Zastosowanie podpisu elektronicznego w zamówieniach publicznych

Lech Wendołowski
23.09.2014 , aktualizacja: 23.09.2014 08:47
A A A
Podpis elektroniczny, jak każda nowość w wirtualnej przestrzeni, budzi pewne obawy. Wynikają one głównie z braku wiedzy o tego typu instrumentach i procedurach z ich wykorzystaniem.
Podpis elektroniczny istnieje w zamówieniach publicznych od 2004 r. Towarzyszył pierwszym zapisom o aukcji elektronicznej (obecnie nazwanej licytacją elektroniczną). Pojawił się następnie w kolejnych procedurach elektronicznych (obecnej aukcji, w dynamicznym systemie zakupów oraz w zapisach dotyczących elektronicznej formy oferty oraz dokumentów). Nie bez znaczenia jest także możliwość składania odwołania do KIO przy użyciu tego elektronicznego instrumentu. Dzięki temu można skutecznie złożyć odwołanie dosłownie w ostatniej chwili, bez konieczności udawania się na pocztę.

Podpis elektroniczny, jak każda nowość w wirtualnej przestrzeni, budzi pewne obawy. Wynikają one głównie z braku wiedzy o tego typu instrumentach i procedurach z ich wykorzystaniem. Potwierdzeniem tej tezy jest odpowiedź na jedno z pytań badania dotyczącego stanu informatyzacji zamówień publicznych. Otóż na pytanie skierowane do zamawiających, dlaczego nie organizują aukcji elektronicznych, ponad 40% wybrało odpowiedź - "bo nie mamy podpisu elektronicznego". Haczyk tkwił w tym, że ta odpowiedź zupełnie nie pasowała do rzeczywistego stanu prawnego (żaden zamawiający nie musi mieć podpisu elektronicznego, by przeprowadzić aukcję).

Trzeba jednak przyznać, że w ostatnim czasie wiele się zmieniło. Zamawiający zdecydowanie bardziej świadomi są szczegółów technicznych dotyczących aukcji i licytacji. Jednak sposób działania samego podpisu i zasady jego użytkowania nie są zbyt dobrze znane zamawiającym i debiutującym wykonawcom. I wcale nie jest wymyślonym żartem pytanie - "Czy podpis elektroniczny to zeskanowany podpis tradycyjny?". Niektórzy zamawiający mają też obawy, że wymóg posiadania podpisu elektronicznego jako warunku złożenia oferty może narazić ich na zarzut nierównego traktowania wykonawców. Dlatego warto rozwiać pewne mity dotyczące tego podpisu i pokazać jego przydatność (nie tylko w zamówieniach publicznych).

Czym jest podpis elektroniczny?

Na początek kilka definicji. Zgodnie z art. 3 ustawy o podpisie elektronicznym:

1. Podpis elektroniczny - to dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny,

2. Bezpieczny podpis elektroniczny - to podpis elektroniczny, który:

- jest przyporządkowany wyłącznie do osoby składającej ten podpis,

- jest sporządzany za pomocą podlegających wyłącznej kontroli osoby składającej podpis elektroniczny bezpiecznych urządzeń służących do składania podpisu elektronicznego i danych służących do składania podpisu elektronicznego.

Z kolei zgodnie z art. 5 ustawy o podpisie elektronicznym, dane w postaci elektronicznej opatrzone bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu są równoważne pod względem skutków prawnych dokumentom opatrzonym podpisami własnoręcznymi. Tym samym nie można uchylić się od skutków prawnych użycia bezpiecznego podpisu elektronicznego, a zatem jego uzyskiwanie i stosowanie podlega określonym procedurom.

Aby go uzyskać, niezbędne jest m.in. poświadczenie tożsamości osoby ubiegającej się o taki podpis. Centrum certyfikacji wydające taki podpis musi być pewne tożsamości swojego klienta, odbywa się to zawsze poprzez kontakt osobisty z przedstawicielem centrum. Podpisu nie uzyskamy tylko drogą elektroniczną, na odległość. Zatem można powiedzieć, że podpis elektroniczny weryfikowany certyfikatem kwalifikowanym jest w zasadzie odpowiednikiem cyfrowego dowodu tożsamości.

Nie można uchylić się od skutków prawnych użycia bezpiecznego podpisu elektronicznego.

Mamy jeszcze tak zwane powszechne podpisy elektroniczne (bez certyfikatu kwalifikowanego). Nie są one poddane aż takim rygorom technicznym i formalnym, stąd nieco mniejsze bezpieczeństwo prawne przy ich wykorzystaniu, co mogłoby stanowić przeszkodę w zawieraniu umów i prowadzeniu transakcji przez np. podmioty administracji publicznej. Nie rodzą one bowiem takich samych skutków prawnych jak bezpieczne podpisy elektroniczne.

Podsumowując, cechy bezpiecznego podpisu to:

1. Bezpieczne środowisko:

- karta z mikroprocesorem,

- czytnik karty,

- oprogramowanie;

2. Certyfikat kwalifikowany (zapisany na karcie);

3. Wystawca podpisu wpisany do rejestru uprawnionych podmiotów.
Określenie "bezpieczne środowisko" oznacza, że komponenty techniczne tak są skonstruowane, że nie ma możliwości ingerowania z zewnątrz w proces podpisywania dokumentu elektronicznego ani "wykradzenia" certyfikatu kwalifikowanego. Wystawca podpisu to zawsze organizacja, która musi spełnić surowe wymagania stawiane przez Ministerstwo Gospodarki sprawujące nadzór nad realizacją ustawy o podpisie elektronicznym. Listę podmiotów, które uzyskały akredytację prowadzi Narodowe Centrum Certyfikacji.

W tym miejscu pojawia się pojęcie ścieżki certyfikacji, czyli trzypoziomowego systemu budowy zaufania do podpisu. Opis ścieżki certyfikacji jest uwidoczniony w każdym certyfikacie kwalifikowanym: certyfikat użytkownika podpisu jest poświadczany certyfikatem przez komercyjne Centrum Certyfikacji, a z kolei to Centrum Certyfikacji jest autoryzowane poprzez certyfikat wystawiany przez Narodowe Centrum Certyfikacji.

W toku weryfikacji uzyskanego podpisu elektronicznego (np. pod ofertą lub we wniosku do ZUS) specjalne serwery sprawdzają ważność podpisu elektronicznego miedzy innymi w oparciu o wymienione trzy certyfikaty. Oprócz tego sprawdzana jest integralność podpisu, czyli badanie, czy po podpisaniu plik nie był zmieniony.

Samo słownictwo i określenia też sprawiają trochę kłopotu. Z jednej strony powszechnie mówi się, że podpis elektroniczny to karta, czytnik i certyfikat, ale tak naprawdę jest to bardziej zestaw do składania podpisu elektronicznego. Sam podpis elektroniczny, podobnie jak podpis tradycyjny, jest zawsze z czymś powiązany. Zwykły podpis odręczny złożony na kartce papieru będzie powiązany z treścią wyrażoną na tej kartce. Podobnie podpis elektroniczny jest powiązany z plikiem, który jest podpisywany (zdjęcie, plik tekstowy, PDF itp.). Zatem ściślej rzecz ujmując podpis elektroniczny to dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny.

Bezpieczny podpis elektroniczny stanowi elektroniczny (cyfrowy) odpowiednik podpisu odręcznego i zawiera wszystkie jego najistotniejsze cechy, tzn.:

- potwierdza jednoznacznie tożsamość osoby podpisującej;

- uniemożliwia zaprzeczenie faktu podpisania;

- jest powiązany z treścią, która została podpisana;

- uniemożliwia wprowadzenie niezauważalnych zmian w podpisanej treści.

Ingerencja w podpisany dokument

Można oczywiście w pliku podpisanym elektronicznie wprowadzić zmiany, tak jak w każdym innym pliku. Ale wtedy taki plik w toku weryfikacji zostanie zweryfikowany negatywnie. I nie ma znaczenia, czy to będzie dodanie akapitu do tekstu umowy, dodanie przecinka, pogrubienie, pochylenie litery czy dodanie błysku w oku fotografowanej osoby.

W tym miejscu może pojawić się wątpliwość u zamawiającego. Skoro można wprowadzić zmiany w podpisanym pliku to skąd pewność, że oferta elektroniczna jest autentyczna? Za prawidłowość złożonych ofert odpowiada platforma przetargowa. To ona musi mieć wdrożone takie procedury, które wymuszają weryfikację każdej oferty przed jej przyjęciem do klasyfikacji, a także zapisać ślad takiej weryfikacji. Te dowody muszą być dostępne dla zamawiającego.

Droga oferty w aukcji elektronicznej jest następująca:

1. Wygenerowanie w komputerze uczestnika aukcji oświadczenia woli zawierającego ofertę (cena, przedmiot aukcji).

2. Uruchomienie aplikacji podpisującej to oświadczenie (odbywa się to lokalnie na komputerze uczestnika).

3. Wysłanie podpisanego oświadczenia do serwera weryfikującego certyfikat (podpisana oferta opuszcza komputer uczestnika).

4. Weryfikacja certyfikatu; jeżeli jest pozytywna, to oferta trafia do systemu aukcyjnego i jest poddana klasyfikacji, jeżeli negatywna, to nie jest przesyłana do systemu aukcyjnego i nie pojawia się w klasyfikacji ofert.

Podobne mechanizmy są stosowane w innych systemach opartych na oświadczeniach podpisanych w ten sposób, np. komunikacji służb kadrowych z ZUS. Co więcej, w zakresie bezpieczeństwa podpis elektroniczny jest niepodrabialny natomiast podpis tradycyjny takiej pewności nie daje (by uzyskać 100% pewność co do podpisu odręcznego należy poddać go kosztownym badaniom ekspertów). Skąd ta pewność co do podpisu elektronicznego, która przy codziennych komunikatach o dokonaniach hakerów wydawać się może naiwna?. Nie wdając się w szczegóły techniczne, algorytmy szyfrowania i zabezpieczenia podpisu elektronicznego są cały czas doskonalone, a sam podpis ma ważność najwyżej 2-letnią, właśnie po to, by odnowiony po tym okresie podpis znowu był na jeden krok przed włamywaczem, a nie za nim.

W zakresie bezpieczeństwa podpis elektroniczny jest niepodrabialny, natomiast podpis tradycyjny takiej pewności nie daje.

Podpis elektroniczny a ePUAP

Nie należy mylić bezpiecznego podpisu elektronicznego z zaufanym profilem ePUAP. Profil zaufany na Elektronicznej Platformie Usług Administracji Publicznej (ePUAP) to także pewna forma zaufanej autoryzacji działań użytkownika, ale bez zastosowania specjalnych urządzeń (karta, czytnik itp.). Tu także następuje poświadczenie tożsamości, ale w wyniku tej procedury otrzymujemy (w skrócie) zaufaną skrzynkę pocztową. Na mocy ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne, uznaje się skorzystanie z takiej skrzynki (z kodów autoryzacyjnych) za równorzędne ze złożeniem podpisu odręcznego. Jak daleko jest to mylne podejście nie trzeba chyba nikogo długo przekonywać. Przejęcie cudzej skrzynki pocztowej nie jest zadaniem zbyt trudnym dla fachowca. Na szczęście od niedawna poziom bezpieczeństwa na platformie ePUAP został podniesiony poprzez zastosowanie autoryzacyjnych kodów SMS przesyłanych na telefon posiadacza profilu.

Nie należy mylić bezpiecznego podpisu elektronicznego z zaufanym profilem ePUAP.

Nie chcę tutaj twierdzić, że autoryzacje za pomocą kodów na skrzynki mailowe są z gruntu złe. To rozwiązanie powszechnie stosowane i bez problemu sprawdza się w wielu platformach elektronicznych, ale droga od takiego kodu do niezaprzeczalnego potwierdzenia tożsamości osoby składającej oświadczenie woli jest długa i kręta. Dla zamówień publicznych ePUAP nie ma jednak znaczenia, mimo że założenie profilu zaufanego może także odbyć się przy pomocy posiadanego już podpisu elektronicznego. W naszym przypadku zamówień publicznych mamy albo pisemną formę tradycyjną, albo formę elektronicznego podpisu bezpiecznego wskazanego wprost w ustawie Prawo zamówień publicznych.

Zastosowanie w praktyce podpisu elektronicznego przez zamawiającego

Wiemy już, czym jest podpis elektroniczny i że daje nam pewność co do tożsamości jego użytkownika, a zatem także pewność co do oświadczenia woli złożonego przez daną osobę. Jak praktycznie stosować taki podpis? Mamy tu dwa aspekty: inaczej sprawa wygląda od strony wykonawcy, a inaczej od strony zamawiającego.

Zamawiający może dopuścić stosowanie podpisu generalnie w dwóch głównych obszarach:

- w aukcji elektronicznej;

- poza aukcją elektroniczną (np. oferta, dokumenty w postaci elektronicznej).

W pierwszym przypadku - czyli w aukcji elektronicznej - sprawa jest prosta. Wybierając platformę przetargową, zamawiający przenosi na nią wszelkie obowiązki związane z prawidłowym działaniem podpisów elektronicznych uczestników aukcji. To operator platformy udostępni zamawiającemu narzędzie do prawidłowej obsługi podpisu oraz, na jego żądanie, powinien udowodnić przed aukcją, że platforma te wymagania spełnia. Wyjątkiem jest platforma UZP, od której nie można niczego żądać i zamawiający nie ma bezpośredniego dostępu do dowodów elektronicznie podpisanych ofert.

W drugim przypadku, jeżeli zamawiający dopuści, by wykonawca choćby część dokumentów złożył w formie elektronicznej, to zgodnie z zapisami rozporządzenia w sprawie dokumentów musi zażądać, by te dokumenty były opatrzone podpisem elektronicznym. Rozporządzenie stanowi bowiem, że: "W przypadku składania elektronicznych dokumentów powinny być one opatrzone przez wykonawcę bezpiecznym podpisem elektronicznym weryfikowanym za pomocą ważnego kwalifikowanego certyfikatu". Ta zgoda zamawiającego jest już często oczekiwana i korzystna dla obu stron, gdyż dzięki niej nie trzeba dostarczać grubych tomów dokumentacji w formie papierowej. Wystarczy nośnik (CD, pendrive) z zapisanym podpisanym plikiem.

Ale tu pojawia się drobny problem. Podpisany plik trzeba zweryfikować, by sprawdzić, czy certyfikat jest ważny (musimy mieć pewność, że zapis rozporządzenia jest spełniony), a przy okazji sprawdzić, czy osoba, która go podpisała (uwidoczniona w certyfikacie) jest osobą uwidocznioną np. w KRS lub stosownym pełnomocnictwie do reprezentacji. Przy okazji warto zaznaczyć, że wydruk podpisanego elektronicznie dokumentu przestaje być podpisanym dokumentem, jest tylko wydrukiem o wartości informacyjnej, a nie dowodowej. Problem, jak napisałem wcześniej, jest drobny i znika całkowicie, gdy wiemy jak do niego podejść. Każdy wystawca podpisu (centrum certyfikacji) udostępnia oprogramowanie do weryfikacji własnych podpisów. Wystarczy je pobrać ze strony dostawcy i użyć do weryfikacji podpisu. Jednak można tę czynność jeszcze bardziej uprościć, gdyż instalowanie i nadzór nad kilkoma oprogramowaniami różnych centrów certyfikacji jest mało praktyczne. Jest zatem dobra wiadomość - pierwsze i największe w Polsce centrum certyfikacji CERTUM udostępnia na swojej stronie internetowej usługę WEBNOTARIUS (www.webnotarius.pl). Drogą online ładujemy podpisany plik i uzyskujemy wszelkie niezbędne informacje o podpisie elektronicznym: status weryfikacji i szczegóły certyfikatu. Bezpłatnie i szybko, 24h na dobę, dokładnie tak samo jak sprawdzamy KRS czy wpis do ewidencji działalności gospodarczej.

Zastosowanie podpisu elektronicznego w praktyce przez wykonawcę

Jeżeli wykonawca jest zaproszony do aukcji elektronicznej, to musi po prostu kupić zestaw do składania podpisu elektronicznego (jeżeli go jeszcze nie ma). Procedury zakupu mogą się różnić w zależności od wystawcy podpisu, ale mają jeden wspólny element - konieczna jest weryfikacja tożsamości poprzez bezpośredni kontakt wystawcy z przyszłym użytkownikiem podpisu. To oznacza, że na zdobycie podpisu lepiej zarezerwować sobie więcej czasu niż 1 dzień. Choćby dlatego, że w większych firmach pracownik, który uzyska podpis, będzie musiał skompletować dokumenty podpisane przez szefa, a ten nie zawsze jest dostępny "od ręki". Potem pozostaje sprawdzenie, czy podpis będzie działać bez zarzutu w oczekiwanej aukcji. Tu z pomocą powinna przyjść platforma przetargowa udostępniająca system testowania działania podpisu. Na to wszystko jest zwykle dużo czasu, bo informacja o planowanej aukcji jest podawana już w ogłoszeniu o zamówieniu.

Trzeba pamiętać, że proces składania podpisu w toku aukcji online przebiega nieco inaczej, niż podpisywanie za pomocą oprogramowania dostarczonego przez wystawcę podpisu, instalowanego bezpośrednio w komputerze użytkownika. Właśnie dlatego ważne jest przygotowanie stanowiska komputerowego uczestnika aukcji zgodnie z wytycznymi platformy. Prawidłowe podpisywanie i wysyłanie oferty będzie zależeć od aktualizacji różnych składników przeglądarki internetowej. I to wszystko, co musi zrobić wykonawca. Jeżeli już posiada podpis i jest z nim oswojony, zaczyna szukać kolejnych okazji do jego stosowania. To może być właśnie podpisywanie dokumentów, faktur, umów itp.

Mity dotyczące podpisu elektronicznego

Aukcja z podpisem elektronicznym może kogoś dyskryminować

Jeżeli ustawodawca zezwala zamawiającemu na zastosowanie aukcji bez żadnych warunków dotyczących wykonawców (za wyjątkiem tego, by było ich co najmniej trzech niepodlegających odrzuceniu), to trudno mówić o nierównym traktowaniu wykonawców. Każdy ma dostęp do podpisu, sieć sprzedaży jest dobrze rozwinięta, istnieje kilka podmiotów wydających takie podpisy, a ich ceny miedzy 200 a 300 zł nie stanowią żadnej bariery. Podpis jest tańszy od faksu, kosztuje podobnie, co skaner, dobre oprogramowanie antywirusowe lub jedno tankowanie samochodu. Jeżeli dla wykonawcy miałaby być to kwota zaporowa, to jednak lepiej, żeby nie brał udziału w zamówieniach publicznych.

Podpis elektroniczny jest dobry tylko dla dużego biznesu

Znaczenie podpisu jest takie samo dla małej i dużej firmy. Wielkość firmy nie ma żadnego związku z ewidentną korzyścią wynikającą z możliwości złożenia skutecznego oświadczenia woli na odległość. Przykładem może być rejestr firm szkoleniowych wprowadzony przez Wojewódzkie Urzędy Pracy, w którym coroczną deklarację można złożyć elektronicznie bez względu na wielkość firmy, używając właśnie podpisu elektronicznego.

Rynek rośnie coraz bardziej i obszar zastosowania podpisu także. Bezpieczny podpis elektroniczny może być obecnie stosowany m.in. do:

- elektronicznego podpisywania umów i dokumentów w obrocie handlowym i cywilno-prawnym;

- w korespondencji z urzędami oraz do podpisywania pism i decyzji administracyjnych przez urzędy;

- podpisywania faktur elektronicznych;

- zarejestrowania działalności gospodarczej (CEIDG);

- składania deklaracji celnych i podatkowych;

- zgłoszeń ubezpieczenia społecznego (również system PUE ZUS);

- podpisywania wniosków do Krajowego Rejestru Sądowego;

- podpisywania raportów dla Generalnego Inspektora Informacji Finansowej;

- korespondencji z Generalnym Inspektorem Ochrony Danych Osobowych;

- podpisywania dokumentacji medycznej;

- składania pism procesowych w kontaktach z sądami administracyjnymi;

- składania pism w Elektronicznym Postępowaniu Upominawczym (e-sąd);

- składania odwołanie do KIO;

- składania rocznych deklaracji do rejestru firm szkoleniowych.

Jak widać sporo się dzieje w tej dziedzinie, a nasza bliska przyszłość to podpis elektroniczny w dowodzie osobistym. Technicznie nie ma już żadnych przeszkód. Tylko klasyczny przetarg na ten dowód jakoś długo się przeciąga.

AUTOR ARTYKUŁU

Lech Wendołowski - praktyk zamówień publicznych, trener, zarządza firmą szkoleniową Akademia Zamówień. Współtwórca i wspólnik pierwszej polskiej platformy przetargowej SOLDEA, dedykowanej polskim zamówieniom publicznym Praktyk zamówień publicznych, trener, zarządza firmą szkoleniową Akademia Zamówień. Współtwórca i wspólnik pierwszej polskiej platformy przetargowej SOLDEA, dedykowanej polskim zamówieniom publicznym



Artykuł pochodzi z najnowszego numeru dwumiesięcznika "Zamawiający"



Zobacz także