Datum objave: 18.07.2019   12:42

VPRAŠANJE
Pozdravljeni

Med razpisnimi pogoji navajate, da mora ponudnik imeti veljaven certifikat ISO 27001:2013 ali novejši. S tem pogojem ste zelo omejili število ponudnikov, ki lahko oddajo ponudbo, kar daje vtis, da je razpis pripravljen za točno določenega ponudnika. Še posebej, ker sam certifikat urejava varnostne standarde pri ponudniku, ne vpliva pa na to, kako deluje rešitev, ki je predmet razpisa. Jasno je, da mora ponudnik imeti pri sebi vzpostavljene standarde, ustrezne tehnične in organizacijske ukrepe za zagotovitev varovanja osebnih podatkov, ampak za to ne rabi imeti mednarodnega certifikata. Temu pritrjuje tudi Državna revizijska komisija, ki je že v veliko podobnih revizijah umaknila to zahtevo iz pogojev. Zato vas prosimo, da umaknete zahtevo, da mora ponudnik imeti veljaven certifikat ISO 27001:2013 ali enakovreden umaknete iz pogojev.

Podobno velja za certifikat ISO 9001:2008 ali novejši, za katerega prav tako zahtevamo, da ga umaknete iz pogojev, ali pa bomo primorani vložiti zahtevek za revizijo Državni revizijski komisiji.

ODGOVOR

Naročnik v razpisni dokumentaciji zahteva veljaven certifikat ISO 9001:2008 ali novejši ali drugo potrdilo, ki izkazuje izvajanje ukrepov za zagotavljanje kakovosti pri dobavi, izdelavi, uvajanju in vzdrževanju programske opreme, pri čemer mora dokazilo izkazati ponudnik ali morebitni ponudnikov izvajalec.
Naročnik v svoji zahtevi ne omejuje ponudnika na točno določen certifikat, ter dopušča da ima ustrezen izkaz na področju izdelave, uvajanja in vzdrževanja programske opreme ponudnik sam, partner ali podizvajalec. Namen naročnika je, da s tem zmanjša tveganje pri razvoju informacijskega sistema, saj standard zagotavlja poslovanje na primerljiv, opredeljen in nadzorovan način ter usposobljenost izvajalca da obvladuje procese poslovanja v okviru katerih se bo izvajal tudi razvoj zahtevanega informacijskega sistema. Kljub temu, da naročnik prepoznava prednost tovrstnega standarda pri ponudniku, pa glede na naravo dela ocenjuje, da splošni standard ni ključnega pomena za uspešnost razvoja in uvedbo informacijskega sistema, zato se zahteva umakne.

Naročnik v razpisni dokumentaciji zahteva tudi veljaven certifikat ISO 27001:2013 ali novejši oz. drugo potrdilo, ki izkazuje izvajanje ukrepov za zagotavljanje kakovosti pri dobavi, izdelavi, uvajanju in vzdrževanju programske opreme, pri čemer mora dokazilo izkazati ponudnik ali morebitni ponudnikov izvajalec. Vezano na predmet javnega naročila in okoliščine okolja, kjer se storitve, ki so predmet javnega naročila izvajajo, je naročnik prepričan, da je zahteva naročnika v celoti upravičena in celo nujna. Tovrstni mednarodni oz. slovenski standardi zagotavljajo, da se ponudnik zaveda in obvladuje osnovno področje upravljanja informacijske varnosti in za vse navedeno v celoti prevzema odgovornost v zakonodajnih okvirih, kar bistveno vpliva na načrtovanje, razvoj in uvedbo informacijskih sistemov tako iz vidikov varnosti kot tudi iz vidika varovanja osebnih podatkov v skladu s splošno direktivo EU o varovanju osebnih podatkov (GDPR).
Skladno z uveljavljeno prakso Državne revizijske komisije je naročnik odgovoren in ima dolžnostno upravičenje, da razpisno dokumentacijo in zahteve določi na način, da bo za izvedbo pridobil ustrezno usposobljenega izvajalca, pri čemer pa morajo biti zahteve skladno s temeljnimi načeli veljavne javno-naročniške zakonodaje in ostalimi določili ZJN-3. V obravnavanem primeru je torej naročnikova dolžnost, da bo informacijski sistem v celoti skladen z zahtevami informacijske varnosti in GDPR, kar pa ni možno zagotoviti, če informacijski sistema ni zasnovan in izdelan z upoštevanjem organizacijskih, metodoloških in logično-tehnoloških vidikov informacijske varnosti. Zaradi navedenega naročnik šteje področje obvladovanja informacijsko varnost kot eno od bistvenih področij pri razvoju informacijskega sistema, zahtevani standardi pa podajajo minimalno osnovo, ki zagotavlja, da ponudnik razume in obvladuje organizacijska, postopkovna in informacijska tveganja pri razvoju razpisanega informacijskega sistema. Obvladovanje varnostnih vidikov je pri razvoju in delovanju razpisanega informacijskega sistema pomembno tudi zaradi narave konkretnega informacijskega sistema, ki vsebuje osebne podatke in je namenjen diseminaciji informacij različnim skupinam uporabnikov (npr. splošna javnost, osebe javnega in zasebnega prava, lastniki nepremičnin) preko različnih storitev.

Ob upoštevanju vsega obravnavanega ter ob dejstvu, da naročnik poleg samega certifikata ISO 27001:2013 dovoljuje izpolnjevanje pogoja tudi s predložitvijo drugega enakovrednega formalno veljavnega potrdila, ki izkazuje enakovredno izvajanje ukrepov za zagotavljanje informacijske varnosti, naročnik zaključuje, da je zahteva naročnika v celoti skladna z uveljavljeno prakso Državne revizijske komisije, sorazmerna s predmetom javnega naročila in v celoti skladna z veljavnimi določili ZJN-3, zato je naročnik ne umika iz zahtev razpisne dokumentacije.

Geodetska uprava RS

Datum objave: 24.07.2019   14:25

VPRAŠANJE
V točki 10.2 med tehnologijami portalne infrastrukture navajate, da mora biti portal nameščen na platformi TYPO3 verzija 10. Dejstvo je, da Ministrstvo za javno upravo, kot upravitelj centralne strežniške infrastrukture, vse portale prenaša na druge platforme, in sicer SilverStripe in Magnolia. Ali naročnik kljub temu vztraja, da mora biti portal narejen na platformi TYPO3?

ODGOVOR

Naročnik vezano na zastavljeno vprašanje pojasnjuje, da stališče oziroma trditev zastavljavca vprašanja ni pravilna. Naročnik je namreč pri Ministrstvu za javno upravo preveril trditev »Ministrstvo za javno upravo, kot upravitelj centralne strežniške infrastrukture, vse portale prenaša na druge platforme, in sicer SilverStripe in Magnolia« ter s strani tega dobil pojasnilo, da trditev ni resnična oziroma pravilna.
Naročnikovi administratorji in uredniki portala so izšolani in vajeni dela s TYPO3. Vsled navedenemu naročnik določb dokumentacije v zvezi z oddajo javnega naročila v tem delu ne spreminja in vsekakor vztraja pri zahtevi, da je portal narejen na platformi TYPO3. Navedena zahteva je tudi sicer sorazmerna s predmetom javnega naročila in posledično skladno z določili veljavne javno-naročniške zakonodaje in uveljavljene prakse Državne revizijske komisije.

Geodetska uprava RS

Datum objave: 24.07.2019   14:26

VPRAŠANJE
Naročnik v Splošnem delu razpisne dokumentacije v točki 6.2 (Portalni sistemi) navaja zahteve za izobrazbene in strokovne kvalifikacije za vodjo in člane projektne skupine (1+5 članov), kjer za vse kadre zahteva »najmanj VII. stopnjo izobrazbe (specializacija po visokošolski strokovni izobrazbi (prejšnja), visokošolska univerzitetna izobrazba (prejšnja), magistrska izobrazba (druga bolonjska stopnja), visokošolska izobrazba druge stopnje).« Pri tem ni jasno ali Naročnik uporablja veljavno klasifikacijo SOK v skladu z Zakonom o slovenskem ogrodju kvalifikacij (Uradni list RS, dne 28. 12. 2015 (št. 104/15). Med strokovnimi kvalifikacijami zahteva delovne izkušnje (različen obseg) na le splošnih področjih predmetnih delovnih mest.

Menimo, da takšni pogoji ožijo obseg primernih ponudnikov, vendar niso nujno potrebni za zagotovitev ustrezne kakovosti izdelka ali rešitve. Glede na izkušnje na področju načrtovanja in izgradnje tovrstnih portalnih sistemov in glede na zahteve predmetnega JN (obseg in zahtevnost) ocenjujemo, da tako visoke zahteve za izobrazbene kvalifikacije in število članov niso potrebne in upravičene.

Naročnika pozivamo, da spremeni zahteve JN v točki izobrazbene kvalifikacije, jih uskladi s SOK in za vse kadre zahteva največ raven 7 (po SOK www.nok.si) »Specializacija po višješolskih, visokošolski strokovni programi«.

V kolikor Naročnik želi zagotoviti ustrezne kompetence kadrov Ponudnika, ga pozivamo, da (namesto strožjih izobrazbenih) strokovne kvalifikacije dopolni z ustreznimi certifikati ali partnerstvi glede na izbrano tehnologijo in produkte.

ODGOVOR

Naročnik vezano na zastavljeno vprašanje pojasnjuje, da je za določanje ravni VII. stopnje izobrazbe uporabil »Uredbo o uvedbi in uporabi klasifikacijskega sistema izobraževanja in usposabljanja«.
Enakovredna zahtevani VII. ravni izobrazbe v razpisni dokumentaciji po uredbi o uvedbi in uporabi klasifikacijskega sistema izobraževanja in usposabljanja, je raven 8 po SOK.
V zvezi s predlogom zastavljavca vprašanja, da zahteve izobrazbenih kvalifikacij strokovne kadra spremeni pa naročnik pojasnjuje, da te niso utemeljene, zato jih naročnik ne bo spreminjal. Skladno z določbami ZJN-3 in uveljavljeno prakso Državne revizijske komisije je namreč dolžnost naročnika, da v okviru dokumentacije v zvezi z oddajo javnega naročila določi zahteve in pogoje, na podlagi katerih bo lahko pridobil ponudbe ustrezno usposobljenih ponudnikov, pri čemer pa te zahteve ali pogoji ne smejo biti v nasprotju s temeljnimi načeli javnega naročanja, predvsem načela enakopravne obravnave in načela zagotavljanja konkurence. Na takšen način je naročnik tudi določil zahteve glede izobrazbe nominiranega kadra, pri čemer je seveda upošteval predvsem kompleksnost in specifiko predmeta javnega naročila. Poleg okoliščine, da je zahteva naročnika vsekakor upravičena in sorazmerna z zahtevnostjo izvedbe predmeta javnega naročila pa naročnik na tem mestu dodatno pojasnjuje, da je v zasledovanju cilja, da pridobi kar največ ponudb usposobljenih ponudnikov v razpisni dokumentaciji dopustil izpolnjevanje pogojev s strani partnerjev in podizvajalcev. Navedeno dejstvo še dodatno širi konkurenco usposobljenih ponudnikov, zato očitku zastavljavca vprašanja ni mogoče slediti. Ker so zahteve sorazmerne s predmetom javnega naročila in posledično skladne z ZJN-3 jih naročnik tako ne bo spreminjal.

Geodetska uprava RS