Mnogość regulacji prawnych związanych z bezpieczeństwem systemów informatycznych, a także RODO i przepisy ustawy Prawo zamówień publicznych, powodują duże problemy w zrozumieniu wymagań stawianych dla tego typu narzędzi. Problemy te pojawiają się na pograniczu prawa, informatyki i biznesu. Coraz większa liczba zamawiających i producentów oprogramowania decyduje się więc na audyt systemów informatycznych do prowadzenia zakupów pod kątem ich zgodności z prawem.

 

Smart-be   •   8 stycznia 2018

Większość zamawiających, w tym także spora liczba zamawiających publicznych korzysta obecnie z systemów informatycznych do prowadzenia zakupów lub stara się aby taki system wdrożyć w swojej organizacji. Często są to narzędzia bardzo proste, pozwalające jedynie na wykonywanie prostych aukcji, odbioru plików z ofertami lub będące jedynie bazą, w której gromadzone są zeskanowane obrazy dokumentów papierowych. Bardziej dojrzałe organizacje wdrażają natomiast systemy, które oprócz przechowywania skanów wspierają cały proces zakupowy od planowania potrzeb do rozliczania faktury.

Impuls w kierunku zakupów dokonywanych przy pomocy środków elektronicznych dała ustawa Prawo zamówień publicznych wprowadzająca obowiązkową komunikację zamawiającego z wykonawcą już od 18 października 2018 r. (wcześniej, bo od 18 kwietnia 2018 r. zamawiający będą musieli zapewnić składanie JEDZ w formie elektronicznej).

Elektronizacja zakupów nie jest rzeczą nową. Rozwinęła się przecież na rynku komercyjnym. Jednak przy zamówieniach publicznych rządzi się swoimi prawami. Jest znacznie bardziej formalna: nastawiona na zabezpieczenie i uwierzytelnianie danych.

Aby realizować zasady transparentności i równego traktowania zakupy elektroniczne w zamówieniach publicznych powinny być realizowane przy użyciu systemu który:

  1. spełnia wymagania przewidziane dla systemów informatycznych wskazane w ustawie o świadczeniu usług drogą elektroniczną,
  2. zapewnia integralność i autentyczność przekazywanych danych, w tym możliwość stosowania podpisu elektronicznego, dzięki któremu możemy w sposób jednoznaczny zidentyfikować osoby lub podmioty dokonujące czynności w systemie lub przekazujące dane np. oferty,
  3. realizuje ochronę przed nieautoryzowanym dostępem do informacji (między innymi poprzez zabezpieczenie/szyfrowanie w celu uniemożliwienia wglądu do ich treści osób nieuprawnionych),
  4. zapewnia logowanie zdarzeń (archiwizowanie w sposób zapewniający identyfikację daty i godziny wykonania czynności wprowadzenia lub zmiany danych oraz ustalenie osoby dokonującej czynności lub zmiany danych).

W jaki sposób powinien funkcjonować system informatyczny do zamówień publicznych aby realizować te wszystkie wymagania?

Na to pytanie miało odpowiedzieć rozporządzenie prezesa Rady Ministrów z dnia 27 czerwca 2017 r. w sprawie użycia środków komunikacji elektronicznej w postępowaniu o udzielenie zamówienia publicznego oraz udostępniania i przechowywania dokumentów elektronicznych. Oczekiwano, że ten dokument stworzy ramy dla funkcjonowania elektronicznych zamówień, czyli wprowadzi jasne zasady określające sposób realizacji zamówień przy wykorzystaniu narzędzi elektronicznych, a także minimalne wymagania sprzętowe i programowe dla tych rozwiązań.

Niestety, wprowadzona regulacja nie daje odpowiedzi na wszystkie pytania. Odsyła natomiast do innych regulacji: ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne oraz ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną.

Przeanalizować należy również przepisy regulujące kwestie związane z podpisem elektronicznym, ponieważ oferty i JEDZ, pod rygorem ich nieważności, muszą być podpisane bezpiecznym podpisem kwalifikowanym. A co za tym idzie warto zajrzeć do rozporządzenia Rady Ministrów z dnia 7 sierpnia 2002 r. w sprawie określenia warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów świadczących usługi certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatów wydawanych przez te podmioty oraz warunków technicznych dla bezpiecznych urządzeń służących do składania i weryfikacji podpisu elektronicznego.

No a skoro dane uczestniczących w postępowaniach wykonawców gromadzone są w systemie informatycznym to ma zastosowanie także Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. Należy również pamiętać, że od 25 maja 2018 r. zacznie obowiązywać rozporządzenie w sprawie RODO, które zrewolucjonizuje podejście do ochrony danych osobowych, a jego wymagania należałoby uwzględnić już na etapie wyboru i wdrożenia rozwiązania informatycznego.

Mnogość regulacji prawnych oraz skomplikowana materia zagadnienia z pogranicza prawa i informatyki powodują duże problemy w zrozumieniu wymagań stawianych dla tego typu narzędzia.

Dodatkowo w przypadku tak wrażliwej materii, gdzie może dochodzić do nieuprawnionego dostępu do danych każdy chce zyskać 100% pewności, że jego dane są należycie zabezpieczone oraz że system którego używa spełnia normy ustawowe i informatyczny oraz realizuje w najwyższy sposób zadania wskazane dla elektronizacji zamówień. Coraz więcej podmiotów zamawiających, ale też producentów oprogramowania decyduje się więc na audyt swojego systemu pod kątem zgodności z prawem. Sprawdzenie systemu powinno dokonać się przed dniem 18 kwietnia 2018 r. czyli uruchomieniem elektronicznego zbierania JEDZ, tak aby można było zidentyfikować i wdrożyć nowe wymagania lub usunąć istniejące luki lub błędy systemu do października 2018 r.