« Secţiuni « Arii de practică « BusinessProtectiveLitigation
Cyberlaw
CărţiProfesionişti
SAVESCU & ASOCIATII
 

Normele privind reglementarea, recunoașterea, aprobarea sau acceptarea procedurii de identificare a persoanei la distanță utilizând mijloace video
24.11.2021 | JURIDICE.ro

JURIDICE - In Law We Trust ZRVP

În Monitorul Oficial, Partea I nr. 1119 din 24 noiembrie 2021 au fost publicate Normele privind reglementarea, recunoașterea, aprobarea sau acceptarea procedurii de identificare a persoanei la distanță utilizând mijloace video, din 11.11.2021.

CAPITOLUL I
Dispoziţii generale

Art. 1. – Prezentele norme stabilesc cerinţele minime tehnice şi de securitate privind reglementarea, recunoaşterea, aprobarea sau acceptarea procedurii de identificare a persoanei la distanţă utilizând mijloace video de către furnizorii de servicii de identificare, ca formă a „identificării electronice” definite în Regulamentul eIDAS.

Art. 2. – În înţelesul prezentelor norme, termenii, expresiile şi abrevierile de mai jos au următoarele semnificaţii:

a) furnizor de servicii de identificare a persoanei la distanţă utilizând mijloace video, denumit, pe scurt, în continuare, furnizor de servicii de identificare, înseamnă o entitate juridică de drept public sau privat care identifică persoana la distanţă prin mijloace video în scopurile precizate în prezentele norme, respectiv prestatorii de servicii de încredere, prestatorii de servicii de plată, instituţiile de credit, instituţiile financiare nebancare, organismele din sectorul public, terţul de verificare a identităţii;

b) identificarea persoanei la distanţă prin mijloace video – procesul de identificare şi verificare a identităţii persoanei fizice, în baza documentelor prezentate, a imaginilor capturate şi/sau a informaţiilor comunicate de persoana fizică, utilizând mijloace video;

c) mijloace video – mijloace de identificare la distanţă ce utilizează tehnologii care presupun fie transmiterea audiovideo de succesiuni de imagini în mişcare, în timp real, în cadrul unei videoconferinţe cu prezenţa unui operator uman, fie transmiterea de succesiuni de imagini în mişcare reprezentând capturi video cu persoana fizică, fără prezenţa unui operator uman, cu verificarea ulterioară a acestora de către furnizorul de servicii de identificare (cu sau fără implicarea unui operator uman);

d) mijloace digitale – mijloace care utilizează tehnologii digitale inovatoare care folosesc, printre altele, inteligenţa artificială şi/sau procese de învăţare automată (machine learning), cum ar fi aplicaţiile care realizează identificarea unei persoane şi/sau verificări ale actelor de identitate (prin capturi de imagini digitale, măsurători ale semnalmentelor biometrice faciale, comparare de imagini), tehnologia NFC (comunicare în câmp apropiat) încorporată în documentele electronice de identitate;

e) sistem informatic pentru identificarea persoanei la distanţă prin mijloace video reprezintă ansamblul de elemente implicate în procesul de identificare a persoanei la distanţă prin mijloace video, prin care se transmit datele, imaginile capturate/încărcate şi/sau informaţiile comunicate de persoana fizică, denumit în continuare sistem;

f) Regulament eIDAS – Regulamentul (UE) 910/2014 al Parlamentului European şi al Consiliului Uniunii Europene din 23 iulie 2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE;

g) prestator de servicii de încredere – o persoană fizică sau juridică care prestează unul sau mai multe servicii de încredere ca prestator de servicii de încredere calificat sau necalificat, conform art. 3 19 din Regulamentul eIDAS;

h) prestator de servicii de încredere calificat – un prestator de servicii de încredere care prestează unul sau mai multe servicii de încredere calificate şi căruia i se acordă statutul de calificat de către organismul de supraveghere, conform art. 3 20 din Regulamentul eIDAS;

i) serviciu de încredere – un serviciu electronic prestat în mod obişnuit în schimbul unei remuneraţii, care constă în: (a) crearea, verificarea şi validarea semnăturilor electronice, a sigiliilor electronice sau a mărcilor temporale electronice, a serviciilor de distribuţie electronică înregistrată şi a certificatelor aferente serviciilor respective; sau (b) crearea, verificarea şi validarea certificatelor pentru autentificarea unui site internet; sau (c) păstrarea semnăturilor electronice, a sigiliilor sau a certificatelor aferente serviciilor respective, conform art. 3 16 din Regulamentul eIDAS;

j) serviciu de încredere calificat – un serviciu de încredere care îndeplineşte cerinţele aplicabile prevăzute de Regulamentul eIDAS, conform art. 3 17 din Regulamentul eIDAS;

k) organism de supraveghere – conform 17 din Regulament eIDAS;

l) prestatorii de servicii de plată – conform art. 2 61 din Regulamentul Băncii Naţionale a României nr. 3/2018 privind monitorizarea infrastructurilor pieţei financiare şi a instrumentelor de plată, cu modificările şi completările ulterioare;

m) ADR – Autoritatea pentru Digitalizarea României, denumită în continuare Autoritatea;

n) ETSI – Institutul European de Standardizare în Telecomunicaţii (European Telecommunications Standards Institute);

o) organism din sectorul public – o autoritate naţională, regională sau locală, un organism de drept public sau o asociaţie formată din una sau mai multe astfel de autorităţi sau din unul sau mai multe astfel de organisme de drept public; sau o entitate privată mandatată de cel puţin una dintre aceste autorităţi, organisme sau asociaţii să presteze servicii publice atunci când acţionează în temeiul unui astfel de mandat, conform art. 3 7 din Regulamentul eIDAS;

p) terţul de verificare a identităţii persoanei prin mijloace video reprezintă un emitent al mijloacelor de identificare electronică ce utilizează mijloace video sau o persoană juridică aflată într-o relaţie contractuală cu o entitate publică sau privată, în scopul furnizării serviciilor de identificare la distanţă a persoanei utilizând mijloace video, înscris în lista specificată la 9 din prezentele norme, denumit în continuare terţ;

q) emitent al mijloacelor de identificare electronică reprezintă o persoană juridică ce operează un sistem de identificare electronică, aşa cum este acesta definit conform art. 3 4 din Regulamentul eIDAS, prin intermediul căruia furnizează servicii de identificare electronică către beneficiari, inclusiv către organismele din sectorul public.

Art. 3. – (1) În sensul prezentelor norme, activitatea de identificare a persoanei la distanţă prin mijloace video de către furnizori de servicii de identificare a persoanei la distanţă prin mijloace video, înregistraţi în România, se poate efectua numai după obţinerea avizului emis de către Autoritatea pentru Digitalizarea României.

(2) Autoritatea pentru Digitalizarea României va emite avizul conform modelului din anexa nr. 4 în termen de 30 de zile calendaristice de la depunerea documentaţiei complete.

Art. 4. – (1) Persoana juridică stabilită şi autorizată să presteze astfel de servicii în orice stat membru al Uniunii Europene (UE) care doreşte să desfăşoare activităţi de identificare a persoanei la distanţă utilizând mijloace video, pentru cetăţenii români sau pe teritoriul României, poate desfăşura această activitate în condiţiile prezentului articol.

(2) În cazul în care entităţile publice sau private utilizează un furnizor de servicii de identificare a persoanei la distanţă prin mijloace video, stabilit într-un alt stat membru UE, eventualele prejudicii cauzate de o identificare incorectă a clientului întră în responsabilitatea entităţii care a contractat serviciile de identificare, denumită în continuare entitatea contractantă.

(3) Pentru acoperirea eventualelor prejudicii menţionate la alin. (2), entitatea contractantă va încheia o poliţă de asigurare de răspundere civilă faţă de terţi, în valoare de 100.000 euro (poliţa de asigurare trebuie să fie valabilă/reînnoită pe toată perioada de valabilitate a contractului de prestări servicii de identificare a persoanei).

(4) Entitatea contractantă are obligaţia ca la încheierea contractului de prestări servicii de identificare să solicite furnizorului de servicii de identificare a persoanei prin mijloace video raportul de evaluare a conformităţii pentru soluţia tehnică utilizată, întocmit de către un organism de evaluare a conformităţii în concordanţă cu prevederile Regulamentului eIDAS.

(5) Documentele menţionate la alin. (3) şi (4), respectiv contractul de prestări servicii, poliţa de asigurare şi raportul de evaluare a conformităţii, vor fi depuse la Autoritate.

Art. 5. – (1) Identificarea persoanei la distanţă utilizând mijloace video se realizează cu ajutorul unui sistem.

(2) Pentru verificarea identităţii persoanei la distanţă utilizând mijloace video se utilizează atât documentele de identitate, a căror imagine este capturată prin mijlocul video, cât şi date sau informaţii obţinute din surse credibile şi independente, în măsura în care sunt disponibile, inclusiv pe bază de acorduri/parteneriate încheiate între instituţii publice sau private şi furnizorii de servicii de identificare, de exemplu: baze de date ale organismelor din sectorul public, baze de date private care conţin informaţii de la autorităţi publice, rapoarte de audit, documente fiscale, extrase de cont etc.

(3) Consultarea surselor de date este efectuată cu respectarea cerinţelor aplicabile în materia protecţiei datelor cu caracter personal de informare a persoanei vizate, respectiv a persoanei supuse identificării la distanţă prin mijloace video, în mod prealabil efectuării unei activităţi de prelucrare de date, respectiv consultarea surselor de date prevăzute la alin. (2).

(4) Se interzice utilizarea datelor/informaţiilor obţinute de către furnizorii de servicii de identificare în procesul de identificare a persoanei la distanţă prin mijloace video din diverse surse în alte scopuri, fără informarea/acordul persoanei sau alte prevederi legale în acest sens.

Art. 6. – (1) Prestatorul de servicii de încredere poate realiza identificarea persoanei la distanţă utilizând mijloace video fie în vederea eliberării de certificate calificate, în conformitate cu prevederile art. 24 alin. (1) lit. (d) din Regulamentul eIDAS, fie în calitate de terţ de verificare a identităţii persoanei, în conformitate cu prevederile prezentelor norme. Pentru situaţiile în care este necesară demonstrarea îndeplinirii cerinţelor art. 26 din Regulamentul eIDAS cu privire la o semnătură electronică avansată creată pe baza unui certificat necalificat, emis în urma unui proces de identificare a persoanei la distanţă utilizând mijloace video, este obligatoriu să fie demonstrată şi îndeplinirea cerinţelor de la cap. II din prezentele norme.

(2) Prestatorul de servicii de încredere poate realiza identificarea persoanei la distanţă, în vederea eliberării de certificate calificate, în conformitate cu prevederile art. 24 alin. (1) lit. (d) din Regulamentul eIDAS, fie direct, fie prin intermediul unui terţ de verificare a identităţii.

(3) Prestatorul de servicii de încredere care intenţionează să realizeze identificarea persoanei la distanţă utilizând mijloace video, în scopul emiterii certificatelor calificate conform Regulamentului eIDAS şi/sau în calitate de terţ de verificare a identităţii persoanei, are obligaţia de a notifica Autoritatea, în calitate de organism de supraveghere, cu 30 de zile înainte de utilizarea mijloacelor video pentru identificarea persoanei la distanţă, conform modelului prezentat în anexa nr. 1.

(4) Notificarea prevăzută la alin. (3) va fi însoţită de următoarele documente:

a) descrierea soluţiei tehnice şi a echipamentelor utilizate în procesul de identificare a persoanei la distanţă utilizând mijloace video;

b) raportul de evaluare a conformităţii emis de un organism de evaluare a conformităţii, aşa cum este definit în Regulamentul eIDAS şi în procedura de acordare, suspendare şi retragere a statutului de prestator de servicii de încredere calificat, care să ateste inclusiv îndeplinirea cerinţelor prevăzute în prezentele norme;

c) declaraţia reprezentantului legal că prestatorul de servicii de încredere dispune de politici şi proceduri de identificare şi diminuare a riscului asociat metodei de identificare, inclusiv personal specializat în conformitate cu prevederile Regulamentului eIDAS şi ale standardelor ETSI;

d) lista standardelor recomandate de către ETSI şi Comisia Europeană, în cazul în care au fost definite la nivelul Uniunii Europene, în baza cărora se realizează identificarea video;

e) declaraţia pe propria răspundere a reprezentantului legal că prestatorul de servicii de încredere a adoptat şi implementat proceduri privind protecţia datelor cu caracter personal în procesul de identificare a persoanei la distanţă utilizând mijloace video, în concordanţă cu legislaţia în domeniu.

Art. 7. – (1) Prestatorii de servicii de plată, instituţiile de credit şi instituţiile financiare nebancare care doresc să utilizeze mijloace video pentru identificarea clienţilor la distanţă, cu respectarea cerinţelor legale aplicabile în materia prevenirii şi combaterii spălării banilor şi finanţării terorismului, au obligaţia de a notifica Autoritatea cu 30 de zile înainte de utilizarea mijloacelor video pentru identificarea clienţilor la distanţă, conform modelului prezentat în anexa nr. 1.

(2) Notificarea va fi însoţită de următoarele documente:

a) descrierea soluţiei tehnice şi a echipamentelor utilizate în procesul de identificare a persoanei la distanţă utilizând mijloace video (poate fi inclusă în documentaţia de avizare a instrumentului financiar de plată cu acces la distanţă);

b) raport de audit în care să se specifice conformitatea cu cerinţele prevăzute în prezentele norme, realizat de un auditor din lista auditorilor IT publicată pe site-ul Autorităţii (referinţele la identificarea utilizând mijloace video pot fi incluse în raportul de audit întocmit pentru avizarea instrumentului financiar de plată cu acces la distanţă);

c) o poliţă de asigurare de răspundere civilă faţă de terţi, în valoare de 100.000 euro, care să acopere prejudiciile cauzate de identificarea incorectă a clientului (poliţa de asigurare trebuie să fie valabilă/reînnoită pe toată perioada cât prestatorul de servicii de plată utilizează metoda de identificare a persoanei la distanţă utilizând mijloace video);

d) declaraţia reprezentantului legal că prestatorul de servicii de plată dispune de politici şi proceduri de identificare şi diminuare a riscului asociat metodei de identificare, inclusiv personal specializat în conformitate cu prevederile Legii 129/2019 pentru prevenirea şi combaterea spălării banilor şi finanţării terorismului, precum şi pentru modificarea şi completarea unor acte normative, cu modificările şi completările ulterioare;

e) lista standardelor recomandate de către ETSI şi Comisia Europeană, în cazul în care au fost definite la nivelul Uniunii Europene, în baza cărora se realizează identificarea video;

f) o declaraţie pe proprie răspundere a reprezentantului legal al prestatorului de servicii de plată din care să rezulte că prestatorul a adoptat şi implementat proceduri privind protecţia datelor cu caracter personal în procesul de identificare a persoanei la distanţă utilizând mijloace video, în concordanţă cu legislaţia în domeniu.

(3) În cazul în care prestatorul de servicii de plată, instituţia de credit sau instituţia financiară nebancară va utiliza, pentru identificarea persoanei la distanţă utilizând mijloace video, servicii şi/sau sisteme/procese furnizate de către un terţ de verificare a identităţii sau de un prestator de servicii de încredere calificate, va depune în locul documentelor prevăzute la alin. (2) o copie a contractului încheiat cu terţul/prestatorul de servicii de încredere, precum şi declaraţia reprezentantului legal că dispune de politici şi proceduri interne privind utilizarea acestora.

(4) În cazul în care soluţia tehnică utilizată de către prestatorul de servicii de plată, instituţia de credit sau instituţia financiară nebancară pentru identificarea persoanei la distanţă utilizând mijloace video este utilizată de către un prestator de servicii de încredere în scopul furnizării de servicii de încredere calificate, este obligatoriu ca prestatorul de servicii de plată, instituţia de credit sau instituţia financiară nebancară să prezinte Autorităţii raportul de evaluare a conformităţii soluţiei, întocmit de către un organism de evaluare a conformităţii, în concordanţă cu prevederile Regulamentului eIDAS.

Art. 8. – (1) Organismul din sectorul public care va pune la dispoziţie servicii publice online va efectua o analiză a informaţiilor utilizate/stocate pe platformă, pe baza căreia va stabili nivelul de asigurare pentru mijloacele de identificare electronică pe care le va utiliza sau accepta pentru autentificare în sistem, în conformitate cu prevederile Regulamentului de punere în aplicare (UE) 2015/1.502 al Comisiei din 8 septembrie 2015 de stabilire a unor specificaţii şi proceduri tehnice minime pentru nivelurile de asigurare a încrederii ale mijloacelor de identificare electronică în temeiul art. 8 alin. (3) din Regulamentul eIDAS.

(2) Organismul din sectorul public care utilizează identificarea persoanei la distanţă utilizând mijloace video, în vederea emiterii mijloacelor de identificare electronice folosite, va efectua auditarea sistemului de identificare electronică în raport cu nivelul de asigurare stabilit pentru platforma de servicii publice şi prevederile cadrului naţional de interoperabilitate.

(3) În procesul de auditare, auditorul va avea în vedere cerinţele din prezentele norme şi va menţiona în clar opinia sa cu privire la respectarea acestora, în cadrul raportului de audit.

(4) Totodată, în procesul de auditare, auditorul va avea în vedere şi analiza informaţiilor întocmită de către organismul din sectorul public, precum şi concordanţa acesteia cu procedurile şi procesele desfăşurate pentru identificarea persoanei la distanţă utilizând mijloace video.

(5) Organismul din sectorul public va informa Autoritatea cu 30 de zile înainte de utilizarea mijloacelor video pentru identificarea persoanei la distanţă, conform modelului prezentat în anexa nr. 1, şi va depune raportul de audit întocmit în acest sens.

(6) Reauditarea platformei de identificare se va realiza la fiecare 24 de luni, dacă pe această perioadă nu s-au făcut modificări.

(7) Odată cu raportul de audit va fi depus şi actul administrativ al organismului din sectorul public prin care s-a stabilit nivelul de asigurare al platformei prin care sunt puse la dispoziţie serviciile publice online.

(8) Organismele din sectorul public au obligaţia de a realiza proceduri interne cu privire la identificarea persoanei la distanţă utilizând mijloace video pentru punerea la dispoziţie a serviciilor publice online.

(9) În cazul în care organismul din sectorul public va utiliza, pentru identificarea persoanei la distanţă prin mijloace video, serviciile furnizate de către un terţ, acesta va depune la Autoritate o copie a contractului încheiat în acest sens, înlocuind astfel raportul de audit.

(10) În cazul în care organismul din sectorul public permite autentificarea la serviciile publice online exclusiv prin utilizarea unor mijloace de identificare electronică puse la dispoziţie de către un emitent terţ, acesta va depune la Autoritate o copie a contractului încheiat în acest sens, înlocuind astfel raportul de audit.

(11) În cazul în care în urma analizei informaţiilor utilizate/stocate pe platformă rezultă necesitatea unui nivel de asigurare ridicat, raportul de audit pentru sistemul de identificare a persoanei utilizând mijloace video trebuie să fie întocmit de către un organism de evaluare a conformităţii, astfel cum este definit în Regulamentul eIDAS.

Art. 9. – (1) În procesul de verificare a identităţii persoanei la distanţă utilizând mijloace video se pot utiliza serviciile furnizate de către terţi în baza unui contract.

(2) Terţul care efectuează identificarea persoanei la distanţă utilizând mijloace video în numele unei alte entităţi este obligat să respecte prevederile prezentelor norme.

(3) Lista terţilor care pot efectua identificarea persoanei la distanţă utilizând mijloace video va fi gestionată de către Autoritate şi publicată pe pagina de internet a acesteia.

(4) Contractul pentru furnizarea serviciilor de identificare a persoanei la distanţă utilizând mijloace video, încheiat de terţ cu entităţi publice sau private, va conţine clauze referitoare la modalităţile de despăgubire a persoanelor prejudiciate, în cazul producerii unui eventual prejudiciu.

(5) Procedura privind înscrierea/radierea terţilor în/din lista terţilor de verificare, precum şi cerinţele de înscriere se regăsesc în anexa nr. 3.

(6) Prin excepţie de la alin. (5) şi de la anexa nr. 3, dosarul de notificare a Autorităţii va conţine doar contractul încheiat între părţi în cazul în care un prestator de servicii de încredere înregistrat în România acţionează ca terţ de identificare, utilizând aceleaşi procese şi sisteme pentru emiterea certificatelor calificate pentru care a îndeplinit cerinţele prezentelor norme şi pentru care deţine aviz eliberat de Autoritate.

Art. 10. – (1) Identificarea la distanţă utilizând mijloace video poate fi realizată prin mijloace de verificare automatizate, fără operator uman, sau prin mijloace de verificare cu operator uman.

(2) Identificarea la distanţă utilizând mijloace video realizată cu operator uman poate fi efectuată doar de personal instruit.

(3) Persoanele care au atribuţii şi responsabilităţi în procesul de identificare a persoanei la distanţă utilizând mijloace video vor beneficia sau vor fi obligate să urmeze cursuri de pregătire profesională sau programe de instruire anuale, organizate extern sau intern.

(4) Instruirea personalului desemnat pentru realizarea identificării persoanei la distanţă utilizând mijloace video intră în responsabilitatea reprezentantului legal al furnizorului de servicii de identificare sau a unei persoane desemnate de reprezentantul legal în acest sens.

(5) Atribuţiile şi responsabilităţile personalului care realizează identificarea persoanei la distanţă utilizând mijloace video vor fi stabilite prin act administrativ al persoanei care are competenţa de numire în funcţie şi vor fi prevăzute în fişa postului.

(6) Identificarea la distanţă utilizând mijloace video realizată prin mijloace de verificare automatizate, fără operator uman, va utiliza mijloace digitale în conformitate cu standardele în vigoare, dispoziţiile din prezentele norme referitoare la personalul instruit sau operatorul uman neaplicându-se în acest caz.

Art. 11. – (1) În procesul de identificare a persoanei la distanţă utilizând mijloace video sunt permise numai documentele de identitate, identificabile în mod clar şi aflate în termenul de valabilitate, emise de o autoritate publică competentă.

(2) Documentele de identitate acceptate în procesul de identificare a persoanei la distanţă utilizând mijloace video sunt specificate în anexa nr. 2.

Art. 12. – Furnizorii de servicii de identificare sunt obligaţi să respecte toate dispoziţiile legale cu privire la protecţia datelor cu caracter personal prevăzute în Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE şi în Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), cu modificările ulterioare.

CAPITOLUL II
Cerinţe în vederea realizării procedurii de identificare a persoanei la distanţă utilizând mijloace video

Art. 13. – (1) Înainte de elaborarea unei proceduri de identificare a persoanei la distanţă utilizând mijloace video, furnizorul de servicii de identificare va realiza o analiză de risc.

(2) Analiza de risc trebuie să acopere în special riscurile legate de prezentarea documentelor de identitate falsificate, a canalelor de comunicare, precum şi riscurile privind conservarea incorectă a probelor.

(3) Furnizorul de servicii de identificare a persoanei la distanţă utilizând mijloace video trebuie să implementeze cerinţele tehnice şi de securitate care permit verificarea autenticităţii, validităţii şi integrităţii documentelor de identitate utilizate în procesul de identificare video, în concordanţă cu standardele în domeniu.

Art. 14. – (1) Personalul implicat în procesul de identificare a persoanei la distanţă utilizând mijloace video trebuie să îndeplinească cerinţele prevăzute la art. 10.

(2) Atribuţiile şi responsabilităţile personalului care realizează identificarea persoanei la distanţă utilizând mijloace video trebuie să fie în concordanţă cu procedurile interne de identificare video şi specificate în fişa postului.

Art. 15. – (1) Procesul de identificare a persoanei la distanţă utilizând mijloace video trebuie efectuat într-o locaţie care să asigure securitatea şi integritatea informaţiilor colectate.

(2) Securitatea fizică presupune luarea următoarelor măsuri:

a) accesul controlat la echipamentele utilizate în procesul de identificare video, cu precizarea mai multor niveluri de drepturi de acces ale personalului care operează sistemele;

b) utilizarea echipamentelor speciale de evitare şi detecţie a intruziunilor fizice.

Art. 16. – (1) Anterior demarării sau la iniţierea procedurii de identificare a persoanei la distanţă utilizând mijloace video, persoana care este supusă identificării trebuie să îşi dea acordul în mod expres în vederea parcurgerii procesului de identificare şi asupra scopului identificării, precum şi acordul cu privire la realizarea de fotografii şi/sau capturi de imagini ale sale şi ale documentului de identitate.

(2) Exprimarea consimţământului va fi păstrată împreună cu procesul de identificare.

(3) Furnizorul de servicii de identificare este responsabil pentru luarea tuturor măsurilor care să asigure confidenţialitatea datelor de identificare ale persoanei, securitatea transmisiei, autenticitatea, integritatea şi conservarea înregistrării.

Art. 17. – La verificarea documentelor de identitate vor fi avute în vedere următoarele aspecte, dar fără a se limita la acestea:

a) starea documentului de identitate, asigurându-se că acesta nu este deteriorat sau nu are elemente detectabile de falsificare;

b) existenţa elementelor de securitate optică/vizuală, după caz;

c) să ceară persoanei care parcurge procedura de identificare a persoanei la distanţă utilizând mijloace video să încline documentul pe orizontală şi/sau verticală în faţa dispozitivului video de identificare;

d) verificarea a cel puţin trei elemente de securitate din categorii diferite;

e) verificarea altor elemente, dacă este cazul, cum ar fi: formatul documentului, dimensiunea şi distanţarea caracterelor şi fontul tipografic, în funcţie de tipul de document analizat;

f) verificarea conţinutului caracteristicilor individuale găsite în document, şi anume, compararea fotografiilor primare şi secundare – fotografia realizată cu imprimare laser cu cea fantomă (monocromă).

Art. 18. – La verificarea identităţii persoanei se au în vedere următoarele aspecte, dar fără a se limita la acestea:

a) să se asigure că fotografia şi elementele înscrise pe documentul de identitate corespund persoanei care parcurge procedura de identificare a persoanei la distanţă utilizând mijloace video;

b) să se asigure că informaţiile conţinute în documentul de identificare sunt corecte şi valabile, în raport cu persoana care parcurge procedura de identificare a persoanei la distanţă utilizând mijloace video;

c) să se asigure că informaţiile furnizate de persoana care parcurge procedura de identificare a persoanei la distanţă utilizând mijloace video sunt corecte;

d) tipul şi secvenţa de întrebări adresate în procesul de identificare nu pot fi identice în sesiunile de identificare consecutive, dacă este cazul, în lipsa informaţiilor menţionate la lit. a), b), c) sau f);

e) în cazul în care identificarea persoanei la distanţă prin metode video se realizează în mod automatizat, solicitările sau secvenţele video trebuie să conţină un element aleatoriu pentru a preveni riscul de preînregistrare a procesului de identificare la distanţă prin metode video;

f) să se efectueze verificarea încrucişată a informaţiilor furnizate de persoana care parcurge procedura de identificare a persoanei la distanţă utilizând mijloace video şi a informaţiilor rezultate din calculul automat al citirii caracterelor MRZ, atunci când este posibil;

g) să se solicite, dacă este cazul, alte documente şi/sau informaţii prin care să se verifice identitatea.

Art. 19. – Cerinţele tehnice şi organizatorice în procesul de identificare a persoanei la distanţă utilizând mijloace video sunt următoarele:

a) identificarea persoanei la distanţă prin mijloace video trebuie efectuată în timp real, într-o sesiune unică şi fără întreruperi/pauze, în cazul unei videoconferinţe care necesită operator uman, sau prin mijloace video ce vor fi verificate ulterior, în termen de maximum 24 de ore de la momentul înregistrării video, atât timp cât se respectă toate celelalte prevederi din prezentele norme;

b) integritatea şi confidenţialitatea comunicării trebuie asigurată în mod corespunzător prin utilizarea unui canal criptat;

c) înregistrarea trebuie să prevadă în mod clar data şi ora, fie în cuprinsul acesteia, fie în metadate;

d) calitatea comunicării trebuie să fie adecvată pentru a permite identificarea clară a caracteristicilor şi elementelor de securitate ale documentului de identitate;

e) sistemul trebuie să recunoască şi să verifice cel puţin două elemente de securitate din categorii diferite ale documentului de identitate, specificate în Registrul public online al documentelor autentice de identitate şi de călătorie – PRADO;

f) furnizorul de servicii de identificare trebuie să implementeze procedurile care stau la baza proceselor de identificare a persoanei la distanţă utilizând mijloace video;

g) furnizorul de servicii de identificare trebuie să pună la dispoziţia publicului lista completă a documentelor de identificare acceptate în scopurile prevăzute de prezentele norme.

Art. 20. – (1) Dacă nu sunt îndeplinite condiţiile tehnice necesare desfăşurării corespunzătoare a procesului de verificare a identităţii, de exemplu: în cazuri de calitate slabă a imaginii, condiţii slabe de lumină sau sunet ori întreruperi în transmisia video, procesul de identificare a persoanei la distanţă utilizând mijloace video trebuie întrerupt, urmând a se relua.

(2) Ori de câte ori documentul de identitate prezentat în timpul procesului de identificare a persoanei la distanţă utilizând mijloace video oferă îndoieli cu privire la conţinutul său în ceea ce priveşte autenticitatea, actualitatea şi exactitatea informaţiilor oferite, procesul de identificare a persoanei la distanţă prin mijloace video se va întrerupe, caz în care furnizorul de servicii de identificare va documenta motivele întreruperii pentru evidenţe interne şi pentru controale/audituri externe viitoare.

(3) Ori de câte ori, în timpul identificării utilizând mijloace video, există suspiciuni cu privire la veridicitatea elementelor de identificare, procesul de identificare nu produce efectele dovedirii elementelor de identificare pentru care este destinat, acesta va fi întrerupt, caz în care furnizorul de servicii de identificare va documenta motivele întreruperii pentru evidenţe interne şi pentru controale/audituri externe viitoare.

Art. 21. – (1) Pe parcursul procesului de identificare a persoanei la distanţă utilizând mijloace video este obligatoriu să se utilizeze un factor de autentificare suplimentar, prin transmiterea către persoana care parcurge procedura de identificare a persoanei la distanţă utilizând mijloace video a unui cod de unică folosinţă (One Time Password – OTP) sau prin transmiterea unui link cu o durată limitată, special creat în acest scop, generat în mod individual (prin e-mail sau SMS).

(2) Procedura de identificare a persoanei la distanţă utilizând mijloace video poate fi încheiată numai dacă a fost finalizată transmiterea şi validarea OTP sau numai dacă au fost finalizate transmiterea şi accesarea linkului.

Art. 22. – (1) Întregul proces de identificare a persoanei la distanţă utilizând mijloace video, în toate etapele sale, trebuie să fie înregistrat şi păstrat.

(2) Toate înregistrările audiovideo, datele şi informaţiile aferente procesului de identificare a persoanei la distanţă utilizând mijloace video vor fi păstrate într-o formă admisă în procedurile judiciare.

(3) Punerea la dispoziţia autorităţilor competente a informaţiilor obţinute prin procesul de identificare a persoanei la distanţă utilizând mijloace video se face cu respectarea prevederilor Legii nr. 363/2018 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, precum şi privind libera circulaţie a acestor date.

CAPITOLUL III
Control, supraveghere

Art. 23. – (1) Autoritatea exercită controlul şi supravegherea respectării prevederilor prezentelor norme.

(2) În vederea efectuării controlului prevăzut la alin. (1), preşedintele Autorităţii, prin decizie, desemnează şi stabileşte atribuţiile personalului de specialitate împuternicit să efectueze controlul în conformitate cu procedura aprobată de preşedinte, precum şi natura, conţinutul şi modalitatea de solicitare a informaţiilor cuprinse în documentele necesare efectuării controlului.

(3) În urma sesizărilor primite sau în urma sesizării din oficiu, personalul cu atribuţii de control efectuează acţiuni de control, cu tematică sau inopinat, în cadrul cărora poate solicita, menţionând temeiul legal şi scopul solicitării, documentele necesare pentru efectuarea controlului.

(4) În cadrul acţiunilor de control, personalul de control poate să solicite şi să primească, la faţa locului sau într-un termen stabilit, informaţii cu privire la conformitatea cu cerinţele privind identificarea persoanei la distanţă utilizând mijloace video, necesare efectuării controlului.

(5) Nerespectarea prezentelor norme se constată de către personalul de control din cadrul Autorităţii, care va întocmi un raport de constatare, semnat de către responsabilul echipei de control şi de către reprezentantul furnizorului de servicii de identificare prezent la momentul încheierii raportului, căruia i se va înmâna o copie a raportului.

(6) Autoritatea va transmite entităţii în cauză o notificare prin care îi va aduce la cunoştinţă neregulile constatate şi măsurile cu caracter obligatoriu ce trebuie luate pentru remedierea acestora, stabilind totodată şi termenul de conformare, care nu poate depăşi 45 de zile calendaristice de la data primirii acesteia.

(7) În cazul în care, după expirarea termenului de conformare prevăzut la alin. (6), entitatea în cauză nu face dovada remedierii neregulilor constatate, Autoritatea îi va retrage avizul.

Art. 24. – Următoarele fapte conduc la retragerea avizului tehnic:

a) utilizarea serviciilor de identificare a persoanei la distanţă prin mijloace video în vederea furnizării de servicii de încredere în conformitate cu Regulamentul (UE) 910/2014 fără respectarea prevederilor 6 din prezentele norme;

b) utilizarea serviciilor de identificare a persoanei la distanţă utilizând mijloace video de către prestatorii de servicii de plată fără respectarea prevederilor 7 din prezentele norme sau în lipsa unui contract valabil de furnizare de servicii de identificare a persoanei la distanţă utilizând mijloace video cu un terţ de verificare;

c) utilizarea serviciilor de identificare a persoanei la distanţă, de către un organism din sectorul public, pentru punerea la dispoziţie a serviciilor online fără respectarea prevederilor 8 din prezentele norme sau în lipsa unui contract valabil de furnizare de servicii de identificare a persoanei la distanţă utilizând mijloace video cu un terţ de verificare;

d) neîndeplinirea oricărei cerinţe prevăzute în cap. II din prezentele norme;

e) furnizarea serviciilor de identificare la distanţă a persoanei utilizând mijloace video de către un terţ de verificare fără un raport de audit valabil.

CAPITOLUL IV
Măsuri tranzitorii

Art. 25. – (1) Furnizorii de servicii de identificare la distanţă prin mijloace video au obligaţia de a se conforma obligaţiilor ce le revin în temeiul prezentelor norme în termen de 240 de zile de la data publicării acestora în Monitorul Oficial al României, Partea I.

(2) Procedurile de identificare a persoanei la distanţă prin mijloace video incluse în documentaţiile tehnice de avizare a instrumentelor financiare de plată şi acordare statut calificat pentru prestatorii de servicii de încredere depuse în termenul stabilit la alin. (1) trebuie să respecte cerinţele prezentelor norme.

CAPITOLUL V
Dispoziţii finale

Art. 26. – (1) Măsurile tehnice şi organizatorice întreprinse de furnizorii de servicii de identificare pentru îndeplinirea cerinţelor enumerate în prezentele norme vor fi în concordanţă cu tehnologia utilizată şi cu riscurile potenţiale.

(2) Furnizorii de servicii de identificare a persoanei la distanţă utilizând mijloace video au obligaţia de a implementa măsuri de securitate informatică, de a monitoriza continuu şi de a evalua anual riscurile operaţionale generate de utilizarea sistemelor informatice prin intermediul cărora se realizează identificarea persoanei la distanţă, cu respectarea legislaţiei naţionale şi a reglementărilor comunitare.

Art. 27. – (1) Monitorizarea şi controlul aplicării dispoziţiilor prezentelor norme revin Autorităţii pentru Digitalizarea României.

(2) Documentele care vor fi transmise Autorităţii, în vederea îndeplinirii atribuţiilor prevăzute la alin. (1), vor fi redactate în limba română, vor fi semnate de către reprezentantul legal al furnizorului de servicii de identificare sau de către o persoană împuternicită expres în acest sens de către acesta, iar copiile depuse vor fi certificate pentru conformitate cu originalul. Documentaţia va fi numerotată şi opisată.

(3) Documentele sus-menţionate pot fi transmise şi în format electronic, semnate cu semnătură electronică calificată.

Art. 28. – Anexele nr. 14 fac parte integrantă din prezentele norme.

Intrare în vigoare: 24 noiembrie 2021

 
Secţiuni: Cyberlaw, Data protection, Lege 9, Monitorul Oficial al României, Selected | Toate secţiunile
Cuvinte cheie: , , , , , , , , , , ,
Vă invităm să publicaţi şi dvs., chiar şi opinii cu care nu suntem de acord. JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului. Totuşi, vă rugăm să vă familiarizaţi cu obiectivele şi valorile Societătii de Stiinţe Juridice, despre care puteti ciţi aici. Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa de e-mail redactie@juridice.ro!

Lex Discipulo Laus
Gratuit pentru studenţi
Securitatea electronică este importantă pentru avocaţi
Mesaj de conştientizare susţinut de FORTINET
JURIDICE utilizează SmartBill
Concurs eseuri ZRVP

Lasă un răspuns

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.


.
PLATINUM Signature      

PLATINUM  ACADEMIC

GOLD                        

VIDEO   STANDARD