W poprzednim artykule, „Komunikacja w postępowaniach o udzielenie zamówienia w dziedzinach obronności i bezpieczeństwa”, omawialiśmy szczegółowe zasady zawierania umów w zamówieniach obronnych, przewidziane w ustawie z dnia 11 września 2019 r. – Prawo zamówień publicznych (t.j. Dz.U. z 2024 r., poz. 1320 z późn. zm., dalej: PZP).

W niniejszym artykule skupimy się na zagadnieniach związanych z ochroną informacji niejawnych oraz zapewnieniem bezpieczeństwa dostaw w postępowaniach o udzielenie zamówień w dziedzinach obronności i bezpieczeństwa. Szczególne znaczenie ma tu zarówno zachowanie poufności informacji, jak i gwarancja ciągłości dostaw, także w sytuacjach kryzysowych.

Obowiązki te wynikają z przepisów art. 406-408 PZP i dotyczą zarówno zamawiających, jak i wykonawców. Regulacje krajowe uzupełnione są przepisami unijnymi, w tym dyrektywą 2009/43/WE oraz rozporządzeniem 428/2009, które określają zasady transferu produktów związanych z obronnością i bezpieczeństwem.

Obowiązek ochrony informacji niejawnych

Art. 406 PZP przewiduje, że zamawiający może zobowiązać wykonawcę do poinformowania swoich podwykonawców o obowiązku ochrony informacji niejawnych, które uzyskali w związku z udziałem w postępowaniu o udzielenie zamówienia w dziedzinach obronności i bezpieczeństwa. Wspomniany przepis jest uszczegółowieniem art. 18 ust. 4 PZP, który umożliwia zamawiającemu określenie wymagań dotyczących poufności informacji przekazywanych wykonawcy w toku postępowania.

Choć PZP nie przyznaje wprost wykonawcy prawa do przekazywania podwykonawcom informacji niejawnych, przyjmuje się, że ustawodawca przewidział możliwość ich przekazania podwykonawcom w związku z wykonywaniem zamówienia. Obowiązek ochrony informacji niejawnych ciążący na podwykonawcach wynika z dorozumianego uprawnienia wykonawcy do udostępniania tych informacji w celach niezbędnych do realizacji zamówienia, przy zachowaniu pełnej ochrony poufności.

Przepis art. 406 PZP wpisuje się w szerszy kontekst bezpieczeństwa informacji, który w zamówieniach obronnych ma kluczowe znaczenie. Jego źródłem jest art. 7 dyrektywy 2009/81WE, zgodnie z którym instytucje zamawiające mogą nakładać na wykonawców obowiązki ochrony informacji niejawnych przekazanych w trakcie postępowania, a także wymagać zapewnienia, że podwykonawcy będą przestrzegać tych samych zasad.

Zasady bezpieczeństwa informacji

Art. 407 Pzp nakłada na zamawiającego obowiązek określenia w ogłoszeniu o zamówieniu lub dokumentach zamówienia wymagań związanych z bezpieczeństwem informacji, aktualizujący się w przypadku zamówień obejmujących informacje niejawne.

Jak wskazywaliśmy w artykule „Które zamówienia publiczne „niewojskowe” można zakwalifikować do zamówień w dziedzinach obronności i bezpieczeństwa?”, informacje niejawne zostały zdefiniowane w art. 1 pkt 8 Dyrektywy 2009/81/WE jako „wszelkie informacje lub materiały, niezależnie od ich formy, charakteru lub sposobu ich przekazania, którym przyznano określony poziom niejawności lub ochrony ze względów bezpieczeństwa i które – w interesie bezpieczeństwa narodowego i zgodnie z przepisami ustawowymi, wykonawczymi i administracyjnymi obowiązującymi w danym państwie członkowskim – wymagają ochrony przed wszelkim sprzeniewierzeniem, zniszczeniem, usunięciem, ujawnieniem, utratą lub dostępem ze strony osób nieupoważnionych lub wszelkim innym zagrożeniem”.

W ramach wymagań bezpieczeństwa informacji zamawiający może żądać od wykonawcy w szczególności złożenia wraz z ofertą zobowiązań dotyczących ochrony informacji niejawnych, w tym zobowiązań od znanych podwykonawców oraz od tych, którym wykonawca powierzy podwykonawstwo w trakcie realizacji zamówienia.

Dodatkowo wykonawca powinien – o ile zamawiający postawił takie wymaganie – przedstawić informacje umożliwiające zamawiającemu ocenę kwalifikacji podwykonawców w zakresie ochrony informacji niejawnych, zarówno już znanych, jak i nowych, przed zawarciem umowy o podwykonawstwo. Katalog ten ma charakter przykładowy i zamawiający może nakładać dodatkowe wymagania niezbędne do zapewnienia bezpieczeństwa informacji.

Co istotne, zasady te będą obowiązywać wyłącznie wykonawcę wybranego w postępowaniu, z którym została zawarta umowa – a nie wszystkich wykonawców, którzy złożyli ofertę. Przepisy zobowiązują zatem zamawiającego do określenia już na etapie postępowania, jakie stawia on wymagania wobec wykonawcy na etapie realizacji zamówienia w zakresie ochrony informacji niejawnych.

Warto w tym kontekście wskazać na wyrok Krajowej Izby Odwoławczej KIO 1235/15 z dnia 25 czerwca 2015 r., wydany w poprzednim stanie prawnym, ale zachowujący aktualność, podanie informacji o nazwach (firmach) podwykonawców stanowi istotny element treści oferty, zwłaszcza przy zastosowaniu regulacji dyrektywy nr 2009/81/WE, którego to braku w treści nie można w żaden sposób sanować.

Art. 407 pkt 2 PZP przewiduje natomiast możliwość określenia przez zamawiającego prawa do weryfikacji lub odsunięcia pracowników wykonawcy, którzy mają uczestniczyć w realizacji zamówienia, zarówno na etapie trwania postępowania, jak i w trakcie realizacji umowy. Co istotne, i na co wskazuje też Urząd Zamówień Publicznych w swoim komentarzu, takie zastrzeżenie musi być zawsze uzasadnione koniecznością ochrony podstawowych interesów bezpieczeństwa państwa albo koniecznością podniesienia bezpieczeństwa realizowanych zamówień w dziedzinach obronności i bezpieczeństwa. Zamawiający powinien ponadto korzystać z powyższego uprawnienia zawsze przy uwzględnieniu zasady proporcjonalności.

W praktyce atr. 407 PZP daje zatem zamawiającym w dziedzinach obronności uprawnienie do kontrolowania zarówno dostępu do informacji niejawnych, jak i kompetencji osób i podmiotów zaangażowanych w realizację zamówienia, które taki dostęp mają uzyskać, przy jednoczesnym pozostawieniu możliwości elastycznego dostosowania wymagań do specyfiki zamówienia i zagrożeń związanych z bezpieczeństwem państwa.

Bezpieczeństwo dostaw

Zamawiający, zgodnie z art. 408 ust. 1 PZP, określa w ogłoszeniu o zamówieniu lub dokumentach zamówienia wymagania związane z realizacją zamówienia w zakresie bezpieczeństwa dostaw. Wymagania te mogą obejmować żądanie od wykonawcy przedstawienia m.in.:

1) dokumentacji potwierdzającej spełnianie wymogów dotyczących wywozu, transferu i tranzytu produktów związanych z obronnością

2) informacji o ograniczeniach w ujawnianiu, transferze lub wykorzystaniu produktów i usług, będących wynikiem postanowień dotyczących kontroli wywozu lub bezpieczeństwa

W odniesieniu do powyższych dwóch punktów, wymagania dotyczące wywozu, transferu i tranzytu produktów regulują dyrektywa 2009/43/WE oraz rozporządzenie 428/2009, a na poziomie krajowym ustawa z dnia 29 listopada 2000 r. o obrocie z zagranicą towarami, technologiami i usługami o znaczeniu strategicznym dla bezpieczeństwa państwa.

3) dokumentacji dotyczącej organizacji i lokalizacji łańcucha dostaw gwarantującej spełnienie wymagań określonych przez zamawiającego na etapie postępowania, a także zobowiązania do zagwarantowania, że ewentualne zmiany w łańcuchu dostaw w trakcie realizacji zamówienia nie wpłyną negatywnie na zgodność z tymi wymaganiami

Łańcuch dostaw został zdefiniowany w art. 7 pkt 10 PPZP jako wszystkie zasoby i działania niezbędne do wykonania dostaw, usług i robót budowlanych, które są przedmiotem zamówienia.

4) zobowiązania wykonawcy do zapewnienia, na uzgodnionych warunkach, możliwości realizacji zamówienia w przypadku wzrostu potrzeb zamawiającego w sytuacjach kryzysowych, w tym poprzez ustanowienie lub utrzymanie potencjału na wymaganym poziomie

W swoim komentarzu Urząd Zamówień Publicznych wskazuje, że niektóre warunki mogą być uzgadniane dopiero w momencie wystąpienia kryzysu, jednak tam, gdzie wzrost potrzeb jest przewidywalny, zamawiający powinien już na etapie postępowania przewidzieć odpowiednie opcje, zwiększając bezpieczeństwo dostaw.

5) dokumentacji otrzymanej od władz państwowych wykonawcy dotyczącej zapewnienia możliwości realizacji zamówienia w przypadku wzrostu potrzeb zamawiającego, wynikających z sytuacji kryzysowej

W art. 408 ust. 3 PZP zdefiniowano pojęcie sytuacji kryzysowej, wskazane w pkt 4) i 5), która to definicja stanowi transpozycję do polskiego systemu prawnego art. 1 pkt 10 dyrektywy 2009/81/WE – taką sytuacją jest wojna, konflikt zbrojny oraz inna sytuacja, w której wystąpiła lub nieuchronnie wystąpi szkoda, wyraźnie przekraczająca swoim rozmiarem szkody występujące w życiu codziennym oraz narażająca życie i zdrowie wielu osób lub mająca poważne następstwa dla dóbr materialnych, lub wymagająca podjęcia działań w celu dostarczenia ludności środków niezbędnych do przeżycia.

6) zobowiązania do utrzymania, modernizacji lub adaptacji dostaw

7) zobowiązania do bezzwłocznego informowania o zmianach w organizacji, łańcuchu dostaw lub strategii przemysłowej mogącej mieć wpływ na jego zobowiązania wobec zamawiającego

8) zobowiązania do zapewnienia, na uzgodnionych warunkach, wszelkich szczególnych środków produkcji części zamiennych i wyposażenia testowego w przypadku, gdy wykonawca nie będzie już w stanie zapewnić dostaw zamawiającemu.

Powyższy katalog ma charakter otwarty, dający zamawiającemu daleko idącą swobodę – zamawiający może zatem dostosować wymogi w zakresie bezpieczeństwa dostaw do specyfiki danego zamówienia i konkretnego rodzaju dostaw, przy zapewnieniu jednak podstawowych zasad udzielania zamówień – równego traktowania, niedyskryminacji i proporcjonalności. Ponadto, zgodnie z art. 408 ust. 2 PZP, określenie wymagań w zakresie bezpieczeństwa dostaw nie może nakładać na wykonawcę obowiązku uzyskania zobowiązania ograniczającego swobodę państwa członkowskiego UE w stosowaniu krajowych kryteriów zezwoleń.

Autorzy: Dominika Frydryczak, r. pr. Katarzyna Dziąćko, Wawrzynowicz & Wspólnicy sp. k.