Dołącz do czytelników
Brak wyników

Vademecum elektronizacji

11 marca 2019

NR 172 (Marzec 2019)

W rocznicę elektronizacji

277

Za miesiąc będzie pierwsza rocznica rozpoczęcia elektronicznej komunikacji w zamówieniach publicznych. Zaczęło się przecież od elektronicznie przekazywanego oświadczenia jednolitego europejskiego dokumentu zamówienia, od 17 kwietnia 2018 r.

Ten rok pomiędzy wprowadzeniem elektronicznego JEDZ a terminem wprowadzenia elektronicznej formy pozostałych dokumentów i oświadczeń (18 października 2018 r.) nie miał wpływu na spokojne wprowadzanie nowych procedur. Wobec braku innych narzędzi pojawiły się rozwiązania nie do końca zgodne z przepisami prawa (wysyłanie JEDZ e-mailem), a pozostała po tym skłonność do szyfrowania wszystkiego, co wpadnie w ręce wykonawcy, skutkuje teraz często uszkodzeniami plików lub wręcz niemożnością ich weryfikacji.

Nowe procedury i nowe problemy

Rozpoczęta w kwietniu 2018 r. „elektronizacja” zamówień publicznych nie idzie jak po maśle. Główny problem polega na tym, że uczestnicy rynku zamówień – zarówno zamawiający, jak i wykonawcy – nie rozumieją nowych procedur i istoty działania elektronicznych narzędzi. Ta uwaga dotyczy też strony wprowadzającej nowe przepisy. Do tego mamy chaos związany z budową ogólnie dostępnego narzędzia, tzw. platformy e-Zamówienia i zastąpienia jej czasowo miniPortalem oraz dużą liczbą konkurujących komercyjnych platform budowanych według bardzo różnych koncepcji. Nic dziwnego, że wciąż pojawiają się doniesienia o różnych problemach wykonawców i zamawiających. 

Sama konkurencja nie ma w sobie nic złego, ale użytkownicy nie potrafią na razie dobrze korzystać z tej różnorodności. Jesteśmy teraz trochę jak woźnica z furmanki, który staje przed pierwszym w życiu wyborem samochodu: skrzynia manualna czy automat? Napęd na cztery koła czy na dwa? Napęd na przód czy tył? Diesel czy benzyna, a może hybryda czy elektryk? A tu jeszcze prawa jazdy brakuje! Nie wszystko jest w życiu proste i intuicyjne, o czym świadczą również niektóre kontrowersyjne wyroki KIO.

Spróbujmy przyjrzeć się wybranym problemom towarzyszącym wykonawcom i zamawiającym. Grzech zaczyna się zawsze w SIWZ, czyli w dziele stworzonym przez zamawiającego. Po pierwsze musi on dokonać wyboru kanału komunikacji elektronicznej (darmowy lub komercyjny), po drugie zrozumieć go i opisać. Rozporządzenie w sprawie użycia środków komunikacji elektronicznej reguluje to w następujący sposób:

Ważne

§ 2.1. Zamawiający wskazuje w ogłoszeniu lub w specyfikacji istotnych warunków zamówienia albo w innym dokumencie rozpoczynającym postępowanie o udzielenie zamówienia środki komunikacji elektronicznej, przy użyciu których będzie komunikował się z wykonawcami w postępowaniu o udzielenie zamówienia, wraz z wymaganiami technicznymi i organizacyjnymi wysyłania i odbierania dokumentów elektronicznych i informacji przekazywanych przy ich użyciu.

 

Warto w przygotowanie SIWZ włożyć trochę wysiłku, bo wszystkie błędy zemszczą się na zamawiającym. Nie wystarczy podać adresu, pod którym jest dostęp do wybranej platformy, i dodać kilka wymagań. Nie jest to też miejsce na wklejanie całej instrukcji obsługi takiej platformy, bo instrukcja potrafi się zmienić w trakcie oczekiwania na złożenie ofert. I taka zmiana jest dopuszczalna. 

Ważne

Zamawiający powinien dobrze zrozumieć, na czym polega komunikacja elektroniczna w wybranym systemie, jak zadaje się pytania do SIWZ, jak składa się pliki z ofertami, a jak pliki na wezwania, jak wzywa się do uzupełnień. Kiedy i w jaki sposób jest w wybranym systemie używany podpis elektroniczny, jakie formaty są dopuszczalne, jakie są maksymalne rozmiary plików, a jakie dopuszczalne formaty podpisów. 


Wykonawca musi zrozumieć, co zaleca zamawiający, czego nie rekomenduje. Na przykład może nie rekomendować podpisu zewnętrznego jako mogącego generować dodatkowy problem polegający na konieczności pilnowania, by dwa pliki (treść podpisana i dane podpisującego) były zawsze w parze. Brak któregokolwiek pliku powoduje brak podpisu pod oświadczeniem. Dalej: czy oferta może być przygotowana przez wykonawcę wcześniej, przed jej złożeniem (zbieranie podpisów pod dokumentem może trwać), czy musi być podpisana w trakcie jej „załadowania” do systemu poprzez wypełnienie formularza online. To są zupełnie różne sposoby podpisywania, wymagające odmiennego przygotowania stanowiska komputerowego, a co więcej, ten drugi (online) wymaga obecności posiadacza podpisu w momencie „załadowania” plików oferty do systemu.
A jak są składane oświadczenia zawierające tajemnicę przedsiębiorstwa? Co oznacza czas przyjęcia oferty? Jaki jest to moment i czy jest tego potwierdzenie? Takie pytania zawsze zadaje sobie wykonawca.

Co można zmienić

Znajdujemy się w zupełnie nowej sytuacji. Pewne zasady są niezmienne, np. etapy tworzenia i przekazania oświadczenia: stworzenie treści, podpisanie, wysłanie i przyjęcie. Inne elementy są całkiem nowe, jak np. wspomniany podpis zewnętrzny, niepasujący do naszych tradycyjnych wyobrażeń o podpisie. 

Ważne

Warto pomyśleć nad zupełnie nowym ułożeniem treści SWIZ, tak by wszystkie informacje dotyczące elektronicznego komunikowania się, warunków technicznych oraz postaci dokumentów, zasad ich podpisywania, zasad poświadczania za zgodność, wskazywania, kto i jakie dokumenty podpisuje (bo podmiot trzeci sam podpisuje swoje pliki), znalazły się w jednym rozdziale. 


Ułatwia to później korekty i zmiany tekstu – robimy to w jednym miejscu, a nie w wielu rozrzuconych po całej specyfikacji. Odpowiednie przygotowanie SIWZ pozwoli uniknąć takich perełek, które dziś się przecież zdarzają: ofertę składa się w postaci pisemnej... albo poświadczenie ksero dokonuje się przez własnoręczny podpis…

Ważne

Niestety, zamawiający wklejają nowe zapisy do starych specyfikacji, nie usuwając dokładnie starych zapisów. Do tego potrafią kompilować opisy z różnych platform. To tak, jak by połączyć instrukcję do systemu Microsoft z instrukcją do Apple.

 

I na koniec: zamawiający powinien dobrze znać swój system komunikacji elektronicznej, by uniknąć takich sytuacji, w których np. nie wiedział, że w swojej konfiguracji ma zaznaczyć konieczność użycia podpisu kwalifikowanego. Skutek? Oferty zostały złożone bez podpisu, a wykonawca dostał potwierdzenie, że jego oferta została złożona prawidłowo. Został zastosowany tryb do innego typu zamówień. 

Opis komunikacji powinien także wskazywać na obowiązek wykonawcy dokładnego zapoznania się z aktualną instrukcją obsługi wybranej platformy.

Ważne

Opisy podlegają zmianom i zamawiający nie może narażać się na zarzut, że jego specyfikacja w tym zakresie jest niezgodna ze stanem aktualnym. Przemyślany opis komunikacji może zająć nawet dwie, trzy strony, ale wykonawca nie musi wtedy zgadywać, co zamawiający miał na myśli.

 

Kolejna bariera – wykonawca i jego wiedza

Trzeba pamiętać, że wykonawca ma do czynienia z wieloma zamawiającymi, co wiąże się z koniecznością użytkowania wielu platform komunikacji elektronicznej. I w każdej jest nieco inaczej. Dlatego opis, o którym była mowa wcześniej, musi być jasny i klarowny. Wykonawca często ma podpis od dawna, nawet od kilku lat, bo bierze udział w aukcjach elektronicznych, albo dopiero pierwszy raz się z nim spotyka. Ale w obu przypadkach najczęściej nie jest do końca świadomym użytkownikiem tego narzędzia. Nie potrafi odróżnić podpisu zewnętrznego od wewnętrznego, nie wie, jak podpisać formatem PAdES plik PDF, nie wie, jak dodać do podpisu powód jego złożenia, nie umie odczytać informacji z certyfikatu kwalifikowanego itp.

A przecież jeszcze powinien umieć weryfikować podpis kwalifikowany, czyli sprawdzić, czy jest poprawny i czy nie jest naruszona jego integralność. Dlaczego? Bo powinien umieć sprawdzić oferty konkurencji tak samo jak zamawiający. Czy do tego jest potrzebna wiedza informatyczna? Nie. Podpis jest narzędziem, z którego ma umieć skorzystać zarówno informatyk, jak i dekarz zabezpieczający dachy. Nie musimy przecież wiedzieć, jak dokładnie działa ten skomplikowany system, ale musimy rozumieć jego funkcję. Na tym tle pojawił się kontrowersyjny wyrok KIO w sprawie użycia algorytmu SHA-1. Ale o tym za chwilę.
 
Błędem wykonawców jest powierzanie składania ofert informatykom. Bo oni się znają… Wiem, że się narażę informatykom, ale proszę: nie róbcie tego! Nie dlatego, że nie potrafią. Informatyk zwykle uważa, że nie musi czytać instrukcji, a zazwyczaj słabo zna Prawo zamówień. I nagle okazuje się, że coś nie jest przygotowane tak, jak być powinno. Dochodzi także do powierzania własnego podpisu elektronicznego innej osobie. To nie jest pełnomocnictwo – to jest przestępstwo! 

Ważne

Ustawa o usługach zaufania: art. 40 ust. 1. Kto składa kwalifikowany podpis elektroniczny lub zaawansowany podpis elektroniczny z wykorzystaniem danych do składania podpisu elektronicznego przyporządkowanych do innej osoby, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.

 

Sprawdzanie ofert

Weryfikacja podpisu elektronicznego to kluczowy element sprawdzania ofert. Do tej pory robiliśmy to, rzucając przez chwilę okiem na podpis i oceniając, czy jest to własnoręczny, czy skopiowany. Czy czytelny, czy nie. I nawet nie myśleliśmy, że właśnie sprawdzamy podpis. Teraz robi to za nas automat, czyli narzędzie dostarczane przez podmioty świadczące kwalifikowane usługi zaufania – a my musimy umieć interpretować wyniki tej weryfikacji. Zamawiający musi upewnić się, czy ma do czynienia z podpisem kwalifikowanym, czy jest to podpis ważny, czyli w trakcie okresu ważności, a jeśli nie jest ważny w trakcie weryfikacji, to czy był użyty w czasie swojej ważności?

Kolejny element to tożsamość osoby, która użyła podpisu – czy jest to osoba, która może składać oświadczenia woli w imieniu podmiotu. I na koniec integralność dokumentu: czy nie został zmieniony po złożeniu podpisu? Jeśli tak, to czy możemy poznać tę treść, która została podpisana? Jeśli jest to format podpisu PAdES dla pliku PDF, to najczęściej można poznać wersję podpisaną, chyba że plik uległ uszkodzeniu. Jeżeli ingerencja nastąpiła np. w pliku .xls lub .doc podpisanym zewnętrznie formatem XAdES to niestety wynik negatywny weryfikacji eliminuje taki plik jako niepoprawny. Pamiętajmy, że wszystkie błędy interpretacyjne mogą się kończyć w KIO. A brak właściwej weryfikacji wykaże albo konkurencja, albo kontrola.

Inny problem to podpisywanie kopii za zgodność – kiedyś, w czasach papierowych, zamawiający wymagał umieszczenia formułki „za zgodność z oryginałem” na papierowej kopii i złożenia odręcznego podpisu. W przypadku podpisu elektronicznego nie ma problemu, by taka formuła została zintegrowana razem z podpisem elektronicznym. Powód złożenia podpisu może być różny: za zgodność, potwierdzenie dokumentu, ale także może być to podpis testowy. Jak wygląda ta czynność w obecnych przepisach?

§ 14 ust. 4 rozporządzenia w sprawie dokumentów:
Poświadczenie za zgodność z oryginałem elektronicznej kopii dokumentu lub oświadczenia, o której mowa w ust. 2, następuje przy użyciu kwalifikowanego podpisu elektronicznego.

§ 5 ust. 3 rozporządzenia w sprawie użycia środków komunikacji elektronicznej: 
W przypadku przekazywania przez wykonawcę dokumentu elektronicznego w formacie poddającym dane kompresji opatrzenie pliku zawierającego skompresowane dane kwalifikowanym podpisem elektronicznym jest równoznaczne z poświadczeniem przez wykonawcę za zgodność z oryginałem wszystkich elektronicznych kopii dokumentów zawartych w tym pliku, z wyjątkiem kopii poświadczonych odpowiednio przez innego wykonawcę ubiegającego się wspólnie z nim o udzielenie zamówienia, przez podmiot, na którego zdolnościach lub sytuacji polega wykonawca, albo przez
podwykonawcę.

Na początku sprawa jest jasna: potwierdzamy podpisem kwalifikowanym. Ale jak dokładnie wykonujemy tę czynność? Z drugiego zapisu wynika, że nie musi być podana żadna formułka „za zgodność”. Podpisanie jest równoznaczne z potwierdzeniem. Ale… tak jest napisane w przypadku plików wrzuconych do tzw. archiwum (opatrzenie pliku zawierającego skompresowane dane) i następnie podpisanego archiwum. A co jeśli potwierdzam pojedynczy plik? A jeżeli w archiwum mam niepodpisane własne oświadczenia? To są typowe wątpliwości wielu wykonawców, którzy boją się złożyć niepoprawnie przygotowany dokument. Jesteśmy już przyzwyczajeni, by w przepisach szukać drugiego dna.

Z technicznego punktu widzenia podpisane archiwum jest podpisaniem plików w archiwum, niezależnie od tego, co w nim się znajduje. W trakcie podpisywania każdego pliku, w tym przypadku archiwum, generowany jest tzw. skrót dokumentu i ten skrót jest właśnie podpisywany. Nie ma zatem znaczenia format podpisywanego pliku. Podpisanie pliku np. typu .zip, .rar, jest podpisaniem całej jego zawartości. Ale prawodawca wprowadza nam niepokój przez zróżnicowanie podpisywania w celu potwierdzenia za zgodność od samego podpisywania bez takiego celu, bo tak należy rozumieć zapis wspomnianego § 5 ust. 3 rozporządzenia.
 
Czy jest to celowy zabieg? Trudno odpowiedzieć na to pytanie, ale coś jest na rzeczy. Chodzi tu o pojęcie świadomego użycia podpisu. Wiem, że nikt nad tym się nie zastawia, a przecież w naszym życiu „papierowym” też mamy z tym do czynienia, np. prezes podpisujący taśmowo stertę przyniesionych dokumentów. Ufa, że podpisuje znane mu i zaakceptowane treści, ale ponosi odpowiedzialność – zakładamy, że zapoznał się z tym, co podpisuje. W razie problemu z podpisaną treścią nie m...

Pozostałe 70% treści dostępne jest tylko dla Prenumeratorów

Co zyskasz, kupując prenumeratę?
  • 10 wydań magazynu "Monitor Dyrektora Szkoły"
  • Dostęp do wszystkich archiwalnych artykułów w wersji online
  • Możliwość pobrania materiałów dodatkowych
  • ...i wiele więcej!
Sprawdź

Przypisy