Zarząd Zieleni Miejskiej ogłosił przetarg na usługi utrzymania terenów w pasach drogowych i na terenach niezabudowanych. Jeden z podmiotów biorących udział w postępowaniu był wzywany do złożenia wyjaśnień oraz uzupełnienia dokumentów, z czego wywiązał się w terminie. Zamawiający zawiadomił jednak tego wykonawcę o wykluczeniu z postępowania na podstawie art. 24 ust. 1 pkt 12 Prawa zamówień publicznych. Decyzja ta oparta została na ustaleniu rzekomej nieprawidłowości użycia algorytmu (SHA-1) przy składaniu podpisu elektronicznego w dokumencie JEDZ przez podmiot użyczający wykonawcy swoich zasobów. Użycie skrótu SHA-1 dla potrzeb walidacji zamawiający uznał za dyskwalifikację czynności jako nieprawidłowej oraz stwierdził nieważność złożonego podpisu kwalifikowanego. Według zamawiającego „nieprawidłowy” JEDZ przedłożony przez podmiot trzeci po wezwaniu do jego złożenia w trybie uzupełnienia dokumentów nie podlega ponownemu wezwaniu do usunięcia braków. Od takiej decyzji odwołał się wykonawca, twierdząc m.in. że nie sprecyzowano, z jakiej przyczyny walidacja przy użyciu algorytmu SHA-1 miałaby czynić złożony podpis nieważnym.
CZYTAJ TAKŻE: Odrzucenie oferty musi mieć określone podstawy
Rozpatrując odwołanie, Krajowa Izba Odwoławcza uznała, że zamawiający niewłaściwie uznał, że złożony przez wykonawcę w postępowaniu dokument JEDZ podmiotu użyczającego zasoby podpisany został w sposób nieprawidłowy, albowiem dokument opatrzony został ważnym podpisem kwalifikowanym, zgodnie z wymogami prawa. Wynika to, jak ustaliła KIO, z pisma przedstawionego przez zamawiającego, w którym wskazano, że dokonano rzutu ekranu z programu proCentrum, którym zweryfikowano złożony podpis elektroniczny, co prawda dla potwierdzenia zastosowania w podpisie algorytmu SHA-1, jednakże w oknie dotyczącym wyniku końcowego co do podpisu znajduje się informacje, że podpis został pozytywnie zweryfikowany. Izba zwróciła także uwagę, że art. 32 ust. 1 rozporządzenia (UE1 nr 910/2014) z 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (rozporządzenie elDAS), określa wymagania rozstrzygające o uznaniu podpisu elektronicznego za kwalifikowany podpis elektroniczny.
Przepis ten nie wymaga (podobnie art. 10a ust. 5 ustawy Pzp) dla ważności i uznania kwalifikowanego statusu podpisu elektronicznego, aby podpis ten musiał spełniać konkretnie wskazane standardy techniczne, ani też nie wskazuje żadnych „zabronionych” czy „dopuszczonych” algorytmów kryptograficznych (w tym spornego SHA-2), których zastosowanie (lub brak) uniemożliwia uznanie podpisu za podpis kwalifikowany, a w konsekwencji za ważny podpis.
Tym samym stwierdzenie ważności i prawidłowości złożenia kwalifikowanego podpisu elektronicznego na gruncie Pzp powinno być oceniane poprzez wynik walidacji – przeprowadzonej przez kwalifikowanego dostawcę usług zaufania w ramach świadczonej kwalifikowanej usługi walidacji – danego podpisu elektronicznego. W stanie faktycznym sprawy wynik walidacji był pozytywny – orzekła KIO.
