018-067/2017 Republika Slovenija, Ministrstvo za notranje zadeve

Številka: 018-067/2017-5

SKLEP

Državna revizijska komisija za revizijo postopkov oddaje javnih naročil (v nadaljevanju: Državna revizijska komisija) je na podlagi 39. člena Zakona o pravnem varstvu v postopkih javnega naročanja (Uradni list RS, št. 43/2011 s sprem.; v nadaljevanju: ZPVPJN), v senatu Boruta Smrdela, kot predsednika senata, ter mag. Mateje Škabar in Tadeje Pušnar, kot članic senata, v postopku pravnega varstva pri oddaji javnega naročila »Javno naročilo za nabavo dveh strojnih šifrirnih modulov HSM«, na podlagi zahtevka za revizijo ponudnika CREA plus, d.o.o., Ukmarjeva ulica 6, Ljubljana (v nadaljevanju: vlagatelj), zoper ravnanje naročnika Republika Slovenija, Ministrstvo za notranje zadeve, Štefanova ulica 2, Ljubljana (v nadaljevanju: naročnik), dne 22.5.2017

ODLOČILA

Zahtevku za revizijo z dne 14.3.2017 se ugodi in se razveljavi naročnikova odločitev o oddaji javnega naročila, kot izhaja iz dokumenta »Sklep o oddaji naročila«, št. 430-1562/2016/18 (15131-07) z dne 1.3.2017.

Obrazložitev

Naročnik je dne 12.1.2017 na portalu javnih naročil objavil obvestilo o javnem naročilu za nabavo dveh strojnih šifrirnih modulov HSM.

Dne 1.3.2017 je naročnik izdal dokument »Sklep o oddaji naročila«, št. 430-1562/2016/18 (15131-07), iz katerega izhaja, da je omenjeno javno naročilo po postopku naročila male vrednosti dodelil ponudniku OSI, d.o.o., Ukmarjeva ulica 2, Ljubljana (v nadaljevanju: izbrani ponudnik), čigar ponudba se je glede na merilo najnižje skupne vrednosti ponudbenega predračuna v okviru ekonomsko najugodnejše ponudbe uvrstila na prvo mesto.

Vlagatelj, ki je predložil glede na merilo drugouvrščeno ponudbo, je zoper odločitev o oddaji naročila vložil zahtevek za revizijo z dne 14.3.2017. Navaja, da na podlagi ponudbene dokumentacije izbranega ponudnika ni mogoče ugotoviti, ali ponujeni strojni šifrirni modul (»Gemalto SafeNet ProtectServer External 2, toolkit PTK 5.0, PL220 Model z 220 TPS«) izpolnjuje predpisano zahtevo po možnosti particioniranja HSM na več (vsaj 5) ločenih neodvisnih HSM, prav tako naj iz predložene dokumentacije ne bi bilo razvidno izpolnjevanje zahteve po namestitvi v konfiguraciji HA. Po mnenju vlagatelja gre namreč sklepati, da podpora HA pri ponujeni opremi ni zagotovljena »out-of-the-box« (to je brez dodatnih aplikacij), zaradi česar bi lahko naročniku nastali dodatni finančni stroški. Četudi je izbrani ponudnik ponudil »ProtectServer External 2, toolkit PTK 5.0«, je priložil tehnično dokumentacijo za »SafeNet ProtectServer/ProtectToolkit 5.2«, kar pa se ne ujema in posledično ni jasno, kaj natanko izbrani ponudnik ponuja. Iz ponudbe slednjega tudi ni razvidno, katera različica strojne programske opreme HSM (firmware) je ponujena, zaradi česar ni mogoče ugotoviti, ali je le-ta varnostno overjena po FIPS 140-2 Level 3. Po zatrjevanju vlagatelja predmet ponudbe izbranega ponudnika predstavlja opremo, namenjeno razvoju aplikacij, in ne strojnega šifrirnega modula HSM kot produkcijske rešitve za splošno rabo. Ker iz predložene ponudbene dokumentacije torej ne izhaja, da strojni šifrirni modul HSM, ki ga ponuja izbrani ponudnik, izpolnjuje zahteve, ki jih je določil naročnik, poleg tega pa obstajajo nejasnosti oziroma neujemanja med ponujeno opremo in predloženo dokumentacijo, je po mnenju vlagatelja zahtevku za revizijo potrebno ugoditi.

Izbrani ponudnik se je v vlogi z dne 21.3.2017 v skladu s prvim odstavkom 27. člena ZPVPJN izjavil o navedbah vlagatelja, podanih v zahtevku za revizijo. Navaja, da SafeNet PSE2 podpira particije preko PKCS#11 modela, ki definira posamezno particijo kot »slot« ali »token«, pri čemer se vsaka particija obnaša kot ločen, neodvisen HSM. Število particij, ki jih je mogoče kreirati, praktično ni omejeno, proizvajalec pa priporoča, da se jih kreira do največ 200. SafeNet PSE2 podpira način delovanja v WLD (Work Load Distribution) in HA (High Availability) načinu, pri čemer sta oba načina implementirana na nivoju HSM PKCS#11 (ProtectToolkit C) sistemskih knjižnic za komunikacijo s HSM. Po zatrjevanju izbranega ponudnika je »ProtectServer External 2, toolkit PTK 5.0« komercialni naziv produkta in ker je bila verzija dokumentacije ter programske opreme že nekajkrat nadgrajena, je bila ponudbi priložena verzija 5.2, ki je bila aktualna v času oddaje ponudbe. Izbrani ponudnik navaja še, da je SafeNet PSE2 strojni varnostni modul, ki je varnostno overjen po FIPS 104-2 Level 3, v okviru programske opreme pa vsebuje tudi razvojna orodja (API) za razvoj lastnih aplikacij.

Naročnik je zahtevek za revizijo z »Odločitvijo«, št. 430-1562/2016/31 (15131-07) z dne 3.4.2017, zavrnil kot neutemeljenega. Navaja, da je izbrani ponudnik v ponudbi kot dokazilo o ustreznosti predmeta ponudbe predložil izjavo, da ponujena oprema in storitve ustrezajo zahtevam iz razpisne dokumentacije (točka II.1 v »Prilogi št. 3«), potrjeno specifikacijo predmeta javnega naročila (»Priloga št. 6«) ter specifikacijo ponujene rešitve, vključno z opisom dobavljene opreme, licenc in storitev, iz katerih po oceni naročnika izhaja ustreznost ponujene opreme ter storitev. V nadaljevanju omenjene »Odločitve« naročnik v povezavi z navedbami, ki jih vlagatelj podaja glede nejasnosti v zvezi s predmetom ponudbe izbranega ponudnika in glede zahtev v dokumentaciji v zvezi z oddajo javnega naročila določenih glede možnosti particioniranja HSM na več (vsaj 5) ločenih neodvisnih HSM ter namestitve v konfiguraciji HA, v celoti povzema zgoraj navedene trditve izbranega ponudnika iz vloge z dne 21.3.2017. Na podlagi navedenega naročnik zaključuje, da zahtevku za revizijo ni mogoče ugoditi.

Vlagatelj se je v skladu s petim odstavkom 29. člena ZPVPJN v vlogi z dne 7.4.2017, ki jo je Državna revizijska komisija prejela dne 10.4.2017, opredelil do navedb naročnika v odločitvi o zahtevku za revizijo. V omenjeni vlogi vlagatelj vztraja pri že podanih navedbah ter dokaznih predlogih, dodatno pa navaja še, da je kriptografski protokol PKCS#11 zgolj eden izmed protokolov, ki se uporabljajo za komunikacijo s šifrirnimi moduli HSM. Po zatrjevanju vlagatelja je naročnik v dokumentaciji v zvezi z oddajo javnega naročila navedel, da bo strojne šifrirne module HSM uporabljal skupaj z infrastrukturo Microsoft PKI, ki uporablja kriptografski vmesnik CSP/CNG, protokola PKCS#11 pa ne podpira.
Državna revizijska komisija je v obravnavani zadevi dne 4.5.2017 na podlagi prvega odstavka 37. člena ZPVPJN podaljšala rok za sprejem odločitve.

Po pregledu dokumentacije o javnem naročilu, proučitvi navedb vlagatelja, naročnika in izbranega ponudnika ter po presoji izvedenih dokazov je Državna revizijska komisija iz razlogov, navedenih v nadaljevanju, v skladu z 39. členom ZPVPJN odločila tako, kot izhaja iz izreka tega sklepa.

Med strankama revizijskega postopka je spor o tem, ali je naročnik ravnal pravilno, ko je ponudbo izbranega ponudnika, ki se je glede na skupno vrednost ponudbenega predračuna kot edinega merila v okviru ekonomsko najugodnejše ponudbe uvrstila na prvo mesto, ocenil za dopustno in konkretno javno naročilo oddal izbranemu ponudniku.

V prvem odstavku 89. člena Zakona o javnem naročanju (Uradni list RS, št. 91/2015; v nadaljevanju: ZJN-3) je določeno, da naročnik odda javno naročilo na podlagi meril ob upoštevanju 84., 85. in 86. člena ZJN-3 po tem, ko preveri, da so izpolnjeni naslednji pogoji: a) ponudba je skladna z zahtevami in pogoji, določenimi v obvestilu o javnem naročilu ter v dokumentaciji v zvezi z oddajo javnega naročila, po potrebi ob upoštevanju variant iz 72. člena ZJN-3, in b) ponudbo je oddal ponudnik, pri katerem ne obstajajo razlogi za izključitev iz 75. člena ZJN-3 in ki izpolnjuje pogoje za sodelovanje ter pravila in merila iz 82. ter 83. člena ZJN-3, če so bila določena.

Iz navedenega izhaja, da lahko naročnik javno naročilo odda zgolj ponudniku, ki je v postopku javnega naročanja predložil dopustno ponudbo. V skladu z 29. točko prvega odstavka 2. člena ZJN-3 je za dopustno šteti ponudbo, ki jo predloži ponudnik, za katerega ne obstajajo razlogi za izključitev in ki izpolnjuje pogoje za sodelovanje, njegova ponudba ustreza potrebam ter zahtevam naročnika, določenim v tehničnih specifikacijah in v dokumentaciji v zvezi z oddajo javnega naročila, je prispela pravočasno, pri njej ni dokazano nedovoljeno dogovarjanje ali korupcija, naročnik je ni ocenil za neobičajno nizko in cena ne presega njegovih zagotovljenih sredstev.

Naročnik opredeli predmet javnega naročila s tehničnimi specifikacijami, ki morajo biti oblikovane skladno z določbami 68. člena ZJN-3. Tehnične specifikacije torej določajo zahtevane značilnosti gradnje, storitve ali blaga in se navedejo v dokumentaciji v zvezi z oddajo javnega naročila (prvi odstavek 68. člena ZJN-3). Ker je ponudnik dolžan v ponudbi dokazati, da ponuja blago z zahtevanimi tehničnimi lastnostmi, mora naročnik v dokumentaciji v zvezi z oddajo javnega naročila določiti tudi način izkazovanja tehnične ustreznosti ponujenega blaga (npr. z opisom tehničnih lastnosti, s predložitvijo skic, prospektov, izjav in druge tehnične dokumentacije).

V obravnavanem postopku javnega naročanja je naročnik kot predmet javnega naročila določil dva strojna šifrirna modula HSM za varno shranjevanje šifrirnih ključev in digitalnih potrdil, strojno in programsko opremo za delovanje implementiranih funkcij, vključno z vsemi potrebnimi licencami, postavitev, vzpostavitev ter integracijo sistema v naročnikovo okolje in uvedbo v delo vsaj treh skrbnikov sistema (gl. točko »1. Predmet javnega naročila«, vsebovano v »Razpisni dokumentaciji za javno naročilo za oddajo naročila blaga po postopku naročila male vrednosti za nabavo dveh strojnih šifrirnih modulov HSM, št. 430-1562/2016«, v nadaljevanju: »Razpisna dokumentacija«, v »II. delu: Opis predmeta javnega naročila in zahteve naročnika«). Tehnične specifikacije predmeta javnega naročila so bile v »Razpisni dokumentaciji« podrobneje določene v dokumentu »Specifikacija predmeta javnega naročila za oddajo naročila blaga po postopku naročila male vrednosti za nabavo dveh strojnih šifrirnih modulov HSM, št. 430-1562/2016« (v nadaljevanju: »Specifikacija predmeta javnega naročila«), ponudniki pa so morali ponujeni predmet vpisati v »Ponudbeni predračun št. 014-2017-MPU z dne 14.2.2017« (v nadaljevanju: »Ponudbeni predračun«) na obrazcu »Priloga št. 4«.

Naročnik je v »Razpisni dokumentaciji« v »II. delu: Opis predmeta javnega naročila in zahteve naročnika« pod točko »2. (Tehnična) ustreznost ponujene opreme« navedel, da mora ponujena oprema v celoti ustrezati tehničnim zahtevam iz »Razpisne dokumentacije«, ponudniki pa morajo kot dokazilo o ustreznosti le-te v ponudbi med drugim predložiti tudi »Specifikacijo ponujene rešitve, vključno z opisom dobavljene opreme, licenc in storitev« (v nadaljevanju: »Specifikacija ponujene rešitve«).

Iz navedenih določb »Razpisne dokumentacije« torej izhaja, da je predmet konkretnega javnega naročila med drugim obsegal tudi programsko opremo, ponudniki pa so predmet ponudbe določili tako z vpisom v »Ponudbeni predračun« kot s predložitvijo »Specifikacije ponujene rešitve« (in druge tehnične dokumentacije, zahtevane v »Razpisni dokumentaciji«). To pomeni, da tehnična dokumentacija, ki so jo morali ponudniki v obravnavanem postopku javnega naročanja priložiti ponudbi, ni predstavljala zgolj dokazila, predpisanega za ugotavljanje izpolnjevanja tehničnih zahtev, pač pa (skupaj z izpolnjenim »Ponudbenim predračunom«) tudi bistveno informacijo o tem, kaj posamezni ponudnik sploh ponuja.

Med strankama revizijskega postopka ni sporno, izhaja pa tudi iz ponudbene dokumentacije izbranega ponudnika, da je slednji v stolpcu »Ponudbenega predračuna« pod zaporedno številko 1, kamor je bilo potrebno vpisati tip ponujene opreme, navedel »ProtectServer external 2, toolkit PTK 5.0, PL220 Model z 220 TPS«. Z omenjenim zapisom je izbrani ponudnik (poleg ostalega) opredelil tudi ponujeno programsko opremo, ki jo je dodatno konkretiziral še z navedbo ponujene različice. Kot namreč navajata tako izbrani ponudnik kakor naročnik, je bila programska oprema (skupaj s pripadajočo dokumentacijo) že večkrat nadgrajena, kar pomeni, da je v času oddaje ponudbe izbranega ponudnika obstajala v več različnih verzijah.

Iz »Ponudbenega predračuna« izbranega ponudnika tako izhaja, da je le-ta v obravnavanem postopku javnega naročanja ponudil programsko opremo »toolkit PTK (tj. ProtectToolkit, op. Državne revizijske komisije)« v verziji 5.0.

Naročnik pa ne zanika vlagateljeve trditve, o resničnosti katere se je Državna revizijska komisija prepričala z vpogledom v ponudbeno dokumentacijo izbranega ponudnika, da je slednji v okviru zahteve po predložitvi »Specifikacije ponujene rešitve« ponudbi priložil prospekt programske opreme za »SafeNet ProtectServer/Protect Toolkit 5.2«. Na podlagi predloženega prospekta je torej šteti, da izbrani ponudnik ponuja navedeno programsko opremo v različici 5.2.

Glede na omenjeno gre ugotoviti, da se različica programske opreme, navedena v »Ponudbenem predračunu« izbranega ponudnika, ne ujema z različico, za katero je izbrani ponudnik predložil prospekt. Ker pa so ponudniki v konkretnem primeru predmet, ki so ga ponudili, opredelili tako z vpisom v »Ponudbeni predračun« kot s predložitvijo zahtevane tehnične dokumentacije, Državna revizijska komisija na podlagi ugotovljenega neskladja med omenjenima različicama programske opreme, izhajajočega iz ponudbene dokumentacije izbranega ponudnika, pritrjuje navedbi vlagatelja o tem, da ni jasno, kaj natanko izbrani ponudnik ponuja.

Takšnega zaključka ne more spremeniti naročnikova trditev o tem, da predstavlja v »Ponudbenem predračunu« navedeni »ProtectServer external 2, toolkit PTK 5.0« komercialni naziv produkta, ponudbi izbranega ponudnika pa je bila predložena dokumentacija za verzijo 5.2, ki je bila aktualna v času oddaje ponudbe. Naročnik namreč s predstavljeno navedbo po vsebini smiselno zatrjuje, da izbrani ponudnik ponuja programsko opremo v verziji 5.2, za katero je predložil prospekt. Vendar pa naročnik ob predstavljenem neskladju med obema verzijama programske opreme, ki ju je razbrati iz ponudbene dokumentacije izbranega ponudnika, obenem ne zatrjuje niti ne dokazuje obstoja morebitne opombe oziroma drugačnega zapisa ali označbe v ponudbi izbranega ponudnika, ki bi omogočala zaključek, da predloženi prospekt kot dokazilo v dani zadevi prevlada nad zapisom v »Ponudbenem predračunu« in je torej prava volja izbranega ponudnika ponuditi programsko opremo v verziji 5.2. Slediti naročnikovemu zatrjevanju bi tako pomenilo, da zapis ponujene opreme v »Ponudbenem predračunu« za ugotavljanje, kaj konkretno izbrani ponudnik ponuja, ni relevanten, pač pa je potrebno pri ugotavljanju predmeta njegove ponudbe izhajati oziroma pri tem upoštevati zgolj predloženi prospekt, za kar pa ni najti podlage ne v ponudbeni dokumentaciji izbranega ponudnika ne v določbah »Razpisne dokumentacije«.

Ker je torej v ponudbeni dokumentaciji izbranega ponudnika zaslediti navedbi dveh različnih verzij ponujene programske opreme (za kateri pa niti izbrani ponudnik niti naročnik ne zatrjujeta, da sta si po tehničnih lastnostih bistveno podobni oziroma medsebojno primerljivi), posledično ni mogoče razpoznati prave volje izbranega ponudnika in ugotoviti, katero različico programske opreme, 5.0 ali 5.2, le-ta dejansko ponuja.

Kadar pa ponudnik, četudi po pomoti ali iz malomarnosti, v ponudbi bodisi ne navede pravega predmeta bodisi ne predloži pravega dokumenta, velja takšno ravnanje pripisati njegovi premajhni skrbnosti, katere morebitne posledice, v kolikor se le-te odrazijo v neskladju ponudbe z zahtevami dokumentacije v zvezi z oddajo javnega naročila, mora nositi ponudnik sam. Zato ni odveč ponovno poudariti, da sta natančnost in skrbnost pri pripravi ponudbene dokumentacije ter njena skladnost z vsemi naročnikovimi zahtevami v postopku oddaje javnega naročila temeljni interes in dolžnost, ki zavezuje vsakega razumno obveščenega ter povprečno skrbnega ponudnika. Ker je torej posamezni ponudnik tisti, ki mu je v vsakokratnem postopku javnega naročanja naloženo breme priprave dopustne ponudbe, je slednji obenem tudi tisti, ki nosi posledice neizpolnitve omenjene dolžnosti.

Pri pripravi ponudbe velja zato posebno skrbnost nameniti prav delu, v katerem je predstavljen predmet kot eden najpomembnejših elementov slednje. Ponudbeno vsebino, ki se nanaša na tehnične specifikacije predmeta javnega naročila, je namreč v skladu z določbo šestega odstavka 89. člena ZJN-3 dopustno dopolnjevati ali popravljati zgolj v primeru dopolnitev ali popravkov očitnih napak (slednjih izbrani ponudnik in naročnik v konkretnem primeru niti ne zatrjujeta), pa še to le ob predpostavki, da zaradi teh popravkov ali dopolnitev ni dejansko predlagana nova ponudba.

Na podlagi vsega navedenega Državna revizijska komisija zaključuje, da je vlagatelj uspel izkazati, da naročnik zaradi neskladja med navedbo predmeta ponudbe v »Ponudbenem predračunu« in med predloženo tehnično dokumentacijo ni mogel ugotoviti, kaj natanko izbrani ponudnik ponuja, posledično pa ni mogel oceniti, ali ponudba izbranega ponudnika izpolnjuje zahteve iz »Razpisne dokumentacije« in je torej dopustna ali ne. Upoštevaje navedeno gre zaključiti, da je naročnik s tem, ko je konkretno javno naročilo dodelil izbranemu ponudniku, kršil prvi odstavek 89. člena ZJN-3, zato je Državna revizijska komisija na podlagi druge alineje prvega odstavka 39. člena ZPVPJN zahtevku za revizijo ugodila in razveljavila odločitev naročnika o oddaji javnega naročila, kot izhaja iz dokumenta »Sklep o oddaji naročila«, št. 430-1562/2016/18 (15131-07) z dne 1.3.2017.

Ker je vlagatelj z zahtevkom za revizijo uspel že na podlagi obravnavanih navedb, Državna revizijska komisija v nadaljevanju ni presojala preostalih revizijskih trditev, saj meritorna obravnava slednjih ne bi več mogla vplivati na sprejeto odločitev, posledično pa je kot nepotreben zavrnila v zvezi z neobravnavanimi navedbami podan dokazni predlog vlagatelja s postavitvijo izvedenca računalniške stroke.

Zaradi razveljavitve odločitve o oddaji javnega naročila Državna revizijska komisija v skladu s tretjim odstavkom 39. člena ZPVPJN naročnika napotuje, da v nadaljevanju obravnavanega postopka oddaje javnega naročila sprejme eno od odločitev, ki jih predvideva ZJN-3, pri tem pa upošteva ugotovitve Državne revizijske komisije, kot izhajajo iz tega sklepa.

S tem je utemeljena odločitev Državne revizijske komisije iz izreka tega sklepa.


V Ljubljani, dne 22.5.2017

Predsednik senata:
Borut Smrdel, univ. dipl. prav.,
predsednik Državne revizijske komisije







Vročiti:
- CREA plus, d.o.o., Ukmarjeva ulica 6, 1000 Ljubljana,
- Republika Slovenija, Ministrstvo za notranje zadeve, Štefanova ulica 2, 1000 Ljubljana,
- OSI, d.o.o., Ukmarjeva ulica 2, 1000 Ljubljana,
- Republika Slovenija, Ministrstvo za javno upravo, Tržaška cesta 21, 1501 Ljubljana.


Vložiti:
- v spis zadeve.