Orzeczenie Krajowej Izby Odwoławczej z dnia 22 stycznia 2020r., sygnatura akt KIO 15/20
 –
kwalifikowany podpis elektroniczny zagranicznego dostawcy

„Zgodnie z treścią art. 25 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) NR 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE, kwalifikowany podpis elektroniczny oparty na kwalifikowanym certyfikacie wydanym w jednym państwie członkowskim Unii Europejskiej jest uznawany za kwalifikowany podpis elektroniczny we wszystkich pozostałych państwach członkowskich tej wspólnoty. 

Na podstawie zebranego w sprawie materiału dowodowego Izba nie znalazła powodów, aby zakwestionować stanowisko zamawiającego stwierdzające, że  (…) posiadał kwalifikowany podpis elektroniczny węgierskiego dostawcy – NetLock. W związku z tym Izba za własną przyjęła argumentacje zamawiającego wskazującą, że Unia Europejska prowadzi publiczną listę dostawców usług zaufania (TSP) aktywnych i nieaktywnych, którzy otrzymali specjalną akredytację potwierdzającą najwyższy poziom zgodności z unijnym rozporządzeniem 910/2014. Według przepisów rozporządzenia 910/2014 tylko kwalifikowane podpisy są prawnie i automatycznie równoważne podpisom odręcznym. Jest to również jedyny typ podpisów automatycznie uznawanych w transakcjach transgranicznych między państwami członkowskimi UE. Choć każde państwo członkowskie UE nadzoruje dostawców w swoim kraju, ale dostawca TSP zatwierdzony w jednym kraju może sprzedawać swoje usługi w innych krajach UE przy takim samym poziomie zgodności.”

 Orzeczenie Krajowej Izby Odwoławczej z dnia 22 stycznia 2020r., sygnatura akt KIO 50/20
– nie podpisanie dokumentu JEDZ kwalifikowanym podpisem elektronicznym

„(…) nie jest możliwe uznanie, że wykonawca (…) opatrzył dokument JEDZ tym samym podpisem, którym podpisał pismo przewodnie. Samo powołanie się w treści pisma przewodniczego na to, że załącznikiem do niego jest m.in. dokument JEDZ nie zastępuje opatrzenia dokumentu podpisem. Po wtóre, podnieść należy, że wszystkie dokumenty wskazane w piśmie przewodnim, z wyjątkiem dokumentu JEDZ, zostały prawidłowo podpisane. Świadczy to o tym, że wykonawca (…) zdawał sobie sprawę z wagi złożenia kwalifikowanego podpisu elektronicznego – podpisał albo poświadczył podpisem 7 z 8 dokumentów. Powyższy brak, dotyczący jedynie dokumentu JEDZ skłania do wniosku, że wykonawca przez przeoczenie dokumentu JEDZ nie opatrzył kwalifikowanym podpisem elektronicznym. Wniosek taki nasuwa się tym bardziej wobec złożenia przez wykonawcę informacji z banku, która wstępne oświadczenie wykonawcy w zakresie sytuacji ekonomicznej i finansowej z JEDZ miała potwierdzać. Biorąc powyższe pod uwagę, skład orzekający Izby uznał, że uzupełniony dokument JEDZ nie został, wbrew przepisowi art. 25a ust. 2 ustawy Pzp oraz postanowieniu (…) SIWZ, opatrzony kwalifikowanym podpisem elektronicznym, co czyni go nieważnym.”

 Orzeczenie Krajowej Izby Odwoławczej z dnia 24 lutego 2020r., sygnatura akt KIO 270/20
 – nie podpisanie oferty kwalifikowanym podpisem elektronicznym

„Po analizie treści SIWZ, Izba doszła do wniosku, że w postępowaniu, w którym wniesiono odwołanie, szczegółowy formularz ofertowy stanowił istotną treść oferty. Zamawiający nadał mu taką rangę w SIWZ, jednoznacznie podkreślając jego znaczenie, i wymagając odpowiedniego podpisania. Przesądzające w tym względnie nie są jednak wymagania formalne, a treść dokumentu – tzn. zakres informacji, jakie powinny się znaleźć w szczegółowym formularzu ofertowym. W przedmiotowym postępowaniu o udzielenie zamówienia publicznego zakres oczekiwanych przez Zamawiającego informacji, jakie należy podać w szczegółowym formularzu ofertowym, jednoznacznie wskazuje, że formularz ten stanowi treść oferty. To w szczegółowym formularzu ofertowym następuje konkretyzacja treści świadczenia – określa się typ i nazwę producenta oferowanego asortymentu (urządzeń składających się na przedmiot zamówienia) i wycenę poszczególnych pozycji (która to wycena przełoży się na protokoły odbioru i w konsekwencji – na wystawianie faktur). W takich okolicznościach nie ma wątpliwości, że brak podpisania istotnej treści oferty – szczegółowego formularza ofertowego – skutkować musi odrzuceniem oferty. Odwołujący mylnie utożsamiał treść oferty z przedmiotem oceny w ramach kryterium oceny ofert – nie wszystkie elementy stanowiące istotną treść oferty muszą podlegać ocenie punktowej w kryteriach oceny ofert. 

Na powyższą ocenę nie ma wpływu, że po złożeniu oferty przez Odwołującego za pomocą platformy zakupowej, platforma wygenerowała komunikat o prawidłowości złożenia oferty. Komunikat ten należy traktować jako potwierdzenie złożenia oferty (analogicznie, jak przybicie pieczęci z datą wpływu na kopercie zawierającej ofertę złożonej w tradycyjnej, ,,papierowej” formie). Taki komunikat nie może być traktowany jako potwierdzenie weryfikacji oferty pod względem jej prawidłowości formalnej i merytorycznej. Powoływanie się przez Odwołującego na „nierozumienia mechanizmu podpisania takiego dokumentu poza portalem służącym do składania zamówień” nie może być brane pod uwagę jako argument przemawiający na korzyść Odwołującego, ponieważ po pierwsze, instrukcja podpisania plików w SIWZ była jasna i nie mogła budzić żadnych wątpliwości, po drugie, na co trafnie zwrócił uwagę Zamawiający, Odwołujący mógł złożyć ofertę ,,próbną”, aby przetestować umiejętność korzystania z platformy, z czego jednak nie skorzystał.”

 Orzeczenie Krajowej Izby Odwoławczej z dnia 28 sierpnia 2019r., sygnatura akt KIO 1586/19 (Informator Urzędu Zamówień Publicznych nr 4/2019, s. 65)
 – kwalifikowany podpis elektroniczny

„W niniejszej sprawie poza sporem pozostaje, że pani M.W. podpisując ofertę odwołującego złożyła prawidłowy, z technicznego punku widzenia, podpis, czyli podpis odpowiadający wymogom wynikającym z art. 26 rozporządzenia eIDAS. Żadna ze stron powyższego faktu nie kwestionowała. Również poza sporem pozostaje, że zgodnie z informacją z KRS, pani M. W. jest uprawniona do jednoosobowej reprezentacji odwołującego. Spór pomiędzy stronami dotyczy natomiast oceny faktu, że w niektórych programach w procesie weryfikacji podpisu elektronicznego złożonego wraz z ofertą odwołującego, obok nazwiska ww. osoby pojawia się nazwa innej prowadzonej przez nią działalności gospodarczej, tj. nazwa inna niż nazwa odwołującego.

Oceniając powyższą sytuację Izba stwierdziła, że nie ma ona wpływu na ważność podpisu złożonego przez panią M. W. na ofercie. Po pierwsze, należy raz jeszcze powtórzyć, że podpis elektroniczny jest podpisem osoby fizycznej i identyfikuje tę osobę fizyczną, nie zaś podmiot, w imieniu którego ona działa. To, że obok nazwiska ww. osoby pojawia się „bar bistro”, nie zmienia faktu, że mamy do czynienia z podpisem pani M. W., a nie z podpisem baru bistro. Po drugie, podpis użyty do podpisania oferty odwołującego identyfikuje podpisującego m.in. za pomocą numeru PESEL i nie jest sporne między stronami, że jest to PESEL pani M.W. Potwierdza to, że podpis jest przypisany osobie fizycznej i tą osobą fizyczną w tym wypadku jest pani M. W.

Po trzecie, nie można twierdzić, że pani M. W. podpisała ofertę działając w imieniu innego podmiotu. Oferta stanowi oświadczenie woli, które zgodnie z art. 65 kodeksu cywilnego, należy tłumaczyć tak, jak tego wymagają okoliczności, w których zostało złożone, zasady współżycia społecznego oraz ustalone zwyczaje. Okoliczności, w których została złożona oferta, w tym treść tej oferty, treść załączonych do niej dokumentów, przedmiot zamówienia, jednoznacznie świadczą o tym, że ofertę złożył odwołujący, a nie bar bistro. Ponadto samo pojawienie się „baru bistro” obok nazwiska podpisującej w procesie weryfikacji jej podpisu elektronicznego, nie jest wystarczające do stwierdzenia, że nie działała ona w imieniu odwołującego. O prawie do reprezentacji odwołującego przesądza w tym wypadku treść KRS, z którego jednoznacznie wynika, że pani M. W. tworzy jednoosobowy zarząd spółki. Prawo do reprezentacji (tudzież jego brak) nie może być natomiast wywodzone ze szczegółów weryfikacji podpisu elektronicznego. Weryfikacja podpisu elektronicznego służy bowiem identyfikacji osoby fizycznej składającej podpis, nie zaś ustaleniu, czy ta osoba fizyczna jest uprawniona do reprezentacji danego podmiotu. Nie należy zatem informacji wynikających z weryfikacji podpisu elektronicznego utożsamiać z dokumentami służącymi ustaleniu umocowania do działania w cudzym imieniu, takimi jak np. KRS, czy pełnomocnictwo i na tej podstawie przesądzać, czy dana osoba jest, czy nie jest uprawniona do reprezentowania danego podmiotu.”

 Orzeczenie Krajowej Izby Odwoławczej z dnia 13 sierpnia 2019r., sygnatura akt KIO 1479/19 (Informator Urzędu Zamówień Publicznych nr 4/2019, s. 67)
 – walidacja kwalifikowanego podpisu elektronicznego

„Sporne miedzy stronami było to, czy certyfikat, na jakim opierał się ww. podpis był certyfikatem kwalifikowanym. Tylko bowiem takie ustalenie mogło prowadzić do wniosku, że ofertę opatrzono „kwalifikowanym podpisem elektronicznym”. W świetle przywołanej wyżej legalnej definicji z art. 3 pkt 12 rozporządzenia eIDAS kwalifikowany podpis elektroniczny musi opierać się na kwalifikowanym certyfikacie podpisu elektronicznego. (…)

Zdaniem Izby zamawiający w analizowanej sprawie nie miał obowiązku wzywania wykonawcy do złożenia wyjaśnień. Zamawiający posługując się narzędziem do walidacji podpisu elektronicznego pochodzącego od kwalifikowanego podmiotu uprawnionego do dokonywania walidacji takich podpisów być w stanie zweryfikować czy złożony podpis jest oparty na kwalifikowanym certyfikacie czy też nie.”

 Orzeczenie Krajowej Izby Odwoławczej z dnia 19 kwietnia 2019r., sygnatura akt KIO 599/19 (Informator Urzędu Zamówień Publicznych nr 4/2019, s. 69-71)
 – kwalifikowany podpis elekroniczny; podpis zaufany ePUAP

„(…) oferta odwołującego nie została podpisana za pomocą kwalifikowanego podpisu elektronicznego, tylko za pomocą podpisu zaufanego ePUAP, co nie było sporne, bowiem wykonawca przyznał to w odwołaniu (vide str. 4 odwołania). Tym niemniej odwołujący twierdził, że podpisanie za pomocą profilu zaufanego spełnia wymóg podpisu elektronicznego, z czym nie sposób się zgodzić.

Izba wskazuje, że zgodnie z art. 3 ust. 14 ustawy z 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz.U. z 2019 r. poz. 700), profil zaufany oznacza środek identyfikacji elektronicznej, zawierający zestaw danych identyfikujących i opisujących osobę fizyczną, który został wydany w sposób, o którym mowaw art. 20c. Natomiast w oparciu art. 20aa wskazanej ustawy, profil zaufany umożliwia podmiotom publicznym na uwierzytelnienie osoby fizycznej, zaś profil osobisty zapewnia możliwości opatrzenia dokumentu elektronicznego podpisem zaufanym. Podpisanie zatem pliku przez ePUAP umożliwia potwierdzenie tożsamości jego posiadacza, w usługach publicznych i pozwala na podpisywanie pism, kierowanych do podmiotów publicznych, w postaci elektronicznej, wskazując na określoną osobę, jej konto i czas dokonania tego podpisu (art. 20ad – 20c wskazanej ustawy).

Natomiast kwalifikowany podpis elektroniczny, zgodnie z jego definicją legalną, zawartą w art. 3 pkt 12 rozporządzenia Parlamentu Europejskiego i Rady (UE) 910/2014 z dnia 23 lipca 2014 r. z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (Dz. Urz. UE. L Nr 257, str. 73), oznacza zaawansowany podpis elektroniczny, który jestskładany za pomocą kwalifikowanego urządzenia do składania podpisu elektronicznego i który opiera się na kwalifikowanym certyfikacie podpisu elektronicznego. Zaznaczyć również należy, że na gruncie ustawodawstwa polskiego zagadnienia dotyczące funkcjonowania kwalifikowanego podpisu elektronicznego, w uzupełnieniu do unijnego rozporządzenia, są regulowane przepisami ustawy z 5 września 2016 r. o usługach zaufania oraz identyfikacjielektronicznej (Dz.U. z 2019 r. poz. 162).

Już same zestawienie powyższych norm jednoznacznie wskazuje, że czym innym jest narzędzie w postaci profilu zaufanego na ePUAP, a czym innym jest kwalifikowany podpis elektroniczny. Oba podpisy służą do podpisywania elektronicznego, jednak ich przeznaczenie i moc prawna nie są tożsame. Kwalifikowany podpis elektroniczny korzysta również zdomniemań ustanowionych przez ustawodawcę i jest szczególną formą podpisu zaawansowanego, o określonych wymaganiach technicznych i organizacyjnych. Natomiast, jak trafnie wskazał Naczelny Sąd Administracyjny, w wyroku z dnia 26 marca 2018 r., sygn. akt II OSK 2431/17, „profil zaufany ePUAP jest niczym innym jak nowym sposobem potwierdzania tożsamości w systemach administracji publicznej, identyfikującym nadawcę informacji, który może być wykorzystany również do potwierdzania przekazywanych informacji. Profil zaufany ePUAP pozwala zatem na autoryzację pism kierowanych przez strony do organów administracji publicznej.”

Skład orzekający wskazuje dalej, że brak możliwości używania w sposób zamienny omawianych narzędzi elektronicznych został jednoznacznie potwierdzony w doktrynie, gdzie słusznie wskazuje się, że „Z samej definicji podpisu zaufanego jest wiadome, że stanowi on szczególny rodzaj podpisu elektronicznego. Siatka pojęciowa eIDAS wyróżnia jednak wśród podpisów elektronicznych – zaawansowane podpisy elektroniczne, a wśród nich z kolei kwalifikowane podpisy elektroniczne. Jako, że ten ostatni jest składany za pomocą kwalifikowanego urządzenia do składania podpisu elektronicznego i opiera się na kwalifikowanym certyfikacie podpisu elektronicznego z góry możemy przesądzić, że podpis zaufany nie stanowi kwalifikowanego podpisu elektronicznego.” (…)

Jedynie dodatkowo zaznaczyć należy, że brak prawidłowego podpisu, w ofercie odwołującego, został potwierdzony przez zamawiającego, poprzez okazanie na rozprawie wyniku weryfikacji formularza ofertowego odwołującego, w dwóch programach do sprawdzania podpisów elektronicznych. Oględziny uruchomionego na komputerze zamawiającego programu Szafir i PWPW Sign, pozwoliły na stwierdzenie, że podpis jest niekompletnie zweryfikowany i nie ma ścieżki certyfikatu, a nadto, że podpis pochodzi od Ministra Cyfryzacji, zatem jest podpisem zaufanym, a nie kwalifikowanym podpisem elektronicznym.

Na marginesie wypada zauważyć, że wbrew twierdzeniom odwołującego, Minister Cyfryzacji nie jest dostawcą kwalifikowanych podpisów elektronicznych. Zgodnie z art. 2 pkt 1 ustawy z 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (Dz. U. z 2019 r. poz. 162), Minister właściwy do spraw informatyzacji zapewnia funkcjonowanie krajowej infrastruktury zaufania, która obejmuje rejestr dostawców usług zaufania. Rejestr podmiotów świadczących kwalifikowane usługi zaufania prowadzi Narodowe Centrum Certyfikacji i jest tam obecnie 25 spółek prawa handlowego, które świadczą usługi wydawania kwalifikowanych certyfikatów podpisów elektronicznych, znaczników czasu i odpowiednich poświadczeń.

W konsekwencji powyższego – mając na uwadze, że zgodnie z art. 10 ust. 5 p.z.p. oferty sporządza się, pod rygorem nieważności, w postaci elektronicznej i opatruje się kwalifikowanym podpisem elektronicznym – odwołujący nie dochował wymogu tej normy, co powoduje, że oferta jest niezgodna z ustawą, o czym stanowi art. 89 ust. 1 pkt 1 p.z.p.”

 Orzeczenie Krajowej Izby Odwoławczej z dnia 18 lutego 2019r., sygnatura akt KIO 150/19 (Informator Urzędu Zamówień Publicznych nr 4/2019, s. 73)
– kwalifikowany podpis elektroniczny; algorytm SHA-I

„Izba nie zgodziła się Odwołującym wnoszącym o niedopuszczenie Przystępującego do postępowania, z uwagi na złożenie przystąpienia za pomocą podpisu elektronicznego z zastosowaniem funkcji skrótu SHA-I. Zgodzić należało się z Zamawiającym, że z treści przepisów ustaw wynika, że skrót SHA-I może być stosowany do dnia 1 lipca 2018 r., chyba że wymagania techniczne wynikające z aktów wykonawczych do Rozporządzenia 910/2014 wyłączają taką możliwość. Żadne z przepisów nie zawierają w swej treści zakazu posługiwania się skrótem SHA-I, brak jest również sankcji np. w postaci podważenia ważności takiego podpisu. Z przepisów ustaw nie wynika zatem, aby wykonawca — składający ofertę w postępowaniu o udzielenie zamówienia publicznego — nie mógł się posłużyć skrótem SHA-I. Jak słusznie zauważył Zamawiający podpis elektroniczny złożony z zastosowaniem skrótu SHA- I w dalszym ciągu pozostaje ważny a zaprzestanie używania skrótu SHA1 przez podmioty publiczne nie oznacza, że Zamawiający ma podstawy do nieuznania podpisów elektronicznych utworzonych przy zastosowaniu SHA-I przez wykonawców. Jak zauważył Przystępujący oraz Zamawiający brak jest w przepisach sankcji, wiążącej się z zastosowaniem skrótu SHA-I. Zatem nie można zgodzić się, że zaistniały podstawy do niedopuszczenia Przystępującego do postępowania odwoławczego.”

 Orzeczenie Krajowej Izby Odwoławczej z dnia 18 lutego 2019r., sygnatura akt KIO 179/19, KIO 187/19 (Informator Urzędu Zamówień Publicznych nr 4/2019,
s. 73-74) – walidacja kwalifikowanego podpisu elektronicznego; algorytm SHA-I

„Tym samym stwierdzenie ważności i prawidłowości złożenia kwalifikowanego podpisu elektronicznego na gruncie ustawy Pzp (w tym wskazanego art. 10a ust.5 ustawy Pzp) powinno być oceniane (uwzględniając przepisy rozporządzenia eIDAS) poprzez wynik walidacji — przeprowadzonej przez kwalifikowanego dostawcę usług zaufania w ramach świadczonej kwalifikowanej usługi walidacji — danego kwalifikowanego podpisu elektronicznego. W stanie faktycznym sprawy wynik walidacji był pozytywny.

Także odnośnie trzeciego z naruszeń art. 137 ust.1 ustawy o usługach zaufania oraz identyfikacji elektronicznej, Izba zgodziła się z Odwołującym, że przepis ten nie nakłada sankcji nieważności na podpisy złożone po dniu 1 lipca 2018 r. z uwierzytelnieniem wyłącznie przy użyciu algorytmu SHA-1. Z brzmienia tego przepisu nie można także wywieźć podstaw dla nieuznawania podpisu utworzonego z zastosowaniem funkcji skrótu SHA-1. Izba zwraca uwagę, że ustawa ta w art. 18 ust.1 stanowi, że: „Podpis elektroniczny lub pieczęć elektroniczna weryfikowane za pomocą certyfikatu wywołują skutki prawne, jeżeli zostały złożone w okresie ważności tego certyfikatu”. Z kolei w jej art. 132 ust.1 ustawodawca stwierdza, że: „Zaświadczenia certyfikacyjne, poświadczenia elektroniczne i certyfikaty wydane zgodnie z przepisami ustawy z dnia 18 września 2001 r. o podpisie elektronicznym zachowują ważność przez okres w nich wskazany, o ile nie zostaną unieważnione.”