MAO:H135/2022

Asian tausta

Varsinais-Suomen Sairaanhoitopiirin kuntayhtymä (jäljempänä myös hankintayksikkö) on ilmoittanut 5.2.2021 julkaistulla EU-hankintailmoituksella avoimella menettelyllä toteutettavasta potilasvalvontajärjestelmän ja siihen liittyvien ohjelmistojen, laitesidonnaisten tarvikkeiden, huollon ja ylläpidon hankinnasta ajalle 1.6.2021–31.5.2026 ja mahdolliselle kahdelle vuoden pituiselle optiokaudelle. Hankinta on jaettu kahteen osaan, joista A-osion kokonaisuuteen ovat sisältyneet CCU:n (sydänvalvonnan, sydänvuodeosastojen) sekä lasten- ja nuortenklinikan potilasvalvontajärjestelmät, ohjelmistot, laitesidonnaiset tarvikkeet, huolto ja ylläpito. Toiseen, eli B-osion hankintakokonaisuuteen ovat sisältyneet kaikkien muiden osastojen hankinnat.

Varsinais-Suomen Sairaanhoitopiirin kuntayhtymän sairaanhoitopiirin johtaja on 31.1.2021 tekemällään päätöksellä 4/2021 sulkenut Mediq Suomi Oy:n tarjouskilpailusta.

Varsinais-Suomen Sairaanhoitopiirin kuntayhtymän sairaanhoitopiirin johtaja on 31.3.2021 tekemällään hankintapäätöksellä 5/2021 valinnut Philips Oy:n tarjouksen molempiin hankinnan osioihin.

Hankinnan ennakoitu arvonlisäveroton kokonaisarvo on hankintailmoituksen mukaan ollut 6.000.000 euroa.

Markkinaoikeus on 10.6.2021 antamallaan välipäätöksellä numero H106/2021 sallinut hankintapäätöksen täytäntöönpanon A-osion osalta.

Asian käsittely markkinaoikeudessa

Valitus

Vaatimukset

Mediq Suomi Oy on vaatinut, että markkinaoikeus kumoaa valituksenalaisen päätöksen, kieltää hankintayksikköä jatkamasta virheellistä hankintamenettelyä ja velvoittaa hankintayksikön korjaamaan virheellisen menettelynsä. Lisäksi valittaja on vaatinut, että markkinaoikeus velvoittaa hankintayksikön korvaamaan sen arvonlisäverottomat oikeudenkäyntikulut 15.287,50 eurolla viivästyskorkoineen.

Perustelut

Hankintayksikkö on virheellisesti sulkenut valittajan tarjouksen tarjouskilpailusta. Valittajan tarjouksesta on jäänyt epähuomiossa täyttämättä pakollisia vaatimuksia koskeva kohta, jonka mukaan toimittajalla tulee olla dokumentoitu prosessi mahdollisten tietoturvapoikkeamien ja tietosuojaloukkauksien varalle. Vaatimuksen täyttyminen on kuitenkin käynyt ilmi tarjouksen liitteeltä.

Valittajan tarjouksen liitteessä ”Mindray Patient Monitoring System Cybersecurity Whitepaper (CE&FDA) V1.0” on kuvattu järjestelmän valmistajan prosessi mahdollisten tietoturvapoikkeamien ja tietosuojaloukkauksien varalta. Valittaja on tarjotun järjestelmän jakelijana velvollinen noudattamaan tuotteen valmistajan ohjeita sellaisenaan kattaen myös prosessit mahdollisten tietoturvapoikkeamien ja tietosuojaloukkauksien varalta. Lääkinnällisiä laitteita koskevan lainsäädännön mukaan valittajalla ei ole oikeutta toimia toisin.

Valittajan tarjouksen liite ”Henkilötietojen käsittely Mediq” on sisältänyt kuvauksen valittajan noudattamasta tietoturvasta ja sen toteuttamisesta sekä siitä, miten valittaja käsittelee tilaajan henkilötietoja.

Edellä mainitut valittajan tarjouksen liitteet ovat osoittaneet, että toimittajalla on dokumentoitu prosessi mahdollisten tietoturvapoikkeamien ja tietosuojaloukkauksien varalta.

Vaatimuksen täyttyminen on käynyt ilmi myös muista tarjouksessa esitetyistä vaatimuksia koskevista vastauksista. Tarjoajan on tullut toimittaa tarjouksensa yhteydessä lomake ”TP232_20EU Liite 2 Ehdottomat vaatimukset”. Valittaja on lomakkeellaan ilmoittanut muun ohella täyttävänsä vaatimuksen siitä, että järjestelmän kaikki osat on suojattu asianmukaisesti haittaohjelmilta ja että tarjouksessa on annettu kuvaus toimittajan noudattamasta tietoturvasta sekä sen toteuttamisesta. Vaatimuskohdissa on viitattu edellä kuvattuihin valittajan tarjouksen liitteisiin. Vastaukset ovat osoittaneet käytännössä, että myös täyttämättä jääneen kohdan vaatimus täyttyy.

Tarjouksen sulkeminen tarjouskilpailusta on kohtuuton ja suhteellisuusperiaatteen vastainen seuraamus silloin kun hylkäyksen syynä on pieni puutteellisuus, jolla ei ole merkitystä tarjousten vertailukelpoisuuden tai yhteismitallisuuden kannalta.

Hankintayksikkö on lähettänyt valittajalle ja oletettavasti myös muille tarjoajille täsmennyspyyntöjä annettuihin tarjouksiin. Hankintayksikön olisi tullut esittää valittajalle myös kyseistä kohtaa koskeva täsmennyspyyntö. Tällöin valittaja olisi voinut osoittaa vaatimuksen täyttyvän sekä sen, että vaatimuksen täyttymisen kannalta relevantit tiedot löytyvät jo valittajan tarjouksesta.

Jos valittajan tarjous katsotaan tarjouspyynnön vastaiseksi, tulee tarjouspyyntö katsoa epäselväksi. Yksityiskohtaisempaa prosessikuvausta on ollut mahdotonta antaa ilman tietoa toimitettavasta kokonaisuudesta. Tarjouspyynnössä todellinen hankintakokonaisuus on jätetty avoimeksi. Hankintayksikkö ei myöskään ole antanut erillisiä vaatimuksia siitä, mitä tietoturvapoikkeamiin ja tietosuojaloukkauksiin liittyvät prosessit tulisi pitää sisällään. Tarjouspyynnössä on jäänyt epäselväksi ainakin se, minkä velvoitteen tulisi mihinkin tahoon kohdistua.

Vastine

Vaatimukset

Varsinais-Suomen Sairaanhoitopiirin kuntayhtymä on vaatinut, että markkinaoikeus hylkää valituksen ja velvoittaa valittajan korvaamaan sen arvonlisäverottomat oikeudenkäyntikulut 2.500 eurolla viivästyskorkoineen.

Perustelut

Valittajan tarjous on ollut tarjouspyynnön vastainen. Valittaja on jättänyt vastaamatta tarjouspyynnön ehdottomaan vaatimukseen siitä, onko toimittajalla dokumentoitu prosessi mahdollisten tietoturvapoikkeamien ja tietosuojaloukkauksien varalta. Valittaja ei ole myöskään kuvannut toimintamallia vaatimuksen kyseiseen kohtaan tai toimittanut kuvausta koskevaa muuta liitettä. Valittajan määräaikaan mennessä toimittamista tarjousasiakirjoista ei ole käynyt ilmi, että kyseinen ehdoton vaatimus täyttyisi.

Liitteestä ”Mindray Patient Monitoring System Cybersecurity Whitepaper (CE&FDA) V1.0” ei myöskään ole käynyt ilmi valittajan vaadittua toimintamallia. Asiakirja on laitteen valmistajan laatima dokumentti, josta käy ilmi valmistajan toimintamalli, mutta ei toimittajan prosessia mahdollisten tietoturvapoikkeamien ja tietosuojaloukkauksien varalle. Valittajalla on vastuu varautua tietoturvapoikkeamiin riippumatta lääkinnällisiä laitteita koskevasta lainsäädännöstä. Valittaja ei ole tarjouksessaan omalta osaltaan osoittanut varautuneensa toimittamiensa laitteiden ja niihin liittyvien palveluiden tuottamisen mahdollisiin riskeihin, eikä näiden tilanteiden varalle ole luotu valittajan dokumentoitua riskienhallintaprosessia.

Hankintayksiköllä on oikeus edellyttää, että toimittajalla hankintayksikön sopimuskumppanina on asianmukaiset prosessit erilaisten kyberturvallisuuteen liittyvien poikkeamien ja henkilötietojen tietoturvaloukkauksien hallintaan sekä niistä ilmoittamiseen liittyen.

Jotta hankintayksikkö voi huolehtia henkilötietojen rekisterinpitäjän velvoitteistaan, on sen sitoutettava myös henkilötietojen käsittelijät asianmukaisiin toimintatapoihin henkilötietojen tietoturvaloukkausten varalta. Osana sitouttamista hankintayksikkö edellyttää suorilta sopimuskumppaneiltaan prosessikuvauksia erilaisten poikkeamatilanteiden varalta. Mahdolliset henkilötietojen tietoturvaloukkaukset voivat aiheuttaa valvontaviranomaisten selvityspyyntöjä, joiden johdosta on jälkikäteen kyettävä kuvaamaan varautumiskäytännöt tietoturvaloukkausten riskeihin.

Tarjotussa järjestelmässä käsitellään henkilötietoja EU:n yleisen tietosuoja-asetuksen mukaisesti. Myös valittaja käsittelee henkilötietoja rekisterinpitäjän lukuun.

Toimittajan on edellytetty tekevän tarjotuille potilasvalvontajärjestelmille määräaikaishuoltoja, laitteisto- ja ohjelmistopäivityksiä sekä vikakorjauksia ja päivityksiä ohjelmistoihin. Laitekokonaisuuksien elinkaareen tulee liittymään potentiaalisia tietoturvaan ja tietosuojaan kohdistuvia riskejä.

Toimittajalla ja sen työntekijöillä on keskeinen rooli potilasvalvontajärjestelmän elinkaaren aikana tuotettavissa huolto- ja ylläpitopalveluissa. Hankintayksiköllä on vastuu sovittaa yhteen hankintayksikön prosessi mahdollisimman tehokkaan ja oikea-aikaisen avun varmistamiseksi esimerkiksi vakavien tietoturvaongelmien varalta.

Tarjouksen hylkääminen ei ole ollut kohtuutonta eikä suhteellisuusperiaatteen vastaista. Hankintayksiköllä on velvollisuus sulkea tarjouspyyntöä vastaamaton tarjous tarjouskilpailusta silloin, kun tarjouksen tarjouspyynnön vastaisuus vaarantaa tarjoajien tasapuolisen ja syrjimättömän kohtelun.

Mikäli hankintayksikkö olisi antanut valittajan täsmentää tarjoustaan, olisi tällä ollut olennainen vaikutus tarjoajien yhdenvertaiseen kohteluun ja toisten tarjoajien asemaan. Kyseessä olisi ollut kielletty tarjouksen parantaminen.

Tarjouspyyntöasiakirjat ovat olleet selvät ja niiden perusteella on ollut mahdollistaa antaa keskenään vertailukelpoisia tarjouksia.

Vastaselitys

Valittaja on esittänyt, ettei asiassa ole asetettu tarkempia vaatimuksia dokumentoidun prosessin sisällölle tai sille, minkälainen tai mitä koskien kyseinen dokumentoitu prosessi tulee olla.

Tarjouspyynnössä on jätetty avoimeksi se, minkälainen lopullisesta järjestelmäkokonaisuudesta tulee muodostumaan. Tällöin myös toimittajan rooli on jäänyt avoimeksi liittyen tarjottavaa ratkaisua koskeviin mahdollisiin tietoturvapoikkeamiin ja tietosuojaloukkauksiin. Hankintayksikön julkaiseman tarjouspyyntömateriaalin perusteella valittaja ei olisi edes voinut laatia tarkempaa kuvausta dokumentoidusta prosessista.

Valittajan tarjousasiakirjat osoittavat, että sillä on ollut edellytetty prosessi olemassa. Sen tarkempaa kuvausta varten valittaja olisi tarvinnut sellaista konkreettista tietoa, jota tarjouspyyntöasiakirjojen mukaan kerätään yhdessä toimittajan, tilaajan sekä tarjouspyynnössä mainitun ICT-palvelutuottajan 2M-IT Oy:n kesken.

Hankintayksikön julkaiseman tarjouspyyntömateriaalin perusteella valittaja ei olisi edes voinut laatia Mindray Cybersecurity- ja Henkilötietojen käsittely liitteissä kuvattua tarkempaa selostusta tarjoamaansa ratkaisua koskevasta dokumentoidusta prosessista mahdollisten tietoturvapoikkeamien ja tietosuojaloukkauksien varalta. Ei ole asianmukaista eikä tarjouspyynnön ehtojen mukaan tarpeellista kuvata olennaisia prosesseja vajavaisten lähtötietojen perusteella tilanteessa, jossa mahdollistetaan täsmällisemmän prosessikuvauksen laatiminen myöhemmin ja asiaan olennaisesti vaikuttavien lisätietojen perusteella.

Hankintayksikkö on todennut kuultavan antaman kuvauksen kysymyksessä olevaan vaatimukseen riittäväksi. Tämä osoittaa miten kevyen ja sisällöltään epämääräisen selvityksen hankintayksikkö on hyväksynyt. Kuultavan lomakkeessaan esittämä rinnastuu informaatioarvoltaan valittajan tarjouksen sisältämään Mindray Cybersecurity -liitteeseen. Myöskään kuultavan tarjouksen liite ei kuvaa konkreettisen toimittajan omaa dokumentoitua prosessia. Lisäksi kuultavan liite on vuodelta 2015 eli ajalta ennen EU-tietosuojalainsäädännön merkittävää uudistusta. Tarjoajien tasapuolisen ja syrjimättömän kohtelun vaatimuksen perusteella hankintayksikön olisi tullut hyväksyä myös valittajan tarjous tarjousvertailuun.

Tarjouspyynnön perusteella on jäänyt epäselväksi, mitä vaatimuksella on käytännössä tarkoitettu, mitä vaatimuksia dokumentoidun prosessin sisällölle on asetettu sekä mitä ja kenen toimintaa koskien kyseinen prosessi tulee olla. Epäselväksi on jäänyt myös, millä tasolla prosessi olisi tullut kuvata. Lisäksi epäselväksi on jäänyt, missä tilanteissa tarjoajat ovat voineet hyödyntää tarjouslomakkeella annettua mahdollisuutta jättää vastaukset joko kokonaan antamatta tai ainakin hyvin avoimiksi silloin, jos tarjoajalla ei ole mahdollista antaa niihin tarjouspyyntöasiakirjojen perusteella valmiita vastauksia.

Kuultavan lausunto

Philips Oy on vaatinut, että markkinaoikeus hylkää valituksen ja velvoittaa valittajan korvaamaan sen arvonlisäverottomat oikeudenkäyntikulut 8.600 eurolla viivästyskorkoineen.

Kuultava on esittänyt, että hankintayksiköllä on ollut oikeus ja velvollisuus sulkea valittajan tarjous tarjouskilpailusta. Valittajan tarjous on suljettu tarjouskilpailusta sen vuoksi, että vaatimukseen on jätetty kokonaan vastaamatta.

Valittajan on tullut ymmärtää, että mikäli prosessin kannalta merkityksellisiä tietoja ei anneta lomakkeen kyseisessä kohdassa, vaan pelkästään erillisessä liitteessä, tämä tulee mainita lomakkeella.

Valittajan tarjous on ollut tarjouspyynnön vastainen, vaikka otettaisiin huomioon valittajan viittaamat lisäliitteet.

Kuultavan tarjouksen perusteella on ollut selvää, että sillä on tarjouspyynnössä edellytetty dokumentoitu prosessi mahdollisten tietoturvapoikkeamien ja tietosuojaloukkauksien varalta. Kuultava on tarjouksessaan vahvistanut tietojärjestelmiensä olevan uusimman EU-tietosuojalainsäädännön mukaisia.

Hankintayksiköllä ei ole velvollisuutta antaa tarjoajille oikeutta täsmentää tai täydentää tarjouksia. Hankintayksikkö on tarjousten jättämisen jälkeen esittänyt kuultavalle ainoastaan tarjouksen laiteryhmien sekä huollon ja ylläpidon vertailuhintojen laskentatapaa koskevan lisätietopyynnön, joka ei rinnastu valittajan viittaamaan puuttuvaa tietoa koskevaan täsmennyspyyntöön.

Tarjouspyyntö liitteineen on laadittu niin selviksi, että niiden perusteella on voitu antaa keskenään vertailukelpoisia tarjouksia.

Muut kirjelmät

Valittaja on antanut lisävastaselityksen.

Hankintayksikkö on antanut lisäkirjelmän.

Markkinaoikeuden ratkaisu

Perustelut

Kysymyksenasettelu ja sovellettavat oikeusohjeet

Asiassa on valittajan esittämästä käsittelyjärjestyksestä poiketen ensin ratkaistava kysymys siitä, onko tarjouspyyntö ollut epäselvä tietoliikenne- ja tietoturvavaatimuksia koskevaan vaatimukseen REQ014 liittyen. Asiassa on lisäksi kysymys siitä, onko hankintayksikkö menetellyt hankintasäännösten vastaisesti sulkiessaan valittajan tarjouksen tarjouskilpailusta tarjouspyynnön vastaisena edellä mainittuun vaatimukseen liittyvän puutteellisuuden vuoksi ja varaamatta valittajalle tilaisuutta täsmentää tarjoustaan tältä osin.

Julkisista hankinnoista ja käyttöoikeussopimuksista annetun lain (hankintalaki) 3 §:n 1 momentin mukaan hankintayksikön on kohdeltava hankintamenettelyn osallistujia ja muita toimittajia tasapuolisesti ja syrjimättömästi sekä toimittava avoimesti ja suhteellisuuden vaatimukset huomioon ottaen.

Hankintalain 67 §:n 1 momentin mukaan tarjouspyyntö liitteineen on laadittava niin selviksi, että niiden perusteella voidaan antaa keskenään vertailukelpoisia tarjouksia.

Hankintalain 74 §:n 1 momentin mukaan tarjoajan tulee tarjouksessaan osoittaa tarjoamansa tavaran, palvelun tai rakennusurakan olevan tarjouspyynnössä ja muissa hankinta-asiakirjoissa esitettyjen vaatimusten mukainen. Hankintayksikön on suljettava tarjouspyyntöä tai tarjousmenettelyn ehtoja vastaamattomat tarjoukset tarjouskilpailusta. Pykälän 2 momentin mukaan jos tarjouksessa tai osallistumishakemuksessa olevat tiedot tai asiakirjat ovat puutteellisia tai virheellisiä taikka jotkut asiakirjat tai tiedot puuttuvat, hankintayksikkö voi pyytää tarjoajaa tai ehdokasta toimittamaan, lisäämään, selventämään tai täydentämään tietoja tai asiakirjoja hankintayksikön asettamassa määräajassa. Edellytyksenä on, että menettelyssä noudatetaan 3 §:ssä säädettyjä periaatteita.

Hankintalain 74 §:n 2 momentin esitöiden (HE 108/2016 vp s. 173 ja 174) mukaan vaikka lähtökohtana hankintamenettelyissä on 1 momentin mukaisesti osallistumishakemusten ja tarjousten lopullisuus, tarjousmenettelyn joustavuuden ja sujuvuuden kannalta on tarkoituksenmukaista mahdollistaa ehdokkaiden ja tarjoajien antamissa asiakirjoissa olevien epäolennaisten puutteiden, ristiriitojen ja virheiden korjaaminen. Säännös mahdollistaa myös sen, ettei hankintayksiköllä ole velvollisuutta hylätä tarjouksia kokonaisuuden kannalta vähämerkityksellisten virheiden tai puutteiden takia. Hankintayksikön ei kuitenkaan tule sallia osallistumishakemusten taikka tarjousten olennaista muuttamista. Sallittua ei ole pyytää täsmennyksiä, korjauksia ja täydennyksiä siten, että menettelyllä on olennainen vaikutus ehdokkaan tai tarjoajan asemaan. Hankintayksiköllä olisi harkintavaltaa siitä pyytääkö se ehdokkaita tai tarjoajia täsmentämään tai täydentämään asiakirjoja. Hankintayksiköllä ei sitä vastoin olisi velvollisuutta antaa ehdokkaille tai tarjoajille oikeutta täsmentää tai täydentää tarjouksia tai osallistumishakemuksia.

Hankintalain 79 §:n 1 momentin 1 kohdan mukaan ennen tarjousten valintaa hankintayksikön on tarkistettava, että tarjous on hankintailmoituksessa ja hankinta-asiakirjoissa asetettujen vaatimusten, ehtojen ja perusteiden mukainen.

Hankintamenettely keskeisiltä osin

Hankintayksikkö on pyytänyt tarjouksia potilasvalvontajärjestelmästä sekä siihen liittyvistä ohjelmistoista, laitesidonnaisista tarvikkeista, huollosta ja ylläpidosta kahteen osioon jaettuna.

Tarjoajien on tullut täyttää tarjouspyynnön liitteenä 9 ollut tietoliikenne- ja tietoturvavaatimuksia koskeva lomake ja liittää se tarjoukseensa. Lomakkeessa on muun ohella todettu, että sillä asetetaan toimittajan ratkaisulle pakollisia vaatimuksia sekä kerätään hankintayksikön tietoliikenneverkkoon kytkettävistä laitteista tiedot, joiden perusteella voidaan tehdä hyväksyttävä päätös verkkoon liittämisestä. Lomakkeessa on todettu lisäksi muun ohella seuraavaa:

”Toimittajan on vastattava kaikkien rivien ”Toimittajan vastaus” soluun. Pakollisissa vaatimuksissa hyväksytään minimissään vastaus ”Vaatimus täyttyy”, mutta sanallisten lisätietojen antaminen on toivottavaa.
Tietopyynnöissä pyydetään sanallista vastausta tai viittausta erilliseen asiakirjaan.
Mikäli soluihin ei ole valmiita vastauksia, tieto kerätään ja kirjataan yhdessä toimittajan, tilaajan sekä tarvittaessa tilaajan ICT-palvelutuottajan (2M-IT Oy) kesken.”

Lomakkeella on yksilöity kunkin esitetyn vaatimuksen tyypiksi joko ”Pakollinen vaatimus”, ”Pisteytettävä, ratkaisu kuvattava sarakkeeseen E” tai ”Tietopyyntö”. Pakolliset vaatimukset on yksilöity merkinnällä REQ001–015. Sarakkeen E-soluille lomakkeessa on ollut seuraava ohje:

”Toimittajan vastaus (pakollisiin vaatimuksiin REQ001-015 vastaus kyllä/ei sekä mahdollinen kommentti)”

Vaatimus REQ014 on yksilöity pakolliseksi vaatimukseksi. Kyseisen vaatimuksen kuvauksessa on todettu seuraavaa:

”Toimittajalla on dokumentoitu prosessi mahdollisten tietoturvapoikkeamien ja tietosuojaloukkauksien varalta. Kuvaa prosessi tähän tai liitä liite.”

Valittaja on jättänyt tarjouksensa kyseisellä lomakkeella vaatimusta REQ014 koskevan kohdan kokonaan täyttämättä.

Kuultava on vastannut lomakkeessaan vaatimuksen REQ014 täyttyvän ja esittänyt kohdassa seuraavan kuvauksen:

”Huollon toiminnan ohjausjärjestelmästä on mahdollista huomioida mikäli on tapahtunut tietoturvapoikkeama. Tietoturva poikkeamien ja loukkausten osalta noudatetaan lääkinnällisten laitteiden prosessia. Kun poikkeama/loukkaus havaitaan tiedot syötetään Customer Feedback Portaliin. Lisätietoja Philips processor rules liitteessä.”

Kuultavan tarjouksen liitteenä olleessa asiakirjassa ”Processor Privacy Rules” muun ohella on kuvattu prosessi tietoturvaloukkausten varalle.

Tarjoajien on tullut toimittaa täytettynä myös tarjouspyynnön liitteenä 2 ollut ehdottomia vaatimuksia koskeva liite. Lomakkeen kohdassa ”2.2 ICT ja liitännät” on esitetty pakolliset vaatimukset ICT136 ”Järjestelmän kaikki osat on suojattu asianmukaisesti haittaohjelmilta” ja ICT137 ”Kuvaus toimittajan noudattamasta tietoturvasta ja sen toteuttamisesta”. Vaatimuksen ICT154 mukaan ”Toimittaja vastaa siitä, että sen toimittamat tietojärjestelmät ovat uusimman EU-tietosuojalainsäädännön mukaisia”.

Valittaja on tarjoukseensa liittämän tarjouspyynnön lomakkeen 2 ehdottomia vaatimuksia koskevalla lomakkeella viitannut vaatimuksen ICT136 osalta tarjouksensa liitteeseen ”Mindray Patient Monitoring System Cybersecurity Whitepaper (CE&FDA) V1.0” ja vaatimuksen ICT137 osalta liitteeseen ”Henkilötietojen käsittely_Mediq”.

Sekä valittaja että kuultava ovat vastanneet tarjouksissaan täyttävänsä vaatimukset siitä, että tarjotut tietojärjestelmät ovat uusimman EU-tietosuojalainsäädännön mukaisia ja ilmoittaneet hyväksyvänsä hankintayksikön yleisissä tietosuoja- ja tietoturvaehdoissa ilmoitetut ehdot merkitsemällä ”kyllä” tarjousten kysymyksissä oleviin vaatimuskohtiin.

Hankintayksikkö on tarjoukset saatuaan lähettänyt valittajalle 11.3.2021 tarkentavia kysymyksiä tarjouspyynnön liitteessä 2 koskeviin ehdottomiin vaatimuksiin koskien vaatimuksia PVKR108 ja PVR124. Tämän jälkeen valittajalle ja kuultavalle on lähetetty 23.3.2021 yhtenevät tarkentavat kysymykset, jotka ovat koskeneet hintaliitteillä ilmoitettujen hintojen muodostumista. Kuultavalle on vielä 25.3.2021 lähetetty lyhyt lisätietopyyntö edellä mainittuun hintojen muodostumista koskevaan tarkentavaan kysymykseen annettuun vastaukseen.

Hankintayksikkö on 31.3.2021 tekemällään valituksenalaisella päätöksellä sulkenut valittajan molempiin osioihin antamat tarjoukset tarjouskilpailusta. Päätöksen perusteluissa on todettu muun ohella, että valittajan tarjouksessa on jätetty kokonaan vastaamatta tietoliikenne- ja tietoturvavaatimuksia koskevan liitteen pakolliseen vaatimukseen REQ014 ja että tarjous ei näin ollen täytä tarjouspyynnössä asetettuja ehdottomia vaatimuksia.

Arviointi

Markkinaoikeus toteaa, että hankintayksiköllä on laaja harkintavalta määritellä hankintaa koskevat vaatimukset tarkoituksenmukaiseksi katsomallaan tavalla. Tarjouskilpailuun osallistuvien tasapuolisen ja syrjimättömän kohtelun turvaamiseksi hankintaa koskevat vaatimukset tulee kuitenkin kuvata tarjouspyynnössä sellaisella tarkkuudella, että tarjouspyyntö on omiaan tuottamaan yhteismitallisia ja vertailukelpoisia tarjouksia ja että hankintayksikölle ei anneta rajoittamatonta valinnanvapautta tarjousten arvioinnissa. Hankintamenettelyn avoimuus edellyttää, että tarjoajat tietävät jo tarjouksia laatiessaan, millä seikoilla on merkitystä tarjouskilpailua ratkaistaessa. Vastuu mahdollisista tarjouspyynnön epäselvyyksistä ja tulkinnanvaraisuuksista on lähtökohtaisesti hankintayksiköllä.

Tarjousten vertailussa tarjoajien tasapuolinen kohtelu voi toteutua ainoastaan, mikäli tarjoukset ovat keskenään yhteismitallisia ja vertailukelpoisia. Tarjoajien tasapuolisen ja syrjimättömän kohtelun turvaamiseksi hankintayksikkö on tämän vuoksi velvollinen sulkemaan tarjouskilpailusta tarjouspyyntöä vastaamattoman tarjouksen, mikäli tarjouksen puutteellisuus tai tarjouspyynnön vastaisuus vaarantaa tarjoajien tasapuolisen kohtelun tarjousten vertailussa, ja kyseessä ei ole epäolennainen puute tai virhe.

Vakiintuneen oikeuskäytännön mukaan tarjoaja kantaa vastuun siitä, että sen tarjous on tarjouspyynnön vaatimusten mukainen. Tarjoajien tasapuolisen ja syrjimättömän kohtelun periaate edellyttää, että tarjouksia arvioidaan sellaisina kuin ne on toimitettu hankintayksikölle tarjousten jättämiselle asetettuun määräaikaan mennessä. Hankintayksiköllä on oikeus luottaa siihen, että tarjoajan tarjouksessaan ilmoittamat tiedot pitävät paikkansa, ellei sillä ole perusteltua syytä muuta epäillä.

Tarjouspyynnön liitteenä 2 olleella tietoliikenne- ja tietoturvavaatimuksia koskevalla lomakkeella on asetettu vaatimuksia tarjoajana olevalle toimittajalle ja toimittajan tarjoamalle hankinnan kohteena olevalle ratkaisulle. Ottaen huomioon hankinnan kohteena olevan potilasjärjestelmän laatu sekä siihen liittyvä järjestelmän huolto ja ylläpito, sekä se, että valittu toimittaja tulee käsittelemään henkilötietoja rekisterinpitäjänä toimivan hankintayksikön lukuun, on ollut selvää, että kyseiset vaatimukset koskevat nimenomaisesti toimittajaa.

Pakollinen vaatimus REQ014 on myös sanamuotonsa mukaan koskenut toimittajan dokumentoitua prosessia mahdollisten tietoturvapoikkeamien ja tietosuojaloukkauksien varalle. Jotta tarjoaja täyttäisi tältä osin hankintaa koskevat pakollisen vaatimukset, on tarjoajan tullut lomakkeessa annettujen ohjeiden mukaan vastata kohtaan, että vaatimus täyttyy, ja todentaa vaatimuksen täyttyminen lisäämällä prosessin kuvaus lomakkeen kohtaan tai esittämällä kuvaus erillisellä liitteellä.

Kyseiselle prosessille tai sen kuvaukselle ei ole tarjouspyyntöasiakirjoissa asetettu tarkempia vaatimuksia. Tarjoajat ovat siten voineet antaa käytettävissä olevien tietojen perusteella oman harkintansa mukaisen kuvauksen prosessistaan erilaisten tietoturvapoikkeamien ja tietosuojaloukkauksien varalta. Lomakkeen perusteella on ollut myös selvästi ymmärrettävissä, ettei lomakkeessa oleva maininta tietojen yhdessä keräämisestä ja kirjaamisesta ole koskenut pakollisia vaatimuksia, vaan tietopyyntöjä, erityisesti kun otetaan huomioon, että pakollisten vaatimusten osalta on selvästi ohjeistettu lisäämään kyllä, tai ei -vastaukset. Lomakkeen perusteella on ollut selvää, ettei pakollisia vaatimuksia koskevia kohtia ole voinut jättää täyttämättä. Markkinaoikeus katsoo edellä esitettyyn nähden, ettei tarjouspyyntöasiakirjoja voida pitää kysymyksessä olevan vaatimuksen osalta sillä tavoin epäselvinä, että niiden perusteella ei ole voitu antaa keskenään vertailukelpoisia tarjouksia kysymyksessä olevaan vaatimukseen liittyen.

Valittaja on edellä todetusti jättänyt lomakkeellaan kysymyksessä olevan vaatimuskohdan täyttämättä.

Valittaja on liittänyt tarjoukseensa yksisivuisen liitteen ”Henkilötietojen käsittely Mediq”, jossa kuvataan valittajan noudattamaa tietoturvaa ja sen toteuttamista sekä miten valittaja käsittelee henkilötietoja. Valittaja on niin ikään liittänyt tarjoukseensa liitteen ”Mindray Patient Monitoring System Cybersecurity Whitepaper (CE&FDA) V1.0” jossa on kuvattu järjestelmän valmistajan Mindary Medical International Ltd:n prosessia mahdollisia tietoturva- ja tietosuojapoikkeamia varten. Kumpaankaan liitteeseen ei ole viitattu kysymyksessä olevan vaatimuksen REQ014 kohdassa, vaan muissa pakollisia vaatimuksia koskevissa tarjouksen kohdissa.

Voittanut tarjoaja on vastannut tarjouksessaan kysymyksessä olevan vaatimuksen täyttyvän ja lisännyt kohtaan lyhyen sanallisen kuvauksen prosessistaan. Kuvauksessa on lisäksi viitattu Philips Processor Privacy Rules -asiakirjaan, jossa on kuvattu prosessi tietoturvaloukkausten varalle.

Edellä esitettyyn nähden markkinaoikeus katsoo, että hankintayksikkö on voinut harkintavaltansa puitteissa katsoa, ettei valittajan edellä mainituista liitteistä käy ilmi valittajan oma dokumentoitu prosessi mahdollisten tietoturvapoikkeamien ja tietosuojaloukkauksien varalta. Se että valittaja on muualla tarjouksessaan ilmoittanut asianmukaisesti täyttävänsä muut pakolliset vaatimukset, hyväksyvänsä hankintayksikön yleiset tietosuoja- ja tietoturvaehdot ja vastaavan siitä, että sen toimittamat tietojärjestelmät ovat uusimman EU-tietosuojalainsäädännön mukaisia, ei anna aihetta arvioida asiaa toisin.

Markkinaoikeus katsoo myös voittaneen tarjoajan ja valittajan tarjousten eroavaisuudet vaatimuksen REQ014 täyttymisen ilmoittamisen suhteen huomioon ottaen, ettei hankintayksikön voida katsoa rikkoneen tarjoajien tasapuolisen ja syrjimättömän kohtelun vaatimusta sulkiessaan voittaneen tarjoajan tarjouksen tarjouskilpailusta tarjouspyynnön vastaisena ja hyväksyessään voittaneen tarjoajan tarjouksen.

Siltä osin kuin valittaja on esittänyt, että hankintayksikön olisi tullut antaa sen täsmentää tarjoustaan, markkinaoikeus toteaa, että tarjouksia on lähtökohtaisesti arvioitava sellaisina kuin ne on toimitettu hankintayksikölle tarjousten jättämiselle asetetussa määräajassa. Markkinaoikeus toteaa vielä, ettei hankintayksiköllä ole velvollisuutta antaa tarjoajille oikeutta täsmentää tai täydentää tarjouksia.

Unionin tuomioistuimen oikeuskäytännössä (tuomio 11.5.2017, C-131/16, Archus ja Gama, EU:C:2017:358) on todettu, että tarjouksen selvennyspyyntö ei saa johtaa siihen, että asianomainen tarjoaja esittää tosiasiallisesti uuden tarjouksen (31 kohta oikeuskäytäntöviittauksineen). Tuomiossa on edelleen todettu, että selvennyspyynnöllä ei voida korjata sellaisen asiakirjan tai tiedon puuttumista, jota on vaadittu hankintamenettelyn asiakirjoissa, sillä hankintaviranomaisen on noudatettava tarkasti arviointiperusteita, jotka se on itse vahvistanut (33 kohta oikeuskäytäntöviittauksineen).

Valittajan tarjous on ollut edellä todetusti tarjouspyynnön vastainen, kun valittaja on jättänyt vastaamatta tarjouspyynnössä esitettyyn pakolliseen vaatimukseen. Markkinaoikeus katsoo, että sanotussa tilanteessa selvitys- tai täsmennyspyynnön lähettäminen valittajalle ei olisi kohdistunut sellaiseen seikkaan, jota olisi selvästi vain täsmennettävä. Täsmennyspyyntö olisi merkinnyt valittajalle tilaisuutta tarjouksen tarjouspyynnön vastaisuuden korjaamiseen. Menettely ei siten ole ollut valittajan esittämin tavoin hankintasäännösten vastaista sen vuoksi, että valittajalle ei ole varattu tilaisuutta korjata tarjoustaan tarjouspyynnön mukaiseksi.

Johtopäätös

Edellä mainituilla perusteilla hankintayksikkö ei ole menetellyt hankinnassaan valittajan esittämin tavoin hankintasäännösten vastaisesti. Valitus on näin ollen hylättävä.

Oikeudenkäyntikulujen korvaaminen

Hankintalain 149 §:n 2 momentin mukaan hankinta-asiassa oikeudenkäyntikulujen korvaamiseen sovelletaan muutoin, mitä oikeudenkäynnistä hallintoasioissa annetun lain 95–101 §:ssä säädetään, ei kuitenkaan 95 §:n 3 momenttia.

Oikeudenkäynnistä hallintoasioissa annetun lain 95 §:n 1 momentin mukaan oikeudenkäynnin osapuoli on velvollinen korvaamaan toisen osapuolen oikeudenkäyntikulut kokonaan tai osaksi, jos erityisesti asiassa annettu ratkaisu huomioon ottaen on kohtuutonta, että tämä joutuu itse vastaamaan oikeudenkäyntikuluistaan. Pykälän 2 momentin mukaan korvausvelvollisuuden kohtuullisuutta arvioitaessa voidaan lisäksi ottaa huomioon asian oikeudellinen epäselvyys, osapuolten toiminta ja asian merkitys asianosaiselle.

Asiassa annettu ratkaisu huomioon ottaen olisi kohtuutonta, jos hankintayksikkö ja kuultava joutuisivat itse vastaamaan kokonaan oikeudenkäyntikuluistaan. Valittaja on näin ollen velvoitettava korvaamaan hankintayksikön määrältään kohtuulliset oikeudenkäyntikulut ja kuultavan oikeudenkäyntikulut markkinaoikeuden kohtuulliseksi harkitsemalla määrällä. Asian näin päättyessä valittaja saa itse vastata oikeudenkäyntikuluistaan.

Lopputulos

Markkinaoikeus hylkää valituksen.

Markkinaoikeus velvoittaa Mediq Suomi Oy:n korvaamaan Varsinais-Suomen Sairaanhoitopiirin kuntayhtymän oikeudenkäyntikulut 2.500 eurolla viivästyskorkoineen ja Philips Oy:n oikeudenkäyntikulut 4.000 eurolla viivästyskorkoineen. Viivästyskorkoa on maksettava korkolain 4 §:n 1 momentissa tarkoitetun korkokannan mukaisesti siitä lukien, kun kuukausi on kulunut tämän päätöksen antamisesta.

Muutoksenhaku

Julkisista hankinnoista ja käyttöoikeussopimuksista annetun lain 165 §:n mukaan tähän päätökseen saa hakea muutosta valittamalla korkeimpaan hallinto-oikeuteen vain, jos korkein hallinto-oikeus myöntää valitusluvan.

Julkisista hankinnoista ja käyttöoikeussopimuksista annetun lain 168 §:n 1 momentin nojalla markkinaoikeuden päätöstä on valituksesta huolimatta noudatettava, jollei korkein hallinto-oikeus toisin määrää.

Valitusosoitus on liitteenä.

Asian ovat yksimielisesti ratkaisseet markkinaoikeustuomarit Reima Jussila, Saija Laitinen sekä Tobias von Schantz.

Huomaa

Päätöksen lainvoimaisuustiedot tulee tarkistaa korkeimmasta hallinto-oikeudesta.