KIO 156/19 WYROK dnia 14 lutego 2019 r.

Data: 8 marca 2019

Sygn. akt: KIO 156/19 

WYROK 

z dnia 14 lutego 2019 r. 

Krajowa Izba Odwoławcza   -   w składzie: 

Przewodniczący: 

Luiza Łamejko 

Jolanta Markowska 

Małgorzata Matecka 

Protokolant:            

Piotr Cegłowski 

po rozpoznaniu na rozprawie w dniu 11 lutego 2019 r. w Warszawie 

odwołania wniesionego 

do  Prezesa  Krajowej  Izby  Odwoławczej  w  dniu  28  stycznia  2019  r.  przez  wykonawcę 

Meritum  Grupa  Budowlana  spółka  z  ograniczoną  odpowiedzialnością  spółka 

komandytowa,  ul.  Jugowicka  8A,  30-

443  Kraków  w  postępowaniu  prowadzonym  przez 

Gminę Mikołów, ul. Rynek 16, 43-190 Mikołów 

orzeka: 

Uwzględnia  odwołanie  i  nakazuje  zamawiającemu  Gminie  Mikołów  unieważnienie 

czynności  unieważnienia  postępowania  oraz  unieważnienie  czynności  odrzucenia 

oferty  złożonej  przez  Meritum  Grupa  Budowlana  spółka  z  ograniczoną 

odpowiedzialnością  spółka  komandytowa  z  siedzibą  w  Krakowie  i  dokonanie 

powtórnej czynności oceny oferty, 

kosztami postępowania obciąża Gminę Mikołów, ul. Rynek 16, 43-190 Mikołów i: 

zalicza w poczet kosztów postępowania odwoławczego kwotę 20 000 zł 00 gr (słownie: 

dwadzieścia  tysięcy  złotych  zero  groszy)  uiszczoną  przez  wykonawcę  Meritum  Grupa 

Budowlana  spółka  z  ograniczoną  odpowiedzialnością  spółka  komandytowa,  

ul. Jugowicka 8A, 30-

443 Kraków tytułem wpisu od odwołania, 

zasądza od Gminę Mikołów, ul. Rynek 16, 43-190 Mikołów na rzecz Meritum Grupa 

Budowlana  spółka  z  ograniczoną  odpowiedzialnością  spółka  komandytowa,  

ul. Jugowicka 8A, 30-

443 Kraków kwotę 23 600 zł 00 gr (słownie: dwadzieścia trzy tysiące 

sześćset  złotych  zero  groszy)  poniesioną  tytułem  wpisu  od  odwołania  oraz  wynagrodzenia 

pełnomocnika. 


Stosownie  do  art.  198a  i  198b  ustawy  z  dnia  29  stycznia  2004  r.  - 

Prawo  zamówień 

publicznych (Dz. U. z 2018 poz. 1986 ze zm.) na niniejszy wyrok - w terminie 7 dni od dnia 

jego doręczenia - przysługuje skarga za pośrednictwem Prezesa Krajowej Izby Odwoławczej 

do 

Sądu Okręgowego w Katowicach. 

Przewodniczący :  ……………………………… 

……………………………… 

……………………………… 


Sygn. akt: KIO 156/19 

U z a s a d n i e n i e 

Gmina Mikołów (dalej: „Zamawiający”) prowadzi w trybie przetargu nieograniczonego 

postępowanie o udzielenie zamówienia publicznego pn. „Roboty budowlane w budynku przy 

ul. Jana 

Pawła II 4 w Mikołowie. Postępowanie to prowadzone jest na podstawie przepisów 

ustawy z dnia 29 stycznia 2004 r. Prawo za

mówień publicznych (Dz. U. z 2018 poz. 1986 ze 

zm.), 

zwanej  dalej:  „ustawa  Pzp”.  Ogłoszenie  o  zamówieniu  zostało  opublikowane  w  dniu  

30  października  2018  r.  w  Dzienniku  Urzędowym  Unii  Europejskiej  pod  pozycją  

2018/S 209-476346.  

W  dniu  28  stycznia  2019  r.  wykonawca 

Meritum  Grupa  Budowlana  spółka  

z  ograniczoną  odpowiedzialnością  spółka  komandytowa  z  siedzibą  w  Krakowie  (dalej: 

„Odwołujący”)  wniósł  do  Prezesa  Krajowej  Izby  Odwoławczej  odwołanie  wobec  czynności 

Zamawiającego  polegających  na  odrzuceniu  oferty  Odwołującego  oraz  unieważnieniu 

postępowania o udzielenie zamówienia publicznego.  

Odwołujący zarzucił Zamawiającemu naruszenie: 

• 

art. 89 ust. 1 pkt 7 ustawy Pzp w zw. z art. 10a ust. 5 ustawy Pzp w zw. z art. 7 ust. 1 

ustawy 

Pzp 

poprzez 

niezasadne  odrzucenie  oferty  Odwołującego  w  związku  

z  bezpodstawnym  przyjęciem,  że  oferta  Odwołującego  jest  nieważna  na  podstawie 

odrębnych przepisów, tj. art. 137 ustawy z dnia 5 września 2016 r. o usługach zaufania oraz 

identyfikacji  elektronicznej  (Dz.U.2016.1579  (dalej  jako:  uzoie),  z  uwagi  na  (rzekome) 

opatrzenie  dokumentów  dołączonych  do  oferty  podpisem  kwalifikowanym  wykorzystującym 

algorytm  skrótu  SHA-1,  który  w  ocenie  Zamawiającego,  skutkuje  nieważnością  złożonego 

podpisu, 

• 

art.  10a  ust.  5  ustawy  Pzp  w  zw.  z  art.  22  Dyrektywy  Parlamentu  Europejskiego  

i  Rady  2014/24/UE  z  dnia  26  lutego  2014  r.  w  sprawie  zamówień  publicznych,  uchylająca 

dyrektywę  2004/18/WE  (dalej:  dyrektywa  klasyczna)  poprzez  niezasadne  przyjęcie,  że  dla 

skutecznego złożenia oferty w postępowaniu niezbędnym jest opatrzenie jej kwalifikowanym 

podpisem  elektronicznym  wykorzystującym  algorytm  skrótu  inny  aniżeli  SHA-1,  kiedy  to 

obwiązek ten nie wynika z przepisów obowiązującego prawa, 

a w konsekwencji również art. 93 ust. 1 pkt 1 ustawy Pzp poprzez niezasadne unieważnienie 

postępowania  z  uwagi  przyjęcie,  że  w  postępowaniu  nie  złożono  żadnej  oferty 


niepodlegającej odrzuceniu, 

• 

art.  7  ust.  1  ustawy  Pzp  poprzez  naruszenie  zasady  uczciwej  konkurencji  oraz 

równego  traktowania  wykonawców  przejawiającej  się  w  przerzuceniu  na  Odwołującego 

konsekwencji  związanych  z  niewykorzystywaniem  przez  portal  smartpzp  kwalifikowanego 

podpisu elektronicznego z algorytmem SHA-256,  

• 

art.  7  ust.  1  ustawy  Pzp  w  zw.  z  art  10a  ust.  5  ustawy  Pzp  poprzez  niezasadne 

przyjęcie,  że  algorytm  skrótu  kwalifikowanego  podpisu  elektronicznego  Odwołującego  to 

SHA-

1, kiedy to weryfikacja ww. okoliczności wykazuje, że algorytm ten to SHA-256. 

Uzasadniając  postawione  zarzuty  Odwołujący  wskazał,  że  składanie  ofert  

w post

ępowaniu odbywało się za pośrednictwem komercyjnego portalu smartpzp.pl. Zgodnie 

z  instrukcją  korzystania  z  tego  portalu,  złożenie  oferty  polegało  na  wypełnieniu  formularza 

oferty  zamieszczonego  bezpośrednio  na  portalu.  W  postępowaniu  jako  treść  oferty 

Zam

awiający  żądał  złożenia  m.in.  kosztorysu  ofertowego,  jednolitego  dokumentu  oraz 

oświadczenia  o  ochronie  danych  osobowych,  które  należało  opatrzyć  kwalifikowanym 

podpisem elektronicznym i dołączyć do dokumentów składanych wraz z ofertą.  Odwołujący 

stwierdzi

ł, że złożył ofertę zgodnie z instrukcją korzystania z portalu smartpzp, oraz zgodnie 

z instrukcją Zamawiającego.  

Odwołujący  podał,  że  Zamawiający  w  dniu  18  stycznia  2018  r.  poinformował 

Odwołującego  o  odrzuceniu  jego  oferty.  W  uzasadnieniu  decyzji  Zamawiający  wskazał,  że  

w  trakcie  badania  i  oceny  oferty  Z

amawiający  natrafił  na  trudności  z  weryfikacją 

kwalifikowanego  podpisu  elektronicznego  złożonego  za  pośrednictwem  aplikacji 

zaimplementowanej w funkcjonalności portalu smartpzp.pl, czego skutkiem było wystąpienie 

do  podmiotu  zarządzającego  portalem  o  wyjaśnienie kwestii  weryfikacji  złożonego podpisu. 

Weryfikacja podpisów dokumentów i oświadczeń złożonych wraz z ofertą (JEDZ, kosztorysy 

ofertowe)  wykazała  ich  prawidłowość.  Zamawiający  wskazał,  że  przedstawiciel  portalu 

smartpzp  w  dniu  18  grudnia  2018  r. 

jednoznacznie  stwierdził  że  „nie  ma  możliwości  aby 

Wykonawca  złożył  ofertę  w  trybie  przetargu  nieograniczonego,  bez  potwierdzenia  jej 

podpisem  elektronicznym

”.  O  prawidłowości  złożonego  podpisu  miał  świadczyć  również 

raport  z  czynności  złożenia  oferty  wygenerowany  przez  portal  -  plik  00006PN1E2018.pdf. 

Bazując  na  tym  oświadczeniu,  Zamawiający  w  dniu  9  stycznia  2019  r.  dokonał  czynności 

wyboru oferty 

Odwołującego. 

Jak  zauważył  Odwołujący,  w  tym  samym  dniu,  zgodnie  z  ww.  uzasadnieniem, 


Zamawiający  powziął  informację  o  wyroku  Krajowej  Izby  Odwoławczej  z  dnia  10  grudnia 

2018 r., sygn. akt 

KIO 2428/18, który zinterpretował w ten sposób, że za wadliwy i skutkujący 

obowiązkiem  odrzucenia  oferty  uznać  należy  kwalifikowany  podpis  elektroniczny  złożony 

przy  zastosowaniu  algorytmu  skrótu  podpisu  SHA-1.  Zamawiający  wystąpił  więc  ponownie 

do  podmiotu  zarządzającego  portalem  smartpzp  o  przekazanie  oświadczenia,  jakiego 

rodzaju  algorytmu  skrótu  podpisu  użyto  przy  składaniu  podpisu  kwalifikowanego  dla  oferty 

Meritum Grupa Budowlana Sp. z o.o. Sp.k. 

W dniu 14 stycznia 

2019 r. Prezes Zarządu podmiotu zarządzającego portalem Portal 

PZP  Sp.  z  o.o. 

jednoznacznie oświadczyła,  że na  dzień  składania ofert  (6 grudnia  2018  r.) 

portal wyk

orzystywał podpis z funkcjonalnością skrótu SHA-1. Dodatkowo, 16 stycznia 2019 

r. 

podmiot  zarządzający  portalem  poinformował,  że  dopiero  od  20  grudnia  2018  r.  portal 

wykorzystuje podpis z funkcjonalnością skrótu SHA-256.  

Odwołujący  wskazał,  że  zdaniem  Zamawiającego,  kwestia  prawidłowości 

wykorzystywanych skrótów podpisów elektronicznych została uregulowana w art 137 uzoie. 

W  przepisie  tym, 

w  ocenie  Zamawiającego,  ustawodawca  jednoznacznie  wskazał,  że  do 

składania zaawansowanych podpisów elektronicznym można stosować funkcję skrótu SHA-

1  tylko  do  1  lipca 

2018 r.  i  w  ust.  2 tego artykułu nałożył na producentów oprogramowania 

obowiązek  dostosowania  oferowanych  przez  nich  produktów  do  wskazanego  powyżej 

terminu i wymagań. Zamawiający w uzasadnieniu odrzucenia oferty Odwołującego zauważył, 

że  podmiot  zarządzający  portalem  smartpzp  wypełnił  ten  wskazany  obowiązek  ustawowy 

dopiero  20  grudnia  2018 

r.,  czego  konsekwencją  było  złożenie  podpisu  elektronicznego  w 

dniu  6  grudnia  2018 

r.  za  pośrednictwem  portalu  z  wykorzystaniem  niedozwolonej  funkcji 

skrótu  SHA-1.  Zamawiający  przyjął,  że  Odwołujący  składając  podpis  za  pośrednictwem 

portalu, 

nie  miał  wpływu  na  to,  jakiej  funkcji  skrótu  podpisu  używa  portal,  miał  jednak 

świadomość, że od 2 lipca 2018 r. powinna być to funkcja skrótu SHA-256, gdyż takiej użył 

przy  składaniu  podpisów  na  dokumentach  dołączonych  do  oferty,  które  podpisał  bez 

pośrednictwa portalu. Zamawiający przyjął, że w świetle wyroku Krajowej Izby Odwoławczej 

o  sygn.  akt  KIO  2428/18,  Z

amawiający  nie  może  uznać  prawidłowości  podpisu  oferty, 

pomimo  że  nieprawidłowość  była  konsekwencją  wadliwego  działania  portalu.  Zamawiający 

odrzucił ofertę złożoną przez Odwołującego. 

Odwołujący  nie  zgodził  się  z  ww.  decyzją  Zamawiającego  stwierdzając,  że  narusza 

ona dyspozycję przepisów prawa.  

Odwołujący  zwrócił  uwagę,  że  przepisy  prawa  krajowego,  w  tym  uzoie  oraz  ustawy 


Pzp,  nie  normują  definicji  kwalifikowanego  podpisu  elektronicznego,  definicji  tego  pojęcia 

należy  zatem  poszukiwać  w  regulacjach  prawa  wspólnotowego.  Jak  podał  Odwołujący, 

zgodnie z r

ozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 

2014  r.  w  sprawie  identyfikacji  elektronicznej  i  usług  zaufania  w  odniesieniu  do  transakcji 

elektronicznych  na  rynku  wewnętrznym  oraz  uchylające  dyrektywę  1999/93/WE  (dalej: 

elDAS  lub  rozporządzenie  910/2014)  „kwalifikowany  podpis  elektroniczny”  oznacza 

zaawansowany  podpis  elektroniczny,  który  jest  składany  za  pomocą  kwalifikowanego 

urządzenia  do  składania  podpisu  elektronicznego  i  który  opiera  się  na  kwalifikowanym 

certyfikacie  podpisu  elektronicznego.  Natomiast  „kwalifikowany  certyfikat  podpisu 

elektronicznego“  oznacza  certyfikat  podpisu  elektronicznego,  który  jest  wydawany  przez 

kwalifikowanego dostawcę usług zaufania i spełnia wymogi określone w załączniku l”.  

Odwołujący  stwierdził,  że  certyfikat  jest  to  zaświadczenie  elektroniczne  (dokument 

elektroniczny)  stanowiący  zaświadczenie  elektroniczne  o  określonym  terminie  ważności, 

które zawiera dane identyfikujące podpisującego oraz klucz publiczny, czyli dane służące do 

sprawdzenia  autentyczności  podpisu  elektronicznego  złożonego  za  pomocą  klucza 

prywatnego, czyli danych, nad którymi wyłącznie podpisujący ma kontrolę. 

D

alej  Odwołujący  wskazał,  że  dokument  elektroniczny,  który  powstaje  jako 

udokumentowanie  czy

nności  prawnej,  jest  podpisywany  podpisem  elektronicznym 

(analogicznie  do  dokumentu  papierowego  podpisanego  piórem).  Podczas  podpisywania 

dokumentu  (tworzenia  podpisu)  wyliczany  jest  skrót  na  podstawie  treści  tego  dokumentu 

(SHA)  -  robi  to  aplikacja  (syste

m)  podpisująca,  niemająca  najczęściej  powiązania  

z wystawcą certyfikatu i samym tworzeniem certyfikatu.  

Odwołujący  wyjaśnił,  że  SHA  (Secure  Hash  Algorithm)  to  rodzina  powiązanych  ze 

sobą  kryptograficznych  funkcji  skrótu  zaprojektowanych  przez  NSA  [National  Security 

Agency] i publikowanych przez National Institute of Standards and Technology. 

Odwołujący  podał,  że  w  podpisie  (w  dużym  uproszczeniu)  są  zawarte  dwa  skróty: 

jeden  dotyczący  treści  dokumentu,  drugi  -  treści  certyfikatu  (zawarty  w  pieczęci  tego 

ce

rtyfikatu). Za ten pierwszy odpowiada aplikacja podpisująca (dostawca tej aplikacji), a za 

ten drugi wystawca certyfikatu. 

Odwołujący zauważył, że żaden z przepisów obowiązującego prawa nie wskazuje, że 

kwalifikowane  podpisy  elektroniczne  wykorzystujące  algorytm  skrótu  SHA-1  winny  być  od 

dnia  1  lipca  2018  r.  uznawane  za  nieważne.  W  przekonaniu  Odwołującego,  tego  rodzaju 


wniosków nie sposób przede wszystkim wywieść z art. 137 uzoie. Jak stwierdził Odwołujący, 

przepis  ten 

nie  wprowadził  rygoru  nieważności  podpisu  elektronicznego  złożonego  za 

pomocą  funkcji  skrótu  SHA-1.  Co  więcej,  nie  można  z  niego  wyinterpretować  pozbawienia 

podpisu  elektronicznego  cech  kwalifikowalności  w  przypadku  nie  skorzystania  z  nowszej 

funkcji SHA -2. 

Odwołujący  zwrócił  uwagę,  że  potwierdzeniem  zasadności  przyjętych  przez 

Odwołującego  twierdzeń  jest  uzasadnienie  do  rządowego  projektu  ustawy  o  usługach 

zaufania  oraz  identyfikacji  elektronicznej  (druk  715],  gdzie  wskazano,  że:  „Ważnym 

przepisem dla zapewnienia ciągłości usług zaufania w Polsce jest art. 134

wskazujący na 

możliwość  stosowania  skrótu  SHA-1  do  składania  zaawansowanych  podpisów 

elektronicznych  lub  zaawansow

anych  pieczęci  elektronicznych.  Dotychczasowe  przepisy 

wymagały  wprost  stosowania  tego  algorytmu,  co  spowodowało,  że  oprogramowanie 

stosowane do składania i weryfikacji podpisów, nie było dostosowywane do innych skrótów 

rekomendowanych  w  standardzie  ETSI  TS 

119  312  dotyczącej  wymagań  w  zakresie 

stosowania  algorytmów  kryptograficznych  w  infrastrukturze  podpisu  elektronicznego.  Mając 

na  uwadze,  że  norma  ta  wprost  nie  rekomenduje  dalszego  używania  skrótu  SHA-1  ze 

względu na możliwe naruszenia bezpieczeństwa, należało wprowadzić przepisy przejściowe 

umożliwiające stopniowe odejście od stosowania tego skrótu. Nie można było jednak wprost 

zrezygnować  ze  wskazywania  algorytmu  technicznego  w  przepisach  prawa,  opierając  się 

jedynie  na  normach,  ponieważ  zgodnie  z  normą  ETSI  EN  319  412-2  dotyczącą  profili 

certyfikatów  wydawanych  osobom  fizycznym,  stosowanie  wymagań  określonych  

w  standa

rdzie  ETSI  TS  119  312  może  być  zastąpione  krajowymi  zaleceniami.  Brak 

stosownego przepisu skutkowałby wykazywaniem niezgodności z elDAS w raportach oceny 

zgodności,  co  mogłoby  powodować  negatywne  postrzeganie  krajowych  dostawców  usług 

zaufania  i  co  za  tym 

idzie znaczące zmniejszenie ich szans w konkurowaniu z dostawcami 

zagraniczny

mi na wspólnym rynku.”.  

Jak  zauważył  Odwołujący,  niezbędności  użycia  algorytmu  skrótu  SHA-256  dla 

kwalifikowanego  podpisu  elektronicznego  nie  dostrzega  również  Urząd  Zamówień 

Publicznych - np. w opinii pn. 

„Czy podpis profilem zaufanym e-PUAP może być uznany za 

równoważny podpisowi kwalifikowanemu (w kontekście składania JEDZa po 18.04.2018 r.)” 

czy też publikacji „Podpis elektroniczny - regulacje i praktyka”. 

Odwołujący zwrócił również uwagę na Komunikat Ministra Cyfryzacji z dnia 1 marca 

2018  r.  w  sprawie  wycofania  algorytmu  SHA-

1  w  zastosowaniach  związanych  


z  zaawansowanym  pod

pisem  i  pieczęcią  elektroniczną,  w  którym  zostało  wyraźnie 

wskazane,  że  „Niezbędne  jest  jednak  dostosowanie  wszystkich  systemów  strony  ufającej, 

tak  aby  z  dniem  1  lipca  br.  było  możliwe  odejście  od  stosowania  funkcji  SHA-1  przy 

składaniu  podpisu  elektronicznego  i  pieczęci  elektronicznej.  Algorytm  SHA-1  będzie  mógł 

być nadal używany przy weryfikacji.”. Odwołujący zaznaczył, że ww. komunikat ma charakter 

zaleceń,  a  nie  powszechnie  obowiązującej  reguły.  Świadczy  o  tym  także  zakończenie 

komunikatu:  „Odchodzenie  od  przestarzałych  algorytmów  i  korzystanie  z  konserwacji  za 

pomocą znaczników czasu pozwala minimalizować zagrożenia dla e-podpisu w przyszłości. 

Zarówno  nadzór,  jak  i  dostawcy  usług  zaufania  śledzą  i  analizują  wszystkie  aspekty 

technologiczne,  które  mogą  mieć  wpływ  na  bezpieczeństwo  usług  zaufania.  W  interesie 

bezpieczeństwa  i  wygody  odbiorców  usług  zaufania  przypominamy,  aby  również  inne 

podmioty dostosowały terminowo swoje systemy informatyczne.”. 

Zdaniem  Odwołującego,  art.  137  uzoie  należy  intepretować  w  ten  sposób,  że 

ustawodawca  zdecydował  się  narzucić  administracji  publicznej  oraz  dostawcom  usług 

zau

fania  przejście  na  wyższy  poziom  bezpieczeństwa  podpisu,  ale  powyższe  nie  oznacza, 

że  którykolwiek  obowiązujący  przepis  prawa  pozwala  kwestionować  ważność  podpisu  

z  algorytmem  SHA-1. 

Odwołujący  podkreślił,  że  zaprzestanie  stosowania  funkcji  SHA-1 

przez  ad

ministrację  publiczną  w  Polsce  nie  oznacza,  że  nie  wolno  jej  uznawać  podpisów 

elektronicznych utworzonych przy zastosowaniu SHA-

1 również po wejściu w życie art. 137. 

Jak  zaznaczył  Odwołujący,  przeciwna  interpretacja  tego  przepisu  doprowadziłaby  do 

koniecz

ności nieuznawania statusu kwalifikowanych wszystkich podpisów wykorzystujących 

SHA-

1,  którymi  opatrzone  mogą  być  dokumenty  przekazywane  do  polskich  instytucji  także 

z innych państw UE. 

Odwołujący  zwrócił  uwagę,  że  w  momencie  walidacji  kwalifikowanego  podpisu 

elektronicznego  nie  ma  możliwości  ustalenia,  na  podstawie  którego  państwa  przepisów 

powstał  dany  podpis.  Podpis  należy  weryfikować  zawsze  na  zgodność  podpisu  

z  wymaganiami  Artykułu  32  rozporządzenia  elDAS  i  przepisami  wykonawczymi 

obowiązującymi  jednolicie  w  całej  Unii  Europejskiej.  Tylko  w  ten  sposób,  w  ocenie 

Odwołującego, można zapewnić interoperacyjność kwalifikowanego podpisu elektronicznego 

i  szerzej  wszystkich  kwalifikowanych  usług  zaufania,  co  było  celem  i  jest  celem  całego 

procesu legislacyjnego prowadzonego w UE w ostatnich latach. 

Odwołujący wyjaśnił, że algorytm SHA-1 nie jest rekomendowany do stosowania przy 

tworzeniu podpisów zaawansowanych ze względu na możliwość w nieodległej perspektywie 


czasowej  skutecznego  i  niewykrywalnego  dokonania 

manipulacji  w  treści  dokumentu 

opatrzonego  takim  podpisem. 

Odwołujący  dodał,  że  mimo  sygnalizowanego  ryzyka,  nadal 

poziom  bezpieczeństwa  kryptograficznego  jest  na  tyle  wysoki,  że  przy  obecnej  wiedzy  

i  możliwościach  technicznych,  gwarantuje  bezpieczeństwo  prawne  i  faktyczne  podpisowi 

elektronicznemu,  dlatego  algorytm  SHA-

1  nie  został  wprost  zakazany  żadną  decyzją  lub 

innym unijnym prawnym aktem wykonawczym. 

Odwołujący  podkreślił,  że  algorytm  skrótu  SHA-1  jest  nadal  wykorzystywany  tak  

w Polsce, jak i w Uni

i Europejskiej, o czym świadczy oświadczenie złożone przez smartpzp. 

Co  więcej,  wiele  firm,  w  tym  Google  nadal  jest  w  fazie  wycofywania  SHA-1  

z  wykorzystywanych  podpisów  i  rozwiązań  informatycznych  (tj.  po  1  lipca  2018  r.). 

Odwołujący  podał,  że  pierwsze  postulaty  związane  z  potrzebą  poszukiwania 

bezpieczniejszych  rozwiązań  kryptograficznych  pojawiły  się  już  w  2011  r.  Od  2020  r. 

powszechnie  stosowanym  algorytmem  skrótu  ma  być  SHA-3,  który  -  jak  wynika  

z  przeprowadzonych  badań  i  testów  -  jest  aktualnie  najbezpieczniejszym  rozwiązaniem 

szyfrującym. 

Odwołujący wskazał, że nawet jeśli przyjąć odmienne zapatrywanie w przedmiotowej 

sprawie aniżeli przedstawione powyżej, to o niezasadności decyzji Zamawiającego świadczy 

fakt,  że  uzoie,  która  pośrednio reguluje  kwestie związane  z  algorytmem  SHA-1,  jest  aktem 

prawnym  o  randze  krajowej. 

Odwołujący  stwierdził,  że  aktualnie  obowiązujące  przepisy 

prawa wspólnotowego, które winny być respektowane na gruncie prawa polskiego jako akty 

nadrzędne  względem  krajowych  ustaw,  zawierają  szereg  regulacji  zakazujących 

wprowadzania  przez  p

aństwa  członkowskie  zapisów,  które  ustanawiają dodatkowe  wymogi 

związane z posługiwaniem się i weryfikacją kwalifikowanych podpisów elektronicznych. 

Jak  wywodził  Odwołujący,  akty  prawne  wyznaczają  wskazanym  podmiotom 

(instytucjom,  firmom,  osobom)  określone  postępowanie.  Akty  prawne  tworzą  w  państwie 

określoną  strukturę  hierarchiczną  i  z  tego  powodu  moc  prawna  zawarta  w  jednym  akcie 

może  być  wyższa  niż  w  innym,  może  też  być  niższa  lub  równa.  Powiązania,  jakie  z  tego 

powodu występują między aktami prawnymi o różnej mocy, mają charakter kompetencyjny, 

np.  akt  wyższego  rzędu  może  zawierać  upoważnienie  dla  organu  państwa  lub  innego 

podmiotu,  aby  wydał  akt  niższego  rzędu,  o  niższej  mocy  prawnej.  Akty  niższego  rzędu 

obowiązują  na  podstawie  aktów  zajmujących  w  tej  hierarchii  stanowisko  nadrzędne.  Akt 

wyższego rzędu ma więc wpływ na treść aktu niższego rzędu. Z kolei akt niższego rzędu nie 

może  być  sprzeczny  z  postanowieniami  aktów  nadrzędnych.  Akty  prawne  równorzędne 


mogą  się  wzajemnie  uchylać,  akt  nadrzędny  może  uchylić  akt  o  niższej  mocy  prawnej, 

natomiast  akt  o  niższej  mocy  prawnej  nie  może  uchylić  postanowień  zawartych  w  akcie 

nadrzędnym. 

Odwołujący  podał,  że  hierarchię  polskich  aktów  prawnych  reguluje  Konstytucja 

Rzeczypospolitej Polskiej, według jej zapisów przedstawia się ona następująco:  

Konstytucja, 

Ratyfikowane umowy międzynarodowe, wymagające zgody wyrażonej w ustawie, 

Rozporządzenia, decyzje i dyrektywy Unii Europejskiej, 

Ustawy i rozporz

ądzenia z mocą ustawy (dekrety), 

Uchwały (akty wewnętrzne wiążące), rozporządzenia, zarządzenia, 

Akty prawa miejscowego.  

W świetle powyższego, jak zauważył Odwołujący, nie można uznać, że art. 137 uzoie 

ma  moc  nadr

zędną  względem  art.  22  Dyrektywy  Parlamentu  Europejskiego  i  Rady 

2014/24/UE  z  dnia  26  lutego  2014  r.  w  sprawie 

zamówień  publicznych,  uchylającej 

dyrektywę 2004/18/WE: 

„1.  Państwa  członkowskie  zapewniają,  że  wszelka  komunikacja  i  wymiana  informacji 

odbywająca się na mocy mniejszej dyrektywy; w szczególności elektroniczne składanie ofert, 

przeprowadzane  są  z  wykorzystaniem  elektronicznych  środków  komunikacji  zgodnie  

z  wymogami  niniejszego  artykułu.  Narzędzia  i  urządzenia  wykorzystywane  do  celów 

komunikacji  za  pomocą  środków  elektronicznych,  jak  również  ich  właściwości  techniczne, 

muszą  być  niedyskryminujące,  ogólnie  dostępne  i  interoperacyjne  z  produktami  ICT 

będącymi  w  powszechnym  użyciu  oraz  nie  mogą  ograniczać  dostępu  wykonawców  do 

postępowania o udzielenie zamówienia, 

6.  Oprócz  wymogów  przedstawionych  w  załączniku  IV  następujące  zasady  mają 

zastosowanie  do  narzędzi  i  urządzeń  służących  do  elektronicznego  przesyłania  i  odbioru 

ofert oraz elektronicznego odbioru wniosków o dopuszczenie do udziału: 

a) 

informacje  na  temat  specyfikacji  dot

yczących  elektronicznego  składania  ofert  oraz 

wniosków o dopuszczenie do udziału, w tym kodowania oraz oznaczania czasu odbioru, są 

dostępne dla zainteresowanych stron; 


b) 

państwa  członkowskie,  lub  instytucje  zamawiające  działające  zgodnie  z  ogólnymi 

ramam

i ustanowionymi przez dane państwo członkowskie, określają poziom bezpieczeństwa 

wymagany  dla  elektronicznych  środków  komunikacji  stosowanych  na  poszczególnych 

etapach danego postępowania o udzielenie zamówienia; poziom ten jest proporcjonalny do 

powiązanego ryzyka; 

c) 

w  przypadku  gdy  państwa  członkowskie,  lub  instytucje  zamawiające  działające 

zgodnie z ogólnymi ramami ustanowionymi przez dane państwo członkowskie, stwierdzą, że 

poziom  ryzyka  oceniony  zgodnie  z  lit  b)  niniejszego  ustępu  sprawia,  że  wymagane  są 

zaawansowane  podpisy  elektroniczne  określone  w  dyrektywie  Parlamentu  Europejskiego  

i Rady 1999/93/WE, instytucje zamawiające akceptują zaawansowane podpisy elektroniczne 

oparte na 

kwalifikowanym certyfikacie, uwzględniając czy te certyfikaty są wystawione przez 

podmiot  świadczący  usługi  certyfikacyjne  wymieniony  na  zaufanej  liście  przewidzianej  

w  decyzji  Komisji  2009/767/WE, 

składane  za  pomocą  bezpiecznego  urządzenia  służącego 

do składania podpisów lub bez takiego urządzenia, o ile spełnione są następujące warunki:  

b.  instytucje  zamawiające  ustanawiają  wymagany  format  zaawansowanego  podpisu  

w oparciu o formaty ustanowione decyzją Komisji 2011/130/UE oraz wprowadzają niezbędne 

środki  umożliwiające  techniczne  przetwarzanie tych formatów;  w  przypadku gdy  stosowany 

jest  inny  format  podpisu  elektronicznego,  taki  podpis  lub  elektroniczny  nośnik  dokumentu 

muszą zawierać informację o istniejących metodach weryfikacji odpowiadają za to państwa 

członkowskie.  Metody  weryfikacji  umożliwiają  instytucji  zamawiającej  weryfikację  -  w  trybie 

online. nieodpłatnie i w  sposób zrozumiały dla osób niebędących rodzimymi użytkownikami 

danego  języka  -  otrzymanego  podpisu  elektronicznego  jako  zaawansowanego  podpisu 

elektronicznego opartego na kwalifikowanym certyfikacie.  

b.  Pa

ństwa  członkowskie  przekazują  Komisji  informacje  na  temat  podmiotu  świadczącego 

usługi  weryfikacji  a  Komisja  podaje  informacje  otrzymane  od  państw  członkowskich  do 

wiadomości publicznej w internecie; 

a.  jeżeli  oferta  jest  podpisywana  z  wykorzystaniem  kwalifikowanego  certyfikatu,  który  jest 

umieszczony  na  zaufanej  liście,  instytucje  zamawiające  nie  mogą  stosować  dodatkowych 

wymogów mogących utrudnić oferentom korzystanie z tych podpisów. 

(....)  Aby  zapewnić  interoperacyjność  formatów  technicznych,  a  także  standardów 

dotyczących procesów i przesyłania komunikatów, zwłaszcza w kontekście transgranicznym, 

Komisja  jest  uprawniona  do  przyjmowania  aktów  delegowanych  zgodnie  z  art.  87  w  celu 


ustanowienia  obowiązku  stosowania  takich  określonych  standardów  technicznych,  

w  szczególności  w  zakresie  stosowania  elektronicznego  składania  ofert,  katalogów 

elektronicznych i środków uwierzytelniania elektronicznego wyłącznie wtedy, gdy standardy 

techniczne  zostały  dokładnie  przetestowane  i  została  udowodniona  ich  przydatność  

w  praktyce.  Komisja,  zanim  nałoży  obowiązek  stosowania  jakiegokolwiek  standardu 

technicznego,  także  starannie  przeanalizuje  ewentualne  koszty  z  tym  związane,  zwłaszcza 

pod  kątem  dostosowania  do  istniejących  rozwiązań  z  zakresu  elektronicznych  zamówień 

pu

blicznych, w tym koszty infrastruktury, procesów lub oprogramowania.”. 

Odwołujący  stwierdził,  że analogiczne  regulacje znajdują się w  elDAS.  Przykładowo 

Odwołujący  przywołał  motyw  48,  gdzie  wskazano,  że:  „mimo,  iż  w  celu  zapewnienia 

wzajemnego  uznawania  po

dpisów  elektronicznych  konieczny  jest  wysoki  poziom 

bezpieczeństwa,  w  niektórych  przypadkach,  akceptowane  powinny  być  również  podpisy 

elektroniczne o n

iższym poziomie bezpieczeństwa.”, motyw 50, zgodnie z którym „Ponieważ 

właściwe  organy  w  państwach  członkowskich  używają  obecnie  różnych  formatów 

zaawansowanych  podpisów  elektronicznych  do  elektronicznego  podpisywania  swoich 

dokumentów,  państwa  członkowskie  powinny  zapewnić  możliwość  obsługi  pod  względem 

technicznym  co  najmniej  kilku  formatów  zaawansowanego  podpisu  elektronicznego  przy 

odbiorze dokumen

tów podpisanych elektronicznie.:, jak też motyw 54, gdzie stwierdzono, że 

„Transgraniczna interoperacyjność i transgraniczne uznawanie kwalifikowanych certyfikatów 

stanowią  warunek  wstępny  transgranicznego  uznawania  kwalifikowanych  podpisów 

elektronicznych.  Dlatego  kwalifikowane  certyfikaty  nie  powinny  podlegać  żadnym 

obowiązkowym wymogom przekraczającym wymogi określone w niniejszym rozporządzeniu, 

j

ednak  na  szczeblu  krajowym  należy  dopuścić  zawieranie  w  kwalifikowanych  certyfikatach 

szczególnych  atrybutów,  takich  jak  unikalne  identyfikatory,  pod  warunkiem  że  takie 

szczególne  atrybuty  nie  utrudniają  transgranicznej  interoperacyjności  i  transgranicznego 

uznawania  kwalifikowanych  certyfikatów  i  podpisów  elektronicznych.”.  Odwołujący  wskazał 

ponadto,  że  na  podstawie  art.  25  elDAS  „podpisowi  elektronicznemu  nie  można  odmówić 

skutku  prawnego  ani  dopuszczalności  jako  dowodu  w  postępowaniu  sądowym  wyłącznie  

z  tego  powodu,  że  podpis  ten  ma  postać  elektroniczną  lub  że  nie  spełnia  wymogów 

kwalifikowanych podmiotów elektronicznych.”.  

Odwołujący wskazał ponadto, że Komisja wydała w dniu 8 września 2015 r. decyzję 

wykonawczą  do  ww.  ustawy  ustanawiającą  specyfikacje  dotyczące  formatów 

zaawansowanych 

podpisów 

elektronicznych 

oraz 

zaawansowanych 

pieczęci 

elektronicznych, które mają być uznane przez podmioty sektora publicznego, zgodnie z art. 


27 ust. 5 i art. 37 ust. 5 elDAS. Zgodnie z brzmieniem ww. decyzji (

vide: załącznik I):  

„Wykaz  specyfikacji  technicznych  w  odniesieniu  do  zaawansowanych  podpisów 

elektronicznych  w  formatach  XML,  CMS  lub  PDF  oraz  ASiC  (Associated  Signature 

Container) 

Zaawansowane podpisy elektroniczne, o których mowa w art. 1 niniejszej decyzji, muszą być 

zgodne z jedną z następujących specyfikacji technicznych ETSl: 

Podstawowy profil XAdES 

ETSl TS 103171 v.2.1.1 

Podstawowy profil CAdES 

ETSl TS 103173 v.2.2.1 

Podstawowy profil PAdES 

ETSl TS 103172 v.2.2.2 

Format  ASiC  podpisu,  o  którym  mowa  w  art  1  niniejszej  decyzji,  musi  być  zgodny  

z następującą specyfikacją techniczną ETSl:  

Podstawowy profil ASiC ETSI TS 103174 v.2.2.1. 

Odwołujący podkreślił, że ww. standardy dopuszczają zastosowanie algorytmu skrótu 

SHA-1. 

Jak zauważył Odwołujący, ustawodawca jako podstawę wprowadzenia art. 137 uzoie 

upatruje  zalecenie  wyni

kające  ze  standardu  ETSl  TS  119  312,  który  nie  został 

wyspecyfikowany  w  ww.  decyzji. 

Odwołujący  podkreślił,  że  nawet  jeśli  ETSl  TS  119  312 

zastąpił  jeden  z  ww.  standardów  to  brak  jest  w  tym  zakresie  stosownych  zmian  prawnych  

w przywołanych powyżej aktach prawnych pozwalających na stwierdzenie, że zastosowanie 

algorytmu SHA-

1 powoduje nieważność kwalifikowanego podpisu. Odwołujący zaznaczył, że 

s

am  standard  ETSI  TS  119  312  pełni  funkcję  rekomendacji  i  zaleceń,  brak  jest  w  nim 

wyraźnej dyspozycji odnośnie zaprzestania zastosowania SHA-1. Jak podkreślił Odwołujący, 

zg

odnie  z  wytycznymi  zawartymi  w  dokumencie  „SHA-1  nie  jest  rekomendowany”,  co  nie 

oznacza niedopuszczalności jego wykorzystywania. 

Odwołujący  stwierdził,  że  jedynym  dopuszczonym  przez  elDAS  uzasadnieniem 

odrzucenia przez administrację publiczną dokumentu podpisanego ważnym kwalifikowanym 

podpisem  elektroni

cznym  może  być  powołanie  się  na  ograniczenia  techniczne,  które  nie 

pozwoliły urzędowi (zamawiającemu} dokonania prawidłowej analizy dokumentu ze względu 

na  zastosowany  w  podpisie  specyficzny,  nieobsługiwany  powszechnie  algorytm 


kryptograficzny. 

Odwołujący  zaznaczył,  że  ww.  okoliczność  nie  miała  miejsca  w  stanie 

faktycznym przedmiotowej sprawy. 

W świetle powyższego, zdaniem Odwołującego, nie sposób przyjąć, że art. 137 uzoie 

określający  datę  graniczną  wykorzystywania  algorytmu  skrótu  SHA-1  ma  moc  prawną 

nadrzędną  względem  regulacji  prawa  unijnego,  które  nakładają  na  Państwa  Członkowskie 

obowiązek  stanowienia  prawa,  które  nie  określa  żadnych  wymagań  w  tym  zakresie,  

a  dodatkowo  zakazują  stosowania  środków,  które  utrudniałyby  wykonawcom  udział  

w postępowaniach o udzielenie zamówienia publicznego. 

Odwołujący  zwrócił  uwagę,  że  na  terenie  Unii  Europejskiej  obowiązują  jednolite 

przepisy  dotyczące  usług  zaufania  i  uznawania  kwalifikowanego  podpisu  elektronicznego. 

Jak wskazał Odwołujący, nie jest możliwym wprowadzanie do krajowego porządku prawnego 

regulacji,  które  powodowałyby,  że  ten  sam  podpis  elektroniczny  byłby  uznawany  za 

nieważny  w  Polsce,  natomiast  ustawodawstwa  zagraniczne  traktowałyby  taki  podpis  jako 

skuteczny. 

Odwołujący  zwrócił  uwagę,  że  zgodnie  z  zasadą  neutralności  technologicznej, 

elDAS 

nie 

wyklucza 

zastosowania 

dowolnego 

sposobu 

tworzenia 

podpisów 

zaawansowanych,  pod  warunkiem,  że  utworzony  podpis  elektroniczny  spełnia  wymogi  art. 

32 elDAS. 

W przekonaniu Odwołującego, uznać należy, że dyspozycja płynąca z art. 137 uzoie 

nie  określa  nieważności  podpisów  kwalifikowanych  wykorzystujących  algorytm  SHA-1,  ale 

stanowi zalecenie do odejścia przez adresatów tejże ustawy ze stosowania ww. algorytmu. 

Odwołujący argumentował, że uzoie w art. 137 narzuca obowiązek zaprzestania stosowania 

algorytmu  SHA-

1  przez  administrację  publiczną  i  dostawców  usług  zaufania  (podkreślić 

należy,  że  adresatami  ustawy  nie  są  podmioty  wykorzystujące  kwalifikowane  podpisy 

elektroniczne),  co 

ma  mitygować  ryzyko  ewentualnych  manipulacji  oraz  ma  spowodować 

przygotowanie  krajowej  infrastruktury  wykorzystującej  usługi  zaufania  do  sytuacji,  gdy 

przepisy  nadrzędne  wprowadzone  przez  unijnego  prawodawcę  zakażą  wprost  stosowania 

SHA-1  pod  rygorem  nieuznawania  podpisu  elektronicznego  za  podpis  zaawansowany 

(szacowana data to styczeń 2020).  

Odwołujący  stwierdził,  że  konsekwencje  za  nieprzestrzeganie  wymogów  art.  137 

uzoie  mają  inny  charakter,  aniżeli  wywodzi  to  Zamawiający,  gdyż  skutki  nieprzestrzegania 

przepisów 

nie 

obejmują 

odpowiedzialności 

podmiotów 

wykorzystujący 

podpis. 

Odpowiedzialność ponieść może np. dostawca kwalifikowanych usług zaufania, np. poprzez 

utratę  kwalifikowanego  statusu  (wykreślenie  przez  nadzór  z  rejestru  kwalifikowanych 


dostawców)  czy  też  osoba,  która  odpowiedzialna  za  dostosowanie  do  wymogów  ustawy 

infrastruktury w danym urzędzie zaniedba swoich obowiązków (odpowiedzialność zawodowa 

lub służbowa). 

O

dwołujący  wskazał,  że  przenoszenie  na  wykonawcę  ciężarów  związanych  

z  wykorzystywaniem  na  potrzeby  prowadzonych  postępowań  portalu  komercyjnego 

wykorzystującego  jedynie  algorytm  skrótu  SHA-1  stanowi  rażące  naruszenie  art  7  ust.  1 

ustawy Pzp. 

Jak  stwierdził  Odwołujący,  w  przypadku  podjęcia  przez  Izbę  decyzji  o  oddaleniu 

odwołania pojawia się pytanie czy Zamawiający (jak również inni zamawiający korzystający  

z portalu smartpzp) są zobowiązani unieważnić wszystkie postępowania wszczęte po 1 lipca 

2018  r.  a  przed  20  grudnia  201

8  r.?  Co  z  postępowaniami,  które  zostały  zakończone? 

Odwołujący  wskazał,  że  zgodnie  ze  złożonym  przez  dostawcę  systemu  oświadczeniem, 

portal  w  ogóle  nie  wykorzystywał  algorytmu  SHA-256,  a  nie  jedynie  na  potrzeby 

przedmiotowego postępowania.  

Odwołujący  przywołał  także  wyrok  Trybunał  Sprawiedliwości  Unii  Europejskiej  z  13 

lipca 2017 r. wydany w sprawie C-35/17 Saferoad Grawil sp. z o.o. and Saferoad Kabex sp. 

z.o.o.  Generalna  Dyrekcja  Dróg  Krajowych  i  Autostrad  Oddział  w  Poznaniu,  w  którym 

Trybunał  stwierdził,  że  „zasadę  równego  traktowania  i  obowiązek  przejrzystości  należy 

interpretować  w  ten  sposób,  iż  stoją  one  na  przeszkodzie  wykluczeniu  wykonawcy  

z  przetargu  publicznego  wskutek  niedopełnienia  przez  niego  obowiązku,  który  nie  wynika 

wyraźnie z dokumentacji przetargowej lub obowiązującej krajowej ustawy, lecz z wykładni tej 

ustawy  i  tej  dokumentacji,  a  także  z  uzupełniania  przez  krajowe  organy  administracji  lub 

sądownictwa  administracyjnego  występujących  w  tej  dokumentacji  luk  (podobnie  wyrok  

z  dnia  2  czerwca  2016  r.,  Pizzo,  C-27/15,  EU:C:2016:404,  pkt  51). 

W  świetle  powyższego 

odpowiedź  na  przedstawione  pytania  powinna  brzmieć  następująco:  art.  2  dyrektywy 

2004/18, zasadę równego traktowania i obowiązek przejrzystości należy interpretować w ten 

sposób, że stoją one na przeszkodzie wykluczeniu wykonawcy z postępowania o udzielenie 

zamówienia publicznego wskutek niespełnienia przez tego wykonawcę obowiązku, który nie 

wynika  wyraźnie  z  dokumentacji  przetargowej.”.  Odwołujący  przywołał  też  wyrok  Krajowej 

Izby 

Odwoławczej z dnia 11 grudnia 2017 r., sygn. akt KIO 2479/17.  

W  świetle  powyższego,  Odwołujący  wyraził  przekonanie,  że  przedstawiona 

argumentacja,  że  wykonawca  winien  przewidzieć  jakiego  rodzaju  algorytmu skrótu  podpisu 

kwalifikowanego  winien  użyć  na  potrzeby  złożenia  oferty  jest  twierdzeniem  niezasadnym 


oraz prowadzi do zmiany zapisów SIWZ po terminie składania ofert. 

Dodatkowo,  Odwołujący  zwrócił  uwagę,  że  Zamawiający  w  Specyfikacji  Istotnych 

Warunków  w  sposób  szczegółowy  opisał  zasady  złożenia  oferty  za  pośrednictwem  ww. 

portalu,  w  tym  również  zasady  opatrywania  dokumentów  kwalifikowanym  podpisem 

elektronicznym.  Odwołujący  przywołał  pkt  7.3,  7.5,  7.4,  10.1,  10.2,  10.2.1,  10.2.2,  10.2.3 

SIWZ. 

Odwołujący  zaznaczył,  że  wszystkie  dokumenty  złożone  wraz  z  ofertą  (kosztorysy 

ofertowe, J

EDZ etc.) zostały opatrzone podpisem kwalifikowanym z algorytmem skrótu SHA-

256.  N

iezrozumiałym  jest  dla  Odwołującego  przyjęcie,  że  Odwołujący  nie  sprostał 

wymaganiom,  które  zdaniem  Zamawiającego,  wynikają  z  art.  137  uzoie.  Odwołujący 

stwierdził,  że  ww.  dokumenty  zostały  załączone  i  są  dostępne  na  portalu: 

https://portal.smartpzp,pl/mikolow/public/postepowanie?postepowanie=140144.  Pliki  mogą 

zostać  pobrane  na  dysk  komputera,  a  otwarcie  pobranych  plików  za  pomocą  programu 

dedykowan

ego do opatrywania dokumentów kwalifikowanym podpisem elektronicznym i ich 

weryfikacji wykazuje, że wykorzystywany algorytm to SHA-256.  

W  ocenie  Odwołującego,  Zamawiający  dokonał  pobieżnej  i  niedokładnej  oceny 

złożonych  dokumentów,  w  tym  weryfikacji  kwalifikowanych  podpisów  elektronicznych, 

bazując  jedynie  na  oświadczeniu  dostawcy  portalu,  na  którym  było  prowadzone 

postępowanie przetargowe. Wskazania wymaga, że z treści oświadczenia ww. dostawcy nie 

wynika, 

jakoby  to  Odwołujący  wykorzystywał  niewłaściwy  podpis  („portal  wykorzystywał 

podpis  z  funkcjonalnością  skrótu  SHA-1”).  Zdaniem  Odwołującego,  Zamawiający  błędnie 

zinterpretował  uzyskane  oświadczenie,  co  skutkował  przyjęciem,  że  oferta  Odwołującego 

podlega odrzuceniu. 

Odwołujący  wyraził  przekonanie,  że  w  świetle  przedstawionej  przez  Odwołującego 

argumentacji, 

nie powinno budzić żadnych wątpliwości, że odwołanie zasługuje w całości na 

uwzględnienie.  Odwołujący  zauważył,  że  Izba  w  orzeczeniu  o  sygn.  akt  KIO  2428/18  

w  sposób  ogólny  odniosła  się  do  charakteru  art.  137  uzoie  z  uwagi  na  okoliczność,  że  na 

kanwie  ww.  sprawy  oferta  wykonawcy

,  który  posłużył  się  kwalifikowanym  podpisem 

elektronicznym  z  algorytmem  skrótu  SHA-1,  podlegała  odrzuceniu  z  uwagi  na  inne 

okoliczności  (niezgodność  z  SIWZ).  Z  uwagi  na  powyższe,  Izba  nie  dokonała  pogłębionej 

analizy  przepisów  w  tym  zakresie,  przyjmując  w  całości  zasadność  zarzutów  odwołania. 

Odwołujący zaznaczył również, że orzeczenie KIO wydane w konkretnej sprawie, nie stanowi 

źródła prawa  w  Polsce,  zatem  organy  orzecznicze nie są zobowiązane  niejako  z  automatu 

przyjmować zasadności stanowiska Izby wydanego w ww. sprawie. 


Izba  ustaliła,  że  podstawą  odrzucenia  oferty  złożonej  przez  Odwołującego  było 

stwierdzenie  przez  Zamawiającego  w  piśmie  z  dnia  18  stycznia  2019  r.,  że  złożona  przez 

Odwołującego  oferta  jest  nieważna  na  podstawie  odrębnych  przepisów,  a  zatem  podlega 

odrzuceniu na podstawie art. 89 ust. 1 pkt 8 ustawy Pzp. Zamawiający uzasadniając swoją 

decyzję  wskazał,  że  zgodnie  z  art.  10a  ust.  5  ustawy  Pzp,  ofertę  sporządza  się  w  postaci 

elektronicznej i opatruje kwalifikowanym podpisem elektronicznym pod rygorem nieważności. 

Zamawiający podał, że składanie ofert odbywało się za pośrednictwem komercyjnego portalu 

smartpzp.pl.  Zgodnie  z  instrukcją  korzystania  z  tego  portalu,  złożenie  oferty  polegało  na 

wypełnieniu  formularza  oferty  zamieszczonego  bezpośrednio  na  portalu  i  opatrzenie  go 

kwalifikowanym  podpisem  elektronicznym.  Zamawiający  wskazał,  że  w  postępowaniu  jako 

treść  oferty  Zamawiający  żądał  złożenie  również  kosztorysu  ofertowego,  który  należało 

opatrzyć  kwalifikowanym  podpisem  elektronicznym  i  dołączyć  do  dokumentów  składanych 

wraz  z  ofertą.  Zamawiający  stwierdził,  że  Odwołujący  złożył  ofertę  zgodnie  z  instrukcją 

korzystania z portalu 

smartpzp.pl. Zamawiający wskazał także, że w trakcie badania i oceny 

oferty natrafił na trudności z weryfikacją kwalifikowanego podpisu elektronicznego złożonego 

za pośrednictwem aplikacji zaimplementowanej w funkcjonalności portalu smartpzp.pl, czego 

skutkiem  było  wystąpienie  do  podmiotu  zarządzającego  portalem  o  wyjaśnienie  kwestii 

weryfikacji  złożonego  podpisu.  Jednocześnie  Zamawiający  podał,  że  weryfikacja  podpisów 

dokumentów i oświadczeń złożonych wraz z ofertą (JEDZ, kosztorysy ofertowe) wykazała ich 

prawidłowość.  

Zamawiający  wskazał  również,  że  w  dniu  18  stycznia  2018  r.  przedstawiciel  portalu 

smartpzp stwierdził, że „nie ma możliwości aby Wykonawca złożył ofertę w trybie przetargu 

nieograniczonego,  bez  potwierdzenia  jej  podpisem  elektronicznym”,  powołując  się  również 

na  treść  instrukcji  składania  oferty  dla  wykonawców.  O  prawidłowości  złożonego  podpisu 

miał świadczyć również raport z czynności złożenia oferty wygenerowany przez portal – plik 

00006PN1E2018.pdf. 

Zamawiający poinformował, że bazując na tym oświadczeniu w dniu 9 

stycznia 20

19 r. dokonał czynności wyboru oferty Odwołującego.  

Zamawiający  poinformował  ponadto,  że  w  tym  samym  dniu  Zamawiający  powziął 

wiedzę  o  wyroku  Krajowej  Izby  Odwoławczej  z  dnia  10  grudnia  2018  r.,  sygn.  akt  KIO 

2428/18,  w  którym  za  wadliwy  i  skutkujący  obowiązkiem  odrzucenia  oferty  uznano 

kwalifikowany  podpis  elektroniczny  złożony  przy  zastosowaniu  algorytmu  skrótu  podpisu 

SHA-1. 

Z uwagi na powyższe, Zamawiający wystąpił ponownie do podmiotu zarządzającego 

portalem  smartpzp  o  przekazanie  oświadczenia,  jakiego  rodzaju  algorytmu  skrótu  podpisu 

użyto przy składaniu podpisu kwalifikowanego dla oferty Odwołującego. W dniu 14 stycznia 


2019  r.  Prezes  Zarządu  podmiotu  zarządzającego  portalem  (Portal  PZP  Sp.  z  o.o.) 

jednoznacznie  oświadczyła,  że  na  dzień  składania  ofert  )6  grudnia  2018  r.)  portal 

wykorzystywał  podpis  z  funkcjonalnością  skrótu  SHA-1.  Dodatkowo  16  stycznia  2019  r. 

podmiot  zarządzający  portalem  poinformował,  że  dopiero  od  20  grudnia  2018  r.  portal 

wykorzystuje podpis z funkcjonalnością skrótu SHA-256.  

Za

mawiający  podniósł,  że  kwestia  prawidłowości  wykorzystywanych  skrótów 

podpisów  elektronicznych  została  uregulowana  w  art.  137  uzoie. We  wskazanym  przepisie 

ustawodawca  jednoznacznie  wskazał,  zdaniem  Zamawiającego,  że  do  składania 

zaawansowanych podpisów elektronicznych można stosować funkcję skrótu SHA-1 tylko do 

1 lipca 2018 r. i w ust. 2 tego artykułu nałożył na producentów oprogramowania obowiązek 

dostosowania  oferowanych  przez  nich  produktów  do  wskazanego  powyżej  terminu  

i wymagań. Jak zauważył Odwołujący, podmiot zarządzający portalem smartpzp wypełnił ten 

obowiązek ustawowy dopiero 20 grudnia 2018 r., czego konsekwencją było złożenie podpisu 

elektronicznego  w  dniu  6  grudnia  2018  r.  za  pośrednictwem  portalu  z  wykorzystaniem 

niedozwolonej funkcji skrótu SHA-1.  

Zamawiający  podkreślił,  że  Odwołujący  składając  podpis  za  pośrednictwem  portalu 

nie miał wpływu na to, jakiej funkcji skrótu podpisu używa portal, miał jednak świadomość, że 

od  2  lipca  2018  r.  powinna  być  to funkcja  skrótu  SHA-256,  gdyż  takiej  użył  przy  składaniu 

podpisów na dokumentach dołączonych do oferty, które podpisał bez pośrednictwa portalu. 

Zamawiający stwierdził, że w świetle wyroku Izby o sygn. akt KIO 2428/18 nie może uznać 

prawidłowości  podpisu  oferty,  pomimo  że  nieprawidłowość  była  konsekwencją  wadliwego 

działania portalu i zobowiązany jest do odrzucenia oferty.  

K

rajowa  Izba  Odwoławcza,  rozpoznając  złożone  odwołanie  na  rozprawie  

i  uwzględniając  zgromadzony  materiał  dowodowy  wymieniony  w  treści  uzasadnienia,  jak 

również  stanowiska  stron  postępowania  zaprezentowane  na  piśmie  i  ustnie  do  protokołu 

posiedzenia i rozprawy, ustaliła i zważyła co następuje. 

Izba  stwierdziła,  że  odwołujący  legitymuje  się  interesem  we  wniesieniu  środka 

ochrony prawnej, o którym mowa w art. 179 ust. 1 ustawy Pzp. Zakres zarzutów, w sytuacji 

ich  potwierdzenia  się,  wskazuje  na  pozbawienie  Odwołującego  możliwości  uzyskania 


zamówienia  i  jego  realizacji,  narażając  go  tym  samym  na  poniesienie  w  tym  zakresie 

wymiernej szkody. 

Rozpoznając odwołanie w granicach podniesionych zarzutów Izba uznała, że podlega 

ono uwzględnieniu.   

Izba stwierdziła, że żaden z przepisów prawa nie wskazuje, że kwalifikowane podpisy 

elektroniczne  wykorzystujące  algorytm  skrótu  SHA-1  powinny  być  od  dnia  1  lipca  2018  r. 

uznawane za nieważne.  

S

ankcji  nieważności  na  podpisy  złożone  po  dniu  1  lipca  2018  r.  z  ich 

uwierzytelnieniem przy użyciu algorytmu SHA-1 nie nakłada art. 137 uzoie. Zgodnie z ust. 1 

art.  137  uzoie,  d

o  dnia  1  lipca  2018  r.  do  składania  zaawansowanych  podpisów 

elektronicznych  lub 

zaawansowanych  pieczęci  elektronicznych  można  stosować  funkcję 

skrótu  SHA-1,  chyba  że  wymagania  techniczne  wynikające  z  aktów  wykonawczych 

wydanych na podstawie rozporządzenia 910/2014 wyłączą możliwość stosowania tej funkcji 

skrótu.  Ust.  2  tego  przepisu  stanowi,  że  dostawcy  usług  zaufania,  producenci 

oprogramowania  oraz  podmioty  publiczne  obowiązani  są  do  odpowiedniego  dostosowania 

oprogramowania oraz  systemów teleinformatycznych do  zmian  i  terminu określonych w  ust 

Izba  zgodziła  się  ze  stanowiskiem,  że  przepis  ten  należy  interpretować  jako  dyspozycję 

skierowaną  do  dostawców  usług  zaufania,  producentów  oprogramowania  oraz  podmiotów 

publicznych 

zobowiązanych  do  odpowiedniego  dostosowania  oprogramowania  oraz 

systemów  teleinformatycznych  do  przejścia  na  wyższy  poziom  bezpieczeństwa  podpisu.  

Z przepisu tego nie można jednak wywieść, że tego typu zobowiązanie skierowane do  ww. 

podmiotów  skutkuje  odpowiedzialnością  po  stronie  uczestników  obrotu,  wykorzystujących 

podpis z algorytmem SHA-1, 

w postaci nieważności podpisu. Izba miała również na uwadze 

dyspozycję  art.  18  ust.  1  uzoie,  który  stanowi,  że:  „Podpis  elektroniczny  lub  pieczęć 

elektroniczna  weryfikowane  za  pomocą  certyfikatu  wywołują  skutki  prawne,  jeżeli  zostały 

złożone  w  okresie  ważności  tego  certyfikatu”.  Co  za  tym  idzie,  nie  można  odmówić 

podpisowi  elektronicznemu  statusu  kwalifikowanego  podpisu  elektronicznego,  ani  jego 

ważności, w sytuacji, gdy taki podpis został złożony w okresie ważności certyfikatu.  

Wprowadzenie  rygoru  nieważności  podpisu  w  polskim  prawie  powodowałoby 

powstanie  sprzeczności  z  Rozporządzeniem  910/2014,  które  nie  przewiduje  negatywnych 

skutków  dla  kwalifikowanych  podpisów  elektronicznych  wytworzonych  z  wykorzystaniem 

funkcji skrótu SHA-1. Podobnie, dyrektywa 2014/24/UE art. 22 ust. 6 lit. c) pkt (ii) wskazuje, 

że  jeżeli  oferta  jest  podpisywana  z  wykorzystaniem  kwalifikowanego  certyfikatu,  który  jest 


umieszczony  na  zaufanej  liście,  instytucje  zamawiające  nie  mogą  stosować  dodatkowych 

wymogów  mogących  utrudniać  oferentom  korzystanie  z  tych  podpisów.  Z  przepisów 

przywołanych  aktów  wspólnotowych  należy  wywieść,  że  nie  można  odmówić  ważności 

kwalifikowanemu  podpisowi  elektronicznemu  złożonemu  z  zastosowaniem  skrótu  SHA-1, 

skoro  spełnia  on  przesłanki  Rozporządzenia  910/2014,  a  stwierdzenie  nieważności  takiego 

podpisu  stanowiłoby  nieuprawnione  tworzenie  wymogów  utrudniające  składanie  ofert  

w formie elektronicznej.  

W przedmiotowej sprawie za istotną Izba uznała również okoliczność, że Odwołujący 

składając  ofertę  działał  zarówno  w  zgodzie  z  postanowieniami  Specyfikacji  Istotnych 

Warunków  Zamówienia,  jak  również  zgodnie  z  instrukcją korzystania z  portalu  smartpzp.pl. 

W

szystkie  dokumenty  załączone  do  oferty  zostały  opatrzone  przez  Odwołującego 

kwalifikowanym  podpisem  elektronicznym  wykorzystującym  algorytm  skrótu  SHA-256,  co 

st

anowiło  okoliczność  bezsporną.  Jedynie  formularz  oferty  zamieszczony  bezpośrednio  na 

portalu, za pośrednictwem którego odbywało się składanie ofert, został opatrzony podpisem 

wykorzystującym  algorytm  skrótu  SHA-1.  Przyczyną  tego  było  nie  działanie  wykonawcy,  

a  funkcjonowanie  portalu,  który  nie  umożliwiał  wykorzystania  podpisu  z  funkcjonalnością 

SHA-256. 

Jednocześnie,  złożone  pod  dokumentami  i  oświadczeniami  podpisy  zostały 

zweryfikowane  pozytywnie,  co  stwierdził  Zamawiający  w  piśmie  z  dnia  18  stycznia  2019  r. 

Powyższe potwierdził także przedstawiciel portalu smartpzp stwierdzając w piśmie z dnia 18 

grudnia  2018  r.,  że  nie  ma  możliwości,  aby  wykonawca  złożył  ofertę  w  trybie  przetargu 

nieograniczonego bez potwierdzenia jej podpisem elektronicznym.   

Mając  powyższe  na  uwadze,  Izba  zgodziła  się  z  Odwołującym,  że  uznanie  przez 

Zamawiającego  za  nieprawidłowy  podpisu  użytego  przy  podpisywaniu  oferty,  stanowiło 

czynność  nieuprawnioną,  bowiem  dokument  ten  został  opatrzony  ważnym  podpisem 

kwalifikowanym,  zgodnie  z  wymogami  prawa. 

W konsekwencji, potwierdzenie znalazł także 

zarzut  niezasadnego  unieważnienia  przez  Zamawiającego  postępowania  z  uwagi  na 

przyjęcie,  że  w  postępowaniu  nie  złożono  żadnej  oferty  niepodlegającej  odrzuceniu.  Tym 

sa

mym,  potwierdziły  się  zarzuty  naruszenia  przez  Zamawiającego  przepisów  wskazanych  

w odwołaniu.  

Z  uwagi  na 

powyższe,  na  podstawie  art.  192  ust.  1  i  2  ustawy  Pzp,  orzeczono  jak  

w sentencji.  


O  kosztach  postępowania  orzeczono  na  podstawie  art.  192  ust.  9  i  10  ustawy  Pzp 

oraz  §  5  ust.  2  pkt  1  rozporządzenia  Prezesa  Rady  Ministrów  z  dnia  15  marca  2010  r.  

w    sprawie  wysokości  wpisu  od  odwołania  oraz  rodzajów  kosztów  w  postępowaniu 

odwoławczym i sposobu ich rozliczania (Dz. U. Nr 41, poz. 238 ze zm.).    

P

rzewodniczący :  ……………………………… 

……………………………… 

……………………………… 


wiper-pixel