POLECAMY
Weryfikacja kwalifikowanego podpisu elektronicznego
Stosownie do art. 10a ust. 5 Pzp oferty i wnioski o dopuszczenie do udziału w postępowaniu oraz oświadczenie, o którym mowa w art. 25a Pzp, w tym JEDZ, sporządza się, pod rygorem nieważności, w postaci elektronicznej i opatruje się kwalifikowanym podpisem elektronicznym. Dodatkowo wymóg korzystania z kwalifikowanego podpisu elektronicznego został wprowadzony m.in. przy poświadczaniu za zgodność z oryginałem elektronicznych kopii oświadczeń lub dokumentów, o których mowa w rozporządzeniu Ministra Rozwoju z dnia 26 lipca 2016 r. w sprawie rodzajów dokumentów, jakich może żądać zamawiający od wykonawcy w postępowaniu o udzielenie zamówienia (Dz. U., poz. 1126).
Należyta staranność ze strony zamawiającego podczas dokonywania czynności w postępowaniu o udzielenie zamówienia publicznego wymaga zawsze sprawdzenia w pierwszej kolejności, czy np. JEDZ oraz oferta zostały podpisane przez uprawnioną do tego osobę (np. ujawnioną w Krajowym Rejestrze Sądowym bądź działającą na podstawie pełnomocnictwa).
Po elektronizacji doszedł do tego obowiązek sprawdzenia, czy podpis elektroniczny, którym został opatrzony dany dokument (w szerokim tego słowa znaczeniu, a więc np. JEDZ, oferta, elektroniczna kopia referencji), jest kwalifikowanym podpisem elektronicznym wystawionym przez uprawnione centrum certyfikujące i czy certyfikat jest ważny. Co istotne, do weryfikacji podpisu nie jest wymagane posiadanie przez zamawiającego własnego kwalifikowanego podpisu elektronicznego.
Jedną z metod sprawdzenia przez zamawiającego podpisu – w przypadku otrzymania plików PDF – jest otworzenie dokumentu w Adobe Acrobat Reader i wejście w „Panel podpisu”. Wówczas zamawiający ma możliwość uzyskania następujących informacji, czy kwalifikowany podpis elektroniczny jest poprawny, czy dokument jest prawidłowy, czy nie został zmieniony po zastosowaniu kwalifikowanego podpisu elektronicznego oraz czy tożsamość podpisującego jest prawidłowa.
W celu weryfikacji kwalifikowanego podpisu elektronicznego można posłużyć się także odpowiednim oprogramowaniem jednego z uprawnionych centrów certyfikujących, dostępnym bezpłatnie w internecie, np. oprogramowaniem proCertum SmartSign czy oprogramowaniem Szafir Krajowej Izby Rozliczeniowej. Weryfikacja powinna doprowadzić zamawiającego do ustalenia niezbędnych informacji, tj. dotyczących certyfikatu, subskrybenta kwalifikowanego podpisu elektronicznego, daty i czasu złożenia podpisu. Efektywny, także bezpłatny, instrument umożliwiający sprawdzenie certyfikatu znajduje się ponadto na stronie internetowej Narodowego Centrum Certyfikacji, w zakładce Lista TSL – Trusted List Browser – //webgate.ec.europa.eu/tl-browser/.
Warto pamiętać, że oprogramowanie do weryfikacji kwalifikowanego podpisu elektronicznego to narzędzie wspomagające, które nie zawsze prowadzi do właściwych wniosków. Zdarzają się problemy z weryfikacją wynikające – jak się zauważa – chociażby z niewystarczającej wiedzy użytkowników odnośnie do formatów kwalifikowanego podpisu elektronicznego.
Najczęstszymi bowiem stosowanymi formatami są PAdES i XAdES. Niestety, wielu zamawiających, a nawet wykonawców, pomija fakt, że w formacie XAdES istnieje możliwość podpisania tzw. podpisem wewnętrznym lub zewnętrznym. Podpisem XAdES – zewnętrznym można opatrzyć każdy plik (np. z rozszerzeniem .doc, .pdf, .jpg, .avi itd.), ale w czasie jego składania powstaje odrębny plik o nazwie zgodnej z nazwą pliku podpisywanego (tj. o rozszerzeniu wskazującym na rodzaj podpisywanego pliku, np. .xades).
W przypadku podpisów zewnętrznych (gdy podpis jest zapisywany w oddzielnym pliku), komplet danych, jeżeli podpisują dwie osoby uprawnione do reprezentacji wykonawcy, stanowią trzy pliki, tj. jeden plik podpisywany (np. JEDZ, oferta) oraz dwa odrębne pliki z podpisem każdej z podpisujących osób. W przypadku takiej formy kwalifikowanego podpisu elektronicznego podpis należy weryfikować z plikiem podpisywanym.
Praktyka pokazuje, że zamawiający wzywają wykonawców np. do uzupełnienia JEDZ w trybie art. 26 ust. 3 Pzp z powodu braku podpisu (choć taki został złożony). Dlatego należy zalecić, aby wykonawcy, którzy korzystają przy podpisywaniu pliku z formatu XAdES, wybierali tzw. podpis wewnętrzny, ponieważ znajduje się on niejako wewnątrz pliku podpisywanego (nie są generowane dodatkowe pliki z podpisem).
Co istotne, najmniej problemów stwarza użycie przez wykonawcę formatu PAdES, używanego do podpisywania plików wyłącznie w PDF. Kwalifikowany podpis elektroniczny osadzony jest wtedy w jednym pliku. To oznacza, że np. ESPD (eJEDZ) zapisany jako PDF i opatrzony kwalifikowanym podpisem elektronicznym w formacie PAdES jest przekazywany zamawiającemu jako jeden plik.
Problemy na EPUAP
W postępowaniach o udzielenie zamówienia publicznego o wartości równej progom unijnym lub większej, wszczętych od 18 października 2018 r., w celu wypełnienia wymagań związanych z elektronizacją część zamawiających korzysta z udostępnionego przez UZP systemu miniPortal (//miniportal.uzp.gov.pl).
Wykonawca, aby wziąć udział w elektronicznym postępowaniu prowadzonym przez danego zamawiającego (tj. przede wszystkim złożyć ofertę) za pośrednictwem miniPortalu, musi posiadać konto firmowe na ePUAP. Wynika to z informacji zawartej w dokumencie UZP „MiniPortal. Instrukcja użytkownika systemu” (zob. str. 3). Zakłada się je jako osoba fizyczna, ale wybierając „Zarządzanie kontem”, następnie „Utwórz nowy profil dla firmy lub instytucji”, zaznacza się formę prawną, REGON, NIP, adres siedziby itd. i w ten sposób tworzy konto dla firmy na ePUAP. To pierwsza „bariera” – traktowana w kategorii niespodziewanej – zgłaszana w praktyce przez wykonawców. Jeżeli ją już wykonawca pokona, zgłaszane są, niestety, kolejne. Wynikają one nierzadko z braku zrozumienia bądź mylnego rozumienia charakteru stworzonych w ramach miniPortalu na ePUAP dwóch rodzajów formularzy, zwłaszcza „Formularza do złożenia, zmiany, wycofania oferty lub wniosku”.
Formularz ten – z uwagi na jego nazwę – często automatycznie, a tym samym nieprawidłowo, jest utożsamiany z formularzem ofertowym będącym najczęściej „wzorcowym” załącznikiem do SIWZ przygotowanym przez zamawiającego. Ten ostatni formularz wykonawca wykorzystuje do sporządzenia oferty sensu stricto, która musi zostać sporządzona w postaci elektronicznej, a następnie podpisana kwalifikowanym podpisem elektronicznym. Natomiast „Formularz do złożenia, zmiany, wycofania oferty lub wniosku” na ePUAP pełni inną – w mojej ocenie – funkcję, mianowicie tzw. elektronicznej koperty, do której może zostać załączonych kilka plików odpowiednio podpisanych, np. z ofertą w postaci elektronicznej opatrzoną kwalifikowanym podpisem elektronicznym osoby uprawnionej do reprezentacji wykonawcy, formularzem JEDZ w postaci elektronicznej opatrzonym kwalifikowanym podpisem elektronicznym osoby uprawnionej do reprezentacji wykonawcy, ewentualnie pełnomocnictwem, e-gwarancją wadialną opatrzoną kwalifikowanymi podpisami osób upoważnionych ze strony gwaranta itp.
Wykonawca zapisuje (kompresuje) wtedy wszystkie te pliki jako .zip, szyfruje dedykowaną dla systemu miniPortal aplikacją do szyfrowania także jako .zip, a następnie wysyła właśnie przy użyciu „Formularza złożenia, zmiany, wycofania oferty lub wniosku” na ePUAP.
Wymóg techniczny – w sytuacji potrzeby złożenia większej liczby dokumentów – polegający na skompresowaniu plików w formacie .zip, a następnie załączeniu do „Formularza złożenia, zmiany, wycofania oferty lub wniosku”, jest związany z tym, że do tego formularza można załączyć tylko jeden załącznik o maksymalnym rozmiarze do 150 MB.
Po dokonaniu powyższych czynności wykonawca uzyskuje informację o możliwości wysłania formularza, według widocznych na ePUAP dwóch poleceń, tj. „Wyślij bez podpisu” i „Podpisz i wyślij” (z dalszym rozróżnieniem „Podpisz podpisem zaufanym” lub „Podpisz certyfikatem kwalifikowanym”). To powoduje wątpliwości, czy może wybrać opcję „Wyślij bez podpisu”, skoro oferta musi być podpisana. Wykonawca zapomina jednak, że podpisana w wymagany sposób oferta powinna zostać załączona do „Formularza złożenia, zmiany, wycofania oferty lub wniosku” (tj. znajdować się wewnątrz tej elektronicznej koperty).
Przedmiotowe wątpliwości powinny rozwiać wprost wskazówki UZP zawarte w dokumencie „MiniPortal. Instrukcja użytkownika systemu” zamieszczonym na stronie internetowej UZP (zob. str. 32).
Wynika z niego, że użytkownik (wykonawca), wysyłając ofertę przy użyciu formularza do złożenia oferty na ePUAP, może wysłać „Formularz złożenia, zmiany, wycofania oferty lub wniosku” bez podpisu lub z podpisem. Użycie wyrazu „może” i dalsze wskazówki UZP oznaczają, że do wykonawcy należy wybór, którą z tych możliwości wybierze. Jak bowiem określa UZP: (…) Jeżeli użytkownik chce (a zatem nie musi – przyp. aut.) podpisać formularz, może wybrać: podpis zaufany lub certyfikat kwalifikowany. Przy poleceniu „Podpisz i wyślij” znajduje się dodatkowo informacja: Podpisz formularz za pomocą podpisu zaufanego lub kwalifikowanego podpisu elektronicznego. Po dokonaniu takich operacji wykonawca zobaczy na ekranie potwierdzenie wysłania formularza, a także zostanie ono przesłane na jego adres e-mail.
Problematyczna archiwizacja
Dokonując analizy, w jakim zakresie zamawiający mają w praktyce problemy wynikające z elektronizacji, warto zwrócić uwagę na jeszcze jeden aspekt. Chodzi o nałożony na nich w art. 97 ust. 1 Pzp obowiązek przechowywania protokołu postępowania wraz z załącznikami przez cztery lata od dnia zakończenia postępowania o udzielenie zamówienia (a niekiedy nawet dłużej, gdy wynika to np. z umowy o dofinansowanie ze środków unijnych), w sposób gwarantujący jego nienaruszalność.
W postępowaniach o wartości równej progom unijnym lub większej wszczętych od 18 października 2018 r. większość dokumentacji to dokumenty elektroniczne (np. jak wspomniany wcześniej JEDZ, oferty, sporządzone w postaci elektronicznej i opatrzone kwalifikowanym podpisem elektronicznym, e-dokumenty na potwierdzenie braku podstaw wykluczenia). Ich sposób przechowywania został określony w § 6 ust. 1 rozporządzenia Prezesa Rady Ministrów z dnia 27 czerwca 2018 r. w sprawie użycia środków komunikacji elektronicznej w postępowaniu o udzielenie zamówienia publicznego oraz udostępniania i przechowywania dokumentów elektronicznych (Dz. U., poz. 1320 z późn. zm.). Niestety, część zamawiających nie zauważyła i nadal nie zauważa wymagań określonych w tych przepisach.
Często można usłyszeć stwierdzenia, że przecież wystarczy zapisać np. elektroniczny JEDZ, elektroniczne oferty na płycie CD lub pendrivie i włożyć do koszulki foliowej, a następnie do segregatora z pozostałą „papierową” dokumentacją postępowania o zamówienie publiczne. Nie jest to oczywiście zakazane, ale pozostaje jeszcze wypełnienie wymagań z § 6 ust. 1 przywołanego rozporządzenia. Wynika z niego, że zamawiający ma zapewnić tzw. elektroniczne archiwum, ponieważ przepis określa, że zamawiający przechowuje dokumenty za pośrednictwem systemu teleinformatycznego spełniającego wymagania odpowiadające łącznie wymaganiom określonym w:
- rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2017 r., poz. 2247);
- rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 30 października 2006 r. w sprawie szczegółowego sposobu postępowania z dokumentami elektronicznymi (Dz. U. Nr 206, poz. 1518).
Co ważne, także w § 6 rozporządzenia wymienionego w pkt 2 wskazuje się, że ma to być system, który:
- zapewnia integralność treści dokumentów i metadanych polegającą na zabezpieczeniu przed wprowadzaniem zmian, z wyjątkiem zmian wprowadzanych w ramach ustalonych i udokumentowanych procedur,
- zabezpiecza przed usunięciem dokumentów z systemu,
- zapewnia stały i skuteczny dostęp do dokumentów oraz ich wyszukiwanie,
- umożliwia przesyłanie dokumentów do innych systemów teleinformatycznych,
- zapewnia zapisywanie wyeksportowanych metadanych w formacie XML.
Wymieniony system teleinformatyczny pełni – zgodnie z § 7 rozporządzenia z pkt 2 – dla dokumentów ewidencjonowanych (dokumentów elektronicznych świadczących o wykonywaniu działalności podmiotów, powstających w nich lub napływających do nich) funkcję archiwum zakładowego lub składnicy akt.
Większość funkcjonujących na rynku komercyjnych portali e-usług zapewnia elektroniczne archiwum. Zamawiający, którzy z nich korzystają, wypełniają zatem wyżej wymienione wymagania dotyczące odpowiedniej archiwizacji dokumentów elektronicznych. Natomiast bezpłatny miniPortal nie archiwizuje dokumentów. Do miniPortalu wpływa tylko informacja o złożonej w danym postępowaniu ofercie bądź o jej zmianie lub wycofaniu. Zamawiający powinien mieć więc tego świadomość oraz zadbać o to, aby archiwizacja była zgodna ze wskazanymi przepisami.
