Capitolul i - Dispoziţii generale - Norma din 2021 privind reglementarea, recunoaşterea, aprobarea sau acceptarea procedurii de identificare a persoanei la distanţă utilizând mijloace video
M.Of. 1119
În vigoare Versiune de la: 24 Decembrie 2021
CAPITOLUL I:Dispoziţii generale
Art. 1
Prezentele norme stabilesc cerinţele minime tehnice şi de securitate privind reglementarea, recunoaşterea, aprobarea sau acceptarea procedurii de identificare a persoanei la distanţă utilizând mijloace video de către furnizorii de servicii de identificare, ca formă a "identificării electronice" definite în Regulamentul eIDAS.
Art. 2
În înţelesul prezentelor norme, termenii, expresiile şi abrevierile de mai jos au următoarele semnificaţii:
a)furnizor de servicii de identificare a persoanei la distanţă utilizând mijloace video, denumit, pe scurt, în continuare, furnizor de servicii de identificare, înseamnă o entitate juridică de drept public sau privat care identifică persoana la distanţă prin mijloace video în scopurile precizate în prezentele norme, respectiv prestatorii de servicii de încredere, prestatorii de servicii de plată, instituţiile de credit, instituţiile financiare nebancare, organismele din sectorul public, terţul de verificare a identităţii;
b)identificarea persoanei la distanţă prin mijloace video - procesul de identificare şi verificare a identităţii persoanei fizice, în baza documentelor prezentate, a imaginilor capturate şi/sau a informaţiilor comunicate de persoana fizică, utilizând mijloace video;
c)mijloace video - mijloace de identificare la distanţă ce utilizează tehnologii care presupun fie transmiterea audiovideo de succesiuni de imagini în mişcare, în timp real, în cadrul unei videoconferinţe cu prezenţa unui operator uman, fie transmiterea de succesiuni de imagini în mişcare reprezentând capturi video cu persoana fizică, fără prezenţa unui operator uman, cu verificarea ulterioară a acestora de către furnizorul de servicii de identificare (cu sau fără implicarea unui operator uman);
d)mijloace digitale - mijloace care utilizează tehnologii digitale inovatoare care folosesc, printre altele, inteligenţa artificială şi/sau procese de învăţare automată (machine learning), cum ar fi aplicaţiile care realizează identificarea unei persoane şi/sau verificări ale actelor de identitate (prin capturi de imagini digitale, măsurători ale semnalmentelor biometrice faciale, comparare de imagini), tehnologia NFC (comunicare în câmp apropiat) încorporată în documentele electronice de identitate;
e)sistem informatic pentru identificarea persoanei la distanţă prin mijloace video reprezintă ansamblul de elemente implicate în procesul de identificare a persoanei la distanţă prin mijloace video, prin care se transmit datele, imaginile capturate/încărcate şi/sau informaţiile comunicate de persoana fizică, denumit în continuare sistem;
f)Regulament eIDAS - Regulamentul (UE) nr. 910/2014 al Parlamentului European şi al Consiliului Uniunii Europene din 23 iulie 2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE;
g)prestator de servicii de încredere - o persoană fizică sau juridică care prestează unul sau mai multe servicii de încredere ca prestator de servicii de încredere calificat sau necalificat, conform art. 3 pct. 19 din Regulamentul eIDAS;
h)prestator de servicii de încredere calificat - un prestator de servicii de încredere care prestează unul sau mai multe servicii de încredere calificate şi căruia i se acordă statutul de calificat de către organismul de supraveghere, conform art. 3 pct. 20 din Regulamentul eIDAS;
i)serviciu de încredere - un serviciu electronic prestat în mod obişnuit în schimbul unei remuneraţii, care constă în: (a) crearea, verificarea şi validarea semnăturilor electronice, a sigiliilor electronice sau a mărcilor temporale electronice, a serviciilor de distribuţie electronică înregistrată şi a certificatelor aferente serviciilor respective; sau (b) crearea, verificarea şi validarea certificatelor pentru autentificarea unui site internet; sau (c) păstrarea semnăturilor electronice, a sigiliilor sau a certificatelor aferente serviciilor respective, conform art. 3 pct. 16 din Regulamentul eIDAS;
j)serviciu de încredere calificat - un serviciu de încredere care îndeplineşte cerinţele aplicabile prevăzute de Regulamentul eIDAS, conform art. 3 pct. 17 din Regulamentul eIDAS;
k)organism de supraveghere - conform art. 17 din Regulament eIDAS;
l)prestatorii de servicii de plată - conform art. 2 pct. 61 din Regulamentul Băncii Naţionale a României nr. 3/2018 privind monitorizarea infrastructurilor pieţei financiare şi a instrumentelor de plată, cu modificările şi completările ulterioare;
m)ADR - Autoritatea pentru Digitalizarea României, denumită în continuare Autoritatea;
n)ETSI - Institutul European de Standardizare în Telecomunicaţii (European Telecommunications Standards Institute);
o)organism din sectorul public - o autoritate naţională, regională sau locală, un organism de drept public sau o asociaţie formată din una sau mai multe astfel de autorităţi sau din unul sau mai multe astfel de organisme de drept public; sau o entitate privată mandatată de cel puţin una dintre aceste autorităţi, organisme sau asociaţii să presteze servicii publice atunci când acţionează în temeiul unui astfel de mandat, conform art. 3 pct. 7 din Regulamentul eIDAS;
p)terţul de verificare a identităţii persoanei prin mijloace video reprezintă un emitent al mijloacelor de identificare electronică ce utilizează mijloace video sau o persoană juridică aflată într-o relaţie contractuală cu o entitate publică sau privată, în scopul furnizării serviciilor de identificare la distanţă a persoanei utilizând mijloace video, înscris în lista specificată la art. 9 din prezentele norme, denumit în continuare terţ;
q)emitent al mijloacelor de identificare electronică reprezintă o persoană juridică ce operează un sistem de identificare electronică, aşa cum este acesta definit conform art. 3 pct. 4 din Regulamentul eIDAS, prin intermediul căruia furnizează servicii de identificare electronică către beneficiari, inclusiv către organismele din sectorul public.
Art. 3
(1)În sensul prezentelor norme, activitatea de identificare a persoanei la distanţă prin mijloace video de către furnizori de servicii de identificare a persoanei la distanţă prin mijloace video, înregistraţi în România, se poate efectua numai după obţinerea avizului emis de către Autoritatea pentru Digitalizarea României.
(2)Autoritatea pentru Digitalizarea României va emite avizul conform modelului din anexa nr. 4 în termen de 30 de zile calendaristice de la depunerea documentaţiei complete.
Art. 4
(1)Persoana juridică stabilită şi autorizată să presteze astfel de servicii în orice stat membru al Uniunii Europene (UE) care doreşte să desfăşoare activităţi de identificare a persoanei la distanţă utilizând mijloace video, pentru cetăţenii români sau pe teritoriul României, poate desfăşura această activitate în condiţiile prezentului articol.
(2)În cazul în care entităţile publice sau private utilizează un furnizor de servicii de identificare a persoanei la distanţă prin mijloace video, stabilit într-un alt stat membru UE‚ eventualele prejudicii cauzate de o identificare incorectă a clientului întră în responsabilitatea entităţii care a contractat serviciile de identificare, denumită în continuare entitatea contractantă.
(3)Pentru acoperirea eventualelor prejudicii menţionate la alin. (2), entitatea contractantă va încheia o poliţă de asigurare de răspundere civilă faţă de terţi, în valoare de 100.000 euro (poliţa de asigurare trebuie să fie valabilă/reînnoită pe toată perioada de valabilitate a contractului de prestări servicii de identificare a persoanei).
(4)Entitatea contractantă are obligaţia ca la încheierea contractului de prestări servicii de identificare să solicite furnizorului de servicii de identificare a persoanei prin mijloace video raportul de evaluare a conformităţii pentru soluţia tehnică utilizată, întocmit de către un organism de evaluare a conformităţii în concordanţă cu prevederile Regulamentului eIDAS.
(5)Documentele menţionate la alin. (3) şi (4), respectiv contractul de prestări servicii, poliţa de asigurare şi raportul de evaluare a conformităţii, vor fi depuse la Autoritate.
Art. 5
(1)Identificarea persoanei la distanţă utilizând mijloace video se realizează cu ajutorul unui sistem.
(2)Pentru verificarea identităţii persoanei la distanţă utilizând mijloace video se utilizează atât documentele de identitate, a căror imagine este capturată prin mijlocul video, cât şi date sau informaţii obţinute din surse credibile şi independente, în măsura în care sunt disponibile, inclusiv pe bază de acorduri/parteneriate încheiate între instituţii publice sau private şi furnizorii de servicii de identificare, de exemplu: baze de date ale organismelor din sectorul public, baze de date private care conţin informaţii de la autorităţi publice, rapoarte de audit, documente fiscale, extrase de cont etc.
(3)Consultarea surselor de date este efectuată cu respectarea cerinţelor aplicabile în materia protecţiei datelor cu caracter personal de informare a persoanei vizate, respectiv a persoanei supuse identificării la distanţă prin mijloace video, în mod prealabil efectuării unei activităţi de prelucrare de date, respectiv consultarea surselor de date prevăzute la alin. (2).
(4)Se interzice utilizarea datelor/informaţiilor obţinute de către furnizorii de servicii de identificare în procesul de identificare a persoanei la distanţă prin mijloace video din diverse surse în alte scopuri, fără informarea/acordul persoanei sau alte prevederi legale în acest sens.
Art. 6
(1)Prestatorul de servicii de încredere poate realiza identificarea persoanei la distanţă utilizând mijloace video fie în vederea eliberării de certificate calificate, în conformitate cu prevederile art. 24 alin. (1) lit. (d) din Regulamentul eIDAS, fie în calitate de terţ de verificare a identităţii persoanei, în conformitate cu prevederile prezentelor norme. Pentru situaţiile în care este necesară demonstrarea îndeplinirii cerinţelor art. 26 din Regulamentul eIDAS cu privire la o semnătură electronică avansată creată pe baza unui certificat necalificat, emis în urma unui proces de identificare a persoanei la distanţă utilizând mijloace video, este obligatoriu să fie demonstrată şi îndeplinirea cerinţelor de la cap. II din prezentele norme.
(2)Prestatorul de servicii de încredere poate realiza identificarea persoanei la distanţă, în vederea eliberării de certificate calificate, în conformitate cu prevederile art. 24 alin. (1) lit. (d) din Regulamentul eIDAS, fie direct, fie prin intermediul unui terţ de verificare a identităţii.
(3)Prestatorul de servicii de încredere care intenţionează să realizeze identificarea persoanei la distanţă utilizând mijloace video, în scopul emiterii certificatelor calificate conform Regulamentului eIDAS şi/sau în calitate de terţ de verificare a identităţii persoanei, are obligaţia de a notifica Autoritatea, în calitate de organism de supraveghere, cu 30 de zile înainte de utilizarea mijloacelor video pentru identificarea persoanei la distanţă, conform modelului prezentat în anexa nr. 1.
(4)Notificarea prevăzută la alin. (3) va fi însoţită de următoarele documente:
a)descrierea soluţiei tehnice şi a echipamentelor utilizate în procesul de identificare a persoanei la distanţă utilizând mijloace video;
b)raportul de evaluare a conformităţii emis de un organism de evaluare a conformităţii, aşa cum este definit în Regulamentul eIDAS şi în procedura de acordare, suspendare şi retragere a statutului de prestator de servicii de încredere calificat, care să ateste inclusiv îndeplinirea cerinţelor prevăzute în prezentele norme;
c)declaraţia reprezentantului legal că prestatorul de servicii de încredere dispune de politici şi proceduri de identificare şi diminuare a riscului asociat metodei de identificare, inclusiv personal specializat în conformitate cu prevederile Regulamentului eIDAS şi ale standardelor ETSI;
d)lista standardelor recomandate de către ETSI şi Comisia Europeană, în cazul în care au fost definite la nivelul Uniunii Europene, în baza cărora se realizează identificarea video;
e)declaraţia pe propria răspundere a reprezentantului legal că prestatorul de servicii de încredere a adoptat şi implementat proceduri privind protecţia datelor cu caracter personal în procesul de identificare a persoanei la distanţă utilizând mijloace video, în concordanţă cu legislaţia în domeniu.
Art. 7
(1)Prestatorii de servicii de plată, instituţiile de credit şi instituţiile financiare nebancare care doresc să utilizeze mijloace video pentru identificarea clienţilor la distanţă, cu respectarea cerinţelor legale aplicabile în materia prevenirii şi combaterii spălării banilor şi finanţării terorismului, au obligaţia de a notifica Autoritatea cu 30 de zile înainte de utilizarea mijloacelor video pentru identificarea clienţilor la distanţă, conform modelului prezentat în anexa nr. 1.
(2)Notificarea va fi însoţită de următoarele documente:
a)descrierea soluţiei tehnice şi a echipamentelor utilizate în procesul de identificare a persoanei la distanţă utilizând mijloace video (poate fi inclusă în documentaţia de avizare a instrumentului financiar de plată cu acces la distanţă);
b)raport de audit în care să se specifice conformitatea cu cerinţele prevăzute în prezentele norme, realizat de un auditor din lista auditorilor IT publicată pe site-ul Autorităţii (referinţele la identificarea utilizând mijloace video pot fi incluse în raportul de audit întocmit pentru avizarea instrumentului financiar de plată cu acces la distanţă);
c)o poliţă de asigurare de răspundere civilă faţă de terţi, în valoare de 100.000 euro, care să acopere prejudiciile cauzate de identificarea incorectă a clientului (poliţa de asigurare trebuie să fie valabilă/reînnoită pe toată perioada cât prestatorul de servicii de plată utilizează metoda de identificare a persoanei la distanţă utilizând mijloace video);
d)declaraţia reprezentantului legal că prestatorul de servicii de plată dispune de politici şi proceduri de identificare şi diminuare a riscului asociat metodei de identificare, inclusiv personal specializat în conformitate cu prevederile Legii nr. 129/2019 pentru prevenirea şi combaterea spălării banilor şi finanţării terorismului, precum şi pentru modificarea şi completarea unor acte normative, cu modificările şi completările ulterioare;
e)lista standardelor recomandate de către ETSI şi Comisia Europeană, în cazul în care au fost definite la nivelul Uniunii Europene, în baza cărora se realizează identificarea video;
f)o declaraţie pe proprie răspundere a reprezentantului legal al prestatorului de servicii de plată din care să rezulte că prestatorul a adoptat şi implementat proceduri privind protecţia datelor cu caracter personal în procesul de identificare a persoanei la distanţă utilizând mijloace video, în concordanţă cu legislaţia în domeniu.
(3)În cazul în care prestatorul de servicii de plată, instituţia de credit sau instituţia financiară nebancară va utiliza, pentru identificarea persoanei la distanţă utilizând mijloace video, servicii şi/sau sisteme/procese furnizate de către un terţ de verificare a identităţii sau de un prestator de servicii de încredere calificate, va depune în locul documentelor prevăzute la alin. (2) o copie a contractului încheiat cu terţul/prestatorul de servicii de încredere, precum şi declaraţia reprezentantului legal că dispune de politici şi proceduri interne privind utilizarea acestora.
(4)În cazul în care soluţia tehnică utilizată de către prestatorul de servicii de plată, instituţia de credit sau instituţia financiară nebancară pentru identificarea persoanei la distanţă utilizând mijloace video este utilizată de către un prestator de servicii de încredere în scopul furnizării de servicii de încredere calificate, este obligatoriu ca prestatorul de servicii de plată, instituţia de credit sau instituţia financiară nebancară să prezinte Autorităţii raportul de evaluare a conformităţii soluţiei, întocmit de către un organism de evaluare a conformităţii, în concordanţă cu prevederile Regulamentului eIDAS.
Art. 8
(1)Organismul din sectorul public care va pune la dispoziţie servicii publice online va efectua o analiză a informaţiilor utilizate/stocate pe platformă, pe baza căreia va stabili nivelul de asigurare pentru mijloacele de identificare electronică pe care le va utiliza sau accepta pentru autentificare în sistem, în conformitate cu prevederile Regulamentului de punere în aplicare (UE) 2015/1.502 al Comisiei din 8 septembrie 2015 de stabilire a unor specificaţii şi proceduri tehnice minime pentru nivelurile de asigurare a încrederii ale mijloacelor de identificare electronică în temeiul art. 8 alin. (3) din Regulamentul eIDAS.
(2)Organismul din sectorul public care utilizează identificarea persoanei la distanţă utilizând mijloace video, în vederea emiterii mijloacelor de identificare electronice folosite, va efectua auditarea sistemului de identificare electronică în raport cu nivelul de asigurare stabilit pentru platforma de servicii publice şi prevederile cadrului naţional de interoperabilitate.
(3)În procesul de auditare, auditorul va avea în vedere cerinţele din prezentele norme şi va menţiona în clar opinia sa cu privire la respectarea acestora, în cadrul raportului de audit.
(4)Totodată, în procesul de auditare, auditorul va avea în vedere şi analiza informaţiilor întocmită de către organismul din sectorul public, precum şi concordanţa acesteia cu procedurile şi procesele desfăşurate pentru identificarea persoanei la distanţă utilizând mijloace video.
(5)Organismul din sectorul public va informa Autoritatea cu 30 de zile înainte de utilizarea mijloacelor video pentru identificarea persoanei la distanţă, conform modelului prezentat în anexa nr. 1, şi va depune raportul de audit întocmit în acest sens.
(6)Reauditarea platformei de identificare se va realiza la fiecare 24 de luni, dacă pe această perioadă nu s-au făcut modificări.
(7)Odată cu raportul de audit va fi depus şi actul administrativ al organismului din sectorul public prin care s-a stabilit nivelul de asigurare al platformei prin care sunt puse la dispoziţie serviciile publice online.
(8)Organismele din sectorul public au obligaţia de a realiza proceduri interne cu privire la identificarea persoanei la distanţă utilizând mijloace video pentru punerea la dispoziţie a serviciilor publice online.
(9)În cazul în care organismul din sectorul public va utiliza, pentru identificarea persoanei la distanţă prin mijloace video, serviciile furnizate de către un terţ, acesta va depune la Autoritate o copie a contractului încheiat în acest sens, înlocuind astfel raportul de audit.
(10)În cazul în care organismul din sectorul public permite autentificarea la serviciile publice online exclusiv prin utilizarea unor mijloace de identificare electronică puse la dispoziţie de către un emitent terţ, acesta va depune la Autoritate o copie a contractului încheiat în acest sens, înlocuind astfel raportul de audit.
(11)În cazul în care în urma analizei informaţiilor utilizate/stocate pe platformă rezultă necesitatea unui nivel de asigurare ridicat, raportul de audit pentru sistemul de identificare a persoanei utilizând mijloace video trebuie să fie întocmit de către un organism de evaluare a conformităţii, astfel cum este definit în Regulamentul eIDAS.
Art. 9
(1)În procesul de verificare a identităţii persoanei la distanţă utilizând mijloace video se pot utiliza serviciile furnizate de către terţi în baza unui contract.
(2)Terţul care efectuează identificarea persoanei la distanţă utilizând mijloace video în numele unei alte entităţi este obligat să respecte prevederile prezentelor norme.
(3)Lista terţilor care pot efectua identificarea persoanei la distanţă utilizând mijloace video va fi gestionată de către Autoritate şi publicată pe pagina de internet a acesteia.
(4)Contractul pentru furnizarea serviciilor de identificare a persoanei la distanţă utilizând mijloace video, încheiat de terţ cu entităţi publice sau private, va conţine clauze referitoare la modalităţile de despăgubire a persoanelor prejudiciate, în cazul producerii unui eventual prejudiciu.
(5)Procedura privind înscrierea/radierea terţilor în/din lista terţilor de verificare, precum şi cerinţele de înscriere se regăsesc în anexa nr. 3.
(6)Prin excepţie de la alin. (5) şi de la anexa nr. 3, dosarul de notificare a Autorităţii va conţine doar contractul încheiat între părţi în cazul în care un prestator de servicii de încredere înregistrat în România acţionează ca terţ de identificare, utilizând aceleaşi procese şi sisteme pentru emiterea certificatelor calificate pentru care a îndeplinit cerinţele prezentelor norme şi pentru care deţine aviz eliberat de Autoritate.
Art. 10
(1)Identificarea la distanţă utilizând mijloace video poate fi realizată prin mijloace de verificare automatizate, fără operator uman, sau prin mijloace de verificare cu operator uman.
(2)Identificarea la distanţă utilizând mijloace video realizată cu operator uman poate fi efectuată doar de personal instruit.
(3)Persoanele care au atribuţii şi responsabilităţi în procesul de identificare a persoanei la distanţă utilizând mijloace video vor beneficia sau vor fi obligate să urmeze cursuri de pregătire profesională sau programe de instruire anuale, organizate extern sau intern.
(4)Instruirea personalului desemnat pentru realizarea identificării persoanei la distanţă utilizând mijloace video intră în responsabilitatea reprezentantului legal al furnizorului de servicii de identificare sau a unei persoane desemnate de reprezentantul legal în acest sens.
(5)Atribuţiile şi responsabilităţile personalului care realizează identificarea persoanei la distanţă utilizând mijloace video vor fi stabilite prin act administrativ al persoanei care are competenţa de numire în funcţie şi vor fi prevăzute în fişa postului.
(6)Identificarea la distanţă utilizând mijloace video realizată prin mijloace de verificare automatizate, fără operator uman, va utiliza mijloace digitale în conformitate cu standardele în vigoare, dispoziţiile din prezentele norme referitoare la personalul instruit sau operatorul uman neaplicându-se în acest caz.
Art. 11
(1)În procesul de identificare a persoanei la distanţă utilizând mijloace video sunt permise numai documentele de identitate, identificabile în mod clar şi aflate în termenul de valabilitate, emise de o autoritate publică competentă.
(2)Documentele de identitate acceptate în procesul de identificare a persoanei la distanţă utilizând mijloace video sunt specificate în anexa nr. 2.
Art. 12
Furnizorii de servicii de identificare sunt obligaţi să respecte toate dispoziţiile legale cu privire la protecţia datelor cu caracter personal prevăzute în Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE şi în Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), cu modificările ulterioare.