Miesięcznik informatyków i menedżerów IT sektora publicznego

Joanna Jastrząb, Piotr Nepelski, Agnieszka Wachowska

Wyłączenia w zamówieniach usług cyberbezpieczeństwa

W postępowaniu zakupowym w zakresie cyberbezpieczeństwa można skorzystać z wyłączenia przepisów pzp bądź zastosować przepisy o zamówieniach z dziedziny obronności. Ta druga opcja jest dopuszczalna też dla podmiotów niezajmujących się działalnością wojskową.

W ramach niniejszego artykułu analizie poddana zostanie możliwość zastosowania wyłączenia z art. 4 pkt 5 ustawy z dnia 29 stycznia 2004 r. Prawo zamówień publicznych (tekst jedn. DzU z 2019 r., poz. 1843; dalej: pzp) oraz możliwość realizacji zakupów w reżimie właściwym dla zamówień z dziedziny bezpieczeństwa i obronności. Aktualność zachowują przy tym wszelkie rozważania i zastrzeżenia omówione w artykule „Zamówienia publiczne na usługi cyberbezpieczeństwa” („IT w Administracji” 2020, nr 1), dotyczące zwłaszcza trudności w udzieleniu blankietowej rekomendacji, która uniwersalnie będzie mogła zostać zastosowana do zakupu usług cyberbezpieczeństwa. Powyższe nie oznacza jednak niemożności udzielenia istotnych wskazówek w tym zakresie.

Państwowe czy publiczne

Opierając się na poglądach występujących w doktrynie, można wskazać, że bezpieczeństwo państwa jest to stan uwarunkowań, w których państwo nie czuje się zagrożone presją militarną ani polityczną czy gospodarczą1. Dla przypomnienia, o czym była mowa w poprzednim numerze „IT w Administracji” – Krajowa Izba Odwoławcza w wyroku z 28 sierpnia 2018 r. (KIO 1539/18), powołując się na opinię Urzędu Zamówień Publicznych wydaną na gruncie art. 4 pkt 5 pzp, stwierdziła, że z bezpieczeństwem państwa będziemy mieli do czynienia w szczególności, gdy dotyczy ono takich wartości, jak suwerenność, międzynarodowa pozycja, niepodległość, nienaruszalność terytorium, obronność państwa. Ostatnimi czasy na znaczeniu nabierają w szczególności obawy o bezpieczeństwo teleinformatyczne. Związane jest to z cyberprzestępczością, która dotyka nie tylko osoby prywatne, lecz również instytucje publiczne. W pewnym zakresie bezpieczeństwo publiczne (w tym teleinformatyczne) może także nakładać się na bezpieczeństwo państwa, a linia podziału pomiędzy tymi dwoma terminami jest trudna do ustalenia.

Pojęcia istotnego interesu bezpieczeństwa państwa oraz bezpieczeństwa publicznego są jednak bardzo nieostre i nie dają jasnych i konkretnych wytycznych co do przesłanek, jakie powinny być spełnione, aby uznać, że mamy do czynienia z interesem bezpieczeństwa. Z powyższych względów formułowane w doktrynie wytyczne nie dają w praktyce jasności, jakie dokładnie okoliczności powinny być potraktowane jako bezpieczeństwo państwa lub publiczne.

Kiedy można wyłączyć pzp

Z uwagi na trudności ze zdefiniowaniem pojęcia bezpieczeństwa państwa lub publicznego powstają jednocześnie trudności co do tego, jakie środki są konieczne, aby to bezpieczeństwo zostało zapewnione (w tym wątpliwość, czy udzielenie zamówienia w trybie pzp pozwala je jeszcze zapewnić). Zasadne – również w oparciu o stanowisko prezentowane przez Urząd Zamówień Publicznych – wydaje się twierdzenie, że art. 4 pkt 5 pzp:

  • obejmuje zarówno bezpieczeństwo wewnętrzne, jak i bezpieczeństwo zewnętrzne państwa;
  • pozwala na zastosowanie wyłączenia, jeżeli pomiędzy istnieniem istotnego interesu bezpieczeństwa a odstąpieniem od stosowania ustawy zachodzi związek przyczynowo-skutkowy;
  • daje możliwość skorzystania z wyłączenia w sytuacji, gdy zastosowanie procedur określonych w ustawie może prowadzić do naruszenia istotnych interesów bezpieczeństwa państwa.

Innymi słowy, wyłączenie z art. 4 pkt 5 pzp może mieć miejsce wtedy, gdy dzięki niestosowaniu wynikających z pzp reguł przejrzystości, uczciwej konkurencji oraz równego traktowania wykonawców możliwa jest ochrona bezpieczeństwa państwowego lub publicznego. Należy zastrzec, że podstawą odstąpienia od stosowania ustawy na podstawie art. 4 pkt 5 pzp nie może być sama pilność udzielanego zamówienia ani też fakt, iż jego realizacji podjąć może się ograniczona liczba wykonawców. Nie są to bowiem jeszcze okoliczności, które wymagają odstąpienia od stosowania pzp, jeśli samo zamówienie dotyczy istotnych interesów bezpieczeństwa państwa. Powyższe okoliczności mogą co najwyżej przemawiać za koniecznością odstąpienia od podstawowych trybów udzielania zamówień publicznych, a więc przetargu nieograniczonego oraz ograniczonego.

W interesie bezpieczeństwa

Zamawiający, podejmując decyzję o skorzystaniu z art. 4 pkt 5 pzp, musi zatem wykazać, że udzielenie zamówienia z poszanowaniem podstawowych zasad, w szczególności jawności i powszechności dostępu, nie jest możliwe bez zagrożenia dla istotnego interesu bezpieczeństwa państwa lub ochrony bezpieczeństwa publicznego. Wydaje się przy tym, że sytuacja taka mogłaby zaistnieć – przykładowo – wówczas, kiedy stosowanie powyższych zasad doprowadziłoby do udostępnienia wrażliwych danych o systemach teleinformatycznych (dotyczących ich architektury czy podatności), w których przetwarzane są dane dużej części obywateli. Zamawiający musi także wykazać, że niewystarczające byłoby przeprowadzenie postępowania zgodnie z możliwościami, które daje rozdział 4a pzp poświęcony zamówieniom z dziedziny obronności i bezpieczeństwa.

[...]

Agnieszka Wachowska – radca prawny i partner w Kancelarii Traple Konarski Podrecki i Wspólnicy.
Joanna Jastrząb – radca prawny w Kancelarii Traple Konarski Podrecki i Wspólnicy.
Piotr Nepelski – radca prawny w Kancelarii Traple Konarski Podrecki i Wspólnicy.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej