Zamówienia medyczne

Blog na temat zamówień publicznych w branży medycznej

Category: Ciekawe orzeczenia KIO

Algorytm SHA-1

Algorytm SHA-1 narobił ostatnio dużo zamieszania w świecie zamówień publicznych. Wszystko za sprawą jednego z wyroków Krajowej Izby Odwoławczej, a konkretnie wyroku z dnia 10 grudnia 2018 r. wydanego w sprawie o sygnaturze akt KIO 2428/18. W tym wyroku Izba stwierdziła, że podpisanie dokumentu przy pomocy funkcji skrótu SHA-1 jest wadliwe i taki dokument nie może zostać uznany za prawidłowy.

Zacznijmy jednak omawiać ten problem po kolei.

Co to jest SHA-1?

SHA-1 (z ang. Secure Hash Algorithm) jest to funkcja skrótu używana przy składaniu kwalifikowanego podpisu elektronicznego. SHA-1 jest używane już od 1995 r. Obecnie wielu informatyków uważa, że funkcja skrótu SHA-1 nie jest już tak bezpieczna, jak była kiedyś. Ich zdaniem istnieje (niewielkie, ale jednak) ryzyko, że dokument podpisany funkcją skrótu SHA-1 może spowodować naruszenie bezpieczeństwa. Dlatego powstała kolejna, bezpieczniejsza funkcja skrótu, która została nazwana SHA-2 (na którą składają się SHA-224, SHA-256, SHA-384, SHA-512). 

Rekomendacja do stosowania SHA-2

Ustawodawca zaleca obecnie stosowanie funkcji skrótu SHA-2. Taka rekomendacja została zawarta między innymi w ustawie o usługach zaufania oraz identyfikacji elektronicznej. Możemy przeczytać tam, że do dnia 1 lipca 2018 r. można jeszcze spokojnie używać SHA-1. Nie jest natomiast napisane, co należy stosować po tej dacie. W szczególności w ustawie nie ma (przynajmniej póki co) zakazu do stosowania SHA-1. Ponadto ustawa wskazuje, że dostawcy usług zaufania, producenci sprzętu oraz podmioty publiczne są zobowiązani do odpowiedniego dostosowania swojego oprogramowania oraz systemów. Zdecydowana większość osób rozumiała ten przepis w ten sposób, że po pierwsze stanowi on jedynie rekomendacje do „przerzucenia” się z SHA-1 na SHA-2, a nie bezwzględny zakaz stosowania SHA-1. A po drugie, że ta rekomendacja jest skierowany tylko do określonej grupy podmiotów (dostawcy usług zaufania, producenci sprzętu, podmioty publiczne), a nie do wszystkich firm w Polsce.

Wyrok KIO 2428/18

Krajowa Izba Odwoławcza orzekła jednak zupełnie inaczej.

Jej zdaniem złożenie elektronicznego podpisu z wykorzystaniem funkcji skrótu SHA-1 jest nieważne. Izba stanęła na stanowisku, że przepis ustawy o usługach zaufania nie dość, że bezwzględnie zakazał stosowania SHA-1, to jeszcze jest skierowany zarówno do podmiotów publicznych, jak i komercyjnych (czyli wykonawców).

Krytyka wyroku

Wyrok spotkał się z niemal powszechną krytyką. Prawnicy zarzucali Izbie, że nieprawidłowo zinterpretowała przepis z ustawy o usługach zaufania. Informatycy podkreślali, że funkcja skrótu SHA-1 może być nadal bezpiecznie stosowana. Bardzo ciekawe stanowisko (również krytyczne wobec wyroku) przedstawiła Polska Izba Informatyki i Telekomunikacji. Z opinią PIIT można się zapoznać pod tym linkiem.

Wreszcie głos zabrało również Ministerstwo Cyfryzacji, do którego z prośbą o opinie zwrócił się Urząd Zamówień Publicznych. MC wyraźnie wskazało, że algorytm SHA-1 nie jest wprawdzie już rekomendowany, ale równocześnie nie został wycofany i podpisy elektroniczne złożone przy jego użyciu pozostają ważne. Stanowisko MC dostępne jest pod tym linkiem.

Zmiana frontu przez KIO (?)

Wydaje się, że pod naporem krytyki KIO zmieniła swoje stanowisko. W ostatnich dniach zostały wydane wyroki, w których podpis z wykorzystaniem SHA-1 uznano za prawidłowy (przykładowo wyrok KIO 137/19). Na razie nie mogę jednak nic więcej napisać o tych wyrokach, ponieważ nie zostały jeszcze sporządzone ich pisemne uzasadnienia.

Co powinien zrobić wykonawca?

Sprawa jest o tyle problematyczna, że może dotyczyć naprawdę wielu ofert. Jeszcze niedawno nikt (no może poza specjalistami z zakresu informatyki) nie zwracał uwagi na funkcję skrótu z jaką składał podpis. Co więcej, jeżeli wykonawca zaopatrzył się w podpis elektroniczny już jakiś czas temu, to jako domyślny miał ustawiony skrót SHA-1. A to oznacza, że wiele ofert i innych dokumentów do tej pory mogło zostać podpisanych z wykorzystaniem SHA-1.

Ja liczę jednak, że KIO ostatecznie zmieniła swoje stanowisko i uznała za prawidłowy podpis z wykorzystaniem SHA-1. Wykonawcom rekomenduję jednak nie ryzykować i po prostu składać podpis z SHA-2. Jedyna różnica to wybór odpowiedniej opcji przy składaniu podpisu. Ponadto, nowe wydawane podpisy mają już ustawioną jako domyślną funkcję skrótu SHA-2.

Oferta podpisana odręcznie i podpisem elektronicznym podlega odrzuceniu

Jeżeli wykonawca podpisał ofertę ręcznie „tradycyjnym” podpisem, a następnie taką ofertę zeskanował i skan opatrzył kwalifikowanym podpisem elektronicznym, to oferta podlega odrzuceniu. Tak orzekła Krajowa Izba Odwoławcza w wyroku z dnia 4 stycznia 2019 r. wydanym w sprawie o sygnaturze akt KIO 2611/18.

Wyrok wzbudził bardzo dużo kontrowersji. W tym artykule postaram się omówić o co w nim chodzi i jakie konsekwencje niesie dla wykonawców.

Stan faktyczny sprawy

Sprawa dotyczyła postępowania prowadzonego powyżej progów unijnych objętego pełną elektronizacją.

W postępowaniu o udzielenie zamówienia ofertę złożył wykonawca, który za pośrednictwem platformy wysłał zamawiającemu plik w formacie .pdf zatytułowany „oferta”. Plik ten stanowił skan podpisanych ręcznie przez wykonawcę dokumentów, między innymi formularza ofertowego i formularza cenowego. Plik został ponadto podpisany przez tę sama osobę kwalifikowanym podpisem elektronicznym. Mieliśmy więc dwa podpisy – jeden odręczny oraz drugi elektroniczny.

Zamawiający uznał, że taka oferta podlega odrzuceniu jako niezgodna z ustawą. Wykonawca nie zgodził się z taką decyzją zamawiającego i złożył odwołanie do Krajowego Izby Odwoławczej.

Stanowisko KIO

KIO uznała, że zamawiający postąpił prawidłowo odrzucają ofertę wykonawcy.

Jak uzasadniono takie stanowisko?

KIO uznała, że zgodnie z przepisami oferta musi zostać sporządzona w postaci elektronicznej oraz podpisana kwalifikowanym podpisem elektronicznym. Są to więc tak naprawdę dwa warunki: (1) sporządzenie w postaci elektronicznej oraz (2) podpisanie podpisem elektronicznym. W tym przypadku został spełniony wyłącznie warunek numer (2) – oferta została podpisana elektronicznym podpisem.

Nie został natomiast spełniony warunek numer (1), ponieważ oferta została sporządzona w tradycyjnej (to znaczy papierowej) formie, a dopiero później zeskanowana. Tymczasem zgodnie z ustawą powinna od początku do końca zostać sporządzona w formie elektronicznej.

Ponadto KIO wskazało na jeszcze jeden argument. Zgodnie z rozporządzeniem w sprawie użycia środków komunikacji elektronicznej w postępowaniu o udzielenie zamówienia publicznego, jeżeli dokument nie został sporządzony w formie dokumentu elektronicznego, to wykonawca może go zeskanować. Taki zeskanowany dokument nazywa się „elektroniczną kopią dokumentu”. Jeżeli wykonawca przedstawia taką elektroniczną kopię dokumentu i podpiszę ją elektronicznym podpisem, to traktowane jest to jako poświadczenie za zgodność z oryginałem.

Ta regulacja ma sens. Załóżmy, że wykonawca musi przedstawić w przetargu deklarację zgodności, którą otrzymał od producenta wyłącznie w formie papierowej. W takiej sytuacji skanuje ją (czyli tworzy „elektroniczną kopię dokumentu”), a następnie podpisuje elektronicznie, co jest równoznaczne z poświadczeniem za zgodność z oryginałem (który to oryginał istnieje wyłącznie w tradycyjnej formie pisemnej).

Co zdaje egzamin w przypadku deklaracji zgodności, czy innych dokumentów przedmiotowych, nie sprawdzi się w przypadku samej oferty. Oferta (czyli zazwyczaj formularz ofertowy i cenowy) musi być bowiem przedstawiona w oryginale. Nie można przedstawić jej kopii poświadczonej za zgodność. W naszym przypadku wykonawca sporządził oryginalną ofertę w formie pisemnej. Do zamawiającego wysłał natomiast wyłącznie elektroniczną kopię oferty poświadczoną za zgodność z oryginałem.

Ja to sobie tłumaczę, że to tak, jakby przed nowelizacją wykonawca przygotował i podpisał ofertę, a następnie zrobił jej ksero. Ksero z kolei poświadczył za zgodność z oryginałem i wysłał zamawiającemu. Oferta podlegałaby odrzuceniu, ponieważ została złożona tylko jej kopia, podczas gdy wymagany jest oryginał. Dokładnie z taką samą sytuacją mieliśmy do czynienia w tym przypadku, z tym że poświadczanie za zgodność odbyło się w formie elektronicznej.

Jak oceniam ten wyrok?

Szczerze mówiąc mam wobec tego wyroku mieszane odczucia.

Z jednej strony uważam, że Krajowa Izba Odwoławcza orzekła słusznie – zgodnie z obowiązującym prawem. Pamiętam, jak jeszcze na początku grudnia zeszłego roku na jednym z serwisów rozgorzała zaciekła dyskusja. Jeden z zamawiających stanął przed decyzją co powinien zrobić z ofertą, którą otrzymał. Została ona właśnie podpisana tradycyjnym podpisem, a następnie zeskanowana, a skan ponownie podpisany – tym razem podpisem elektronicznym. Zamawiający prosił o poradę co powinien zrobić w takiej sytuacji.  Zdania były bardzo podzielone. Ja sam stałem na stanowisku, że taka oferta podlega niestety odrzuceniu. Przedstawiałem argumenty  zbieżne z tymi, które zaprezentowała KIO w omawianym wyroku. Uważam więc, że wyrok jest zgodny z prawem.

Z drugiej strony zdaje sobie sprawę, jak duże konsekwencje on niesie ze sobą. Tak naprawdę wszyscy dopiero powoli uczymy się elektronizacji. Wszyscy, zarówno UZP, KIO, zamawiający, jak i wykonawcy. Przed nami jeszcze wiele problemów z nią związanych. Wiele kwestii jest po prostu nieintuicyjnych. Wykonawcy może wydawać się to oczywistym, że najpierw podpisuje ofertę tradycyjnie, a później elektronicznie. Może sobie też pomyśleć, że lepiej „na zapas z ostrożności” podpisać ofertę dwa razy niż popełnić jakiś błąd. A tymczasem takie podejście powoduje odrzucenie jego oferty…

Wykonawcy zwracają uwagę na jeszcze jedną niedogodność. Często wzory formularzy ofertowych przygotowane przez zamawiających mają bardzo „skopane” formatowanie. Wynika to z tego, że zamawiający przygotowali formularze tak, żeby można je było łatwo uzupełnić po wydrukowaniu ręcznie. Natomiast przy uzupełnieniu danych elektronicznie cały tekst rozsypuje się stając się zupełnie nieczytelny. Ja wiem, że przy odpowiednim wysiłku formatowanie da się poprawić, ale czy to jest zadanie dla wykonawcy? Wykonawcy czasem łatwiej wzór formularza wydrukować, wypełnić ręcznie, a potem zeskanować. Z tym, że zgodnie z omawianym wyrokiem to powoduje odrzucenie oferty… Nie została bowiem sporządzana w formie elektroniczne, a papierowej, dopiero następnie zeskanowana.

Pojawia się też problem, co w sytuacji gdy zamawiający udostępnił formularz ofertowy jedynie w wersji nieedytowanej? Ok, niby można użyć OCR. Z tym, że po pierwsze nie każdy go posiada, a po drugie nie można mu w 100% zaufać, ponieważ zawsze jest ryzyko, że pominie jakiś element, co znowu może spowodować odrzucenie oferty.

Co powinien zrobić wykonawca?

Przede wszystkim trzeba podkreślić, że to jest na razie pierwszy wyrok w tej sprawie. Nikt nie może zagwarantować, że w kolejnych wyrokach Krajowa Izba Odwoławcza nie zmieni swojego stanowiska. Nie wiadomo również czy od wyroku zostanie wniesiona skarga do sądu, a jeżeli tak, to jak sąd ustosunkuje się do sprawy. Wyrok wzbudził bardzo duże kontrowersje, wiele osób uważa, że tak złożona oferta nie powinna mimo wszystko podlegać odrzuceniu.

Ja jednak uważam, że wykonawcy składający oferty w postępowaniach objętych elektronizacją powinni pamiętać, że oferta musi zostać sporządzona od początku do końca wyłącznie elektronicznie. Nie jest możliwe przygotowanie jej w tradycyjnej formie, a następnie zeskanowanie i podpisanie skanu elektronicznie.

EDYCJA:

Sprawa ma dalszy ciąg, który opisuję w tym artykule: „Skan oferty – ciąg dalszy zamieszania

Igły – spór o element przezierny

Do ciekawego sporu przed Krajową Izbą Odwoławczą doszło na przełomie stycznia i lutego 2018 r. Spór dotyczył zamówienia na igły.

Wstęp

Przetarg był prowadzony przez jeden ze Szpitali w województwie śląskim. Kryteriami oceny ofert były cena (85%) i jakość (15%). Jakość igieł była oceniana na podstawie tego, czy posiadają element przezierny. Otóż – jeżeli igły posiadały element przezierny o długości co najmniej 5 milimetrów, to oferent otrzymał dodatkowe 5 punktów. W przypadku braku spełnienia tego wymogu, nie otrzymywał żadnych punktów.

Termin „przezierny” jest to termin stosowany w medycynie. Jest synonimem słowa przejrzysty i słowa przezroczysty. Czyli, zamawiający wymagał, żeby igły, które normalnie są nieprzezroczyste, posiadały 5 milimetrowy fragment, który będzie przezierny (przezroczysty). Spełnienie tego wymogu gwarantowało otrzymanie dodatkowych punktów.

W postępowaniu zostały złożone 3 oferty. Różnice pomiędzy wykonawcami były tak małe, że kryterium przezierności okazało się decydujące. Jeden z oferentów był przekonany, że spełnia dodatkowy wymóg. Pomimo tego nie otrzymał od zamawiającego dodatkowych punktów, a w konsekwencji został sklasyfikowany na drugim miejscu. Gdyby otrzymał dodatkowe punkty, wygrałby przetarg.

Na błędną – jego zdaniem – decyzję zamawiającego wniósł odwołanie do KIO.

Skąd ta rozbieżność?

Różnica zdań pomiędzy wykonawcą a zamawiającym wynikała z rozbieżnego zrozumienia kryterium. Wykonawca zrozumiał je w sposób techniczny, to znaczy, że element przezierny musi posiadać po prostu minimum 5 milimetrów. W związku z tym uważał, że powinien otrzymać dodatkowe punkty.

Zamawiający z kolei zrozumiał to kryterium w sposób bardziej funkcjonalny. Wskazał, że część elementu przeziernego znajduje się w gwincie igły. Gwint jest z kolei wkręcany do uchwytu służącego do zamocowania igły. W związku z tym w momencie pobierania krwi część gwintowa nie jest widoczna, co powoduje, że widoczny element przezierny ma mniej niż 5 milimetrów. W związku z tym nie spełnia dodatkowe kryterium i punkty nie należą się.

Co na to KIO?

Krajowa Izba Odwoławcza uwzględniła odwołanie, to znaczy przyznała rację wykonawcy.

Jej zdaniem opis zamawiającego zawarty w specyfikacji istotnych warunków zamówienia wskazywał, że sporne kryterium ma charakter jedynie techniczny. Zamawiający określił, ze igły mają posiadać element przezierny o długości minimum 5 milimetrów. Uzależnił przyznanie punktów tylko od istnienia tej cechy. A produkt odwołującego tę cechę obiektywnie posiada. Fakt, że element przezierny jest zasłonięty przez inny element systemu nie sprawia, że przestaje być przezierny.

Podkreśliła również, że zamawiający nie doprecyzował jak będzie mierzył długość tego elementu. Nie zaznaczył, że będzie mierzył tylko element nie zasłonięty przez inne komponenty. Brak było również wskazania, że mierzenie będzie miało miejsce podczas wykonywania pobrania krwi. Tymczasem zamawiający miał prawo tak to określić, ale musiał to wskazać już w treści SIWZ. Gdyby takie zastrzeżenie znalazło się w specyfikacji, wynik sporu prawdopodobnie byłby inny.

Postępowanie toczyło się pod sygnaturą akt KIO 111/18.

Powered by WordPress & Theme by Anders Norén

Scroll Up