Sygn. akt: KIO 137/19
WYROK
z dnia 13 lutego 2019 r.
Krajowa Izba Odwoławcza - w składzie:
Przewodniczący: Agata Mikołajczyk
Członkowie: Małgorzata Matecka
Aneta Mlącka
Protokolant:
Marta Słoma
po rozpoznaniu na rozprawie w dniu 8 lutego 2019 r. w Warszawie
odwołania wniesionego w
dniu 26
stycznia 2019 r. do Prezesa Krajowej Izby Odwoławczej przez Odwołującego –
Ośrodek Aktywizacji Zawodowej i Szkoleń Sp. z o.o. ul. Więckowskiego 29/5 90-727 Łódź
w postępowaniu prowadzonym przez Zamawiającego - Miasto Łódź, Zarząd Zieleni
Miejskiej w Łodzi ul. Konstantynowska 8/10 94-303 Łódź,
przy udziale wykonawcy: KTU-
Zieleń Sp. z o.o. ul. Warecka 3 91-202 Łódź zgłaszającego
przystąpienie do postępowania odwoławczego po stronie zamawiającego
orzeka:
1. U
względnia odwołanie i nakazuje Zamawiającemu unieważnienie czynności wykluczenia
Odwołującego z postępowania w zakresie części 1 oraz powtórzenie czynności oceny ofert
w części 1 z uwzględnieniem oferty Odwołującego;
Kosztami postępowania odwoławczego obciąża wykonawcę KTU-Zieleń Sp. z o.o. ul.
Warecka 3 91-
202 Łódź i:
zalicza w poczet kosztów postępowania odwoławczego kwotę 15.000 zł 00 gr (słownie:
piętnaście tysięcy złotych, zero groszy) uiszczoną przez Odwołującego tytułem wpisu od
odwołania;
zasądza od wykonawcy KTU-Zieleń Sp. z o.o. ul. Warecka 3 91-202 Łódź na rzecz
Odwołującego kwotę 18 600 zł 00 gr (słownie: osiemnaście tysięcy sześćset złotych, zero
groszy) stanowiącą koszty postępowania odwoławczego poniesione z tytułu wpisu od
odwołania oraz wynagrodzenia pełnomocnika.
Stosownie do art. 198a i 198b ustawy z dnia 29 stycznia 2004 r. -
Prawo zamówień publicznych
(Dz. U. z 2018 r., poz. 1986 ze zm.) na niniejszy wyrok - w terminie 7 dni od dnia jego
doręczenia - przysługuje skarga za pośrednictwem Prezesa Krajowej Izby Odwoławczej do
Sądu Okręgowego w Łodzi.
……………………………
……………………………
……………………………
Sygn. akt KIO 137/19
Uzasadnienie
Odwołanie zostało wniesione w postępowaniu o udzielenie zamówienia publicznego
prowadzonym w trybie przetargu nieograniczonego na podstawie ustawy z dnia 29 stycznia
2004 r. Prawo zamówień publicznych (Dz. U. z 2018 r. poz. 1986 ze zm.), [Pzp lub ustawa Pzp
lub Pzp] przez zamawiającego: Miasto Łódź, Zarząd Zieleni Miejskiej w Łodzi (Zamawiający),
którego przedmiotem jest „Usługa utrzymania terenów zieleni miejskiej w latach 2019-2021 w
pasach drogowych i na terenach niezabudowany
ch na terenie miasta Łodzi na zasadach
określonych we „Wzorze Umowy". Wnoszący odwołanie wykonawca: Ośrodek Aktywizacji
Zawodowej i
Szkoleń Sp. z o.o. z Łodzi (Odwołujący) zarzucił Zamawiającemu działanie
niezgodne z przepisami ustawy Pzp, polegające na wykluczeniu wykonawcy z Postępowania,
z naruszeniem:
1) art. 24 ust. 1 pkt 12 w zw. z art. 22 ust. 1 pkt 2 Pzp, polegające na wykluczeniu od udziału
w Postępowaniu Wykonawcy, w związku z rzekomym niewykazaniem spełnienia warunków
udziału w postępowaniu, w postaci walidacji podpisu kwalifikowanego przy użyciu algorytmu
SHA-
2, gdy tymczasem powołany „warunek" nie został wskazany przez Zamawiającego w
ogłoszeniu o zamówieniu ani w Specyfikacji Istotnych Warunków Zamówienia;
2) art. 10a ust. 5 Pzp oraz 25 ust. 2
i 3 Rozporządzenia Parlamentu Europejskiego i Rady
(UE1 nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania
w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylającym
dyrektywę 1999/93/WE, polegające na bezpodstawnym uznaniu, że złożony przez
Wykonawcę w postępowaniu dokument JEDZ podmiotu użyczającego Wykonawcy swoich
zasobów, podpisany został w sposób nieprawidłowy, pomimo iż dokument opatrzony został
ważnym podpisem kwalifikowanym, zgodnie z wymogami prawa;
3) art. 137 ust. 1 ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji
elektronicznej poprzez jego błędną wykładnię i niewłaściwe zastosowanie, polegające na
przyjęciu, że przepis ten nakłada sankcję nieważności na podpisy złożone po dniu 1 lipca
2018r. z uwierzytelnieniem przy użyciu logarytmu SHA-1, podczas gdy powołana regulacja nie
tylko takiej sankcji nie przewiduje, ale nawet nie mogłaby przewidywać, gdyż stałaby ona w
oczywistej sprzeczności z art. 32 rozporządzenia Parlamentu Europejskiego i Rady (TJE) nr
910/2014 z dnia 23 lipca 2014 r, w sprawie identyfikacji elektronicznej i usług zaufania w
odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylającym dyrektywę
1999/93/WE, oraz aktów i Decyzji wykonawczych, o mocy obowiązującej bezpośrednio w
każdym Państwie Członkowskim.
Mając powyższe na uwadze wniósł o: (1) Uchylenie zaskarżonej czynności
wykluczenia Wykonawcy z Postępowania; (2) Zasądzenie od Zamawiającego na rzecz
Wykonawcy zwrotu ponies
ionych kosztów postępowania odwoławczego.
Odwołujący wskazał, że posiada interes w uzyskaniu zamówienia stanowiącego
przedmiot Postępowania oraz poniesie szkodę w wyniku naruszenia przez Zamawiającego
wskazanych przepisów ustawy, gdyż wykluczenie Wykonawcy a tym samym ostatecznie
odrzucenie złożonej przez niego oferty, spowoduje wybór przez Zamawiającego oferty
konkurenta, pomimo iż oferta Wykonawcy jest ofertą znacznie korzystniejszą dla
Zamawiającego. Gdyby Zamawiający nie wykluczył Wykonawcy z Postępowania, oferta przez
niego złożona, jako spełniająca wszystkie nałożone Specyfikacją wymogi, a zarazem
najkorzystniejsza cenowo, musiałaby zostać wybrana jako najkorzystniejsza ze wszystkich
złożonych w Postępowaniu ofert. Powyższe dowodzi o spełnieniu przesłanki do skorzystania
ze środków ochrony prawnej przewidzianych w art. 179 ust. 1 ustawy Pzp.
W uzasadnieniu w szczególności wskazał:
Wykonawca, jako jeden z dwóch podmiotów, złożył ofertę na realizację I Części zamówienia
publicznego pn. Usługa utrzymania terenów zieleni miejskiej w latach 2019-2021 w pasach
drogowych i na terenach niezabudowanych na terenie miasta Łodzi obejmującej "Północny -
Zachód" - utrzymanie terenów zieleni miejskiej w pasach drogowych i na terenach
niezabudowanych objętych ulicami: Zgierska, Nowomiejska, Plac Wolności, Piotrkowska,
Adama Mickiewicza, Bandurskiego, Krzemieniecka, Konstantynowska. W toku badania ofert,
Wykonawca był wzywany do złożenia wyjaśnień oraz uzupełnienia dokumentów, z których to
zobowiązań wywiązał się w terminie. Pismem z dnia 18 stycznia 2019 r. Zamawiający
zawiadomił Wykonawcę o wykluczeniu z postępowania na podstawie art. 24 ust. 1 pkt 12 Pzp.
Decyzja ta oparta miała zostać na ustaleniu rzekomej nieprawidłowości użycia algorytmu
(SHA-
1) przy składaniu podpisu elektronicznego w dokumencie JEDZ przez podmiot
użyczający Wykonawcy swoich zasobów. Użycie skrótu SHA-1 dla potrzeb walidacji,
Zamawiający uznał za dyskwalifikację czynności jako nieprawidłowej oraz stwierdził
nieważność złożonego podpisu kwalifikowanego. W konsekwencji Zamawiający uznał, iż
„nieprawidłowy" JEDZ przedłożony przez podmiot trzeci po wezwaniu do jego złożenia w trybie
uzupełnienia dokumentów, nie podlega ponownemu wezwaniu do usunięcia braków. W tych
okolicznościach stwierdzając, że Wykonawca nie wykazał spełnienia przesłanki braku podstaw
do wykluczenia -
Zamawiający wykluczył go od udziału w postępowaniu. Odwołujący
stwierdził, że Zamawiający nie sprecyzował przy tym w żadnym zakresie, z jakiej przyczyny
walidacja przy użyciu algorytmu SHA-1 miałaby czynić złożony podpis nieważnym, a tym
samym dokument opatrzony takim podpisem -
nieprawidłowym, prowadzącym do uznania, iż
wykonawca nie spełnił określonego przez Zamawiającego warunku. Odwołujący wskazał, że
analiza art. 22 ust. 1 pkt 2 i ar
t. 24 ust. 1 pkt 12 Pzp prowadzi do wniosku, że z postępowania
o udzielenie zamówienia publicznego należy wykluczyć wykonawcę, który nie wykazał
spełniania warunków udziału w postępowaniu określonych przez zamawiającego w ogłoszeniu
o zamówieniu lub w zaproszeniu do potwierdzenia zainteresowania. Spełniać można tylko taki
warunek, który został opisany, skonkretyzowany. W przypadku zaś niesformułowania warunku
udziału w postępowaniu niemożliwa jest ocena jego spełniania, a w konsekwencji
stwierdzenie, że wykonawcę należy wykluczyć z postępowania z powodu niespełniania
warunku udziału w nim. W okolicznościach niniejszej sprawy Zamawiający wykluczył
Wykonawcę z postępowania, wskazując na niespełnienie warunku w postaci walidacji podpisu
kwalifikowanego przy użyciu algorytmu SHA-2, choć warunek ten nie został opisany w
ogłoszeniu o zamówieniu. Nie wspomniano o nim również w treści Specyfikacji Istotnych
Warunków Zamówienia. Co więcej, zakreślenie takiego warunku, bez uzasadnienia go
ograniczeniami technicznymi po
stronie Zamawiającego, stanowiłoby naruszenie zasady
proporcjonalności, a zarazem prowadziło do dyskryminacji i nierównego traktowania
uczestników Postępowania. Odwołujący podkreślił, że czynność wykluczenia Odwołującego
nie znajduje uzasadnienia w treści dokumentów sporządzonych przez Zamawiającego dla
potrzeb prowadzonego postępowania, nie znajduje oparcia w żadnym przepisie prawa
krajowego, a co więcej - pozostaje w oczywistej sprzeczności z przepisami prawa
wspólnotowego. Dalej podał, że: „W zawiadomieniu o wykluczeniu Odwołującego z
Postępowania, Zamawiający wskazał, iż w złożonym przez Wykonawcę JEDZ, pochodzącym
od podmiotu udostępniającego mu Usługi Dźwigowe - T.R., nie potwierdzono spełnienia
warunku udziału w postępowaniu i braku podstaw do wykluczenia z postępowania, ponieważ
złożony został JEDZ z podpisem elektronicznym wykorzystującym do weryfikacji skrót SHA-1,
zamiast SHA-
2, co zdaniem Zamawiającego spowodowało, iż podpis ten nie mógł zostać
uznany za prawidłowy. Jako podstawę wykluczenia Wykonawcy powołano ogólnie art. 24 ust.
1 pkt 12 ustawy prawo zamówień publicznych. W uzasadnieniu zaś, wskazano jednoznacznie,
iż podstawą wykluczenia w oparciu o powołaną regulację jest okoliczność, iż Wykonawca nie
wykazał spełnienia warunków udziału w postępowaniu. Zamawiający nie powołał jednak
owego warunku w sposób precyzyjny, w szczególności nie wskazał, gdzie ów warunek (w
którym punkcie zawiadomienia lub SIWZ został nałożony), jak również nie przytoczył żadnego
konkretnego przepisu prawa ani żadnej okoliczności faktycznej leżącej po stronie
Zamawiającego, które nakładałyby na Wykonawcę obowiązek weryfikacji podpisu przy użyciu
algorytmu SHA-
2, a który mógłby uzasadniać brak możliwości uznania podpisu
weryfikowanego innym algorytmem za prawidłowy. W uzasadnieniu zawiadomienia o
wykluczeniu Zamawiający przytoczył natomiast obszerny fragment orzeczenia Krajowej Izby
Odwoławczej z dnia 10 grudnia 2019 r. KIO 2428/18, upatrujący obowiązek stosowania
algorytmu SHA-
2 dla weryfikacji podpisów kwalifikowanych w przepisach powszechnie
obowiązujących prawa polskiego, który ma najwyraźniej uzasadniać złożenie podpisu
kwalifikowanego z użyciem algorytmu SHA-1 jako nieprawidłowe i przesądzać o jego
nieważności. Wyrok Krajowej Izby Odwoławczej w innej sprawie nie jest jednak źródłem
prawa, jak również nie jest wiążący dla rozstrzygnięcia niniejszej sprawy. W tych
okolicznościach uznać należy, iż cytowane orzeczenie Zamawiający przyjmuje za własne
uzasadnienie wykluczenia Wykonawcy. W konsekwencji oznacza to, iż niespełnienia
warunków udziału Wykonawcy w postępowaniu, Zamawiający upatruje w przepisach prawa
powszechnie obowiązującego, zaś przepisami uznanymi przez Zamawiającego za naruszone
przez Wykonawcę, są przepisy powołane w cytowanym wyroku. Ponadto rodzi to konieczność
odniesienia się do przyjętej przez Izbę ich interpretacji, mimo iż dotyczyła innego
postępowania”.
Uznanie podpisu kwalifikowanego złożonego przy użyciu skrótu SHA-1 za niespełniający
wymogów przepisów prawa.
Przytoczone przez Zamawiającego orzeczenie Krajowej Izby Odwoławczej z dnia 10 grudnia
2019 r. KIO 2428/18 wskazuje, iż w opinii Składu Orzekającego w tym postępowaniu podpis
kwalifikowany złożony po dniu 1 lipca 2018 r. przy użyciu skrótu SHA-1 nie spełnia wymogów
określonych w art. 10a ust. 5 pzp, gdyż zgodnie z art. 137 ust. 1 ustawy z dnia 5 września
2016 r, o usługach zaufania oraz identyfikacji elektronicznej (dalej „uzoie") funkcja skrótu SHA-
1 mogła być stosowana do składania zaawansowanych podpisów elektronicznych lub
zaawansowanych pieczęci elektronicznych tylko do 1 lipca 2018 r. W tym wyroku Izba orzekła,
że od 1 lipca 2018 r, istnieje obowiązek zaprzestania stosowania SHA-1, i że obowiązek ten
dotyczy nie tylko certyfikatów, ale także wszelkich składanych podpisów. Nadto obowiązek ten
jest adresowany do wszystkich podmiotów zarówno komercyjnych, jak i jednostek
administracji publicznej, które w ramach swoich systemów udostępniają funkcjonalność
tworzenia podpisu. Skład Orzekający wsparł argumentację komunikatem Ministra Cyfryzacji
z 1 marca 2018 r. w sprawie wycofania algorytmu SHA-
1 w zastosowaniach związanych z
zaawansowanym podpisem i pieczęcią elektroniczną, zamieszczonym na stronach
Narodowego Centrum Certyfikacji.
Zdaniem Odwołującego, ani (…) powołany w cytowanym orzeczeniu art. 10a ust. 5 pzp, ani
żaden inny przepis tej ustawy, nie mówi o algorytmach SHA. Co więcej, również art. 137 ust.
1 uzoie, do którego odnosi się przywołany w orzeczeniu komunikat Ministra Cyfryzacji z 1
marca 2018 r
., nie zabrania posługiwania się algorytmem SHA-1 po dniu 1 lipca 2018 r., nie
wprowadza rygoru nieważności podpisu weryfikowanego algorytmem SHA-1, ani nie pozbawia
takiego podpisu cech kwalifikowanego podpisu elektronicznego. Rygoru takiego nie można
również wywieść z art. 10a ust. 5 pzp, ani nawet z europejskiego rozporządzenia, które było
podstawą wprowadzenia polskich przepisów (Rozporządzenie Parlamentu Europejskiego i
Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektroniczne
j i usług
zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylającym
dyrektywę 1999/93/WE (dalej: „eIPAS"). Komunikat Ministra Cyfryzacji mówi o konieczności
dostosowania aplikacji służących do składania lub weryfikacji podpisu elektronicznego do
algorytmów rodziny SHA-2, w związku z utratą przez algorytm SHA-1 rekomendacji
Europejskiego Instytutu Norm Telekomunikacyjnych (zob. ETS1 TS 119 312). Ponadto, w
Komunikacie zaznaczono wprost, że algorytm SHA-1 nadal będzie mógł być używany przy
weryfikacji. Całkowicie niezrozumiała i nieposiadająca żadnego uzasadnienia w przepisach
prawa interpretacja treści art. 137 ust. 1 uzoie oraz Komunikatu Ministra Cyfryzacji, znajduje
swe podłoże w analizowaniu dość nieprecyzyjnie sformułowanych przepisów prawa
krajowego, w oderwaniu od wykładni celowościowej oraz wspólnotowej, prowadząc do
przyjęcia wykładni wręcz sprzecznej z ideą logicznego ustawodawcy. Przepisy krajowe nie
funkcjonują w próżni, są konsekwencją obowiązku wprowadzenia regulacji przyjętych przez
organy wspólnotowe dla unifikacji systemów elektronicznych wszystkich Państw
Członkowskich. Podstawowym - w zakresie analizy niniejszej sprawy - jest Rozporządzenie
Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie
identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na
rynku wewnętrznym oraz uchylające Dyrektywę 1999/93/WE, tzw. Rozporządzenie elDAS.
Dla przepisów krajowych bezpośrednim skutkiem elDAS było przede wszystkim uchylenie
ustawy o podpisie elektronicznym z 2001 r. oraz redefinicja dotychczasowego podpisu
kwalifikowanego, poprzez zdefiniowanie go jako „zaawansowany podpis elektroniczny, który
jest składany za pomocą kwalifikowanego urządzenia do składania podpisu elektronicznego i
który opiera się na kwalifikowanym certyfikacie podpisu elektronicznego". Co istotne,
kwalifikowany podpis elektroniczny ma taki skutek prawny, iż jest on równoważny podpisowi
własnoręcznemu, a wydany w jednym z Państw Członkowskich, jest za taki uznawany również
we wszystkich pozostałych Państwach, co wynika wprost z art. 25 ust, 2 i 3 rozporządzenia
elDAS. W związku z powyższym, organy administracji publicznej w Polsce od lipca 2016 r,
zobowiązane są uznawać kwalifikowany podpis elektroniczny wydany przez inne kraje
Członkowskie. Oprócz samego rozporządzenia elDAS, tak dla regulacji unijnych jak i
krajowych, znaczenie mają również liczne akty wykonawcze wydane na jego podstawie.
Należy do nich m.in. Decyzja Wykonawcza Komisji (UE) 2015/1506 z dnia 8 września 2015 r.
Decyzja 1506/2015, która została wydana w związku z art. 27.5 oraz art. 37,5 wskazuje na
normy, które określają formaty referencyjne podpisów elektronicznych i dokumentów, które
administracja powinna uznawać (co nie znaczy, że nie może uznawać innych). Do czasu
zmiany przepisów elDAS lub zmiany wydanych na podstawie tego aktu prawnego decyzji,
należy dla rozstrzygnięć prawnych brać pod uwagę wersje norm wskazanych w tych
przepisach, które obowiązywały z chwilą wejścia tych przepisów w życie. W decyzji 1506/2015
wskazana jest np. konkretna norma ETSI TS 103 171 v2.1,l, a w niej (rozdział 5.1) wskazano
dwa konkretne dokumenty mówiące o algorytmach kryptograficznych: TS 102 176-1 i
NCRYPT2 D SPA. Oba dokumenty wskazują na możliwość użycia SHA-1, choć go nie
rekomendują. Mimo braku rekomendacji twórcy normy TS 102 176-1 w rozdziale 11 wśród
identyfikatorów algorytmów, które mogą stanowić podstawę tworzenia struktury podpisu
elektronicznego, podali w zestawieniu również identyfikator algorytmu SHA-1. Należy przez to
rozumieć, że norma ta, stanowiąc referencyjne (choć nie zawsze rekomendowane)
odniesienie do stosowanych algorytmów w podpisach elektronicznych, obejmuje również
algorytm SHA-
1. Trudno byłoby spodziewać się wykluczenia tego algorytmu bez prawnego
wprowadzenia okresu przejściowego, gdyż algorytm ten powszechnie był stosowany, a jego
„złamanie" w odniesieniu do dokumentów w obrocie gospodarczym jest tylko teoretyczne.
Gdyby twórcy normy chcieli wykluczyć SHA-1 z obrotu, to w normie ETSI TS 103 171 v2.1.1
uczyniliby to w rozdziale 5,1 w taki sam sposób, w jaki uczynili to w stosunku do MD5,
stanowiąc: „MD5 algorithm shall not be used as digest algorithm". Rekomendacja algorytmu
to inaczej jego „polecanie", ze względu na znaczny stopień bezpieczeństwa. Tym samym brak
rekomendacji oznacza jedynie, iż dany algorytm nie cieszy się już tak znacznym stopniem
bezpieczeństwa jak inne. Najistotniejsza doniosłość prawna elDAS polega na tym, iż jest ono
stosowane bezpośrednio w krajach Członkowskich UE, a więc również w Polsce. Polski
ustawodawca krajowy zdecydował się uszczegółowić europejski akt prawny w ustawie o
usługach zaufania oraz identyfikacji elektronicznej z dnia 5 września 2016 r. W uzasadnieniu
do tej ustawy wskazano: "Ważnym przepisem dla zapewnienia ciągłości usług zaufania w
Polsce jest art. 134 (ostatecznie art 137), wskazujący na możliwość stosowania skrótu SHA-1
do składania zaawansowanych podpisów elektronicznych lub zaawansowanych pieczęci
elektronicznych. Dotychczas
owe przepisy wymagały wprost stosowania tego algorytmu, co
spowodowało, że oprogramowanie stosowane do składania i weryfikacji podpisów, nie było
dostosowywane do innych skrótów rekomendowanych w standardzie ETS1TS 119 312
dotyczącej wymagań w zakresie stosowania algorytmów kryptograficznych w infrastrukturze
podpisu elektronicznego. Mając na uwadze, że norma ta wprost nie rekomenduje dalszego
używania skrótu SHA-1 ze względu na możliwe naruszenia bezpieczeństwa, należało
wprowadzić przepisy przejściowe umożliwiające stopniowe odejście od stosowania tego
skrótu." Należy zwrócić uwagę, iż wprawdzie ustawodawca polski dość enigmatycznie
sygnalizuje przyczynę odchodzenia od stosowania skrótu SHA-1, to kwestia ta pozostaje
najistotniejsza dla jakichkolwiek dalsz
ych analiz dotyczących treści art. 137 uzoie, a zatem
wymaga uszczegółowienia. Wprawdzie elDAS nie odnosi się do ETSI 119 312, zasadnym jest
wskazanie, iż zakres algorytmów możliwych do stosowania wynika pośrednio ze specyfikacji
technicznych wskazanych w
Decyzji 2015/1506, z których każda odnosi się w swojej treści -
w zakresie rekomendowanych funkcji skrótu - do specyfikacji ETSI TS 102 176-1. Z tej
specyfikacji wynika zaś, że jedną z rekomendowanych funkcji jest SHA-1 (obok SHA-224,
SHA-256, SHA-384, SHA-
512, Whirpool oraz ripemdl6O)”. Odwołujący podkreślił, że: ”Gdyby
w międzyczasie okazało się, że faktycznie stosowanie SHA-1 zaczęło zagrażać
elektronicznemu obrotowi gospodarczemu, to europejski ustawodawca wydałby stosowny akt
prawny o wycofaniu tego a
lgorytmu, co jednak dotychczas nie nastąpiło”. Stwierdził także, że:
„Wnikliwa analiza treści uzasadnienia do polskiej ustawy wskazuje, że ustawodawca chciał
przede wszystkim zmobilizować administrację publiczną, aby przygotowała się do zmiany,
która może nastąpić w przyszłości, gdyby algorytm został wycofany. Przede wszystkim
chodziło o to, że dotychczas wystawcy certyfikatów nie mogli stosować innych algorytmów niż
SHA-
1, bo systemy administracji nie radziły sobie z nowszymi algorytmami. Podobnie jak nie
radziły sobie z podpisami, które zawierały skróty treści dokumentów obliczone wg innego niż
SHA-
1 algorytmu. Przepis ten zredagowany został w sposób nie do końca precyzyjny, ale przy
uwzględnieniu celu jego wprowadzenia, jak również treści powołanych wyżej nadrzędnych
regulacji unijnych, nie może budzić żadnych wątpliwości. W sytuacji wątpliwej należy uznać
wyższość prawa nadrzędnego, czyli wynikającego z elDAS. Dlatego usługa walidacji nie może
nie uznać podpisu z SHA-1 za niezaawansowany, bo opiera się na jednolitym prawie
europejskim oraz krajowym, które nie jest (i nie może być) sprzeczne z europejskim.
Okoliczność, że polska ustawa w art. 137 uzoie narzuca administracji publicznej oraz
dostawcom usług zaufania przejście na wyższy poziom bezpieczeństwa podpisu, nie oznacza,
że którykolwiek obowiązujący przepis prawa pozwala kwestionować ważność podpisu z
algorytmem SHA-
1. Zapisy ustawowe miały na celu wymuszenie na dostawcach stosowania
algorytmu SHA-
2, z uwagi na okoliczność, iż w niedalekiej przyszłości na rynku będą
funkcjonować wyłącznie takie - bezpieczniejsze - podpisy. O tym jednak nie zadecyduje we
własnym zakresie ustawodawca krajowy - w pierwszej kolejności zmiany te obejmą
ustawodawstwo europejskie, to zaś do chwili obecnej nie nastąpiło”. Zdaniem Odwołującego,
„Koniecznym jest zwrócenie również uwagi na kolejny, odrębny, choć niezwykle istotny aspekt
błędnego uznania, iż treść art. 137 ust. 1 uzoie stanowi granicę czasową, po której podpis z
algorytmem SHA-
1 miałby zostać uznany za złożony nieprawidłowo. Uwzględniając wskazane
wyżej zastosowanie wprost elDAS we wszystkich krajach członkowskich, a tym samym
dopuszczalność algorytmu SHA-1 w innych krajach przy jednoczesnej jego
niedopuszczalności w Polsce, przepis taki różnicowałby sytuację prawną wykonawców z
innych Państw Członkowskich, którzy na równych prawach uczestniczą w obrocie, w tym
również postępowania o udzielenie zamówienia publicznego przez podmioty polskie.
Przedmiotowe rozróżnienie ich sytuacji prawnej nakazywałoby uznanie podpisów złożonych
przez wykonawców z innych Państw Członkowskich za nieprawidłowe i podlegające
odrzuceniu, pomimo iż odpowiadałyby standardom narzuconym przez prawo unijne, Sytuacja
taka byłaby niedopuszczalna. W momencie walidacji kwalifikowanego podpisu
elektron
icznego nie ma możliwości ustalenia, na podstawie przepisów którego państwa
powstał dany podpis. Podpis należy weryfikować zawsze na zgodność podpisu z
wymaganiami artykułu 32 rozporządzenia elDAS i przepisami wykonawczymi obowiązującymi
jednolicie w całej Unii Europejskiej. Tylko w ten sposób można zapewnić interoperacyjność
kwalifikowanego podpisu elektronicznego i szerzej wszystkich kwalifikowanych usług
zaufania, co było celem i jest celem całego procesu legislacyjnego prowadzonego w UE w
ostatnich lata
ch. Należy również podkreślić, iż algorytm SHA-1 nie jest rekomendowany do
stosowania przy tworzeniu podpisów zaawansowanych wyłącznie ze względu na możliwość
(w przyszłości, w nieokreślonej perspektywie czasowej) dokonania jego „złamania" oraz
manipulacji
dokumentem, który podpisem został opatrzony. Mimo sygnalizowania takiego
ryzyka, nadal poziom bezpieczeństwa kryptograficznego pozostaje na tyle wysoki, iż przy
obecnej wiedzy technicznej gwarantuje bezpieczeństwo. Dlatego też algorytm SHA-1 nie
został „zakazany" żadna decyzja ani innym aktem wykonawczym. Brak rekomendacji w
żadnym zakresie nie stanowi zakazu wykorzystywania. Zaprzestanie stosowania funkcji SHA-
1 przez polską administrację publiczną w żadnym zakresie nie oznacza, że nie wolno jej
uznawać podpisów elektronicznych utworzonych przy zastosowaniu SHA-1, również po
wejściu w życie art. 137 uzoie. Przeciwna wykładnia doprowadziłaby do paradoksalnej
sytuacji, w której polskie urzędy miałyby obowiązek łamać przepisy unijne poprzez
nieuznawanie statu
su wszystkich kwalifikowanych podpisów wykorzystujących SHA-1, którymi
opatrzone są dokumenty przekazywane z innych Państw Członkowskich. Tym bardziej, że w
chwili walidacji (tj. weryfikacji) danego podpisu elektronicznego, nie ma możliwości ustalenia,
na
podstawie przepisów którego z Państw Członkowskich dany podpis powstał. W związku z
tym, podpis należy zawsze weryfikować wg wymogów art, 32 elDAS, oraz przepisów
wykonawczych, jednolitych dla całej Unii Europejskiej. Tylko w ten sposób interoperacyjność
k
walifikowanego podpisu, jako nadrzędny cel procesu legislacyjnego prowadzonego w Unii,
może zostać zrealizowana.
Bezpodstawność uznania podpisu weryfikowanego przy pomocy algorytmu SHA-1 za
nieważny.
Odrębną kwestią pozostaje całkowicie bezpodstawne odebranie przez Zamawiającego
kwalifikowanemu podpisowi weryfikowanemu przy pomocy algorytmu SHA-1 waloru
„ważności". Nie można odmówić podpisowi elektronicznemu statusu kwalifikowanego podpisu
elektronicznego, a już tym bardziej jego ważności wyłącznie na podstawie „oceny
Zamawiającego". Przepis art. 137 polskiej ustawy o usługach zaufania oraz identyfikacji
elektronicznej nie zawiera rygoru nieuznawania podpisu utworzonego z zastosowaniem funkcji
SHA-
1 jako podpisu zaawansowanego. Co więcej takiego rygoru polska ustawa nie mogłaby
zawierać, a tym bardziej nie można go domniemywać, gdyż byłoby to sprzeczne z przepisami
nadrzędnymi wynikającymi z rozporządzenia UE 910/2014 (elDAS), które takiego rygoru nie
przewidują dla zaawansowanych, a co za tym idzie również dla kwalifikowanych podpisów
elektronicznych tworzonych w oparciu o SHA-
1. Ani przepisy art. 137 uzoie, ani żaden inny
przepis prawa polskiego (a tym bardziej nadrzędne normy unijne) nie przewidują sankcji
nieważności podpisu w związku z użytym do jego weryfikacji algorytmem SHA-1, Wytyczna,
aby przejść na weryfikację SHA-2, nie rodzi skutku w postaci nieważności podpisu, tym
bardziej, że wg obecnej wiedzy technicznej nadal uznaje się ten podpis za wystarczająco
bezpieczny. Co więcej, o ważności podpisu weryfikowanego algorytmem SHA-1 wprost
wypowiedział się Minister Cyfryzacji, w cytowanym już Komunikacie z dnia 1 marca 2018 r.,
wskazując: „ algorytm SHA-1 nadal będzie mógł być używany przy weryfikacji".
Odwołujący wskazał na stanowisko Powszechnego Centrum Certyfikacji, zamieszczone na
oficjalnej stronie internetowej: „Interpretacja wchodzących w życie przepisów określone w
ustawie o identyfikacji elektronicznej oraz usługach zaufania w zakresie stosowania funkcji
skrótu SHA-1 i SHA-2. Interpretacja wchodzących w życie przepisów określone w ustawie o
identyfikacji elektronicznej oraz usługach zaufania w zakresie stosowania funkcji skrótu jest
następująca:
1. Wszystkie kwalifikowane certyfikaty podpisy i pieczęci wydane do 1 lipca 2018 r. można po
tej dacie s
tosować przy składaniu podpisów aż do daty terminu ważności wskazanej w
certyfikacie. Na przykład w przypadku certyfikatu dwuletniego wydanego w czerwcu 2018 r.
nie będzie jego użytkownik potrzebował nowego certyfikatu do czerwca 2020 roku.
2. Po 1 lipca
2018 r. wszystkie nowo wydawane certyfikaty będą bazować na funkcji skrótu
innej niż SHA-1 (głównie SHA-2) i będą miały zmienioną składnię (notację) zapisanych w nich
niektórych atrybutów (danych). Dlatego oprogramowanie podpisujące i weryfikujące musi
sob
ie z tym „poradzić" oraz nadal obsługiwać certyfikaty wydane wcześniej, czyli przed 2 lipca
2018 r. bazujące na funkcji skrótu SHA-1. Wszystkie kwalifikowane podpisy oraz pieczęcie
elektroniczne złożone do 1 lipca 2018 roku przy zastosowaniu funkcji skrótu SHA-1 nie utracą
swojej ważności po tej dacie.
3. Wszystkie stosowane w różnych systemach i usługach oprogramowania tworzące podpisy
(i pieczęcie) po 1 lipca 2018 r. nie mogą używać funkcji SHA-1, czyli muszą tworzyć podpisy
wyliczając skrót treści podpisywanych dokumentów za pomocą nowych funkcji, np. SHA-2,
niezależnie czy zastosowany przez podpisującego certyfikat był opatrzony pieczęcią wystawcy
bazującej na skrócie SHA-1, czy SHA-2. W przypadku certyfikatów kwalifikowanych należy
jednoznacznie stwierd
zić, że po 1 lipca 2018r. nie będzie żadnej potrzeby „aktualizacji"
wydanych wcześniej i ważnych certyfikatów. Żaden wystawca nie będzie z tego powodu
proponował nowego certyfikatu. Choć mogła być inna potrzeba uzyskania nowego certyfikatu,
nawet przed lip
cem 2018r., gdyż niektóre systemy, szczególnie zagraniczne ze względów
technicznych mogą nie akceptować wydanych „po staremu" certyfikatów."
Informacje zamieszczone przez Zamawiającego na stronie internetowej oraz w kierowanej
do Wykonawcy korespondencji*
Odnosząc powołane wyżej okoliczności do stanu faktycznego Postępowania należy wskazać,
że działania Zamawiającego dotknięte były wadą jeszcze przed wykluczeniem Wykonawcy z
Postępowania. Już samo zamieszczenie na stronie internetowej Zamawiającego informacji z
dnia 23 listopada 2018 r., o treści: „[...] Algorytm SHA-1 zgodnie z art. 137 ustawy z dnia 5
września 2016 r. o usługach zaufania [...] z dniem 1 lipca utracił ważność. Więcej na stronie
Narodowego Banku Polskiego pod adresem https:lfwww.nccerLpllkomunikaty2018.htm"t
stanowiło czynność niedopuszczalną/ wprowadzającą w błąd i wskazującą informacje
niezgodne z prawem. Co istotne, pod wskazanym adresem NBP nie zawarto żadnej informacji
o utracie ważności algorytmu, Na stronie tej opublikowało komunikat o treści: „Narodowy Bank
Polski uprzejmie informuje, iż zgodnie z art. 137 ustawy z dnia 5 września 2016 r. o usługach
zaufania oraz identyfikacji elektronicznej (Dz. U. 2026, poz. 1579) z dniem 1 lipca br. w
Narodowym Centrum Certyfikacji zaprzestano wykorzystywania algorytmu SHA-1. Oznacza
to, iż od dnia 2 lipca br. wszystkie certyfikaty dostawców usług zaufania oraz listy
unieważnionych certyfikatów są generowane z użyciem algorytmów z rodziny SHA2 (SHA256
w przypadku urzędu NCCert2009 oraz SHA512 w przypadku urzędu NCCert2016),"
Z faktu zaprzestania wykorzystywania algorytmu przez Narodowe Centrum Certyfikacji nie
płynie żadne źródło prawa, jest to jedynie informacja, W związku z tym, zawarta na stronie
Zamawiającego informacja o utracie ważności algorytmu była niezgodna z aktualnym w tej
dacie stanem prawnym. Zamawiający nie jest uprawniony do modyfikowania przepisów prawa
powszechnie obowiązującego wg własnych, niczym niepodyktowanych interpretacji. W
konsekwencji, również zawarta w dalszej części informacji Zamawiającego z dnia 23 listopada
2018 r. wytyczna (powielona w wezwaniach kierowanych do Wykonawcy), zgodnie z którą „W
przypadku dokumentu złożonego z podpisem używającym algorytmu SHA-1 nie będzie on
mógł zostać uznany za prawidłowy", jako nie znajdująca żadnego uzasadnienia prawnego, nie
mogła nałożyć na Wykonawców obowiązku stosowania „wyłącznie" algorytmu SHA-2. Tym
bardziej, że weryfikacja podpisu może zostać oparta o znaczniej więcej algorytmów, nawet
jeśli Zamawiającemu znane są wyłącznie SHA-1 i SHA-2. Jedynym, dopuszczonym przez
elDAS uzasadnieniem odrzucenia przez Zamawiającego dokumentu podpisanego ważnym
kwalifikowanym podpisem elektronicznym może być powołanie się na ograniczenia
techniczne, które nie pozwalają mu na dokonanie prawidłowej analizy dokumentu ze względu
na zastosowany w podpisie specyficzny, nieobsługiwany powszechnie algorytm
kryptograficzny. Ale w omawianym przypadku, taka okoliczność nie miała miejsca. Co więcej,
gdyby sytuacja taka zaistniała, Zamawiający poinformowałby o niej Wykonawców w treści
SIWZ, czyniąc tym samym wymóg stosowania algorytmu SHA-2 warunkiem sine ąua non
pozytywnej weryfikacji treści składanych ofert. Tymczasem, Zamawiający ani w treści SIWZ,
ani w treści informacji z dnia 23 listopada 2018 r., ani nawet w treści kierowanych do
Wykonawcy wezwań do składania wyjaśnień i uzupełniania dokumentów, nigdy nie powołał
takiej okoliczności, W związku z tym, „wymóg" weryfikacji przy użyciu określonego algorytmu
nie może stanowić warunku prawidłowej oceny złożonych w Postępowaniu dokumentów. Jak
wskazuje jednolite, utrwalone orzecznictwo Krajowej Izby Odwoławczej: „O udzielenie
zamówienia mogą ubiegać się wykonawcy, którzy spełniają warunki udziału w postępowaniu,
o ile zostały one określone przez zamawiającego w ogłoszeniu o zamówieniu lub w
zaproszeniu do potwierdzenia zainteresowania (art. 22 ust 1 pkt 2 ustawy Pzp). Zaś z
postępowania o udzielenie zamówienia publicznego wyklucza się wykonawcę, który nie
wykazał spełniania warunków udziału w postępowaniu (art 24 ust. 1 pkt 12 ustawy Pzp).
Analiza powołanych wyżej przepisów skłania do konstatacji, że z postępowania o udzielenie
zamówienia publicznego należy wykluczyć wykonawcę, który nie wykazał spełniania
warunków udziału w postępowaniu, sformułowanych przez zamawiającego. Zatem, ocena
możliwości ubiegania się o udzielenie zamówienia następuje w oparciu o warunki udziału w
postępowaniu, które przez zamawiającego zostały wyartykułowane. Spełniać bowiem można
tylko taki warunek, który został opisany, skonkretyzowany. W przypadku zaś niesformułowania
warunku udziału w postępowaniu niemożliwa jest ocena jego spełniania, a w konsekwencji
stwierdzenie, że wykonawcę należy wykluczyć z postępowania z powodu niespełniania
warunku udziału w nim”. Podkreślił, że sytuacja dotycząca dopuszczalności bądź
niedopuszczalności wykorzystania konkretnego algorytmu walidacji byłaby odmienna, gdyby
Zamawiający uznał go za jeden z warunków udziału w Postępowaniu. W takim przypadku,
(choć przy ewentualnej ocenie proporcjonalności jego ustanowienia, o czym niżej) miałby
podstawę do dokonywania oceny, czy warunek został spełniony czy też nie. Tymczasem
nieuzasadniony w niniejszym Postępowaniu warunek (wymóg) stosowania algorytmu SHA-2
przy weryfikacji podpisu kwalifikowanego Wykonawcy, zost
ał przez Zamawiającego
wprowadzony do postępowania niejako „dodatkowo". Nie tylko nie został wskazany w treści
ogłoszenia o zamówieniu ani w Specyfikacji Istotnych Warunków Zamówienia, czy też
chociażby jako zmiana Specyfikacji, ale również nie pojawił się w nim jako ewentualne
wyjaśnienie jej treści. Jak podkreśla w swych orzeczeniach Krajowa Izba Odwoławcza:
„Problematyka wyjaśniania i zmiany treści specyfikacji istotnych warunków zamówienia
została uregulowana w art. 38 Pzp. Przepis art. 38 Pzp. wyraźnie rozróżnia wyjaśnienia do
SIWZ od zmiany treści SIWZ. Wyjaśnianie i zmiana treści SIWZ co do zasady są czynnościami
o odmiennym celu i znaczeniu. Wskazać należy; że wyjaśnienia treści SIWZ należy traktować
jako uszczegółowienie, ewentualnie doprecyzowanie opisu zawartego w SIWZ. Wyjaśnienie
treści SIWZ bez jego zmiany nie może stanowić podstawy wprowadzenia przez wykonawcę
innego wymagania, czy przyzwolenia niż wprost zawarte w treści SIWZ (por. wyroki KIO
917/10; wyrok KIO 836/11)." Wyjaśnienia treści siwz, o których mowa w art. 38 ust. 2 ustawy,
stanowią uszczegółowienie, ewentualnie doprecyzowanie opisu zawartego w siwz w zakresie
przedstawionym przez wykonawców występujących z zapytaniami Zatem, wyjaśnienie nie
może stanowić podstawy wprowadzenia innego wymagania niż zawarte w treści siwz, w tym
przypadku wyeliminowania możliwości stosowania urządzenia dopuszczonego pierwotnie;
jako dowolne elementy, ewentualnie inne urządzenia. Izba uznała, że udzielenie wyjaśnień
rozbieżnych z pierwotną treścią siwz, zawężających rodzaj urządzeń oddziaływania, jak
zgodnie potwierdzono na rozprawie, wykracza poza możliwość wynikającą z treści przepisu
art. 38 ust 2 ustawy ” Ostatecznie: „Wyjaśnić można treść czegoś co istnieje, dodanie nowej
możliwości nie jest wyjaśnieniem, lecz zmianą SIWZ, która winna powodować zmianę jego
postanowień." Informacja Zamawiającego dotycząca wymogu uwierzytelniania podpisu
kwalifikowanego przy użyciu algorytmu SHA-2 została zamieszczona na stronie internetowej
jako swoiste, nieukonstytuo
wane w ustawie „zwrócenie szczególnej uwagi" (cyt. z pierwszego
akapitu pisma z dnia 23 listopada 2018 r.), iż dokumenty weryfikowane tym algorytmem nie
będą uznawane za prawidłowe. Skoro jednak taki wymóg nie znajduje podstawy w przepisach
powszechnie obo
wiązujących, ani wśród wymogów narzuconych treścią SIWZ, to należy
uznać, iż jest to wymóg nie tylko nieuzasadniony, ale również niedopuszczalny. Co więcej,
gdyby nawet wymóg uwierzytelniania podpisu kwalifikowanego przy użyciu algorytmu SHA-2
został zamieszczony w ogłoszeniu o postępowaniu bądź w SIWZ (co w przypadku, gdyby taki
obowiązek Zamawiający wyinterpretował przez błędną analizę art. 137 uzoie, musiałoby
zostać zaznaczone właśnie na etapie ogłoszenia o postępowaniu, które miało miejsce 2
miesiące po wejściu w życie rzeczonego przepisu), a zarazem nie byłoby podyktowane
możliwościami technicznymi samego Zamawiającego, to wymóg ten musiałby zostać
zweryfikowany pod względem dopuszczalności jego wprowadzenia w aspekcie
proporcjonalności. Jak wskazuje Krajowa Izba Odwoławcza w wyroku KIO 714/17: „I...] w
nawiązaniu do art. 22 ust 1a pzp: Zamawiający określa warunki udziału w postępowaniu oraz
wymagane od wykonawców środki dowodowe w sposób proporcjonalny do przedmiotu
zamówienia oraz umożliwiający ocenę zdolności wykonawcy do należytego wykonania
zamówienia; w szczególności wyrażając je jako minimalne poziomy zdolności (...) zasada
proporcjonalności oznacza, że opisane przez zamawiającego warunki udziału w postępowaniu
musza być uzasadnione wartością zamówienia, charakterystyką, zakresem, stopniem
złożoności lub warunkami realizacji zamówienia. Nie powinny ograniczać dostępu do
zamówienia wykonawcom dającym rękojmię należytego jego wykonania. W orzecznictwie
TSUE określenie "proporcjonalny" używane jest w znaczeniu "zachowujący właściwą
proporcję". W wyroku z dnia 16 września 1999 r., C-414199 K. W. E. v. K. H., ETS wskazał,
że ocena, czy podjęte środki są zgodne z TWE, wymaga tzw. testu proporcjonalności
polegającego na wykazaniu, czy podjęte działania są adekwatne i konieczne do osiągnięcia
wybranego celu. Zamawiający jest zobowiązany zachować niezbędna równowagę miedzy
interesem polegającym na uzyskaniu rękojmi należytego wykonania zamówienia a interesem
potencjalnych wykonawców, których nie można przez wprowadzenie nadmiernych wymagań
z góry eliminować z udziału w postępowaniu. Opis spełniania warunków udziału w
postępowaniu winien być odpowiedni do osiągnięcia celu, jakiemu służy, tj. wyboru
wykonawcy dającego rękojmię należytego wykonania zamówienia i nie ograniczającego
dostępu do zamówienia wykonawcom zdolnym do jego wykonania." Tymczasem nie ulega
wątpliwości, iż sposób weryfikacji podpisu przez dostawcę dźwigu nie mógłby mieć żadnego,
nawet najmniejszego znaczenia dla prawidłowości zagospodarowania zieleni, co stanowiło
przedmiot Postępowania. Podsumowując stwierdził, że wykluczenie Wykonawcy od udziału w
Postępowaniu, nie miało żadnego uzasadnienia prawnego, ani faktycznego. Było w związku z
tym czynnością nieuzasadnioną i niedopuszczalną.
Zamawi
ający w odpowiedzi na odwołanie (pismo z dnia 7 lutego 2019 r.) powołując
się na art. 186 ust.2 ustawy Pzp oświadczył, że uwzględnia w całości zarzuty przedstawione
w odwołaniu.
Do postępowania odwoławczego po stronie Zamawiającego przystąpił
wykonawca: KTU-
Zieleń sp. z o.o. z siedzibą w Łodzi (Przystępujący) wnosząc o oddalenie
odwołania (pismo z dnia 29 stycznia 2019 r.), a wobec decyzji Zamawiającego o uwzględnieniu
odwołania na posiedzeniu w dniu 8 lutego 2019 r. wniósł do protokołu na podstawie art. 186
ust.5 ustawy Pzp sprzeciw, podtrzymując argumentację co do niezasadności podnoszonych
w odwołaniu zarzutów.
W powołanym piśmie z dnia 29 stycznia 2019 r. Przystępujący w szczególności podał,
że: „Odwołujący nieprawidłowo uznaje podpisanie dokumentów przy użyciu kwalifikowanego
podpisu elektronicznego, z wykorzystaniem algorytmu SHA-
2, za warunek udziału w
postępowaniu określony przez Zamawiającego, który powinien znaleźć swoje
odzwierciedlenie w treści ogłoszenia o zamówieniu lub SIWZ. W związku z tym Odwołujący
nieprawidłowo wywodzi, że w sytuacji, gdy konieczność stosowania wskazanego wyżej
algorytmu nie została sprecyzowana w treści SIWZ, to warunek ten nie został dostatecznie
skonkretyzowany, a od Odwołującego nie można było wymagać jego spełniania. Czynione
przez Odwołującego założenia są oczywiście błędne. Wymóg stosowania określonego
algorytmu do podpisywania dokumentów kwalifikowanym podpisem elektronicznym, czy też
ujmując problem z większą precyzją - brak możliwości stosowania przestarzałego algorytmu
SHA-
I, nie wynika z wymagań Zamawiającego sformułowanych na potrzeby tego konkretnego
przetargu, ale z treści ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji
elektronicznej. Skoro przepis art. 137 wskazanej wyżej ustawy wskazuje wprost, że do
składania podpisów elektronicznych można stosować funkcję skrótu SHA-I do dnia 1 lipca
2018 r, ergo
— po tej dacie stosowanie tego skrótu nie jest dopuszczalne. Wbrew stanowisku
Odwołującego nie jest konieczne odrębne wskazanie wprost w treści ustawy zakazu
stosowania funkcji skrótu SHA-I po I lipca 2018 r. czy wskazanie konsekwencji w postaci
uznania podpisu kwalifikowanego za nieważny, ponieważ skutki wynikają z określenia wprost
daty granicznej do jakiej algorytm SHA-
I mógł być stosowany. Art. 87 ustawy o usługach
zaufania oraz identyfikacji elektronicznej wprowadził zmianę do art. 10a ust. 5 ustawy Prawo
zamówień publicznych przez wskazanie, że oferty, oświadczenia, w tym jednolity dokument,
sporządza się, pod rygorem nieważności, w postaci elektronicznej, i opatruje się
kwalifikowanym podpisem elektronicznym. Przy czym zgodnie z art. 137 ustawy z dnia 5
września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej - po dniu 1 lipca 2018 r.
kwalifikowany podpis elektroniczny
nie może być złożony przy zastosowaniu funkcji skrótu
SHA-
I (wykładnia a contrario). Tym samym złożenie po dniu I lipca 2018 r. dokumentu JEDZ
z wykorzystaniem do złożenia podpisu elektronicznego funkcji skrótu SHA-I, nie stanowi
złożenia dokumentu opatrzonego kwalifikowanym podpisem elektronicznym. Dokument JEDZ
nie może wobec tego zostać uznany za ważny, co wprost wynika z art. 10a ust 5 PZP.
Konieczność stosowania do składania kwalifikowanych podpisów elektronicznych, funkcji
skrótów dopuszczalnych w świetle aktualnie obowiązującego prawa o randze ustawy, nie
wymaga formułowania dodatkowych wymogów w treści ogłoszenia o zamówieniu czy w treści
SIWZ. Obowiązek opatrzenia dokumentu podpisem kwalifikowanym wynika wprost z art. 10a
ust. 5 ustawy Prawo zamówień publicznych. Skoro dokument JEDZ nie został opatrzony
podpisem, który w świetle ustawy z dnia 5 września 2016 r. o usługach zaufania oraz
identyfikacji elektronicznej spełnia wymogi elektronicznego podpisu kwalifikowanego, to de
facto
uznać należy, że nie został przez wykonawcę złożony. Warunkiem udziału w
postępowaniu nie jest w tym przypadku posługiwanie się właściwą funkcją skrótu, ale
wykazanie, że wykonawca dysponuje wymaganym przez Zamawiającego sprzętem.
Spełnienie tego warunku wymaga, w przypadku powoływania się na zasoby podmiotu
trzeciego, złożenia dokumentu JEDZ dotyczącego tego podmiotu. Wykonawca — z przyczyn
wskazanych wyżej nie złożył dokumentu JEDZ dotyczącego podmiotu udostępniającego
zasoby. Stanowisko Odwołującego, że przyczyną jego wykluczenia jest niespełnienie warunku
dotyczącego walidacji podpisu kwalifikowanego przy użyciu algorytmu SHA-2 jest oczywiście
błędne. Przyczyną wykluczenia Odwołującego było niezłożenie dokumentu JEDZ w
odniesieniu do podmiotu, na którego zasoby powoływał się Odwołujący w postępowaniu, a
tym samym niewykazanie spełniania warunków udziału w postępowaniu w zakresie sprzętu
wymaganego przez Zamawiającego. Wbrew twierdzeniom Odwołującego, Zamawiający
wskazał jednoznacznie (str. 2 pisma z dnia 18.01.2019 r. informującego o wykluczeniu
Odwołującego), że przyczyną wykluczenia jest niewykazanie przez Wykonawcę braku
podstaw do wykluczenia i spełniania warunków udziału w postępowaniu w stosunku do
podmiotu udostępniającego zasoby — firmy Usługi Dźwigowe T.R.. Nie jest również prawdą
wskazane w odwołaniu twierdzenie, że Zamawiający nie wskazał konkretnego przepisu prawa,
który uzasadniałby brak możliwości uznania podpisu weryfikowanego algorytmem SHA-I.
Zamawiający wprost powołał bowiem brzmienie art. 137 ustawy z dnia 5 września 2016 r. o
usługach zaufania oraz identyfikacji elektronicznej, z którego brak takiej możliwości wynika”.
Dalej podał, że: „Nie można się zgodzić z Odwołującym, że wykluczenie możliwości
stosowania algorytmu SHA-
1 wymaga w pierwszej kolejności zmiany przepisów prawa
europejskiego. Normy europejskie
— obszernie przytoczone w odwołaniu zalecają wycofanie
stosowania tego algorytmu. Natomiast norma krajowa stanowi wyraz implementacji tych
zaleceń, uszczegóławia je i stanowi prawo powszechnie obowiązujące w Polsce. Nie jest
również w żaden sposób sprzeczna z przepisami europejskimi. Biorąc pod uwagę, że przepisy
rangi ustawy obowiązują zarówno wykonawców jak i Zamawiającego, Zamawiający miał nie
tylko prawo, ale również ustawowy obowiązek wymagać, by złożone podpisy elektroniczne
były podpisami kwalifikowanymi w rozumieniu ustawy, co wobec jej brzmienia wyklucza
stosowanie skrótu SHA-1”. Stwierdził ponadto, że: „Odwołujący zdawał sobie sprawę z
konieczności stosowania algorytmu SHA-2, skoro skutecznie go zastosował do złożenia
chociażby JEDZ dotyczącego bezpośrednio Odwołującego - OAZiS sp. z o.o. Odwołujący miał
obowiązek znać przepisy ustawy i je stosować. Nie bez znaczenia pozostaje, że stosowna
informacja, zwracająca uwagę wykonawców na brak możliwości stosowania skrótu SHA-I,
została zamieszczona na stronie internetowej Zamawiającego. Informację tą podkreślono
również w kierowanej do Odwołującego korespondencji zarówno w piśmie zwracającym
uwagę wszystkich wykonawców na brak możliwości stosowania skrótu SHA-I wobec treści
ustawy o usługach zaufania oraz identyfikacji elektronicznej, jak i w wezwaniu do złożenia
dokumentów z dnia 3 stycznia 2019 r. Odwołujący miał zatem pełną świadomość konieczności
zastosowania skrótu innego niż SHA-I i świadomie zlekceważył swoje obowiązki w tym
zakresie. Niewątpliwie to po stronie Odwołującego jako profesjonalisty — wykonawcy
ubiegającego się o udzielenie zamówienia, jest złożenie oferty i wszystkich dokumentów z
dochowaniem należytej staranności”.
Rozpoznając odwołanie Izba ustaliła i zważyła, co następuje:
Odwołanie podlega uwzględnieniu, albowiem Izba za zasadny uznała podnoszony w
odwołaniu kluczowy zarzut, braku podstaw faktycznych i prawnych do wykluczenia
Odwołującego z przedmiotowego Postępowania na podstawie art. 24 ust.1 pkt 12 ustawy Pzp.
Zamawiający w zawiadomieniu z dnia 18 stycznia 2019 r. o wykluczeniu wykonawcy
Ośrodek Aktywizacji Zawodowej i Szkoleń sp. z o.o. z siedzibą w Łodzi z postępowania w
uzasadnieniu prawnym decyzji wskazał na art. 24 ust.1 pkt 12 ustawy Pzp, a w uzasadnieniu
faktycznym stwierdził, że „Wykonawca nie wykazał spełniania warunków udziału w
postępowaniu”. Dalej podał, że: „Wykonawca przy wykazywaniu warunku udziału w
postępowaniu dotyczącego dysponowania dźwigiem o udźwigu nie mniejszym niż 5t, (pkt.
5.3.3 lit. A SIWZ) opierał się na zdolnościach innego podmiotu tj. Usługi Dźwigowe T.R. (…).
Jednakże do oferty nie załączono dla tego podmiotu ani wymaganego Jednolitego
Europejskiego Dokum
entu Zamówienia (pkt 8.2.1.11 SIWZ), ani zobowiązania do oddania
swego zasobu na potrzeby Wykonawcy składającego ofertę. W związku z powyższym
Zamawiający w dn. 3.01.2019 r. w trybie art. 26 ust. 3 Pzp wezwał Wykonawcę do uzupełnienia
ww. dokumentów”. Wskazał także w tym zawiadomieniu, że (….) Zamawiający w dn.
23.11.2018 r. (przed upływem terminu składania ofert) na swojej stronie internetowej, na której
opublikowano przedmiotowe postępowanie, zamieścił informację o konieczności stosowania
w przypadku doku
mentów opatrzonych kwalifikowanym podpisem elektronicznym funkcji
skrótu dokumentu SHA-256, oraz że dokumenty opatrzone skrótem wykorzystującym algorytm
SHA-1
nie zostaną uznane za prawidłowe. Ponadto informacja taka została również
przytoczona w treści wezwania do uzupełnienia dokumentów”. Stwierdził także w
zawiadomieniu, że: „Wykonawca w wyznaczonym terminie uzupełnił wymagane dokumenty w
tym Jednolite Europejskie Dokumenty Zamówienia w formie elektronicznej (JEDZ)
Zamawiający dokonał ich weryfikacji również w zakresie wykorzystywanego przy składaniu
elektronicznego podpisu kwalifikowanego algorytmu skrótu dokumentu”. Dalej wskazał, że:
JEDZ dotyczące zarówno Odwołującego jak i dwóch podmiotów trzecich (…) zostały złożone
prawidłowo — tj. z wykorzystaniem algorytmu SHA-256 do utworzenia skrótu dokumentu.
Natomiast JEDZ podmiotu Usługi Dźwigowe T.R. (…) wykorzystywał algorytm SHA-1 do
utworzenia skrótu dokumentu”. W treści wskazanego zawiadomienia z dnia 18 stycznia 2019
r.
Zamawiający przedstawił zrzut ekranu z programu proCentrum, którym poddał weryfikacji
złożony podpis elektroniczny dla potwierdzenia zastosowania w podpisie algorytmu SHA-1.
Dalej podał, że: (…) nie może więc uznać, że złożony JEDZ podmiotu udostępniającego
zasoby Usługi Dźwigowe T.R. jest prawidłowy, a zatem że wykazano w stosunku do tego
podmiotu brak podstaw do wykluczenia i spełnienie warunków udziału w postępowaniu”.
Stwierdził, że takie stanowisko znajduje oparcie w wyroku KIO 2428/18 i przytoczył obszerne
fragmenty jego uzasadnieni
a. Reasumując podał, ze (…) Wykonawca wezwany w trybie art.
26 ust. 3 do uzupełnienia dokumentów, nie uzupełnił ich w sposób prawidłowy, a dalsze
konwalidowanie oferty w tym zakresie nie jest dopuszczalne prawem, gdyż naruszałoby
zasadę uczciwej konkurencji I równego traktowania wykonawców. Zamawiający jest więc
zobowiązany wykluczyć wykonawcę, gdyż nie wykazał on spełniania warunków udziału w
postępowaniu”.
Mając na uwadze powyższą argumentację Izba zgodziła się z Odwołującym, że
Zamawiający w tym stanie faktycznym przesłankę z art. 24 ust.1 pkt 12 Pzp zastosował z
uwagi na złożenie dokumentu JEDZ dla podmiotu trzeciego, który został opatrzony
kwalifikowanym podpisem elektronicznym z u
życiem skrótu SHA-1, a nie z użyciem skrótu
SHA-2 dla potrzeb walidacji
tego podpisu. Innymi słowy Zamawiający stwierdził nieważność
złożonego na dokumencie JEDZ dla podmiotu trzeciego kwalifikowanego podpisu
elektronicznego i w konsekwencji uznał, że JEDZ (przedłożony w trybie uzupełnienia
dokumentów) nie został złożony, co skutkowało ustaleniem nie wykazania spełniania warunku
udziału. W konsekwencji wykluczenie wykonawcy z tego postępowania było skutkiem
wskazania
na niespełnienie warunku w postaci walidacji podpisu kwalifikowanego przy użyciu
algorytmu SHA-2,
który to warunek nie został opisany w ogłoszeniu o zamówieniu a także w
specyfikacji. Izba zwraca uwagę, że w specyfikacji w punkcie 8.2.1.6 Ramowa instrukcja
postępowania) zawarto postanowienia odnoszące się szczegółowo do wymaganego JEDZ w
wersji elektronicznej i wymaganego na tym dokumencie kwalifikowanego podpisu
elektronicznego, nie zastrzegając w tych postanowieniach obowiązku użycia algorytmu SHA-
2 dla walidacji tego podpisu. Komunikat z dnia 23 listopada 2018 r. zamieszczony na stronie
internetowej nie nawiązywał do tych postanowień, miał charakter ogólnej informacji, a zatem
Zamawiający nie mógł powoływać się w tym Postępowaniu dla pozytywnej weryfikacji podpisu
na dokumencie JEDZ na algorytm SHA-
2 jako warunek udziału, którego nie zastosowanie
powodowało dla dokumentu sankcję nieważności, a dla wykonawców w przypadku tego
Postępowania – ich wykluczenie.
Tym samym Izba za zasadny uznała zarzut naruszenia art. 24 ust. 1 pkt 12 w zw. z art.
22 ust. 1 pkt 2 Pzp,
albowiem Odwołujący został wykluczony z Postępowania de facto skutkiem
niewykazania
spełnienia warunku udziału w postępowaniu, w postaci możliwości walidacji
podpisu kwalifikowanego przy użyciu algorytmu SHA-2, gdy tymczasem powołany „warunek"
nie został wskazany przez Zamawiającego w Ogłoszeniu o zamówieniu ani w Specyfikacji
Istotnych Warunków Zamówienia. Tym samym ta okoliczność w konsekwencji nie mogła
powodować przyjęcia, że wezwany wykonawca nie złożył dokumentu JEDZ dla podmiotu
trzeciego -
Usługi Dźwigowe T.R., udostępniającego zasoby.
Odnosząc się do podnoszonego w odwołaniu zarzutu naruszenia art. 10a ust.5 ustawy
Pzp oraz art. 25 ust. 2 i 3 r
ozporządzenia Parlamentu Europejskiego i Rady (UE1 nr 910/2014
z dnia 23 lipca 2014 r. w sprawie identyfikacji
elektronicznej i usług zaufania w odniesieniu do
transakcji elektronicznych na rynku wewnętrznym oraz uchylającym dyrektywę 1999/93/WE
(r
ozporządzenie elDAS), Izba zgodziła się z Odwołującym, że Zamawiający niezasadnie uznał,
że złożony przez wykonawcę w postępowaniu dokument JEDZ podmiotu użyczającego
zasoby (trzeciego)
, podpisany został w sposób nieprawidłowy, albowiem dokument opatrzony
został ważnym podpisem kwalifikowanym, zgodnie z wymogami prawa. Potwierdza to
ustalenie Zamawiającego na które wskazał w decyzji z dnia 18.01.2019 r. dotyczącej
wykluczenia wykonawcy z Postępowania. W treści pisma przedstawił bowiem – jak już
wskazano -
rzut ekranu z programu proCentrum, którym poddał weryfikacji złożony podpis
elektroniczny, co prawda dla potwierdzenia zastosowania w podpisie algorytmu SHA-1,
jednakże w oknie dotyczącym wyniku końcowego co do podpisu znajduje się informacje, że
podpis został pozytywnie zweryfikowany. Izba zwraca także uwagę, że wskazywane
r
ozporządzenie elDAS w art. 32 ust.1 określa wymagania rozstrzygające o uznaniu podpisu
elektronicznego za kwalifikowany podpis elektroniczny. Przepis ten nie wymaga (podobnie art.
10a ust.5 ustawy Pzp)
dla ważności i uznania kwalifikowanego statusu podpisu
elektronicznego, aby podpis ten musi
ał spełniać konkretnie wskazane standardy techniczne,
ani też nie wskazuje żadnych „zabronionych” czy „dopuszczonych” algorytmów
kryptograficznych (w tym spornego SHA-2)
, których zastosowanie (lub brak) uniemożliwia
uznanie podpisu za podpis kwalifikowany,
a w konsekwencji za ważny podpis.
Tym samym stwierdzenie ważności i prawidłowości złożenia kwalifikowanego podpisu
elektronicznego na gruncie ustawy Pzp (w tym wskazanego art. 10a ust.5 ustawy Pzp)
powinno być oceniane (uwzględniając przepisy rozporządzenia eIDAS) poprzez wynik
walidacji
— przeprowadzonej przez kwalifikowanego dostawcę usług zaufania w ramach
świadczonej kwalifikowanej usługi walidacji — danego kwalifikowanego podpisu
elektronicznego.
W stanie faktycznym sprawy wynik walidacji był pozytywny.
Także odnośnie trzeciego z naruszeń art. 137 ust.1 ustawy o usługach zaufania oraz
identyfikacji elektronicznej,
Izba zgodziła się z Odwołującym, że przepis ten nie nakłada
sankcji
nieważności na podpisy złożone po dniu 1 lipca 2018 r. z uwierzytelnieniem wyłącznie
przy użyciu algorytmu SHA-1. Z brzmienia tego przepisu nie można także wywieźć podstaw
dla nieuznawania podpisu utworzonego z zastosowaniem funkcji skrótu SHA-1. Izba zwraca
uwagę, że ustawa ta w art. 18 ust.1 stanowi, że: „
Podpis elektroni
czny lub pieczęć elektroniczna
weryfikowane za pomocą certyfikatu wywołują skutki prawne, jeżeli zostały złożone w okresie
ważności tego certyfikatu”. Z kolei w jej art. 132 ust.1 ustawodawca stwierdza, że: „Zaświadczenia
certyfikacyjne, poświadczenia elektroniczne i certyfikaty wydane zgodnie z przepisami ustawy z
dnia 18 września 2001 r. o podpisie elektronicznym zachowują ważność przez okres w nich
wskazany, o ile nie zostaną unieważnione”.
Nie można zatem odmówić podpisowi elektronicznemu statusu kwalifikowanego
podpisu elektronicznego, a
już tym bardziej jego ważności wyłącznie na podstawie oceny
Zamawiającego, że podpis nie poddaje się walidacji przy zastosowaniu algorytmu SHA-2 - w
sytuacji gdy taki podpis został złożony w okresie ważności certyfikatu. Wytyczna, aby przejść
na weryfikację z użyciem SHA-2, nie rodzi, zdaniem Izby, skutku w postaci nieważności
podpisu, tym bardziej, że wg obecnej wiedzy technicznej nadal uznaje się ten podpis za
wystarczająco bezpieczny. Wydaje się, że o ważności podpisu weryfikowanego algorytmem
SHA-
1 wypowiedział się Minister Cyfryzacji, w Komunikacie z dnia 1 marca 2018 r., wskazując:
„algorytm SHA-1 nadal będzie mógł być używany przy weryfikacji". Izba wskazuje także na
argumentację Odwołującego i wskazane w odwołaniu stanowisko Powszechnego Centrum
Certyfikacji, zamieszczone na oficjalnej stronie internetowej [
„Interpretacja wchodzących w
życie przepisów określone w ustawie o identyfikacji elektronicznej oraz usługach zaufania w
zakresie stosowania funkcji
skrótu SHA-1 i SHA-2”] w myśl którego kwalifikowane certyfikaty
podpisów i pieczęci wydane do 1 lipca 2018 r. można po tej dacie stosować przy składaniu
podpisów aż do daty terminu ważności wskazanej w certyfikacie. Także wskazuje się, że
wszystkie kwalifi
kowane podpisy oraz pieczęcie elektroniczne złożone do 1 lipca 2018 r. nie
utracą ważności po tej dacie oraz, że po 1 lipca 2018r. nie ma potrzeby „aktualizacji" wydanych
wcześniej i ważnych certyfikatów. Może również warto zwrócić uwagę, że art. 137 w ust.2 -
dodanym
ustawą z dnia 5.07.2018 r. (Dz.U. z 2018 r. poz. 1544) - definiuje podmioty wobec
których ten przepis ma zastosowanie. W myśl tego przepisu: „2.
Dostawcy usług zaufania,
producenci oprogramowania oraz podmioty publiczne obowiązani są do odpowiedniego
dostosowania oprogramowania oraz systemów teleinformatycznych do zmian i terminu
określonych w ust. 1.”
To o
znacza, że tylko wskazane podmioty zobowiązane są do
przestrzegania zobowiązań z ust. 1 art. 137 ustawy o usługach zaufania oraz identyfikacji
elektronicznej
. Warto zauważyć, że wśród wskazanych podmiotów przedsiębiorcy, jedni z
kluczowych podmiotów na rynku (z wyjątkiem dostawców
usług zaufania)
nie zostali w tym
przepisie wymienieni.
Tym samym należy stwierdzić, że żaden z przepisów ustawy o usługach zaufania oraz
identyfikacji elektronicznej
jak również ustawy Pzp nie przewiduje sankcji dla przedsiębiorcy
za stosowanie skrótu SHA-1, w szczególności sankcji nieważności kwalifikowanego podpisu
elektronicznego, co podnosi
ł Odwołujący.
Mając powyższe na względzie orzeczono jak w sentencji.
O kosztach postępowania odwoławczego orzeczono na podstawie art. 192 ust. 9 i 10
ustawy Pzp
w związku z art. 186 ust.6 pkt 3 lit. b) tej ustawy stosownie do jego wyniku
uwzględniając przepisy rozporządzenia Prezesa Rady Ministrów z dnia 15 marca 2010 r. w
sprawie wysokości i sposobu pobierania wpisu od odwołania oraz rodzajów kosztów w
postępowaniu odwoławczym i sposobu ich rozliczania (Dz. U. z 2018 r. poz. 972).
………………………………..
………………………………..
………………………………..