la Platforma națională de interoperabilitate și standardele adecvate prelucrării datelor pentru fiecare domeniu, cu respectarea legislației specifice;
    c) instituțiile publice și persoanele juridice de drept privat, respectiv persoanele care exercită profesii liberale reglementate destinatare ale datelor;
    d) atribuțiile autorităților și instituțiilor publice, respectiv funcțiile persoanelor juridice de drept privat la care se referă scopurile prevăzute la lit. b);
    e) temeiul legal pentru punerea la dispoziție a datelor și pentru orice prelucrare ulterioară de către participanții la Platforma națională de interoperabilitate;
    f) datele care vor fi puse la dispoziție și informațiile ce vor rezulta din prelucrarea respectivelor date;
    g) dacă inițiativa pentru punerea la dispoziție a informațiilor în temeiul prezentei legi provine de la o persoană vizată, de la o autoritate sau instituție publică ori de la o persoană juridică de drept privat;
    h) dacă punerea la dispoziție a datelor privește date referitoare la persoane vizate individuale sau categorii de persoane vizate;
    i) dacă punerea la dispoziție a informațiilor în temeiul prezentei legi va fi unică sau cu caracter permanent;
    j) modul în care informațiile care urmează a fi puse la dispoziție vor fi prelucrate și perioada de timp pentru care va avea loc prelucrarea sau stocarea datelor;
    k) orice restricții privind punerea la dispoziție a informațiilor după prelucrarea prevăzută la lit. j);
    l) criteriile pe baza cărora autoritățile și instituțiile publice participante comunică ADR categoriile de date nou-apărute;
    m) măsurile concrete de securitate care trebuie aplicate transmiterii, stocării și accesării datelor cu caracter personal.
    (5) În vederea îndeplinirii atribuțiilor prevăzute de prezenta lege, ADR întocmește un registru public al aplicațiilor informatice utilizate în mod direct de autoritățile și instituțiile publice în procesul de furnizare a serviciilor publice, ca parte integrantă a NRRI.


    Articolul 17

    Principalele atribuții ale autorităților și instituțiilor publice(1) Principalele atribuții ale autorităților și instituțiilor publice sunt următoarele:
    a) autoritățile și instituțiile publice centrale și locale iau măsurile necesare și încorporează tehnologiile necesare pentru interconectarea sistemelor informatice și schimbul de informații și servicii între acestea;
    b) autoritățile și instituțiile publice centrale, precum și cele locale care dețin un registru de bază sunt obligate să se integreze cu Platforma națională de interoperabilitate în maximum 18 luni de la punerea în funcțiune a platformei și să ofere acces la aceste date prin Platforma națională de interoperabilitate;
    c) în termen de 5 ani de la data intrării în vigoare a prezentei legi, autoritățile și instituțiile publice vor furniza serviciile publice și în mod electronic, prin intermediul portalurilor proprii, atunci când acest lucru este posibil;
    d) autoritățile și instituțiile publice stabilesc condițiile și instrumentele pentru înființarea și prestarea serviciilor publice electronice, cu respectarea principiilor transparenței, publicității, responsabilității, calității, siguranței, disponibilității, accesibilității, neutralității și interoperabilității;
    e) autoritățile și instituțiile publice care participă la schimbul de date asigură resursele umane, financiare și tehnologice necesare și iau măsurile necesare sau recomandate de autoritatea competentă în scopul asigurării conectării la Platforma națională de interoperabilitate, a continuității și securității schimbului de date, precum și a caracterului actual al datelor furnizate;
    f) responsabilul pentru protecția datelor cu caracter personal, desemnat în cadrul autorităților și instituțiilor publice care participă la schimbul de date, monitorizează legalitatea schimbului de date, a scopurilor prelucrării acestora și a contractelor de schimb de date, precum și respectarea prevederilor Regulamentului general privind protecția datelor. Responsabilul cu protecția datelor trebuie să fie în măsură să își îndeplinească sarcinile în mod independent și eficient, fiindu-i asigurate resursele necesare în acest scop;
    g) autoritățile și instituțiile publice au obligația să participe la standardizarea proceselor de lucru relevante, să creeze sau să adopte astfel de procese standardizate și să adere la schemele comune impuse de Platforma națională de interoperabilitate, inclusiv RNR, pentru facilitarea interconectării componentelor serviciilor și a creării infrastructurii necesare furnizării serviciilor publice;
    h) în termen de 30 de zile de la data solicitării ADR, prevăzute la art. 16 alin. (3) lit. m), autoritățile și instituțiile publice din administrația publică centrală și locală au obligația să transmită ADR informațiile solicitate;
    i) Comitetul Tehnico-Economic pentru Societatea Informațională (CTE), organism fără personalitate juridică, abilitat prin Hotărârea Guvernului nr. 941/2013 privind organizarea și funcționarea Comitetului Tehnico-Economic pentru Societatea Informațională, cu modificările și completările ulterioare, să asiste Autoritatea pentru Digitalizarea României și să aprobe strategiile și proiectele de informatizare ale instituțiilor publice în vederea asigurării interoperabilității sistemelor informatice și a eliminării suprapunerilor multiple de finanțare și funcționale, va emite avize de funcționare doar pentru acele sisteme tehnologice ale căror funcționalități vor fi pe deplin aliniate la infrastructurile naționale de identificare și autorizare notificate de ADR în cadrul unui sistem transnațional, în conformitate cu normele europene prevăzute în Regulamentul (UE) 2014/910 al Parlamentului European și al Consiliului din 23 iulie 2014 privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă și de abrogare a Directivei 1999/93/CE, precum și cu reglementările de punere în aplicare.
    (2) De la data implementării Platformei naționale de interoperabilitate, autoritățile și instituțiile publice nu vor mai avea dreptul să solicite persoanelor fizice sau juridice de drept privat informații care pot fi obținute prin interogarea Platformei naționale de interoperabilitate.(3) Autoritățile și instituțiile publice vor putea folosi infrastructuri informatice private în vederea conectării la Platforma Națională de Interoperabilitate atunci când propria infrastructură nu le permite acest lucru conform standardelor de calitate stabilite prin NRRI.


    Articolul 18

    Principalele atribuții ale persoanelor juridice de drept privat(1) Toate persoanele juridice de drept privat care oferă servicii sau soluții informatice autorităților și instituțiilor publice au obligația ca în termen de 90 de zile de la intrarea în vigoare a prezentei legi să ofere acces beneficiarilor și furnizorilor împuterniciți de aceștia în mod continuu, prin interfețe standardizate de comunicare de software de tip REST API și documentația aferentă pentru folosirea lor, la bazele de date utilizate de aplicațiile gestionate de ei.(2) Persoanele juridice prevăzute la alin. (1) au obligația de a-și conecta sistemele informatice gestionate în numele sau pentru autoritățile și instituțiile publice la Platforma Națională de Interoperabilitate.


    Articolul 19

    Principalele atribuții ale Ministerului Finanțelor(1) Ministerul Finanțelor va introduce modificările ce decurg din implementarea prevederilor prezentei legi în structura bugetului de stat și în bugetul ADR, la propunerea MCID.(2) Se abilitează Ministerul Finanțelor să prevadă cu prioritate, în procesul de elaborare a legii bugetului de stat, sumele necesare întreținerii sau, după caz, modernizării sistemelor informatice care susțin funcționarea registrelor de bază.


    Articolul 20

    Securitatea și confidențialitatea schimbului de date(1) Securitatea și confidențialitatea schimbului de date sunt asigurate de către toți participanții la schimbul de date și de către administratorul Platformei naționale de interoperabilitate, fiecare pe domeniile sale de competență și în conformitate cu cerințele de securitate aplicabile categoriei respective de date. Fiecare autoritate sau instituție publică și toate persoanele juridice de drept privat, respectiv persoanele care exercită profesii liberale reglementate vor defini politici de securitate a datelor în conformitate cu standardele naționale și internaționale.(2) Participanții la schimbul de date sunt obligați să informeze Directoratul Național de Securitate Cibernetică și orice altă instituție publică cu competențe în domeniu despre vulnerabilitățile și incidentele de securitate în utilizarea Platformei naționale de interoperabilitate în termen de cel mult 72 de ore din momentul depistării acestora.(3) Transferul datelor prin intermediul Platformei naționale de interoperabilitate se realizează în formă criptată.(4) Transferul datelor este organizat într-o manieră în care identitatea destinatarului este cunoscută în mod cert înainte de a permite destinatarului să prelucreze datele primite.(5) Prelucrarea datelor cu caracter personal de către autoritățile și instituțiile publice, persoanele fizice și entitățile de drept privat în procesul de utilizare și furnizare a serviciilor publice prin intermediul Platformei naționale de interoperabilitate se realizează cu respectarea reglementărilor legale aplicabile în domeniul protecției datelor cu caracter personal.(6) Fiecare autoritate sau instituție publică va acorda angajaților și colaboratorilor săi drepturile de acces la date furnizate prin intermediul Platformei naționale de interoperabilitate în condițiile art. 16 alin. (3) lit. e) și cu respectarea prevederilor legale aplicabile.(7) Administratorii registrelor de bază și administratorii oricăror alte registre de date au următoarele obligații:
    a) să asigure implementarea cerințelor minime de securitate cibernetică prevăzute de legislația națională și europeană și de standardele și specificațiile naționale, europene și internaționale aplicabile în domeniul securității cibernetice, în special cele prevăzute de Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, cu modificările și completările ulterioare;
    b) să implementeze, să asigure procese și proceduri specifice pentru asigurarea securității operaționale a serviciului;
    c) să se asigure că datele stocate sau aflate în tranzit sunt protejate în mod adecvat împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin măsuri de protecție a rețelei informatice și de criptare a datelor;
    d) să nu permită accesul fără drept la datele din Platforma națională de interoperabilitate aflate sub autoritatea lor și să se asigure că accesul la toate interfețele de servicii este limitat la persoanele autentificate și autorizate pe baza necesității de a cunoaște;
    e) să gestioneze și să rezolve de îndată incidentele de securitate cibernetică;
    f) să nu afecteze, prin acțiunile proprii, securitatea altor rețele și sisteme informatice;
    g) să se asigure că personalul este instruit corespunzător pentru utilizarea Platformei naționale de interoperabilitate și controlat periodic pentru a preîntâmpina erori umane sau încălcări de securitate.
    (8) Utilizatorii de date nu trebuie să se angajeze în nicio activitate care să compromită siguranța Platformei naționale de interoperabilitate.(9) Protecția datelor se asigură prin implementarea, la nivelul fiecărui sistem informatic implicat în schimbul de date, a:
    a) principiilor „confidențialității prin concepție“ și „securității prin concepție“, pentru a asigura securitatea modulelor și a infrastructurii lor;
    b) planurilor de gestionare a riscurilor pentru identificarea riscurilor, evaluarea potențialului impact al acestora și planificarea intervențiilor cu măsuri tehnice și organizatorice adecvate. Pe baza ultimelor evoluții tehnologice, aceste măsuri trebuie să asigure un nivel de securitate proporțional cu gradul de risc;
    c) planurilor de continuitate a activității și planurilor de rezervă și de redresare pentru a institui procedurile necesare de asigurare a disponibilității funcțiilor în urma unui eveniment dezastruos și readucere a tuturor funcțiilor la situația normală cât mai curând posibil;
    d) unui plan de acces la date și autorizare, care stabilește persoanele care au acces la date, datele care sunt accesibile și condițiile accesării datelor, pentru a asigura confidențialitatea. Accesul neautorizat și încălcarea normelor de securitate trebuie monitorizate și trebuie luate măsuri corespunzătoare pentru a preveni orice repetare a încălcărilor.


    Capitolul V Răspundere și sancțiuni

    Articolul 21

    Răspundere
    Încălcarea prevederilor prezentei legi atrage răspunderea disciplinară, civilă, contravențională sau penală, după caz.


    Articolul 22

    Sancțiuni(1) Constituie contravenție, în măsura în care nu este săvârșită în astfel de condiții încât să fie considerată, potrivit legii penale, infracțiune, nerespectarea de către conducătorii autorităților și instituțiilor publice participante la Platforma națională de interoperabilitate a dispozițiilor art. 10 alin. (1) și (5), art. 17 alin. (1) lit. b) și h), art. 17 alin. (2), art. 18 alin. (1) și ale alin. (8) și (9) din prezentul articol. (2) Contravenția prevăzută la art. 10 alin. (1) se sancționează cu amendă de la 10.000 lei la 25.000 lei.(3) Contravenția constând în nerespectarea dispozițiilor art. 10 alin. (5) se sancționează cu amendă de la 5.000 lei la 10.000 lei. (4) Contravenția constând în nerespectarea dispoziției art. 17 alin. (1) lit. b) se sancționează cu amendă de la 10.000 lei la 25.000 lei.(5) Contravenția constând în nerespectarea dispoziției art. 17 alin. (1) lit. h) se sancționează cu amendă de la 5.000 lei la 10.000 lei.(6) Contravenția constând în nerespectarea dispoziției art. 17 alin. (2) se sancționează cu amendă de la 10.000 lei la 25.000 lei.(7) Contravenția constând în nerespectarea dispoziției art. 18 alin. (1) se sancționează cu amendă de la 20.000 lei la 40.000 lei.(8) Constituie contravenție refuzul unui administrator al unui registru de bază de a se integra la Platforma națională de interoperabilitate și se sancționează cu amendă de la 10.000 lei la 25.000 lei și, după caz, cu răspunderea disciplinară a persoanelor care au contribuit la săvârșirea contravenției.(9) Constituie contravenție utilizarea abuzivă sau necorespunzătoare a Platformei naționale de interoperabilitate și se sancționează cu amendă de la 10.000 lei la 25.000 lei și, după caz, cu răspunderea disciplinară a persoanelor care au contribuit la săvârșirea contravenției.(10) Constatarea contravențiilor prevăzute la alin. (1) și aplicarea sancțiunii aferente se fac de către ADR. (11) Contravențiilor prevăzute de prezenta lege le sunt aplicabile dispozițiile Ordonanței Guvernului nr. 2/2001 privind regimul juridic al contravențiilor, aprobată cu modificări și completări prin Legea nr. 180/2002, cu modificările și completările ulterioare.(12) Prin derogare de la prevederile art. 28 din Ordonanța Guvernului nr. 2/2001, aprobată cu modificări și completări prin Legea nr. 180/2002, cu modificările și completările ulterioare, contravenientul poate achita, în termen de cel mult 15 zile de la data înmânării sau comunicării procesului-verbal, jumătate din cuantumul amenzii aplicate, agentul constatator făcând mențiune despre această posibilitate în procesul-verbal.(13) Sumele provenite din amenzile aplicate pentru contravențiile prevăzute de prezenta lege se fac venit integral la bugetul de stat.(14) Comitetul Tehnico-Economic pentru Societatea Informațională, înființat prin Ordonanța de urgență a Guvernului nr. 96/2012 privind stabilirea unor măsuri de reorganizare în cadrul administrației publice centrale și pentru modificarea unor acte normative, aprobată cu modificări și completări prin Legea nr. 71/2013, cu modificările și completările ulterioare, nu va emite avize conforme autorităților și instituțiilor publice care dețin registre de bază și nu le integrează cu Platforma națională de interoperabilitate în conformitate cu dispozițiile prezentei legi.


    Capitolul VI Dispoziții tranzitorii și finale

    Articolul 23

    Dispoziții tranzitorii și finale
    După intrarea în vigoare a prezentei legi și până la implementarea Platformei naționale de interoperabilitate, autoritățile și instituțiile publice care dețin registre de bază au obligația de a asigura accesul la datele din registrele de bază pentru alte autorități sau instituții publice, în scopul îndeplinirii atribuțiilor lor legale, cu respectarea standardelor de securitate, confidențialitate și protecție a datelor.


    Articolul 24

    Accesul la datele din registrele de bază până la implementarea Platformei naționale de interoperabilitate
    Accesul la datele din registrele de bază în condițiile art. 23 se realizează în baza unor acorduri bilaterale, chiar și înaintea emiterii normelor prevăzute la art. 15 alin. (2), cu respectarea prevederilor art. 10 alin. (4).

    Această lege a fost adoptată de Parlamentul României, cu respectarea prevederilor art. 75 și ale art. 76 alin. (2) din Constituția României, republicată.
    PREȘEDINTELE CAMEREI DEPUTAȚILOR
    ION-MARCEL CIOLACU
    p. PREȘEDINTELE SENATULUI,
    ALINA-ȘTEFANIA GORGHIU

    București, 20 iulie 2022.
    Nr. 242.
    -----