Aktualne informacje na powyższy temat znajdują się pod linkiem: https://przetargowa.pl/jak-przygotowac-sie-do-kontroli-jakimi-zasadami-powinny-kierowac-sie-kontrole-w-elektronicznych-zamowieniach/
Tematy takie jak elektronizacja postępowań o udzielenie zamówienia publicznego stanowią niezmiennie przedmiot naszego zainteresowania. W serwisie opublikowaliśmy już wiele tekstów z przeznaczeniem dla zamawiających, które mamy nadzieję, rozwiały szereg ich wątpliwości w tym zakresie. Tym razem prezentujemy garść praktycznych informacji dla kontrolujących publiczne przetargi. Opracowanie ma na celu przedstawienie podstawowych aspektów technicznych, jakie mogą być przedmiotem kontroli w zamówieniach publicznych. Tekst został zainspirowany kontrolami, które przeprowadzano bezpośrednio u Klientów Open Nexus.
Dotychczas kontroli podlegały przede wszystkim kwestie merytoryczne. Obecnie wszystkie przetargi unijne są realizowane w formie elektronicznej. Około połowa z nich na publicznie dostępnym miniPortalu, druga połowa na platformach komercyjnych. Rosnąca część przetargów krajowych jest również realizowana w formie mieszanej, a więc elektroniczno-papierowej. Od początku przyszłego roku wszystkie przetargi winny być realizowane w formie elektronicznej. Przed nami absolutnie ostatnie miesiące przygotowań do wejścia w życie zmian a w tym nowa ustawa Prawo Zamówień Publicznych, jak i do przeprowadzania postępowań elektronicznych. To w zasadzie już powoli ostatni dzwonek na uzupełnianie i poszerzanie niezbędnej wiedzy.
Co w powinno być przedmiotem kontroli w postępowaniach elektronicznych?
Kontroli w przypadku postępowań elektronicznych powinny podlegać przede wszystkim PLIKI. W tym momencie przestajemy myśleć w kategorii strony, czy też dokumentu, a zaczynamy myśleć w kategorii plików. W jednym pliku może znajdować się np. 50 dokumentów, 500 stron, a wszystko to zostaje podpisane jednym podpisem kwalifikowanym. Z punktu widzenia technicznego przestają nas zatem interesować dokumenty, a zaczynają nas interesować pliki. Oczywiście sprawdzenie zawartości merytorycznej prowadzimy na dokumencie i jego treści, ale “dokument” staje się wtórny i może być częścią kontrolowanego pliku, lub oddzielnym plikiem, zależnie od tego, w jakiej formie zostanie przygotowany przez wykonawcę.
Czy prosić zamawiających o wydruki plików przesłanych przez wykonawców?
NIE powinniśmy. Motyw 52 preambuły Dyrektywy 2014/24/UE wskazuje: projektodawca zakłada m.in., że elektronizacja zapewni istotne oszczędności dla sektora finansów publicznych, a także „zmniejszenie zużycia papieru”. Drukowanie dokumentów, które drukowane być nie powinny, to ewidentna niegospodarność. Ponadto wydrukowany plik (dokument) możemy badać tylko i wyłącznie merytorycznie. Warto pamiętać, że wiele kwestii technicznych, na które powinien zwrócić uwagę kontroler, na wydruku nie będą widoczne – łącznie z elektronicznym podpisem.
Czy w takim razie prosić o wydruk oferty i weryfikacji podpisu?
NIE. Podejście to, prezentowane jeszcze niestety przez niektórych kontrolujących, wynika z przekonania, że jeśli kontrolujący otrzyma wydrukowane potwierdzenie weryfikacji podpisu oraz wydrukowaną ofertę, to tak jakby skontrolował poprawność złożenia podpisu. Tak oczywiście nie jest. Wydrukowanej oferty i dokumentu weryfikacji podpisu NIC nie łączy. To plik, a nie oferta wydrukowana, łączy się z potwierdzeniem weryfikacji podpisu poprzez nazwę pliku, nr certyfikatu, daty ważności certyfikatu, wystawcę certyfikatu oraz ewentualną datę złożenia podpisu.
Skoro kontroluję pliki, to zwracam uwagę na ich formaty?
TAK. Wydrukowana dokumentacja nie pokaże rozszerzenia pliku. Jest to niezwykle istotne z punktu widzenia ważności oferty. Formaty plików, w których mogą być składane oferty muszą być zgodne z treścią Obwieszczenia Prezesa Rady Ministrów z dnia 9 listopada 2017r. w sprawie ogłoszenia jednolitego tekstu Rozporządzenia Rady Ministrów w sprawie Krajowych Ram Interoperacyjności (dalej Rozporządzenie), minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. Rozporządzenie definiuje “specyfikację formatów danych oraz protokołów komunikacyjnych i szyfrujących, które mają być stosowane w oprogramowaniu interfejsowym“. Kontrolujący powinien zatem bezwzględnie sprawdzić formaty przesłanych plików, a jeśli te nie figurują w Rozporządzeniu, powinny zostać uznane za złożone niepoprawnie. Szczególnie często dotyczy to plików z rozszerzeniem .rar, .bmp, .NUMBERS lub .PAGES które to nie występują w Rozporządzeniu. Dopuszczanie plików spoza Rozporządzenia jest problematyczne, najbezpieczniej dla zamawiającego jest poruszać się w ramach plików określonych w Rozporządzeniu.
Czy zamawiający może ograniczyć formaty plików w SIWZ?
To zależy. Zamawiający może zawęzić do “co najmniej jednego” formatu plików:
“zawierające dokumenty tekstowe, tekstowo-graficzne lub multimedialne”
“zawierające informację graficzną ”
“zawierające informację dźwiękową lub filmową”
“do kompresji (zmniejszenia objętości) dokumentów elektronicznych” itd. wg Rozporządzenia o Krajowych Ramach Interoperacyjności.
Nie wolno natomiast zamawiającemu stosować ograniczeń w SIWZ w zakresie formatów podpisów elektronicznych. Wykonawca ma prawo złożyć podpis przy użyciu dowolnego formatu wynikającego z ww. Rozporządzenia tj.: XAdES, PAdES, ASiC, CAdES itd. Należy zatem sprawdzić, czy zapisy SIWZ oraz zasady działania systemów nie zawężają formatów plików tam, gdzie nie powinny być zwężane.
Stosowanie zgodnie z Decyzją wykonawczą Komisji (UE) 2015/1506 z dnia 8 września 2015 r. ustanawiającą specyfikacje dotyczące formatów zaawansowanych podpisów elektronicznych oraz zaawansowanych pieczęci elektronicznych, KTÓRE MAJĄ BYĆ UZNANE PRZEZ PODMIOTY SEKTORA PUBLICZNEGO, zgodnie z art. 27 ust. 5 i art. 37 ust. 5 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (Dz. Urz. UE L 235 z 09.09.2015, str. 37).
W jaki sposób wykonawca powinien potwierdzić swoją tożsamość?
Do czasu wejścia w życie nowej ustawy w styczniu 2021r., dopuszczalny jest tylko i wyłącznie kwalifikowany podpis elektroniczny. Wykonawca musi również posługiwać się podpisem spełniającym rozporządzenie eIDAS. W praktyce należy sprawdzić, czy dostawca podpisu kwalifikowanego wykonawcy, znajduje się na liście Trusted List Browser (lista list krajowych kwalifikowanych podmiotów) oraz czy przy jego nazwie widnieje informacja, że podmiot ma uprawnienia do wydawania kwalifikowanego podpisu elektronicznego.
Uwaga – jak podaje sama strona TLB: “Komisja nie ponosi żadnej odpowiedzialności za treści krajowych zaufanych list. Informacje mogły być zamieszczone w plikach (…), które nie są wolne od błędów”. Należy zatem z uwagą podejść do kwestii występowania, czy też niewystępowania danego dostawcy podpisów na listach eIDAS.
Czy poprawne jest uznanie oferty, złożonej jako dokument wytworzony na papierze, podpisanej ręcznie, zeskanowanej i podpisanej kwalifikowanym podpisem?
Co do zasady TAK, ALE … Linia orzecznicza KIO ukształtowała się w kierunku dopuszczającym stosowanie skanów ofert i innych dokumentów, podpisanych przez osoby uprawnione podpisem kwalifikowanym. Należy jednak po raz kolejny pamiętać o formatach plików. Zdarzają się skany w formacie .bmp, który nie występuje w Rozporządzeniu. Taki dokument jest złożony nieskutecznie.
Czy zamawiający może rozszerzyć katalog dopuszczalnych plików poza Rozporządzenie?
Dopuszczanie plików spoza Rozporządzenia jest problematyczne, najbezpieczniej dla zamawiającego jest poruszać się w ramach plików określonych w Rozporządzeniu. Jeżeli zamawiający dopuszcza format komercyjny jak np. rar musi zweryfikować, czy wykonawcy mają do niego równy dostęp (czy jest bezpłatny) albo taki dostęp zapewnić. (Podobnie jak w przypadku konieczności zapewnienia wszystkim zainteresowanym wykonawcom systemu operacyjnego Windows dla wszystkich postępowań prowadzonych przez miniportal).
Których z plików należy wymagać od zamawiającego?
Wszystkich. Przedstawienie przez zamawiającego np.: rozpakowanych plików, nie pozwoli Kontrolującemu na weryfikację pierwotnego formatu kompresji (zip./rar.). Kontroli zatem powinny podlegać pliki, bezpośrednio przesłane przez wykonawcę. Sprawdzane pliki nie powinny być w jakikolwiek sposób edytowane, zmieniane, czy wcześniej rozpakowywane przez zamawiającego. Sytuacja ta pociąga za sobą konieczność opanowania przez kontrolującego programów do rozpakowywania plików oraz programów do odczytu plików w formacie XAdES (np.: Szafir 2.0).
Czy zamawiający powinien weryfikować podpisy kwalifikowane?
TAK. W dokumentacji papierowej, podpisy składane odręcznie były traktowane przez zamawiającego z dużą dozą zaufania i dobrej woli. Promil przypadków stanowią zamawiający, którzy porównywali podpisy z oferty z kartami wzorów podpisów z KRS. Sprawdzanie podpisów (również kwalifikowanych) jest wymogiem ustawowym spoczywającym na zamawiającym. Weryfikacja ta jest jednoznaczna. Osoba podpisująca dokument jest identyfikowana po numerze PESEL (notabene, jest to niezgodnie z RODO, więcej) lub dowodzie tożsamości (np. nr dowodu osobistego). Nie ma natomiast sprecyzowanego sposobu dokumentowania czynności sprawdzenia podpisu kwalifikowanego. Najlepszym wyborem wydaje się ściągnięcie potwierdzenia weryfikacji podpisu:
Przykładowy raport z weryfikacji z programu SZAFIR 2.0.
Czy brak pobranego potwierdzenia świadczy o tym, że podpis nie został sprawdzony?
Niekoniecznie. Zamawiający mógł sprawdzić podpisy i może przedstawić oświadczenie, że taką czynność przeprowadził. Nie wszystkie programy mają możliwość pobierania raportów z weryfikacji (proCertum SmartSign, Szafir 1.0). Oczywiście bardziej adekwatne od oświadczania, będzie potwierdzenie z programu do weryfikacji podpisów umożliwiającego pobranie potwierdzenia.
Pobrane potwierdzenie będzie szczególnie istotne w przypadku wygasłych certyfikatów, których weryfikacji jest problematyczna.
W jaki sposób zamawiający weryfikował podpisy kwalifikowane?
Różnie. Częstym sposobem weryfikacji plików .pdf z podpisem PAdES przez zamawiających jest otwieranie plików w programie Adobe Acrobat Reader, który wyświetla komunikat:
Należy pamiętać, że Adobe podobnie, jak wszystkie inne programy do weryfikacji podpisu MUSI być na bieżąco uaktualniany. W Polsce funkcjonuje 5 dostawców podpisów kwalifikowanych zatwierdzonych przez Narodowe Centrum Certyfikacji. Każdy z nich dostarcza oprogramowanie do weryfikacji podpisów kwalifikowanych. Najwyższą wagę dowodową ma weryfikacja kwalifikowana. W myśl uzasadnienia wyroku KIO 1479/19 to kwalifikowana usługa walidacji stanowi o wyższości dowodu w zakresie sprawdzenia podpisu. Taką w Polsce udostępnia jedynie WebNotarius od Asseco.
Czy Zamawiający powinien mieć opisaną procedurę weryfikacji podpisów?
TAK. Aktualną praktykę weryfikacji można zamknąć w stwierdzeniu “sprawdzam jakkolwiek i czymkolwiek, do czasu uzyskania pozytywnego wyniku. Następnie udaję, że negatywnych wyników weryfikacji nie było”. Niestety zarówno podpisy, jak i programy do sprawdzania podpisów, poszczególnych wykonawców działają odmiennie. Chociaż kierują się tymi samymi przesłankami prawno-technicznymi to posiadają istotne różnice.
Zamawiający powinien równo traktować wykonawców i poddawać ich dokumenty (pliki) zunifikowanym procedurom weryfikacji. Nie powinno być dziełem przypadku, czy dany podpis uda się zweryfikować, czy będzie on badany bardziej lub mniej dokładnie. Procedura weryfikacji podpisów jest zawsze mile widziana. Przykładowa procedura znajduje się pod linkiem.
Czy w przypadku korzystania przez zamawiającego z miniPortalu, ePUAP był dostępny przez cały czas trwania postępowania?
Jeśli nie, to czy Zamawiający przesunął termin przyjmowania ofert?
Należy sprawdzić występowanie komunikatów typu: “Od godziny 22 w piątek do soboty do 13 system ePUAP był niedostępny, a także witryna obywatel.gov.pl. Miało to związek z przerwą serwisową, która pierwotnie zaplanowana była do 5 rano”.
W jaki sposób zamawiający archiwizuje pliki?
Niedopuszczalnym jest przetrzymywanie plików na komputerze zamawiającego, szczególnie jeżeli nie są poprawnie zabezpieczone przed utratą i niezarchiwizowane. Problem występuje szczególnie często w przypadku korzystania przez zamawiających z miniPortalu, który nie świadczy usługi archiwizacji plików. Błędem jest uznanie przez zamawiającego, że przetrzymywanie plików na komputerze służbowym zadośćuczyni przepisom dotyczącym archiwizowania.
Na co należy zwrócić uwagę przy integracji ePUAP z systemami obiegu dokumentów?
Niektóre systemy zintegrowane z ePUAPem zmieniają oryginalne pliki, pobierając je do wewnętrznego obiegu zamawiającego. Należy zatem kontrolować integralność danych plików i poprawność podpisów kwalifikowanych. Negatywna weryfikacja pliku nie musi wynikać z błędu wykonawcy, ale także z naruszenia pliku przez zintegrowane systemy lub przez samego zamawiającego. Zatem po raz kolejny dochodzimy do wniosku, że kontroli powinny podlegać pliki – a nie dokumenty wydrukowane.
Czy prosić zamawiających o screeny ofert, raportów, korespondencji?
To zależy. Jeżeli zamawiający korzysta z systemów komercyjnych, to w większości posiadają one opcję pobrania raportów, czy korespondencji z wykonawcami. Warto zapoznać się z systemem i bazować na systemowych zestawieniach. Screeny nie są w żadnej mierze bardziej wiarygodne. Nie ma zatem sensu wymagania dodatkowej pracy od zamawiającego. Korespondencja prowadzona poza systemami musi być oczywiście odpowiednio udokumentowana, na przykład w postaci raportów.
Czy data złożenia podpisu kwalifikowanego jest datą podpisania dokumentu (pliku)?
To zależy. Jeżeli wykonawca korzysta z podpisu zawierającego kwalifikowany znacznik czasu (a takich podpisów jest zdecydowana mniejszość, ponieważ jest to opcja płatna) to faktycznie moment złożenia podpisu kwalifikowanego, jest momentem podpisania dokumentu (pliku). Data widniejąca w treści dokumentu >>>>miejscowość, dnia<<<< powinna być tożsama z datą podpisania dokumentu.
Jednak w większości przypadków na dokumencie po weryfikacji podpisu, będzie widniała “data deklarowana”, która oznacza, że w momencie składania podpisu elektronicznego, data i godzina została pobrana z komputera, na którym był składany podpis.
Wykonawca nie ma obowiązku synchronizacji zegara komputera z czasem obiektywnym. Zatem “data deklarowana” może mieć dowolną wartość. Oznacza to więc, że data podpisu elektronicznego może być datą sprzed ogłoszenia przetargu, lub datą po publicznym otwarciu. Nie ma to jednak najmniejszego znaczenia! Istotną datą w tym przypadku jest ta wynikająca z TREŚCI dokumentu >>>>miejscowość, dnia<<<<. Dodatkowo można sprawdzić pliki źródłowe z ePUAPu/platform komercyjnych i daty ich utworzenia.
Zamiast podsumowania
Kwestie techniczne wymienione w powyższym artykule należą do najpowszechniejszych błędów popełnianych przez zamawiających i wykonawców w elektronicznych przetargach. Lista potencjalnych błędów będzie z pewnością rosła. Wiele z poruszonych kwestii znajdzie również rozwiązania w kolejnych wyrokach KIO. Sytuacja ta miała miejsce, chociażby w przypadku protokołu szyfrowania SHA (1 lub 256), czy w przypadku skanów dokumentów podpisanych podpisem kwalifikowanym.
Aspekty techniczne odrzucania ofert. Analiza wybranych odwołań KIO – pobierz opracowanie.
Całość opracowania do pobrania tutaj: drive.google.com/file/d/1xV_Qw6xhzkJSablPT0kGCFXtj-hBq8QQ
Praca zbiorowa: Sławomir Ibiański, Adam Dziadas, Kinga Ludwikowska, Jędrzej Michałek, Ewa Marciniak, Lidia Klimarczyk, Mateusz Bartosiewicz, Piotr Szczepański, Mariusz Sikorski.