Wyrok KIO 1863/19 z 15 października 2019

W dniu 23 września 2019 roku do Prezesa Krajowej Izby Odwoławczej w Warszawie, art. 180 ust. 2 pkt. 4) w zw. z art. 179 ust. 1 ustawy z dnia 29 stycznia 2004 r. - Prawo zamówień publicznych (tj. Dz. U. z 2018, poz. 1986 ze zm.), dalej jako „ustawa Pzp”, odwołanie złożył Wykonawca bezpieczne.it sp. z o.o. z siedzibą w Warszawie, dalej jako „Odwołujący”.

Postępowanie o udzielenie zamówienia publicznego pn. „Dostawa sprzętu informatycznego i oprogramowania, rozbudowa systemu informatycznego do prowadzenia państwowego zasobu geodezyjnego i kartograficznego - geoportal powiatowy oraz przeprowadzenie szkoleń w ramach projektu pn. Zintegrowana informacja geodezyjna i kartograficzna Powiatu Ełckiego” w zakresie części 1 zamówienia pn. „Dostawa sprzętu informatycznego i oprogramowania wraz z przeprowadzeniem szkolenia”, prowadzi Zamawiający Starostwo Powiatowe w Ełku, z siedzibą w Ełku.

Zamawiający poinformował drogą elektroniczną Odwołującego o wykluczeniu z postępowania w dniu 16.09.2019. W konsekwencji termin na złożenie odwołania został zachowany. Odwołujący uiścił wpis od odwołania w wymaganej kwocie na rachunek bankowy UZP. Odwołujący, zgodnie z treścią art. 1 80 ust. 5 ustawy Pzp, przesłał kopię odwołania do Zamawiającego dnia 23.09.2019 r. za pośrednictwem poczty e-mail wskazanej w dokumentacji.

Odwołanie złożono od czynności Zamawiającego polegających na:

1. odrzuceniu oferty Odwołującego na podstawie art. 89 ust. 1 pkt 2 ustawy Pzp, co w konsekwencji doprowadziło do naruszenia przez Zamawiającego następujących przepisów: art. 7 ust. 1 i ust. 3 ustawy Pzp w związku z art. 89 ust. 1 pkt 2) ustawy Pzp w związku z odrzuceniem oferty, pomimo że przedmiot oferty spełnia wszystkie wymagania określone w SIWZ.

W związku z powyższym Odwołujący wnosił o uwzględnienie odwołania oraz:

1. nakazanie Zamawiającemu unieważnienia czynności odrzucenia oferty Odwołującego z postępowania,
2. dokonania ponownej oceny ofert z uwzględnieniem oferty Odwołującego,
3. przeprowadzenie dowodu z opinii biegłego na okoliczność oceny czy zaoferowana macierz Infortrend, model EonStor GS1012 Gen2 spełnia wymóg „szyfrowanie danych na zainstalowanych dyskach dowolnego typu - funkcjonalność realizowana bezpośrednio przez kontrolery macierzy - minimum AES 256” - co wynika wprost z treści dokumentacji technicznej produktu, w tym w szczególności fragmentu zacytowanego w piśmie Odwołującego z dnia 23.08.2019 r., z uwzględnieniem dokumentacji producenta;
4. przeprowadzenie dowodów z dokumentów złożonych na rozprawie i świadków, których obecność Wykonawca zapewni.

Odwołujący zaznaczył, że posiada interes we wniesieniu odwołania, albowiem złożył on ofertę najkorzystniejszą z punktu widzenia kryteriów oceny ofert wskazanych w SIWZ (procedura odwrócona), tak więc gdyby Zamawiający nie odrzucił przedmiotowej oferty, oferta Odwołującego powinna zostać uznana za najkorzystniejszą.

W uzasadnieniu podniesiono, że pismem z dnia 16.09.2019 r. Zamawiający poinformował o odrzuceniu oferty Odwołującego. Jako podstawę prawną wskazał przepis art.

89 ust. 1 pkt 2 ustawy Pzp. W ramach uzasadnienia faktycznego Zamawiający wskazał, że Wykonawca nie wykazał posiadania przez zaoferowaną macierz wymaganej funkcjonalności opisanej w OPZ jako: „Dostarczona macierz w oferowanej konfiguracji musi umożliwiać szyfrowanie danych na zainstalowanych dyskach dowolnego typu - funkcjonalność realizowana bezpośrednio przez kontrolery macierzy- minimum AES 256”.

Odwołujący zauważył, że pomimo wyjaśnień potwierdzających zaoferowanie przez Wykonawcę macierzy GS1012 gen 2 wymaganej przez Zamawiającego funkcjonalności, Zamawiający stwierdził, iż Wykonawca nie wskazał konkretnej dokumentacji, z której wynika, iż zaoferowana macierz będzie umożliwiać szyfrowanie danych na zainstalowanych dyskach dowolnego typu przez kontrolery macierzy minimum AES 265.

W pierwszej kolejności Odwołujący wskazał, że w treści SIWZ Zamawiający nie żądał żadnych dokumentów na potwierdzenie spełniania wymagań dotyczących opisu przedmiotu zamówienia (tj. opisów technicznych, itp.) celem potwierdzenia spełniania wymagań określonych w SIWZ. Jako potwierdzenie wymagań dotyczących przedmiotu zamówienia Zamawiający zobowiązał wykonawców do wypełnienia tabeli wymaganych parametrów poprzez zadeklarowanie oferowanych parametrów. Tym samym nie kwestionując prawa Zamawiającego do oceny złożonych wyjaśnień, SIWZ nie definiowała ani sposobu, ani rodzaju, ani zakresu dokumentacji technicznej. Odwołujący podkreślił również, że nie ma wzorca opisywania określonych rozwiązań technicznych przez producentów sprzętu.

W przedmiotowym stanie faktycznym zdaniem Odwołującego wygląda to tak, że skoro Zamawiający nie znalazł w dokumentacji postępowania identycznych określeń i sformułowań jak wskazał w SIWZ (a nie jest tajemnicą, że sformułowania te pochodzą wprost z opisu technicznego macierzy innego producenta), to uznał, że zaoferowana macierz nie spełnia wymogów SIWZ. W ocenie Odwołującego nie może być podstawą do stwierdzenia, że zaoferowany przedmiot zamówienia nie spełnia wymagań SIWZ obszerność dokumentacji technicznej oferowanego urządzenia.

Odnosząc się merytorycznie do błędnych wniosków Zamawiającego w odniesieniu do treści oferty Odwołującego stwierdzono, że:

Macierz składa się z części zarządzającej, którą są kontrolery odpowiadające za wszystkie funkcjonalności macierzy i części przechowującej dane, którymi są dyski, na które kontroler wysyła składowane dane. Szyfrowanie danych może odbywać się przez kontrolery lub na niskim poziomie przez same dyski tzw. dyski samoszyfrujące.

Wykonawca wskazał w ulotce produktowej, że macierz w sposób natywny (wbudowany) szyfruje dane za pomocą kontrolerów dyskowych. Bowiem w inny sposób nie mogła by szyfrować danych w locie i w spoczynku oraz wysłać zaszyfrowanych danych do chmury, przy czym chmura może być rozumiana jako inne zasoby, macierz itp. Z ulotki wynika też, że w Infortrend można stosować jedną i drugą metodę, tzn. szyfrowanie za pomocą kontrolerów, które są niezbędne dla funkcjonowania macierzy i dyski samoszyfrujące.

Sposób realizacji, czynności, które należy wykonać aby uruchomić funkcjonalności szyfrowania przez kontrolery, opis rozwiązania, zalecenia z wyjaśnieniem do jakich środowisk, które rozwiązanie będzie najbardziej optymalne, opisany jest w dokumentacji producenta INFORTREND dla macierzy EONSTOR GS1012 gen 2, do której linki Wykonawca załączył na wezwanie do wyjaśnień z dnia 23 sierpnia 2019 roku, wprost wskazując że: „Niezależnie od szyfrowania za pomocą dysków samoszyfrujących dostępna jest druga możliwość szyfrowania danych realizowana bezpośrednio przez kontrolery macierzy. Tego typu szyfrowanie danych jest wykorzystywane między innymi do szyfrowania danych w locie (data-in-flight) a także danych w spoczynku (data-at-rest). Z wykorzystaniem kontrolerów macierzy macierz może szyfrować dane na zainstalowanych dyskach dowolnego typu lub szyfrować dane w układzie „do chmury". Szczegóły rozwiązań technicznych znajdują się w dokumentacji technicznej produktu: fortrend.coin/de/soliition$/teclinical-docimients informacja ogólna w ulotce produktowej”:

W części: „Comprehensive Data Protection and Security" (tłumaczenie: Kompleksowa ochrona i bezpieczeństwo danych): i załączył tłumaczenie fragmentu ulotki producenta Infortrend.

Pomimo wprost udzielonej odpowiedzi popartej dowodami na realizowanie funkcjonalności przez kontroler macierzy, Zamawiający najprawdopodobniej znalazł fragment w ulotce o dyskach samoszyfrujących i stwierdził, że skoro występuje ta funkcjonalność, to nie może występować funkcjonalność szyfrowania za pomocą kontrolerów. Pomimo załączonej przez Odwołującego ulotki z tłumaczeniem wskazującym dokładnie wymaganą funkcjonalność, Zamawiający uznał, że wyjaśnienia są zbyt ogólne, gdyż zawierają link do obszernej dokumentacji, wskazując w piśmie z dnia 4 września wzywającym do udzielenia wyjaśnień, iż „nie jest rolą Zamawiającego samodzielne ustalenie, który fragment ma na myśli Wykonawca”. Tym samym pismem Zamawiający wezwał wykonawcę do wskazania konkretnego fragmentu dokumentu wraz z tłumaczeniem, który wraz z cytatem został już przedłożony Zamawiającemu w ramach wyjaśnień w dniu 23 sierpnia. W odpowiedzi z dnia 6 września zdezorientowany Wykonawca wskazał, że „Odpowiedzią z dnia 23 sierpnia wykonawca wyjaśnił sposób realizacji wymaganej funkcjonalności. Macierz standardowo realizuje szyfrowanie na kontrolerach macierzowych.

Szyfrowanie to głównie stosuje się dla szyfrowania danych przy wysyłaniu ich do chmury, jednak zaszyfrowane przez kontrolery dane macierz może zapisywać na dyski macierzowe.

Natomiast producent zaleca stosowanie szyfrowania danych zapisywanych na macierzy za pomocą dysków samoszyfrujących. Takie rozwiązanie nie obciąża kontrolerów macierzowych i dostarcza dodatkowe korzyści funkcjonalne użytkownikowi.

Wykonawca obszernie i szczegółowo omówił te zagadnienia, wskazał miejsca w ulotkach produktowych oraz przytoczył ich fragmenty w oryginale i je przetłumaczył na język polski.

Wskazane przez wykonawcę fragmenty kart produktowych wystarczają do uzyskania niezbędnej wiedzy o zaoferowanym produkcie, tym bardziej że produkt ten jest powszechnie uznawany na rynku. Szczegółowe procedury realizacji wymaganych funkcjonalności nie były wymagane w dokumentacji postępowania przetargowego a wykonawca nie był zobowiązany do szczegółowego opisywania ww. procedur, mimo to wykonawca wskazał miejsca dokumentacji producenta, gdzie Zamawiający może pozyskiwać dalsze informacje.

Wykonawca stoi na stanowisku, że złożona oferta oraz informacje wskazane przez niego są całkowicie wystarczające do oceny złożonej oferty a wyjaśnienia składane w postępowaniu nie mogą być formą szkolenia produktowego”.

Wykonawca wyszedł z założenia, iż wyjaśnił Zamawiającemu najobszerniej jak mógł, realizację funkcjonalności przez kontroler macierzy, wyczerpując wszystkie dostępne materiały, które nie tylko potwierdzały wymaganą funkcjonalność, ale i w udostępnionych podręcznikach wskazywały, jak jest realizowana i jak ją należy wdrożyć, co potwierdzały opisane w zalinkowanych podręcznikach informacje.

Tym samym Zamawiający bezpodstawnie uznał zaoferowany sprzęt za niespełniający wymogów, nie przedstawiając w tym zakresie żadnych dowodów, pomijając treść oferty, ulotkę i wyjaśnienie Wykonawcy, z których wprost wynika, że funkcjonalność szyfrowania danych jest funkcjonalnością natywną, zgodnie z informacją z ulotki i wyjaśnieniami Wykonawcy. Funkcjonalność ta realizowana jest bezpośrednio przez oprogramowanie firmware kontrolerów macierzy. Wykonawca wyjaśniał, iż niezależnie od dysków, macierz ma możliwość szyfrowania danych, zatem oczywistym jest dla każdego profesjonalisty informatyka, iż taka funkcję posiada kontroler macierzy.

Ulotka przetłumaczona z angielskiego pozwala na uzyskanie następującej wiedzy:

„Kompleksowa ochrona i bezpieczeństwo danych” Ponieważ bezpieczeństwo ma ogromne znaczenie, jeśli chodzi o przechowywanie danych w chmurze, rodzina EonStor GS zapewnia szyfrowanie AES 256 bitów dla danych w locie (wysyłane do chmury) i danych w spoczynku, a także kompatybilność dysków samoszyfrujących (SED), zapewniając ciągłą ochronę chronione przed złośliwymi zagrożeniami. Ponadto dzięki zintegrowanemu SSL połączenia między serwerem a klientem są również szyfrowane. Zagrożenia bezpieczeństwa w żadnym wypadku nie stanowią jedynego problemu w zakresie ochrony danych”. (Tłumaczenie dosłowne).

Powyższy opis wskazuje jednoznacznie, że zaoferowany produkt umożliwia szyfrowanie dwoma metodami tzn.: zapewnia szyfrowanie danych AES 256, które dla opisanych funkcjonalności nie mogą być wykonane inaczej niż przez kontrolery macierzowe, a także umożliwia drugą metodę tzn. możliwość stosowania dysków samoszyfrujących.

Zarzut zatem sprowadza się w odwołaniu do tego, że w sposób dowolny, niezgodny ze stanem faktycznym i wbrew treści kart katalogowych oraz dokumentacji zaoferowanej macierzy Zamawiający ustalił brak spełnienia wymagania, czym doprowadził do naruszenia art. 89 ust. 1 pkt 2 pzp.

Niezależnie od charakteru niezgodności, aby zastosować tę podstawę odrzucenia oferty, musi być możliwe uchwycenie na czym konkretnie taka niezgodność polega, czyli co i w jaki sposób w ofercie nie jest zgodne z konkretnie wskazanymi, skwantyfikowanymi i ustalonymi jednoznacznie postanowieniami SIWZ. Zamawiający zobligowany jest do przeprowadzenia profesjonalnej oceny merytorycznej, zarówno pod względem zgodności oferty z ustawą Pzp, jak i treści technicznych. O ile każdorazowo treść oświadczenia woli składanego w postępowaniu w ramach oferty należy rozpatrywać przez pryzmat zamiaru wykonawcy, wyrażającego się wolą uczestnictwa w postępowaniu, a w konsekwencji złożenia oferty zgodnej z SIWZ {tak m.in. wyroki Izby z: 3 kwietnia 2012 r. (sygn. akt KIO 556/12), 9 listopada 2012 r. (sygn. akt: KIO 2343/12, KIO 2346/12), 22 listopada 2012 r. (sygn. akt: KIO 2396/1 2, KIO 2416/1 3), 10 czerwca 201 3 r. (sygn. akt KIO 1 266/1 3)} o tyle kluczową sprawą jest, czy w konkretnym stanie faktycznym możliwe jest ustalenie treści oświadczenia co do oferowanego przedmiotu w sposób nie naruszający nadrzędnej zasady zachowania uczciwej konkurencji pomiędzy wykonawcami.

W realiach konkretnej sprawy, zanim Zamawiający podejmie decyzję o odrzuceniu

oferty jako niezgodnej z treścią SIWZ, zobowiązany jest wszechstronnie ją zbadać, bacząc, by wyjaśnić w trybie opisanym w art. 87 ust. 1 PZP jej treść. Dopiero wyczerpanie tej procedury uprawnia zamawiającego do ustalenia, że treść oferty nie odpowiada treści SIWZ, a w konsekwencji odrzucenia oferty na podstawie art. 89 ust. 1 pkt 2 Pzp. {vide wyrok Izby z 5 stycznia 2012 r. (sygn. akt KIO 2743/11) oraz wyrok Izby z 29 lipca 2011 r. (sygn. akt 1514/11)} na podstawie niepodważalnych argumentów.

Z taką sytuacją w postępowaniu nie mamy do czynienia zdaniem Odwołującego, albowiem Zamawiający pominął ulotkę wyjaśniającą realizację funkcjonalności za pomocą kontrolera macierzy, uznając arbitralnie i wbrew treści oferty i danych producenta, że kontrolery macierzy nie mają takiej funkcjonalności.

Mając na uwadze powyższe Odwołujący uważa, że czynność odrzucenia oferty została dokonana z naruszeniem przepisów prawa.

Po przeprowadzeniu rozprawy z udziałem Stron i Uczestnika postępowania odwoławczego, uwzględniając zgromadzony materiał dowodowy, jak również biorąc pod uwagę oświadczenia i stanowiska zawarte w SIWZ, złożonych w postępowaniu o udzielenie zamówienia ofertach, wyjaśnieniach, odwołaniu, złożonych pismach procesowych wraz z załącznikami, a także wyrażone ustnie na rozprawie i odnotowane w protokole, Izba ustaliła i zważyła, co następuje:

Ustalono, że nie została wypełniona żadna z przesłanek skutkujących odrzuceniem odwołania w całości w trybie art. 189 ust. 2 ustawy Pzp i nie stwierdziwszy ich, Izba skierowała odwołanie na rozprawę

Ustalono dalej, że wykonawca wnoszący odwołanie posiada interes w uzyskaniu przedmiotowego zamówienia, kwalifikowany możliwością poniesienia szkody w wyniku naruszenia przez Zamawiającego przepisów ustawy, o których mowa w art. 179 ust. 1 ustawy Prawo zamówień publicznych. Nieprawidłowe dokonanie czynności badania i oceny ofert, w tym odrzucenie oferty Odwołującego oznacza, że potencjalne stwierdzenie naruszenia w tym zakresie przepisów ustawy Pzp pozbawia Odwołującego możliwości uzyskania zamówienia i podpisania umowy w sprawie zamówienia publicznego oraz wykonywania zamówienia. Wypełnione zostały zatem materialnoprawne przesłanki do rozpoznania odwołania, wynikające z treści art. 179 ust. 1 ustawy Pzp.

W dniu 27 września 2019 roku odpowiadając na wezwanie Zamawiającego, zgłoszenie do postępowania odwoławczego po stronie Zamawiającego złożył wykonawca System-IT Sp. z o.o. Sp. k. z siedzibą w Szczecinie. Izba potwierdziła skuteczność przystąpienia. Przystępujący wnosił o oddalenie odwołania w całości. Wskazał, że oferowana macierz dyskowa Infortrend Eon GS1012 Gen 2 umożliwia szyfrowanie danych za pomocą klucza AES256 z wykorzystaniem kontrolerów macierzowych tylko i wyłącznie na dyskach samoszyfrujących typu SED, na dowód czego Przystępujący przedstawił oświadczenie autoryzowanego dystrybutora na rynek Polski, firmy Veracomp S.A.

Przystępujący zaznaczył, że Odwołujący wskazał w odwołaniu, że macierz umożliwia szyfrowanie danych w spoczynku przed wysłaniem do chmury. Według dokumentacji dostępnej na stronie producenta macierz umożliwia szyfrowanie tylko wskazanych plików i katalogów. Przedmiotem zamówienia jest macierzy typu blokowego, musi posiadać minimum 4 porty 10 GB iSCI SPF+ front-end per kontroler. Operacje wykonywane przez kontrolery w macierzy blokowej opierają się na blokach danych, a nie na plikach i folderach, dlatego funkcjonalność szyfrowania folderów nie może być wykorzystana.

Zamawiający złożył pisemną odpowiedź na odwołanie, w której przedstawił obszerną argumentację merytoryczną i złożył dowody, wnosząc o oddalenie odwołania w całości.

Na podstawie przesłanej przez Zamawiającego dokumentacji z postępowania o udzielenie zamówienia publicznego Izba ustaliła, że 20 sierpnia 2019 roku, na podstawie art. 26 ust. 4 oraz art. 87 ust. 1 ustawy Pzp, Zamawiający wezwał Odwołującego do udzielenia wyjaśnień w zakresie części 1 zamówienia, macierz dyskowa, poz. 8 (funkcjonalność), wskazując, że Wykonawca zaoferował macierz dyskową producenta

Infortrend, model EonStar GS1012 Gen 2 i zadeklarował, że macierz w oferowanej konfiguracji będzie umożliwiać szyfrowanie danych na zainstalowanych dyskach dowolnego typu - funkcjonalność realizowana bezpośrednio przez kontrolery macierzy - minimum AES256. Zamawiający z podanych w wezwaniu stron internetowych producenta pozyskał informacje, że istnieje możliwość szyfrowania folderów. W związku z powyższym Zamawiający prosi o wyjaśnienie, czy wskazane szyfrowanie folderów jest zależne od typów dysków oraz o udzielenie informacji czy jest możliwe szyfrowanie inne niż za pomocą dysków samoszyfrujących.

Odwołujący w dniu 23 sierpnia 219 roku złożył wyjaśnienia, w których wskazał, że zaoferowany produkt realizuje różne metody szyfrowania danych przy czym wszystkie te metody są realizowane za pomocą klucza AES256 wymaganego w SIWZ. Możliwe jest szyfrowanie danych realizowane bezpośrednio przez kontrolery macierzy oraz z użyciem tzw. dysków samoszyfrujących. Zastosowanie dysków samoszyfrujących dla danych składowanych bezpośrednio na macierzy z wielu względów jest korzystniejsze, dlatego jest polecane przez producenta macierzy. Niezależnie od szyfrowania za pomocą dysków samoszyfrujących dostępna jest druga możliwość szyfrowania danych bezpośrednio przez kontrolery macierzy. Tego typu szyfrowanie danych jest wykorzystywane między innymi do szyfrowania danych w locie (data in flight) a także danych w spoczynku (data at rest).

Z wykorzystaniem kontrolerów macierzy macierz może szyfrować dane na zainstalowanych dyskach dowolnego typu lub szyfrować dane w układzie do chmury. Szczegóły rozwiązań technicznych znajdują się w dokumentacji technicznej produktu pod wskazanym linkiem do strony internetowej a informacja ogólna znajduje się w ulotce produktowej, w części „Comprehensive Data Protection and Security" (tłumaczenie: Kompleksowa ochrona i bezpieczeństwo danych), tłumaczenie: „Kompleksowa ochrona i bezpieczeństwo danych Ponieważ bezpieczeństwo ma ogromne znaczenie, jeśli chodzi o przechowywanie danych w chmurze, rodzina EonStor GS zapewnia szyfrowanie AES 256 bitów dla danych w locie i danych w spoczynku, a także kompatybilność dysków samoszyfrujących (SED), zapewniając dane są zawsze chronione przed złośliwymi zagrożeniami. Ponadto dzięki zintegrowanemu SSL połączenia między serwerem a klientem są również szyfrowane.

Zagrożenia bezpieczeństwa w żadnym wypadku nie stanowią jedynego problemu w zakresie ochrony danych”.

W dniu 4 września 2019 roku Odwołujący został ponownie wezwany do złożenia dalszych wyjaśnień, bowiem te przedstawione Zamawiający uznał za zbyt ogólne.

Wykonawca podał link do obszernej dokumentacji bez jednoznacznego wskazania, w którym konkretnie dokumencie znajduje się potwierdzenie, że macierz umożliwia szyfrowanie inne niż za pomocą dysków samoszyfrujących. Nie jest rolą Zamawiającego samodzielne ustalanie, który fragment dokumentacji miał na myśli wykonawca. Wobec czego Wykonawca ma wskazać konkretny fragment dokumentu z tłumaczeniem, z którego wynika, że oferowana macierz spełnia wymogi SIWZ.

Odwołujący złożył wyjaśnienia w dniu 6 września 2019 roku, w których wskazał, że odpowiedzią z dnia 23 sierpnia 2019 roku wykonawca wyjaśnił sposób realizacji wymaganej funkcjonalności. Macierz standardowo realizuje szyfrowanie na kontrolerach macierzowych.

Szyfrowanie to głównie stosuje się dla szyfrowania danych przy wysyłaniu ich do chmury, jednak zaszyfrowane przez kontrolery dane macierz może zapisywać na dyski macierzowe.

Natomiast producent zaleca stosowanie szyfrowania danych zapisywanych na macierzy za pomocą dysków samoszyfrujących. Takie rozwiązanie nie obciąża kontrolerów macierzowych i dostarcza dodatkowe korzyści funkcjonalne użytkownikowi.

Wykonawca zaznaczył, że obszernie i szczegółowo omówił te zagadnienia, wskazał miejsca w ulotkach produktowych oraz przytoczył ich fragmenty w oryginale i je przetłumaczył na język polski. Wskazane przez wykonawcę fragmenty kart produktowych wystarczają do uzyskania niezbędnej wiedzy o zaoferowanym produkcie, tym bardziej że produkt ten jest powszechnie uznawany na rynku. Szczegółowe procedury realizacji wymaganych funkcjonalności nie były wymagane w dokumentacji postępowania przetargowego, a wykonawca nie był zobowiązany do szczegółowego opisywania procedur, mimo to wykonawca wskazał miejsca dokumentacji producenta gdzie Zamawiający może pozyskiwać dalsze informacje. Wykonawca stoi na stanowisku, że złożona oferta oraz informacje wskazane przez niego są całkowicie wystarczające do oceny złożonej oferty a wyjaśnienia składane w postępowaniu nie mogą być formą szkolenia produktowego. Niezależnie od powyższego, dla rozwiania ewentualnych sporów przed KIO wykonawca wystąpił do producenta macierzy o przygotowanie spersonalizowanego pisemnego potwierdzenia wszystkich parametrów technicznych wymaganych w SIWZ. Na przesłanie potwierdzenia pisemnego należy poczekać kilka dni, gdyż producent nie znajduje się w Polsce.

Zamawiający w Zawiadomieniu o odrzuceniu oferty podał, że załączniku nr 1a do SIWZ (Formularz ofertowy), jak i w rozdziale 3 pkt 3.3 ppkt 5 załącznika nr 4a do SIWZ

(OPZ) jako minimalne wymaganie komponentu podano, że funkcjonalność dla macierzy dla macierzy dyskowej: dostarczona macierz w oferowanej konfiguracji musi umożliwiać szyfrowanie danych na zainstalowanych dyskach dowolnego typu - funkcjonalność realizowana bezpośrednio przez kontrolery macierzy - minimum AES 256.

Wykonawca w formularzu ofertowym zaoferował macierz producenta Infortrend, model EonStor GS1012 Gen 2 i zadeklarował, że będzie ona spełniała minimalny warunek.

Zgodnie z wiedzą Zamawiającego oferowana macierz nie posiada funkcjonalności szyfrowania danych za pomocą kontrolerów. Może to robić z użyciem dysków samoszyfrujących (dysków SED), co nie spełnia wymogów OPZ.

Zamawiający zwrócił się do Wykonawcy z wezwaniem do złożenia wyjaśnień w dniu 20 sierpnia 2019 rok, w trybie art. 26 ust. 4 oraz 87 ustawy Pzp. W odpowiedzi Wykonawca przedłożył ogólne wyjaśnienia oraz link do obszernej dokumentacji, bez jednoznacznego wskazania w którym konkretnie dokumencie znajduje się potwierdzenie, że zaoferowana macierz umożliwia szyfrowanie inne niż za pomocą dysków samoszyfrujących. Ponadto pod kolejnym linkiem przedłożył dokumentację, z której nie wynikało, że zaoferowana macierz spełnia wymogi OPZ. Wykonawca nie wskazał, że macierz posiada mechanizm szyfrowania za pomocą kontrolera, a jedynie że ma możliwość szyfrowania danych przesyłanych z i do chmury w trakcie ich przesyłania, jak i już zgromadzonych.

W związku z powyższym, z uwagi na nieprecyzyjność wyjaśnień, w dniu 4 września 2019 roku Zamawiający zwrócił się do Wykonawcy ponownie do złożenia wyjaśnień, do jednoznacznego wskazania (ukrytego pod udostępnionym linkiem) konkretnego dokumentu z którego wynika, że zaoferowana macierz spełnia wymogi OPZ. W odpowiedzi Wykonawca nie wskazał konkretnej dokumentacji, nie wykazał także żadnych istotnych informacji.

Oczekiwanie przez kilka dni na odpowiedź producenta (czego życzyłby sobie Wykonawca) jest zdaniem Zamawiającego bezprzedmiotowe i niezasadne. Wykonawca miał już możliwość przedłożenia stosowanych danych przy pierwszym wezwaniu, drugie wezwanie został skierowane celem doprecyzowania niejasności - Zamawiający żądał wskazania konkretnego dokumentu z pliku ujętego we wcześniejszych wyjaśnieniach.

Wykorzystanie ponownego wezwania do przedłożenia nowych wyjaśnień i okoliczności nie jest dopuszczalne, ponieważ stanowi naruszenie zasady równego traktowania wykonawców.

W świetle złożonych przez Wykonawcę wyjaśnień Zamawiający uznał, że oferowana macierz nie spełnia wymogów minimalnych OPZ, więc oferta podlega odrzuceniu.

Zaznaczono, że art. 87 ust. 2 pkt 3 ustawy Pzp nie może mieć w takim przypadku zastosowania, ponieważ dotyczy on omyłek nie powodujących istotnych zmian w treści oferty, a do takich nie można zakwalifikować opisanego uchybienia. Poza tym wymagane parametry macierzy dyskowej w zakresie funkcjonalności zostały opisane w SIWZ jednoznacznie i precyzyjnie i ich interpretacja nie budzi wątpliwości.

Biorąc powyższe ustalenia i zgromadzony materiał dowodowy pod uwagę, skład orzekający Izby doszedł do przekonanie, że odwołanie podlegało oddaleniu w całości.

W zakresie zastosowania przesłanki odrzucenia oferty z art. 89 ust. 1 pkt 2 ustawy Pzp mieści się sporządzenie oferty w inny sposób, niż żądał tego zamawiający, o ile niezgodność taka dotyczy elementów treści oferty w aspekcie formalnym i materialnym, choć nie może tu chodzić wyłącznie o niezgodność sposobu spełnienia tych aspektów {por. J. Pieróg w: Prawo zamówień Publicznych. Komentarz, wyd. C.H. Beck, Warszawa 2009}. Innymi słowy niezgodność treści oferty z treścią SIWZ może polegać na sporządzeniu i przedstawieniu oferty w sposób niezgodny z wymaganiami specyfikacji, z zaznaczeniem, że chodzi tu o wymagania SIWZ dotyczące sposobu wyrażenia, opisania i potwierdzenia zobowiązania (świadczenia) ofertowego, a więc wymagania, co do treści oferty, a nie wymagania co do jej formy, które również zamieszczane są w SIWZ (tak wyrok Izby z 13 listopada 2013 r., sygn. akt KIO 2478/13).

Niezależnie od charakteru niezgodności, aby zastosować podstawę odrzucenia oferty z art. 89 ust. 1 pkt 2 Pzp musi być możliwe uchwycenie na czym konkretnie taka niezgodność polega, czyli co i w jaki sposób w ofercie nie jest zgodne z konkretnie wskazanymi, skwantyfikowanymi i ustalonymi jednoznacznie postanowieniami SIWZ.

Wystąpienie stanu niezgodności treści oferty z treścią SIWZ nie zawsze będzie podstawą do odrzucenia oferty, gdyż art. 89 ust. 1 pkt 2 Pzp wprost odsyła do art. 87 ust. 2 pkt 3 Pzp. Odrzuceniu podlega zatem wyłącznie oferta, której treść jest niezgodna z treścią SIWZ w sposób zasadniczy i nieusuwalny, gdyż obowiązkiem zamawiającego jest poprawienie w złożonej ofercie niezgodności z SIWZ niemających istotnego charakteru.

O ile każdorazowo treść oświadczenia woli składanego w postępowaniu w ramach oferty należy rozpatrywać przez pryzmat zamiaru wykonawcy, wyrażającego się wolą uczestnictwa w postępowaniu, a w konsekwencji - złożenia oferty zgodnej z SIWZ {tak m.in. wyroki Izby z: 3 kwietnia 2012 r. (sygn. akt KIO 556/12), 9 listopada 2012 r. (sygn. akt: KIO 2343/12, KIO 2346/12), 22 listopada 2012 r. (sygn. akt: KIO 2396/12, KIO 2416/13), 10 czerwca 2013 r. (sygn. akt KIO 1266/13)} - o tyle kluczową sprawą jest, czy w konkretnym stanie faktycznym możliwe jest ustalenie treści oświadczenia co do oferowanego przedmiotu w sposób nie naruszający nadrzędnej zasady zachowania uczciwej konkurencji pomiędzy wykonawcami.

Reasumując, o niezgodności treści oferty z treścią SIWZ można mówić tylko w przypadku, gdy przedmiot zamówienia wynikający z oferty nie odpowiada w pełni przedmiotowi zamówienia opisanemu w SIWZ. Ta niekompatybilność oparta może być na wielu płaszczyznach oferty, czy to w zakresie wykonania czy też sposobie wykonania zamówienia. Jednocześnie za niezgodnych z treścią SIWZ nie uważa się sytuacji, w których to aspekty formalne oferty nie odpowiadają zapisom SIWZ.

Niezgodność treści oferty z treścią SIWZ zamówienia ma miejsce w sytuacji, gdy zaoferowany przedmiot dostawy bądź też usługi, nie odpowiada opisanemu w specyfikacji przedmiotowi zamówienia, co do zakresu, ilości, jakości, warunków realizacji i innych elementów istotnych dla wykonania przedmiotu zamówienia w stopniu zaspokajającym oczekiwania i interesy Zamawiającego. Konieczność odrzucenia takiej oferty zachodzi także w przypadku, kiedy niemożliwe staje się zastosowanie art. 87 ust. 2 pkt 3 ustawy Pzp.

Stosownie bowiem do przepisu art. 87 ust. 2 pkt 3 ustawy Pzp Zamawiający poprawia w ofercie inne omyłki polegające na niezgodności oferty z SIWZ, niepowodujące istotnych zmian w treści oferty - niezwłocznie zawiadamiając o tym wykonawcę, którego oferta została poprawiona.

Niewątpliwie dostrzeżenia wymaga, iż Zamawiający w procesie badania i oceny ofert zobowiązany jest do oceny rzetelnej, wyjaśnienia wszelkich powstałych wątpliwości co do treści oferty i zakresu przedmiotowego świadczenia ofertowanego przez ocenianego Wykonawcę, a narzędziem służącym do tego jest art. 87 ust.1 ustawy Pzp. Przepis ten pozwala przełożyć wymagania SIWZ na treść złożonej w prowadzonym postępowaniu o udzielenie zamówienia oferty. Natomiast sposób dowiedzenia prawidłowości treści oferty w odniesieniu do wymagań SIWZ pozostawiony jest wykonawcom. To wykonawca za pomocą dowolnych metod i środków dowodowych ma wykazać, że treść jego oferty odpowiada wymaganiom na przykład opisu przedmiotu zamówienia, przy czym składane wyjaśnienia nie mogą treści oferty modyfikować i odnosić mają się do elementów w ofercie ujętych.

Prawdą jest, iż w przedmiotowym postępowaniu Zamawiający nie wymagał złożenia wraz z ofertą tzw. dokumentów przedmiotowych, potwierdzających, że oferowane dostawy/usługi spełniają wymagania określone w SIWZ. Wymagano złożenia wraz z ofertą szczegółowo wypełnionego zestawienia tabelarycznego odnoszącego się do elementów przedmiotowo istotnych dla zamawianych macierzy a opisanych w SIWZ.

Zamawiający w wezwaniu z 20 sierpnia 2019 roku do Odwołującego wyraźnie jednak zaznaczył, że posiłkował się tak treścią tabeli z oferty Odwołującego, jak też dostępną powszechnie dokumentacją techniczną, do której zamieścił w wezwaniu odpowiednie linki.

Z jednej bowiem strony z oferty wynikało, że macierz w oferowanej konfiguracji spełnia wymóg szyfrowania danych na zainstalowanych dyskach dowolnego typu a funkcjonalność realizowana jest przez kontrolery macierzy, a dokumentacja linkowana wskazywała zastosowanie innej metody, to jest na szyfrowanie za pomocą dysków samoszyfrujących.

Na tak postawione pytanie Odwołujący odpowiedział, że szczegóły rozwiązań technicznych znajdują się w dokumentacji technicznej produktu pod wymienionym w wyjaśnieniach linkiem do strony internetowej a informacja ogólna znajduje się w ulotce produktowej. Odwołujący zamieścił również w wyjaśnieniach tłumaczenie fragmentu dokumentacji odnoszące się do Kompleksowej ochrony i bezpieczeństwa danych.

W ocenie Izby tak złożone wyjaśnienia w żaden sposób nie odnoszą się do rozwiania wątpliwości Zamawiającego, a z drugiej strony do wykazania zgodności treści oferty z treścią SIWZ. Przetłumaczony fragment dokumentacji specyfikuje możliwość szyfrowania danych w locie i danych w spoczynku przy użyciu AES 256 oraz kompatybilność dysków

samoszyfrujących. To stwierdzenie nie potwierdza możliwości szyfrowania danych przez kontrolery macierzy. Samo oświadczenie Odwołującego zaznacza tylko istnienie dokumentacji technicznej, bez konkretnego określenia, chociażby w przybliżeniu, w jakim miejscu tej dokumentacji należy szukać potwierdzenia wymaganej w SIWZ funkcjonalności.

Słusznie w ocenie Izby Zamawiający ponawiając wezwanie do złożenia wyjaśnień zaznaczył, iż nie jest rolą Zamawiającego samodzielne poszukiwanie odpowiedzi na zadane Wykonawcy pytania. To obowiązkiem Wykonawcy jest przekonanie Zamawiającego o prawidłowo złożonej ofercie. Tymczasem w wyjaśnieniach z 6 września 2019 roku (po ponowionym wezwaniu Zamawiającego) nie przedstawiono jakichkolwiek informacji potwierdzających spełnienie wymagania SIWZ. Choć Odwołujący napisał w wyjaśnieniach, że wyjaśnił sposób realizacji wymaganej funkcjonalności, czy też że szczegółowo omówił te zagadnienia, to złożone dokumenty ich nie potwierdzają. Trudno bowiem uznać za potwierdzenie, że realizacja spornej funkcjonalności jest możliwa przez macierz, na podstawie lakonicznego stwierdzenia, że szyfrowanie przy użyciu kontrolerów macierzowych stosuje się przy zapisywaniu danych do chmury, jednak zaszyfrowane dane można również zapisać na dyski macierzowe, jednak producent zaleca stosowanie dysków samoszyfrujących. Takich wyjaśnień w ocenie składu orzekającego Izby nie można w żadnej mierze uznać za wystarczające, a tym bardziej za wyczerpujące i potwierdzające spełnienie wymaganych parametrów.

Zamawiający jasno określił w SIWZ, że wymaga jako minimalne wymaganie techniczne komponentu, by dostarczona macierz w oferowanej konfiguracji umożliwiała szyfrowanie danych na zainstalowanych dyskach dowolnego typu - funkcjonalność realizowana bezpośrednio przez kontrolery macierzy - minimum AES256. Skoro, co Odwołujący wielokrotnie w odwołaniu i na rozprawie podkreślał, od Zamawiającego oceniającego zagadnienia techniczne wymagana jest profesjonalna postawa i znajomość merytoryczna zagadnienia, to ten sam miernik należy również odnieść do Wykonawcy, jako profesjonalnego uczestnika ryku zamówień publicznych. W ocenie Izby złożone przez Odwołującego w postępowaniu o udzielenie zamówienia publicznego wyjaśnienia profesjonalizmem się nie charakteryzują. Są one ogólnikowe, bez szczegółowego opisania w jaki sposób owo wymagane szyfrowanie przez kontrolery macierzy się odbywa, bez powołania się na konkretne fragmenty dokumentacji technicznej. Złożone wyjaśnienia wskazują raczej na pobieżne odniesienie się do zadanych pytań, niż na szczegółowe przedstawienie w jaki sposób oferowana w określonej przez samego Odwołującego w tabeli załącznika nr 4a konfiguracji macierz spełnia wymogi minimalne. Izba odniosła wrażenie, iż Odwołujący doskonale zdawał sobie sprawę, o co pyta Zamawiający, jednak udzielał odpowiedzi w taki sposób, by nie zagłębiać się w szczegóły techniczne własnego rozwiązania, które jest niezgodne z SIWZ. Dopiero bowiem na etapie rozprawy przed Izbą, po zapoznaniu się z odpowiedzią na odwołanie, Odwołujący konkretniej zaczął wskazywać, że by uznać spełnienie wymagania minimalnego, należy wziąć pod uwagę oferowane dodatkowo przez niego protokoły CIFS/SMB. Oznacza to w ocenie Izby, że sam Odwołujący doskonale zdawał sobie sprawę, gdzie upatrywać należy problemu z potwierdzeniem wymaganej funkcjonalności. Wszystkie złożone przez Odwołującego dowody, w tym przede wszystkim złożone oświadczenia z 18 września 2019 roku oraz 1 października 2019 roku zaznaczają wyraźnie, że funkcjonalność można osiągnąć przez „dostęp plikowy do danych (CIFS/SMB), co umożliwia szyfrowanie za pomocą AES 256 danych przechowywanych w folderach, a funkcjonalność jest realizowana bezpośrednio przez oprogramowanie firmware kontrolerów macierzy”. Tymczasem Zamawiający, co potwierdziła jego wypowiedź na rozprawie, wymagał w danej funkcjonalności, aby to co będzie zapisane na nośniku, czyli dysku, było zaszyfrowane już w trakcie zapisu na tym dysku. Prawdą jest, że istnieje możliwość przeprowadzenia tego procesu przy użycie dysków SED, ale Zamawiający wymagał, aby ten proces odbywał się przy wykorzystaniu kontrolera macierzy, który przyjmuje dane z zewnątrz, dokonuje rozdzielenia danych na dyski celem zapisu i wysłania na zewnątrz. Komunikuje się on z dyskami wewnątrz macierzy za pomocą protokołu SCSI.

Zamawiający wskazał, iż protokół CIFS służy do komunikacji zewnętrznej, dlatego Zamawiający odnosił się w wymaganiu w SIWZ do protokołu AES 256. Zamawiający wymagał, by szyfrowanie odbywało się przy możliwości użycia dowolnego rodzaju dysku w macierzy, by kontroler mógł zaszyfrować dane przed ich zapisem. Innymi słowy, macierz w konfiguracji oferowanej przez Odwołującego pozwala na szyfrowanie danych przez kontrolery, ale w momencie wysyłki tych danych, czyli komunikacji na zewnątrz przy użyciu dodatkowych protokołów, podczas gdy w wymaganiu w SIWZ wymagano szyfrowania na poziomie komunikacji wewnętrznej, czyli kontroler macierzy - dyski. Czym innym jest szyfrowanie danych przy ich wysyłce poza macierz, a czym innym szyfrowanie danych przy ich zapisie na dysku.

W ocenie składu orzekającego Izby brak spełnienia wymaganej funkcjonalności de facto potwierdza prywatna opinia techniczna złożona przez samego Odwołującego.

W dokumencie tym stwierdzono, że istnieje możliwość przesyłania danych zaszyfrowanych do chmury, danych w locie, co oznacza, że macierz posiada funkcjonalność szyfrowania danych na kontrolerach macierzowych bowiem w innym przypadku nie mogłaby wykonać operacji szyfrowania danych opuszczających kontroler do chmury (strona 2 opinii).

Odwołujący zdaje się utożsamiać spełnianie wymagań dla danej funkcjonalności w ramach ustalonych elementów podstawowych opisu przedmiotu zamówienia z ustalonym kryterium oceny ofert, czyli możliwością rozbudowy macierzy dyskowej o dostęp plikowy z wykorzystaniem protokołów cifs i nfs. Nie ulega wątpliwości, że taką możliwość rozbudowy Odwołujący w swojej ofercie zaproponował ale istotą przedmiotu zamówienia w postępowaniu było zaoferowanie macierzy umożliwiającej szyfrowanie danych na zainstalowanych dyskach dowolnego typu - funkcjonalność realizowana bezpośrednio przez kontrolery macierzy - minimum AES256 w wersji podstawowej. Natomiast możliwość rozbudowy jest elementem przyszłości.

W zakresie zgromadzonego materiału dowodowego, w tym złożonej przez Odwołującego prywatnej opinii technicznej, to dowód ten nie mógł przyjąć charakteru przesądzającego o zasadności zarzutów odwołania. Dostrzeżenia przede wszystkim wymaga prywatny charakter złożonej opinii. Ekspertyzę tę Izba potraktowała jako część argumentacji faktycznej i prawnej przytaczanej przez Stronę sporu, która jest jej autorem.

Opinia taka stanowi jedynie dowód tego, że osoby, które ją podpisały wyraziły zawarty w nich pogląd, nie korzysta ona natomiast z domniemania zgodności z prawdą zawartych w niej twierdzeń. Stanowisko doktryny jasno pokazuje, że ekspertyza prywatna nie może być podstawą wniosków sądu pozostających w opozycji do stanowiska strony przeciwnej.

W orzecznictwie SN wyrażono także stanowisko, że gdyby ekspertyzę prywatną przyjęto za podstawę orzeczenia, stanowiłoby to istotne uchybienie procesowe, które mogłoby być nawet podstawą skutecznego zarzutu apelacyjnego (tak SN w wyroku z dnia 29 września 1956 r., III CR 121/56, OSN 1958, nr 1, poz. 16).

Co do przedstawionych przez Odwołującego i Zamawiającego wyciągów z korespondencji mailowej z przedstawicielami producenta macierzy, osoba będąca przedstawicielem producenta wyrażając opinię o spełnieniu przez macierz określonej funkcjonalności wielokrotnie zmieniała zdanie, składała sprzeczne oświadczenia, do końca nie jest wiadomym jakie ostatecznie zajęła stanowisko, dlatego też oświadczenia wynikające ze złożonych plików nie dawały podstaw do uznania tych dokumentów za wiarygodne, które przemawiać mogłyby na korzyść którejkolwiek ze Stron sporu.

W przypadku korespondencji odnoszącej się do oświadczenia firmy Veracomp i samego oświadczenia tej firmy, to korespondencja mailowa odnosi się do stosunków wewnętrznych między producentem a jego przedstawicielami/ dystrybutorami. Stosunki te i wzajemne relacje biznesowe między podmiotami nie były przedmiotem rozstrzygnięcia Izby, pozostają zatem bez znaczenia dla sporu wywołanego wniesieniem odwołania. Samo oświadczenie złożone w imieniu firmy Veracomp, podobnie jak oświadczenia przedstawicieli firmy Infortrend referują do dostępu plikowego do danych i protokołów CIFS/SMB.

Ocena pozostałego materiału dowodowego przedstawiona została w orzeczeniu przy omówieniu zarzutu. Izbie nie przestawiono dowodu wprost potwierdzającego, że w oferowanej konfiguracji macierz oferowana przez Odwołującego spełnia wymogi SIWZ.

Reasumując, Izba uznała, że Odwołujący, ani w złożonych wyjaśnieniach, ani na rozprawie nie potwierdził, że treść jego oferty odpowiada wymaganiom SIWZ.

W postępowaniu w takie sytuacji nie było możliwe zastosowanie art. 87 ust. 2 pkt 3 ustawy Pzp, co obligowało Zamawiającego do odrzucenia oferty Odwołującego na podstawie art. 89 ust. 1 pkt 2 ustawy Pzp.

Reasumując Izba uznała za niezasadne zarzuty naruszenia przez Zamawiającego przepisów wymienionych w petitum odwołania. Odwołujący w żaden sposób nie wykazał, że Zamawiający naruszył wskazywane przepisy ustawy Pzp, a jego działania miały charakter świadomy i celowy.

Biorąc powyższe pod uwagę, na podstawie art. 192 ust. 1 ustawy Pzp, orzeczono jak

w sentencji.

O kosztach postępowania odwoławczego orzeczono na podstawie art. 192 ust. 9 i 10 ustawy Pzp, tj. stosownie do wyniku postępowania, z uwzględnieniem postanowień rozporządzenia Prezesa Rady Ministrów z dnia 15 marca 2010 r. w sprawie wysokości i sposobu pobierania wpisu od odwołania oraz rodzajów kosztów w postępowaniu odwoławczym i sposobu ich rozliczania (tekst jednolity Dz. U. z 2018 r. poz. 2972) zmienionego rozporządzeniem Prezesa Rady Ministrów z dnia 9 stycznia 2017 r. zmieniającego rozporządzenie w sprawie wysokości i sposobu pobierania wpisu od odwołania oraz rodzajów kosztów w postępowaniu odwoławczym i sposobu ich rozliczania (Dz. U. z 2017 r., poz. 47), w tym w szczególności § 5 ust. 4.

Przewodniczący:

Członkowie:

18