O formacie podpisu elektronicznego

Był sobie pewien zamawiający, który organizował postępowanie (powyżej progów, elektroniczne), dostał oferty, zweryfikował podpisy, wszystko pięknie grało… dopóki jeden z wykonawców nie podesłał mu donosu na wyżej klasyfikowaną ofertę, w którym to donosie wskazał, że oferta nadaje się do odrzucenia, bo została złożona w pliku w formacie pdf, podpisanym kwalifikowanym podpisem elektronicznym zapisanym w formacie xades. I co teraz? Wykonawca powołał się przy tym na ciąg aktów prawnych, z których wyciągnął taki wniosek.

Mianowicie zaczynamy od art. 10g ustawy Prawo zamówień publicznych, w którym zawarto delegację dla Prezesa Rady Ministrów do wydania rozporządzenia m.in. w zakresie sposobu sporządzania dokumentów elektronicznych. Na podstawie tej delegacji wydane jest rozporządzenie w sprawie użycia środków komunikacji elektronicznej w postępowaniu o udzielenie zamówienia publicznego oraz udostępniania i przechowywania dokumentów elektronicznych. To rozporządzenie bezpośrednio nie określa formatów danych, ale jego § 4 odsyła w tym zakresie do art. 18 ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne. A ten z kolei przepis to znowu delegacja, tym razem dla Rady Ministrów, i jej efektem jest rozporządzenie w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. § 18 tego rozporządzenia odsyła do załącznika 2, a w tym, w części B, w punkcie 3 znajdziemy formaty podpisów elektronicznych.

Formatów wymienionych jest 7, w tym dwa najczęściej spotykane, Xades (tzw. podpis zewnętrzny, umieszczany w odrębnym pliku niż podpisywany dokument) i Pades (tzw. podpis wewnętrzny, wprowadzany bezpośrednio do podpisywanego pliku). Xades jest przypisany do dokumentów w formacie xml, natomiast Pades do dokumentów w formacie pdf. Co ciekawe, formatów plików możliwych do zastosowania w zamówieniach publicznych mamy znacznie więcej, ale z nich wszystkich w tej tabelce znajdziemy jeszcze tylko format zip (do którego przypisany jest format ASIC, czymkolwiek on nie jest).

W ślad za tym rozporządzeniem w specyfikacjach pojawiają się niekiedy pouczenia, jak wykonawca ma podpisywać dokumenty. Że pliki w formacie pdf należy podpisywać w formacie Pades, a inne pliki w formacie Xades. Te pouczenia często mają formę zaleceń, ale czasami – nakazów. W kwestii tych ostatnich, po szybkim pogooglaniu znalazłem specyfikację, w której zamawiający napisał, że „dokumenty w formacie „pdf” należy podpisywać tylko i wyłącznie formatem PAdES”, a pozostałe dokumenty formatem „XAdES”. Znalazłem też specyfikację, w której zamawiający zażądał podpisywania dokumentów w plikach zapisanych w formacie pdf za pomocą podpisów Pades lub Xades, a pozostałych – za pomocą Xades. Znalazłem też poradę prawną w internecie, zgodnie z którą JEDZ w formacie pdf należy podpisywać Padesem, a w formacie xml Xadesem.

Co teraz począć? Jak powinien zachowywać się zamawiający sporządzając specyfikację, a następnie otrzymując ofertę niezgodną z takim zapisem? Czy faktycznie pdf-ów nie można podpisywać Xadesem? Cóż, ja proponuję oprzeć się pokusom stawiania nakazów lub zakazów. A w przypadku otrzymania pliku pdf podpisanego Xadesem zweryfikowania go tak jak każdego innego podpisu. Bo przecież on działa tak samo dobrze w tym przypadku jak Pades. Gdy zajrzymy do wydawnictwa Ministerstwa Cyfryzacji o uroczym tytule „ePodręcznik: e-usługi publiczne” znajdziemy w części na temat podpisów kwalifikowanych zapis, że wybór formatu nie jest bez znaczenia, bo nie wszystkie typy podpisów mogą być użyte w każdej sytuacji. Ale jednocześnie jako przykład podano, że podpisem zewnętrznym (czyli Xadesem) można podpisać każdy plik, w tym plik z rozszerzeniem pdf.

Cóż, gdyby zapis już był, a my zastanawialibyśmy się, co począć z ofertą, która stosowny nakaz/zakaz naruszyła… Za niezgodność treści oferty z treścią siwz jej się nie odrzuci, bo format podpisu z pewnością treścią oferty nie jest, stanowi wymóg formalny. Nieważności oferty też nie powoduje, bo skoro podpis spełnia swoją funkcję i da się zweryfikować, oznacza, że oferta została podpisana i złożona w wymaganej formie. Za niezgodność z ustawą także, bo została podpisana kwalifikowanym podpisem elektronicznym. Nie mówiąc o piętrowości delegacji, to ja wciąż się zastanawiam, jaki podpis miałby użyć wykonawca, gdyby sporządził ofertę w postaci pliku w formacie xls albo doc i nie miał potrzeby jego pakowania. Bo rozporządzenie na końcu tego łańcuszka jakoś tego nie przewiduje :)

Ps. A żeby było jeszcze zabawniej, jak donosi zaglądający pod każdy kamień Kuba, to ostatnie w łańcuszku rozporządzenie ma przypis, a w przypisie odwołanie do Decyzji Komisji Wykonawczej (UE) 2015/1506 z dnia 8 września 2015 r. ustanawiającej specyfikacje dotyczące formatów zaawansowanych podpisów elektronicznych oraz zaawansowanych pieczęci elektronicznych, które mają być uznane przez podmioty sektora publicznego, zgodnie z art. 27 ust. 5 i art. 37 ust. 5 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym…

Dodaj komentarz

Twój adres email nie zostanie opublikowany.