KIO 137/19 WYROK dnia 13 lutego 2019 r.

Stan prawny na dzień: 08.03.2019

Sygn. akt: KIO 137/19 

WYROK 

z dnia 13 lutego 2019 r. 

Krajowa Izba Odwoławcza   -   w składzie: 

Przewodniczący:   Agata Mikołajczyk  

Członkowie:           Małgorzata Matecka 

Aneta Mlącka  

Protokolant:             

Marta Słoma 

po rozpoznaniu na rozprawie w dniu 8 lutego 2019 r. w Warszawie 

odwołania wniesionego w 

dniu  26 

stycznia  2019  r.  do  Prezesa  Krajowej  Izby  Odwoławczej  przez  Odwołującego  – 

Ośrodek Aktywizacji Zawodowej i Szkoleń Sp. z o.o. ul. Więckowskiego 29/5 90-727 Łódź 

w  postępowaniu  prowadzonym  przez  Zamawiającego  -  Miasto  Łódź,  Zarząd  Zieleni 

Miejskiej w Łodzi ul. Konstantynowska 8/10 94-303 Łódź, 

przy udziale wykonawcy: KTU-

Zieleń Sp. z o.o. ul. Warecka 3 91-202 Łódź zgłaszającego 

przystąpienie do postępowania odwoławczego po stronie zamawiającego 

orzeka: 

1.  U

względnia odwołanie i  nakazuje Zamawiającemu unieważnienie czynności wykluczenia 

Odwołującego z postępowania w zakresie części 1 oraz powtórzenie czynności oceny ofert 

w części 1 z uwzględnieniem oferty Odwołującego;  

Kosztami  postępowania  odwoławczego  obciąża  wykonawcę  KTU-Zieleń  Sp.  z  o.o.  ul. 

Warecka 3 91-

202 Łódź i:  

zalicza w poczet kosztów postępowania odwoławczego kwotę 15.000 zł 00 gr (słownie: 

piętnaście tysięcy złotych, zero groszy) uiszczoną przez Odwołującego tytułem wpisu od 

odwołania; 

zasądza  od  wykonawcy  KTU-Zieleń  Sp.  z  o.o.  ul.  Warecka  3  91-202  Łódź  na  rzecz 

Odwołującego kwotę 18 600 zł 00 gr (słownie: osiemnaście tysięcy sześćset złotych, zero 

groszy)  stanowiącą  koszty  postępowania  odwoławczego  poniesione  z  tytułu  wpisu  od 

odwołania oraz wynagrodzenia pełnomocnika. 


Stosownie do art. 198a i 198b ustawy z dnia 29 stycznia 2004 r. - 

Prawo zamówień publicznych 

(Dz.  U.  z  2018  r.,  poz.  1986  ze  zm.)  na  niniejszy  wyrok  -  w  terminie  7  dni  od  dnia  jego 

doręczenia  -  przysługuje  skarga  za pośrednictwem  Prezesa  Krajowej Izby  Odwoławczej  do 

Sądu Okręgowego w Łodzi. 

…………………………… 

…………………………… 

…………………………… 


Sygn. akt KIO 137/19 

Uzasadnienie 

Odwołanie  zostało  wniesione  w  postępowaniu  o  udzielenie  zamówienia  publicznego 

prowadzonym w trybie przetargu nieograniczonego na podstawie ustawy z dnia 29 stycznia 

2004 r. Prawo zamówień publicznych (Dz. U. z 2018 r. poz. 1986 ze zm.), [Pzp lub ustawa Pzp 

lub Pzp] przez zamawiającego: Miasto Łódź, Zarząd Zieleni Miejskiej w Łodzi (Zamawiający), 

którego przedmiotem jest „Usługa utrzymania terenów zieleni miejskiej w latach 2019-2021 w 

pasach  drogowych  i  na  terenach  niezabudowany

ch  na  terenie  miasta  Łodzi  na  zasadach 

określonych  we  „Wzorze  Umowy".  Wnoszący  odwołanie  wykonawca:  Ośrodek  Aktywizacji 

Zawodowej  i 

Szkoleń  Sp.  z  o.o.  z  Łodzi  (Odwołujący)  zarzucił  Zamawiającemu  działanie 

niezgodne z przepisami ustawy Pzp, polegające na wykluczeniu wykonawcy z Postępowania, 

z naruszeniem: 

1)  art. 24 ust. 1 pkt 12 w zw. z art. 22 ust. 1 pkt 2 Pzp, polegające na wykluczeniu od udziału 

w Postępowaniu Wykonawcy, w związku z rzekomym niewykazaniem spełnienia warunków 

udziału w postępowaniu, w postaci walidacji podpisu kwalifikowanego przy użyciu algorytmu 

SHA-

2,  gdy  tymczasem  powołany  „warunek"  nie  został  wskazany  przez  Zamawiającego  w 

ogłoszeniu o zamówieniu ani w Specyfikacji Istotnych Warunków Zamówienia; 

2)  art.  10a  ust.  5  Pzp  oraz  25  ust.  2 

i  3  Rozporządzenia Parlamentu  Europejskiego  i  Rady 

(UE1 nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania 

w  odniesieniu  do  transakcji  elektronicznych  na  rynku  wewnętrznym  oraz  uchylającym 

dyrektywę  1999/93/WE,  polegające  na  bezpodstawnym  uznaniu,  że  złożony  przez 

Wykonawcę  w  postępowaniu  dokument  JEDZ  podmiotu  użyczającego  Wykonawcy  swoich 

zasobów, podpisany został w sposób nieprawidłowy, pomimo iż dokument opatrzony został 

ważnym podpisem kwalifikowanym, zgodnie z wymogami prawa; 

3)  art.  137  ust.  1  ustawy  z  dnia  5  września  2016  r.  o  usługach  zaufania  oraz  identyfikacji 

elektronicznej  poprzez  jego  błędną  wykładnię  i  niewłaściwe  zastosowanie,  polegające  na 

przyjęciu,  że  przepis  ten  nakłada  sankcję  nieważności  na  podpisy  złożone  po  dniu  1  lipca 

2018r. z uwierzytelnieniem przy użyciu logarytmu SHA-1, podczas gdy powołana regulacja nie 

tylko takiej sankcji nie przewiduje, ale nawet nie mogłaby przewidywać, gdyż stałaby ona w 

oczywistej sprzeczności z art. 32 rozporządzenia Parlamentu Europejskiego i Rady (TJE) nr 

910/2014  z  dnia  23  lipca  2014  r,  w  sprawie  identyfikacji  elektronicznej  i  usług  zaufania  w 

odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylającym dyrektywę 

1999/93/WE,  oraz  aktów  i  Decyzji  wykonawczych,  o  mocy  obowiązującej  bezpośrednio  w 

każdym Państwie Członkowskim. 


Mając  powyższe  na  uwadze  wniósł  o:  (1)  Uchylenie  zaskarżonej  czynności 

wykluczenia  Wykonawcy  z  Postępowania;  (2)  Zasądzenie  od  Zamawiającego  na  rzecz 

Wykonawcy zwrotu ponies

ionych kosztów postępowania odwoławczego. 

Odwołujący  wskazał,  że  posiada  interes  w  uzyskaniu  zamówienia  stanowiącego 

przedmiot  Postępowania  oraz  poniesie  szkodę  w  wyniku  naruszenia  przez  Zamawiającego 

wskazanych  przepisów  ustawy,  gdyż  wykluczenie  Wykonawcy  a  tym  samym  ostatecznie 

odrzucenie  złożonej  przez  niego  oferty,  spowoduje  wybór  przez  Zamawiającego  oferty 

konkurenta,  pomimo  iż  oferta  Wykonawcy  jest  ofertą  znacznie  korzystniejszą  dla 

Zamawiającego. Gdyby Zamawiający nie wykluczył Wykonawcy z Postępowania, oferta przez 

niego  złożona,  jako  spełniająca  wszystkie  nałożone  Specyfikacją  wymogi,  a  zarazem 

najkorzystniejsza  cenowo,  musiałaby  zostać  wybrana  jako  najkorzystniejsza  ze  wszystkich 

złożonych w Postępowaniu ofert. Powyższe dowodzi o spełnieniu przesłanki do skorzystania 

ze środków ochrony prawnej przewidzianych w art. 179 ust. 1 ustawy Pzp. 

W uzasadnieniu w szczególności wskazał: 

Wykonawca, jako jeden z dwóch podmiotów, złożył ofertę na realizację I Części zamówienia 

publicznego pn. Usługa utrzymania terenów zieleni miejskiej w latach 2019-2021 w pasach 

drogowych i na terenach niezabudowanych na terenie miasta Łodzi obejmującej "Północny - 

Zachód"  -  utrzymanie  terenów  zieleni  miejskiej  w  pasach  drogowych  i  na  terenach 

niezabudowanych  objętych  ulicami:  Zgierska,  Nowomiejska,  Plac  Wolności,  Piotrkowska, 

Adama Mickiewicza, Bandurskiego, Krzemieniecka, Konstantynowska. W toku badania ofert, 

Wykonawca był wzywany do złożenia wyjaśnień oraz uzupełnienia dokumentów, z których to 

zobowiązań  wywiązał  się  w  terminie.  Pismem  z  dnia  18  stycznia  2019  r.  Zamawiający 

zawiadomił Wykonawcę o wykluczeniu z postępowania na podstawie art. 24 ust. 1 pkt 12 Pzp. 

Decyzja  ta  oparta  miała  zostać  na  ustaleniu  rzekomej  nieprawidłowości  użycia  algorytmu 

(SHA-

1)  przy  składaniu  podpisu  elektronicznego  w  dokumencie  JEDZ  przez  podmiot 

użyczający  Wykonawcy  swoich  zasobów.  Użycie  skrótu  SHA-1  dla  potrzeb  walidacji, 

Zamawiający  uznał  za  dyskwalifikację  czynności  jako  nieprawidłowej  oraz  stwierdził 

nieważność  złożonego  podpisu  kwalifikowanego.  W  konsekwencji  Zamawiający  uznał,  iż 

„nieprawidłowy" JEDZ przedłożony przez podmiot trzeci po wezwaniu do jego złożenia w trybie 

uzupełnienia dokumentów, nie podlega ponownemu wezwaniu do usunięcia braków. W tych 

okolicznościach stwierdzając, że Wykonawca nie wykazał spełnienia przesłanki braku podstaw 

do  wykluczenia  - 

Zamawiający  wykluczył  go  od  udziału  w  postępowaniu.  Odwołujący 

stwierdził, że Zamawiający nie sprecyzował przy tym w żadnym zakresie, z jakiej przyczyny 

walidacja  przy  użyciu  algorytmu  SHA-1  miałaby  czynić  złożony  podpis  nieważnym,  a  tym 

samym dokument opatrzony takim podpisem - 

nieprawidłowym, prowadzącym do uznania, iż 


wykonawca nie spełnił określonego przez Zamawiającego warunku. Odwołujący wskazał, że 

analiza art. 22 ust. 1 pkt 2 i ar

t. 24 ust. 1 pkt 12 Pzp prowadzi do wniosku, że z postępowania 

o  udzielenie  zamówienia  publicznego  należy  wykluczyć  wykonawcę,  który  nie  wykazał 

spełniania warunków udziału w postępowaniu określonych przez zamawiającego w ogłoszeniu 

o zamówieniu lub w zaproszeniu do potwierdzenia zainteresowania. Spełniać można tylko taki 

warunek, który został opisany, skonkretyzowany. W przypadku zaś niesformułowania warunku 

udziału  w  postępowaniu  niemożliwa  jest  ocena  jego  spełniania,  a  w  konsekwencji 

stwierdzenie,  że  wykonawcę  należy  wykluczyć  z  postępowania  z  powodu  niespełniania 

warunku  udziału  w  nim.  W  okolicznościach  niniejszej  sprawy  Zamawiający  wykluczył 

Wykonawcę z postępowania, wskazując na niespełnienie warunku w postaci walidacji podpisu 

kwalifikowanego  przy  użyciu  algorytmu  SHA-2,  choć  warunek  ten  nie  został  opisany  w 

ogłoszeniu  o  zamówieniu.  Nie  wspomniano  o  nim  również  w  treści  Specyfikacji  Istotnych 

Warunków  Zamówienia.  Co  więcej,  zakreślenie  takiego  warunku,  bez  uzasadnienia  go 

ograniczeniami  technicznymi  po 

stronie  Zamawiającego,  stanowiłoby  naruszenie  zasady 

proporcjonalności,  a  zarazem  prowadziło  do  dyskryminacji  i  nierównego  traktowania 

uczestników Postępowania. Odwołujący podkreślił, że czynność wykluczenia Odwołującego 

nie  znajduje  uzasadnienia  w  treści  dokumentów  sporządzonych  przez  Zamawiającego  dla 

potrzeb  prowadzonego  postępowania,  nie  znajduje  oparcia  w  żadnym  przepisie  prawa 

krajowego,  a  co  więcej  -  pozostaje  w  oczywistej  sprzeczności  z  przepisami  prawa 

wspólnotowego.  Dalej  podał,  że:  „W  zawiadomieniu  o  wykluczeniu  Odwołującego  z 

Postępowania, Zamawiający wskazał, iż w złożonym przez Wykonawcę JEDZ, pochodzącym 

od  podmiotu  udostępniającego  mu  Usługi  Dźwigowe  -  T.R.,  nie  potwierdzono  spełnienia 

warunku udziału w postępowaniu i braku podstaw do wykluczenia z postępowania, ponieważ 

złożony został JEDZ z podpisem elektronicznym wykorzystującym do weryfikacji skrót SHA-1, 

zamiast  SHA-

2,  co  zdaniem  Zamawiającego  spowodowało,  iż  podpis  ten  nie  mógł  zostać 

uznany za prawidłowy. Jako podstawę wykluczenia Wykonawcy powołano ogólnie art. 24 ust. 

1 pkt 12 ustawy prawo zamówień publicznych. W uzasadnieniu zaś, wskazano jednoznacznie, 

iż podstawą wykluczenia w oparciu o powołaną regulację jest okoliczność, iż Wykonawca nie 

wykazał  spełnienia  warunków  udziału  w  postępowaniu.  Zamawiający  nie  powołał  jednak 

owego  warunku  w  sposób  precyzyjny,  w  szczególności  nie  wskazał,  gdzie  ów  warunek  (w 

którym punkcie zawiadomienia lub SIWZ został nałożony), jak również nie przytoczył żadnego 

konkretnego  przepisu  prawa  ani  żadnej  okoliczności  faktycznej  leżącej  po  stronie 

Zamawiającego, które nakładałyby na Wykonawcę obowiązek weryfikacji podpisu przy użyciu 

algorytmu  SHA-

2,  a  który  mógłby  uzasadniać  brak  możliwości  uznania  podpisu 

weryfikowanego  innym  algorytmem  za  prawidłowy.  W  uzasadnieniu  zawiadomienia  o 

wykluczeniu Zamawiający przytoczył natomiast obszerny fragment orzeczenia Krajowej Izby 

Odwoławczej  z  dnia  10  grudnia  2019  r.  KIO  2428/18,  upatrujący  obowiązek  stosowania 


algorytmu  SHA-

2  dla  weryfikacji  podpisów  kwalifikowanych  w  przepisach  powszechnie 

obowiązujących  prawa  polskiego,  który  ma  najwyraźniej  uzasadniać  złożenie  podpisu 

kwalifikowanego  z  użyciem  algorytmu  SHA-1  jako  nieprawidłowe  i  przesądzać  o  jego 

nieważności.  Wyrok  Krajowej  Izby  Odwoławczej  w  innej  sprawie  nie  jest  jednak  źródłem 

prawa,  jak  również  nie  jest  wiążący  dla  rozstrzygnięcia  niniejszej  sprawy.  W  tych 

okolicznościach  uznać  należy,  iż  cytowane  orzeczenie  Zamawiający  przyjmuje  za  własne 

uzasadnienie  wykluczenia  Wykonawcy.  W  konsekwencji  oznacza  to,  iż  niespełnienia 

warunków udziału Wykonawcy w postępowaniu, Zamawiający upatruje w przepisach prawa 

powszechnie obowiązującego, zaś przepisami uznanymi przez Zamawiającego za naruszone 

przez Wykonawcę, są przepisy powołane w cytowanym wyroku. Ponadto rodzi to konieczność 

odniesienia  się  do  przyjętej  przez  Izbę  ich  interpretacji,  mimo  iż  dotyczyła  innego 

postępowania”. 

Uznanie podpisu kwalifikowanego złożonego przy użyciu skrótu SHA-1 za niespełniający 

wymogów przepisów prawa. 

Przytoczone przez Zamawiającego orzeczenie Krajowej Izby Odwoławczej z dnia 10 grudnia 

2019 r. KIO 2428/18 wskazuje, iż w opinii Składu Orzekającego w tym postępowaniu podpis 

kwalifikowany złożony po dniu 1 lipca 2018 r. przy użyciu skrótu SHA-1 nie spełnia wymogów 

określonych w art. 10a ust. 5 pzp, gdyż zgodnie z art. 137 ust. 1 ustawy z dnia 5 września 

2016 r, o usługach zaufania oraz identyfikacji elektronicznej (dalej „uzoie") funkcja skrótu SHA-

1  mogła  być  stosowana  do  składania  zaawansowanych  podpisów  elektronicznych  lub 

zaawansowanych pieczęci elektronicznych tylko do 1 lipca 2018 r.  W tym wyroku Izba orzekła, 

że od 1 lipca 2018 r, istnieje obowiązek zaprzestania stosowania SHA-1, i że obowiązek ten 

dotyczy nie tylko certyfikatów, ale także wszelkich składanych podpisów. Nadto obowiązek ten 

jest  adresowany  do  wszystkich  podmiotów  zarówno  komercyjnych,  jak  i  jednostek 

administracji  publicznej,  które  w  ramach  swoich  systemów  udostępniają  funkcjonalność 

tworzenia podpisu.  Skład Orzekający wsparł argumentację komunikatem Ministra Cyfryzacji 

z  1  marca  2018  r.  w  sprawie  wycofania  algorytmu  SHA-

1  w  zastosowaniach  związanych  z 

zaawansowanym  podpisem  i  pieczęcią  elektroniczną,  zamieszczonym  na  stronach 

Narodowego Centrum Certyfikacji.  

Zdaniem Odwołującego, ani (…) powołany w cytowanym orzeczeniu art. 10a ust. 5 pzp, ani 

żaden inny przepis tej ustawy, nie mówi o algorytmach SHA. Co więcej, również art. 137 ust. 

1  uzoie,  do  którego  odnosi  się  przywołany  w  orzeczeniu  komunikat  Ministra  Cyfryzacji  z  1 

marca 2018 r

., nie zabrania posługiwania się algorytmem SHA-1 po dniu 1 lipca 2018 r., nie 

wprowadza rygoru nieważności podpisu weryfikowanego algorytmem SHA-1, ani nie pozbawia 

takiego  podpisu  cech  kwalifikowanego  podpisu  elektronicznego.  Rygoru  takiego  nie  można 

również wywieść z art. 10a ust. 5 pzp, ani nawet z europejskiego rozporządzenia, które było 

podstawą  wprowadzenia  polskich  przepisów  (Rozporządzenie  Parlamentu  Europejskiego  i 


Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektroniczne

j i usług 

zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylającym 

dyrektywę 1999/93/WE (dalej: „eIPAS"). Komunikat Ministra Cyfryzacji mówi o konieczności 

dostosowania  aplikacji  służących  do  składania  lub  weryfikacji  podpisu  elektronicznego  do 

algorytmów  rodziny  SHA-2,  w  związku  z  utratą  przez  algorytm  SHA-1  rekomendacji 

Europejskiego  Instytutu  Norm  Telekomunikacyjnych  (zob.  ETS1  TS  119  312).  Ponadto,  w 

Komunikacie zaznaczono wprost,  że algorytm  SHA-1 nadal  będzie mógł  być  używany  przy 

weryfikacji.  Całkowicie  niezrozumiała  i  nieposiadająca  żadnego  uzasadnienia  w  przepisach 

prawa interpretacja treści art. 137 ust. 1 uzoie oraz Komunikatu Ministra Cyfryzacji, znajduje 

swe  podłoże  w  analizowaniu  dość  nieprecyzyjnie  sformułowanych  przepisów  prawa 

krajowego,  w  oderwaniu  od  wykładni  celowościowej  oraz  wspólnotowej,  prowadząc  do 

przyjęcia  wykładni  wręcz  sprzecznej  z  ideą  logicznego  ustawodawcy.  Przepisy  krajowe  nie 

funkcjonują w próżni, są konsekwencją obowiązku wprowadzenia regulacji przyjętych przez 

organy  wspólnotowe  dla  unifikacji  systemów  elektronicznych  wszystkich  Państw 

Członkowskich. Podstawowym - w zakresie analizy niniejszej sprawy - jest Rozporządzenie 

Parlamentu  Europejskiego  i  Rady  (UE)  nr  910/2014  z  dnia  23  lipca  2014  r.  w  sprawie 

identyfikacji  elektronicznej  i  usług  zaufania  w  odniesieniu  do  transakcji  elektronicznych  na 

rynku wewnętrznym oraz uchylające Dyrektywę 1999/93/WE, tzw. Rozporządzenie elDAS. 

Dla  przepisów  krajowych  bezpośrednim  skutkiem  elDAS  było  przede  wszystkim  uchylenie 

ustawy  o  podpisie  elektronicznym  z  2001  r.  oraz  redefinicja  dotychczasowego  podpisu 

kwalifikowanego, poprzez zdefiniowanie go jako „zaawansowany podpis elektroniczny, który 

jest składany za pomocą kwalifikowanego urządzenia do składania podpisu elektronicznego i 

który  opiera  się  na  kwalifikowanym  certyfikacie  podpisu  elektronicznego".  Co  istotne, 

kwalifikowany podpis elektroniczny ma taki skutek prawny, iż jest on równoważny podpisowi 

własnoręcznemu, a wydany w jednym z Państw Członkowskich, jest za taki uznawany również 

we wszystkich pozostałych Państwach, co wynika wprost z art. 25 ust, 2 i 3 rozporządzenia 

elDAS. W związku z powyższym, organy administracji publicznej w Polsce od lipca 2016 r, 

zobowiązane  są  uznawać  kwalifikowany  podpis  elektroniczny  wydany  przez  inne  kraje 

Członkowskie.  Oprócz  samego  rozporządzenia  elDAS,  tak  dla  regulacji  unijnych  jak  i 

krajowych,  znaczenie  mają  również  liczne  akty  wykonawcze  wydane  na  jego  podstawie. 

Należy do nich m.in. Decyzja Wykonawcza Komisji (UE) 2015/1506 z dnia 8 września 2015 r. 

Decyzja 1506/2015, która została wydana w związku z art. 27.5 oraz art. 37,5 wskazuje na 

normy,  które  określają formaty  referencyjne  podpisów  elektronicznych  i  dokumentów,  które 

administracja  powinna  uznawać  (co  nie  znaczy,  że  nie  może  uznawać  innych).  Do  czasu 

zmiany  przepisów  elDAS  lub  zmiany  wydanych  na  podstawie  tego  aktu  prawnego  decyzji, 

należy  dla  rozstrzygnięć  prawnych  brać  pod  uwagę  wersje  norm  wskazanych  w  tych 

przepisach, które obowiązywały z chwilą wejścia tych przepisów w życie. W decyzji 1506/2015 


wskazana jest np. konkretna norma ETSI TS 103 171 v2.1,l, a w niej (rozdział 5.1) wskazano 

dwa  konkretne  dokumenty  mówiące  o  algorytmach  kryptograficznych:  TS  102  176-1  i 

NCRYPT2  D  SPA.  Oba  dokumenty  wskazują  na  możliwość  użycia  SHA-1,  choć  go  nie 

rekomendują.  Mimo braku  rekomendacji  twórcy  normy TS  102  176-1  w  rozdziale 11  wśród 

identyfikatorów  algorytmów,  które  mogą  stanowić  podstawę  tworzenia  struktury  podpisu 

elektronicznego, podali w zestawieniu również identyfikator algorytmu SHA-1. Należy przez to 

rozumieć,  że  norma  ta,  stanowiąc  referencyjne  (choć  nie  zawsze  rekomendowane) 

odniesienie  do  stosowanych  algorytmów  w  podpisach  elektronicznych,  obejmuje  również 

algorytm  SHA-

1. Trudno  byłoby  spodziewać się  wykluczenia  tego algorytmu bez  prawnego 

wprowadzenia okresu przejściowego, gdyż algorytm ten powszechnie był stosowany, a jego 

„złamanie"  w  odniesieniu  do  dokumentów  w  obrocie  gospodarczym  jest  tylko  teoretyczne. 

Gdyby twórcy normy chcieli wykluczyć SHA-1 z obrotu, to w normie ETSI TS 103 171 v2.1.1 

uczyniliby  to  w  rozdziale  5,1  w  taki  sam  sposób,  w  jaki  uczynili  to  w  stosunku  do  MD5, 

stanowiąc: „MD5 algorithm shall not be used as digest algorithm". Rekomendacja algorytmu 

to inaczej jego „polecanie", ze względu na znaczny stopień bezpieczeństwa. Tym samym brak 

rekomendacji  oznacza  jedynie,  iż  dany  algorytm  nie  cieszy  się  już  tak  znacznym  stopniem 

bezpieczeństwa jak inne. Najistotniejsza doniosłość prawna elDAS polega na tym, iż jest ono 

stosowane  bezpośrednio  w  krajach  Członkowskich  UE,  a  więc  również  w  Polsce.  Polski 

ustawodawca  krajowy  zdecydował  się  uszczegółowić  europejski  akt  prawny  w  ustawie  o 

usługach zaufania oraz identyfikacji elektronicznej z dnia 5 września 2016 r. W uzasadnieniu 

do  tej  ustawy  wskazano:  "Ważnym  przepisem  dla  zapewnienia  ciągłości  usług  zaufania  w 

Polsce jest art. 134 (ostatecznie art 137), wskazujący na możliwość stosowania skrótu SHA-1 

do  składania  zaawansowanych  podpisów  elektronicznych  lub  zaawansowanych  pieczęci 

elektronicznych.  Dotychczas

owe  przepisy  wymagały  wprost  stosowania  tego  algorytmu,  co 

spowodowało, że oprogramowanie stosowane do składania i weryfikacji podpisów, nie było 

dostosowywane  do  innych  skrótów  rekomendowanych  w  standardzie  ETS1TS  119  312 

dotyczącej wymagań w zakresie stosowania algorytmów kryptograficznych w infrastrukturze 

podpisu elektronicznego. Mając na uwadze, że norma ta wprost nie rekomenduje dalszego 

używania  skrótu  SHA-1  ze  względu  na  możliwe  naruszenia  bezpieczeństwa,  należało 

wprowadzić  przepisy  przejściowe  umożliwiające  stopniowe  odejście  od  stosowania  tego 

skrótu."  Należy  zwrócić  uwagę,  iż  wprawdzie  ustawodawca  polski  dość  enigmatycznie 

sygnalizuje  przyczynę  odchodzenia  od  stosowania  skrótu  SHA-1,  to  kwestia  ta  pozostaje 

najistotniejsza  dla  jakichkolwiek  dalsz

ych  analiz  dotyczących  treści  art.  137  uzoie,  a  zatem 

wymaga uszczegółowienia. Wprawdzie elDAS nie odnosi się do ETSI 119 312, zasadnym jest 

wskazanie, iż zakres algorytmów możliwych do stosowania wynika pośrednio ze specyfikacji 

technicznych wskazanych w 

Decyzji 2015/1506, z których każda odnosi się w swojej treści - 

w  zakresie  rekomendowanych  funkcji  skrótu  -  do  specyfikacji  ETSI  TS  102  176-1.  Z  tej 


specyfikacji  wynika  zaś,  że  jedną  z  rekomendowanych  funkcji  jest  SHA-1  (obok  SHA-224, 

SHA-256, SHA-384, SHA- 

512, Whirpool oraz ripemdl6O)”. Odwołujący podkreślił, że: ”Gdyby 

w  międzyczasie  okazało  się,  że  faktycznie  stosowanie  SHA-1  zaczęło  zagrażać 

elektronicznemu obrotowi gospodarczemu, to europejski ustawodawca wydałby stosowny akt 

prawny o wycofaniu tego a

lgorytmu, co jednak dotychczas nie nastąpiło”. Stwierdził także, że: 

„Wnikliwa analiza treści  uzasadnienia do  polskiej  ustawy  wskazuje,  że ustawodawca chciał 

przede  wszystkim  zmobilizować  administrację  publiczną,  aby  przygotowała  się  do  zmiany, 

która  może  nastąpić  w  przyszłości,  gdyby  algorytm  został  wycofany.  Przede  wszystkim 

chodziło o to, że dotychczas wystawcy certyfikatów nie mogli stosować innych algorytmów niż 

SHA-

1, bo systemy administracji nie radziły sobie z nowszymi algorytmami. Podobnie jak nie 

radziły sobie z podpisami, które zawierały skróty treści dokumentów obliczone wg innego niż 

SHA-

1 algorytmu. Przepis ten zredagowany został w sposób nie do końca precyzyjny, ale przy 

uwzględnieniu  celu  jego  wprowadzenia,  jak  również  treści  powołanych  wyżej  nadrzędnych 

regulacji unijnych, nie może budzić żadnych wątpliwości. W sytuacji wątpliwej należy uznać 

wyższość prawa nadrzędnego, czyli wynikającego z elDAS. Dlatego usługa walidacji nie może 

nie  uznać  podpisu  z  SHA-1  za  niezaawansowany,  bo  opiera  się  na  jednolitym  prawie 

europejskim  oraz  krajowym,  które  nie  jest  (i  nie  może  być)  sprzeczne  z  europejskim. 

Okoliczność,  że  polska  ustawa  w  art.  137  uzoie  narzuca  administracji  publicznej  oraz 

dostawcom usług zaufania przejście na wyższy poziom bezpieczeństwa podpisu, nie oznacza, 

że  którykolwiek  obowiązujący  przepis  prawa  pozwala  kwestionować  ważność  podpisu  z 

algorytmem SHA-

1. Zapisy ustawowe miały na celu wymuszenie na dostawcach stosowania 

algorytmu  SHA-

2,  z  uwagi  na  okoliczność,  iż  w  niedalekiej  przyszłości  na  rynku  będą 

funkcjonować wyłącznie takie - bezpieczniejsze - podpisy. O tym jednak nie zadecyduje we 

własnym  zakresie  ustawodawca  krajowy  -  w  pierwszej  kolejności  zmiany  te  obejmą 

ustawodawstwo europejskie, to zaś do chwili obecnej nie nastąpiło”. Zdaniem Odwołującego, 

„Koniecznym jest zwrócenie również uwagi na kolejny, odrębny, choć niezwykle istotny aspekt 

błędnego uznania, iż treść art. 137 ust. 1 uzoie stanowi granicę czasową, po której podpis z 

algorytmem SHA-

1 miałby zostać uznany za złożony nieprawidłowo. Uwzględniając wskazane 

wyżej  zastosowanie  wprost  elDAS  we  wszystkich  krajach  członkowskich,  a  tym  samym 

dopuszczalność  algorytmu  SHA-1  w  innych  krajach  przy  jednoczesnej  jego 

niedopuszczalności  w  Polsce,  przepis  taki  różnicowałby  sytuację  prawną  wykonawców  z 

innych  Państw  Członkowskich,  którzy  na  równych  prawach  uczestniczą  w  obrocie,  w  tym 

również  postępowania  o  udzielenie  zamówienia  publicznego  przez  podmioty  polskie. 

Przedmiotowe rozróżnienie ich sytuacji prawnej nakazywałoby uznanie podpisów złożonych 

przez  wykonawców  z  innych  Państw  Członkowskich  za  nieprawidłowe  i  podlegające 

odrzuceniu, pomimo iż odpowiadałyby standardom narzuconym przez prawo unijne, Sytuacja 

taka  byłaby  niedopuszczalna.  W  momencie  walidacji  kwalifikowanego  podpisu 


elektron

icznego  nie  ma  możliwości  ustalenia,  na  podstawie  przepisów  którego  państwa 

powstał  dany  podpis.  Podpis  należy  weryfikować  zawsze  na  zgodność  podpisu  z 

wymaganiami artykułu 32 rozporządzenia elDAS i przepisami wykonawczymi obowiązującymi 

jednolicie w całej Unii Europejskiej. Tylko w ten sposób można zapewnić interoperacyjność 

kwalifikowanego  podpisu  elektronicznego  i  szerzej  wszystkich  kwalifikowanych  usług 

zaufania,  co  było celem i  jest  celem  całego procesu  legislacyjnego  prowadzonego w  UE  w 

ostatnich  lata

ch. Należy również podkreślić, iż algorytm SHA-1 nie jest rekomendowany do 

stosowania przy tworzeniu podpisów zaawansowanych wyłącznie ze względu na możliwość 

(w  przyszłości,  w  nieokreślonej  perspektywie  czasowej)  dokonania  jego  „złamania"  oraz 

manipulacji 

dokumentem,  który  podpisem  został  opatrzony.  Mimo  sygnalizowania  takiego 

ryzyka,  nadal  poziom  bezpieczeństwa  kryptograficznego  pozostaje  na  tyle  wysoki,  iż  przy 

obecnej  wiedzy  technicznej  gwarantuje  bezpieczeństwo.  Dlatego  też  algorytm  SHA-1  nie 

został  „zakazany"  żadna  decyzja  ani  innym  aktem  wykonawczym.  Brak  rekomendacji  w 

żadnym zakresie nie stanowi zakazu wykorzystywania. Zaprzestanie stosowania funkcji SHA-

1  przez  polską  administrację  publiczną  w  żadnym  zakresie  nie  oznacza,  że  nie  wolno  jej 

uznawać  podpisów  elektronicznych  utworzonych  przy  zastosowaniu  SHA-1,  również  po 

wejściu  w  życie  art.  137  uzoie.  Przeciwna  wykładnia  doprowadziłaby  do  paradoksalnej 

sytuacji,  w  której  polskie  urzędy  miałyby  obowiązek  łamać  przepisy  unijne  poprzez 

nieuznawanie statu

su wszystkich kwalifikowanych podpisów wykorzystujących SHA-1, którymi 

opatrzone są dokumenty przekazywane z innych Państw Członkowskich. Tym bardziej, że w 

chwili walidacji (tj. weryfikacji) danego podpisu elektronicznego, nie ma możliwości ustalenia, 

na 

podstawie przepisów którego z Państw Członkowskich dany podpis powstał. W związku z 

tym,  podpis  należy  zawsze  weryfikować  wg  wymogów  art,  32  elDAS,  oraz  przepisów 

wykonawczych, jednolitych dla całej Unii Europejskiej. Tylko w ten sposób interoperacyjność 

k

walifikowanego podpisu, jako nadrzędny cel procesu legislacyjnego prowadzonego w Unii, 

może zostać zrealizowana. 

Bezpodstawność  uznania  podpisu  weryfikowanego  przy  pomocy  algorytmu  SHA-1  za 

nieważny. 

Odrębną  kwestią  pozostaje  całkowicie  bezpodstawne  odebranie  przez  Zamawiającego 

kwalifikowanemu  podpisowi  weryfikowanemu  przy  pomocy  algorytmu  SHA-1  waloru 

„ważności". Nie można odmówić podpisowi elektronicznemu statusu kwalifikowanego podpisu 

elektronicznego,  a  już  tym  bardziej  jego  ważności  wyłącznie  na  podstawie  „oceny 

Zamawiającego".  Przepis  art.  137  polskiej  ustawy  o  usługach  zaufania  oraz  identyfikacji 

elektronicznej nie zawiera rygoru nieuznawania podpisu utworzonego z zastosowaniem funkcji 

SHA-

1 jako podpisu zaawansowanego. Co więcej takiego rygoru polska ustawa nie mogłaby 

zawierać, a tym bardziej nie można go domniemywać, gdyż byłoby to sprzeczne z przepisami 


nadrzędnymi wynikającymi z rozporządzenia UE 910/2014 (elDAS), które takiego rygoru nie 

przewidują  dla  zaawansowanych,  a  co  za  tym  idzie  również  dla  kwalifikowanych  podpisów 

elektronicznych tworzonych w oparciu o SHA-

1. Ani przepisy art. 137 uzoie, ani żaden inny 

przepis  prawa  polskiego  (a  tym  bardziej  nadrzędne  normy  unijne)  nie  przewidują  sankcji 

nieważności podpisu w związku z użytym do jego weryfikacji algorytmem SHA-1, Wytyczna, 

aby  przejść  na  weryfikację  SHA-2,  nie  rodzi  skutku  w  postaci  nieważności  podpisu,  tym 

bardziej,  że  wg  obecnej  wiedzy  technicznej  nadal  uznaje  się  ten  podpis  za  wystarczająco 

bezpieczny.  Co  więcej,  o  ważności  podpisu  weryfikowanego  algorytmem  SHA-1  wprost 

wypowiedział się Minister Cyfryzacji, w cytowanym już Komunikacie z dnia 1 marca 2018 r., 

wskazując: „ algorytm SHA-1 nadal będzie mógł być używany przy weryfikacji". 

Odwołujący  wskazał  na  stanowisko  Powszechnego  Centrum  Certyfikacji,  zamieszczone  na 

oficjalnej  stronie  internetowej:  „Interpretacja  wchodzących  w  życie  przepisów  określone  w 

ustawie  o  identyfikacji  elektronicznej  oraz  usługach  zaufania  w  zakresie stosowania  funkcji 

skrótu SHA-1 i SHA-2. Interpretacja wchodzących w życie przepisów określone w ustawie o 

identyfikacji elektronicznej oraz usługach zaufania w zakresie stosowania funkcji skrótu jest 

następująca: 

1. Wszystkie kwalifikowane certyfikaty podpisy i pieczęci wydane do 1 lipca 2018 r. można po 

tej  dacie  s

tosować  przy  składaniu  podpisów  aż  do  daty  terminu  ważności  wskazanej  w 

certyfikacie. Na przykład w przypadku certyfikatu dwuletniego wydanego w czerwcu 2018 r. 

nie będzie jego użytkownik potrzebował nowego certyfikatu do czerwca 2020 roku. 

2. Po 1 lipca 

2018 r. wszystkie nowo wydawane certyfikaty będą bazować na funkcji skrótu 

innej niż SHA-1 (głównie SHA-2) i będą miały zmienioną składnię (notację) zapisanych w nich 

niektórych  atrybutów  (danych).  Dlatego  oprogramowanie  podpisujące  i  weryfikujące  musi 

sob

ie z tym „poradzić" oraz nadal obsługiwać certyfikaty wydane wcześniej, czyli przed 2 lipca 

2018  r.  bazujące  na funkcji  skrótu  SHA-1. Wszystkie kwalifikowane podpisy  oraz  pieczęcie 

elektroniczne złożone do 1 lipca 2018 roku przy zastosowaniu funkcji skrótu SHA-1 nie utracą 

swojej ważności po tej dacie. 

3. Wszystkie stosowane w różnych systemach i usługach oprogramowania tworzące podpisy 

(i pieczęcie) po 1 lipca 2018 r. nie mogą używać funkcji SHA-1, czyli muszą tworzyć podpisy 

wyliczając  skrót  treści  podpisywanych  dokumentów  za  pomocą  nowych funkcji,  np.  SHA-2, 

niezależnie czy zastosowany przez podpisującego certyfikat był opatrzony pieczęcią wystawcy 

bazującej  na skrócie SHA-1,  czy  SHA-2. W przypadku  certyfikatów  kwalifikowanych należy 

jednoznacznie  stwierd

zić,  że  po  1  lipca  2018r.  nie  będzie  żadnej  potrzeby  „aktualizacji" 

wydanych  wcześniej  i  ważnych  certyfikatów.  Żaden  wystawca  nie  będzie  z  tego  powodu 

proponował nowego certyfikatu. Choć mogła być inna potrzeba uzyskania nowego certyfikatu, 

nawet  przed  lip

cem  2018r.,  gdyż  niektóre  systemy,  szczególnie  zagraniczne  ze  względów 

technicznych mogą nie akceptować wydanych „po staremu" certyfikatów." 


Informacje zamieszczone przez Zamawiającego na stronie internetowej oraz w kierowanej 

do Wykonawcy korespondencji* 

Odnosząc powołane wyżej okoliczności do stanu faktycznego Postępowania należy wskazać, 

że działania Zamawiającego dotknięte były wadą jeszcze przed wykluczeniem Wykonawcy z 

Postępowania. Już samo zamieszczenie na stronie internetowej Zamawiającego informacji z 

dnia 23 listopada 2018 r., o treści: „[...] Algorytm SHA-1 zgodnie z art. 137 ustawy z dnia 5 

września 2016 r. o usługach zaufania [...] z dniem 1 lipca utracił ważność. Więcej na stronie 

Narodowego  Banku  Polskiego  pod  adresem  https:lfwww.nccerLpllkomunikaty2018.htm"t 

stanowiło  czynność  niedopuszczalną/  wprowadzającą  w  błąd  i  wskazującą  informacje 

niezgodne z prawem. Co istotne, pod wskazanym adresem NBP nie zawarto żadnej informacji 

o utracie ważności algorytmu, Na stronie tej opublikowało komunikat o treści: „Narodowy Bank 

Polski uprzejmie informuje, iż zgodnie z art. 137 ustawy z dnia 5 września 2016 r. o usługach 

zaufania  oraz  identyfikacji  elektronicznej  (Dz.  U.  2026,  poz.  1579)  z  dniem  1  lipca  br.  w 

Narodowym  Centrum  Certyfikacji  zaprzestano  wykorzystywania  algorytmu  SHA-1.  Oznacza 

to,  iż  od  dnia  2  lipca  br.  wszystkie  certyfikaty  dostawców  usług  zaufania  oraz  listy 

unieważnionych certyfikatów są generowane z użyciem algorytmów z rodziny SHA2 (SHA256 

w przypadku urzędu NCCert2009 oraz SHA512 w przypadku urzędu NCCert2016)," 

Z  faktu  zaprzestania  wykorzystywania  algorytmu  przez  Narodowe  Centrum  Certyfikacji  nie 

płynie żadne źródło prawa, jest to jedynie informacja, W związku z tym, zawarta na stronie 

Zamawiającego informacja o  utracie ważności  algorytmu  była niezgodna  z  aktualnym  w  tej 

dacie stanem prawnym. Zamawiający nie jest uprawniony do modyfikowania przepisów prawa 

powszechnie  obowiązującego  wg  własnych,  niczym  niepodyktowanych  interpretacji.  W 

konsekwencji, również zawarta w dalszej części informacji Zamawiającego z dnia 23 listopada 

2018 r. wytyczna (powielona w wezwaniach kierowanych do Wykonawcy), zgodnie z którą „W 

przypadku  dokumentu  złożonego  z  podpisem  używającym  algorytmu  SHA-1  nie  będzie  on 

mógł zostać uznany za prawidłowy", jako nie znajdująca żadnego uzasadnienia prawnego, nie 

mogła  nałożyć  na Wykonawców  obowiązku  stosowania  „wyłącznie"  algorytmu  SHA-2.  Tym 

bardziej,  że weryfikacja podpisu może zostać  oparta  o  znaczniej  więcej algorytmów,  nawet 

jeśli  Zamawiającemu  znane  są  wyłącznie  SHA-1  i  SHA-2.  Jedynym,  dopuszczonym  przez 

elDAS  uzasadnieniem  odrzucenia  przez  Zamawiającego  dokumentu  podpisanego  ważnym 

kwalifikowanym  podpisem  elektronicznym  może  być  powołanie  się  na  ograniczenia 

techniczne, które nie pozwalają mu na dokonanie prawidłowej analizy dokumentu ze względu 

na  zastosowany  w  podpisie  specyficzny,  nieobsługiwany  powszechnie  algorytm 

kryptograficzny. Ale w omawianym przypadku, taka okoliczność nie miała miejsca.  Co więcej, 

gdyby  sytuacja  taka  zaistniała,  Zamawiający  poinformowałby  o  niej  Wykonawców  w  treści 


SIWZ,  czyniąc  tym  samym  wymóg  stosowania  algorytmu  SHA-2  warunkiem  sine  ąua  non 

pozytywnej weryfikacji treści składanych ofert. Tymczasem, Zamawiający ani w treści SIWZ, 

ani  w  treści  informacji  z  dnia  23  listopada  2018  r.,  ani  nawet  w  treści  kierowanych  do 

Wykonawcy wezwań do składania wyjaśnień i uzupełniania dokumentów, nigdy nie powołał 

takiej okoliczności, W związku z tym, „wymóg" weryfikacji przy użyciu określonego algorytmu 

nie może stanowić warunku prawidłowej oceny złożonych w Postępowaniu dokumentów. Jak 

wskazuje  jednolite,  utrwalone  orzecznictwo  Krajowej  Izby  Odwoławczej:  „O  udzielenie 

zamówienia mogą ubiegać się wykonawcy, którzy spełniają warunki udziału w postępowaniu, 

o  ile  zostały  one  określone  przez  zamawiającego  w  ogłoszeniu  o  zamówieniu  lub  w 

zaproszeniu  do  potwierdzenia  zainteresowania  (art.  22  ust  1  pkt  2  ustawy  Pzp).  Zaś  z 

postępowania  o  udzielenie  zamówienia  publicznego  wyklucza  się  wykonawcę,  który  nie 

wykazał  spełniania  warunków  udziału  w  postępowaniu  (art  24  ust.  1  pkt  12  ustawy  Pzp). 

Analiza powołanych wyżej przepisów skłania do konstatacji, że z postępowania o udzielenie 

zamówienia  publicznego  należy  wykluczyć  wykonawcę,  który  nie  wykazał  spełniania 

warunków  udziału  w  postępowaniu,  sformułowanych  przez  zamawiającego.  Zatem,  ocena 

możliwości ubiegania się o udzielenie zamówienia następuje w oparciu o warunki udziału w 

postępowaniu, które przez zamawiającego zostały wyartykułowane. Spełniać bowiem można 

tylko taki warunek, który został opisany, skonkretyzowany. W przypadku zaś niesformułowania 

warunku udziału w  postępowaniu niemożliwa jest  ocena  jego  spełniania,  a w konsekwencji 

stwierdzenie,  że  wykonawcę  należy  wykluczyć  z  postępowania  z  powodu  niespełniania 

warunku  udziału  w  nim”.  Podkreślił,  że  sytuacja  dotycząca  dopuszczalności  bądź 

niedopuszczalności wykorzystania konkretnego algorytmu walidacji byłaby odmienna, gdyby 

Zamawiający  uznał  go  za jeden  z  warunków  udziału  w  Postępowaniu.  W takim  przypadku, 

(choć  przy  ewentualnej  ocenie  proporcjonalności  jego  ustanowienia,  o  czym  niżej)  miałby 

podstawę  do  dokonywania  oceny,  czy  warunek  został  spełniony  czy  też  nie.  Tymczasem 

nieuzasadniony w niniejszym Postępowaniu warunek (wymóg) stosowania algorytmu SHA-2 

przy  weryfikacji  podpisu  kwalifikowanego  Wykonawcy,  zost

ał  przez  Zamawiającego 

wprowadzony do postępowania niejako „dodatkowo". Nie tylko nie został wskazany w treści 

ogłoszenia  o  zamówieniu  ani  w  Specyfikacji  Istotnych  Warunków  Zamówienia,  czy  też 

chociażby  jako  zmiana  Specyfikacji,  ale  również  nie  pojawił  się  w  nim  jako  ewentualne 

wyjaśnienie  jej  treści.  Jak  podkreśla  w  swych  orzeczeniach  Krajowa  Izba  Odwoławcza: 

„Problematyka  wyjaśniania  i  zmiany  treści  specyfikacji  istotnych  warunków  zamówienia 

została uregulowana w art. 38 Pzp. Przepis art. 38 Pzp. wyraźnie rozróżnia wyjaśnienia do 

SIWZ od zmiany treści SIWZ. Wyjaśnianie i zmiana treści SIWZ co do zasady są czynnościami 

o odmiennym celu i znaczeniu. Wskazać należy; że wyjaśnienia treści SIWZ należy traktować 

jako uszczegółowienie, ewentualnie doprecyzowanie opisu zawartego w SIWZ. Wyjaśnienie 

treści SIWZ bez jego zmiany nie może stanowić podstawy wprowadzenia przez wykonawcę 


innego  wymagania,  czy  przyzwolenia  niż  wprost  zawarte  w  treści  SIWZ  (por.  wyroki  KIO 

917/10; wyrok KIO 836/11)."  Wyjaśnienia treści siwz, o których mowa w art. 38 ust. 2 ustawy, 

stanowią uszczegółowienie, ewentualnie doprecyzowanie opisu zawartego w siwz w zakresie 

przedstawionym  przez  wykonawców  występujących  z  zapytaniami  Zatem,  wyjaśnienie  nie 

może stanowić podstawy wprowadzenia innego wymagania niż zawarte w treści siwz, w tym 

przypadku  wyeliminowania  możliwości  stosowania  urządzenia  dopuszczonego  pierwotnie; 

jako dowolne  elementy, ewentualnie inne urządzenia.  Izba  uznała,  że udzielenie  wyjaśnień 

rozbieżnych  z  pierwotną  treścią  siwz,  zawężających  rodzaj  urządzeń  oddziaływania,  jak 

zgodnie potwierdzono na rozprawie, wykracza poza możliwość wynikającą z treści przepisu 

art. 38 ust 2 ustawy ”  Ostatecznie: „Wyjaśnić można treść czegoś co istnieje, dodanie nowej 

możliwości  nie jest  wyjaśnieniem,  lecz  zmianą  SIWZ, która winna powodować zmianę jego 

postanowień."    Informacja  Zamawiającego  dotycząca  wymogu  uwierzytelniania  podpisu 

kwalifikowanego przy użyciu algorytmu SHA-2 została zamieszczona na stronie internetowej 

jako swoiste, nieukonstytuo

wane w ustawie „zwrócenie szczególnej uwagi" (cyt. z pierwszego 

akapitu pisma z dnia 23 listopada 2018 r.), iż dokumenty weryfikowane tym algorytmem nie 

będą uznawane za prawidłowe. Skoro jednak taki wymóg nie znajduje podstawy w przepisach 

powszechnie  obo

wiązujących,  ani  wśród  wymogów  narzuconych  treścią  SIWZ,  to  należy 

uznać,  iż  jest to  wymóg nie tylko  nieuzasadniony,  ale  również  niedopuszczalny.  Co więcej, 

gdyby nawet wymóg uwierzytelniania podpisu kwalifikowanego przy użyciu algorytmu SHA-2 

został zamieszczony w ogłoszeniu o postępowaniu bądź w SIWZ (co w przypadku, gdyby taki 

obowiązek  Zamawiający  wyinterpretował  przez  błędną  analizę  art.  137  uzoie,  musiałoby 

zostać  zaznaczone  właśnie  na  etapie  ogłoszenia  o  postępowaniu,  które  miało  miejsce  2 

miesiące  po  wejściu  w  życie  rzeczonego  przepisu),  a  zarazem  nie  byłoby  podyktowane 

możliwościami  technicznymi  samego  Zamawiającego,  to  wymóg  ten  musiałby  zostać 

zweryfikowany  pod  względem  dopuszczalności  jego  wprowadzenia  w  aspekcie 

proporcjonalności.  Jak  wskazuje  Krajowa  Izba  Odwoławcza  w  wyroku  KIO  714/17:  „I...]  w 

nawiązaniu do art. 22 ust 1a pzp: Zamawiający określa warunki udziału w postępowaniu oraz 

wymagane  od  wykonawców  środki  dowodowe  w  sposób  proporcjonalny  do  przedmiotu 

zamówienia  oraz  umożliwiający  ocenę  zdolności  wykonawcy  do  należytego  wykonania 

zamówienia;  w  szczególności  wyrażając  je  jako  minimalne  poziomy  zdolności  (...)  zasada 

proporcjonalności oznacza, że opisane przez zamawiającego warunki udziału w postępowaniu 

musza  być  uzasadnione  wartością  zamówienia,  charakterystyką,  zakresem,  stopniem 

złożoności  lub  warunkami  realizacji  zamówienia.  Nie  powinny  ograniczać  dostępu  do 

zamówienia  wykonawcom  dającym  rękojmię  należytego  jego  wykonania.  W  orzecznictwie 

TSUE  określenie  "proporcjonalny"  używane  jest  w  znaczeniu  "zachowujący  właściwą 

proporcję". W wyroku z dnia 16 września 1999 r., C-414199 K. W. E. v. K. H., ETS wskazał, 

że  ocena,  czy  podjęte  środki  są  zgodne  z  TWE,  wymaga  tzw.  testu  proporcjonalności 


polegającego na wykazaniu, czy podjęte działania są adekwatne i konieczne do osiągnięcia 

wybranego  celu.  Zamawiający  jest  zobowiązany  zachować  niezbędna  równowagę  miedzy 

interesem polegającym na uzyskaniu rękojmi należytego wykonania zamówienia a interesem 

potencjalnych wykonawców, których nie można przez wprowadzenie nadmiernych wymagań 

z  góry  eliminować  z  udziału  w  postępowaniu.  Opis  spełniania  warunków  udziału  w 

postępowaniu  winien  być  odpowiedni  do  osiągnięcia  celu,  jakiemu  służy,  tj.  wyboru 

wykonawcy  dającego  rękojmię  należytego  wykonania  zamówienia  i  nie  ograniczającego 

dostępu  do  zamówienia  wykonawcom  zdolnym  do  jego  wykonania."  Tymczasem  nie  ulega 

wątpliwości, iż sposób weryfikacji podpisu przez dostawcę dźwigu nie mógłby mieć żadnego, 

nawet  najmniejszego  znaczenia  dla  prawidłowości  zagospodarowania  zieleni,  co  stanowiło 

przedmiot Postępowania. Podsumowując stwierdził, że wykluczenie Wykonawcy od udziału w 

Postępowaniu, nie miało żadnego uzasadnienia prawnego, ani faktycznego. Było w związku z 

tym czynnością nieuzasadnioną i niedopuszczalną.  

Zamawi

ający w odpowiedzi na odwołanie (pismo z dnia 7 lutego 2019 r.) powołując 

się na art. 186 ust.2 ustawy Pzp oświadczył, że uwzględnia w całości zarzuty przedstawione 

w odwołaniu.  

Do  postępowania  odwoławczego  po  stronie  Zamawiającego  przystąpił 

wykonawca: KTU- 

Zieleń sp. z o.o. z siedzibą w Łodzi (Przystępujący) wnosząc o oddalenie 

odwołania (pismo z dnia 29 stycznia 2019 r.), a wobec decyzji Zamawiającego o uwzględnieniu 

odwołania na posiedzeniu w dniu 8 lutego 2019 r. wniósł  do protokołu na podstawie art. 186 

ust.5 ustawy Pzp sprzeciw, podtrzymując argumentację co do niezasadności podnoszonych 

w odwołaniu zarzutów.  

W powołanym piśmie z dnia 29 stycznia 2019 r. Przystępujący w szczególności podał, 

że: „Odwołujący nieprawidłowo uznaje podpisanie dokumentów przy użyciu kwalifikowanego 

podpisu  elektronicznego,  z  wykorzystaniem  algorytmu  SHA-

2,  za  warunek  udziału  w 

postępowaniu  określony  przez  Zamawiającego,  który  powinien  znaleźć  swoje 

odzwierciedlenie w treści ogłoszenia o zamówieniu lub SIWZ. W związku z tym Odwołujący 

nieprawidłowo  wywodzi,  że  w  sytuacji,  gdy  konieczność  stosowania  wskazanego  wyżej 

algorytmu nie została sprecyzowana w treści SIWZ, to warunek ten nie został dostatecznie 

skonkretyzowany,  a  od  Odwołującego  nie  można  było  wymagać  jego  spełniania.  Czynione 

przez  Odwołującego  założenia  są  oczywiście  błędne.  Wymóg  stosowania  określonego 

algorytmu do podpisywania dokumentów kwalifikowanym podpisem elektronicznym, czy też 

ujmując problem z większą precyzją - brak możliwości stosowania przestarzałego algorytmu 

SHA-

I, nie wynika z wymagań Zamawiającego sformułowanych na potrzeby tego konkretnego 


przetargu, ale z treści ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji 

elektronicznej.  Skoro  przepis  art.  137  wskazanej  wyżej  ustawy  wskazuje  wprost,  że  do 

składania  podpisów  elektronicznych  można  stosować  funkcję  skrótu  SHA-I  do  dnia  1  lipca 

2018 r, ergo 

— po tej dacie stosowanie tego skrótu nie jest dopuszczalne. Wbrew stanowisku 

Odwołującego  nie  jest  konieczne  odrębne  wskazanie  wprost  w  treści  ustawy  zakazu 

stosowania  funkcji  skrótu  SHA-I  po  I  lipca  2018  r.  czy  wskazanie  konsekwencji  w  postaci 

uznania podpisu kwalifikowanego za nieważny, ponieważ skutki wynikają z określenia wprost 

daty  granicznej  do  jakiej  algorytm  SHA-

I  mógł  być  stosowany.  Art.  87  ustawy  o  usługach 

zaufania oraz identyfikacji elektronicznej wprowadził zmianę do art. 10a ust. 5 ustawy Prawo 

zamówień publicznych przez wskazanie, że oferty, oświadczenia, w tym jednolity dokument, 

sporządza  się,  pod  rygorem  nieważności,  w  postaci  elektronicznej,  i  opatruje  się 

kwalifikowanym  podpisem  elektronicznym.  Przy  czym  zgodnie  z  art.  137  ustawy  z  dnia  5 

września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej - po dniu 1 lipca 2018 r. 

kwalifikowany  podpis  elektroniczny 

nie  może  być  złożony  przy  zastosowaniu  funkcji  skrótu 

SHA-

I (wykładnia a contrario). Tym samym złożenie po dniu I lipca 2018 r. dokumentu JEDZ 

z  wykorzystaniem  do  złożenia  podpisu  elektronicznego  funkcji  skrótu  SHA-I,  nie  stanowi 

złożenia dokumentu opatrzonego kwalifikowanym podpisem elektronicznym. Dokument JEDZ 

nie  może  wobec  tego  zostać  uznany  za  ważny,  co  wprost  wynika  z  art.  10a  ust  5  PZP. 

Konieczność  stosowania  do  składania  kwalifikowanych  podpisów  elektronicznych,  funkcji 

skrótów  dopuszczalnych  w  świetle  aktualnie  obowiązującego  prawa  o  randze  ustawy,  nie 

wymaga formułowania dodatkowych wymogów w treści ogłoszenia o zamówieniu czy w treści 

SIWZ. Obowiązek opatrzenia dokumentu podpisem kwalifikowanym wynika wprost z art. 10a 

ust.  5  ustawy  Prawo  zamówień  publicznych.  Skoro  dokument  JEDZ  nie  został  opatrzony 

podpisem,  który  w  świetle  ustawy  z  dnia  5  września  2016  r.  o  usługach  zaufania  oraz 

identyfikacji  elektronicznej  spełnia  wymogi  elektronicznego  podpisu  kwalifikowanego,  to  de 

facto 

uznać  należy,  że  nie  został  przez  wykonawcę  złożony.  Warunkiem  udziału  w 

postępowaniu  nie  jest  w  tym  przypadku  posługiwanie  się  właściwą  funkcją  skrótu,  ale 

wykazanie,  że  wykonawca  dysponuje  wymaganym  przez  Zamawiającego  sprzętem. 

Spełnienie  tego  warunku  wymaga,  w  przypadku  powoływania  się  na  zasoby  podmiotu 

trzeciego, złożenia dokumentu JEDZ dotyczącego tego podmiotu. Wykonawca — z przyczyn 

wskazanych  wyżej  nie  złożył  dokumentu  JEDZ  dotyczącego  podmiotu  udostępniającego 

zasoby. Stanowisko Odwołującego, że przyczyną jego wykluczenia jest niespełnienie warunku 

dotyczącego walidacji podpisu kwalifikowanego przy użyciu algorytmu SHA-2 jest oczywiście 

błędne.  Przyczyną  wykluczenia  Odwołującego  było  niezłożenie  dokumentu  JEDZ  w 

odniesieniu do  podmiotu,  na którego zasoby  powoływał  się Odwołujący  w  postępowaniu,  a 

tym samym niewykazanie spełniania warunków udziału w postępowaniu w zakresie sprzętu 

wymaganego  przez  Zamawiającego.  Wbrew  twierdzeniom  Odwołującego,  Zamawiający 


wskazał  jednoznacznie  (str.  2  pisma  z  dnia  18.01.2019  r.  informującego  o  wykluczeniu 

Odwołującego),  że  przyczyną  wykluczenia  jest  niewykazanie  przez  Wykonawcę  braku 

podstaw  do  wykluczenia  i  spełniania  warunków  udziału  w  postępowaniu  w  stosunku  do 

podmiotu udostępniającego zasoby — firmy Usługi Dźwigowe T.R.. Nie jest również prawdą 

wskazane w odwołaniu twierdzenie, że Zamawiający nie wskazał konkretnego przepisu prawa, 

który  uzasadniałby  brak  możliwości  uznania  podpisu  weryfikowanego  algorytmem  SHA-I. 

Zamawiający wprost powołał bowiem brzmienie art. 137 ustawy z dnia 5 września 2016 r. o 

usługach zaufania oraz identyfikacji elektronicznej, z którego brak takiej możliwości wynika”. 

Dalej  podał,  że:  „Nie  można  się  zgodzić  z  Odwołującym,  że  wykluczenie  możliwości 

stosowania  algorytmu  SHA-

1  wymaga  w  pierwszej  kolejności  zmiany  przepisów  prawa 

europejskiego. Normy europejskie 

— obszernie przytoczone w odwołaniu zalecają wycofanie 

stosowania  tego  algorytmu.  Natomiast  norma  krajowa  stanowi  wyraz  implementacji  tych 

zaleceń,  uszczegóławia  je  i  stanowi  prawo  powszechnie  obowiązujące  w  Polsce.  Nie  jest 

również w żaden sposób sprzeczna z przepisami europejskimi. Biorąc pod uwagę, że przepisy 

rangi ustawy obowiązują zarówno wykonawców jak i Zamawiającego, Zamawiający miał nie 

tylko  prawo,  ale  również  ustawowy  obowiązek  wymagać,  by  złożone  podpisy  elektroniczne 

były  podpisami  kwalifikowanymi  w  rozumieniu  ustawy,  co  wobec  jej  brzmienia  wyklucza 

stosowanie  skrótu  SHA-1”.  Stwierdził  ponadto,  że:  „Odwołujący  zdawał  sobie  sprawę  z 

konieczności  stosowania  algorytmu  SHA-2,  skoro  skutecznie  go  zastosował  do  złożenia 

chociażby JEDZ dotyczącego bezpośrednio Odwołującego - OAZiS sp. z o.o. Odwołujący miał 

obowiązek  znać  przepisy  ustawy  i  je stosować.  Nie bez  znaczenia pozostaje,  że stosowna 

informacja,  zwracająca  uwagę  wykonawców  na  brak  możliwości  stosowania  skrótu  SHA-I, 

została  zamieszczona  na  stronie  internetowej  Zamawiającego.  Informację  tą  podkreślono 

również  w  kierowanej  do  Odwołującego  korespondencji  zarówno  w  piśmie  zwracającym 

uwagę  wszystkich  wykonawców  na  brak  możliwości  stosowania  skrótu  SHA-I  wobec  treści 

ustawy  o  usługach  zaufania  oraz  identyfikacji  elektronicznej,  jak  i  w  wezwaniu  do  złożenia 

dokumentów z dnia 3 stycznia 2019 r. Odwołujący miał zatem pełną świadomość konieczności 

zastosowania  skrótu  innego  niż  SHA-I  i  świadomie  zlekceważył  swoje  obowiązki  w  tym 

zakresie.  Niewątpliwie  to  po  stronie  Odwołującego  jako  profesjonalisty  —  wykonawcy 

ubiegającego  się  o  udzielenie  zamówienia,  jest  złożenie  oferty  i  wszystkich  dokumentów  z 

dochowaniem należytej staranności”. 

Rozpoznając odwołanie Izba ustaliła i zważyła, co następuje: 

Odwołanie  podlega uwzględnieniu, albowiem Izba za zasadny uznała podnoszony w 

odwołaniu  kluczowy  zarzut,  braku  podstaw  faktycznych  i  prawnych  do  wykluczenia 

Odwołującego z przedmiotowego Postępowania na podstawie art. 24 ust.1 pkt 12 ustawy Pzp. 


Zamawiający w zawiadomieniu z dnia 18 stycznia 2019 r.  o wykluczeniu wykonawcy 

Ośrodek Aktywizacji Zawodowej i Szkoleń sp. z o.o. z siedzibą w Łodzi  z postępowania w 

uzasadnieniu prawnym decyzji wskazał  na art. 24 ust.1 pkt 12 ustawy Pzp, a w uzasadnieniu 

faktycznym  stwierdził,  że  „Wykonawca  nie  wykazał  spełniania  warunków  udziału  w 

postępowaniu”.  Dalej  podał,  że:  „Wykonawca  przy  wykazywaniu  warunku  udziału  w 

postępowaniu  dotyczącego  dysponowania  dźwigiem  o  udźwigu  nie  mniejszym  niż  5t,  (pkt. 

5.3.3 lit. A SIWZ) opierał się na zdolnościach innego podmiotu tj. Usługi Dźwigowe T.R. (…).  

Jednakże  do  oferty  nie  załączono  dla  tego  podmiotu  ani  wymaganego  Jednolitego 

Europejskiego  Dokum

entu  Zamówienia  (pkt  8.2.1.11  SIWZ),  ani  zobowiązania  do  oddania 

swego  zasobu  na  potrzeby  Wykonawcy  składającego  ofertę.  W  związku  z  powyższym 

Zamawiający w dn. 3.01.2019 r. w trybie art. 26 ust. 3 Pzp wezwał Wykonawcę do uzupełnienia 

ww.  dokumentów”.  Wskazał  także  w  tym  zawiadomieniu,  że  (….)  Zamawiający  w  dn. 

23.11.2018 r. (przed upływem terminu składania ofert) na swojej stronie internetowej, na której 

opublikowano przedmiotowe postępowanie, zamieścił informację o konieczności stosowania 

w  przypadku  doku

mentów  opatrzonych  kwalifikowanym  podpisem  elektronicznym  funkcji 

skrótu dokumentu SHA-256, oraz że dokumenty opatrzone skrótem wykorzystującym algorytm 

SHA-1 

nie  zostaną  uznane  za  prawidłowe.  Ponadto  informacja  taka  została  również 

przytoczona  w  treści  wezwania  do  uzupełnienia  dokumentów”.  Stwierdził  także  w 

zawiadomieniu, że: „Wykonawca w wyznaczonym terminie uzupełnił wymagane dokumenty w 

tym  Jednolite  Europejskie  Dokumenty  Zamówienia  w  formie  elektronicznej  (JEDZ)  

Zamawiający  dokonał  ich  weryfikacji  również  w  zakresie  wykorzystywanego  przy  składaniu 

elektronicznego  podpisu  kwalifikowanego  algorytmu  skrótu  dokumentu”.  Dalej  wskazał,  że: 

JEDZ dotyczące zarówno Odwołującego jak i dwóch podmiotów trzecich (…) zostały złożone 

prawidłowo  —  tj.  z  wykorzystaniem  algorytmu  SHA-256  do  utworzenia  skrótu  dokumentu. 

Natomiast  JEDZ  podmiotu  Usługi  Dźwigowe  T.R.  (…)  wykorzystywał  algorytm  SHA-1  do 

utworzenia skrótu dokumentu”. W treści wskazanego zawiadomienia z dnia 18 stycznia 2019 

r. 

Zamawiający przedstawił zrzut ekranu z programu proCentrum, którym poddał weryfikacji 

złożony  podpis  elektroniczny  dla potwierdzenia zastosowania  w  podpisie algorytmu  SHA-1. 

Dalej  podał,  że:  (…)  nie  może  więc  uznać,  że  złożony  JEDZ  podmiotu  udostępniającego 

zasoby  Usługi  Dźwigowe  T.R.  jest  prawidłowy,  a  zatem  że  wykazano  w  stosunku  do  tego 

podmiotu  brak  podstaw  do  wykluczenia  i  spełnienie  warunków  udziału  w  postępowaniu”. 

Stwierdził, że takie stanowisko znajduje oparcie w wyroku KIO 2428/18 i przytoczył obszerne 

fragmenty jego uzasadnieni

a. Reasumując podał, ze (…) Wykonawca wezwany w trybie art. 

26  ust.  3  do  uzupełnienia  dokumentów,  nie  uzupełnił  ich  w  sposób  prawidłowy,  a  dalsze 

konwalidowanie  oferty  w  tym  zakresie  nie  jest  dopuszczalne  prawem,  gdyż  naruszałoby 

zasadę  uczciwej  konkurencji  I  równego  traktowania  wykonawców.  Zamawiający  jest  więc 


zobowiązany  wykluczyć  wykonawcę,  gdyż  nie  wykazał  on  spełniania  warunków  udziału  w 

postępowaniu”. 

Mając  na  uwadze  powyższą  argumentację  Izba  zgodziła  się  z  Odwołującym,  że 

Zamawiający  w tym stanie  faktycznym przesłankę z art. 24 ust.1 pkt 12 Pzp   zastosował  z 

uwagi  na  złożenie  dokumentu  JEDZ  dla  podmiotu  trzeciego,  który  został  opatrzony 

kwalifikowanym  podpisem  elektronicznym  z  u

życiem  skrótu  SHA-1,  a  nie  z  użyciem  skrótu 

SHA-2 dla potrzeb walidacji 

tego podpisu. Innymi słowy Zamawiający stwierdził nieważność 

złożonego  na  dokumencie  JEDZ  dla  podmiotu  trzeciego  kwalifikowanego  podpisu 

elektronicznego  i  w  konsekwencji  uznał,  że  JEDZ  (przedłożony  w  trybie  uzupełnienia 

dokumentów)  nie został złożony, co skutkowało ustaleniem nie wykazania spełniania warunku 

udziału.  W  konsekwencji  wykluczenie  wykonawcy  z  tego  postępowania  było  skutkiem 

wskazania 

na niespełnienie warunku w postaci walidacji podpisu kwalifikowanego przy użyciu 

algorytmu SHA-2, 

który to warunek nie został opisany w ogłoszeniu o zamówieniu a także w 

specyfikacji.  Izba  zwraca  uwagę,  że  w  specyfikacji  w  punkcie  8.2.1.6  Ramowa  instrukcja 

postępowania) zawarto postanowienia odnoszące się szczegółowo do wymaganego JEDZ w 

wersji  elektronicznej  i  wymaganego  na  tym  dokumencie  kwalifikowanego  podpisu 

elektronicznego, nie zastrzegając w tych postanowieniach obowiązku  użycia algorytmu SHA-

2 dla walidacji tego podpisu. Komunikat z dnia 23 listopada 2018 r. zamieszczony na stronie 

internetowej nie nawiązywał do tych postanowień, miał charakter ogólnej informacji, a zatem 

Zamawiający nie mógł powoływać się w tym Postępowaniu dla pozytywnej weryfikacji podpisu 

na  dokumencie  JEDZ  na  algorytm  SHA-

2  jako  warunek  udziału,  którego  nie  zastosowanie 

powodowało  dla  dokumentu  sankcję  nieważności,  a  dla  wykonawców  w  przypadku  tego 

Postępowania – ich wykluczenie.   

Tym samym Izba za zasadny uznała zarzut naruszenia art. 24 ust. 1 pkt 12 w zw. z art. 

22 ust. 1 pkt 2 Pzp, 

albowiem Odwołujący został wykluczony z Postępowania de facto skutkiem 

niewykazania 

spełnienia  warunku  udziału  w  postępowaniu,  w  postaci  możliwości  walidacji 

podpisu kwalifikowanego przy użyciu algorytmu SHA-2, gdy tymczasem powołany „warunek" 

nie  został  wskazany  przez  Zamawiającego  w  Ogłoszeniu  o  zamówieniu  ani  w  Specyfikacji 

Istotnych  Warunków  Zamówienia.  Tym  samym  ta  okoliczność  w  konsekwencji  nie  mogła 

powodować  przyjęcia,  że  wezwany  wykonawca  nie  złożył  dokumentu  JEDZ  dla  podmiotu 

trzeciego - 

Usługi Dźwigowe T.R., udostępniającego zasoby. 

Odnosząc się do podnoszonego w odwołaniu zarzutu naruszenia art. 10a  ust.5  ustawy 

Pzp oraz art. 25 ust. 2 i 3 r

ozporządzenia Parlamentu Europejskiego i Rady (UE1 nr 910/2014 

z dnia 23 lipca 2014 r. w sprawie identyfikacji 

elektronicznej i usług zaufania w odniesieniu do 


transakcji elektronicznych na rynku wewnętrznym oraz uchylającym dyrektywę 1999/93/WE 

(r

ozporządzenie elDAS), Izba zgodziła się z Odwołującym, że Zamawiający niezasadnie uznał, 

że  złożony  przez  wykonawcę  w  postępowaniu  dokument  JEDZ  podmiotu  użyczającego 

zasoby (trzeciego)

, podpisany został w sposób nieprawidłowy, albowiem dokument opatrzony 

został  ważnym  podpisem  kwalifikowanym,  zgodnie  z  wymogami  prawa.  Potwierdza  to 

ustalenie  Zamawiającego  na  które  wskazał  w  decyzji  z  dnia  18.01.2019  r.  dotyczącej 

wykluczenia  wykonawcy  z  Postępowania.  W  treści  pisma  przedstawił  bowiem  –  jak  już 

wskazano  - 

rzut  ekranu  z  programu  proCentrum,  którym  poddał  weryfikacji  złożony  podpis 

elektroniczny,  co  prawda  dla  potwierdzenia  zastosowania  w  podpisie  algorytmu  SHA-1, 

jednakże w oknie dotyczącym wyniku końcowego co do podpisu znajduje się informacje, że 

podpis  został  pozytywnie  zweryfikowany.  Izba  zwraca  także  uwagę,  że  wskazywane 

r

ozporządzenie elDAS w art. 32 ust.1 określa wymagania rozstrzygające o uznaniu podpisu 

elektronicznego za kwalifikowany podpis elektroniczny. Przepis ten nie wymaga (podobnie art. 

10a  ust.5  ustawy  Pzp) 

dla  ważności  i  uznania  kwalifikowanego  statusu  podpisu 

elektronicznego, aby podpis ten musi

ał spełniać konkretnie wskazane standardy techniczne, 

ani  też  nie  wskazuje  żadnych  „zabronionych”  czy  „dopuszczonych”  algorytmów 

kryptograficznych  (w  tym  spornego  SHA-2)

,  których  zastosowanie  (lub  brak)  uniemożliwia 

uznanie podpisu za podpis kwalifikowany, 

a w konsekwencji za ważny podpis.  

Tym samym stwierdzenie ważności i prawidłowości złożenia kwalifikowanego podpisu 

elektronicznego  na  gruncie  ustawy  Pzp  (w  tym  wskazanego  art.  10a  ust.5  ustawy  Pzp) 

powinno  być  oceniane  (uwzględniając  przepisy  rozporządzenia  eIDAS)  poprzez  wynik 

walidacji 

—  przeprowadzonej  przez  kwalifikowanego  dostawcę  usług  zaufania  w  ramach 

świadczonej  kwalifikowanej  usługi  walidacji  —  danego  kwalifikowanego  podpisu 

elektronicznego. 

W stanie faktycznym sprawy wynik walidacji był pozytywny. 

Także odnośnie trzeciego z naruszeń art. 137 ust.1 ustawy o usługach zaufania oraz 

identyfikacji  elektronicznej, 

Izba  zgodziła  się  z  Odwołującym,  że  przepis  ten  nie  nakłada 

sankcji 

nieważności na podpisy złożone po dniu 1 lipca 2018 r. z uwierzytelnieniem wyłącznie 

przy użyciu algorytmu SHA-1. Z brzmienia tego przepisu nie można także wywieźć podstaw 

dla nieuznawania podpisu utworzonego z zastosowaniem funkcji skrótu SHA-1. Izba zwraca 

uwagę, że ustawa ta w art. 18 ust.1 stanowi, że: „

Podpis elektroni

czny lub pieczęć elektroniczna 

weryfikowane  za  pomocą  certyfikatu  wywołują  skutki  prawne,  jeżeli  zostały  złożone  w  okresie 

ważności tego certyfikatu”. Z kolei w jej art. 132 ust.1 ustawodawca stwierdza, że:  „Zaświadczenia 

certyfikacyjne, poświadczenia elektroniczne i certyfikaty wydane zgodnie z przepisami ustawy z 

dnia  18  września  2001  r.  o  podpisie  elektronicznym  zachowują  ważność  przez  okres  w  nich 

wskazany, o ile nie zostaną unieważnione”.  


Nie  można  zatem  odmówić  podpisowi  elektronicznemu  statusu  kwalifikowanego 

podpisu  elektronicznego,  a 

już  tym  bardziej  jego  ważności  wyłącznie  na  podstawie  oceny 

Zamawiającego, że podpis nie poddaje się walidacji  przy zastosowaniu algorytmu SHA-2 - w 

sytuacji gdy taki podpis został złożony w okresie ważności certyfikatu. Wytyczna, aby przejść 

na  weryfikację  z  użyciem  SHA-2,  nie  rodzi,  zdaniem  Izby,  skutku  w  postaci  nieważności 

podpisu,  tym  bardziej,  że  wg  obecnej  wiedzy  technicznej  nadal  uznaje  się  ten  podpis  za 

wystarczająco bezpieczny. Wydaje się, że o ważności podpisu weryfikowanego algorytmem 

SHA-

1 wypowiedział się Minister Cyfryzacji, w Komunikacie z dnia 1 marca 2018 r., wskazując: 

„algorytm SHA-1 nadal będzie mógł być używany przy  weryfikacji". Izba wskazuje także na 

argumentację  Odwołującego  i  wskazane  w  odwołaniu  stanowisko  Powszechnego  Centrum 

Certyfikacji,  zamieszczone  na  oficjalnej  stronie  internetowej  [

„Interpretacja  wchodzących  w 

życie przepisów określone w ustawie o identyfikacji elektronicznej oraz usługach zaufania w 

zakresie stosowania funkcji 

skrótu SHA-1 i SHA-2”] w myśl którego kwalifikowane certyfikaty 

podpisów i pieczęci wydane do 1 lipca 2018 r. można po tej dacie stosować przy składaniu 

podpisów  aż  do  daty  terminu  ważności  wskazanej  w  certyfikacie.  Także  wskazuje  się,  że 

wszystkie kwalifi

kowane podpisy oraz pieczęcie elektroniczne złożone do 1 lipca 2018 r. nie 

utracą ważności po tej dacie oraz, że po 1 lipca 2018r. nie ma potrzeby „aktualizacji" wydanych 

wcześniej i ważnych certyfikatów. Może również warto zwrócić uwagę, że art. 137 w ust.2 - 

dodanym 

ustawą z dnia 5.07.2018 r. (Dz.U. z 2018 r. poz. 1544) - definiuje podmioty wobec 

których  ten  przepis  ma  zastosowanie.  W  myśl  tego  przepisu:  „2. 

Dostawcy  usług  zaufania, 

producenci  oprogramowania  oraz  podmioty  publiczne  obowiązani  są  do  odpowiedniego 

dostosowania  oprogramowania  oraz  systemów  teleinformatycznych  do  zmian  i  terminu 

określonych  w  ust.  1.”   

To  o

znacza,  że  tylko  wskazane  podmioty  zobowiązane  są  do 

przestrzegania  zobowiązań  z  ust.  1  art.  137  ustawy  o  usługach  zaufania  oraz  identyfikacji 

elektronicznej

.  Warto zauważyć, że  wśród  wskazanych podmiotów przedsiębiorcy, jedni z 

kluczowych podmiotów na rynku (z wyjątkiem dostawców 

usług zaufania)

    nie  zostali  w  tym 

przepisie wymienieni.    

Tym samym należy stwierdzić, że żaden z przepisów ustawy o usługach zaufania oraz 

identyfikacji elektronicznej 

jak również ustawy Pzp nie  przewiduje sankcji dla przedsiębiorcy 

za stosowanie skrótu SHA-1, w szczególności sankcji nieważności kwalifikowanego podpisu 

elektronicznego, co podnosi

ł Odwołujący. 

Mając powyższe na względzie orzeczono jak w sentencji.  


O kosztach postępowania odwoławczego orzeczono na podstawie art. 192 ust. 9 i 10 

ustawy  Pzp 

w  związku  z  art.  186  ust.6  pkt  3  lit.  b)  tej  ustawy  stosownie  do  jego  wyniku 

uwzględniając przepisy rozporządzenia Prezesa Rady Ministrów z dnia 15 marca 2010 r. w 

sprawie  wysokości  i  sposobu  pobierania  wpisu  od  odwołania  oraz  rodzajów  kosztów  w 

postępowaniu odwoławczym i sposobu ich rozliczania (Dz. U. z 2018 r. poz. 972).  

……………………………….. 

……………………………….. 

………………………………..