KIO zmienia front w sprawie zatrzymania wadium

Krajowa Izba Odwoławcza będzie orzekać w sprawie zatrzymania wadium. Po interwencji Sądu Najwyższego Izba uznała, że jest organem właściwym do wydawania przedmiotowych rozstrzygnięć.

Do niedawna Krajowa Izba Odwoławcza konsekwentnie odżegnywała się od orzekania w przedmiocie zatrzymania wadium, twierdząc, że „uprawnienia Izby związane z uwzględnieniem odwołania nie mogą dotyczyć czynności zamawiającego wykraczających poza sferę postępowania o udzielenie zamówienia, ta zaś kończy się wyborem oferty najkorzystniejszej i udzieleniem zamówienia”.

Jakkolwiek było to stanowisko zupełnie niezrozumiałe, Izba prezentowała je konsekwentnie od wielu miesięcy, czego konsekwencje ponosili i do dziś ponoszą wykonawcy usiłujący dochodzić przed sądem swoich praw związanych z bezpodstawnie zatrzymanym wadium. Przełomem okazało się, wywołane wniesieniem przez Prezesa UZP skargi kasacyjnej, postanowienie Sądu Najwyższego (sygn. akt: V CSK 456/09). Sąd stwierdził w nim: „ponieważ wniesienie wadium stanowi element postępowania o udzielenie zamówienia publicznego, (…) wykonawcy, któremu zamawiający zatrzyma wadium na podstawie art. 46 ust. 4a ustawy Prawo zamówień publicznych, przysługują środki odwoławcze określone w przepisach tej ustawy”.

Na reakcję KIO nie trzeba było długo czekać. 27 września 2010 r. trzyosobowy skład orzekający izby przyznał, że decyzja zamawiającego dotycząca zatrzymania wadium jest decyzją w postępowaniu o udzielenie zamówienia publicznego i co do jej zasadności podlega ocenie Izby(KIO 1990/10).

W przedmiotowej sprawie zamawiający zatrzymał wadium wykonawcy, twierdząc, że nie udowodnił on spełnienia warunków udziału w postępowaniu. Zamawiający wezwał uprzednio wykonawcę do uzupełnienia dokumentów, jednak wezwanie to było bezzasadne – wykonawca zamiast uzupełnienia dokumentów złożył wyjaśnienia, które, co przyznał podczas rozprawy zamawiający, potwierdziły spełnienie przez wykonawcę wymaganego warunku. Zamawiający zarzucił jednak, iż złożony przez wykonawcę dokument zawierający wyjaśnienia ma niewłaściwą formę (fax) , mimo iż formę taką dopuścił.

Rozpoznając merytorycznie odwołanie w cytowanej sprawie, skład orzekający Izby dokonał ponownej interpretacji przepisu art. 46 ust. 4a ustawy Prawo zamówień publicznych. W uzasadnieniu wyroku uwzględniającego odwołanie izba przywołała treść uchwały SN z 21 grudnia 1999 roku, sygn. I KZP 45/99, gdzie sąd stwierdził, że „trzeba eliminować takie ustalenia interpretacyjne tekstów prawnych, przy których przyjęciu skutki stosowania odpowiedniego przepisu byłyby wadliwe, a w szczególności prowadziłyby do skutków niezamierzonych”. Z powyższej uchwały w ocenie Izby wynika, że intencją ustawodawcy nie było zatrzymywanie wadium w każdym przypadku niewywiązania się wykonawcy z wezwania do uzupełnienia dokumentów dokonanego w trybie art. 26 ust. 3 ustawy Prawo zamówień publicznych. Zdaniem Izby decyzja o zatrzymaniu wadium powinna być podjęta przez zamawiającego po wnikliwej analizie, czy zaistniała obiektywnie uzasadniona podstawa do wezwania wykonawcy w trybie art. 26 ust. 3 oraz analizie wpływu braku uzupełnienia dokumentów wymienionych w art. 46 ust 4a na postępowanie o udzielenie zamówienia publicznego.

Opisane stanowisko KIO stanowi niewątpliwie krok w dobrym kierunku, jednak nie rozwiązuje wszystkich problemów związanych z zatrzymaniem wadium. Wciąż bowiem wykonawcy znajdujący się daleko w rankingu, którzy odwołując się od wykluczenia ich przez zamawiającego z postępowania i zatrzymania wadium, nie wnoszą jednocześnie zarzutów wobec oferty najkorzystniejszej, padają ofiarą regulacji art. 192 ust.2 pzp. W przepisie tym ustawodawca wskazał bowiem, iż izba uwzględnia odwołanie, jeśli stwierdzi naruszenie przepisów ustawy, które miało lub mogło mieć wpływ na wynik postępowania. Innymi słowy taki wykonawca, mimo że może mieć rację, formalnie przegra sprawę przed KIO – jego odwołanie zostanie oddalone – i pozostanie mu droga sądowa dla odzyskania bezprawnie zatrzymanego wadium.

Nowa publikacja eksperta Kancelarii

Ukazała się nowa książka dr. Bogdana Fischera, Partnera w krakowskim Oddziale Kancelarii. Jest to pierwsza publikacja na polskim rynku, która tak rzetelnie analizuje uwarunkowania ponadgranicznego przekazywania danych.

Mec. Fischer, ekspert w dziedzinie ochrony danych osobowych i prawa publicznego, w swojej nowej książce bada problem przekazywania danych osobowych do państw trzecich. Jest to dziedzina, która z jednej strony ma ogromne znaczenie zarówno dla teorii prawa administracyjnego, jak i jego praktycznego zastosowania, a z drugiej, ze względu na ciągły rozwój podlega różnorodnym procesom zbadanym i opisanym w ww. pracy.

Monografia jest przeznaczona dla pracowników naukowych, pracowników administracji publicznej, prawników oraz dla wszystkich osób zajmujących się problematyka ochrony danych osobowych, a w szczególności mających do czynienia z przekazywaniem danych osobowych z Polski.
Transgraniczność prawa administracyjnego na przykładzie regulacji przekazywania danych osobowych z Polski do państw trzecich, dr Bogdan Fischer, 2010 r.

Najważniejsze zapisy w umowie wdrożenia zaawansowanych projektów technologicznych

Specjalizacja i koncentracja na jednej dziedzinie, bez rozpraszania się na dodatkowe sfery działalności, stanowi podstawowe założenie strategiczne przedsiębiorstw działających na silnie dziś konkurencyjnym rynku. Jednym ze sposobów realizacji tego założenia jest outsourcing usług informatycznych, który budzi coraz większe zainteresowanie wśród przedsiębiorstw.

Outsourcing jest nowoczesną strategią zarządzania, która polega na oddaniu na zewnątrz (partnerowi zewnętrznemu) zadań niezwiązanych bezpośrednio z podstawową działalnością firmy. Zlecanie firmom informatycznym prac niebędących podstawową działalnością przedsiębiorstwa, w szczególności gdy mają długoletnie know-how i niezbędne doświadczenie, może się przyczynić do lepszego funkcjonowania i znacznego obniżenia kosztów operacyjnych przy jednoczesnym stałym zapewnieniu wysokiej jakości własnych produktów lub usług.

Przedmiot umowy i definicje, które muszą znaleźć się w projekcie
Jednym z najczęściej powtarzających się zapisów jest, że „przedmiotem umowy jest świadczenie przez „firmę IT” na rzecz klienta (w rozumieniu przedsiębiorcę zlecającego) odpłatnych usług np. zarządzania infrastrukturą serwerową, usług zarządzania stacjami roboczymi (wyliczenie przykładowe, które zawsze powinno być wytłumaczone w definicjach) w zakresie i na warunkach opisanych w umowie”. Ponadto w drugim zdaniu zazwyczaj dopisuje się, że szczegółowa specyfikacja usług zostanie określona w jednym z załączników do umowy. Należy również zwrócić uwagę, jaką treść powinny zawierać poszczególne definicje i dlaczego, z punktu widzenia projektu umowy, są one ważne. Oczywiście lista ta nie jest pełna i stanowi jedynie przykładowe zestawienie. Jednakże warto skoncentrować się na kilku najważniejszych z nich:

Administrator klienta Osoba upoważniona do dostępu do sprzętu (w tym pracownik autoryzowanego serwisu upoważnionego przez klienta do delegowania swoich pracowników w celu dostępu do sprzętu);
Awaria Brak możliwości korzystania ze sprzętu i/lub oprogramowania
Czas reakcji Czas upływający od momentu otrzymania od użytkownika żądania świadczenia usługi a powiadomieniem użytkownika przez firmę IT o przystąpieniu do realizacji żądanej usługi.
Czas realizacji Czas upływający od momentu otrzymania od użytkownika żądania usługi do czasu zakończenia jej realizacji. I tu krótka uwaga – do czasu realizacji zazwyczaj nie powinno wliczać się czasu oczekiwania na spełnienie warunków należących do obowiązków klienta takich jak:
udostępnienie niezwłocznie w uzgodnionych terminach sprzętu lub oprogramowania, którego dotyczy żądanie usługi.
 udostępnienie pomieszczenia, gdzie znajduje się sprzęt lub oprogramowanie klienta.
zapewnienie pracownikom firmy IT warunków do realizacji usług.
Dane klienta Wszelkie dane i informacje, bez względu na ich treść, sposób i formę utrwalenia, jak również informacje, które nie zostały utrwalone, ale przekazane firmie IT przez klienta lub pozyskane w związku z realizacją przedmiotu umowy. Zapis stanowiący zabezpieczenie przed naruszeniem przepisów ustawy o ochronie danych osobowych, bardzo ważny z punktu widzenia świadczącego usługi outsourcingowe.
Lokalizacje Jednostki organizacyjne klienta oraz podmioty zależne od klienta w rozumieniu przepisów Kodeksu spółek handlowych.
Sprzęt i oprogramowanie klienta Oznacza wszelkie urządzenia, programy komputerowe i wyposażenie klienta objęte umową, będące w jego zgodnym z prawem posiadaniu samoistnym bądź zależnym (w szczególności stanowiące przedmiot własności klienta, bądź wykorzystywane przez klienta na podstawie umowy najmu, dzierżawy, leasingu, licencji, sprzedaży z zastrzeżeniem prawa własności lub sprzedaży na raty, użyczenia, użytkowania i innej umowy o podobnym charakterze). Klient zapewnia zgodność wykorzystywanych programów komputerowych z odpowiednimi regulacjami prawnymi, w szczególności z Ustawą o prawie autorskim. Ważnym jest, aby listę sprzętu i oprogramowania klienta zawierał jeden z załączników.
Sprzęt zastępczy Sprzęt komputerowy i/lub jego elementy całkowicie odpowiadające funkcjonalnie sprzętowi klienta, będące własnością klienta i udostępniane przez niego w celu świadczenia usług.
Usługi zarządzania infrastrukturą serwerową Może oznaczać usługi świadczone przez firmę IT na rzecz klienta w odniesieniu do sprzętu i oprogramowania klienta opisane dla bezpieczeństwa zawsze w jednym z załączników do umowy.
Usługi zarządzania stacjami roboczymi Oznacza najczęściej usługi świadczone przez firmę IT na rzecz klienta w odniesieniu do sprzętu i oprogramowania klienta i opisane w załączniku do umowy. I tu generalna uwaga – jeżeli chcemy outsourcingować innego rodzaju usługi, które będą się nawet niewiele różnić od wymienionych, uzgodnionych w treści umowy, należy dla bezpieczeństwa i lepszej przejrzystości każdorazowo nazywać je i opisywać w odrębnym załączniku. Unika się w takim przypadku problemów interpretacyjnych, gdy nie jesteśmy pewni, czy nawet bardzo podobna usługa do zleconej, ale inna w samych czynnościach podejmowanych przez firmę IT może być po zgłoszeniu potraktowana jako obowiązująca.
Usunięcie awarii Najczęściej poczytuje się jako przywrócenie funkcjonalności sprzętu i/lub oprogramowania klienta zgodnie z jego przeznaczeniem lub zastosowanie rozwiązania zastępczego, pozwalającego na prawidłowe funkcjonowanie sprzętu i/lub oprogramowania klienta.
Użytkownik Użytkownikami mogą być osoby z personelu klienta oraz osoby czasowo upoważnione przez klienta, korzystające ze sprzętu i oprogramowania klienta, które mogą dokonywać zgłoszeń na świadczenie usług.
Zwraca się uwagę, aby dla bezpieczeństwa dostępu do danych znajdujących się u klienta, listę uprawnionych użytkowników przenosić do jednego z załączników, który w dowolnym momencie powinien mieć możliwość zmiany, bez konieczności zmiany umowy (taki zapis powinien zatem każdorazowo zostać umieszczony w umowie).
Zdalnie Nie każde świadczenie usług musi odbywać się fizycznie. Zdarza się, że świadczone one są z wykorzystaniem telefonu/dedykowanego łącza lub kanału VPN i/lub specjalistycznego oprogramowania, dlatego też taka definicja powinna znaleźć się projekcie.

 

Pełny czy częściowy outsourcing usług?
Przed podjęciem decyzji co do przedmiotu umowy, pojawia się pytanie, czy outsourcing informatyczny musi oznaczać likwidację wewnętrznego działu IT i przekazania wszystkich zadań do firmy zewnętrznej? W praktyce spotka się przypadki, że firmy bardzo często decydują się jedynie na outsourcing częściowy, polegający na wydzieleniu kilku obszarów, których utrzymanie przez zewnętrzną firmę jest bardziej opłacalne i wygodne. Ponadto przy wyborze usług zawsze pojawiają się dwie wątpliwości, czy zlecenie na zewnątrz usług informatycznych jest obarczone ryzykiem oraz czy ryzyka te są przewidywalne. Uważam, że są, a ryzyko odgranicza się jedyne to wyboru odpowiedniego partnera, przygotowania stosownej umowy zabezpieczającej nasze interesy, oraz wyznaczenia kompetentnych osób (administratorzy, tzw. zdefiniowani użytkownicy) po obu stronach stosunku zobowiązaniowego do zrządzania tym złożonym projektem.
Jakie korzyści z outsourcingu? – zamiana kosztów inwestycyjnych (tzw. CapEx) na koszty operacyjne (tzw. OpEx)
– redukcja wydatków na rozbudowę własnej infrastruktury sprzętowej i usługowej, poprzez zastosowanie outsourcingowego modelu biznesowego
– optymalizacja kosztów pod kątem utrzymania systemów dzięki przeniesieniu odpowiedzialności na dostawcę

Inne ważne zapisy
Zaliczyć do nich należy przede wszystkim zabezpieczenie się firmy IT przed zakazem zatrudniania. Strony przeważnie wzajemnie zobowiązują się w okresie obowiązywania umowy, jak również przez z góry wskazany okres od dnia jej zakończenia, do niezatrudniania pracowników drugiej ze stron umowy, bez uzyskania pisemnej zgody strony, której pracownik miałby zostać zatrudniony. Ponadto powinno wprowadzić się zapis definiujący pojęcie pracownika, którym zazwyczaj jest osoba fizyczna, która była zatrudniona przez jedną ze stron na podstawie umowy o pracę w okresie obowiązywania umowy outsourcingowej, bez względu na długość okresu takiego zatrudnienia. Podstawa prawna:
Ustawa z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. z 1964, nr 16, poz. 93, ze zm.)
Ustawa z dnia 4 lutego 1994 r.o prawie autorskim i prawach pokrewnych (Dz.U.2006.90.631- j.t.)

Odpowiedzialność za dane w projektach cloud computing

Czy ustalenie odpowiedzialności za dane w projektach cloud computing jest niemożliwe? Niekoniecznie. Ale zagwarantowanie ich bezpieczeństwa w ramach istniejących regulacji prawnych, to już zupełnie inna sprawa…

Cloud computing, czyli model biznesowy oparty na dostarczaniu funkcji IT jako usług za pomocą Internetu, nie jest kategorią jednorodną. W jego skład mogą wchodzić rozmaite techniki i podmioty zewnętrzne oferujące zróżnicowane usługi i zasoby. W swojej zazwyczaj bogatej strukturze, cloud computing może pojawiać się pod postacią „chmur” prywatnych, publicznych czy hybryd i obejmować nie tylko nowości, ale również elementy znanych już wcześniej modeli, np. outsourcingu czy hostingu, jak i dobrze znanych usług, np. utrzymywania poczty na serwerze i programów antyspamowych. Ze względu na tę różnorodność, jak i towarzyszący jej odmienny stopień ryzyka, podejście dotyczące ochrony i odpowiedzialności za dane powinno być w każdym przypadku zindywidualizowane. Tematyka tego zagadnienia jest bardzo rozległa, ale na ile pozwalają ramy tego artykułu można wskazać kilka istotnych elementów.

kto pyta, ten rządzi

Z prawnego punktu widzenia, do najważniejszych pytań, które trzeba zadać, chcąc zagwarantować sobie bezpieczeństwo przetwarzanych danych, są pytania o kwestie prywatności. – Gdzie są zlokalizowane dane? Kto ma do nich wgląd? W jaki sposób ukształtowana jest ochrona przed nieautoryzowanym dostępem oraz czy będziemy mieli informację na temat ewentualnych incydentów bezpieczeństwa? Fakt popularyzacji modelu cloud computing niestety nie ułatwia nam w tym przypadku zadania. Przeciwnie, proponowane funkcjonalności znajdują coraz bardziej powszechne zastosowanie, należy pamiętać chociażby o tym, że wielu pracowników firm, bez konsultacji z działami IT, samodzielnie podejmuje decyzję o korzystaniu z proponowanych usług.

właściwa ocena, lepsza ochrona

Odpowiednia ocena prawna tego, co chcemy poddać przetwarzaniu, jest jednym z kluczowych elementów odpowiedzialnego zarządzania bezpieczeństwem danych. Wychodząc od konstrukcji polityki bezpieczeństwa oraz odpowiednich procedur, precyzyjnego określenia wymagają przede wszystkim zasoby informacji, wraz ze zidentyfikowanymi elementami do dalszego przekazania. Część z nich mogą stanowić informacje ustawowo chronione, podlegające szczególnym ograniczeniom. Mogą to być informacje stanowiące tajemnicę przedsiębiorstwa czy w skrajnym przypadku np. informacje niejawne. Prawidłowa ocena informacji pozwala wskazać odpowiednią do ich kategorii rolę ochrony danych przeznaczonych do przetwarzania w chmurze. W oparciu o stosowaną politykę, w kolejnym etapie zostaje wdrożona właściwa strategia kontroli danych, obejmująca narzędzia i procedury klasyfikacji informacji. Kontrola w przypadku modelu cloud computing jest co do zasady słabsza, aniżeli np. przy klasycznym outsourcingu. Mając przypisaną wagę poszczególnych informacji (lub ich kategorii) i odpowiadające im potencjalne zagrożenia, dobrane reguły definiujące pozwalają ustalić, które usługi w modelu cloud computing mogą być stosowane, a które nie powinny. Przed przekazaniem informacji sklasyfikowanych jako wymagające szczególnej ochrony, należy dokonać oceny zagrożenia podmiotów, którym przekazuje się takie dane. Umożliwia to m.in. analiza i audyt kwalifikacji dostawcy zabezpieczeń.

problem lokalizacji serwerów

Posiadając odpowiednie informacje na temat zasobów i związanych z nimi potrzeb, niezbędne jest określenie warunków umownych m.in. dotyczących poziomu jakości usług SLA (Service Level Agreement). Należy mieć na względzie, iż zarówno dostawca „chmury”, jak i jej użytkownicy często podlegają prawu innych państw. Szczególne wątpliwości może rodzić lokalizacja serwerów poza Europejskim Obszarem Gospodarczym (obejmującym państwa UE oraz Norwegię, Islandię i Liechtenstein). W tym kontekście należy zwrócić szczególną uwagę na poważne obostrzenia w przekazywaniu danych osobowych do państw trzecich. W przypadku polskich użytkowników, podstawową przesłanką umożliwiającą przekazanie danych na serwer znajdujący się poza EOG jest zapewnienie, iż państwo docelowe daje gwarancje ochrony danych osobowych na swoim terytorium, przynajmniej takie, jakie obowiązują na terytorium Rzeczypospolitej Polskiej. Ocena adekwatności ochrony, a tym samym decyzja o transferze danych, należy do samego administratora danych, czyli osoby decydującej o celach i środkach przetwarzania. Do okoliczności, które każdorazowo powinny być uwzględniane przez administratora, należą m.in.: charakter danych, cel ich przekazywania, czy wreszcie czas trwania planowanej operacji w państwie, w którym zlokalizowane są centra przetwarzania danych. Jeśli zaistnieją wyjątki przewidziane w Ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (w omawianym przypadku jest to w szczególności zgoda osoby, której dane dotyczą), transfer danych jest dopuszczalny, pomimo iż państwo trzecie nie gwarantuje na swym terytorium odpowiedniej ochrony. W sekwencyjnym ukształtowaniu systemu podstaw transferu konieczne może być uzyskanie zgody Generalnego Inspektora Ochrony Danych Osobowych. W tym przypadku dla pozytywnej oceny przydatne jest np. wykorzystanie klauzul umownych przygotowanych przez Komisję Europejską. Kwestią odrębną jest natomiast możliwość zastosowania w określonych przypadkach Wiążących Reguł Korporacyjnych (BCR).

chmura nad UE

W „Programie prac na lata 2010-2011”, przyjętym 15 lutego 2010 r. przez „Grupę roboczą ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych”, cloud computing został uznany za jedno z najistotniejszych obecnie wyzwań w obszarze ochrony danych. Grupa robocza ds. ochrony osób fizycznych, powszechnie nazywana „Grupą roboczą art. 29” jest najważniejszym, niezależnym ciałem doradczym w sprawach dotyczących danych osobowych i ochrony prywatności, powołanym na mocy art. 29 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady UE z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych. Pomimo iż grupa robocza nie może stanowić prawnie sankcjonowanych regulacji, wprowadzane przez nią zalecenia są uwzględniane na bieżąco w działaniach organów unijnych, w zakresie ochrony danych osobowych użytkowników oraz ich prawa do prywatności. Dlatego też, wskazane jest ich monitorowanie i uwzględnianie w całokształcie przygotowywanej wielopłaszczyznowej strategii prawnej.
Cloud computing to ciągle nowość i dla wielu niepewność. Fizyczna lokalizacja danych w „chmurze” jest przecież nieznana docelowemu użytkownikowi, rodząc wiele pytań wykraczających poza poruszone w tym krótkim artykule. Jako fenomen, podlegający stałemu rozwojowi już na tym etapie wymaga jednak rozbudowanych działań zapewniających bezpieczeństwo prawne.