Cicho SHA – czyli jak technologia może unicestwić przejrzystość postępowania o udzielenie zamówienia
Jeżeli oferta jest podpisywana z wykorzystaniem kwalifikowanego certyfikatu, który jest umieszczony na zaufanej liście, instytucje zamawiające nie mogą stosować dodatkowych wymogów mogących utrudnić oferentom korzystanie z tych podpisów – tyle dyrektywa w sprawie zamówień publicznych z 26 lutego 2014 r. Niestety Krajowa Izba Odwoławcza ma w tej kwestii odmienne zdanie.
Cyfryzacja zamówień publicznych w codzienności zamawiających i wykonawców powoli przekształca się w cyfrowy koszmar. Realizacja obowiązku komunikacji elektronicznej w procedurze udzielenia zamówienia jest skomplikowana od strony technicznej, a większość uczestników rynku nie ma specjalistycznej wiedzy pozwalającej w szczegółach zrozumieć funkcjonowanie narzędzi elektronizacji. Sprzyja to podtrzymywaniu niechlubnej tradycji polskich zamówień publicznych, czyli czynieniu z formalizmu nadrzędnego celu postępowania. Rozpowszechniły się nawet opinie, z których wynika w zasadzie, że obowiązek elektronicznego prowadzenia postępowania zamiast ułatwić ubieganie się o zamówienie wytworzył bariery w dostępie do zamówień na jednolitym rynku. (Pisaliśmy o tym w artykułach: E-zamówienia w pułapce formalizmu, Elektroniczne wadium pogrąży oferty, UZP o pełnomocnictwie do JEDZ, Co z pełnomocnictwem do elektronicznego JEDZ-a).
Tendencji tej nie oparła się również Krajowa Izba Odwoławcza, która w niedawno wydanych wyrokach (KIO 2428/18 oraz KIO 2639/18) sformułowała nieistniejącą w przepisach prawa zamówień publicznych zasadę odpowiedzialności wykonawcy ubiegającego się o zamówienie publiczne za użycie kwalifikowanego certyfikatu elektronicznego dostarczonego przez zaufanego dostawcę. W sprawie KIO 2639/18 nie ukazało się jeszcze uzasadnienie. Jedynie z mediów społecznościowych dowiadujemy się, że KIO uznała za zgodne z prawem wykluczenie wykonawcy, który podpisał JEDZ przy pomocy kwalifikowanego certyfikatu podpisu elektronicznego, jednak w sposób uniemożliwiający walidację tego podpisu.
Nie znając treści rozważań KIO, które legły u podstaw tej konkluzji, nie sposób merytorycznie odnieść się do rozstrzygnięcia inaczej niż poprzez pytanie: który przepis ustawy Prawo zamówień publicznych lub dyrektywy 2014/24 KIO uznała za podstawę do sformułowania tego rodzaju podstawy wykluczenia? Szczególnie że – jak wynika z cytowanego na wstępie przepisu dyrektywy zamówieniowej – nie można formułować wymogów utrudniających korzystanie z podpisu z wykorzystaniem z kwalifikowanego certyfikatu (art. 22 (6) (c) (ii) tej dyrektywy).
Rozumowanie KIO możemy za to prześledzić w sprawie 2428/18. Wynika z niego, jakoby obowiązek sporządzenia dokumentów w procedurze ubiegania się o zamówienie w postaci elektronicznej i opatrzenia ich bezpiecznym podpisem elektronicznym (art. 10 ust. 5 p.z.p.) oznaczał nie tylko konieczność zaopatrzenia się i skorzystania przez wykonawcę z podpisu elektronicznego oferowanego przez dostawcę z listy NCCert, ale także konieczność zweryfikowania przez wykonawcę, czy zastosował funkcję skrótu SHA-1 czy SHA-2.
KIO taki pogląd zbudowała nie na gruncie Prawa zamówień publicznych czy dyrektywy, ale na podstawie art. 137 ust. 1 ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (piszemy o tym w artykule Historie z KIO: Jak KIO dała się nabrać na podpis elektroniczny).
Pierwsze zastrzeżenie wobec stanowiska KIO budzi fakt, że KIO jest przecież organem umocowanym na podstawie dyrektywy odwoławczej (2007/66/EWG) do rozstrzygania spraw z zakresu zamówień publicznych, a precyzyjniej: do rozpatrzenia odwołania od decyzji podjętych przez instytucje zamawiające z powodu naruszenia prawa wspólnotowego w dziedzinie zamówienia publicznych lub naruszenia krajowych przepisów transponujących to prawo (art. 1 dyrektywy odwoławczej). Z tak określonym zakresem kognicji KIO koresponduje przepis art. 180 p.z.p.: odwołanie przysługuje wyłącznie od niezgodnej z przepisami ustawy czynności zamawiającego podjętej w postępowaniu o udzielenie zamówienia lub zaniechania czynności, do której zamawiający jest zobowiązany na podstawie ustawy.
Dlatego Izba, weryfikując czynności zamawiających i obowiązki nałożone na wykonawców, nie powinna sięgać do przepisów innych niż zakreślone ustawą Prawo zamówień publicznych. Izba, sięgając do ustawy o usługach zaufania oraz identyfikacji elektronicznej, poddała wykładni jedynie fragment jej regulacji w oderwaniu od innych przepisów tej ustawy, w szczególności tych wyznaczających adresatów norm zawartych w ustawie. Tymczasem ustawa ta, po pierwsze, określa działalność dostawców usług zaufania, a, po drugie, normę przepisu przejściowego z art. 137 ust. 1 adresuje do dostawców usług zaufania, producentów oprogramowania oraz podmiotów publicznych w zakresie dostosowania infrastruktury wykorzystującej usługi zaufania w związku z przejściem z funkcji skrótu SHA-1 na inny. Ustawa ta nawet nie wspomina o algorytmie rodziny SHA-2, którego wykorzystania przy podpisywaniu oferty KIO wymagała od wykonawcy. W żadnym razie też ustawa o usługach zaufania nie wprowadza sankcji w postaci uznania, że użycie podpisu elektronicznego z algorytmem SHA-1 po wskazanej w art. 137 dacie jest nieważne czy nieskuteczne.
Co ważniejsze jednak, rozstrzygnięcie KIO stoi w jawnej sprzeczności tak z przepisem art. 22 (6) (c) (ii) dyrektywy zamówieniowej (odpowiednio art. 40(6) (c) (ii) dyrektywy sektorowej), jak i ze stanowiskiem Trybunału Sprawiedliwości Unii Europejskiej co do podstaw wykluczenia wykonawcy. TSUE bowiem nie dopuszcza, aby wykluczenie nastąpiło wskutek niedopełnienia przez wykonawcę obowiązku, który nie wynika wyraźnie z dokumentacji przetargowej lub z przepisu obowiązującej ustawy (np. wyroki w sprawach C-27/15 Pippo Pizzo oraz C-35/17 Saferoad). Taka praktyka bowiem przeczy zasadzie przejrzystości i dodatkowo godzi w zasadę równego traktowania, biorąc pod uwagę konkurencję z innych krajów członkowskich.
Wykładnia prawa zaprezentowana przez KIO w sprawie 2428/18 nie może więc wytyczać kierunku dla zamawiających i wykonawców w kolejnych postępowaniach. Choć zatem przepisy o zamówieniach publicznych przewidują obecnie szereg wymogów w odniesieniu do narzędzi i urządzeń służących do elektronicznego prowadzenia postępowania o udzielenie zamówienia publicznego, a ich wypełnienie wymaga podjęcia określonych czynności technicznych, to jednocześnie kluczowe dla funkcjonowania jednolitego rynku zamówień publicznych zasady pozostały niezmienione. Dlatego interpretacja wszystkich nowych elementów, jakie technologia wprowadza do procedury w sprawie udzielenia zamówienia, musi zawsze uwzględniać okoliczność, że mają one służyć usuwaniu barier w dostępie do zamówienia w myśl zasady równego traktowania, uczciwej konkurencji, proporcjonalności i przejrzystości. Nie mogą być one traktowane jako as w rękawie służący wyeliminowaniu konkurenta z powodów nieistotnych z punktu widzenia celu postępowania.
Mirella Lechna, radca prawny, praktyka infrastruktury, transportu, zamówień publicznych i PPP kancelarii Wardyński i Wspólnicy