ID intern unic: 379993
Версия на русском
Republica Moldova
din 03.04.2019
privind platforma de interoperabilitate (MConnect)
În temeiul art. 6 alin. (1) și (2) din Legea nr. 142/2018 cu privire la schimbul de date și interoperabilitate (Monitorul Oficial al Republicii Moldova, 2018, nr. 295-308, art. 452), Guvernul HOTĂRĂŞTE:
1. Se aprobă Regulamentul privind modul de utilizare a platformei de interoperabilitate (MConnect) (se anexează).
2. Se instituie:
1) platforma de interoperabilitate (MConnect), proprietate a statului, în calitate de soluție tehnică destinată asigurării schimbului de date între sistemele informaționale deținute de participanții la schimbul de date, în conformitate cu Legea nr. 142/2018 cu privire la schimbul de date și interoperabilitate;
2) serviciul electronic guvernamental de acces la date (MAccess), proprietate a statului, parte componentă a platformei de interoperabilitate (MConnect).
3. Se desemnează Instituția publică „Agenția de Guvernare Electronică” în calitate de posesor și deținător al platformei de interoperabilitate (MConnect) și autoritate competentă pentru asigurarea schimbului de date și interoperabilității (în continuare – autoritate competentă), în conformitate cu Legea nr. 142/2018 cu privire la schimbul de date și interoperabilitate.
4. Autoritățile și instituțiile publice, autoritățile administrative autonome, autoritățile administrative centrale subordonate Guvernului și structurile organizaționale din sfera lor de competență (autoritățile administrative din subordine, inclusiv serviciile publice desconcentrate și cele aflate în subordine, precum și instituțiile publice în care ministerul, Cancelaria de Stat sau altă autoritate administrativă centrală are calitatea de fondator), care dețin sisteme informaționale de stat, precum și persoanele juridice de drept privat care, în numele autorităților și instituțiilor publice, gestionează sau dețin sisteme informaționale de stat:
1) în cazul în care nu au integrat sistemele informaționale pe care le dețin cu platforma de interoperabilitate (MConnect), în termen de 6 luni de la data intrării în vigoare a prezentei hotărîri, vor identifica fluxurile de schimb de date ce necesită a fi realizate prin platformă, vor elabora și vor aproba planuri de conectare la aceasta, după coordonare cu autoritatea competentă;
2) vor integra, din contul mijloacelor financiare proprii, sistemele informaționale pe care le dețin cu platforma de interoperabilitate (MConnect), conform planurilor de conectare coordonate cu autoritatea competentă;
3) în caz de necesitate, vor planifica mijloace financiare necesare integrării sistemelor informaționale pe care le dețin cu platforma de interoperabilitate (MConnect), dezvoltării și mentenanței tehnice a serviciilor de furnizare sau de consum al datelor, conform planurilor de conectare respective;
4) vor rezilia acordurile/contractele bilaterale încheiate direct cu deținătorii de surse de date, care au ca obiect punerea la dispoziție/consumul de date, din momentul realizării schimbului de date prin intermediul platformei de interoperabilitate (MConnect), cu excepțiile stabilite de lege;
5) vor asigura mentenanța conexiunii realizate și a infrastructurii necesare acesteia, conform prevederilor cadrului normativ privind schimbul de date și interoperabilitatea;
6) vor revizui cadrul normativ aferent procesului de prestare a serviciilor către cetățeni, pentru excluderea necesității de prezentare în continuare a actelor, odată ce datele administrative conținute în aceste acte sînt disponibile, consumate sau furnizate prin intermediul platformei de interoperabilitate (MConnect);
7) la dezvoltarea noilor sisteme informaționale, vor asigura ca acestea să fie interconectabile și integrabile cu platforma de interoperabilitate (MConnect).
5. Persoanele juridice de drept privat efectuează schimbul de date prin intermediul platformei de interoperabilitate (MConnect) în condițiile stabilite de Legea nr.142/2018 cu privire la schimbul de date și interoperabilitate și prezenta hotărîre.
6. Pentru participanții publici la schimbul de date, schimbul de date prin intermediul platformei de interoperabilitate (MConnect) este cu titlu gratuit.
7. Participanții publici la schimbul de date, furnizori de date/deținători de sisteme informaționale, vor revizui, în termen de 6 luni, propriile proceduri și tarife privind prestarea serviciilor informaționale în vederea ajustării acestora la prezenta hotărîre.
8. Autoritatea competentă va evalua anual costurile necesare administrării și dezvoltării continue a platformei de interoperabilitate (MConnect) și va înainta propuneri de solicitare a mijloacelor financiare pentru a fi incluse în proiectul legii bugetului de stat pe anul respectiv.
9. Autoritatea competentă va prezenta periodic participanților furnizori de date (deținători de sisteme informaționale) date statistice cu privire la numărul de interpelări efectuate în contextul schimbului de date prin platforma de interoperabilitate (MConnect), cu implicarea sistemelor lor informaționale. Participanții la schimbul de date, deținători de sisteme informaționale, vor utiliza datele prezentate de autoritatea competentă în scopul evaluării capacităților sistemelor informaționale, funcționării lor eficiente și asigurării resurselor financiare necesare pentru mentenanța și dezvoltarea sistemelor informaționale, necesare schimbului de date și interoperabilității.
10. Controlul asupra executării prezentei hotărîri se pune în sarcina Cancelariei de Stat.
PRIM-MINISTRU Pavel FILIP
Contrasemnează:
Ministrul finanţelor Ion Chicu
Nr. 211. Chişinău, 3 aprilie 2019.
2. Prezentul Regulament se aplică pentru asigurarea interconectării și interoperabilității resurselor informaționale de stat, precum și pentru facilitarea interoperabilității acestora cu resursele informaționale private prin intermediul platformei MConnect.
3. În sensul prezentului Regulament se utilizează noțiunile și definițiile acestora prevăzute la art. 3 din Legea nr. 142/2018 cu privire la schimbul de date și interoperabilitate, precum și noțiunile ce urmează:
1) serviciul electronic guvernamental de acces la date (MAccess) (în continuare – serviciul MAccess) – serviciu de tip SaaS (software ca serviciu), parte componentă a platformei MConnect, care servește drept interfață, portal de acces la date autentice și preluate, la cerere, în timp real din sursele administrative de date, în limitele drepturilor și temeiului legal;
2) conectare – etapă a procesului de schimb de date, care se inițiază prin solicitarea de schimb de date și se finalizează cu acordarea accesului la datele solicitate de participant în baza mandatului legal al acestuia;
3) integrare – proces tehnologic de elaborare a serviciilor de consum sau de furnizare a datelor prin intermediul platformei de interoperabilitate, în conformitate cu cerințele legale formulate de participantul la schimbul de date și parametrii tehnici agreați cu autoritatea competentă, și de asigurare a disponibilității datelor în platforma de interoperabilitate;
4) anexă tehnică – document care descrie sub aspect tehnic fiecare flux de schimb de date realizat prin intermediul platformei MConnect. Anexa tehnică indică în mod obligatoriu participanții la schimbul de date și calitatea acestora (furnizor/consumator), sistemul/resursa informațională implicată, persoanele responsabile desemnate de participanți, metodele de autentificare și autorizare aplicate, metodele de interpelare (parametri de intrare, caracteristici de disponibilitate), structurile de date ce fac obiectul schimbului de date și alte detalii tehnice, după caz;
5) nivel agreat de servicii – set de parametri și indicatori specifici în baza cărora este determinată disponibilitatea, performanța și calitatea schimbului de date prin intermediul platformei MConnect;
6) incident la scară – situație în care numărul de incidente constatate într-un interval de timp depășește de cel puțin trei ori numărul mediu de incidente pentru același interval de timp în perioadele precedente;
7) incident de securitate – operațiune prin care se încearcă sau se realizează accesul neautorizat la un sistem informațional, un atac asupra integrității și/sau confidențialității informației din cadrul unui sistem informațional automatizat. Aceasta include examinarea sau navigarea neautorizată, întreruperea sau anularea unui serviciu, date alterate sau distruse, prelucrarea, stocarea sau extragerea informațiilor, modificarea informațiilor sistemului referitoare la caracteristicile echipamentului TI (hardware), produselor program (firmware sau software), cu sau fără știința ori intenția utilizatorului.
4. Schimbul de date prin platforma MConnect se efectuează exclusiv în rețeaua telecomunicaţională a autorităților administrației publice, prin intermediul unui canal dedicat și securizat.
1) reglementează procedurile specifice de depunere și de examinare a solicitărilor de conectare la platforma MConnect, de autorizare a schimbului de date prin intermediul platformei MConnect, stabilește modelul-tip al solicitării de conectare la platforma MConnect;
2) reglementează procedurile de conectare tehnică (integrare) la platforma MConnect și nivelul agreat de servicii, inclusiv perioada de disponibilitate, nivelurile de disponibilitate și de accesibilitate ale platformei MConnect;
3) creează condițiile juridice, organizatorice și financiare pentru asigurarea bunei funcționări a platformei MConnect;
4) înaintează propuneri de îmbunătățire a cadrului normativ în domeniul schimbului de date și al interoperabilității;
5) recepționează, examinează în termenul stabilit de lege și aprobă sau respinge solicitările de conectare la platforma MConnect, depuse de către participanții la schimbul de date;
6) suspendă schimbul de date prin platforma MConnect în cazurile prevăzute de lege și de prezentul Regulament;
7) decide asupra cazurilor în care participanții la schimbul de date urmează a fi deconectați de la platforma MConnect;
8) asigură preluarea datelor de la furnizorul de date în condițiile parametrilor tehnici agreați;
9) asigură transmiterea datelor către consumatorul de date în conformitate cu drepturile legale ale acestuia și parametrii tehnici agreați;
10) conform necesităților consumatorilor ce reies din lege, supune datele primite de la furnizor unui proces de adaptare, după caz, utilizînd funcționalitățile platformei MConnect;
11) sesizează organele competente în caz de depistare a încălcărilor comise de către participanții la schimbul de date în contextul utilizării platformei MConnect;
12) încheie cu participanții privați la schimbul de date contracte de schimb de date prin intermediul platformei MConnect, după modelul aprobat;
13) elaborează și aprobă modelul-tip al contractului de schimb de date prin intermediul platformei MConnect;
14) monitorizează respectarea de către participanții la schimbul de date a procedurilor de conectare, suspendare și deconectare de la platforma MConnect și a modului de utilizare a acesteia de către participanții la schimbul de date, respectarea nivelului agreat de servicii, inclusiv conform contractelor încheiate cu participanții privați;
15) intervine, conform nivelului agreat de servicii, pentru investigarea, soluționarea, îndepărtarea erorilor identificate sau comunicate de participanții la schimbul de date;
16) asigură funcționarea, administrarea și dezvoltarea continuă a platformei MConnect în conformitate cu nivelul agreat de servicii și în limitele bugetului alocat;
17) asigură securitatea informațională a platformei MConnect;
18) informează participanții la schimbul de date despre vulnerabilitățile și incidentele de securitate la utilizarea platformei MConnect, imediat sau în termen de cel mult două zile lucrătoare din momentul depistării acestora;
19) asigură înregistrarea, investigarea, monitorizarea, soluționarea și înlăturarea în termenele stabilite a erorilor comunicate de participanți, a vulnerabilităților și a incidentelor depistate;
20) solicită de la participanții la schimbul de date detaliile și informațiile necesare pentru soluționarea erorilor, a incidentelor înregistrate, cu implicarea acestora, după caz;
21) asigură, în caz de necesitate, acordarea asistenței metodologice și tehnice participanților la schimbul de date în procesul de conectare a acestora la platforma MConnect și, după caz, la instalarea și configurarea unor componente ale platformei MConnect în cadrul infrastructurii participanților;
22) asigură protecția datelor cu caracter personal și securitatea datelor transmise prin platforma MConnect, pe segmentul său de competență, în conformitate cu prevederile Legii nr. 133/2011 privind protecția datelor cu caracter personal și altor acte normative;
23) asigură jurnalizarea schimbului de date cu caracter personal efectuat prin intermediul platformei MConnect;
24) notifică furnizorilor de date faptul conectării noilor consumatori de date, cu indicarea temeiului legal de acces la datele puse la dispoziție;
25) în cazul în care sistemele informaționale deținute de consumator, parte a proiectelor de integrare, prelucrează date cu caracter personal – verifică înregistrarea corespunzătoare a sistemelor respective în Registrul de evidență a operatorilor de date cu caracter personal, în conformitate cu cerințele Legii nr. 133/2011 privind protecția datelor cu caracter personal și Regulamentului Registrului de evidență a operatorilor de date cu caracter personal, aprobat prin Hotărîrea Guvernului nr. 296/2012;
26) organizează activități de promovare, instruire și schimb de experiență privind utilizarea platformei MConnect.
6. Furnizorul de date are următoarele atribuții și responsabilități:
1) implementează măsuri organizatorice și tehnice necesare pentru furnizarea datelor din sistemele informaționale pe care le deține și asigură conectarea acestora la platforma MConnect, din resursele financiare proprii;
2) mandatează autoritatea competentă să asigure transportul datelor din sistemele sale informaționale, conectate la platforma MConnect, inclusiv să le adapteze, după caz, și să le transmită corespunzător solicitărilor consumatorilor de date, în conformitate cu prevederile legislației, și să monitorizeze accesul la aceste date;
3) asigură disponibilitatea datelor din sistemele informaționale pe care le deține și furnizarea acestora în platforma MConnect în conformitate cu legislația;
4) asigură sustenabilitatea sistemelor sale informaționale care sînt conectate la platforma MConnect;
5) asigură veridicitatea, autenticitatea și integritatea datelor furnizate prin intermediul platformei MConnect;
6) asigură actualizarea datelor furnizate prin intermediul platformei MConnect, în modul stabilit de legislație;
7) în cazul modificării formei sau modului de furnizare a datelor prin intermediul platformei MConnect, informează autoritatea competentă, care, la rîndul său, informează consumatorul de date în modul stabilit;
8) inițiază procesul de deconectare de la platforma MConnect în cazurile prevăzute de prezentul Regulament;
9) în cazul furnizorului de date participant privat, încheie contracte de schimb de date prin intermediul platformei MConnect cu autoritatea competentă;
10) obține și gestionează, pe cont propriu, certificatele digitale pentru fiecare sistem informațional deținut ce urmează a fi integrat cu platforma MConnect;
11) anunță autoritatea competentă despre certificatele digitale noi, obținute pentru sistemele informaționale integrate cu platforma MConnect, cu cel puțin 10 zile lucrătoare înainte de expirarea celor utilizate curent;
12) în caz de necesitate, asigură instalarea și configurarea unor componente ale platformei MConnect în cadrul infrastructurii sale în scopul dezvoltării interfețelor pentru schimbul de date;
13) asigură înregistrarea, investigarea, monitorizarea, soluționarea și înlăturarea în termenele stabilite a erorilor comunicate de participanți, a vulnerabilităților și a incidentelor depistate;
14) informează autoritatea competentă despre erorile apărute în procesul schimbului de date, vulnerabilitățile, inclusiv incidentele de securitate ale sistemelor informaționale conectate la platforma MConnect, imediat, iar dacă aceasta nu este posibil, în termen de cel mult două zile lucrătoare din momentul depistării acestora;
15) prezintă necondiționat autorității competente informația necesară pentru înlăturarea erorilor și vulnerabilităților, precum și pentru soluționarea incidentelor de securitate;
16) implementează măsurile necesare pentru asigurarea securității și protecției datelor, inclusiv a celor cu caracter personal, în sistemele sale informaționale integrate cu platforma MConnect;
17) desemnează persoane de contact responsabile de implementarea proiectelor de integrare, iar în caz de schimbare a acestora, anunță autoritatea competentă în termen de cinci zile lucrătoare;
18) informează autoritatea competentă despre solicitările de schimb de date parvenite pe adresa sa și le redirecționează către autoritatea competentă în vederea furnizării datelor solicitate prin intermediul platformei MConnect;
19) nu divulgă unei terțe persoane informații ce țin de modalitatea de autentificare și/sau autorizare, modalitatea tehnică de conectare, schimb de date și monitorizare, precum și oricare altă informație ce ține de schimbul de date prin platforma MConnect, care poate compromite securitatea și buna funcționare a schimbului de date prin platforma MConnect;
20) reziliază acordurile bilaterale de furnizare de date, încheiate cu alți consumatori de date, din momentul realizării schimburilor de date în cauză prin platforma MConnect.
7. Furnizorul de date nu poartă răspundere pentru modul în care consumatorul de date utilizează datele obținute prin platforma MConnect.
8. Consumatorul de date are următoarele atribuții și responsabilități:
1) consultă catalogul semantic și identifică seturile de date pe care intenționează să le consume conform competenței atribuite de lege;
2) solicită conectarea la platforma MConnect, în scopul consumului de date, cu respectarea prevederilor prezentului Regulament, adresînd autorității competente o solicitare de conectare de modelul stabilit;
3) mandatează autoritatea competentă să asigure solicitarea, preluarea, adaptarea, după caz, și transmiterea datelor din sistemele informaționale ale furnizorilor conectate la platforma MConnect, în conformitate cu prevederile legislației;
4) justifică scopul, volumul și modul de utilizare a informației consumate prin platforma MConnect, precum și respectă regimul corespunzător de confidențialitate și securitate a informației;
5) asigură consumul datelor în strictă corespundere cu prevederile legale privind protecția datelor cu caracter personal;
6) aplică măsurile necesare în scopul neadmiterii transmiterii (publicării, difuzării) și/sau utilizării nesancționate de către persoane terțe a informației primite;
7) asigură capacitatea tehnică și organizatorică pentru consumul datelor, conform anexelor tehnice agreate cu autoritatea competentă;
8) dezvoltă proiectele de integrare cu platforma MConnect din resursele financiare proprii, ținînd cont de competențele sale funcționale și necesitățile de serviciu, în scopurile conforme legii;
9) testează serviciul informațional de consum de date pus la dispoziție prin platforma MConnect;
10) inițiază procesul de deconectare de la platforma MConnect în cazurile prevăzute de prezentul Regulament;
11) în cazul consumatorului de date participant privat, încheie contracte de schimb de date prin intermediul platformei MConnect cu autoritatea competentă;
12) obține și gestionează, pe cont propriu, certificatele de cheie publică pentru fiecare sistem informațional deținut care urmează a fi integrat cu platforma MConnect;
13) anunță autoritatea competentă despre certificatele cheilor publice noi, obținute pentru sistemele informaționale integrate cu platforma MConnect, cu cel puțin 10 zile lucrătoare înainte de expirarea celor utilizate curent;
14) asigură controlul accesului la sistemele informaționale și/sau bazele de date, utilizînd funcționalitățile platformei MConnect și/sau sistemele de audit interne;
15) implementează politici interne privind securitatea și modul de acces și utilizare a datelor consumate prin platforma MConnect de către angajații săi;
16) în caz de necesitate, asigură instalarea și configurarea unor componente ale platformei MConnect în cadrul infrastructurii sale, în scopul dezvoltării interfețelor pentru schimbul de date;
17) asigură înregistrarea, investigarea, monitorizarea, soluționarea și înlăturarea în termenele stabilite a erorilor comunicate de participanți, a vulnerabilităților și a incidentelor depistate;
18) informează autoritatea competentă despre erorile apărute în procesul schimbului de date, vulnerabilitățile și incidentele de securitate ale sistemelor informaționale conectate la platforma MConnect imediat, iar dacă aceasta nu este posibil, în termen de cel mult două zile lucrătoare din momentul depistării acestora;
19) prezintă necondiționat autorității competente informația necesară pentru înlăturarea erorilor și a vulnerabilităților și pentru soluționarea incidentelor de securitate;
20) implementează, prin sistemele informaționale pe care le deține, măsurile organizatorice, semantice și tehnice necesare pentru consumul de date puse la dispoziție prin intermediul platformei MConnect;
21) asigură consumul de date prin intermediul platformei MConnect doar în temeiul legii, în scopul exercitării atribuțiilor sale legale și utilizarea acestora, pe proprie răspundere, în limitele și în conformitate cu competențele stabilite de lege;
22) respectă obligația de a nu modifica datele consumate;
23) implementează măsurile necesare pentru asigurarea securității și protecției datelor, inclusiv a celor cu caracter personal, în sistemele sale informaționale integrate cu platforma MConnect;
24) nu divulgă unei terțe persoane informații legate de modalitatea de autentificare și/sau autorizare, modalitatea tehnică de conectare, schimb de date şi monitorizare, precum și oricare altă informație ce ține de schimbul de date prin platforma MConnect;
25) desemnează persoane de contact responsabile de implementarea proiectelor de integrare, iar în caz de schimbare a acestora, anunță autoritatea competentă în termen de cinci zile lucrătoare;
26) reziliază acordurile bilaterale de consum de date, încheiate direct cu furnizori de date, din momentul realizării schimburilor de date prin platforma MConnect.
9. Autoritatea competentă are următoarele drepturi în procesul de schimb de date:
1) să solicite de la participanți date suplimentare în scopul asigurării disponibilității serviciilor informaționale generice;
2) să efectueze adaptarea datelor disponibile/transmise prin intermediul platformei MConnect în conformitate cu prevederile prezentului Regulament și necesitățile legale ale participanților la schimbul de date;
3) să reutilizeze datele disponibile/transmise de furnizori prin intermediul platformei MConnect în scopul exercitării drepturilor și obligațiilor legale ale consumatorilor de date;
4) să solicite participanților informație de referință (feedback) privind utilizarea platformei MConnect.
10. Participanții la schimbul de date au următoarele drepturi:
1) să solicite autorității competente inițierea proiectelor de integrare pentru a putea consuma sau furniza un set diferit de date ori cu alți parametri tehnici decît cele stabilite anterior în anexele tehnice agreate;
2) să solicite asistența metodologică de la autoritatea competentă în proiectele de integrare propuse și, în caz de necesitate, asistență la instalarea și configurarea unor componente ale platformei MConnect în cadrul infrastructurii sale;
3) să solicite suportul autorității competente în investigarea, soluționarea și înlăturarea erorilor apărute în procesul schimbului de date;
4) să solicite autorității competente adaptarea și/sau reutilizarea datelor disponibile/transmise prin intermediul platformei MConnect;
5) să solicite autorității competente informații referitoare la nivelul agreat al serviciilor conform indicatorilor stabiliți în anexele tehnice;
6) să solicite autorității competente informații privind participanții care solicită datele din resursele informaționale pe care le dețin.
12. În vederea depunerii cererii de conectare la platforma MConnect, consumatorul de date consultă catalogul semantic pentru a identifica activele semantice și seturile de date pe care intenționează să le consume prin platforma MConnect. Pînă la instituirea și funcționarea catalogului semantic, identificarea și descrierea seturilor de date și a metodelor de realizare a schimbului de date se efectuează în comun cu autoritatea competentă și participanții la schimbul de date.
13. Cererea de conectare la platforma MConnect trebuie să conțină următoarele informații:
1) identificarea setului de date care urmează a fi consumate conform clasificatoarelor catalogului semantic;
2) temeiul legal pentru consumul datelor, care trebuie să includă referințele exprese la normele juridice din actele normative ce mandatează accesul la date și/sau prelucrarea datelor respective de către participant;
3) dacă consumul de date include date cu caracter personal – indicarea numărului de înregistrare a participantului și sistemului informațional respectiv în Registrul de evidență a operatorilor de date cu caracter personal;
4) dacă consumul de date include informații cu accesibilitate limitată, altele decît cele menționate la subpunctul 3) – referința expresă la normele juridice care acordă participantului dreptul de a accesa și de a utiliza în activitatea sa astfel de informații;
5) informații (inclusiv nume, prenume, funcția deținută, telefon de contact, e-mail) privind persoanele de contact ale participantului responsabile de aspectele de ordin tehnic și juridic aferente procesului de conectare la platforma MConnect;
6) declarația pe proprie răspundere a participantului privind asumarea responsabilității pentru modul în care datele vor fi consumate de către angajații săi.
14. Autoritatea competentă poate solicita prezentarea unor informații suplimentare celor menționate la punctul 13, în scopul detalierii aspectelor de schimb de date și al identificării metodei optime în acest sens, precum și pentru o mai bună examinare a cererii de conectare la platforma MConnect.
15. La examinarea cererii, autoritatea competentă identifică participanții la schimbul de date, analizează cadrul legislativ în baza căruia se solicită consumul de date și verifică posibilitatea tehnică de conectare, respectarea cerințelor de securitate și confidențialitate, precum și disponibilitatea datelor în platforma MConnect.
16. Dacă cererea depusă corespunde cerințelor de formă stabilite, dacă este completă sub aspectul informațiilor indicate și dacă întrunește condițiile stabilite de Legea nr. 142/2018 cu privire la schimbul de date și interoperabilitate, autoritatea competentă, în termen de 30 de zile lucrătoare de la data recepționării, în urma examinării, adoptă decizia privind efectuarea schimbului de date prin intermediul platformei MConnect, cu informarea participanților.
17. Decizia privind schimbul de date prin platforma MConnect trebuie să conțină în mod obligatoriu:
1) confirmarea eligibilității solicitantului din punct de vedere juridic de a consuma date, precum și posibilitatea furnizării datelor respective prin platforma MConnect;
2) referințe la temeiul și scopul legal în baza căruia se autorizează schimbul de date, inclusiv competențele legale ale solicitantului de a consuma datele respective;
3) identificarea setului de date conform activelor semantice din catalogul semantic;
4) descrierea, în anexa tehnică, a metodelor de interpelare în vederea furnizării sau consumării datelor (parametri de intrare), a structurilor de date vizate, a caracteristicilor tehnice ale schimbului de date (număr maxim de apeluri, particularități de performanță și disponibilitate), a particularităților de jurnalizare;
5) specificarea modalității tehnice de schimb de date aplicate: servicii web, interfață de acces la date prin serviciul MAccess;
6) termenul de semnare a contractului de schimb de date sau, după caz, de modificare a unui contract existent – în cazul participanților privați;
7) înștiințarea furnizorului/furnizorilor de date despre schimbul de date ce urmează a fi efectuat prin platforma MConnect, pentru a asigura capacitatea tehnică și organizatorică necesară de furnizare a datelor solicitate.
18. În baza deciziei privind schimbul de date, autoritatea competentă semnează cu participanții la schimbul de date anexa tehnică ce descrie fluxul de schimb de date și inițiază un proiect de integrare a sistemului informațional al solicitantului cu platforma MConnect, precum și de dezvoltare nemijlocită a serviciilor de consum sau de furnizare a datelor.
19. În cazul în care datele pentru care se solicită accesul nu sînt disponibile în platforma MConnect, însă sînt disponibile la potențiali furnizori de date în format digital compatibil, autoritatea competentă emite o decizie privind schimbul de date, respectînd procedura stabilită în prezenta secțiune, și o remite solicitantului și deținătorului sistemului informațional în care sînt disponibile datele solicitate. Suplimentar celor specificate la punctul 17, decizia trebuie să mai conțină următoarele informații:
1) faptul inițierii procesului de obținere a datelor de la furnizorii relevanți;
2) termenul de dezvoltare a serviciilor de furnizare a datelor, de integrare și asigurare a disponibilității acestora în platforma MConnect.
20. În baza deciziei autorității competente privind schimbul de date prin platforma MConnect, deținătorul sistemului informațional în care sînt disponibile datele solicitate inițiază dezvoltarea serviciilor de furnizare a datelor și integrarea sistemului informațional respectiv cu platforma MConnect. În cazul în care sistemul informațional este al unui participant privat, pînă la inițierea procesului de integrare a acestuia cu platforma MConnect autoritatea competentă și participantul privat încheie un contract de schimb de date.
21. În cazul în care se solicită accesul la informații cu accesibilitate limitată, autoritatea competentă verifică dacă solicitantul, în temeiul legislației și în scopul exercitării de către acesta a competențelor stabilite de lege, dispune de dreptul de a consuma datele solicitate și menționează expres acest fapt în decizie.
22. În cazul în care se solicită accesul la date care conțin date cu caracter personal, autoritatea competentă verifică existența înregistrării corespunzătoare a sistemelor respective în Registrul de evidență a operatorilor de date cu caracter personal, în conformitate cu cerințele Legii nr. 133/2011 privind protecția datelor cu caracter personal și Regulamentului Registrului de evidență a operatorilor de date cu caracter personal, aprobat prin Hotărîrea Guvernului nr. 296/2012.
23. După asigurarea disponibilității datelor solicitate în platforma MConnect, consumatorul de date participant public inițiază conectarea tehnică (integrarea) cu serviciul informațional de furnizare a datelor pus la dispoziție prin platforma MConnect.
24. În cazul în care consumatorul de date este un participant privat la schimbul de date, pînă la inițierea conectării tehnice (integrării) acesta semnează cu autoritatea competentă contractul de schimb de date prin intermediul platformei MConnect.
25. Contractul de schimb de date prin intermediul platformei MConnect trebuie să conțină în mod obligatoriu cel puțin următoarele informații:
1) părțile contractului;
2) obiectul contractului, care constă în efectuarea schimbului de date eficient dintre diferiți participanți la schimbul de date prin intermediul platformei MConnect, în scopurile conforme legii;
3) termenul contractului;
4) drepturile, obligațiile și responsabilitățile autorității competente și ale participantului privat la schimbul de date;
5) condițiile și parametrii tehnici în care are loc schimbul de date;
6) informația de contact privind persoana responsabilă/persoanele responsabile de interacțiunea cu autoritatea competentă și viceversa;
7) modul de interacțiune dintre autoritatea competentă și participantul privat;
8) nivelul agreat de servicii;
9) detaliile privind taxa de configurare și taxa pentru date aplicate, precum și condițiile de plată;
10) anexa tehnică, care descrie fluxul de schimb de date;
11) modalitatea de soluționare a litigiilor.
26. Procesul de integrare se finalizează odată cu punerea la dispoziția consumatorului de date, de către autoritatea competentă, a informației (credențialelor de acces) necesare pentru accesarea datelor solicitate.
27. Participanții la schimbul de date, inclusiv autoritatea competentă, efectuează toate testările necesare în privința conexiunii de furnizare și/sau de consum de date, doar pe mediul de test. Credențialele de acces la serviciul informațional pe mediul de producție sînt puse la dispoziție participantului la schimbul de date de către autoritatea competentă în urma notificării privind efectuarea de către participant a tuturor testărilor necesare și solicitării exprese privind migrarea serviciului pe mediul de producție.
28. Testele de performanță, de funcționalitate, de securitate ale sistemelor informaționale ce consumă/furnizează date prin intermediul platformei MConnect, care se referă la testarea conexiunilor la platforma MConnect se efectuează de către participantul la schimbul de date conform unui plan de testare agreat cu autoritatea competentă.
29. Consumatorii de date care nu dețin sisteme informaționale capabile să consume date în regim automatizat prin platforma MConnect accesează datele respective utilizînd serviciul MAccess.
30. Autoritatea competentă respinge cererea de conectare la platforma MConnect prin decizie motivată în următoarele cazuri:
1) nu există temei juridic pentru consumul de date;
2) scopul consumului de date indicat în cerere contravine legislației sau prezentului Regulament;
3) este imposibilă integrarea cu platforma MConnect sub aspect tehnic fie a sistemului informațional al furnizorului de date, fie al sistemului informațional al consumatorului de date;
4) nu sînt respectate cerințele de securitate și confidențialitate ce decurg din regimul juridic al datelor, iar conectarea la platforma MConnect va periclita funcționalitatea acesteia sau securitatea datelor din sistemele informaționale ale participanților la schimbul de date.
31. Autoritatea competentă informează solicitantul despre motivele respingerii cererii acestuia.
33. Conectarea furnizorilor de date participanți privați la schimbul de date se efectuează la solicitarea acestora, în baza deciziei autorității competente.
34. În procesul de conectare furnizorul de date prezintă autorității competente declarația pe proprie răspundere privind veridicitatea datelor furnizate prin platforma MConnect.
35. Autoritatea competentă acordă asistența metodologică necesară pentru asigurarea de către furnizor a dezvoltării și a expunerii în platforma MConnect a serviciilor informaționale generice.
36. Autoritatea competentă emite decizia privind conectarea furnizorului de date la platforma MConnect și:
1) în cazul furnizorului de date participant public, agreează în comun termenul de realizare a lucrărilor de integrare a sistemului informațional cu platforma MConnect;
2) în cazul furnizorului de date participant privat, semnează contractul de schimb de date prin intermediul platformei MConnect cu furnizorul de date respectiv și agreează termenul de realizare a lucrărilor de integrare a sistemului informațional cu platforma MConnect.
37. În baza deciziei autorității competente privind schimbul de date disponibile în platforma MConnect, furnizorul de date este obligat să revizuiască capacitățile de furnizare a datelor pentru asigurarea disponibilității datelor.
38. În baza deciziei autorității competente privind schimbul de date, furnizorul de date participant public demarează procedura de conectare la platforma MConnect, cu elaborarea serviciului informațional web de furnizare a datelor, iar furnizorul de date participant privat, pînă la demararea procedurii de conectare, semnează cu autoritatea competentă contractul de schimb de date prin intermediul platformei MConnect.
39. Decizia autorității competente privind schimbul de date care nu sînt disponibile în platforma MConnect, dar care sînt disponibile într-un sistem informațional al unui participant privat este adoptată în urma coordonării acesteia cu participantul respectiv.
40. Furnizorul de date asigură conectarea la platforma MConnect a sistemelor sale informaționale, ca surse de date, în termen de cel mult 45 de zile de la data recepționării deciziei autorității competente privind schimbul de date prin platforma MConnect.
42. La utilizarea platformei MConnect, furnizorul de date poate avea concomitent și calitatea de consumator de date, iar consumatorul de date – calitatea de furnizor de date.
43. Platforma MConnect nu poate fi utilizată:
1) în scopuri ce contravin legislației;
2) atunci cînd implică riscuri de securitate informațională atît pentru platforma MConnect, cît și pentru participanții la schimbul de date;
3) în scopuri ce pot periclita imaginea și interesele legale ale autorității competente sau ale participanților la schimbul de date;
4) în mod abuziv și contrar parametrilor tehnici agreați cu autoritatea competentă.
44. Schimbul de date cu caracter personal prin platforma MConnect este jurnalizat. Jurnalizarea schimburilor de date cu caracter personal, efectuate prin intermediul platformei MConnect, cuprinde cel puțin, dar nu se limitează la, următoarele date (la nivel HTTP sau SOAP):
1) utilizatorul care procesează datele cu caracter personal;
2) persoana juridică din care face parte utilizatorul care procesează datele cu caracter personal sau care gestionează sistemul informațional;
3) data și timpul prelucrării;
4) temeiul legal al prelucrării datelor cu caracter personal;
5) scopul prelucrării datelor cu caracter personal;
6) categoriile de date cu caracter personal prelucrate.
46. Consumul de date prin intermediul serviciului MAccess se efectuează prin accesarea de către consumator a URL-ului https://maccess.gov.md, interfață web de acces la date, pusă la dispoziție de autoritatea competentă.
47. Autentificarea consumatorilor de date prin intermediul serviciului MAccess se efectuează folosind dispozitivele de creare și/sau verificare a semnăturii electronice în conformitate cu Legea nr. 91/2014 privind semnătura electronică și documentul electronic, prin intermediul serviciului electronic guvernamental de autentificare și control al accesului (MPass).
48. Suplimentar atribuțiilor reglementate la punctul 5, autoritatea competentă are următoarele responsabilități privind asigurarea schimbului de date prin intermediul serviciului MAccess:
1) asigură funcționarea serviciului MAccess în corespundere cu condițiile și parametrii tehnici stabiliți, inclusiv nivelul agreat de servicii;
2) asigură disponibilitatea prin intermediul serviciului MAccess a seturilor de date destinate consumatorului, în corespundere cu mandatul legal al acestuia și conform modalității stabilite în anexele tehnice;
3) asigură funcționarea mecanismelor de semnare electronică a documentelor PDF generate prin accesarea serviciului MAccess;
4) efectuează configurările necesare în serviciul guvernamental MPass pentru definirea rolului de administrator tehnic al paginii MAccess destinate consumatorului de date și atribuie rolul de administrator tehnic persoanei responsabile de managementul utilizatorilor, desemnate de consumatorul de date;
5) acordă asistență informațională și metodologică consumatorului de date în legătură cu funcționarea și utilizarea serviciului MAccess.
49. În calitate de consumator de date prin intermediul serviciului MAccess, participantul la schimbul de date, suplimentar responsabilităților enumerate la punctul 8, are următoarele obligații:
1) accesează și utilizează serviciul MAccess în conformitate cu prevederile legislației;
2) obține și gestionează, pe cont propriu, semnăturile electronice necesare accesării serviciului MAccess;
3) desemnează persoana responsabilă de managementul utilizatorilor paginii create în MAccess de autoritatea competentă, cu transmiterea IDNP-ului persoanei responsabile către autoritatea competentă, pentru înregistrarea acesteia în calitate de administrator tehnic;
4) informează, în scris, imediat sau cel tîrziu în decurs de patru ore, autoritatea competentă despre schimbarea persoanei desemnate ca fiind responsabilă de managementul utilizatorilor, cu transmiterea documentelor confirmative în acest sens, inclusiv pentru persoana nou-desemnată;
5) realizează, pe propria răspundere, managementul corect al utilizatorilor concreți din cadrul entității consumatoare de date (care implică, dar nu se limitează la: atribuirea rolurilor, adăugarea/ștergerea în calitate de administrator tehnic, adăugarea/ștergerea în calitate de consultant/operator), care au acces la date, în funcție de rolul atribuit;
6) asigură implementarea cerințelor și mecanismelor de securitate informațională în procesul utilizării serviciului MAccess și de protecție a datelor cu caracter personal;
7) este responsabil de modul de accesare și utilizare a datelor, precum și de întreprinderea măsurilor pentru evitarea accesului neautorizat al persoanelor terțe.
51. Schimbul de date menționat la punctul 50 se efectuează în ordinea stabilită de prezentul Regulament, ținînd cont de particularitățile menționate în prezenta secțiune.
52. Autoritățile și instituțiile publice menționate la punctul 50, în calitate de furnizor și/sau consumator de date, participantul la schimbul de date (furnizor și/sau consumator), precum și autoritatea competentă încheie acorduri trilaterale pentru fiecare flux de schimb de date menționat la punctul 50, în care indică în special:
1) părțile la schimbul de date și rolul fiecărei părți;
2) drepturile, obligațiile și responsabilitățile specifice pentru asigurarea securității și confidențialității fluxului concret de schimb de date;
3) persoanele responsabile desemnate de fiecare parte și datele de contact ale acestora;
4) nivelul agreat de servicii;
5) măsurile tehnice aplicate pentru asigurarea securității schimbului de date, confidențialității, integrității datelor ce fac obiectul schimbului de date;
6) mecanismele de criptare/decriptare utilizate și modul de comunicare a părților în acest context;
7) detaliile ce țin de jurnalizarea evenimentelor privind schimbul de date și modul de acces al părților la informațiile respective, în conformitate cu mandatul legal al fiecăreia;
8) anexa tehnică care descrie fluxul de schimb de date.
53. Autoritățile și instituțiile publice menționate la punctul 50, în calitate de furnizor și/sau consumator de date, participantul la schimbul de date (furnizor și/sau consumator), precum și autoritatea competentă colaborează și stabilesc în comun detaliile tehnice, legale, semantice și organizatorice pentru asigurarea interoperabilității și schimbului de date cu regim juridic special.
54. Autoritățile și instituțiile publice menționate la punctul 50, în calitate de furnizor și/sau consumator de date, participantul la schimbul de date (furnizor și/sau consumator), precum și autoritatea competentă asigură, fiecare pe segmentul său de competență, monitorizarea continuă și corespunzătoare a schimbului de date implementat.
55. În cazul producerii unor erori, incidente sau al identificării unor riscuri de securitate, în contextul unui flux de schimb de date implementat, partea care a constatat acest fapt informează celelalte părți imediat, dar nu mai tîrziu de 24 de ore din momentul constatării, prin orice mijloc de comunicare disponibil, care permite confirmarea informării. Părțile vor asigura înregistrarea erorilor, incidentelor și riscurilor de securitate identificate, precum și vor coopera și vor depune tot efortul și diligența necesare pentru înlăturarea în termen optim a acestora, cu un impact minim asupra securității, confidențialității, disponibilității și integrității datelor.
56. Pe perioada investigării, soluționării, înlăturării erorilor, incidentelor și riscurilor de securitate, autoritatea competentă în comun cu participanții la schimbul de date menționați la punctul 50 pot decide suspendarea schimbului de date prin platforma MConnect.
58. Pentru schimbul de date prin platforma MConnect efectuat cu participanții privați este percepută o taxă de configurare și o taxă pentru schimb de date. Taxa de configurare și taxa pentru schimbul de date se virează pe contul indicat de autoritatea competentă și, integral, se fac venit la bugetul de stat.
59. Taxa de configurare și taxa pentru schimbul date stabilite de prezentul Regulament substituie oricare alte plăți percepute de participanții la schimbul de date furnizori de date/deținători de sisteme informaționale pentru prestarea serviciilor de furnizare a datelor.
60. Taxa de configurare constituie taxa percepută pentru lucrările de configurare a platformei MConnect pentru elaborarea serviciilor informaționale de furnizare și/sau consumare a unui set anumit de date prin platforma MConnect. Taxa de configurare constituie 1000 (una mie) lei pentru fiecare set de date nou configurat, precum și pentru oricare modificări, completări la seturi de date deja configurate. Taxa de configurare se plătește în monedă națională, prin transfer de pe contul participantului privat la schimbul de date la contul indicat de autoritatea competentă, în baza facturii emise de autoritatea competentă. Autoritatea competentă prezintă participantului privat factura pentru achitarea taxei de configurare în decurs de cinci zile de la data semnării anexei tehnice care descrie fluxul de schimb de date agreat.
61. Taxa pentru schimb de date constituie taxa percepută lunar pentru volumul de date consumat și/sau furnizat de participantul privat la schimbul de date prin intermediul platformei MConnect. Taxa pentru schimb date este variabilă în funcție de numărul de interpelări efectuate cu succes, conform tabelului 1 și se calculează după modelul indicat în tabelul 2.
* Numărul de interpelări ale serviciului informațional de schimb de date, efectuate cu succes de către sistemul informațional al participantului, în decurs de o lună.
62. Autoritatea competentă prezintă lunar, pînă la data de 5 a lunii următoare perioadei de gestiune, participantului privat consumator de date actele de prestare și acceptare a serviciilor de schimb de date.
63. Actele de prestare și acceptare a serviciilor de schimb de date trebuie să includă rapoarte privind volumul și nivelul serviciilor prestate.
64. Participantul privat semnează actele de prestare și acceptare a serviciilor de schimb de date sau prezintă autorității competente pretențiile sale. Dacă în termen de cinci zile lucrătoare autoritatea competentă nu primește răspuns, actele de prestare și acceptare a serviciilor de schimb de date se consideră a fi semnate de către participantul privat.
65. Costul serviciilor de schimb de date se achită de participantul privat, prin transfer, către autoritatea competentă, lunar, pînă la data de 10 a lunii următoare, conform facturilor emise de autoritatea competentă, la contul indicat de autoritatea competentă, făcîndu-se venit la bugetul de stat.
66. Pentru achitarea cu întîrziere a plății pentru serviciile de schimb de date prin intermediul platformei MConnect se percepe o penalitate în mărime de 0,1% din suma restantă, calculată pentru fiecare zi de întîrziere.
67. Pentru neachitarea în decurs de două luni consecutive a serviciilor de schimb de date prin intermediul platformei MConnect, autoritatea competentă dispune deconectarea participantului privat în cauză de la serviciul informațional de furnizare și/sau consum de date, cu preavizarea acestuia cu cel puțin zece zile înainte de deconectare.
68. Participantul privat care furnizează date prin intermediul platformei de interoperabilitate unui participant public, în scopul executării unei obligații legale în raport cu statul, ce decurge din prevederi legale exprese (raportare, monitorizare etc.) nu achită taxa de configurare și taxa pentru schimbul de date.
69. Costurile pentru schimbul de date prin intermediul platformei MConnect între un participant privat în calitate de furnizor de date și un participant public în calitate de consumator de date se stabilesc în comun de participanți și autoritatea competentă, pe bază contractuală.
70. Costurile pentru schimbul de date prin intermediul platformei MConnect între doi participanți privați se stabilesc în comun de participanți pe bază contractuală și includ în mod obligatoriu taxa de configurare și taxa pentru schimb de date stabilite de prezenta secțiune.
71. Participanții privați pot consuma un set determinat de date prin intermediul platformei MConnect în scopul dezvoltării și oferirii unor soluții tehnologice de interes social (aplicații, portaluri informaționale etc. prin care sînt promovate interesele societății și ale statului, fără a urmări un scop lucrativ sau obținerea unui venit, și care au la bază obiective filantropice de importanță socială, acordînd acces persoanelor la propriile date, fără a fi percepute taxe în acest sens). În acest caz taxa pentru schimb de date nu se percepe, iar participantul privat achită doar taxa de configurare conform punctului 60. În situația utilizării datelor consumate într-un alt scop decît cel prevăzut la prezentul punct, urmează a fi aplicate prevederile corespunzătoare din prezenta secțiune.
72. În situația prevăzută la punctul 71, contractul de schimb de date prin intermediul platformei MConnect prevede în mod expres și concret scopul urmărit la consumul datelor de către participantul privat, fixează garanții și responsabilități de ordin juridic și tehnologic pentru părțile implicate, în vederea asigurării respectării cerinței de utilizare a setului determinat de date strict în scopul menționat.
74. Testarea funcționalității fluxului de schimb de date are loc inclusiv în scopul asigurării corespunderii acestuia cu parametrii tehnici ai interpelărilor și structurilor de date agreate de participanți și descrise în anexele tehnice.
75. Testarea funcționalității procesului de schimb de date prin intermediul platformei MConnect între participanții la schimbul de date, în privința noilor servicii informaționale create, noilor sisteme informaționale conectate la platforma MConnect se va efectua în baza setului de date de test pus la dispoziție de către participantul la schimbul de date.
76. Autoritatea competentă va desemna expres prin ordin persoanele responsabile de efectuarea testării funcționalității procesului de schimb de date în temeiul și scopurile menționate în prezenta secțiune.
77. Persoanele responsabile de efectuarea testării funcționalității procesului de schimb de date a noilor servicii informaționale create au obligația de a efectua procesul de testare în strictă conformitate cu prevederile Legii nr. 133/2011 privind protecția datelor cu caracter personal și Cerințele față de asigurarea securității datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaționale de date cu caracter personal, aprobate prin Hotărîrea Guvernului nr. 1123/2010.
78. În procesul operațiunilor tehnice de testare a funcționalității procesului de schimb de date, în scopul neadmiterii unor breșe de securitate, persoanele responsabile, desemnate conform punctului 76, asigură implementarea și respectarea acelorași măsuri de securitate care se aplică în mediul de producție și sînt obligate:
1) să asigure integritatea datelor furnizate pentru testare;
2) să utilizeze datele furnizate pentru testare exclusiv pe mediul de test creat în acest sens și doar în scopurile menționate de testare;
3) să nu admită accesul neautorizat al unor persoane terțe la datele furnizate pentru testare;
4) să nu admită divulgarea, transmiterea neautorizată a datelor unor persoane terțe;
5) să nu admită utilizarea datelor în alte scopuri decît cele menționate în prezenta secțiune sau de către persoane neautorizate;
6) să nu admită coruperea intenționată sau neintenționată a datelor;
7) să nu admită compromiterea sursei datelor;
8) să nu admită pierderea sau deteriorarea datelor;
9) ulterior finalizării procedurilor de testare a funcționalității procesului de schimb de date, să asigure și să garanteze arhivarea securizată a datelor furnizate pentru testare, în scop de trasabilitate, prin metoda folosirii mijloacelor speciale tehnice și de program, măsuri organizaționale și de regim, pentru o perioadă de un an.
80. Nivelul agreat de servicii este parte componentă obligatorie a contractelor de schimb de date prin intermediul platformei MConnect, încheiate între autoritatea competentă și participanții privați la schimbul de date.
81. Autoritatea competentă este responsabilă de asigurarea calității serviciilor de transport de date la nivelul agreat de servicii pentru platforma MConnect.
82. Autoritatea competentă nu este responsabilă de calitatea datelor furnizate de către furnizorul de date, inclusiv de disponibilitatea, integritatea și performanța acestora.
83. Asigurarea calității datelor furnizate, inclusiv disponibilitatea, integritatea și performanța acestora, ține de responsabilitatea furnizorilor de date.
84. La conectare la platforma MConnect furnizorul de date comunică autorității competente nivelul agreat de servicii, parametrii și indicatorii de performanță de furnizare a datelor, pentru a asigura calitatea schimbului de date prin intermediul platformei MConnect. În cazul furnizorilor de date participanți privați, acestea vor fi stabilite în contractele de schimb de date prin intermediul platformei MConnect.
85. Autoritatea competentă trebuie să notifice furnizorului de date schimbul de date ce urmează a fi efectuat prin platforma MConnect, pentru a asigura capacitatea tehnică și organizatorică necesară de furnizare a datelor solicitate.
86. Autoritatea competentă monitorizează performanța procesului de schimb de date și poate oferi informații participanților la schimbul de date pentru asigurarea calității utilizării acestuia.
87. Nivelul agreat al serviciilor (perioada de disponibilitate, nivelul de disponibilitate, nivelul de accesibilitate a datelor prin platforma MConnect) depinde în mod direct de nivelul de disponibilitate al sistemelor informaționale ale furnizorilor de date.
88. Furnizorul de date trebuie să asigure nivelul de disponibilitate al sistemelor informaționale pe care le deține, ce a fost comunicat în prealabil autorității competente, iar în cazul furnizorului de date participant privat – este parte a contractului de schimb de date prin intermediul platformei MConnect încheiat cu autoritatea competentă.
89. Consumatorii de date sînt responsabili de respectarea nivelului agreat de servicii pe segmentul de consum al datelor.
90. Participanții la schimbul de date sînt obligați să informeze imediat autoritatea competentă despre abaterile de la nivelul agreat de servicii sau despre orice alt eveniment depistat care ar putea compromite buna funcționare a platformei MConnect sau a sistemelor informaționale ale altor participanți la schimbul de date.
92. Participantul la schimbul de date înaintează solicitarea motivată de suspendare a schimbului de date prin platforma MConnect autorității competente, care decide asupra suspendării în termen de cinci zile de la data recepționării solicitării de suspendare.
93. Autoritatea competentă transmite furnizorului de date decizia privind suspendarea furnizării datelor, cu indicarea termenului pentru reluarea planificată a furnizării datelor.
94. În cazul imposibilității reluării furnizării de date în termenul indicat, furnizorul de date notifică imediat autorității competente acest fapt, cu specificarea termenului și a acțiunilor ce necesită a fi întreprinse.
95. În scop de menținere sau extindere a platformei MConnect, schimbul de date poate fi suspendat prin decizie motivată a autorității competente, cu notificarea în prealabil a participanților la schimbul de date ale căror interese ar putea fi afectate de suspendare.
96. Schimbul de date este suspendat imediat de către autoritatea competentă, fără notificarea prealabilă a participanților la schimbul de date, însă cu notificarea ulterioară a acestora, în următoarele situații extraordinare:
1) situații de incidente la scară;
2) situații de forță majoră;
3) situații ce țin de utilizarea neconformă a platformei MConnect, prevăzute în prezentul Regulament și alte acte normative în domeniu.
În situațiile menționate la prezentul punct, autoritatea competentă asigură suspendarea imediată sau în termen cît mai scurt a schimbului de date.
97. În cazurile menționate la punctul 96, schimbul de date este suspendat pînă la remedierea, înlăturarea situațiilor ce au creat necesitatea operării suspendării.
98. Suspendarea schimbului de date prin platforma MConnect se efectuează asigurîndu-se un impact minim asupra participanților la schimbul de date.
100. Schimbul de date prin intermediul platformei MConnect trebuie să garanteze protecția datelor cu caracter personal, inclusiv în ceea ce privește:
1) identificarea univocă a consumatorului;
2) specificarea și limitarea scopului;
3) adoptarea de măsuri tehnice și organizaționale în scopul asigurării unui nivel adecvat de protecție a datelor cu caracter personal, în conformitate cu prevederile legislației;
4) jurnalizarea evenimentelor.
101. Accesul la platforma MConnect este acordat exclusiv prin canale securizate de acces și transport de date.
102. Participanții la schimbul de date sînt responsabili de conectarea sistemelor informaționale pe care le dețin la platforma MConnect prin canale securizate de acces și transport de date, în temeiul actelor juridice bilaterale cu furnizorii de rețele și/sau servicii de comunicații electronice, conform recomandărilor și procedurilor de integrare stabilite de autoritatea competentă.
103. Drepturile subiecților de date cu caracter personal, ce decurg din legislația națională cu privire la protecția datelor cu caracter personal, sînt asigurate de către operatorii de date cu caracter personal, care au prelucrat datele cu caracter personal și care poartă răspundere pentru legalitatea prelucrării, urmînd a fi exercitate în raport cu operatorii de date cu caracter personal vizați.
104. Autoritatea competentă, utilizînd funcționalitățile serviciului MAccess, pune la dispoziția subiecților de date cu caracter personal informații de audit privind prelucrarea datelor cu caracter personal de către participanții la schimbul de date, care conțin cel puțin următoarele detalii:
1) utilizatorul care procesează datele cu caracter personal;
2) persoana juridică din care face parte utilizatorul care prelucrează datele cu caracter personal sau care gestionează sistemul informațional în cadrul căruia au fost prelucrate datele cu caracter personal;
3) data și ora prelucrării datelor cu caracter personal;
4) temeiul legal al prelucrării datelor cu caracter personal;
5) scopul prelucrării datelor cu caracter personal;
6) categoriile de date cu caracter personal prelucrate.
1) monitorizează constant utilizarea platformei MConnect;
2) controlează permanent modul de respectare a nivelului agreat al serviciilor și, după caz, de executare a clauzelor contractului de schimb de date prin intermediul platformei MConnect;
3) gestionează riscurile aferente utilizării platformei MConnect, identificate prin implementarea activităților de prevenire, gestionare, combatere;
4) evaluează cu regularitate performanța autorității competente, din perspectiva asigurării calității necesare utilizării platformei MConnect, precum și evaluează performanța participantului la schimbul de date, implicat în asigurarea schimbului de date eficient.
106. În scopul monitorizării și controlului asupra executării prevederilor prezentului Regulament, cooperarea dintre autoritatea competentă și participanții la schimbul de date se asigură prin schimb de informații, ședințe comune de evaluare, planificare, audit.
107. Autoritatea competentă este în drept să efectueze auditul schimbului de date din oficiu, în baza unei solicitări argumentate a participantului la schimbul de date. Modul de efectuare a auditului este stabilit de autoritatea competentă.
108. Concluziile generate de eforturile de monitorizare, control și evaluare sistematică servesc drept bază în luarea deciziilor corective pe parcursul utilizării platformei MConnect, în planificarea activităților la diferite etape de utilizare a platformei MConnect, la evaluarea performanței activității autorității competente și a participanților la schimbul de date din perspectiva interoperabilității și schimbului de date, în supravegherea procesului de schimb de date și la îmbunătățirea cadrului normativ în domeniile relevante.
1) lichidarea sau reorganizarea registrului sau a sistemului informațional – sursă de date;
2) lichidarea consumatorului de date;
3) la solicitarea consumatorului de date, dacă acesta este participant privat și nu este concomitent și furnizor de date, în cazul rezilierii contractului de schimb de date prin intermediul platformei MConnect;
4) modificarea legislației ce are ca efect lipsa temeiului legal de consum al datelor prin platforma MConnect;
5) neutilizarea pe parcursul a cel puțin șase luni a datelor din sistemele informaționale ale furnizorului de date participant privat la schimbul de date;
6) constatarea de către organele de stat competente a unor ilegalități în legătură cu consumul de date în activitatea participantului privat;
7) neachitarea serviciilor de schimb de date prin platforma MConnect, în decurs de 2 luni consecutive, în cazul participantului privat.
110. În cazul prevăzut la punctul 109 subpunctul 1), furnizorul de date al cărui registru sau, după caz, sistem informațional se lichidează ori se reorganizează înaintează o solicitare de deconectare autorității competente în termen de cel mult cinci zile de la data adoptării deciziei de lichidare.
111. În cazul reorganizării registrului sau, după caz, a sistemului informațional, participantul public, deținător al registrului sau sistemului informațional respectiv, inițiază procedura de conectare a registrului sau sistemului informațional reorganizat la platforma MConnect în modul stabilit de prezentul Regulament. Participantul privat poate solicita conectarea în aceleași condiții.
112. În cazul prevăzut la punctul 109 subpunctul 2), consumatorul de date înaintează solicitarea de deconectare de la platforma MConnect în termen de cel mult cinci zile de la data adoptării hotărîrii de lichidare.
113. În cazurile prevăzute la punctul 109 subpunctele 4) și 5), autoritatea competentă adoptă decizia de deconectare de la platforma MConnect din oficiu.
114. Autoritatea competentă examinează cazurile de deconectare în termen de cel mult cinci zile de la data recepționării solicitării de deconectare, a intrării în vigoare a modificărilor la cadrul normativ sau, după caz, a recepționării actului de constatare a ilegalității în consumul de date.
115. Decizia de deconectare se aduce la cunoștința tuturor participanților la schimbul de date ale căror interese ar putea fi afectate de deconectare.
116. Autoritatea competentă efectuează deconectarea de la platforma MConnect în termen de cel mult cinci zile de la data luării deciziei de deconectare sau într-un alt termen prevăzut în decizie.
117. În cazurile prevăzute la punctul 109 subpunctele 4) și 6), autoritatea competentă decide, în condițiile prezentului Regulament, suspendarea imediată a schimbului de date prin platforma MConnect pe perioada de examinare a cazului de deconectare.
1. Se aprobă Regulamentul privind modul de utilizare a platformei de interoperabilitate (MConnect) (se anexează).
2. Se instituie:
1) platforma de interoperabilitate (MConnect), proprietate a statului, în calitate de soluție tehnică destinată asigurării schimbului de date între sistemele informaționale deținute de participanții la schimbul de date, în conformitate cu Legea nr. 142/2018 cu privire la schimbul de date și interoperabilitate;
2) serviciul electronic guvernamental de acces la date (MAccess), proprietate a statului, parte componentă a platformei de interoperabilitate (MConnect).
3. Se desemnează Instituția publică „Agenția de Guvernare Electronică” în calitate de posesor și deținător al platformei de interoperabilitate (MConnect) și autoritate competentă pentru asigurarea schimbului de date și interoperabilității (în continuare – autoritate competentă), în conformitate cu Legea nr. 142/2018 cu privire la schimbul de date și interoperabilitate.
4. Autoritățile și instituțiile publice, autoritățile administrative autonome, autoritățile administrative centrale subordonate Guvernului și structurile organizaționale din sfera lor de competență (autoritățile administrative din subordine, inclusiv serviciile publice desconcentrate și cele aflate în subordine, precum și instituțiile publice în care ministerul, Cancelaria de Stat sau altă autoritate administrativă centrală are calitatea de fondator), care dețin sisteme informaționale de stat, precum și persoanele juridice de drept privat care, în numele autorităților și instituțiilor publice, gestionează sau dețin sisteme informaționale de stat:
1) în cazul în care nu au integrat sistemele informaționale pe care le dețin cu platforma de interoperabilitate (MConnect), în termen de 6 luni de la data intrării în vigoare a prezentei hotărîri, vor identifica fluxurile de schimb de date ce necesită a fi realizate prin platformă, vor elabora și vor aproba planuri de conectare la aceasta, după coordonare cu autoritatea competentă;
2) vor integra, din contul mijloacelor financiare proprii, sistemele informaționale pe care le dețin cu platforma de interoperabilitate (MConnect), conform planurilor de conectare coordonate cu autoritatea competentă;
3) în caz de necesitate, vor planifica mijloace financiare necesare integrării sistemelor informaționale pe care le dețin cu platforma de interoperabilitate (MConnect), dezvoltării și mentenanței tehnice a serviciilor de furnizare sau de consum al datelor, conform planurilor de conectare respective;
4) vor rezilia acordurile/contractele bilaterale încheiate direct cu deținătorii de surse de date, care au ca obiect punerea la dispoziție/consumul de date, din momentul realizării schimbului de date prin intermediul platformei de interoperabilitate (MConnect), cu excepțiile stabilite de lege;
5) vor asigura mentenanța conexiunii realizate și a infrastructurii necesare acesteia, conform prevederilor cadrului normativ privind schimbul de date și interoperabilitatea;
6) vor revizui cadrul normativ aferent procesului de prestare a serviciilor către cetățeni, pentru excluderea necesității de prezentare în continuare a actelor, odată ce datele administrative conținute în aceste acte sînt disponibile, consumate sau furnizate prin intermediul platformei de interoperabilitate (MConnect);
7) la dezvoltarea noilor sisteme informaționale, vor asigura ca acestea să fie interconectabile și integrabile cu platforma de interoperabilitate (MConnect).
5. Persoanele juridice de drept privat efectuează schimbul de date prin intermediul platformei de interoperabilitate (MConnect) în condițiile stabilite de Legea nr.142/2018 cu privire la schimbul de date și interoperabilitate și prezenta hotărîre.
6. Pentru participanții publici la schimbul de date, schimbul de date prin intermediul platformei de interoperabilitate (MConnect) este cu titlu gratuit.
7. Participanții publici la schimbul de date, furnizori de date/deținători de sisteme informaționale, vor revizui, în termen de 6 luni, propriile proceduri și tarife privind prestarea serviciilor informaționale în vederea ajustării acestora la prezenta hotărîre.
8. Autoritatea competentă va evalua anual costurile necesare administrării și dezvoltării continue a platformei de interoperabilitate (MConnect) și va înainta propuneri de solicitare a mijloacelor financiare pentru a fi incluse în proiectul legii bugetului de stat pe anul respectiv.
9. Autoritatea competentă va prezenta periodic participanților furnizori de date (deținători de sisteme informaționale) date statistice cu privire la numărul de interpelări efectuate în contextul schimbului de date prin platforma de interoperabilitate (MConnect), cu implicarea sistemelor lor informaționale. Participanții la schimbul de date, deținători de sisteme informaționale, vor utiliza datele prezentate de autoritatea competentă în scopul evaluării capacităților sistemelor informaționale, funcționării lor eficiente și asigurării resurselor financiare necesare pentru mentenanța și dezvoltarea sistemelor informaționale, necesare schimbului de date și interoperabilității.
10. Controlul asupra executării prezentei hotărîri se pune în sarcina Cancelariei de Stat.
PRIM-MINISTRU Pavel FILIP
Contrasemnează:
Ministrul finanţelor Ion Chicu
Nr. 211. Chişinău, 3 aprilie 2019.
Aprobat
prin Hotărîrea Guvernului nr. 211/2019
prin Hotărîrea Guvernului nr. 211/2019
REGULAMENT
privind modul de utilizare a platformei de interoperabilitate (MConnect)
Secțiunea 1
Dispoziții generale
1. Regulamentul privind modul de utilizare a platformei de interoperabilitate (MConnect) (în continuare – Regulament) stabilește procedura de conectare a resurselor informaționale de stat și a resurselor informaționale private la platforma de interoperabilitate (MConnect) (în continuare – platforma MConnect), inclusiv de acordare a accesului la date prin intermediul acesteia, modul de utilizare a platformei MConnect, procedura de monitorizare și control al utilizării, de suspendare a utilizării platformei MConnect, precum și atribuțiile și responsabilitățile participanților la aceste procese. privind modul de utilizare a platformei de interoperabilitate (MConnect)
Secțiunea 1
Dispoziții generale
2. Prezentul Regulament se aplică pentru asigurarea interconectării și interoperabilității resurselor informaționale de stat, precum și pentru facilitarea interoperabilității acestora cu resursele informaționale private prin intermediul platformei MConnect.
3. În sensul prezentului Regulament se utilizează noțiunile și definițiile acestora prevăzute la art. 3 din Legea nr. 142/2018 cu privire la schimbul de date și interoperabilitate, precum și noțiunile ce urmează:
1) serviciul electronic guvernamental de acces la date (MAccess) (în continuare – serviciul MAccess) – serviciu de tip SaaS (software ca serviciu), parte componentă a platformei MConnect, care servește drept interfață, portal de acces la date autentice și preluate, la cerere, în timp real din sursele administrative de date, în limitele drepturilor și temeiului legal;
2) conectare – etapă a procesului de schimb de date, care se inițiază prin solicitarea de schimb de date și se finalizează cu acordarea accesului la datele solicitate de participant în baza mandatului legal al acestuia;
3) integrare – proces tehnologic de elaborare a serviciilor de consum sau de furnizare a datelor prin intermediul platformei de interoperabilitate, în conformitate cu cerințele legale formulate de participantul la schimbul de date și parametrii tehnici agreați cu autoritatea competentă, și de asigurare a disponibilității datelor în platforma de interoperabilitate;
4) anexă tehnică – document care descrie sub aspect tehnic fiecare flux de schimb de date realizat prin intermediul platformei MConnect. Anexa tehnică indică în mod obligatoriu participanții la schimbul de date și calitatea acestora (furnizor/consumator), sistemul/resursa informațională implicată, persoanele responsabile desemnate de participanți, metodele de autentificare și autorizare aplicate, metodele de interpelare (parametri de intrare, caracteristici de disponibilitate), structurile de date ce fac obiectul schimbului de date și alte detalii tehnice, după caz;
5) nivel agreat de servicii – set de parametri și indicatori specifici în baza cărora este determinată disponibilitatea, performanța și calitatea schimbului de date prin intermediul platformei MConnect;
6) incident la scară – situație în care numărul de incidente constatate într-un interval de timp depășește de cel puțin trei ori numărul mediu de incidente pentru același interval de timp în perioadele precedente;
7) incident de securitate – operațiune prin care se încearcă sau se realizează accesul neautorizat la un sistem informațional, un atac asupra integrității și/sau confidențialității informației din cadrul unui sistem informațional automatizat. Aceasta include examinarea sau navigarea neautorizată, întreruperea sau anularea unui serviciu, date alterate sau distruse, prelucrarea, stocarea sau extragerea informațiilor, modificarea informațiilor sistemului referitoare la caracteristicile echipamentului TI (hardware), produselor program (firmware sau software), cu sau fără știința ori intenția utilizatorului.
4. Schimbul de date prin platforma MConnect se efectuează exclusiv în rețeaua telecomunicaţională a autorităților administrației publice, prin intermediul unui canal dedicat și securizat.
Secțiunea a 2-a
Drepturile, atribuțiile și responsabilitățile participanților
la schimbul de date prin intermediul platformei MConnect
5. Autoritatea competentă de asigurarea schimbului de date și a interoperabilității (în continuare – autoritate competentă) are următoarele atribuții și responsabilități:Drepturile, atribuțiile și responsabilitățile participanților
la schimbul de date prin intermediul platformei MConnect
1) reglementează procedurile specifice de depunere și de examinare a solicitărilor de conectare la platforma MConnect, de autorizare a schimbului de date prin intermediul platformei MConnect, stabilește modelul-tip al solicitării de conectare la platforma MConnect;
2) reglementează procedurile de conectare tehnică (integrare) la platforma MConnect și nivelul agreat de servicii, inclusiv perioada de disponibilitate, nivelurile de disponibilitate și de accesibilitate ale platformei MConnect;
3) creează condițiile juridice, organizatorice și financiare pentru asigurarea bunei funcționări a platformei MConnect;
4) înaintează propuneri de îmbunătățire a cadrului normativ în domeniul schimbului de date și al interoperabilității;
5) recepționează, examinează în termenul stabilit de lege și aprobă sau respinge solicitările de conectare la platforma MConnect, depuse de către participanții la schimbul de date;
6) suspendă schimbul de date prin platforma MConnect în cazurile prevăzute de lege și de prezentul Regulament;
7) decide asupra cazurilor în care participanții la schimbul de date urmează a fi deconectați de la platforma MConnect;
8) asigură preluarea datelor de la furnizorul de date în condițiile parametrilor tehnici agreați;
9) asigură transmiterea datelor către consumatorul de date în conformitate cu drepturile legale ale acestuia și parametrii tehnici agreați;
10) conform necesităților consumatorilor ce reies din lege, supune datele primite de la furnizor unui proces de adaptare, după caz, utilizînd funcționalitățile platformei MConnect;
11) sesizează organele competente în caz de depistare a încălcărilor comise de către participanții la schimbul de date în contextul utilizării platformei MConnect;
12) încheie cu participanții privați la schimbul de date contracte de schimb de date prin intermediul platformei MConnect, după modelul aprobat;
13) elaborează și aprobă modelul-tip al contractului de schimb de date prin intermediul platformei MConnect;
14) monitorizează respectarea de către participanții la schimbul de date a procedurilor de conectare, suspendare și deconectare de la platforma MConnect și a modului de utilizare a acesteia de către participanții la schimbul de date, respectarea nivelului agreat de servicii, inclusiv conform contractelor încheiate cu participanții privați;
15) intervine, conform nivelului agreat de servicii, pentru investigarea, soluționarea, îndepărtarea erorilor identificate sau comunicate de participanții la schimbul de date;
16) asigură funcționarea, administrarea și dezvoltarea continuă a platformei MConnect în conformitate cu nivelul agreat de servicii și în limitele bugetului alocat;
17) asigură securitatea informațională a platformei MConnect;
18) informează participanții la schimbul de date despre vulnerabilitățile și incidentele de securitate la utilizarea platformei MConnect, imediat sau în termen de cel mult două zile lucrătoare din momentul depistării acestora;
19) asigură înregistrarea, investigarea, monitorizarea, soluționarea și înlăturarea în termenele stabilite a erorilor comunicate de participanți, a vulnerabilităților și a incidentelor depistate;
20) solicită de la participanții la schimbul de date detaliile și informațiile necesare pentru soluționarea erorilor, a incidentelor înregistrate, cu implicarea acestora, după caz;
21) asigură, în caz de necesitate, acordarea asistenței metodologice și tehnice participanților la schimbul de date în procesul de conectare a acestora la platforma MConnect și, după caz, la instalarea și configurarea unor componente ale platformei MConnect în cadrul infrastructurii participanților;
22) asigură protecția datelor cu caracter personal și securitatea datelor transmise prin platforma MConnect, pe segmentul său de competență, în conformitate cu prevederile Legii nr. 133/2011 privind protecția datelor cu caracter personal și altor acte normative;
23) asigură jurnalizarea schimbului de date cu caracter personal efectuat prin intermediul platformei MConnect;
24) notifică furnizorilor de date faptul conectării noilor consumatori de date, cu indicarea temeiului legal de acces la datele puse la dispoziție;
25) în cazul în care sistemele informaționale deținute de consumator, parte a proiectelor de integrare, prelucrează date cu caracter personal – verifică înregistrarea corespunzătoare a sistemelor respective în Registrul de evidență a operatorilor de date cu caracter personal, în conformitate cu cerințele Legii nr. 133/2011 privind protecția datelor cu caracter personal și Regulamentului Registrului de evidență a operatorilor de date cu caracter personal, aprobat prin Hotărîrea Guvernului nr. 296/2012;
26) organizează activități de promovare, instruire și schimb de experiență privind utilizarea platformei MConnect.
6. Furnizorul de date are următoarele atribuții și responsabilități:
1) implementează măsuri organizatorice și tehnice necesare pentru furnizarea datelor din sistemele informaționale pe care le deține și asigură conectarea acestora la platforma MConnect, din resursele financiare proprii;
2) mandatează autoritatea competentă să asigure transportul datelor din sistemele sale informaționale, conectate la platforma MConnect, inclusiv să le adapteze, după caz, și să le transmită corespunzător solicitărilor consumatorilor de date, în conformitate cu prevederile legislației, și să monitorizeze accesul la aceste date;
3) asigură disponibilitatea datelor din sistemele informaționale pe care le deține și furnizarea acestora în platforma MConnect în conformitate cu legislația;
4) asigură sustenabilitatea sistemelor sale informaționale care sînt conectate la platforma MConnect;
5) asigură veridicitatea, autenticitatea și integritatea datelor furnizate prin intermediul platformei MConnect;
6) asigură actualizarea datelor furnizate prin intermediul platformei MConnect, în modul stabilit de legislație;
7) în cazul modificării formei sau modului de furnizare a datelor prin intermediul platformei MConnect, informează autoritatea competentă, care, la rîndul său, informează consumatorul de date în modul stabilit;
8) inițiază procesul de deconectare de la platforma MConnect în cazurile prevăzute de prezentul Regulament;
9) în cazul furnizorului de date participant privat, încheie contracte de schimb de date prin intermediul platformei MConnect cu autoritatea competentă;
10) obține și gestionează, pe cont propriu, certificatele digitale pentru fiecare sistem informațional deținut ce urmează a fi integrat cu platforma MConnect;
11) anunță autoritatea competentă despre certificatele digitale noi, obținute pentru sistemele informaționale integrate cu platforma MConnect, cu cel puțin 10 zile lucrătoare înainte de expirarea celor utilizate curent;
12) în caz de necesitate, asigură instalarea și configurarea unor componente ale platformei MConnect în cadrul infrastructurii sale în scopul dezvoltării interfețelor pentru schimbul de date;
13) asigură înregistrarea, investigarea, monitorizarea, soluționarea și înlăturarea în termenele stabilite a erorilor comunicate de participanți, a vulnerabilităților și a incidentelor depistate;
14) informează autoritatea competentă despre erorile apărute în procesul schimbului de date, vulnerabilitățile, inclusiv incidentele de securitate ale sistemelor informaționale conectate la platforma MConnect, imediat, iar dacă aceasta nu este posibil, în termen de cel mult două zile lucrătoare din momentul depistării acestora;
15) prezintă necondiționat autorității competente informația necesară pentru înlăturarea erorilor și vulnerabilităților, precum și pentru soluționarea incidentelor de securitate;
16) implementează măsurile necesare pentru asigurarea securității și protecției datelor, inclusiv a celor cu caracter personal, în sistemele sale informaționale integrate cu platforma MConnect;
17) desemnează persoane de contact responsabile de implementarea proiectelor de integrare, iar în caz de schimbare a acestora, anunță autoritatea competentă în termen de cinci zile lucrătoare;
18) informează autoritatea competentă despre solicitările de schimb de date parvenite pe adresa sa și le redirecționează către autoritatea competentă în vederea furnizării datelor solicitate prin intermediul platformei MConnect;
19) nu divulgă unei terțe persoane informații ce țin de modalitatea de autentificare și/sau autorizare, modalitatea tehnică de conectare, schimb de date și monitorizare, precum și oricare altă informație ce ține de schimbul de date prin platforma MConnect, care poate compromite securitatea și buna funcționare a schimbului de date prin platforma MConnect;
20) reziliază acordurile bilaterale de furnizare de date, încheiate cu alți consumatori de date, din momentul realizării schimburilor de date în cauză prin platforma MConnect.
7. Furnizorul de date nu poartă răspundere pentru modul în care consumatorul de date utilizează datele obținute prin platforma MConnect.
8. Consumatorul de date are următoarele atribuții și responsabilități:
1) consultă catalogul semantic și identifică seturile de date pe care intenționează să le consume conform competenței atribuite de lege;
2) solicită conectarea la platforma MConnect, în scopul consumului de date, cu respectarea prevederilor prezentului Regulament, adresînd autorității competente o solicitare de conectare de modelul stabilit;
3) mandatează autoritatea competentă să asigure solicitarea, preluarea, adaptarea, după caz, și transmiterea datelor din sistemele informaționale ale furnizorilor conectate la platforma MConnect, în conformitate cu prevederile legislației;
4) justifică scopul, volumul și modul de utilizare a informației consumate prin platforma MConnect, precum și respectă regimul corespunzător de confidențialitate și securitate a informației;
5) asigură consumul datelor în strictă corespundere cu prevederile legale privind protecția datelor cu caracter personal;
6) aplică măsurile necesare în scopul neadmiterii transmiterii (publicării, difuzării) și/sau utilizării nesancționate de către persoane terțe a informației primite;
7) asigură capacitatea tehnică și organizatorică pentru consumul datelor, conform anexelor tehnice agreate cu autoritatea competentă;
8) dezvoltă proiectele de integrare cu platforma MConnect din resursele financiare proprii, ținînd cont de competențele sale funcționale și necesitățile de serviciu, în scopurile conforme legii;
9) testează serviciul informațional de consum de date pus la dispoziție prin platforma MConnect;
10) inițiază procesul de deconectare de la platforma MConnect în cazurile prevăzute de prezentul Regulament;
11) în cazul consumatorului de date participant privat, încheie contracte de schimb de date prin intermediul platformei MConnect cu autoritatea competentă;
12) obține și gestionează, pe cont propriu, certificatele de cheie publică pentru fiecare sistem informațional deținut care urmează a fi integrat cu platforma MConnect;
13) anunță autoritatea competentă despre certificatele cheilor publice noi, obținute pentru sistemele informaționale integrate cu platforma MConnect, cu cel puțin 10 zile lucrătoare înainte de expirarea celor utilizate curent;
14) asigură controlul accesului la sistemele informaționale și/sau bazele de date, utilizînd funcționalitățile platformei MConnect și/sau sistemele de audit interne;
15) implementează politici interne privind securitatea și modul de acces și utilizare a datelor consumate prin platforma MConnect de către angajații săi;
16) în caz de necesitate, asigură instalarea și configurarea unor componente ale platformei MConnect în cadrul infrastructurii sale, în scopul dezvoltării interfețelor pentru schimbul de date;
17) asigură înregistrarea, investigarea, monitorizarea, soluționarea și înlăturarea în termenele stabilite a erorilor comunicate de participanți, a vulnerabilităților și a incidentelor depistate;
18) informează autoritatea competentă despre erorile apărute în procesul schimbului de date, vulnerabilitățile și incidentele de securitate ale sistemelor informaționale conectate la platforma MConnect imediat, iar dacă aceasta nu este posibil, în termen de cel mult două zile lucrătoare din momentul depistării acestora;
19) prezintă necondiționat autorității competente informația necesară pentru înlăturarea erorilor și a vulnerabilităților și pentru soluționarea incidentelor de securitate;
20) implementează, prin sistemele informaționale pe care le deține, măsurile organizatorice, semantice și tehnice necesare pentru consumul de date puse la dispoziție prin intermediul platformei MConnect;
21) asigură consumul de date prin intermediul platformei MConnect doar în temeiul legii, în scopul exercitării atribuțiilor sale legale și utilizarea acestora, pe proprie răspundere, în limitele și în conformitate cu competențele stabilite de lege;
22) respectă obligația de a nu modifica datele consumate;
23) implementează măsurile necesare pentru asigurarea securității și protecției datelor, inclusiv a celor cu caracter personal, în sistemele sale informaționale integrate cu platforma MConnect;
24) nu divulgă unei terțe persoane informații legate de modalitatea de autentificare și/sau autorizare, modalitatea tehnică de conectare, schimb de date şi monitorizare, precum și oricare altă informație ce ține de schimbul de date prin platforma MConnect;
25) desemnează persoane de contact responsabile de implementarea proiectelor de integrare, iar în caz de schimbare a acestora, anunță autoritatea competentă în termen de cinci zile lucrătoare;
26) reziliază acordurile bilaterale de consum de date, încheiate direct cu furnizori de date, din momentul realizării schimburilor de date prin platforma MConnect.
9. Autoritatea competentă are următoarele drepturi în procesul de schimb de date:
1) să solicite de la participanți date suplimentare în scopul asigurării disponibilității serviciilor informaționale generice;
2) să efectueze adaptarea datelor disponibile/transmise prin intermediul platformei MConnect în conformitate cu prevederile prezentului Regulament și necesitățile legale ale participanților la schimbul de date;
3) să reutilizeze datele disponibile/transmise de furnizori prin intermediul platformei MConnect în scopul exercitării drepturilor și obligațiilor legale ale consumatorilor de date;
4) să solicite participanților informație de referință (feedback) privind utilizarea platformei MConnect.
10. Participanții la schimbul de date au următoarele drepturi:
1) să solicite autorității competente inițierea proiectelor de integrare pentru a putea consuma sau furniza un set diferit de date ori cu alți parametri tehnici decît cele stabilite anterior în anexele tehnice agreate;
2) să solicite asistența metodologică de la autoritatea competentă în proiectele de integrare propuse și, în caz de necesitate, asistență la instalarea și configurarea unor componente ale platformei MConnect în cadrul infrastructurii sale;
3) să solicite suportul autorității competente în investigarea, soluționarea și înlăturarea erorilor apărute în procesul schimbului de date;
4) să solicite autorității competente adaptarea și/sau reutilizarea datelor disponibile/transmise prin intermediul platformei MConnect;
5) să solicite autorității competente informații referitoare la nivelul agreat al serviciilor conform indicatorilor stabiliți în anexele tehnice;
6) să solicite autorității competente informații privind participanții care solicită datele din resursele informaționale pe care le dețin.
Secțiunea a 3-a
Procedura de conectare la platforma MConnect
a consumatorului de date
11. Solicitarea de conectare la platforma MConnect se efectuează în baza unei cereri de modelul stabilit de autoritatea competentă. Solicitarea modificării unui schimb de date existent se realizează în conformitate cu normele stabilite de prezentul Regulament pentru procedura de conectare la platforma MConnect.Procedura de conectare la platforma MConnect
a consumatorului de date
12. În vederea depunerii cererii de conectare la platforma MConnect, consumatorul de date consultă catalogul semantic pentru a identifica activele semantice și seturile de date pe care intenționează să le consume prin platforma MConnect. Pînă la instituirea și funcționarea catalogului semantic, identificarea și descrierea seturilor de date și a metodelor de realizare a schimbului de date se efectuează în comun cu autoritatea competentă și participanții la schimbul de date.
13. Cererea de conectare la platforma MConnect trebuie să conțină următoarele informații:
1) identificarea setului de date care urmează a fi consumate conform clasificatoarelor catalogului semantic;
2) temeiul legal pentru consumul datelor, care trebuie să includă referințele exprese la normele juridice din actele normative ce mandatează accesul la date și/sau prelucrarea datelor respective de către participant;
3) dacă consumul de date include date cu caracter personal – indicarea numărului de înregistrare a participantului și sistemului informațional respectiv în Registrul de evidență a operatorilor de date cu caracter personal;
4) dacă consumul de date include informații cu accesibilitate limitată, altele decît cele menționate la subpunctul 3) – referința expresă la normele juridice care acordă participantului dreptul de a accesa și de a utiliza în activitatea sa astfel de informații;
5) informații (inclusiv nume, prenume, funcția deținută, telefon de contact, e-mail) privind persoanele de contact ale participantului responsabile de aspectele de ordin tehnic și juridic aferente procesului de conectare la platforma MConnect;
6) declarația pe proprie răspundere a participantului privind asumarea responsabilității pentru modul în care datele vor fi consumate de către angajații săi.
14. Autoritatea competentă poate solicita prezentarea unor informații suplimentare celor menționate la punctul 13, în scopul detalierii aspectelor de schimb de date și al identificării metodei optime în acest sens, precum și pentru o mai bună examinare a cererii de conectare la platforma MConnect.
15. La examinarea cererii, autoritatea competentă identifică participanții la schimbul de date, analizează cadrul legislativ în baza căruia se solicită consumul de date și verifică posibilitatea tehnică de conectare, respectarea cerințelor de securitate și confidențialitate, precum și disponibilitatea datelor în platforma MConnect.
16. Dacă cererea depusă corespunde cerințelor de formă stabilite, dacă este completă sub aspectul informațiilor indicate și dacă întrunește condițiile stabilite de Legea nr. 142/2018 cu privire la schimbul de date și interoperabilitate, autoritatea competentă, în termen de 30 de zile lucrătoare de la data recepționării, în urma examinării, adoptă decizia privind efectuarea schimbului de date prin intermediul platformei MConnect, cu informarea participanților.
17. Decizia privind schimbul de date prin platforma MConnect trebuie să conțină în mod obligatoriu:
1) confirmarea eligibilității solicitantului din punct de vedere juridic de a consuma date, precum și posibilitatea furnizării datelor respective prin platforma MConnect;
2) referințe la temeiul și scopul legal în baza căruia se autorizează schimbul de date, inclusiv competențele legale ale solicitantului de a consuma datele respective;
3) identificarea setului de date conform activelor semantice din catalogul semantic;
4) descrierea, în anexa tehnică, a metodelor de interpelare în vederea furnizării sau consumării datelor (parametri de intrare), a structurilor de date vizate, a caracteristicilor tehnice ale schimbului de date (număr maxim de apeluri, particularități de performanță și disponibilitate), a particularităților de jurnalizare;
5) specificarea modalității tehnice de schimb de date aplicate: servicii web, interfață de acces la date prin serviciul MAccess;
6) termenul de semnare a contractului de schimb de date sau, după caz, de modificare a unui contract existent – în cazul participanților privați;
7) înștiințarea furnizorului/furnizorilor de date despre schimbul de date ce urmează a fi efectuat prin platforma MConnect, pentru a asigura capacitatea tehnică și organizatorică necesară de furnizare a datelor solicitate.
18. În baza deciziei privind schimbul de date, autoritatea competentă semnează cu participanții la schimbul de date anexa tehnică ce descrie fluxul de schimb de date și inițiază un proiect de integrare a sistemului informațional al solicitantului cu platforma MConnect, precum și de dezvoltare nemijlocită a serviciilor de consum sau de furnizare a datelor.
19. În cazul în care datele pentru care se solicită accesul nu sînt disponibile în platforma MConnect, însă sînt disponibile la potențiali furnizori de date în format digital compatibil, autoritatea competentă emite o decizie privind schimbul de date, respectînd procedura stabilită în prezenta secțiune, și o remite solicitantului și deținătorului sistemului informațional în care sînt disponibile datele solicitate. Suplimentar celor specificate la punctul 17, decizia trebuie să mai conțină următoarele informații:
1) faptul inițierii procesului de obținere a datelor de la furnizorii relevanți;
2) termenul de dezvoltare a serviciilor de furnizare a datelor, de integrare și asigurare a disponibilității acestora în platforma MConnect.
20. În baza deciziei autorității competente privind schimbul de date prin platforma MConnect, deținătorul sistemului informațional în care sînt disponibile datele solicitate inițiază dezvoltarea serviciilor de furnizare a datelor și integrarea sistemului informațional respectiv cu platforma MConnect. În cazul în care sistemul informațional este al unui participant privat, pînă la inițierea procesului de integrare a acestuia cu platforma MConnect autoritatea competentă și participantul privat încheie un contract de schimb de date.
21. În cazul în care se solicită accesul la informații cu accesibilitate limitată, autoritatea competentă verifică dacă solicitantul, în temeiul legislației și în scopul exercitării de către acesta a competențelor stabilite de lege, dispune de dreptul de a consuma datele solicitate și menționează expres acest fapt în decizie.
22. În cazul în care se solicită accesul la date care conțin date cu caracter personal, autoritatea competentă verifică existența înregistrării corespunzătoare a sistemelor respective în Registrul de evidență a operatorilor de date cu caracter personal, în conformitate cu cerințele Legii nr. 133/2011 privind protecția datelor cu caracter personal și Regulamentului Registrului de evidență a operatorilor de date cu caracter personal, aprobat prin Hotărîrea Guvernului nr. 296/2012.
23. După asigurarea disponibilității datelor solicitate în platforma MConnect, consumatorul de date participant public inițiază conectarea tehnică (integrarea) cu serviciul informațional de furnizare a datelor pus la dispoziție prin platforma MConnect.
24. În cazul în care consumatorul de date este un participant privat la schimbul de date, pînă la inițierea conectării tehnice (integrării) acesta semnează cu autoritatea competentă contractul de schimb de date prin intermediul platformei MConnect.
25. Contractul de schimb de date prin intermediul platformei MConnect trebuie să conțină în mod obligatoriu cel puțin următoarele informații:
1) părțile contractului;
2) obiectul contractului, care constă în efectuarea schimbului de date eficient dintre diferiți participanți la schimbul de date prin intermediul platformei MConnect, în scopurile conforme legii;
3) termenul contractului;
4) drepturile, obligațiile și responsabilitățile autorității competente și ale participantului privat la schimbul de date;
5) condițiile și parametrii tehnici în care are loc schimbul de date;
6) informația de contact privind persoana responsabilă/persoanele responsabile de interacțiunea cu autoritatea competentă și viceversa;
7) modul de interacțiune dintre autoritatea competentă și participantul privat;
8) nivelul agreat de servicii;
9) detaliile privind taxa de configurare și taxa pentru date aplicate, precum și condițiile de plată;
10) anexa tehnică, care descrie fluxul de schimb de date;
11) modalitatea de soluționare a litigiilor.
26. Procesul de integrare se finalizează odată cu punerea la dispoziția consumatorului de date, de către autoritatea competentă, a informației (credențialelor de acces) necesare pentru accesarea datelor solicitate.
27. Participanții la schimbul de date, inclusiv autoritatea competentă, efectuează toate testările necesare în privința conexiunii de furnizare și/sau de consum de date, doar pe mediul de test. Credențialele de acces la serviciul informațional pe mediul de producție sînt puse la dispoziție participantului la schimbul de date de către autoritatea competentă în urma notificării privind efectuarea de către participant a tuturor testărilor necesare și solicitării exprese privind migrarea serviciului pe mediul de producție.
28. Testele de performanță, de funcționalitate, de securitate ale sistemelor informaționale ce consumă/furnizează date prin intermediul platformei MConnect, care se referă la testarea conexiunilor la platforma MConnect se efectuează de către participantul la schimbul de date conform unui plan de testare agreat cu autoritatea competentă.
29. Consumatorii de date care nu dețin sisteme informaționale capabile să consume date în regim automatizat prin platforma MConnect accesează datele respective utilizînd serviciul MAccess.
30. Autoritatea competentă respinge cererea de conectare la platforma MConnect prin decizie motivată în următoarele cazuri:
1) nu există temei juridic pentru consumul de date;
2) scopul consumului de date indicat în cerere contravine legislației sau prezentului Regulament;
3) este imposibilă integrarea cu platforma MConnect sub aspect tehnic fie a sistemului informațional al furnizorului de date, fie al sistemului informațional al consumatorului de date;
4) nu sînt respectate cerințele de securitate și confidențialitate ce decurg din regimul juridic al datelor, iar conectarea la platforma MConnect va periclita funcționalitatea acesteia sau securitatea datelor din sistemele informaționale ale participanților la schimbul de date.
31. Autoritatea competentă informează solicitantul despre motivele respingerii cererii acestuia.
Secțiunea a 4-a
Procedura de conectare la platforma MConnect furnizorului de date
32. Furnizorii de date, deținători ai resurselor informaționale, în baza deciziei autorității competente, conectează sistemele lor informaționale la platforma MConnect, dezvoltînd servicii informaționale generice în scopul asigurării disponibilității datelor deținute. În aceste cazuri autoritatea competentă emite decizia din oficiu sau la solicitarea furnizorului de date. Procedura de conectare la platforma MConnect furnizorului de date
33. Conectarea furnizorilor de date participanți privați la schimbul de date se efectuează la solicitarea acestora, în baza deciziei autorității competente.
34. În procesul de conectare furnizorul de date prezintă autorității competente declarația pe proprie răspundere privind veridicitatea datelor furnizate prin platforma MConnect.
35. Autoritatea competentă acordă asistența metodologică necesară pentru asigurarea de către furnizor a dezvoltării și a expunerii în platforma MConnect a serviciilor informaționale generice.
36. Autoritatea competentă emite decizia privind conectarea furnizorului de date la platforma MConnect și:
1) în cazul furnizorului de date participant public, agreează în comun termenul de realizare a lucrărilor de integrare a sistemului informațional cu platforma MConnect;
2) în cazul furnizorului de date participant privat, semnează contractul de schimb de date prin intermediul platformei MConnect cu furnizorul de date respectiv și agreează termenul de realizare a lucrărilor de integrare a sistemului informațional cu platforma MConnect.
37. În baza deciziei autorității competente privind schimbul de date disponibile în platforma MConnect, furnizorul de date este obligat să revizuiască capacitățile de furnizare a datelor pentru asigurarea disponibilității datelor.
38. În baza deciziei autorității competente privind schimbul de date, furnizorul de date participant public demarează procedura de conectare la platforma MConnect, cu elaborarea serviciului informațional web de furnizare a datelor, iar furnizorul de date participant privat, pînă la demararea procedurii de conectare, semnează cu autoritatea competentă contractul de schimb de date prin intermediul platformei MConnect.
39. Decizia autorității competente privind schimbul de date care nu sînt disponibile în platforma MConnect, dar care sînt disponibile într-un sistem informațional al unui participant privat este adoptată în urma coordonării acesteia cu participantul respectiv.
40. Furnizorul de date asigură conectarea la platforma MConnect a sistemelor sale informaționale, ca surse de date, în termen de cel mult 45 de zile de la data recepționării deciziei autorității competente privind schimbul de date prin platforma MConnect.
Secțiunea a 5-a
Utilizarea platformei MConnect
41. Furnizarea datelor sau consumul acestora de către participanții publici la schimbul de date se efectuează exclusiv în temeiul legii și al prevederilor prezentului Regulament, iar de către participanții privați – și în baza contractului de schimb de date prin intermediul platformei MConnect încheiat cu autoritatea competentă. Utilizarea platformei MConnect
42. La utilizarea platformei MConnect, furnizorul de date poate avea concomitent și calitatea de consumator de date, iar consumatorul de date – calitatea de furnizor de date.
43. Platforma MConnect nu poate fi utilizată:
1) în scopuri ce contravin legislației;
2) atunci cînd implică riscuri de securitate informațională atît pentru platforma MConnect, cît și pentru participanții la schimbul de date;
3) în scopuri ce pot periclita imaginea și interesele legale ale autorității competente sau ale participanților la schimbul de date;
4) în mod abuziv și contrar parametrilor tehnici agreați cu autoritatea competentă.
44. Schimbul de date cu caracter personal prin platforma MConnect este jurnalizat. Jurnalizarea schimburilor de date cu caracter personal, efectuate prin intermediul platformei MConnect, cuprinde cel puțin, dar nu se limitează la, următoarele date (la nivel HTTP sau SOAP):
1) utilizatorul care procesează datele cu caracter personal;
2) persoana juridică din care face parte utilizatorul care procesează datele cu caracter personal sau care gestionează sistemul informațional;
3) data și timpul prelucrării;
4) temeiul legal al prelucrării datelor cu caracter personal;
5) scopul prelucrării datelor cu caracter personal;
6) categoriile de date cu caracter personal prelucrate.
Secțiunea a 6-a
Particularitățile utilizării serviciului MAccess
45. Consumatorii de date care nu dețin sisteme informaționale capabile să consume date în regim automatizat prin platforma MConnect pot accesa datele respective utilizînd serviciul MAccess. Conectarea acestor consumatori de date se realizează conform procedurii generale pentru conectarea consumatorilor de date, stabilite de prezentul Regulament, cu particularitățile stabilite în prezenta secțiune.Particularitățile utilizării serviciului MAccess
46. Consumul de date prin intermediul serviciului MAccess se efectuează prin accesarea de către consumator a URL-ului https://maccess.gov.md, interfață web de acces la date, pusă la dispoziție de autoritatea competentă.
47. Autentificarea consumatorilor de date prin intermediul serviciului MAccess se efectuează folosind dispozitivele de creare și/sau verificare a semnăturii electronice în conformitate cu Legea nr. 91/2014 privind semnătura electronică și documentul electronic, prin intermediul serviciului electronic guvernamental de autentificare și control al accesului (MPass).
48. Suplimentar atribuțiilor reglementate la punctul 5, autoritatea competentă are următoarele responsabilități privind asigurarea schimbului de date prin intermediul serviciului MAccess:
1) asigură funcționarea serviciului MAccess în corespundere cu condițiile și parametrii tehnici stabiliți, inclusiv nivelul agreat de servicii;
2) asigură disponibilitatea prin intermediul serviciului MAccess a seturilor de date destinate consumatorului, în corespundere cu mandatul legal al acestuia și conform modalității stabilite în anexele tehnice;
3) asigură funcționarea mecanismelor de semnare electronică a documentelor PDF generate prin accesarea serviciului MAccess;
4) efectuează configurările necesare în serviciul guvernamental MPass pentru definirea rolului de administrator tehnic al paginii MAccess destinate consumatorului de date și atribuie rolul de administrator tehnic persoanei responsabile de managementul utilizatorilor, desemnate de consumatorul de date;
5) acordă asistență informațională și metodologică consumatorului de date în legătură cu funcționarea și utilizarea serviciului MAccess.
49. În calitate de consumator de date prin intermediul serviciului MAccess, participantul la schimbul de date, suplimentar responsabilităților enumerate la punctul 8, are următoarele obligații:
1) accesează și utilizează serviciul MAccess în conformitate cu prevederile legislației;
2) obține și gestionează, pe cont propriu, semnăturile electronice necesare accesării serviciului MAccess;
3) desemnează persoana responsabilă de managementul utilizatorilor paginii create în MAccess de autoritatea competentă, cu transmiterea IDNP-ului persoanei responsabile către autoritatea competentă, pentru înregistrarea acesteia în calitate de administrator tehnic;
4) informează, în scris, imediat sau cel tîrziu în decurs de patru ore, autoritatea competentă despre schimbarea persoanei desemnate ca fiind responsabilă de managementul utilizatorilor, cu transmiterea documentelor confirmative în acest sens, inclusiv pentru persoana nou-desemnată;
5) realizează, pe propria răspundere, managementul corect al utilizatorilor concreți din cadrul entității consumatoare de date (care implică, dar nu se limitează la: atribuirea rolurilor, adăugarea/ștergerea în calitate de administrator tehnic, adăugarea/ștergerea în calitate de consultant/operator), care au acces la date, în funcție de rolul atribuit;
6) asigură implementarea cerințelor și mecanismelor de securitate informațională în procesul utilizării serviciului MAccess și de protecție a datelor cu caracter personal;
7) este responsabil de modul de accesare și utilizare a datelor, precum și de întreprinderea măsurilor pentru evitarea accesului neautorizat al persoanelor terțe.
Secțiunea a 7-a
Particularitățile schimbului de date cu regim juridic special (art. 2 alin. (4)
și art. 6 alin. (3) din Legea nr. 142/2018 cu privire la schimbul de date
și interoperabilitate)
50. Autoritățile și instituțiile publice cu atribuții în domeniul activității de supraveghere a entităților din sectorul financiar, al apărării naționale, al securității statului, al menținerii ordinii publice, al contracarării infracționalității, al prevenirii și combaterii corupției, a actelor conexe corupției și a faptelor cu caracter corupțional pot efectua schimb de date cu regim juridic special (date atribuite la secretul de stat, secretul bancar etc.) prin platforma MConnect, în măsura în care manifestă disponibilitate și intenție expresă în acest sens.Particularitățile schimbului de date cu regim juridic special (art. 2 alin. (4)
și art. 6 alin. (3) din Legea nr. 142/2018 cu privire la schimbul de date
și interoperabilitate)
51. Schimbul de date menționat la punctul 50 se efectuează în ordinea stabilită de prezentul Regulament, ținînd cont de particularitățile menționate în prezenta secțiune.
52. Autoritățile și instituțiile publice menționate la punctul 50, în calitate de furnizor și/sau consumator de date, participantul la schimbul de date (furnizor și/sau consumator), precum și autoritatea competentă încheie acorduri trilaterale pentru fiecare flux de schimb de date menționat la punctul 50, în care indică în special:
1) părțile la schimbul de date și rolul fiecărei părți;
2) drepturile, obligațiile și responsabilitățile specifice pentru asigurarea securității și confidențialității fluxului concret de schimb de date;
3) persoanele responsabile desemnate de fiecare parte și datele de contact ale acestora;
4) nivelul agreat de servicii;
5) măsurile tehnice aplicate pentru asigurarea securității schimbului de date, confidențialității, integrității datelor ce fac obiectul schimbului de date;
6) mecanismele de criptare/decriptare utilizate și modul de comunicare a părților în acest context;
7) detaliile ce țin de jurnalizarea evenimentelor privind schimbul de date și modul de acces al părților la informațiile respective, în conformitate cu mandatul legal al fiecăreia;
8) anexa tehnică care descrie fluxul de schimb de date.
53. Autoritățile și instituțiile publice menționate la punctul 50, în calitate de furnizor și/sau consumator de date, participantul la schimbul de date (furnizor și/sau consumator), precum și autoritatea competentă colaborează și stabilesc în comun detaliile tehnice, legale, semantice și organizatorice pentru asigurarea interoperabilității și schimbului de date cu regim juridic special.
54. Autoritățile și instituțiile publice menționate la punctul 50, în calitate de furnizor și/sau consumator de date, participantul la schimbul de date (furnizor și/sau consumator), precum și autoritatea competentă asigură, fiecare pe segmentul său de competență, monitorizarea continuă și corespunzătoare a schimbului de date implementat.
55. În cazul producerii unor erori, incidente sau al identificării unor riscuri de securitate, în contextul unui flux de schimb de date implementat, partea care a constatat acest fapt informează celelalte părți imediat, dar nu mai tîrziu de 24 de ore din momentul constatării, prin orice mijloc de comunicare disponibil, care permite confirmarea informării. Părțile vor asigura înregistrarea erorilor, incidentelor și riscurilor de securitate identificate, precum și vor coopera și vor depune tot efortul și diligența necesare pentru înlăturarea în termen optim a acestora, cu un impact minim asupra securității, confidențialității, disponibilității și integrității datelor.
56. Pe perioada investigării, soluționării, înlăturării erorilor, incidentelor și riscurilor de securitate, autoritatea competentă în comun cu participanții la schimbul de date menționați la punctul 50 pot decide suspendarea schimbului de date prin platforma MConnect.
Secțiunea a 8-a
Particularitățile schimbului de date cu participanții privați
57. Schimbul de date cu participanții privați are loc în conformitate cu prevederile Legii nr. 142/2018 cu privire la schimbul de date și interoperabilitate și ale prezentului Regulament și este cu titlu oneros, în baza contractului încheiat cu autoritatea competentă, dacă actele normative nu reglementează altfel.Particularitățile schimbului de date cu participanții privați
58. Pentru schimbul de date prin platforma MConnect efectuat cu participanții privați este percepută o taxă de configurare și o taxă pentru schimb de date. Taxa de configurare și taxa pentru schimbul de date se virează pe contul indicat de autoritatea competentă și, integral, se fac venit la bugetul de stat.
59. Taxa de configurare și taxa pentru schimbul date stabilite de prezentul Regulament substituie oricare alte plăți percepute de participanții la schimbul de date furnizori de date/deținători de sisteme informaționale pentru prestarea serviciilor de furnizare a datelor.
60. Taxa de configurare constituie taxa percepută pentru lucrările de configurare a platformei MConnect pentru elaborarea serviciilor informaționale de furnizare și/sau consumare a unui set anumit de date prin platforma MConnect. Taxa de configurare constituie 1000 (una mie) lei pentru fiecare set de date nou configurat, precum și pentru oricare modificări, completări la seturi de date deja configurate. Taxa de configurare se plătește în monedă națională, prin transfer de pe contul participantului privat la schimbul de date la contul indicat de autoritatea competentă, în baza facturii emise de autoritatea competentă. Autoritatea competentă prezintă participantului privat factura pentru achitarea taxei de configurare în decurs de cinci zile de la data semnării anexei tehnice care descrie fluxul de schimb de date agreat.
61. Taxa pentru schimb de date constituie taxa percepută lunar pentru volumul de date consumat și/sau furnizat de participantul privat la schimbul de date prin intermediul platformei MConnect. Taxa pentru schimb date este variabilă în funcție de numărul de interpelări efectuate cu succes, conform tabelului 1 și se calculează după modelul indicat în tabelul 2.
Tabelul 1
|
Număr de interpelări*
|
Taxa aplicată per interpelare |
|
Primele 10
|
0 lei
|
|
11-100
|
10 lei
|
|
101-1000
|
5 lei
|
|
1001-10000
|
1 leu
|
|
10001-100000
|
0,5 lei
|
|
Peste 100000
|
0,25 lei
|
* Numărul de interpelări ale serviciului informațional de schimb de date, efectuate cu succes de către sistemul informațional al participantului, în decurs de o lună.
Tabelul 2
Model de calcul al taxei pentru date
|
Model de calcul al taxei pentru date |
|
Număr de interpelări efectuate cu succes în decurs de o lună = 756 i |
|
Calcul sumă spre achitare:
10 i x 0 lei + 90 i x 10 lei + 656 i x 5 lei = 4180 lei |
|
Total spre achitare: 4180 lei
|
62. Autoritatea competentă prezintă lunar, pînă la data de 5 a lunii următoare perioadei de gestiune, participantului privat consumator de date actele de prestare și acceptare a serviciilor de schimb de date.
63. Actele de prestare și acceptare a serviciilor de schimb de date trebuie să includă rapoarte privind volumul și nivelul serviciilor prestate.
64. Participantul privat semnează actele de prestare și acceptare a serviciilor de schimb de date sau prezintă autorității competente pretențiile sale. Dacă în termen de cinci zile lucrătoare autoritatea competentă nu primește răspuns, actele de prestare și acceptare a serviciilor de schimb de date se consideră a fi semnate de către participantul privat.
65. Costul serviciilor de schimb de date se achită de participantul privat, prin transfer, către autoritatea competentă, lunar, pînă la data de 10 a lunii următoare, conform facturilor emise de autoritatea competentă, la contul indicat de autoritatea competentă, făcîndu-se venit la bugetul de stat.
66. Pentru achitarea cu întîrziere a plății pentru serviciile de schimb de date prin intermediul platformei MConnect se percepe o penalitate în mărime de 0,1% din suma restantă, calculată pentru fiecare zi de întîrziere.
67. Pentru neachitarea în decurs de două luni consecutive a serviciilor de schimb de date prin intermediul platformei MConnect, autoritatea competentă dispune deconectarea participantului privat în cauză de la serviciul informațional de furnizare și/sau consum de date, cu preavizarea acestuia cu cel puțin zece zile înainte de deconectare.
68. Participantul privat care furnizează date prin intermediul platformei de interoperabilitate unui participant public, în scopul executării unei obligații legale în raport cu statul, ce decurge din prevederi legale exprese (raportare, monitorizare etc.) nu achită taxa de configurare și taxa pentru schimbul de date.
69. Costurile pentru schimbul de date prin intermediul platformei MConnect între un participant privat în calitate de furnizor de date și un participant public în calitate de consumator de date se stabilesc în comun de participanți și autoritatea competentă, pe bază contractuală.
70. Costurile pentru schimbul de date prin intermediul platformei MConnect între doi participanți privați se stabilesc în comun de participanți pe bază contractuală și includ în mod obligatoriu taxa de configurare și taxa pentru schimb de date stabilite de prezenta secțiune.
71. Participanții privați pot consuma un set determinat de date prin intermediul platformei MConnect în scopul dezvoltării și oferirii unor soluții tehnologice de interes social (aplicații, portaluri informaționale etc. prin care sînt promovate interesele societății și ale statului, fără a urmări un scop lucrativ sau obținerea unui venit, și care au la bază obiective filantropice de importanță socială, acordînd acces persoanelor la propriile date, fără a fi percepute taxe în acest sens). În acest caz taxa pentru schimb de date nu se percepe, iar participantul privat achită doar taxa de configurare conform punctului 60. În situația utilizării datelor consumate într-un alt scop decît cel prevăzut la prezentul punct, urmează a fi aplicate prevederile corespunzătoare din prezenta secțiune.
72. În situația prevăzută la punctul 71, contractul de schimb de date prin intermediul platformei MConnect prevede în mod expres și concret scopul urmărit la consumul datelor de către participantul privat, fixează garanții și responsabilități de ordin juridic și tehnologic pentru părțile implicate, în vederea asigurării respectării cerinței de utilizare a setului determinat de date strict în scopul menționat.
Secțiunea a 9-a
Testarea funcționalității procesului de schimb de date
73. Testarea funcționalității fluxului de schimb de date are loc în scopul asigurării livrării către participanți a unor servicii informaționale de consum și/sau furnizare a datelor robuste, care să răspundă cerințelor de siguranță și protecție a datelor cu caracter personal, și al excluderii incidenței potențialelor deteriorări, pierderi sau distrugeri ale datelor cu caracter personal în procesul schimbului de date prin intermediul platformei MConnect.Testarea funcționalității procesului de schimb de date
74. Testarea funcționalității fluxului de schimb de date are loc inclusiv în scopul asigurării corespunderii acestuia cu parametrii tehnici ai interpelărilor și structurilor de date agreate de participanți și descrise în anexele tehnice.
75. Testarea funcționalității procesului de schimb de date prin intermediul platformei MConnect între participanții la schimbul de date, în privința noilor servicii informaționale create, noilor sisteme informaționale conectate la platforma MConnect se va efectua în baza setului de date de test pus la dispoziție de către participantul la schimbul de date.
76. Autoritatea competentă va desemna expres prin ordin persoanele responsabile de efectuarea testării funcționalității procesului de schimb de date în temeiul și scopurile menționate în prezenta secțiune.
77. Persoanele responsabile de efectuarea testării funcționalității procesului de schimb de date a noilor servicii informaționale create au obligația de a efectua procesul de testare în strictă conformitate cu prevederile Legii nr. 133/2011 privind protecția datelor cu caracter personal și Cerințele față de asigurarea securității datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaționale de date cu caracter personal, aprobate prin Hotărîrea Guvernului nr. 1123/2010.
78. În procesul operațiunilor tehnice de testare a funcționalității procesului de schimb de date, în scopul neadmiterii unor breșe de securitate, persoanele responsabile, desemnate conform punctului 76, asigură implementarea și respectarea acelorași măsuri de securitate care se aplică în mediul de producție și sînt obligate:
1) să asigure integritatea datelor furnizate pentru testare;
2) să utilizeze datele furnizate pentru testare exclusiv pe mediul de test creat în acest sens și doar în scopurile menționate de testare;
3) să nu admită accesul neautorizat al unor persoane terțe la datele furnizate pentru testare;
4) să nu admită divulgarea, transmiterea neautorizată a datelor unor persoane terțe;
5) să nu admită utilizarea datelor în alte scopuri decît cele menționate în prezenta secțiune sau de către persoane neautorizate;
6) să nu admită coruperea intenționată sau neintenționată a datelor;
7) să nu admită compromiterea sursei datelor;
8) să nu admită pierderea sau deteriorarea datelor;
9) ulterior finalizării procedurilor de testare a funcționalității procesului de schimb de date, să asigure și să garanteze arhivarea securizată a datelor furnizate pentru testare, în scop de trasabilitate, prin metoda folosirii mijloacelor speciale tehnice și de program, măsuri organizaționale și de regim, pentru o perioadă de un an.
Secțiunea a 10-a
Nivelul agreat de servicii
79. Schimbul de date prin intermediul platformei MConnect se efectuează cu respectarea nivelului agreat de servicii, în ceea ce privește perioada de disponibilitate, nivelurile de disponibilitate și de accesibilitate ale platformei MConnect, elaborat de către autoritatea competentă. Nivelul agreat de servicii
80. Nivelul agreat de servicii este parte componentă obligatorie a contractelor de schimb de date prin intermediul platformei MConnect, încheiate între autoritatea competentă și participanții privați la schimbul de date.
81. Autoritatea competentă este responsabilă de asigurarea calității serviciilor de transport de date la nivelul agreat de servicii pentru platforma MConnect.
82. Autoritatea competentă nu este responsabilă de calitatea datelor furnizate de către furnizorul de date, inclusiv de disponibilitatea, integritatea și performanța acestora.
83. Asigurarea calității datelor furnizate, inclusiv disponibilitatea, integritatea și performanța acestora, ține de responsabilitatea furnizorilor de date.
84. La conectare la platforma MConnect furnizorul de date comunică autorității competente nivelul agreat de servicii, parametrii și indicatorii de performanță de furnizare a datelor, pentru a asigura calitatea schimbului de date prin intermediul platformei MConnect. În cazul furnizorilor de date participanți privați, acestea vor fi stabilite în contractele de schimb de date prin intermediul platformei MConnect.
85. Autoritatea competentă trebuie să notifice furnizorului de date schimbul de date ce urmează a fi efectuat prin platforma MConnect, pentru a asigura capacitatea tehnică și organizatorică necesară de furnizare a datelor solicitate.
86. Autoritatea competentă monitorizează performanța procesului de schimb de date și poate oferi informații participanților la schimbul de date pentru asigurarea calității utilizării acestuia.
87. Nivelul agreat al serviciilor (perioada de disponibilitate, nivelul de disponibilitate, nivelul de accesibilitate a datelor prin platforma MConnect) depinde în mod direct de nivelul de disponibilitate al sistemelor informaționale ale furnizorilor de date.
88. Furnizorul de date trebuie să asigure nivelul de disponibilitate al sistemelor informaționale pe care le deține, ce a fost comunicat în prealabil autorității competente, iar în cazul furnizorului de date participant privat – este parte a contractului de schimb de date prin intermediul platformei MConnect încheiat cu autoritatea competentă.
89. Consumatorii de date sînt responsabili de respectarea nivelului agreat de servicii pe segmentul de consum al datelor.
90. Participanții la schimbul de date sînt obligați să informeze imediat autoritatea competentă despre abaterile de la nivelul agreat de servicii sau despre orice alt eveniment depistat care ar putea compromite buna funcționare a platformei MConnect sau a sistemelor informaționale ale altor participanți la schimbul de date.
Secțiunea a 11-a
Suspendarea schimbului de date prin platforma MConnect
91. Schimbul de date prin platforma MConnect poate fi suspendat temporar de către autoritatea competentă, în baza unei decizii întemeiate, inclusiv la solicitarea motivată a unui participant la schimbul de date.Suspendarea schimbului de date prin platforma MConnect
92. Participantul la schimbul de date înaintează solicitarea motivată de suspendare a schimbului de date prin platforma MConnect autorității competente, care decide asupra suspendării în termen de cinci zile de la data recepționării solicitării de suspendare.
93. Autoritatea competentă transmite furnizorului de date decizia privind suspendarea furnizării datelor, cu indicarea termenului pentru reluarea planificată a furnizării datelor.
94. În cazul imposibilității reluării furnizării de date în termenul indicat, furnizorul de date notifică imediat autorității competente acest fapt, cu specificarea termenului și a acțiunilor ce necesită a fi întreprinse.
95. În scop de menținere sau extindere a platformei MConnect, schimbul de date poate fi suspendat prin decizie motivată a autorității competente, cu notificarea în prealabil a participanților la schimbul de date ale căror interese ar putea fi afectate de suspendare.
96. Schimbul de date este suspendat imediat de către autoritatea competentă, fără notificarea prealabilă a participanților la schimbul de date, însă cu notificarea ulterioară a acestora, în următoarele situații extraordinare:
1) situații de incidente la scară;
2) situații de forță majoră;
3) situații ce țin de utilizarea neconformă a platformei MConnect, prevăzute în prezentul Regulament și alte acte normative în domeniu.
În situațiile menționate la prezentul punct, autoritatea competentă asigură suspendarea imediată sau în termen cît mai scurt a schimbului de date.
97. În cazurile menționate la punctul 96, schimbul de date este suspendat pînă la remedierea, înlăturarea situațiilor ce au creat necesitatea operării suspendării.
98. Suspendarea schimbului de date prin platforma MConnect se efectuează asigurîndu-se un impact minim asupra participanților la schimbul de date.
Secțiunea a 12-a
Securitatea informației și protecția datelor cu caracter personal
în contextul schimbului de date prin platforma MConnect
99. Schimbul de date prin intermediul platformei MConnect se conformează cerințelor minime de securitate corespunzătoare cerințelor de securitate de tip PaaS, livrate din platforma tehnologică guvernamentală MCloud.Securitatea informației și protecția datelor cu caracter personal
în contextul schimbului de date prin platforma MConnect
100. Schimbul de date prin intermediul platformei MConnect trebuie să garanteze protecția datelor cu caracter personal, inclusiv în ceea ce privește:
1) identificarea univocă a consumatorului;
2) specificarea și limitarea scopului;
3) adoptarea de măsuri tehnice și organizaționale în scopul asigurării unui nivel adecvat de protecție a datelor cu caracter personal, în conformitate cu prevederile legislației;
4) jurnalizarea evenimentelor.
101. Accesul la platforma MConnect este acordat exclusiv prin canale securizate de acces și transport de date.
102. Participanții la schimbul de date sînt responsabili de conectarea sistemelor informaționale pe care le dețin la platforma MConnect prin canale securizate de acces și transport de date, în temeiul actelor juridice bilaterale cu furnizorii de rețele și/sau servicii de comunicații electronice, conform recomandărilor și procedurilor de integrare stabilite de autoritatea competentă.
103. Drepturile subiecților de date cu caracter personal, ce decurg din legislația națională cu privire la protecția datelor cu caracter personal, sînt asigurate de către operatorii de date cu caracter personal, care au prelucrat datele cu caracter personal și care poartă răspundere pentru legalitatea prelucrării, urmînd a fi exercitate în raport cu operatorii de date cu caracter personal vizați.
104. Autoritatea competentă, utilizînd funcționalitățile serviciului MAccess, pune la dispoziția subiecților de date cu caracter personal informații de audit privind prelucrarea datelor cu caracter personal de către participanții la schimbul de date, care conțin cel puțin următoarele detalii:
1) utilizatorul care procesează datele cu caracter personal;
2) persoana juridică din care face parte utilizatorul care prelucrează datele cu caracter personal sau care gestionează sistemul informațional în cadrul căruia au fost prelucrate datele cu caracter personal;
3) data și ora prelucrării datelor cu caracter personal;
4) temeiul legal al prelucrării datelor cu caracter personal;
5) scopul prelucrării datelor cu caracter personal;
6) categoriile de date cu caracter personal prelucrate.
Secțiunea a 13-a
Monitorizarea și controlul utilizării platformei MConnect
105. În vederea asigurării funcționării eficiente a platformei MConnect și a schimbului eficient de date, în limitele competențelor atribuite de lege și de prezentul Regulament, autoritatea competentă și participantul la schimbul de date:Monitorizarea și controlul utilizării platformei MConnect
1) monitorizează constant utilizarea platformei MConnect;
2) controlează permanent modul de respectare a nivelului agreat al serviciilor și, după caz, de executare a clauzelor contractului de schimb de date prin intermediul platformei MConnect;
3) gestionează riscurile aferente utilizării platformei MConnect, identificate prin implementarea activităților de prevenire, gestionare, combatere;
4) evaluează cu regularitate performanța autorității competente, din perspectiva asigurării calității necesare utilizării platformei MConnect, precum și evaluează performanța participantului la schimbul de date, implicat în asigurarea schimbului de date eficient.
106. În scopul monitorizării și controlului asupra executării prevederilor prezentului Regulament, cooperarea dintre autoritatea competentă și participanții la schimbul de date se asigură prin schimb de informații, ședințe comune de evaluare, planificare, audit.
107. Autoritatea competentă este în drept să efectueze auditul schimbului de date din oficiu, în baza unei solicitări argumentate a participantului la schimbul de date. Modul de efectuare a auditului este stabilit de autoritatea competentă.
108. Concluziile generate de eforturile de monitorizare, control și evaluare sistematică servesc drept bază în luarea deciziilor corective pe parcursul utilizării platformei MConnect, în planificarea activităților la diferite etape de utilizare a platformei MConnect, la evaluarea performanței activității autorității competente și a participanților la schimbul de date din perspectiva interoperabilității și schimbului de date, în supravegherea procesului de schimb de date și la îmbunătățirea cadrului normativ în domeniile relevante.
Secțiunea a 14-a
Deconectarea de la platforma MConnect
109. Deconectarea de la platforma MConnect se efectuează, în baza deciziei autorității competente, în următoarele cazuri:Deconectarea de la platforma MConnect
1) lichidarea sau reorganizarea registrului sau a sistemului informațional – sursă de date;
2) lichidarea consumatorului de date;
3) la solicitarea consumatorului de date, dacă acesta este participant privat și nu este concomitent și furnizor de date, în cazul rezilierii contractului de schimb de date prin intermediul platformei MConnect;
4) modificarea legislației ce are ca efect lipsa temeiului legal de consum al datelor prin platforma MConnect;
5) neutilizarea pe parcursul a cel puțin șase luni a datelor din sistemele informaționale ale furnizorului de date participant privat la schimbul de date;
6) constatarea de către organele de stat competente a unor ilegalități în legătură cu consumul de date în activitatea participantului privat;
7) neachitarea serviciilor de schimb de date prin platforma MConnect, în decurs de 2 luni consecutive, în cazul participantului privat.
110. În cazul prevăzut la punctul 109 subpunctul 1), furnizorul de date al cărui registru sau, după caz, sistem informațional se lichidează ori se reorganizează înaintează o solicitare de deconectare autorității competente în termen de cel mult cinci zile de la data adoptării deciziei de lichidare.
111. În cazul reorganizării registrului sau, după caz, a sistemului informațional, participantul public, deținător al registrului sau sistemului informațional respectiv, inițiază procedura de conectare a registrului sau sistemului informațional reorganizat la platforma MConnect în modul stabilit de prezentul Regulament. Participantul privat poate solicita conectarea în aceleași condiții.
112. În cazul prevăzut la punctul 109 subpunctul 2), consumatorul de date înaintează solicitarea de deconectare de la platforma MConnect în termen de cel mult cinci zile de la data adoptării hotărîrii de lichidare.
113. În cazurile prevăzute la punctul 109 subpunctele 4) și 5), autoritatea competentă adoptă decizia de deconectare de la platforma MConnect din oficiu.
114. Autoritatea competentă examinează cazurile de deconectare în termen de cel mult cinci zile de la data recepționării solicitării de deconectare, a intrării în vigoare a modificărilor la cadrul normativ sau, după caz, a recepționării actului de constatare a ilegalității în consumul de date.
115. Decizia de deconectare se aduce la cunoștința tuturor participanților la schimbul de date ale căror interese ar putea fi afectate de deconectare.
116. Autoritatea competentă efectuează deconectarea de la platforma MConnect în termen de cel mult cinci zile de la data luării deciziei de deconectare sau într-un alt termen prevăzut în decizie.
117. În cazurile prevăzute la punctul 109 subpunctele 4) și 6), autoritatea competentă decide, în condițiile prezentului Regulament, suspendarea imediată a schimbului de date prin platforma MConnect pe perioada de examinare a cazului de deconectare.