018-126/2012 Osnovno zdravstvo Gorenjske

Številka: 018-126/2012-4

SKLEP

Državna revizijska komisija za revizijo postopkov oddaje javnih naročil (v nadaljnjem besedilu: Državna revizijska komisija) je na podlagi 39. in 70. člena Zakona o pravnem varstvu v postopkih javnega naročanja (Uradni list RS, št. 43/2011, s spremembami; v nadaljevanju: ZPVPJN) po članici Sonji Drozdek šinko, v postopku pravnega varstva pri oddaji javnega naročila "Vzpostavitev sistema upravljanja varovanja informacij SUVI" in na podlagi zahtevka za revizijo ponudnika UNISTAR LC d.o.o., Kotnikova 32, Ljubljana (v nadaljevanju: vlagatelj), zoper ravnanje naročnika Republika Slovenija, OSNOVNO ZDRAVSTVO GORENJSKE, Gosposvetska ulica 9, Kranj (v nadaljevanju: naročnik), dne 28.05.2012

ODLOČILA

1. Zahtevku za revizijo se ugodi in se v celoti razveljavi postopek oddaje javnega naročila "Vzpostavitev sistema upravljanja varovanja informacij SUVI".


2. Zahtevi vlagatelja za povrnitev stroškov se ugodi. Naročnik je dolžan povrniti vlagatelju stroške v znesku 750,00 EUR, v roku 15 dni od prejema tega sklepa, da ne bo izvršbe.

Obrazložitev

Naročnik je dne 25.01.2012 sprejel sklep o začetku postopka oddaje predmetnega javnega naročila po postopku male vrednosti. Naročnik je javno naročilo objavil na Portalu javnih naročil, dne 07.02.2012, pod št. objave NMV 328/2012.

Zoper razpisno dokumentacijo je vlagatelj dne 23.02.2012 (pravočasno) vložil zahtevek za revizijo. Vlagatelj zatrjuje, da so naročnikove zahteve iz točke 7.7 (Kadrovska sposobnost) postavljene v nasprotju s temeljnimi načeli javnega naročanja

Vlagatelj se ne strinja z naročnikovo zahtevo, v skladu s katero mora vodja izvedbe izkazati, da je izvedel najmanj štiri usposabljanja zdravstvenega osebja s področja vpeljave celotnega upravljanja varovanja informacij, pri čemer mora biti vsako izmed izobraževanj daljše od 30 ur. Vlagatelj navaja, da zahtevano trajanje izobraževanja ni v povezavi s predmetnim javnim naročilom. Vlagatelj pojasnjuje, da je ob vpeljevanju SUVI običajno (hkrati je navedeno tudi zahteva standarda ISO/IEC 27001), da se izvaja izobraževanje za uporabnike sistema. Ob tem se izvajajo različna izobraževanja, in sicer:

1. Izobraževanje za uporabnike oziroma zaposlene - običajno se izvede ob koncu projekta in traja od dve do štiri ure.
2. Izobraževanje za novozaposlene - običajno se izvede ob novih zaposlitvah ali premestitvah zaposlenih znotraj podjetja in traja od dve do štiri ure.
3. Izobraževanje za skrbnike informacij - običajno se izvede ob vzpostavitvi tehnične ali druge kontrole, dolžina izobraževanja za potrebe SUVI ni daljša od 4 ur.
4. Izobraževanje za notranje presojevalce - takšno izobraževanje izvajajo pooblaščeni izvajalci (npr.: SIQ, Bureau Veritas), včasih tudi komercialni ponudniki (Palsit) ter trajajo dva do tri dni, torej ne presegajo 24 ur. Po takšnem izobraževanju udeleženci (v okviru 24 ur) opravijo izpit za notranjega presojevalca in dobijo ustrezno potrdilo in naziv, s čimer se lahko vpišejo v Register notranjih presojevalcev, ki ga vodi SIQ.

Vlagatelj še navaja, da je naročnik dolžino uposabljanja zdravstvenega osebja določil tudi na podlagi priporočil Ministrstva za zdravje. Vlagatelj zatrjuje, da vzpostavitev sistemov upravljanja varovanja informacij ni delovno področje Ministrstva za zdravje, četudi bi bilo, pa takšno priporočilo ni zavezujoče in ne more biti zakonita podlaga za določitev diskriminatornega pogoja.

Vlagatelj zatrjuje, da je nesorazmerna tudi zahteva, ki se nanaša na število usposabljanj zdravstvenega osebja. Vlagatelj navaja, da se SUVI v zdravstvo šele vpeljuje in zato lahko naročnik pričakuje zgolj ponudbo družbe Astec d.o.o., ki je edina izvedla tovrstna usposabljanja, ki so se izvajala na Ministrstvu za zdravje v preteklem letu. Navedena zahteva omejuje konkurenco, je nesorazmerna s predmetom javnega naročila in postavljena v nasprotju z načelom enakopravne obravnave pobnudnikov ter ne omogoča gospodarne in učinkovite porabe proračunskega denarja.

Vlagatelj navaja, da naročnik tudi zahteva, da je vodja izvedbe SUVI sodeloval pri najmanj dveh projektih s področja priprave celovite informacijske varnostne politike, ki je usklajena s standardom ISO 27001:2005 v zdravstvenih zavodih in da vodja izvedbe svojo strokovnost dokazuje s certifikatom preizkušeni revizor informacijskih sistemov (PRIS). Zahteva, da se morata projekta nanašati na zdravstvene zavode je nesorazmerna in ne zagotavlja konkurence ter enakopravne obravnave med ponudniki. Vzpostavitev upravljanja varovanja informacij SUVI poteka po enakih pravilih in standardih, ne glede na to, kje se izvaja.

Vlagatelj navaja, da tudi zahteva, v skladu s katero mora vodja izvedbe SUVI svojo strokovnost dokazovati s certifikatom PRIS ni smiselno povezana z vsebino predmetnega javnega naročila. Vlagatelj poudarja, da je PRIS (pooblaščeni revizor informacijskih sistemov) naziv revizorja informacijskih sistemov. Varovanje informacij, zatrjuje vlagatelj, je v enem delu povezano z informacijskimi sistemi, vendar se SUVI uvaja tudi za vsa ostala področja, kjer se informacije nahajajo, zato bi pooblaščeni revizor informacijskih sistemov (PRIS) pokril le enega izmed segmentov, ki jih upravlja SUVI.

Vlagatelj navaja, da je diskriminatorna tudi zahteva, v skladu s katero naročnik zahteva, da mora imeti vodja izvedbe SUVI certifikat CISA/CISM (ISACA). Navedena zahteva, navaja vlagatelj, se ne omejuje zgolj na cerifikat pač pa tudi na izdajatelja certifikata (ISACA). Vlagatelj pojasnjuje, da obstajajo za področje SUVI mednarodno priznani certifikati, ki so specializirani za to področje, torej je zahteva po CISA (ISACA) nesorazmerna s predmetom javnega naročanja.

Vlagatelj navaja, da je predmet javnega naročila vzpostavitev sistema upravljanja varovanja informacij po standardu ISO/IEC 27001 in zahtevah Ministrstva za zdravje po prejektu e-zdravje.

Vlagatelj pojasnjuje, da izvajajo usposabljanje za vodilne presojevalce, ki so najbolj usposobljeni za uvajanje standardov, certificirane institucije, kot so npr. SIQ in Bureau Veritas. Izobraževanje traja 5 dni in se zaključi s poldnevnim izpitom, na podlagi uspešno opravljenega izpita pa obe instituciji izdajata tudi mednarodno veljavne certifikate, s katerimi je mogoče izvesti tudi vpis v mednarodne registre (npr.: IRCA).

Vlagatelj še pojasnjuje, da je izobraževanje za naziv CISA in CISM visoko strokovno in mednarodno priznano, vendar temelji na drugačnih standardih. CISA in CISM sta naziva, ki vključujeta predvsem poznavanje okvira Cobit in drugih, za zadruženje ISACA značilnih standardov. CISA in CISM sta izjemno cenjena naziva na področju varovanja informacij, ki pa neposredno ne vključujeta izobraževanja po standardu ISO/IEC 27001.

Vlagatelj še navaja, da je odgovor naročnika, da je v Sloveniji več kot 70 strokovnjakov z zahtevanim certifikatom sicer točen, vendar pa je znano tudi dejstvo, da je večina teh strokovnjakov zaposlenih v zasebnem sektorju in imajo skladno s konkurenčno klavzulo, prepoved nastopanja na trgu. Tako je število teh strokovnjakov bistveno manjše.

Vlagatelj navaja, da je naročnik v 8. točki razpisne dokumentacije zapisal, da mora posamezne pogoje (torej tudi tehnične in kadrovske) izpolniti vsak izmed partnerjev. Takšna zahteva je nesmiselna in nezakonita, saj je namen skupne ponudbe v tem, da ponudniki skupaj izpolnijo zahtevane pogoje, ki se nanašajo na izkazovanje tehničnih in kadrovskih zahtev.

Vlagatelj zatrjuje, da je naročnik sporni segment razpisne dokumentacije prilagodil kadrovskim zmogljivostim družbe Astec d.o.o., saj je navedena družba edina, ki lahko izpolni vse zahteve naročnika.

Vlagatelj predlaga, da se postopek oddaje predmetnega javnega naročila razveljavi in zahteva povrnitev stroškov vplačane revizijske takse.

Naročnik je zahtevek za revizijo zavrnil in posledično zavrnil tudi vlagateljevo zahtevo za povrnitev stroškov (dokument št. JN - 007/2012 - re, z dne 04.04.2012). Naročnik navaja, da pravni sistem varuje enakopravnost ponudnikov in zagotavljanje konkurence pri ponujanju storitev, vendar pa enakopravnosti ni mogoče razumeti kot absolutne. Enakopravnost namreč ne pomeni, da je potrebno vsem ponudnikom dejansko omogočiti enak položaj. Zaradi različnih ekonomskih, tehničnih, kadrovskih in tudi naravnih danosti je dejanski položaj ponudnikov različen, prednosti, ki jih te dajejo pa je dovoljeno in pogosto celo gospodarno upoštevati.

Naročnik poudarja, da razpisnih pogojev ni prilagodil družbi Astec d.o.o. in zatrjuje, da zgolj dejstvo, da je ponudbo oddala le navedena družba še ne pomeni, da na trgu ni drugih ponudnikov, ki bi prav tako lahko izpolnili vse zahteve iz razpisne dokumentacije.

Naročnik pojasnjuje, da na področju izobraževanja in certificiranja za ISO 27001 obstaja več ponudnikov. Naročnik navaja, da SIQ in Bureau Veritas obsegata znanja o presojanju SUVI, ne omogočata pa svetovanja strankam, kar je njegova ključna zahteva. CISA od ISACA obsega znanje celotne skupine ISO standardov glede varovanja informacij (med njimi tudi ISO/IEC 27001 in ISO/IEC 27799, ki je usmerjen na varovanje informacij v zdravstvenih zavodih ter ostalih standardov, kot na primer COBIT, NIST, ISO â??), nosilcu pa omogoča tudi pomoč in svetovanje pri vpeljavi SUVI. Naročnik poudarja, da je število certificiranih oseb CISA veliko večje kot pri SIQ ali pri Bureau Veritas, kar pomeni, da je vlagateljeva navedba o neenakopravnem obravnavanju brezpredmetna.

Pri zahtevanih certifikatih, pojasnjuje naročnik, je potrebno ločiti vsaj dvoje izobraževanj, in sicer izobraževanje za notranje presojevalce (katerih potrdila navaja vlagatelj) in izobraževanje za vodilne presojevalce sistema za upravljanje varovanja informacij po standardu ISO/IEC 27001:2005. Notranji presojevalec je usposobljen za izvajanje notranje presoje, ki se izvaja po že vpeljanem sistemu za upravljanje varovanja informacij. Njegova usposobljenost ni zadostna za izvedbo in uvajanje SUVI ter izobraževanje uporabnikov. Navedeno lahko deloma izvede vodilni presojevalec sistema za upravljanje varovanja informacij ISO/IEC 27001:2005, katerega predpogoj je opravljeno izobraževanje za notranje presojevalce. Namestnik vodje izvedbe SUVI in predavatelj mora imeti izkušnje z izobraževanjem za vse, ki bodo imeli naloge upravljanja, nadzorovanja in upoštevanja postopkov varovanja informacij. Predavatelji, ki predavajo na poglobljenih izobraževanjih (revizorji informacijskih sistemov, presojevalci ISO/IEC 27001â??) za upravljalce sistemov upravljanja varovanja informacij imajo predavanja, ki obsegajo več kot 30 ur, kar zagotavlja, da imajo ustrezen nivo znanja za prenos na poslušalce, poleg tega je nabor predavateljev širok in ne izključuje uporabe predavateljev kot podizvajalcev. Predavatelji, ki niso predavali na poglobljenih izobraževanjih (npr.: izključno notranja presoja ISO/IEC 27001) imajo le znanja o posameznem elementu nadzorovanja postopka varovanja informacij in kot taki ne morejo zagotoviti dovolj kakovostnega upravljanja postopkov varovanja informacij.

Naročnik še navaja, da je pri oblikovanju zahtev izhajal iz dejstva, da morajo imeti predavatelji znanja s področja zdravstva, saj le tako zagotovijo ustreznost prenosa znanj o sistemu za upravljanje varovanja informacij za vse, ki bodo sodelovali pri upravljanju, nadzorovanju ali upoštevanju postopkov v zdravstvenih zavodih. Kot pojasnjuje naročnik, je področje zdravstva specifično in zahteva poznavanje specifičnih področij.

Naročnik navaja, da je zahtevano trajanje izobraževanja sorazmerno tako s primeri iz gospodarstva, kot iz zdravstva, kar dokazujejo že vlagateljeve navedbe, ki se nanašajo na različna izobraževanja. Naročnik ugotavlja, da seštevek ur izobraževanja, ki jih navaja vlagatelj, presega 30 ur.

Naročnik pojasnjuje, da je pri pripravi razpisa upošteval pozitivne izkušnje, ki jih je pridobilo Ministrstvo za zdravje, ki je izobraževanje za zdravstveni kader izvajalo v letih 2010 in 2011. Na podlagi priporočil navedenega ministrstva, pojasnjuje naročnik, je določena dolžina usposabljanja zdravstvenega osebja.

Naročnik še pojasnjuje, da je bilo v preteklosti področje informatike v zdravstvu podhranjeno in se ne more primerjati z drugimi področji (z davčno upravo, bankami in podobno). Iz navedenega razloga bo za zdravstveno osebje potreben dodatni čas pri usposabljanju, saj gre za osnove, ki so zelo zahtevne.

Pridobitev certifikata CISA oziroma CISM (ISACA) ter nadgradnja omenjenih certifikatov z nazivom PRIS, še navaja naročnik, dokazuje visoko usposobljenost vodje izvedbe SUVI ter namestnika vodje in predavatelja, in sicer glede poznavanja postopkov varovanja informacij po mednarodno priznanih metodologijah in zahtevah standardov ter znanja o svetovanju glede vzpostavitve SUVI, kar opredeljuje tako ISACA kot Inštitut za revizijo. PRIS certifikat predstavlja bistveno bolj poglobljeno poznavanje varovanja podatkov kot certifikat za vodilnega presojevalca ISO/IEC 27001, ki ne opredeljuje znanj glede svetovanja za vzpostavitev SUVI, prav tako pa drugi certifikati za svetovalca SUVI ne obstajajo. CISA in CISM certifikat v Sloveniji poseduje več kot 100 oseb, izmed katerih jih je 70 naveden certifikat nadgradilo še z nazivom PRIS. Teh oseb je več kot je nosilcev certifikata za vodilnega presojevalca ISO/IEC 27001.

Naročnik še pojasnjuje, da lahko gospodarski subjekti (ob upoštevanju drugega odstavka 45. člena ZJN-2) izkažejo izpolnjevanje kadrovske sposobnosti (med drugim) na naslednja načina: 1. z navedbo tehničnega osebja ali strokovnih organov, ki bodo sodelovali pri izvedbi naročila, ne glede na to, ali so zaposleni pri gospodarskem subjektu oziroma zanj opravljajo ali bodo opravljali dela, zlasti pa tistih, ki so odgovorni za nadzor kakovosti in 2. z navedbo izobrazbene in strokovne kvalifikacije oseb pri izvajalcu storitve oziroma gradnje in/ali kvalifikacije oseb, odgovornih za vodenje projektov, zlasti pa oseb, ki bodo vodile izvedbo storitve oziroma gradnje.

Vlagatelj se je z vlogo, z dne 13.04.2012, opredelil do naročnikovih navedb. Vlagatelj navaja, da v razpisni dokumentaciji ne najde niti ene določbe, s katero bi naročnik zahteval/predvidel tudi svetovanje na področju SUVI. Kot ugotavlja vlagatelj, je naročnik razpisal vzpostavitev sistema varovanja informacij in ne svetovanja za vzpostavitev SUVI. Glede na tako opredeljen predmet, je zahteva po certifikatu PRIS pretirana in zato nesorazmerna s predmetom javnega naročila ter posledično diskriminatorna in postavljena v nasprotju z načelom gospodarnosti, učinkovitosti in uspešnosti.

Vlagatelj navaja, da trditev naročnika o tem, da certifikat za vodilnega presojevalca ISO/IEC 27001 ne opredeljuje znanj glede svetovanja za vzpostavitev SUVI in da drugi certifikati (razen certifikata PRIS) za svetovalca SUVI ne obstajajo, ni resnična. Kot pojasnjuje vlagatelj obstaja tudi CIS Manager, ki lahko tudi svetuje.

Vlagatelj pojasnjuje, da je certifikat CISA od ISACA namenjen predvsem poznavanju COBIT-a. Vlagatelj še navaja, da je naročnik zajel le certifikate, ki so pridobljeni v Sloveniji (SIQ in BV), veliko Slovencev pa je pridobilo certifikate tudi v tujini, predvsem pri British Standard in SGS. Takšno omejevanje certifikatov pa je v nasprotju z evropskih načelom enotnega trga in pravico do prostega pretoka oseb in priznanju enakovrednega izobraževanja v državah Evropske unije.

Vlagatelj ponovno opozarja, da se skladno s predmetom javnega naročila uvaja standard ISO/IEC 27001, zato je zahteva po kakšnem drugem certifikatu nesorazmerna in diskriminatorna. Predmet razpisa je SUVI v skladu s standardom ISO 27001 in ne revizija IT. Standardi ISACA pa govorijo o reviziji delovanja IT in ne o varovanju informacij. SUVI je mnogo širše področje, ki ni omejeno zgolj na IT. Standardi ISACA torej ne pokrivajo celovitega sistema upravljanja varovanja informacij.

Vlagatelj še navaja, da v nasprotju z naročnikovimi trditvami, zahtevani certifikati ne dokazujejo znanja iz področja zdravstva. ISO standard 27001 ne ločuje varovanja informacij po panogah, ampak je krovni standard, ki je v vseh primerih (ne glede na naravo organizacije, v kateri se uvaja) enako strog in zahteven. Vlagatelj poudarja, da zato vsakršno dodatno omejevanje in možnost dokazovanja znanja z izključno enim certifikatom, pomeni kršitev načela sorazmernosti in zagotavljanja konkurence. Naročnik je zavezan upoštevati tudi enakovredne certifikate iz držav članic EU. S tem, ko zahteva certifikat ISACA kot edino možno dokazilo strokovnosti in sposobnosti strokovnjakov, nezakonito omejuje konkurenco. Znanje nosilcev certifikata CISA je veliko in je cenjeno, vendar se posveča predvsem informacijski varnosti. Tega pa v upravljanju zdravstvenih domov ni prav veliko, saj bo e-zdravje pri tem zahtevalo večjo centralizacijo.

Vlagatelj še poudarja, da naročnik tudi pri vodji izvedbe SUVI zahteva certifikat PRIS in ne priznava drugih enakovrednih certifikatov. Poleg tega naveden certifikat ne dokazuje poznavanja ISO 27001, ker je revizor IT popolnoma druga funkcija, ki ni povezana s sistemom varovanja informacij.

Vlagatelj pojasnjuje, da so predavatelji, ki predavajo na temo SUVI na SIQ in/ali kakšni drugi instituciji ter so teh predavanj izvedli več, zagotovo kvalificirani, da izvedejo predavanja na temo SUVI. Naročnik ni utemeljil, zakaj je zahteval predavatelja, ki je izvedel najmanj štiri predavanja na temo SUVI in zakaj je moralo vsako izmed njih trajati več kot 30 ur.

Vlagatelj zatrjuje, da bi naročnik moral in mogel vedeti, da se bo na sporne pogoje odzval izključno en ponudnik - to je družba Astec d.o.o. Vlagatelj še ugotavlja, da so vsi certifikati, ki jih je zahteval naročnik, identični certifikatom, ki jih je predložila družba Astec d.o.o.

Državna revizijska komisija je dne 14.05.2012 podaljšala rok za odločitev, o čemer je obvestila naročnika in vlagatelja.

Po pregledu dokumentacije o javnem naročilu ter preučitvi navedb vlagatelja in naročnika je Državna revizijska komisija odločila tako, kot izhaja iz izreka tega sklepa, in sicer iz razlogov, ki so navedeni v nadaljevanju.

V obravnavanem primeru vlagatelj očita naročniku, da so kadrovski pogoji diskriminatorni in nesorazmerni ter posledično ne zagotavljajo gospodarne in učinkovite porabe javnih sredstev. Vlagatelj zatrjuje, da so postavljeni kadrovski pogoji pisani na kožo zgolj enemu ponudniku (to je ponudniku Astec d.o.o.), ki edini lahko odda popolno ponudbo. Vlagatelj tudi zatrjuje, da kadrovskih pogojev ne more izpolniti niti z oddajo skupne ponudbe, saj naročnik tudi v tem primeru zahteva, da mora vsak izmed partnerjev v skupni ponudbi, izpolniti vse pogoje (torej tudi kadrovske) iz razpisne dokumentacije.

Pregled razpisne dokumentacije pokaže, da je naročnik v njej, poleg pogojev, ki se nanašajo na ponudnikovo osnovno sposobnost in na ponudnikovo sposobnost za opravljanje poklicne dejavnosti (42. in 43. člen Zakona o javnem naročanju - Uradni list RS, št. 128/06 s spremembami; v nadaljevanju: ZJN-2) ter poleg zahteve, da morajo imeti poravnane vse zapadle obveznosti do podizvajalcev v predhodnih postopkih javnega naročanja (šesti odstavek 44. člena ZJN-2) zahteval le še izpolnitev kadrovskih pogojev, ki jih je navedel v točki 7.7 (Kadrovska sposobnost) Navodila ponudnikom za izdelavo ponudbe. V obravnavanem primeru je torej naročnik očitno ocenil, da so za uspešno izvedbo razpisane storitve najpomembnejši dovolj usposobljeni kadri oziroma strokovnjaki, ki svojo strokovnost lahko izkažejo z zahtevanimi referencami in certifikati. Navedeno med strankama v tem postopku ni sporno in ni predmet zahtevka za revizijo.

Naročnik je navodila in zahteve v zvezi z (morebitno) oddajo skupne ponudbe navedel v 8. točki Navodila ponudnikom za izdelavo ponudbe (Skupna ponudba), in sicer:




"8. Skupna ponudba

V primeru, da ponudbo oddaja skupina gospodarskih subjektov, morajo predložiti ustrezen akt o skupni izvedbi naročila - pogodbo, iz katere je natančno razvidna odgovornost posameznih članov skupine ter odgovorni nosilec izvedbe. Posamezne pogoje, ki so navedeni v teh navodilih mora izpolnjevati vsak izmed partnerjev."

Iz citiranih navodil izhaja (kot pravilno ugotavlja vlagatelj), da mora vsak izmed skupnih ponudnikov oziroma vsak izmed partnerjev v okviru skupne ponudbe izpolniti prav vse pogoje (torej tudi kadrovske), ki jih je naročnik zapisal v razpisni dokumentacij. Naročnik je s spornim navodilom dejansko onemogočil ponudnikom, da bi sporne (in druge) pogoje lahko izpolnili v okviru skupne ponudbe. Državna revizijska komisija se sicer strinja z naročnikom v tem, da bi ponudniki načeloma lahko zahtevane strokovnjake ponudili tudi kot fizične osebe (oziroma preko podjemne pogodbe), vendar pa je v obravnavanem primeru potrebno zlasti upoštevati, da je eden izmed temeljnih vlagateljevih očitkov prav v njegovem zatrjevanju, da je večina strokovnjakov (ki izpolnjujejo naročnikove stroge in specifične zahteve v zvezi s certifikati in referencami) zaposlenih v zasebnem sektorju in skladno s pogodbeno prepovedjo opravljanja konkurenčne dejavnosti ne morejo samostojno nastopati na trgu (oziroma, da bi zahtevani strokovnjaki lahko sodelovali kvečjemu skupaj s svojimi delodajalci).

Ponudniki se odločijo za oddajo skupne ponudbe predvsem iz razloga, ker sami ne izpolnjujejo vseh postavljenih pogojev, ki se nanašajo na njihovo ekonomsko in finančno sposobnost ter vseh pogojev, ki izkazujejo njihovo tehnično in/ali kadrovsko sposobnost. ZJN-2 v zvezi z nastopom partnerjev (ponudnikov) v skupnem nastopu v tretjem odstavku 4. člena določa možnost, da lahko skupine gospodarskih subjektov predložijo ponudbo ali se prijavijo za kandidate. Naročnik od teh skupin ne sme zahtevati, da se povežejo v kakršno koli pravno formalno obliko, vendar lahko za izvedbo naročila od izbrane skupine zahteva predložitev ustreznega akta o skupni izvedbi naročila (na primer pogodbe o sodelovanju), če je to nujno za uspešno izvedbo javnega naročila. V skladu s četrtim odstavkom 44. člena in četrtim odstavkom 45. člena ZJN-2, se lahko posamezen subjekt v primeru oddaje skupne ponudbe sklicuje na sposobnost sodelujočih v skupini ali drugih subjektov.

Na ta način je dana možnost, da se večjih in zahtevnejših javnih naročil lahko udeležijo tudi manjši in manj usposobljeni ponudniki. Določbe navedenih členov torej posredno zagotavljajo večjo konkurenco oziroma omogočajo udeležbo tudi takšnim ponudnikom, ki sicer ne bi mogli konkurirati na posameznem javnem razpisu, pri čemer ne dopuščajo takšnih omejitev, ki jih je naročnik določil v zgoraj citirani točki razpisne dokumentacije. Ker je omejitev iz citirane točke postavljena v nasprotju z določili tretjega odstavka 4. člena, četrtega odstavka 44. in četrtega odstavka 45. člena ZJN-2 ter posledično v nasprotju z načelom zagotavljanja konkurence med ponudniki (7. člen ZJN-2), je Državna revizijska komisija vlagateljevemu očitku v tem delu zahtevka za revizijo sledila. Državna revizijska komisija še ugotavlja, da je naročnik je v zvezi z navedenim očitkom v sklep, s katerim je odločil o zahtevku za revizijo zapisal, "da je nabor izobraženih kadrov širok in da ne izključuje uporabe kadrov kot podizvajalcev". Naročnik je v razpisni dokumentaciji sicer res zapisal tudi navodila, ki se nanašajo na sodelovanje morebitnih podizvajalcev (9. točka Navodila ponudnikom za izdelavo ponudbe - Podizvajalci), vendar pa je potrebno ugotoviti, da je tudi v tem primeru zahteval, da mora vsak izmed njih izpolniti vse postavljene pogoje iz 7. točke razpisne dokumentacije (razpisna dokumentacija je strukturirana tako, da so vsi pogoji, ki jih je naročnik zahteval od ponudnikov navedeni v 7. točki).

Naročnik je kadrovske zahteve določil v točki 7.7 Navodil ponudnikom za izdelavo ponudbe (Kadrovska sposobnost), in sicer:

"Ponudnik mora zagotoviti najmanj spodaj navedeni kader:

Vodja projekta:

Mora imeti 4 leta izkušenj na področju načrtovanja informacijskih sistemov in/ali vodenju informacijskih projektov v zdravstvu ali sorodnih dejavnostih (lekarna, domovi starejših občanov).

Vodja izvedbe SUVI:

Imeti mora vsaj 3 leta izkušenj na področju priprave varnostnih politik. Navedeno se dokazuje s sodelovanjem pri najmanj dveh projektih s področja priprave celovite informacijske varnostne politike (analiza stanja, analiza tveganja po vseh poslovnih procesih, varnostne politike, notranja presoja, vodstveni pregled), ki je usklajena s standardom ISO 27001:2005 v zdravstvenih zavodih. Svojo strokovnost dokazuje s certifikatom preizkušeni revizor informacijskih sistemov (PRIS).

Namestnik vodje izvedbe SUVI in predavatelj:

Imeti mora 5 let izkušenj na področju priprave varnostnih politik. Navedeno se dokazuje s sodelovanjem pri najmanj petih projektih s področja priprave celovite informacijske varnostne politike, ki je usklajena s standardom ISO 27001:2005, od tega vsaj z enim projektom uvedbe celovite varnostne politike v zdravstvu. Svojo strokovnost dokazuje s certifikatom CISA (ISACA).

V zadnjih treh letih je izvedel najmanj 4 usposabljanja zdravstvenega osebja s področja vpeljave celotnega sistema upravljanja varovanja informacij, kjer je bi vsak daljši od 30 ur.

Oba strokovnjaka morata biti nosilca veljavnega certifikata CISA/CISM (ISACA).

V projekt mora biti vključen informatik s 3 leti delovnih izkušenj na uporabi programskega orodja za podporo izvedbe analize tveganja za potrebe projekta SUVI. Informatik mora biti sposoben nuditi izobraževanje naročnikovemu kadru do polnega obvladanja programskega orodja, nuditi mora vso podporo v času izvajanja projekta in še pet let po zaključku projekta.

Ponudnik za dokazovanja kadrovske usposobljenosti izpolni OBR - 5 in priloži kopije zahtevanih dokazil."

Vlagatelj najprej oporeka naročnikovi zahtevi, v skladu s katero morajo usposabljanja, ki jih je opravil namestnik vodje SUVI (in predavatelj), trajati več kot 30 ur.

Vlagatelj zatrjuje, da takšna zahteva ni smiselna, pri čemer navaja, da je ob vpeljavi vzpostavitve sistema varovanja informacij (SUVI) običajno in v skladu z zahtevami standarda ISO/IEC 27001, da se izvede izobraževanje za uporabnike sistema oziroma za zaposlene delavce naročnika. Vlagatelj v zvezi s tem našteva izobraževanje, in sicer: 1. izobraževanje za uporabnike oziroma za zaposlene delavce, ki trajajo od dve do štiri ure, 2. izobraževanje za nove uporabnike oziroma za novo zaposlene delavce v enaki dolžini, 3. izobraževanje za skrbnike informacij, ki ni daljše od štirih ur in 4. izobraževanje za notranje presojevalce (ki ga izvajajo pooblaščeni izvajalci, včasih tudi komercialni ponudniki), ki traja od dva do tri dni in torej ne presega štiriindvajsetih ur.

Nasprotno, naročnik meni, da je trajanje sorazmerno tako s primeri iz gospodarstva kot tudi iz zdravstva, kar po njegovem mnenju dokazujejo že vlagateljeve navedbe, iz katerih izhaja, da seštevek ur izobraževanja presega 30 ur (oziroma minimalno 32 ur in maksimalno 36 ur). Iz naročnikovih navedb tudi izhaja, da je pri navedbi dolžine izobraževanja upošteval zlasti tudi priporočila Ministrstva za zdravje, v skladu s katerimi naj bi takšna izobraževanja trajala več kot 30 ur.

Naročnikove navedbe v sklepu, s katerim je odločil o zahtevku za revizijo, so v zvezi s tem nejasne in kontradiktorne. Iz njih je namreč mogoče razbrati, da bi vlagatelj že z navedeno skupno dolžino vseh štirih opisanih izobraževanj presegel 30 ur, po drugi strani pa iz sporne zahteve izhaja, da mora vsako izmed usposabljanj (torej vsako izmed štirih zahtevanih usposabljanj, ki jih je moral opraviti strokovnjak) trajati več kot 30 ur. Iz razloga, ker bi naročniku očitno ustrezala tudi takšna izobraževanja, ki jih je navedel vlagatelj (torej tudi več izobraževanj, ki skupaj dosegajo zahtevano trajanje v dolžini 30 ur) ter zato, ker naročnik navedeno dolžino izobraževanja naknadno primerja z izobraževanji, ki niso predmet tega javnega naročila ter zlasti tudi zato, ker je naročnikova zahteva v tem delu ohlapna in nedorečena (naročnik je dopustil kakršna koli usposabljanja s področja predmetnega javnega naročila, pri čemer jih je omejil le z dolžino in z zahtevo, da se morajo nanašati na zdravstveno osebje), je Državna revizijska komisija tudi v tem delu sledila vlagateljevemu očitku. Naročnik tudi sicer postavitev sporne dolžine izobraževanj neprepričljivo gradi na priporočilih Ministrstva za zdravje in na pavšalnih navedbah o nerazvitosti informatike na področju zdravstva (zaradi česar naj bi zdravstveno osebje potrebovalo več časa za izobraževanje kot ga potrebuje npr. osebje v bankah in državni upravi). Na odločitev v tem delu zahtevka za revizijo je nenazadnje vplivalo tudi dejstvo, da se je s tovrstnim usposabljanjem zdravstvenega osebja (na Ministrstvu za zdravje) pričelo šele v letu 2010 in da je vsa izobraževanja izvedla le ena družba.

Vlagatelj oporeka tudi naročnikovi zahtevi, v skladu s katero mora namestnik vodje izvedbe SUVI in predavatelj izkazati vsaj štiri izobraževanja zdravstvenega osebja. Državna revizijska komisija se strinja z vlagateljem v tem, da so predavatelji, ki predavajo na temo vzpostavitve sistema upravljanja varovanja informacij (torej na temo razpisanega javnega naročila) na SIQ ali pri drugih institucijah ter so teh predavanj izvedli več, usposobljeni, da izvedejo tovrstno izobraževanje tudi pri naročniku. Iz navedenega razloga in tudi zato, ker naročnik v sklepu, s katerim je odločil o zahtevku za revizijo, ni pojasnil, zakaj je zahteval, da se morajo vsa štiri izobraževanja nanašati zgolj na zdravstveno osebje, je Državna revizijska komisija navedenemu očitku sledila.

Vlagatelj nadalje oporeka naročnikovi zahtevi, da mora vodja izvedbe SUVI izkazati, da je sodeloval pri najmanj dveh projektih s področja priprave celovite informacijske varnostne politike, ki je usklajena s standardom ISO 27001:2005, oba projekta pa sta omejena zgolj na zdravstvene zavode.

Državna revizijska komisija se strinja z vlagateljem v tem, da poteka vzpostavitev sistema upravljanja varovanja informacij (SUVI) po enakih pravilih in standardih, ne glede na to kje (pri katerem naročniku) se izvaja. Kot pravilno navaja vlagatelj, ISO standard 27001 ne ločuje varovanja informacij po panogah, temveč je krovni standard, ki je v vseh primerih (ne glede na naravo organizacije, v kateri se uvaja) enako strog in zahteven. Ob upoštevanju navedenega tako ni nobenega razloga, da strokovnjak (vodja izvedbe), ki je sodeloval pri več tovrstnih projektih (usklajenih s standardom ISO 27001:2005) v različnih ustanovah in podjetjih, ne bi bil sposoben strokovno pripraviti celovite informacijske politike, ki je usklajena s standardom ISO 27001/20056 tudi v zdravstvenih zavodih.

Vlagatelj tudi zatrjuje, da zahteva, v skladu s katero mora vodja izvedbe SUVI svojo strokovnost dokazati s certifikatom PRIS (pooblaščeni revizor informacijskih sistemov), ni smiselno povezana z vsebino predmetnega javnega naročila.

Državna revizijska komisija se sicer strinja z vlagateljem v tem, da naročnik v razpisni dokumentaciji ni zahteval tudi svetovanja pri vzpostavi sistema upravljanja varovanja informacij (pač pa zgolj vzpostavitev takšnega sistema). Čeprav torej naročnik v okviru razpisane storitve ni predvidel tudi svetovanja (kar je po mnenju naročnika eden izmed (naj)pomembnejših razlogov za postavitev sporne zahteve), pa ostaja dejstvo, da vlagatelj celo sam priznava, da bi pooblaščeni revizor informacijskih sistemov (PRIS) pokril vsaj enega izmed segmentov, ki jih upravlja razpisana storitev. Vlagatelj namreč pojasnjuje, da je PRIS (pooblaščeni revizor informacijskih sistemov) naziv revizorja informacijskih sistemov in da je razpisana storitev v enem delu povezana z informacijskimi sistemi. Ker vlagatelj torej priznava, da je sporna zahteva (sicer v manjšem delu, a vendarle) povezana z razpisano storitvijo in iz razloga, ker med strankama ni spora o tem, da je v Sloveniji 70 oseb, ki imajo takšen certifikat, je Državna revizijska komisija vlagateljev očitek zavrnila.

Iz podobnih razlogov Državna revizijska komisija tudi ni mogla slediti očitku vlagatelja, ki se nanaša na certifikata CISA/CISM (ISACA). Vlagatelj namreč tudi v zvezi s tem priznava, da je naročnikov pogoj (vsaj delno) povezan z razpisano storitvijo. Ker vlagatelj sam priznava, da gre pri certifikatih CISA in CISM za izjemno cenjena naziva na področju varovanja informacij (torej s področja razpisane storitve) in ker je v Sloveniji več kot 100 oseb, ki imajo takšne certifikate, je Državna revizijska komisija vlagatelj očitek zavrnila.

V zvezi z navedenima očitkoma je potrebno tudi upoštevati, da je Državna revizijska komisija predhodno že ugodila vlagateljevemu očitku, ki se nanaša na oddajo skupne ponudbe. Navedeno pomeni, bi lahko vlagatelj sporni pogoj izpolnil bodisi z lastnimi kadri (v primeru, če se bodo ti udeležili izobraževanj, ki so potrebna za pridobitev zahtevanih certifikatov) ali pa bi lahko vlagatelj obe sporni zahtevi (torej tako zahtevo, ki se nanaša na certifikat PRIS kakor tudi zahtevo, ki se nanaša na certifikata CISA/CISM - ISACA) izpolnil s pomočjo partnerjev v okviru oddaje skupne ponudbe.

Državna revizijska komisija je ob ugotovljenih kršitvah naročnika, na podlagi druge alineje prvega odstavka 39. člena ZPVPJN, zahtevku za revizijo vlagatelja ugodila in je v celoti razveljavila postopek oddaje predmetnega javnega naročila. Ugotovljene kršitve naročnika se namreč ne nanašajo le na samo strukturo razpisne dokumentacije pač pa tudi na njene bistvene dele. Poleg tega je namreč naročnik v sklep, s katerim je odločil o vlagateljevem zahtevku za revizijo tudi zapisal, da je ena izmed njegovih ključnih zahtev, ki se nanaša na razpisano storitev, tudi svetovanje strankam, vlagatelj pa v zvezi s tem pravilno opozarja, da v razpisni dokumentaciji ni zahtev, ki bi se nanašale na svetovanje pri vzpostavitev sistema varovanja informacij (pač pa je predmet razpisa zgolj vzpostavitev sistema varovanja informacij).

Državna revizijska komisija naročnika, upoštevaje tretji odstavek 39. člena ZPVPJN, napotuje, da v kolikor se bo odločil za (ponovno) oddajo javnega naročila "Vzpostavitev sistema upravljanja varovanja informacij SUVI", naj pripravi razpisno dokumentacijo skladno z določili ZJN-2 in pri tem upošteva tudi ugotovitve Državne revizijske komisije. V izogib nadaljnjim možnim zapletom naj naročnik tudi prouči, ali in kateri standardi iz držav članic EU so morebiti enakovredni zahtevanim standardom in v tem primeru dopusti možnost izkazovanja kadrovskih pogojev tudi z njimi.

S tem je utemeljena odločitev Državne revizijske komisije iz 1. točke izreka tega sklepa.

Vlagatelj je priglasil stroške postopka pravnega varstva v višini 750,00 EUR, kolikor je znašala taksa za postopek pravnega varstva.

Določilo tretjega odstavka 70. člena ZPVPJN določa, da mora naročnik v primeru, če je zahtevek za revizijo utemeljen, iz lastnih sredstev vlagatelju in izbranemu ponudniku povrniti potrebne stroške, nastale v predrevizijskem in revizijskem postopku, vključno s takso. Državna revizijska komisija je vlagatelju kot potrebne priznala celotne priglašene stroške oziroma stroške za takso v višini 750,00 EUR.

Naročnik je vlagatelju dolžan povrniti stroške postopka pravnega varstva v višini 750,00 EUR, in sicer v roku 15 dni od prejema tega sklepa, da ne bo izvršbe.

S tem je utemeljena odločitev Državne revizijske komisije iz 2. točke izreka tega sklepa.

V Ljubljani, dne 28.05.2012


Sonja Drozdek šinko, univ.dipl.prav.
članica Državne revizijske komisije









Vročiti:

- OSNOVNO ZDRAVSTVO GORENJSKE, Gosposvetska ulica 9, Kranj
- UNISTAR LC d.o.o., Kotnikova 32, Ljubljana
- Republika Slovenija, Ministrstvo za finance, Zupančičeva 3, Ljubljana
- Arhiv - tu