• Unijnym filarem prawnym dla podpisów elektronicznych jest eIDAS, czyli rozporządzenie UE zawierające standardowe reguły dla wszystkich państw członkowskich
  • Obowiązkowi weryfikacji podpisu podlega zamawiający
  • Zweryfikować podpis elektroniczny można w aplikacjach zewnętrznych lub korzystać z opcji zintegrowanych w systemach do wspierania postępowań publicznych (np. eZamawiający)
  • Usługę walidacji kwalifikowanych podpisów elektronicznych może świadczyć wyłącznie kwalifikowany dostawca usług zaufania (aktualnie w Polsce jest 5 takich podmiotów)

 


Elektronizacja zamówień publicznych trwa, a kolejne miesiące przed datą wejścia finalnych przepisów nowego Pzp, czyli przed 1 stycznia 2021 roku, są i będą wyjątkowo dynamiczne w branży zamówień publicznych. Wielu zamawiających i wykonawców „trenuje” już nowe regulacje Pzp na żywym organizmie, m.in. realizując lub biorąc udział w elektronicznie prowadzonych postępowaniach powyżej progów unijnych, ale również – co bardzo cieszy dostawców systemów IT – coraz częściej w tych jeszcze nieobowiązkowych krajowych.

Jak pokazuje doświadczenie i praktyka, najwięcej problemów sprawia podpis elektroniczny. A dokładniej sprawdzenie tego, czy jest on kwalifikowany i nadal ważny. Jak więc szybko i łatwo zweryfikować podpisane przez wykonawcę dokumenty?

Od 18 października 2018 roku każdy wykonawca zainteresowany uzyskaniem zamówień publicznych powyżej progów unijnych zobowiązany jest składać oferty w formie elektronicznej. Oznacza to również, że dokumenty dostarczane w ramach takiego postępowania muszą być opatrzone kwalifikowanymi podpisami elektronicznymi przez osoby uprawnione do reprezentowania danej firmy. Kłopotliwym obowiązkiem każdego zamawiającego stało się więc weryfikowanie, czy w prawidłowy sposób złożony został podpis właściwy i ważny.

Zanim zamawiający podejmie decyzję o odrzuceniu oferty lub uzna ją za złożoną nieskutecznie ze względu na brak spełniania wymagań określonych w rozporządzeniu unijnym eIDAS, musi być pewien, że kwalifikowany podpis elektroniczny jest faktycznie nieprawidłowy – mówi Magdalena Szmalec, Business Director w Marketplanet. – Właśnie dlatego tak ważne jest, żeby wykonawcy wiedzieli, jak dokumenty odpowiednio podpisać, a zamawiający potrafili dokonać prawidłowej walidacji tego podpisu.

Nieprawidłowy podpis

Najczęstszymi błędami związanymi z podpisem elektronicznym, które pojawiają się podczas realizacji postępowań, są te najbardziej klasyczne, czyli brak jego złożenia lub podpisanie ofert podpisem (profilem) zaufanym zamiast kwalifikowanym. Często też do systemów, takich jak eZamawiający, trafiają oferty podpisane podpisem w formacie zewnętrznym XAdES, w którym dołączone są tylko pojedyncze pliki podpisów bez oryginałów zawierających faktyczne dane do postępowania, lub skompresowany, podpisany plik.

Jako nieważny traktowany jest również podpis, który był modyfikowany w trakcie jego składania (brak spełnienia warunku integralności i autentyczności) lub który stracił swoją ważność czy został niepoprawnie skonfigurowany albo zakodowany. Skutkiem błędów jest bardzo często odrzucenie oferty, dlatego zamawiający muszą mieć narzędzia, które pomogą im ustalić, czy i dlaczego weryfikowany podpis jest niepoprawny.

Poziom wiedzy merytorycznej i technicznej, którą jesteśmy w stanie pozyskać z systemu na temat podpisu elektronicznego złożonego w postępowaniu, jest bardzo istotny na przykład w przypadku konieczności przedstawienia dowodów podczas sporów z KIO – dodaje Magdalena Szmalec.


>> Zapisz się na bezpłatną prezentację >>


Weryfikacja na zewnątrz

Sposobów weryfikacji podpisu jest kilka. Jedną z opcji jest wykorzystanie oprogramowania zewnętrznego. Zgodnie z art. 33 eIDAS usługę walidacji kwalifikowanych podpisów elektronicznych może świadczyć wyłącznie kwalifikowany dostawca usług zaufania, który spełnia wymogi wskazane w tym artykule.

Takich podmiotów w Polsce, które wpisane są do rejestru dostawców usług zaufania Ministerstwa Cyfryzacji prowadzonego przez Narodowe Centrum Cyfryzacji, jest aktualnie pięć i tylko one upoważnione są do wystawiania i odnawiania kwalifikowanych podpisów elektronicznych.

Sposób ten jednak ma kilka minusów. Po pierwsze, wymaga „parowania” sprawdzanych dokumentów – zamawiający musi pamiętać, żeby w przypadku formularzy podpisanych XAdES czy PAdES dołączyć oba wymagane pliki. Po drugie, zagraża bezpieczeństwu danych, które wraz z dokumentami pobierane są z aplikacji i zapisywane na dysku komputera. Naraża to jednostkę na niebezpieczeństwo wycieku informacji osobowych zawartych w podpisie (RODO).

Dlatego między innymi tak rekomendowana jest minimalizacja miejsc i możliwości wychodzenia poza aplikacje wspierające realizację postępowań.

Zewnętrzne oprogramowania

  • Krajowa Izba Rozliczeniowa, Szafir
  • PWPW, SigillumSIGN
  • Asseco, proCertum SmartSign
  • Madkom, SAWPE
  • Walidator dostępny na platformie ePUAP

Weryfikacja w jednym miejscu

Kolejną opcją, dzięki której możemy przekonać się, czy wykonawca odpowiednio podpisał swoje dokumenty przetargowe, jest walidacja kwalifikowanego podpisu elektronicznego w aplikacji, w której odbywa się obsługa całego postępowania. Dzieje się więc to wszystko oczywiście z wykorzystaniem usług zaufania publicznego, ale w jednym miejscu, bez potrzeby ściągania przesłanych przez wykonawcę dokumentów na dysk i zaciągania ich na zewnątrz w celu weryfikacji.

Stworzyliśmy tę funkcję w eZamawiającym po to, aby uprościć i jak najbardziej skrócić cały proces walidacji podpisu kwalifikowanego. Spojrzeliśmy na ten problem przez pryzmat ułatwień i odmiennych potrzeb jednostek pracujących w różnych sektorach gospodarki, ale przede wszystkim z punktu widzenia bezpieczeństwa i ochrony danych osobowych, które w Marketplanet traktujemy bardzo poważnie – dodaje Magdalena Szmalec.

Weryfikując podpis w aplikacji, można również zobaczyć zawsze dokładny raport z tego procesu, który jeśli jego wynik nie jest pozytywny, pokazuje dokładnie rodzaj błędu oraz podaje dodatkowe informacje, Wśród nich można znaleźć między innymi datę złożenia podpisu, jednostkę wystawiającą czy wskazanie np. tego, że brakuje “do pary” podpisanego pliku źródłowego z danymi do przetargu.

Obowiązkowa elektronizacja zamówień publicznych dotycząca postępowań powyżej progów unijnych rodzi wciąż różne problemy. Budzi też sporo emocji czy niepewności – zarówno po stronie zamawiających, jak i wykonawców.

Walidator podpisu bezpośrednio na platformie eZamawiający

  • oparty na rozwiązaniu Krajowej Izby Rozliczeniowej, Szafir
  • weryfikacja podpisów elektronicznych złożonych w formacie XAdES, CAdES, PAdES;
  • potwierdzenie w postaci gotowego raportu .pdf;
  • możliwość sprawdzenia, czy dokument jest autentyczny, nie został zmodyfikowany, certyfikat jest prawidłowy;
  • bez konieczności korzystania z zewnętrznego oprogramowania lub innych stron internetowych;
  • Elektroniczne Poświadczenie Weryfikacji (EPW)
  • ochrona danych osobowych.

Obowiązkiem dostawców systemów wspierających ich pracę jest więc teraz – w przededniu wejścia w życie nowych przepisów – maksymalna koncentracja na tym, aby projektowane i rozwijane przez nich narzędzia informatyczne wspierały ich pracę na odpowiednim poziomie.

I nie chodzi tu tylko o podstawową obsługę postępowań prowadzonych drogą elektroniczną, ale również o zapewnienie dodatkowych opcji skracających i ułatwiających ten proces. Warto więc korzystać z nowych oferowanych przez nie możliwości.

Zintegrowany z aplikacją eZamawiający weryfikator podpisu elektronicznego właśnie do nich należy. Stoi na straży danych osobowych, które przechowywane są w jednym, bezpiecznym miejscu. Pomaga dobrze ocenić spływające oferty, a także pozwala być adwokatem we własnej sprawie i w łatwy sposób komunikować się w kwestiach spornych związanych z podpisem zarówno z wykonawcami, jak i z KIO.


>> Obejrzyj nagranie: Jak szybko i łatwo zweryfikować podpisane przez wykonawcę dokumenty >>


Podobne