Motywem wiodącym kontroli było, czy wdrożono rozwiązania organizacyjne i informatyczne zapewniające elektroniczną komunikację w procesie udzielania zamówień publicznych, a także czy zamawiający prawidłowo stosują nowe regulacje dotyczące pełnej komunikacji elektronicznej w procedurze udzielania zamówień publicznych. W niniejszym tekście przedstawia się kluczowe wnioski z analizy raportu, które powinny stanowić cenne informacje i wskazówki „na przyszłość”.

Zarzuty wobec miniPortalu

W praktyce można było dotychczas spotkać się z licznymi pytaniami, czy komercyjne portale e-usług spełniają wymagania przepisów ZamPublU. Mniej wątpliwości pod tym względem wywoływał u zamawiających miniPortal, którego wybór uzasadniano głównie bezkosztowym użytkowaniem, łatwością i intuicyjnością w obsłudze oraz zaufaniem, co do jakości produktu wprowadzonego do użytku przez instytucję państwową. Zaskakujące są więc ustalenia kontroli NIK, z których wynika, że narzędzia komercyjne spełniały wymagania określone przepisami prawa, natomiast w miniPortalu zastosowano aplikację pracującą jedynie w środowisku Microsoft Windows, mogącą ograniczać dostęp podmiotów, użytkujących inne systemy operacyjne. Innymi słowy, może powodować utrudnienia lub wykluczenie z udziału w postępowaniach podmiotów, które ich używają. Nie jest więc możliwe wykorzystanie jego pełnej funkcjonalności (w zakresie szyfrowania ofert) w przypadku używania przez podmioty systemów operacyjnych innych niż Microsoft Windows. Tym samym zdaniem NIK miniPortal nie spełnia określonych w przepisach tzn. w § 4 ust. 3 rozporządzenia Rady Ministrów z 12.4.2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2017 r. poz. 2247, dalej „rozporządzenie KRI”) warunków neutralności technologicznej narzędzi wykorzystywanych do komunikacji wykonawców i zamawiających. Jego stosowanie może narazić zamawiających na zarzut ograniczenia dostępu do postępowania o udzielenie zamówienia publicznego tj. naruszenia art. 10b ZamPublU. Przepis ten stanowi, że narzędzia i urządzenia wykorzystywane do komunikacji elektronicznej, oraz ich właściwości techniczne mają być niedyskryminujące, ogólnie dostępne oraz interoperacyjne z produktami służącymi elektronicznemu przechowywaniu, przetwarzaniu i przesyłaniu danych, będącymi w powszechnym użyciu oraz nie mogły ograniczać wykonawcom dostępu do postępowania o udzielenie zamówienia. Pominięcie w miniPortalu wsparcia innych, niż Microsoft Windows, systemów operacyjnych, może powodować utrudnienia lub wykluczenie z udziału w postępowaniach podmiotów, które ich używają.

Ponadto stwierdzono, że główne problemy związane z użytkowaniem miniPortalu koncentrowały się na zagadnieniach szyfrowania i odszyfrowywania ofert oraz dostępności platformy ePUAP zintegrowanej z miniPortalem. Problemy takie mogą – zdaniem NIK – negatywnie wpływać na przebieg i wynik postępowań o zamówienie publiczne. W połowie skontrolowanych jednostek, realizujących postępowania o udzielenie zamówienia publicznego, wystąpiły problemy w funkcjonowaniu i obsłudze wdrożonych narzędzi wspierających komunikację elektroniczną. W szczególności polegały one na trudnościach w pobraniu i otwarciu ofert oraz zalogowaniu do narzędzi i odszyfrowaniu ofert, przy czym głównie dotyczyły miniPortalu oraz funkcjonalności ePUAP. Ustalenia kontroli NIK wykazały też mankamenty świadczonych usług, m.in. długotrwałe udzielanie odpowiedzi oraz wyjaśnianie przyczyn i rozwiązywanie zgłoszonych problemów, a także trudności ze skontaktowaniem się z obsługą wsparcia. Nieprawidłowe funkcjonowanie miniPortalu/ePUAP, w niektórych przypadkach utrudniało lub uniemożliwiało otwarcie ofert, a także wpływało na konieczność przedłużenia postępowań.

Wskazane „problemy” nierzadko były powodem rezygnacji przez zamawiających z korzystania z miniPortalu i zakupu narzędzia komercyjnego. Zamawiający podkreślali, że pierwotnie zdecydowali się na skorzystanie z miniPortalu, ponieważ było to rozwiązanie darmowe i jako produkt współtworzony przez UZP budziło zaufanie. Jednak w praktyce funkcjonalność narzędzia, wsparcie użytkownika oraz poziom obsługi zgłoszeń problemów były niezadowalające. Przykładowo, jeden z zamawiających wskazał, że w prowadzonym z użyciem miniPortalu postępowaniu o zamówienie publiczne, oferta jednego z wykonawców złożona za pośrednictwem skrzynki podawczej ePUAP nie dotarła do zamawiającego. Zasygnalizowany problem został rozpatrzony przez zespół Service Desk ePUAP po 16 dniach od jego zgłoszenia. Błąd ten miał istotny wpływ na terminowość oraz prawidłowość prowadzonego postępowania o zamówienie publiczne i w efekcie spowodował jego unieważnienie. Z kolei inny zamawiający podał, że w trakcie otwarcia ofert stwierdzono, że jedna z dwóch złożonych ofert nie zawiera załączników, pomimo że zostały one przez wykonawcę wysłane. Dopiero po upływie 16 dni od zgłoszenia problemu, zespół Service Desk ePUAP przekazał informację o błędach w funkcjonowaniu ePUAP powodujących automatyczne usunięcie załączników zanim odbiorca zdążył je pobrać i o wdrożeniu stosownych poprawek. To zdarzenie także miało istotny wpływ na terminowość i prawidłowość prowadzonego postępowania i spowodowało jego unieważnienie. W konsekwencji oceniono poziom obsługi zgłoszeń problemów w zakresie miniPortalu/ePUAP jako niezadowalający. Zastrzeżenia budziła zwłaszcza długość oczekiwania na połączenie z konsultantem pomocy technicznej oraz długi okres interpretacji zaistniałego błędu.

Weryfikacja podpisów elektronicznych

Kontrola NIK potwierdziła, że obowiązkiem zamawiającego jest dokonywanie weryfikacji zgodności przekazywanej przez wykonawców dokumentacji z określonymi w dokumentacji przetargowej zasadami komunikacji elektronicznej, w tym m.in. weryfikacji autentyczności podpisów elektronicznych za pomocą specjalistycznego oprogramowania. Takie czynności były bowiem przedmiotem sprawdzenia przez kontrolerów. W większości kontrolowanych zamawiających obowiązki w tym zakresie były wykonywane rzetelnie. Zdarzały się jednak jednostkowe przypadki, gdy zamawiający wbrew wymogom określonym w art. 89 ust. 1 pkt 1 ZamPublU nie odrzucił dwóch ofert nieopatrzonych kwalifikowanym podpisem elektronicznym wymaganym przez art. 10a ust. 5 ZamPublU. W konsekwencji sformułowano generalny wniosek pokontrolny: odrzucania ofert podmiotów ubiegających się o realizację zamówienia publicznego o wartości równej lub przekraczającej progi unijne nieopatrzonych kwalifikowanym podpisem elektronicznym.

W raporcie zwrócono uwagę na jeden z przypadków, który dotyczył wniesienia w postępowaniu odwołania do Prezesa KIO w związku z odrzuceniem oferty w wyniku weryfikacji podpisu, jako błędnie podpisanej. Weryfikacja za pomocą danego oprogramowania (Szafir) wykazała, że przesłane dokumenty wykonawcy zostały błędnie podpisane. Wskutek odwołania, w jednostce dokonano ponownej weryfikacji podpisu przy użyciu innego oprogramowania, stwierdzając jego prawidłowość. W związku z tym, odwołanie zostało uwzględnione, a oferta składającego odwołanie została wybrana jako najkorzystniejsza. Zdaniem NIK, ten przypadek wskazuje, że oprogramowanie różnych producentów może w odmienny sposób weryfikować poprawność podpisów, co może mieć wpływ na rozstrzygnięcie i wynik postępowania o zamówienie publiczne.

Dokumentacja i przebieg postępowania o udzielenie zamówienia

Zamawiający powinni, uwzględniając wnioski z kontroli NIK, pamiętać o obowiązku zawarcia w dokumentacji postępowania postanowień związanych z elektronizacją. Kontrolerzy ustalili bowiem, że niektórzy zamawiający nie udostępnili w dokumentacji informacji na temat wzorca czasu, jaki wykorzystywany był przez zamawiającego oraz przepustowości sieci, co było niezgodne z § 3 ust. 3 rozporządzenia w sprawie użycia środków komunikacji elektronicznej (…). Kontrolowani, u których stwierdzono takie braki podnosili, że wzorzec czasu wykorzystywany przez zamawiającego określała platforma zakupowa, a czas wyświetlany na platformie synchronizuje się automatycznie z serwerem Głównego Urzędu Miar. Wskazano również, że informacja na temat specyfikacji połączenia była zawarta w regulaminie platformy zakupowej, jednak nie zawierała danych o przepustowości sieci. Informacje te dopiero na skutek kontroli i na wniosek zamawiającego dopisano do instrukcji dla wykonawców (czas) oraz regulaminie (przepustowość).

Kontrolerzy zidentyfikowali ponadto naruszenia określone w ZamPublU odnośnie do zasad udzielania zamówień publicznych, w szczególności w związku z otwarciem ofert w następnym dniu roboczym po wyznaczonym w postępowaniu terminie ich otwarcia, czym naruszono art. 86 ust. 2 ZamPublU. Zamawiający tłumaczyli się awarią systemu ePUAP, która wpłynęła na brak możliwości pobrania i otwarcia ofert w zaplanowanym terminie. NIK stwierdziła, że otwarcie jednej ze złożonych ofert już po zakończeniu sesji otwarcia i już bez udziału wykonawców, naruszyło zasady jawności i konkurencyjności, określone w art. 7 ust. 1, art. 8 ust. 1 oraz art. 86 ust. 2 i 4 ZamPublU. Tym samym, postępowanie nie zostało przeprowadzone w sposób zapewniający zachowanie zasady uczciwej konkurencji i równego traktowania wykonawców oraz zgodnie z zasadami proporcjonalności i przejrzystości, a zatem wystąpiła okoliczność jego unieważnienia na podstawie art. 93 ust. 1 pkt 7 ZamPublU.

Wymagania odnośnie do archiwizacji dokumentacji elektronicznej

Kontrolerzy NIK stwierdzili, że w zdecydowanej większości jednostek użytkujących miniPortal nie zapewniono należytego i zgodnego z przepisami przechowywania i zabezpieczenia dokumentacji elektronicznej postępowań, co zwiększa ryzyko jej utraty lub naruszenia integralności oraz może powodować ograniczenie możliwości odtworzenia przebiegu postępowań o zamówienie publiczne. W przypadku wykorzystania miniPortalu dokumentacja elektroniczna, przekazywana za pośrednictwem formularzy ePUAP, jest bowiem dostępna na skrzynce podawczej ePUAP do momentu jej usunięcia przez nadawcę lub odbiorcę albo też do czasu pobrania jej przez zewnętrzny system elektronicznego obiegu dokumentów. Brak w miniPortalu dedykowanej funkcjonalności przechowywania dokumentacji powoduje, że zamawiający muszą we własnym zakresie zapewnić, że dokumentacja elektroniczna związana w przeprowadzanymi postępowaniami jest przechowywana zgodnie z wymogami, określonymi w § 6 rozporządzenia w sprawie użycia środków komunikacji elektronicznej. Ponadto – stosownie do § 2 ust. 1 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 30.10.2006 r. w sprawie szczegółowego sposobu postępowania z dokumentami elektronicznymi – dokumenty elektroniczne, świadczące o wykonywaniu działalności podmiotów, powstające w nich lub napływające do nich, jeżeli odzwierciedlają przebieg załatwiania i rozstrzygania spraw, podlegają ewidencjonowaniu w systemie teleinformatycznym. Zgodnie z § 4 ust. 1 tego rozporządzenia, wraz z dokumentami ewidencjonowanymi przechowuje się ich metadane, a zgodnie z § 6 tego rozporządzenia postępowanie z dokumentami ewidencjonowanymi i metadanymi prowadzi się przy użyciu systemu teleinformatycznego, spełniającego szereg wymogów.

Nieprawidłowości dotyczyły w szczególności braku ewidencji lub archiwizacji dokumentów elektronicznych postępowań ze skrzynki ePUAP lub ze skrzynek poczty e-mail, na które trafiała część dokumentów (m.in. pytania i wyjaśnienia treści SIWZ, wezwania, zawiadomienia o poprawieniu oczywistych omyłek, informacje z otwarcia ofert). Na tym Tel sformułowano dwa następujące wnioski pokontrolne dotyczące wymogu:

  1. przechowywania dokumentacji postępowań o udzielenie zamówień publicznych, objętych obowiązkiem komunikacji elektronicznej, w systemie teleinformatycznym, spełniającym wymogi rozporządzenia KRI oraz ww. rozporządzenia w sprawie postępowania z dokumentami elektronicznymi;

  2. opracowania wewnętrznych procedur określających zasady przechowywania dokumentów elektronicznych związanych z zamówieniami publicznymi, do czasu ich przekazania do archiwum państwowego.

Problem z właściwą archiwizacją dokumentacji elektronicznej nie wystąpił natomiast – jak wynika z kontroli NIK – w jednostkach wykorzystujących narzędzia komercyjne, które to zapewniały bezpieczne elektroniczne archiwizowanie dokumentacji prowadzonych postępowań. Warto jednak przy tym zwrócić uwagę, co też było przedmiotem kontroli, aby zamawiający nie zapominali w umowach podpisywanych z komercyjnymi platformami uregulować zagadnień związanych z przechowywaniem i archiwizacją dokumentów elektronicznych z postępowań oraz sposobu postępowania z tymi dokumentami po zakończeniu umowy z dostawcą.

Komercyjny portal e-usług

W kontrolowanych jednostkach wykorzystujących komercyjne narzędzia wskazywano, że wpływ na wybór miała ich szersza funkcjonalność, gwarantowane wsparcie techniczne i szkoleniowe, a także doniesienia portali branżowych o problemach związanych z funkcjonowaniem miniPortalu, głównie w zakresie jego dostępności i odszyfrowywania ofert. Podawano również, że narzędzia komercyjne – w przeciwieństwie do miniPortalu – zapewniają kompleksową archiwizację dokumentacji elektronicznej z prowadzonych postępowań przetargowych.

Warto wskazać, że w jednej jednostce stwierdzono zakupienie systemu komercyjnego, który nie był wykorzystywany (stosowano bezpłatny miniPortal), co NIK oceniła jako działanie niegospodarne. Zamawiający tłumaczył się, że usługę dostępową zakupiono jako rozwiązanie zapasowe, w celu uniknięcia ewentualnych przestojów w prowadzeniu postępowań przetargowych z wykorzystaniem miniPortalu (współpracującego z ePUAP), obarczonego wysokim ryzykiem awarii.

Większość skontrolowanych jednostek, które wdrożyły i wykorzystywały komercyjne narzędzia do komunikacji elektronicznej w postępowaniu o zamówienie publiczne, zawarła w umowach z wykonawcami tych narzędzi obowiązek zapewnienia zgodności dostarczonego narzędzia z przepisami prawa, w tym z przepisami ZamPublU. W umowach przewidywano także zobowiązanie wykonawców do dostosowania narzędzia do ewentualnych zmian w prawie. Za zasadne NIK uznała ponadto, aby w umowie z dostawcą komercyjnej platformy zamieszczać postanowienia przewidujące sankcje w przypadku nieterminowego usunięcia zgłoszonych awarii i błędów lub niezapewnienia należytego poziomu usług wsparcia technicznego.

Pomimo, że dostawcy narzędzi komercyjnych należycie świadczyli usługi wsparcia, to zauważono, że w dwóch z 11 skontrolowanych jednostek użytkujących narzędzia komercyjne zabrakło w umowach rzetelnych postanowień o takim wsparciu. Sformułowano też wniosek pokontrolny odnośnie do zabezpieczenia w umowie o świadczenie usług elektronicznych interesu jednostki, poprzez zamieszczenie w niej postanowień określających zasady i zakres przechowywania i archiwizacji dokumentów elektronicznych z przeprowadzonych postępowań oraz sposób postępowania z nimi po ustaniu umowy.