číslo jednací: 24111/2022/500
spisová značka: S0212/2021/VZ

 

Úřad pro ochranu hospodářské soutěže příslušný podle § 248 zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů, ve správním řízení zahájeném dne 7. 6. 2021 na návrh z téhož dne, jehož účastníky jsou

• zadavatel – město Volyně, IČ 00252000, se sídlem náměstí Svobody 41, 387 01 Volyně,
• navrhovatel – FLAME System s.r.o., IČO 26846888, se sídlem Dr. Maye 468/3, Mariánské Hory, 709 00 Ostrava, ve správním řízení zastoupen na základě plné moci ze dne 11. 12. 2020 společností MT Legal s.r.o., advokátní kancelář, IČO 28305043, se sídlem Jakubská 121/1, 602 00 Brno,

ve věci přezkoumání úkonů zadavatele učiněných při zadávání části 1 „Infrastruktura a vnitřní konektivita školy“ veřejné zakázky „INFRASTRUKTURA DO ZŠ VOLYNĚ“ v otevřeném řízení, jehož oznámení bylo odesláno k uveřejnění dne 17. 9. 2020 a uveřejněno ve Věstníku veřejných zakázek dne 21. 9. 2020 pod ev. č. Z2020-032774, ve znění oprav uveřejněných dne 12. 10. 2020, a v Úředním věstníku Evropské unie uveřejněno dne 22. 9. 2020 pod ev. č. 2020/S 184-443727, ve znění dodatečných informací uveřejněných dne 13. 10. 2020,

rozhodl takto:

Návrh navrhovatele – FLAME System s.r.o., IČO 26846888, se sídlem Dr. Maye 468/3, Mariánské Hory, 709 00 Ostrava – ze dne 7. 6. 2021 na zahájení správního řízení o přezkoumání úkonů zadavatele – město Volyně, IČ 00252000, se sídlem náměstí Svobody 41, 387 01 Volyně – učiněných při zadávání části 1 „Infrastruktura a vnitřní konektivita školy“ veřejné zakázky „INFRASTRUKTURA DO ZŠ VOLYNĚ“ v otevřeném řízení, jehož oznámení bylo odesláno k uveřejnění dne 17. 9. 2020 a uveřejněno ve Věstníku veřejných zakázek dne 21. 9. 2020 pod ev. č. Z2020-032774, ve znění oprav uveřejněných dne 12. 10. 2020, a v Úředním věstníku Evropské unie uveřejněno dne 22. 9. 2020 pod ev. č. 2020/S 184-443727, ve znění dodatečných informací uveřejněných dne 13. 10. 2020, se podle § 265 písm. a) zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů, zamítá, neboť nebyly zjištěny důvody pro uložení nápravného opatření.

 

Odůvodnění

I.               ZADÁVACÍ ŘÍZENÍ

1.             Zadavatel – město Volyně, IČ 00252000, se sídlem náměstí Svobody 41, 387 01 Volyně, (dále jen „zadavatel“) – jakožto veřejný zadavatel ve smyslu § 4 odst. 1 písm. d) zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů, (dále jen „zákon“) uveřejnil ve Věstníku veřejných zakázek dne 21. 9. 2020 pod ev. č. Z2020-032774 a v Úředním věstníku Evropské unie dne 22. 9. 2020 pod ev. č. 2020/S 184-443727 oznámení o zahájení otevřeného řízení za účelem zadání veřejné zakázky „INFRASTRUKTURA DO ZŠ VOLYNĚ“ (dále jen „veřejná zakázka“). Oznámení o zahájení zadávacího řízení bylo zadavatelem do Věstníku veřejných zakázek odesláno dne 17. 9. 2020 a tímto dnem bylo podle § 61 odst. 1 zákona zahájeno zadávací řízení na předmětnou veřejnou zakázku.

2.             V bodu II.1.3) oznámení o zahájení zadávacího řízení je uvedeno, že se jedná o veřejnou zakázku na dodávky, přičemž z bodu II.1.4) oznámení o zahájení zadávacího řízení vyplývá, že jejím předmětem v části 1 je „vybudování nových rozvodů strukturované kabeláže v budově prvního stupně ZŠ, ulice Školní č. p. 278 a v budově druhého stupně ZŠ,ulice Školní č. p. 300. Součástí plnění v části 1 VZ je dále zajištění vnitřní konektivity školy spočívající v dodávce řešení pro budoucí dobudování nebo kompletně nové vybudování LAN sítě vč. WLAN (bezdrátové sítě) a řešení pro budoucí vybavení vnitřní LAN / WLAN vč. řešení bezpečnosti sítí a potřebného SW vybavení.“.

3.             Z dokumentu „Protokol o otevírání nabídek“ ze dne 9. 11. 2020 vyplývá, že zadavatel ve stanovené lhůtě obdržel na plnění části č. 1 veřejné zakázky celkem dvě nabídky, a to včetně nabídky dodavatele – společnosti FLAME System s.r.o., IČO 26846888, se sídlem Dr. Maye 468/3, Mariánské Hory, 709 00 Ostrava, ve správním řízení zastoupen na základě plné moci ze dne 11. 12. 2020 společností MT Legal s.r.o., advokátní kancelář, IČO 28305043, se sídlem Jakubská 121/1, 602 00 Brno (dále jen „navrhovatel“).

4.             Zadavatel „Oznámením o vyloučení účastníka zadávacího řízení“ ze dne 29. 4. 2021, jež bylo navrhovateli doručeno téhož dne, oznámil navrhovateli, že rozhodl o jeho vyloučení ze zadávacího řízení na šetřenou veřejnou zakázku. V „Rozhodnutí o vyloučení účastníka zadávacího řízení“ ze dne 29. 4. 2021 (dále jen „rozhodnutí o vyloučení“) zadavatel specifikoval, že rozhodl o vyloučení navrhovatele ze zadávacího řízení na šetřenou veřejnou zakázku podle § 48 odst. 2 písm. a) a c) zákona.

5.             Navrhovatel proti svému vyloučení podal námitky ze dne 14. 5. 2021, jež byly zadavateli doručeny téhož dne. Zadavatel svým rozhodnutím ze dne 27. 5. 2021 (dále jen „rozhodnutí o námitkách“), které bylo navrhovateli doručeno téhož dne, tyto námitky odmítl.

6.             Vzhledem k tomu, že navrhovatel nepovažoval rozhodnutí zadavatele o jím podaných námitkách za učiněné v souladu se zákonem, podal dne 7. 6. 2021 návrh na zahájení správního řízení o přezkoumání úkonů zadavatele (dále jen „návrh“) u Úřadu pro ochranu hospodářské soutěže (dále jen „Úřad“).

II.             OBSAH NÁVRHU

7.             Z návrhu navrhovatele vyplývá, že směřuje proti jeho vyloučení ze zadávacího řízení dle ustanovení § 48 odst. 2 písm. a) a c) zákona. Navrhovatel předesílá, že zadavatel postupoval při svém rozhodování nezákonně, když odmítl námitky navrhovatele s odůvodněním, které se zakládá na nesprávném posouzení řešení navrhovatele, na nesprávné interpretaci zákona a na neexistujících (resp. dodatečně dotvářených) zadávacích podmínkách.

8.             Navrhovatel primárně shrnuje obsah svých námitek. Navrhovatel upozorňuje, že stručná informace v rozhodnutí o vyloučení, že řešení nabízené navrhovatelem nesplňuje ani podmínku „v rámci integrované bezpečnostní brány“ je věcně nesprávná a postrádá bližší odůvodnění, čímž je rozhodnutí o vyloučení v rozporu se zásadou transparentnosti dle § 6 odst. 1 zákona. Dále navrhovatel sděluje, že nesouhlasí s tvrzením zadavatele, že jím nabízené řešení nesplňuje požadavek zadavatele na dodání centrálního systému správy školní sítě, a to prostřednictvím jednotného webového rozhraní, které je integrováno v bezpečnostní bráně. Navrhovatel rozporuje tvrzení zadavatele, že se nejedná o řešení integrované v bezpečnostní bráně, nejedná se o řešení integrované v nabízeném firewallu nebo že navrhovatel neprokázal, že k zásadním změnám rozhraní na straně výrobce nedochází. Navrhovatel je přesvědčen, že zadavatel přistupuje k nesprávnému (extenzivnímu) výkladu zadávacích podmínek, přičemž jeho výklad vede ke znevýhodnění všech ostatních značek, když striktním výkladem míří pouze na konkrétní technologii výrobce Fortinet.

9.             Přesvědčení navrhovatele je, že jím předložené řešení umožňuje ucelenou správu sítě z jednoho místa a v žádném případě se nejedná o nadstavbový prvek, ale jde o vzájemně mezi sebou komunikující celek. Správa bude probíhat z jednoho bodu, tj. z jedné IP adresy, stejně tak i sběr a vyhodnocení monitorovacích dat ze všech zařízení v síti. Tudíž se jedná o řešení, které splňuje veškeré požadavky zadavatele stanovené v technické specifikaci, vč. požadavku - „Centrální systém správy sítě pomocí jednoho webového rozhraní“. Navrhovatel rovněž sděluje, že pojem „v rámci integrované bezpečnostní brány“ je širším oproti pojmu „integrováno v bezpečnostní bráně“.

10.         Navrhovatel podotýká, že zadávací podmínku „Centrální systém správy sítě pomocí jednoho webového rozhraní“ lze případně interpretovat různě a splnit pomocí různých řešení, není možné se v souladu s § 36 odst. 3 zákona a ustálenou rozhodovací praxí Úřadu omezit na jeden výklad. Naopak je zadavatel v takovém případě povinen použít výklad, který je ku prospěchu hospodářské soutěže.

11.         Navrhovatel odkazuje na znalecký posudek RNDr. Jiřího Bartoše, Ph.D. ze dne 23. 5. 2021 (dále také jen „znalecký posudek navrhovatele“), který nechal vyhotovit a který učinil přílohou návrhu, a z něhož podle navrhovatele vyplývá, že řešení navrhovatele je schopno splnit požadavek zadavatele na plnou centrální konfiguraci a monitorování současně pro všechny poptávané komponenty sítě pomocí navrhovatelem nabízeného SW Extreme Networks.

12.         V dalším navrhovatel nesouhlasí s tvrzením zadavatele, že se dopustil nepřípustné změny nabídky, pokud v nabídce deklaroval splnění podpory NAT 66 pro IPv6 u firewallu. Navrhovatel upozorňuje, že argumentace zadavatele nemá oporu v zadávací dokumentaci, když zadavatel nestanovil jakýkoli požadavek, aby nabízené řešení existovalo a disponovalo veškerými funkcemi již ke dni podání nabídek. Ze zadávací dokumentace vyplývá, že předmět plnění má být dodán do 8 kalendářních měsíců od nabytí účinnosti smlouvy na plnění veřejné zakázky. Navrhovatel měl v době přípravy a podání nabídky postaveno najisto, že požadované funkcionality bude splňovat nová verze Hillstone operačního systému, která vyšla v prosinci roku 2020 a kterou obsahuje každý firewall zn. Hillstone. Tedy v okamžiku podání nabídky bylo postaveno najisto, že nabízený firewall bude v okamžiku plnění veřejné zakázky splňovat požadavky na podporu NAT 66, 46 a 64 pro IPv6, což navrhovatel doložil rovněž potvrzením distributora společnosti PROFIcomms s.r.o., které učinil přílohou námitek.

13.         Navrhovatel sděluje, že nikterak nezměnil jím nabízený produkt, nýbrž pouze v rámci objasnění nabídky doložil, kdy přesně a za jakých podmínek bude nabízený firewall požadovanou podporou disponovat. K žádné změně nabídky tedy nemohlo dojít a ani nedošlo. Navrhovatel v této souvislosti odkazuje na rozhodovací praxi Úřadu, dle které doplnění technické specifikace nabízeného produktu není materiální změnou nabídky.

14.         Tvrzení zadavatele o tom, že změna operačního systému je materiální změnou nabídky, pak navrhovatel odmítá, protože předmětem nabídky je od počátku jeden a ten samý produkt (firewall) značky Hillstone, u kterého v mezidobí výrobce vydal novou verzi operačního systému, s nímž je spojená předmětná podpora NAT 66. Touto optikou by byla dle zadavatele nepřípustnou změnou nabídky jakákoliv aktualizace softwaru, ke které zcela běžně a pravidelně dochází u všech výrobců.

15.         K třetímu důvodu vyloučení navrhovatel uvádí, že výkon v Mpps není definovaný pojem/technický parametr/veličina pro switch/přepínač. U switchů se pojem power používá v jednotkách W (Watty) a váže se k elektrické energii. Pokud měl zadavatel na mysli veličinu forwarding capacity a chtěl podle této veličiny switche porovnávat, měl toto jednoznačně uvést v zadávací dokumentaci, a navíc měl uvést velikost paketu/rámce. Neuvedení velikosti paketu je tak opomenutím zadavatele, které nelze klást k tíži navrhovatele. Pojem výkon switche tak, jak ho uvedl zadavatel v pps (packetu za sekundu), je pojem zavádějící a irelevantní a na jeho základě [bez určení velikosti rámce (paketu)] nelze výkon nabízených zařízení objektivně porovnat.

16.         Navrhovatel také v případě této otázky požádal znalce v oboru kybernetika, aby posoudil otázku výkonu jím nabízených switchů, kdy tento podle navrhovatele jednoznačně potvrdil, že oba switche splňují požadavky zadavatele – blíže navrhovatel odkazuje na znalecký posudek, který tvoří přílohu návrhu.

17.         Navrhovatel dále označuje rozhodnutí o námitkách za nepřezkoumatelné, když se zadavatel nevypořádal s veškerou argumentací navrhovatele učiněnou v námitkách. Navrhovatel se rovněž domnívá, že postup zadavatele nelze shledat jako hospodárný, efektivní a účelný.

18.         Na základě všech výše uvedených argumentů tudíž navrhovatel v závěru návrhu Úřadu navrhuje uložení nápravného opatření spočívajícího ve zrušení rozhodnutí zadavatele o jeho vyloučení ze dne 29. 4. 2021.

III.           PRŮBĚH SPRÁVNÍHO ŘÍZENÍ

19.         Podle § 249 zákona ve spojení s § 44 odst. 1 zákona č. 500/2004 Sb., správní řád, ve znění pozdějších předpisů, (dále jen „správní řád“) bylo zahájeno správní řízení o přezkoumání úkonů zadavatele dnem 7. 6. 2021, kdy Úřad obdržel návrh navrhovatele. Zadavateli byl stejnopis návrhu doručen taktéž dne 7. 6. 2021.

20.         Účastníky správního řízení podle § 256 zákona jsou:

• zadavatel,
• navrhovatel.

21.         Zahájení správního řízení oznámil Úřad jeho účastníkům dopisem č. j. ÚOHS-19431/2021/531/JHl ze dne 10. 6. 2021.

22.         Usnesením č. j. ÚOHS-22584/2021/512/MHo ze dne 7. 7. 2021 určil Úřad zadavateli lhůtu k provedení úkonu, a to informování Úřadu o dalších úkonech, které zadavatel případně provede v šetřeném zadávacím řízení v průběhu správního řízení a zaslání příslušné dokumentace o zadávacím řízení ve smyslu § 216 odst. 1 zákona pořízené v souvislosti s provedenými úkony.

23.         Rozhodnutím č. j. ÚOHS-24182/2021/500/AIv ze dne 19. 7. 2021 Úřad podle § 61 odst. 1 správního řádu nařídil zadavateli z moci úřední předběžné opatření spočívající v zákazu uzavřít smlouvu na veřejnou zakázku, neboť s ohledem na dosavadní průběh zadávacího a správního řízení shledal nezbytným zatímně upravit poměry účastníků správního řízení.

24.         Usnesením č. j. ÚOHS-26040/2021/512/MHo ze dne 2. 8. 2021 stanovil Úřad účastníkům řízení lhůtu, v níž se mohli vyjádřit k podkladům rozhodnutí. Zadavatel se ve lhůtě stanovené předmětným usnesením k podkladům rozhodnutí nevyjádřil.

Vyjádření zadavatele k návrhu

25.         Zadavatel se k návrhu vyjádřil ve svém stanovisku, které Úřad obdržel dne 16. 6. 2021, přičemž konstatuje následující.

26.         Zadavatel předně uvádí, že v rámci šetřeného zadávacího řízení postupoval v souladu se zákonem, rozhodovací praxí Úřadu a zásadami 3E.

27.         K námitce týkající se centrální správy sítě zadavatel sděluje, že navrhovatelem nabízené řešení nesplňuje zadávací podmínky, neboť má zadavatel postaveno najisto, že navrhovatelem nabízené řešení není integrováno v bezpečnostní bráně, resp. ani v jejím rámci, neboť se jedná o řešení, které bude nainstalováno na PC připojeném k bezpečnostní bráně, tj. nezávislé řešení třetí strany (jak z pohledu hardware, tak software), které bude s bezpečnostní bránou pouze propojené, nikoli však v ní nebo jejím rámci integrované.

28.         Dle názoru zadavatele není možné předmětnou zadávací podmínku interpretovat různým způsobem, neboť se jedná o jednoznačný požadavek zadavatele. Zadavatel je rovněž přesvědčen, že pojem „v rámci integrované bezpečnostní brány“ je synonymem pojmu „integrováno v bezpečnostní bráně“.

29.         K námitce týkající se podpory NAT 66, 46, 64 pro IPv6 u firewallu zadavatel sděluje, že nabídka navrhovatele podaná dne 6. 11. 2020 uváděla splnění jednoho z parametrů dodávaného firewallu na podporu NAT 66, 46, 64 při IPv6, avšak jak sám navrhovatel uvedl, tato funkcionalita nemohla být v okamžiku podání nabídky splněna, protože její splnění bylo distributorem předmětného firewallu přislíbeno až od prosince 2020, tj. měsíc po podání nabídky. Navrhovatel tak zadavatele uvedl v omyl, když splnění tohoto parametru deklaroval k datu podání nabídky. Pozdější změnou operačního systému tak došlo k materiální změně nabízeného plnění, kdy až v okamžiku vydání nového operačního systému mohl mít navrhovatel postaveno najisto, že jím nabízené plnění požadovaný parametr splňuje. Dle zadavatele tak nabízené plnění v době podání nabídky nesplňovalo požadavky zadavatele, a toto pochybení nemohlo být napraveno ani příslibem budoucí změny charakteru nabízeného plnění, neboť šlo o změnu materiální, která měnila charakter nabízeného plnění, neboť navrhovatel neprovedl pouze formální doplnění nabídky, neboť z technických listů, které navrhovatel předložil v nabídce nesplnění předmětné zadávací podmínky vyplývalo.

30.         Zadavatel je přesvědčen, že zadávací podmínky nikterak nedotvářel, avšak pouze vysvětloval. Rovněž sděluje, že se k veškerým námitkám navrhovatele vyjádřil podrobně a srozumitelně.

31.         K výkonu přepínačů LAN typ 1 a LAN typ 2 zadavatel uvádí, že je nemožné, aby navrhovatel vzhledem ke své odbornosti zaměnil význam parametru „výkon v Mpps“ za parametr „výkon ve W“.

32.         Tvrzení navrhovatele, že výrobce přepínačů hodnotu předmětného parametru neuvádí, označuje zadavatel jako nepravdivé, neboť dosahovaný výkon (kapacita) nabízených přepínačů je v datasheetu uveden v hodnotě 214 Mpps pro přepínač LAN typ 1 a v hodnotě 250 Mpps pro přepínač LAN typ 2.

33.         Zadavatel sděluje, že ani uvedení velikosti paketu/rámce by nic neměnilo na tom, že navrhovatelem nabízené plnění nemůže fyzicky dosáhnout vyššího přepínacího výkonu, než je uvedeno v datasheetu výrobce. Zadavatel dále demonstruje vlastní výpočet předmětné veličiny (kapacity), na základě něhož dovozuje, že nabízené plnění nemůže zadavatelem požadované hodnoty ani teoreticky dosáhnout.

34.         Znalecký posudek předložený navrhovatelem považuje zadavatel za věcně nesprávný, neboť znalec nevycházel ze všech jemu dostupných podkladů, která byly potřebné pro prováděné posouzení. Výsledek zjištěný znalcem je tak ve značném rozporu s údaji výrobce, a naopak výpočet provedený zadavatelem údajům uvedeným výrobcem odpovídá.

Vyjádření navrhovatele k podkladům rozhodnutí ze dne 9. 8. 2021

35.         Navrhovatel se k podkladům rozhodnutí vyjádřil ve svém stanovisku ze dne 9. 8. 2021, které Úřad obdržel téhož dne, přičemž v něm sděluje následující.

36.         Navrhovatel je přesvědčen, že tvrzení zadavatele, že jím nabízené řešení není v bezpečnostní bráně, a ani v jejím rámci, integrováno, vyvrátil znaleckým posudkem, z něhož mj. vyplývá, že pojem „bezpečnostní brána“ nelze vykládat jen jako samotný „box“, ale definice pojmu je závislá na dalších součástech. Navrhovatel dále trvá na svém stanovisku, že zadavatel neposoudil řešení navrhovatele správně, když toto zcela splňuje požadavky zadavatele.

37.         Navrhovatel uvádí, že řešení centrálního managementu integrovaného v bezpečnostní bráně (optikou výkladu zadavatele), jehož prostřednictvím bude možné spravovat i další komponenty (LAN přepínače a AP), nabízí pouze značka Fortinet a podporuje pro správu jen zařízení vlastní značky, nikoliv výrobky zn. Cisco nebo Zyxel, tj. žádného jiného výrobce nepodporuje.

38.         Tvrzení zadavatele, že se navrhovatel dopustil materiální změny nabídky u podpory NAT 66, 46, 64 pro IPv6 u firewallu, navrhovatel odmítá a sděluje, že doložil, kdy přesně a za jakých podmínek bude nabízený firewall požadovanou podporou disponovat, přičemž vydáním nového OS nepochybně nedošlo ke změně nabízeného produktu.

39.         K tvrzení, že zadavatel provedl kontrolní výpočet přepínacího výkonu přepínačů a tyto nesplňují zadávací podmínky, navrhovatel odkazuje na výpočet předložený znalcem v rámci znaleckého posudku.

40.         Závěrem svého vyjádření navrhovatel požaduje, aby Úřad zrušil rozhodnutí o vyloučení navrhovatele ze zadávacího řízení.

Rozhodnutí Úřadu ze dne 19. 8. 2021

41.         Úřad rozhodnutím č. j. ÚOHS-28139/2021/500/AIv ze dne 19. 8. 2021 rozhodl podle § 265 písm. a) zákona o zamítnutí návrhu navrhovatele, neboť nebyly zjištěny důvody pro uložení nápravného opatření.

42.         Úřad v citovaném rozhodnutí konstatoval, že zadavatel postupoval v souladu se zákonem, když dne 29. 4. 2021 rozhodl o vyloučení navrhovatele ze zadávacího řízení na předmětnou veřejnou zakázku, když údaje předložené navrhovatelem nesplňovaly zadávací podmínky, neboť navrhovatelem v nabídce předložené řešení nesplňuje požadavek zadavatele na řešení zahrnující dodávku centrálního systému správy sítě, a to prostřednictvím jednotného webového rozhraní, které je integrováno v bezpečnostní bráně nebo v jejím rámci, přestože tak zadavatel v zadávacích podmínkách požadoval.

43.         Proti shora citovanému rozhodnutí podal zadavatel rozklad ze dne 1. 9. 2021, který byl Úřadu doručen téhož dne.

Rozhodnutí předsedy Úřadu ze dne 11. 11. 2021

44.         Po projednání rozkladu předseda Úřadu rozhodnutím č. j. ÚOHS- 33741/2021/163/MBr ze dne 11. 11. 2021, které nabylo právní moci téhož dne (dále jen „druhostupňové rozhodnutí“), zrušil rozhodnutí Úřadu č. j. ÚOHS-28139/2021/500/AIv ze dne 19. 8. 2021 (dále jen „napadené rozhodnutí“) a věc vrátil Úřadu k novému projednání.

45.         K přezkoumatelnosti rozhodnutí o námitkách předseda Úřadu uvedl, že „Ve shodě s Úřadem považuji odůvodnění rozhodnutí o námitkách za srozumitelné a dostatečně podrobné. Zároveň se ztotožňuji s názorem Úřadu, že pokud s argumenty obsaženými v rozhodnutí o námitkách navrhovatel polemizuje, pak jim dostatečně porozuměl.“.

46.         Předseda Úřadu v druhostupňovém rozhodnutí konstatoval, že Úřad nepostupoval správně, když dostatečným způsobem neobjasnil skutkový stav, který spočíval zejména v materiální povaze sporné zadávací podmínky, přičemž tento závěr by si měl Úřad vytvořit na základě hodnověrných odborných zdrojů. Jazykový výklad provedený Úřadem není s to osvětlit skutečnost, zda navrhovatelovo nabízené řešení centrálního systému správy školní sítě odporuje či neodporuje zadávacím podmínkám.

47.         K postupu Úřadu v novém projednání věci předseda Úřadu uvádí, že „Úřad při novém posouzení věci zjistí skutkový stav do takové míry, že o něm nebudou důvodné pochybnosti. Při tomto postupu Úřad přihlédne ke konkrétním argumentům, které uvádí navrhovatel v rozkladu a provede materiální přezkum rozporovaných zadávacích podmínek. Na podporu svých tvrzení si Úřad může obstarat nové důkazy – vyjádření od odborných subjektů či institucí s dostatečným odborným zázemím, průzkum na relevantním trhu (a to v tom směru, jakým způsobem chápou spornou zadávací podmínku dodavatelé působící na relevantním trhu), případně požádá autora znaleckého posudku předloženého navrhovatelem o vysvětlení či doplnění předloženého znaleckého posudku dle ustanovení § 28 odst. 6 zákona č. 254/2019 Sb., o znalcích, znaleckých kancelářích a znaleckých ústavech, popř. si Úřad nechá zpracovat vlastní znalecký posudek. Úřad nemusí provést všechny výše navržené postupy za účelem řádného zjištění skutkového stavu. Úřad provede pouze takové postupy, které uzná za vhodné a které povedou k řádnému zjištění skutkového stavu.

Úřad rovněž přihlédne ke všem relevantním skutečnostem, své závěry podloží skutkovými zjištěními a podrobným a srozumitelným odůvodněním. Tímto nechci nikterak předjímat výsledek nového posouzení věci ze strany Úřadu. Pokud by Úřad opětovně dospěl k závěru, že jsou splněny podmínky pro zamítnutí návrhu navrhovatele podle § 265 písm. a) zákona, neboť nebyly zjištěny důvody pro uložení nápravného opatření, může tak učinit jedině poté, co bude schopen své závěry objektivně podložit relevantními skutkovými zjištěními a své úvahy řádně a přezkoumatelným způsobem odůvodní. Pokud se prokáže, že důvod pro vyloučení navrhovatele podle bodu A) Centrální systém správy školní sítě není dán, bude se Úřad zabývat i dalšími důvody (splněním či nesplněním zadávacích podmínek ze strany navrhovatele) vedoucími k vyloučení navrhovatele ze zadávacího řízení – bod B) Podpora NAT 66, 46, 64 pro IPv6 u firewallu; – bod C) Výkon přepínačů LAN typ 1 a typ 2.“.

Nové projednání věci Úřadem

48.         Úřad poté, co mu byla věc vrácena k novému projednání, přípisem č. j. ÚOHS-38769/2021/512/MHo ze dne 16. 11. 2021 účastníky řízení vyrozuměl o pokračování správního řízení.

49.         Usnesením č. j. ÚOHS-39690/2021/512/MHo ze dne 23. 11. 2021 Úřad správní řízení podle § 64 odst. 1 písm. e) správního řádu ve spojení s § 261 odst. 2 zákona přerušil s cílem získat odborná stanoviska k otázce, co znamená pojem „bezpečnostní brána“, resp. z jakých konkrétních součástí (zařízení) se bezpečnostní brána skládá/může skládat, a zda PC, který je k ní přímo připojen, je její součástí či nikoliv, a k otázce, jak požadavek zadavatele na řešení integrované v bezpečnostní bráně nebo v rámci bezpečnostní brány (tj. spornou zadávací podmínku) chápou dodavatelé působící na relevantním trhu či odborné subjekty či instituce s dostatečným odborným zázemím.

50.         Úřad písemností č. j. ÚOHS-40158/2021/512/MHo ze dne 26. 11. 2021, písemností č. j. ÚOHS-40647/2021/512/MHo ze dne 1. 12. 2021 a písemností č. j. ÚOHS-42025/2021/512/MHo ze dne 9. 12. 2021 požádal dodavatele Trusted Network Solutions,a.s., IČO 26239701, se sídlem Žižkova 600, 664 01 Bílovice nad Svitavou, MyCom Solutions, s.r.o., IČO 28528948, se sídlem Prosecká 851/64, 190 00 Praha 9, Amenit s.r.o., IČO 25816888, se sídlem Žerotínova 2083/11, 741 01 Nový Jičín, Netfox s.r.o., 27574032, se sídlem Koněvova 65/2755, 130 00, Praha 3 – Žižkov, IT Prime s.r.o., IČO 28566602, se sídlem Herbenova 700/2, 709 00 Ostrava, C SYSTEM CZ a.s., IČO 27675645, se sídlem Otakara Ševčíka 840/10, 636 00 Brno, BeeInside s.r.o., Štěpánská 537/13, Nové Město, 120 00 Praha 2, Log - IT CZ, s.r.o., IČO 03379451, se sídlem Dejvická 401/42, 160 00 Praha 6, G - DATA servis,spol. s r.o., IČO 61063398, se sídlem Geologická 2, 152 00 Praha 5, IT Consulting CZ s.r.o., IČO 26217953, se sídlem Výsluní 332, 669 02 Suchohrdly, M Computers s.r.o., IČO 26042029, se sídlem Úlehlova 3100/10, 628 00 Brno, DATASYS s.r.o., IČO 61249157, se sídlem Jeseniova 2829/20, 130 00 Praha 3, amccomp s.r.o., IČO 26310082, se sídlem Křídlovická 947/20, 603 00 Brno, DCO s.r.o., IČO 28546962, se sídlem Na záhonech 728/56, 141 00 Praha 4 – Michle, a ADEON CZ s.r.o., IČO 26276038, se sídlem Tečovice 390, 763 02 Tečovice, o zaslání vyjádření k níže uvedeným dotazům týkajícím se veřejné zakázky:

1)      »Jak byste definovali pojem „bezpečnostní brána“, resp. z jakých konkrétních součástí (zařízení) se bezpečnostní brána skládá/může skládat? Je její součástí PC, který je k ní přímo připojen a na němž bude instalován software umožňující celkovou správu sítě a doplňující chybějící vlastnosti jiných prvků, či nikoliv?

2)      Jak chápete požadavek zadavatele na řešení „integrované v bezpečnostní bráně“ nebo „v rámci integrované bezpečnostní brány“ (tj. spornou zadávací podmínku)? Jde dle Vás o synonyma či je jeden z pojmů pojmem širším?«.

Těm společnostem, které na žádost Úřadu nereagovaly, zaslal Úřad urgence.

51.         Úřad písemností č. j. ÚOHS-44046/2021/512/MHo ze dne 23. 12. 2021 účastníkům správního řízení oznámil, že se ve správním řízení pokračuje.

52.         Usnesením č. j. ÚOHS-44107/2021/512/MHo ze dne 23. 12. 2021 Úřad správní řízení podle § 64 odst. 1 písm. e) správního řádu ve spojení s § 261 odst. 2 zákona přerušil s cílem ustanovení znalce, resp. znaleckého ústavu, za účelem vypracování písemného znaleckého posudku, zda nabídka navrhovatele splňuje požadavky zadavatele, a to ve vztahu k částem týkajícím se a) Centrálního systému správy školní sítě, b) Podpory NAT 66, 46, 64 pro IPv6 u firewallu (Integrovaná bezpečnostní brána) a c) Výkonu přepínačů LAN typ 1 a typ 2, a zodpovězení případných souvisejících otázek.

53.         Usnesením č. j. ÚOHS-09488/2022/512 ze dne 16. 3. 2022 Úřad ustanovil v daném správním řízení znalce – Ing. Josefa Kyncla, IČO 10587373, se sídlem Kaštanová 467/26, 586 05 Jihlava (dále jen „znalec“), obor znalecké činnosti: Kybernetika.

Úkolem znalce bylo vypracování znaleckého posudku ve věci odborného posouzení poskytnutých podkladů a následného zodpovězení dotazů:

1.      Ve vztahu k centrálnímu systému správy školní sítě:

a)      Definujte pojem „bezpečnostní brána“. Popište, z jakých konkrétních součástí (zařízení) se bezpečnostní brána skládá/může skládat?

b)      Je součástí bezpečnostní brány PC, který je k ní přímo připojen a na němž bude instalován předmětný software Extreme Management Network umožňující celkovou správu sítě a doplňující chybějící vlastnosti jiných prvků, či nikoliv? Svou odpověď zdůvodněte.

c)      Sdělte, jak chápete požadavek zadavatele na řešení „integrované v bezpečnostní bráně“ nebo „v rámci integrované bezpečnostní brány“ (tj. spornou zadávací podmínku)? Jde dle Vás o synonyma či je jeden z pojmů pojmem širším? Svou odpověď zdůvodněte.

d)      Uveďte, zda navrhovatel nabízí řešení zahrnující dodávku centrálního systému správy školní sítě, a to prostřednictvím jednotného webového rozhraní, které je integrováno v bezpečnostní bráně či v jejím rámci. Svou odpověď zdůvodněte.

e)      Uveďte, zda je řešení nabízené navrhovatelem založeno na softwarovém řešení mimo rámec bezpečnostní brány.

f)       Uveďte, zda předmětný požadavek na dodávku centrálního systému správy sítě, specifikovaný v příloze č. 1 „Technická specifikace předmětu zakázky vč. příloh“ zadávací dokumentace, konkrétně v dokumentu „PS02 – Konektivita“, v bodě 2.3.1 „Centrální systém správy sítě“, lze splnit v případě řešení, kdy není k bezpečnostní bráně přímo připojen PC s nainstalovaným softwarem Extreme Management Network umožňující celkovou správu sítě (resp. bez přímo připojeného PC k bezpečnostní bráně s jakýmkoliv bezpečnostním softwarem), prostřednictvím výrobků pouze jediného dodavatele nebo prostřednictvím kombinace komponent od různých výrobců.

g)      Sdělte, zda umožňuje řešení předložené navrhovatelem ucelenou správu sítě z jednoho místa. Uveďte, zda dané řešení lze považovat za vzájemně mezi sebou komunikující celek.

h)      Sdělte, zda řešení nabízené navrhovatelem v nabídce a specifikované navrhovatelem v jeho sdělení ze dne 14. 1. 2021 lze považovat za rovnocenné ve vztahu k řešení, kdy k bezpečnostní bráně není přímo připojen PC s nainstalovaným softwarem Extreme Management Network umožňujícím celkovou správu sítě, a to i ve vztahu k zajištění bezpečnostních funkcí dodávaného řešení. Specifikujte případné rozdíly (např. výhody, nevýhody, rizika) těchto řešení.

2.      Ve vztahu k podpoře NAT 66, 46, 64 pro IPv6 u firewallu (Integrovaná bezpečnostní brána):

a)      Sdělte, zda nabízené řešení uvedené v nabídce (tj. řešení nesplňující požadavek na podporu NAT 66, 46, 64 pro IPv6) a upgradované řešení splňující požadavek na podporu NAT 66, 46, 64 pro IPv6 jsou odlišné produkty, které mohou být na trhu nabízeny paralelně; jinými slovy, zda se v případě upgradovaného řešení jedná o jiný produkt než ten, který byl uveden v nabídce?

b)      Lze považovat doplnění podpory NAT 66 u uvedeného výrobku za změnu hardware či software?

3.      Ve vztahu k výkonu přepínačů LAN typ 1 a typ 2:

a)      Sdělte, jakého přepínacího výkonu v Mpps dosahují navrhovatelem dodávané LAN přepínače (typ 1 a typ 2). Svůj závěr odůvodněte (např. pomocí výpočtu).

b)      Sdělte, zda navrhovatelem dodávané LAN přepínače (typ 1 a typ 2) splňují parametry požadované zadavatelem, a to výkon přepínačů v Mpps. Svůj závěr odůvodněte.

c)      Sdělte, zda se výpočet přepínacího výkonu v Mpps liší při různých velikostech rámce (paketu). Zvyšuje se přepínací výkon v Mpps při použití minimální velikosti rámce (paketu)?

d)      Pokud by byla pro výpočet přepínacího výkonu v Mpps použita velikost rámce (paketu) 64 B, jaký by byl přepínací výkon dodávaných LAN přepínačů (typ 1 a typ 2).

Znalci bylo v rámci daného usnesení rovněž uloženo, aby znalecký posudek ve 2 vyhotoveních podal Úřadu do 30. 4. 2022.

54.         Dne 21. 3. 2022 Úřad účastníkům řízení prostřednictvím přípisu „Sdělení o ustanovení znalce“ č. j. ÚOHS-09836/2022/512 z téhož dne oznámil, že v daném zadávacím řízení na veřejnou zakázku byl ustanoven znalec k vypracování znaleckého posudku, přičemž účastníky řízení rovněž seznámil s kompletním zněním otázek pro znalce.

55.         Dne 3. 5. 2022 byl Úřadu doručen ve dvou vyhotoveních znalecký posudek č. 3/2368/2022 (dále jen „znalecký posudek“), který si od znalce nechal Úřad vypracovat na základě usnesení č. j. ÚOHS-09488/2022/512 ze dne 16. 3. 2022.

56.         Písemností č. j. ÚOHS-18376/2022/512 ze dne 31. 5. 2022 Úřad požádal znalce o doplnění jeho odpovědi na dotaz evidovaný pod č. 1 d) výroku usnesení č. j. ÚOHS-09488/2022/512 ze dne 16. 3. 2022, a to z důvodu, že v odpovědi neshledal jednoznačné zodpovězení dotazu, zda navrhovatel nabízí řešení zahrnující dodávku centrálního systému správy školní sítě, a to prostřednictvím jednotného webového rozhraní, které je integrováno v bezpečnostní bráně či v jejím rámci, neboť odpověď znalce neobsahuje sdělení, zda je předmětné řešení (konkrétní řešení nabízené navrhovatelem) integrováno v bezpečnostní bráně či v jejím rámci. Dodatek znaleckého posudku byl Úřadu doručen dne 8. 6. 2022.

57.         Úřad písemností č. j. ÚOHS-19582/2022/512 ze dne 9. 6. 2022 účastníkům správního řízení oznámil, že se ve správním řízení pokračuje.

58.         Usnesením č. j. ÚOHS-19633/2022/512 ze dne 10. 6. 2022 Úřad účastníkům řízení stanovil lhůtu, v níž se mohli vyjádřit k podkladům rozhodnutí. Usnesením č. j. ÚOHS-19836/2022/512 ze dne 13. 6. 2022 Úřad lhůtu pro vyjádření k podkladům účastníkům řízení prodloužil.

59.         Rozhodnutím č. j. ÚOHS-19892/2022/512 ze dne 14. 6. 2022 Úřad přiznal znalci znalečné.

Znalecký posudek

60.         K dotazu Úřadu pod č. 1 a) znalec uvedl »Jak již bylo v předchozích kapitolách tohoto znaleckého posudku podrobně popsáno a uvedeno pojem „Bezpečnostní brána“ (častěji též „Firewall“) je typický kontrolní hraniční mechanismus často označovaný jako tzv. „perimetr obrany“. Účelem firewallu je zabránit neoprávněnému přístupu do vyhrazené sítě resp. z okolních sítí, omezením odchozího a příchozího provozu vyhrazené sítě. Všechna příchozí a odchozí data dané sítě tedy procházejí firewallem, který podrobně zkoumá každý paket a blokuje ty pakety, které nesplňují nastavená bezpečnostní kritéria. Firewally mohou být implementovány jako čistě hardwarové či softwarové nebo jako kombinace obou platforem. [Citace SHINDER, T. W.: The Best Damn Firewall Book Period (2nd Edition). Syngress Publishing, Inc. 2007. ISBN: 9784-59749-218-8]

Uvedené tři kategorie však nepředstavují tři zcela nezávislé jednotky, ale naopak navzájem spolupracující jednotky. Většina moderních firewallů totiž integruje všechny tři výše uvedené funkcionality v jednom fyzickém zařízení, a to z důvodu celkového zlepšení funkčnosti a případně i výkonnosti firewallu.

„Bezpečnostní brána“ je - jak již z názvu vypovídá - sama o sobě bezpečnostně kritickým zařízením nejčastěji umístěným na hraničním bodě sítí a je vnímána jako rozhraní mezi vnější sítí (veřejným internetem) a vnitřní sítí (neveřejným intranetem), přičemž propouští jedním nebo druhým směrem data podle určitých předem definovaných pravidel. Brání tak zejména před neoprávněnými průniky do sítě a odesílání dat ze sítě bez vědomí a souhlasu správce/uživatele.«.

61.         K dotazu Úřadu pod č. 1 b) znalec uvedl »(…) „Bezpečnostní brána“ - je aktivní síťový prvek, od kterého očekáváme, že bude naplňovat účinný kontrolní hraniční mechanismus často označovaný jako tzv. „perimetr obrany“. Jak již z názvu vypovídá, má „Bezpečnostní brána“ sama o sobě charakter bezpečnostně kritického (HW/SW) zařízení, proto tak musí být provozována redundantně v režimu vysoké dostupnosti. Jakákoli vedlejší komponenta, která není integrální součástí (tedy v dotazovaném případě PC) popírá základní vlastnost takové brány, např. z důvodu oddělených bezpečnostních aktualizací firmwarů/operačních systémů, které neposkytuje přímo výrobce dané brány«.

62.         K dotazu Úřadu pod č. 1 c) znalec uvedl »(…) požadavek „integrované v bezpečnostní bráně“ považuji za užší přísnější vymezení požadavku „v rámci integrované bezpečnostní brány“. Pokud bychom měli striktně odpovědět na výše uvedený dotaz bez širšího kontextu, tak dle mého odborného názoru je opravdu pojem „v rámci integrované bezpečnostní brány“ pojmem širším, nicméně toto slovní vyjádření je dle mého názoru nutné vnímat v celkovém významu zadání, kde zadavatel požaduje«.

63.         K dotazu Úřadu pod č. 1 d) znalec uvedl »(…) dodavatelem nabízené řešení založené na SW řešení Extreme Network Management splňuje požadavek „Centrální systém správy sítě“, ne však za využití lokálního GUI (grafického rozhraní) provozovaného přímo na bezpečnostním prvku Hillstone SG 6000-E 5600, ale s nutností pro rutinní „Centrální systém správy sítě“ vždy využít instalovaného rezidentního klienta (na SW řešení) Extreme Network Management spuštěného na PC přímo připojeného k „Bezpečnostní bráně“. Požadavek "integrováno v bezpečnostní bráně“ chápu tak, že není potřeba další rezidentní aplikace v PC k tomu, abychom mohli centrálně spravovat prvky sítě, protože už je součástí zařízení „bezpečnostní brána“.«.

64.         K dotazu Úřadu pod č. 1 e) znalec uvedl »(…) dodavatelem nabízené řešení založené na SW řešení Extreme Network Management splňuje požadavek „Centrální systém správy sítě“, ne však za využití lokálního GUI (grafického rozhraní) provozovaného přímo na bezpečnostním prvku Hillstone SG 6000-E 5600, ale s nutností pro „Centrální systém správy sítě“ využít instalovaného rezidentního klienta (na SW řešení) Extreme Network Management spuštěného na PC přímo připojeného k „Bezpečnostní bráně“.«.

65.         K dotazu Úřadu pod č. 1 f) znalec uvedl »(…) když by byla požadována implementace „Centrální systém správy sítě“ bez přímo připojeného PC, pak musí být možné bezpečnostní bránu a další aktivní prvky předmětné lokální sítě spravovat pomocí lokálního GUI (grafického rozhraní) provozovaného přímo na bezpečnostní bráně. Obvykle pak bývá podmínkou, že všechny prvky sítě by měly od stejného výrobce. Využití takovéto implementace je obecně níže uvedenými výrobci nabízeno, ze zkušenosti však nelze bez realizace provozních testů hromadně uvést, že takto lze spravovat jakýkoli aktivní prvek (starší verze). Např. to mohou být výrobci aktivních síťových prvků Fortinet https://www.fortinet.com, Sophos https://www.sg135.com, Ubiquity https://www.ui.com, Zyxel https://www.zyxel.com i další. U těchto uvedených výrobců vycházím z veřejně dostupných zdrojů, resp. z volně publikovaných dokumentací již realizovaných školních sítí v ČR.«.

66.         K dotazu Úřadu pod č. 1 g) znalec uvedl »(…) dle mého názoru navrhovatelem předložené řešení prostřednictvím instalovaného rezidentního klienta Extreme Network Management spuštěného na PC přímo připojeného k „Bezpečnostní bráně“, umožňuje centrální správu všech dodávaných komponent sítě (bezpečnostní brány, přepínače, bezdrátové přístupové body) pomocí SNMP (vl, v2 a v3) a REST API. Bez realizace provozních testů však nelze hromadně uvést, že takto lze spravovat jakýkoli aktivní prvek (jsou známy případy nekompatibility některých výrobců aktivních prvků).

Pozn. V případě, že je zamýšlen trvalý provoz technického zařízeni (PC) v režimu 24/7, pak se dle mého názoru už nejedná o PC, ale o SERVER z hlediska režimu provozu.«.

67.         K dotazu Úřadu pod č. 1 h) znalec uvedl

»(…) A/ Závěr zjištění k původní nabídce navrhovatele (podání nabídek 9. 11. 2020 10:00 hod)

Ve výše citované nabídce je na listech 24, a 27 uváděn typ bezpečnostního prvku

Hillstone SG 6000-E 5600

V technické příloze na listu 49 jsou pak specifikovány bezpečnostní prvky

Hillstone SG 6000-E 5260

Hillstone SG 6000-E 5660

Hillstone SG 6000-E 5760

Hillstone SG 6000-E 5960

Jedná se dle mého názoru o nejednoznačnou specifikaci předmětu dodávky.

B/ Zjištění k v jeho sdělení navrhovatele ze dne 14. 1. 2021

Dle mého názoru pro zajištění požadovaných funkcí je nutné, aby portfolio produktů Extreme Networks rezidentně poběží na stanici/ server přímo připojené do Firewallu a pomocí Protokolu Rest API.«.

68.         Znalec dále zodpověděl dotazy označené č. 2. a 3.

Dodatek znaleckého posudku ze dne 6. 6. 2022

69.         V reakci na žádost Úřadu ze dne 31. 5. 2022 (viz bod 56. odůvodnění tohoto rozhodnutí) doručil znalec Úřadu dne 8. 6. 2022 dodatek znaleckého posudku ze dne 6. 6. 2022 (dále jen „dodatek znaleckého posudku“), v němž uvádí následující:

›V kapitole 6.4.1 na str. 30 posudku č. 3/2368/2022 doplňuji třetí odstavec (před kap. 6.5) »Řešení nabízené navrhovatelem s využitím rezidentní aplikace Extreme Network Management spuštěné na PC přímo připojeném k „Bezpečnostní bráně“ nesplňuje podmínku „integrováno v bezpečnostní bráně ani v jejím rámci“. Řešení nabízí centrálního systém správy školní sítě integrovaný s bezpečnostní bránou s využitím bezpečnostního prvku „Hillstone SG 6000-E 5600", jehož typ nelze ověřit. «

V kap. 4.1.1.3 (str. 18) je vymezen pojem „v rámci integrované bezpečnostní brány".

V kap. 4.1.1.8 (str. 23) je vymezen pojem „integrovaný s bezpečnostní bránou", pak je upozornění na chybu specifikace „Ve předmětné nabídce je na listech 24, a 27 uváděn typ bezpečnostního prvku „Hillstone SG 6000-E 5600". V technické příloze na listu 49", je uveden pouze typ „Hillstone SG 6000-E 5660" - nesoulad specifikace předmětu dodávky.‹.

 

Vyjádření navrhovatele k podkladům rozhodnutí ze dne 24. 6. 2022

70.         Navrhovatel se k podkladům rozhodnutí vyjádřil ve svém vyjádření ze dne 24. 6. 2022, jež Úřad obdržel téhož dne.

71.         Navrhovatel se v prvé řadě vyjadřuje k dotazům ze strany Úřadu a výčtu podkladů a zdrojů uvedených v čl. 2 znaleckého posudku Ing. Kyncla. Ve vztahu k výčtu podkladů dle čl. 2 znaleckého posudku Ing. Kyncla má navrhovatel za to, že absentují standardizované dokumenty týkající se sporných otázek, jako např. IETF dokumenty RFC, případně IEEE standardy, na které navrhovatel opakovaně v rámci správního řízení odkazoval, zatímco se ve výčtu podkladů objevují webové stránky společností Equica, a.s. či ProtelPro, spol. s r.o., které se pro řešenou otázku jeví jako irelevantní.

72.         Navrhovatel upozorňuje, že Úřad měl dle druhostupňového rozhodnutí v prvé řadě objasnit, co se rozumí bezpečnostní bránou, a k tomu např. požádat autora dřívějšího znaleckého posudku o doplnění, popř. si nechat zpracovat vlastní znalecký posudek. Úřad se ale obrátil na „nového“ znalce Ing. Kyncla s dotazy k objasnění sporných zadávacích podmínek, následně jej požádal o doplnění (vypracování dodatku) posudku, avšak autora dřívějšího znaleckého posudku, RNDr. Jiřího Bartoše, Ph.D., nikterak nevyzval k doplnění či vysvětlení některých závěrů. A to navíc za situace, kdy se oba znalci v určitých odpovědích neshodují.

73.         Navrhovatel se dále vyjadřuje k odpovědím znalce Ing. Kyncla k otázkám č. 1 a) až 1 h). Znalec Ing. Kyncl následně označuje PC připojený k bezpečnostní bráně za tzv. servisní doplněk a dále pak uvádí, že PC připojený k bezpečnostní bráně asi nebude její součástí. Navrhovatel k tomuto uvádí, také s odkazem na předchozí znalecký posudek, že jednoznačná (univerzální či zadavatelem provedená) definice bezpečnostní brány neexistuje a vždy je definice závislá na dalších součástech. Znalec rovněž k otázce významu pojmů „integrované v bezpečnostní bráně“ a „v rámci integrované bezpečnostní brány“ v posudku připouští, že druhý z uvedených může být pojmem širším, avšak v kontextu požadavků zadavatele má za to (tj. prezentuje jeden z více možných závěrů), že zadavatel požadoval, aby danými schopnosti disponovala samotná brána bez závislosti na externím zařízení.

74.         Navrhovatel upozorňuje, že znalec Ing. Kyncl opakovaně zmiňuje „lokální GUI“, avšak požadavek na lokální GUI (grafické rozhraní) není v zadávacích podmínkách uveden, tedy zjevně vychází z chybného seznámení se se zadávacími podmínkami. Posuzování, zda nabízené řešení disponuje lokálním GUI tak odporuje § 36 odst. 3 zákona, není-li tato podmínka v zadávací dokumentaci ani jejím vysvětlení vyjádřená.

75.         K druhému dotazu ve vztahu k podpoře NAT 66, 46, 64 pro IPv6 u firewallu a k třetímu dotazu na výkon LAN přepínačů, navrhovatel sděluje, že znalecký posudek potvrzuje, že nabídka navrhovatele splňuje zadávací podmínky.

76.         Navrhovatel s ohledem na výše uvedené navrhuje, aby Úřad v zájmu zásady materiální pravdy požádal o vysvětlení či doplnění znaleckého posudku také RNDr. Jiřího Bartoše, Ph.D., případně zajistil revizní znalecký posudek, který by odstranil některé přetrvávající rozpory mezi jednotlivými znaleckými posudky (co do otázky centrální správy školní sítě).

77.         Navrhovatel v závěru svého vyjádření Úřadu navrhuje uložení nápravného opatření spočívajícího ve zrušení rozhodnutí zadavatele o jeho vyloučení ze dne 29. 4. 2021.

 

Vyjádření zadavatele k podkladům rozhodnutí

78.         Zadavatel se k podkladům rozhodnutí vyjádřil ve svém vyjádření ze dne 24. 6. 2022, jež Úřad obdržel téhož dne.

79.         Zadavatel se plně ztotožňuje se závěry znaleckého posudku v části týkající se centrální správy školní sítě.

80.         Pokud jde o podporu NAT 66, zadavatel sděluje, že ke dni podání nabídky firewall požadovanou funkcí nedisponoval.

81.         K otázce přepínacího výkonu v Mpps zadavatel uvádí, že znalecký posudek předkládá odpovědi na nevhodně formulované dotazy a opomíjí fyzické nastavení nabízených zařízení. Nabízené přepínače tak nemohou dosáhnout požadovaného přepínacího výkonu.

IV.          ZÁVĚRY ÚŘADU

82.         Úřad přezkoumal na základě § 248 a následujících ustanovení zákona případ ve všech vzájemných souvislostech, a po zhodnocení všech podkladů, zejména dokumentace o zadávacím řízení, vyjádření předložených účastníky řízení, obsah znaleckého posudku a jeho dodatku a na základě vlastního zjištění rozhodl podle § 265 písm. a) zákona o zamítnutí návrhu navrhovatele, neboť nebyly zjištěny důvody pro uložení nápravného opatření. Ke svému rozhodnutí Úřad uvádí následující rozhodné skutečnosti.

Relevantní ustanovení zákona

83.         Podle § 6 odst. 1 zákona zadavatel při postupu podle tohoto zákona musí dodržovat zásady transparentnosti a přiměřenosti.

84.         Podle § 28 odst. 1 písm. a) zákona se pro účely tohoto zákona rozumí zadávacími podmínkami veškeré zadavatelem stanovené

1. podmínky průběhu zadávacího řízení,

2. podmínky účasti v zadávacím řízení,

3. pravidla pro snížení počtu účastníků zadávacího řízení nebo snížení počtu předběžných nabídek nebo řešení,

4. pravidla pro hodnocení nabídek,

5. další podmínky pro uzavření smlouvy na veřejnou zakázku podle § 104.

85.         Podle § 28 odst. 1 písm. b) zákona se pro účely tohoto zákona zadávací dokumentací rozumí veškeré písemné dokumenty obsahující zadávací podmínky, sdělované nebo zpřístupňované účastníkům zadávacího řízení při zahájení zadávacího řízení, včetně formulářů podle § 212 zákona a výzev uvedených v příloze č. 6 k tomuto zákonu.

86.         Podle § 46 odst. 1 zákona zadavatel může pro účely zajištění řádného průběhu zadávacího řízení požadovat, aby účastník zadávacího řízení v přiměřené lhůtě objasnil předložené údaje, doklady, vzorky nebo modely nebo doplnil další nebo chybějící údaje, doklady, vzorky nebo modely. Zadavatel může tuto žádost učinit opakovaně a může rovněž stanovenou lhůtu prodloužit nebo prominout její zmeškání.

87.         Podle § 48 odst. 1 zákona zadavatel může vyloučit účastníka zadávacího řízení pouze z důvodů stanovených tímto zákonem, a to kdykoliv v průběhu zadávacího řízení.

88.         Podle § 48 odst. 2 písm. a) zákona může zadavatel vyloučit účastníka zadávacího řízení, pokud údaje, doklady, vzorky nebo modely předložené účastníkem zadávacího řízení nesplňují zadávací podmínky nebo je účastník zadávacího řízení ve stanovené lhůtě nedoložil.

89.         Podle § 48 odst. 2 písm. c) zákona může zadavatel vyloučit účastníka zadávacího řízení, pokud údaje, doklady, vzorky nebo modely předložené účastníkem zadávacího řízení neodpovídají skutečnosti a měly nebo mohou mít vliv na posouzení podmínek účasti nebo na naplnění kritérií hodnocení.

90.         Podle § 48 odst. 11 zákona zadavatel odešle bezodkladně účastníkovi zadávacího řízení oznámení o jeho vyloučení s odůvodněním.

91.         Podle § 89 odst. 1 písm. a) zákona technické podmínky jsou požadavky na vlastnosti předmětu veřejné zakázky, které zadavatel stanoví prostřednictvím parametrů vyjadřujících požadavky na výkon nebo funkci, popisu účelu nebo potřeb, které mají být naplněny.

92.         Podle § 245 odst. 1 zákona zadavatel do 15 dnů od doručení námitek odešle rozhodnutí o námitkách stěžovateli. V rozhodnutí uvede, zda námitkám vyhovuje nebo je odmítá; součástí rozhodnutí musí být odůvodnění, ve kterém se zadavatel podrobně a srozumitelně vyjádří ke všem skutečnostem uvedeným stěžovatelem v námitkách.

93.         Podle § 265 písm. a) zákona Úřad návrh zamítne, pokud nebyly zjištěny důvody pro uložení nápravného opatření.

Skutečnosti vyplývající z dokumentace o zadávacím řízení

94.         V bodu 5.2. „Popis předmětu veřejné zakázky“ zadávací dokumentace je k části 1 veřejné zakázky „Infrastruktura a vnitřní konektivita školy“ uvedeno, že „předmětem plnění v části 1 VZ je vybudování nových rozvodů strukturované kabeláže v budově prvního stupně ZŠ – ulice Školní č. p. 278 a v budově druhého stupně ZŠ – ulice Školní č. p. 300. Předmětem prací je vybudování slaboproudých rozvodů strukturované kabeláže z komponentů Cat6A pro lokální počítačovou síť (LAN) ve dvou výše uvedených samostatných objektech školy. Předmětem prací bude vybudování fyzické vrstvy, tzn. pasivní části sítě včetně kabelových tras a osazení datových rozvaděčů (podrobně viz PS3), vybudování zásuvek 230 V v místech pracovních míst s počítačem a napájení datových rozvaděčů. Předmětem je doplnění stávajících rozvodů NN ve výše uvedených objektech – nejedná se o rekonstrukci rozvodů NN (podrobně viz PS3 a PS6 v příloze č. 01 ZD).

Součástí plnění v části 1 VZ je dále zajištění vnitřní konektivity školy spočívající v dodávce řešení pro budoucí dobudování nebo kompletně nové vybudování LAN sítě vč. WLAN (bezdrátové sítě) a řešení pro budoucí vybavení vnitřní LAN / WLAN (podrobně viz PS2 v příloze č. 01 ZD) vč. řešení bezpečnosti sítí a potřebného SW vybavení.

(…)

Část 1 VZ zahrnuje věcně související plnění části veřejné zakázky, které je přímo podmíněno návrhem LAN / WLAN sítí s přímým dopadem na vybudování rozvodů strukturované kabeláže a rozvodů NN. Návrh LAN / WLAN sítí zároveň podmiňuje řešení vnitřní konektivity, a to na úrovni HW i SW řešení.“.

95.         V příloze č. 1 „Technická specifikace předmětu zakázky vč. příloh“ zadávací dokumentace, konkrétně v dokumentu „PS02 – Konektivita“, je na straně 10 v bodě 2.3.1 „Centrální systém správy sítě“ uvedeno: „Je navržen a vyžadován centrální systém správy sítě a to prostřednictvím jednotného webového rozhraní, které je integrováno v bezpečnostní bráně pro následující komponenty sítě:

- Integrovaná bezpečnostní brána

- LAN přepínače

- Bezdrátové přístupové body.“.

Pod výše uvedeným požadavkem zadavatele je zveřejněna tabulka nazvaná „Centrální systém správy školní sítě (povinné parametry)“, jejíž bod 1 je popsán takto: „Centrální systém správy sítě musí umožnit zabezpečenou správu, plnou konfiguraci a monitorování současně pro všechny poptávané komponenty sítě (bezpečnostní brány, přepínače, bezdrátové přístupové body) a to prostřednictvím jednotného integrovaného webového rozhraní v rámci integrované bezpečnostní brány.“.

96.         Navrhovatel ve své nabídce, konkrétně v části nabídky „Sledování provozu a ukládání záznamů o provozu bezpečnostního prvku“ nabídl následující řešení: „Hillstone SG 6000-E 5600 + Gray Log + Extreme Network Management Suite“.

97.         Dokumentem „Žádost a doplnění a objasnění údajů v nabídce dle § 46 ZZVZ“ ze dne 11. 1. 2021 požádal zadavatel navrhovatele mj. o následující vysvětlení:

„Účastník vysvětlí, zda je v rámci nabídky použita Integrovaná bezpečnostní brána, která umožní konfiguraci a správu ostatních aktivních prvků v síti (přepínače, bezdrátové přístupové body) bez použití dalších nadstavbových prvků, a detailně popíše jak tuto funkcionalitu nabízené řešení splňuje, a to v souladu s technickým řešením požadovaným zadávací dokumentací. Vysvětlení bude poskytnuto k funkcionalitám nabízeného řešení k datu podání nabídky.“.

98.         Ve sdělení navrhovatele ze dne 14. 1. 2021, jež tento zaslal zadavateli na jeho žádost ze dne 11. 1. 2021, je mj. uvedeno následující:

„Součásti dodávky bude i software americké firmy Extreme Networks, Extreme Network Manager, který bude instalován na PC přímo připojeného k Bezpečnostní Bráně. Tento software umožnuje celkovou správu sítě a doplňuje chybějící vlastnosti jiných prvků. Program bude sloužit jako sběrný bod síťových záznamů a bude je překládat do „lidského jazyka“ – přehledných grafů a tabulek. Dále umožní konfiguraci všech síťových prvků pod jednotným managementem pomocí protokolu Rest API a SMNP, výhodou tohoto SW je to, že není omezený pouze na jednu značku, ale funguje napříč celým spektrem výrobců síťových prvků. Umožní v určitém směru automatizovat opakující se úlohy jenž by jinak musel dělat síťový administrátor. SW si sám „očichá“ síť a ze zjištěných prvků je pak možné vytvořit přehledný nákres sítě, který ulehčí orientaci a správu síťových prvků. Navíc má i určitou možnost správy virtuálních Stanic.

Bod č. 1

Extreme Management Network (dále EMN) poběží na stanici/server přímo připojené do Firewallu a pomocí Protokolu Rest API (Protokol dovolující komunikaci a posílání dat přes HTTP s hlavičkou Rest API) dovoluje monitoring a konfiguraci sítě pod jednotným webovým rozhraním. Žádný výrobce nemusí deklarovat podporu tohoto konkrétního produktu, protože stačí podpora protokolu http + SMNP, což má v dnešní době většina síťových produktů.“.

99.         V rozhodnutí o vyloučení je uvedeno, že zadavatel vylučuje navrhovatele ze zadávacího řízení podle § 48 odst. 2 písm. a) a c) zákona pro nesplnění technických podmínek dle § 89 zákona, předložení nabídky obsahující řešení, které nesplňuje zadávací podmínky, předložení údajů v nabídce, které neodpovídaly skutečnosti a měly nebo mohly mít vliv na posouzení podmínek účasti, a pro materiální změnu nabídky.

100.     V rozhodnutí o vyloučení odkazuje zadavatel mimo jiné na výše citovaný bod 2.3.1 obsažený v příloze č. 1 „Technická specifikace předmětu zakázky“ uvedené v dokumentu PS02 – Konektivita a dává jej do kontrastu s dokumenty „Odpověď na žádost o doplnění a objasnění údajů v nabídce“ ze dne 15. 4. 2021 a dne 20. 4. 2021, které obdržel od navrhovatele jako reakci na svou „Žádost o doplnění a objasnění údajů v nabídce dle § 46 ZZVZ“ ze dne 12. 4. 2021 a dne 19. 4. 2021, když v prvně jmenované žádosti se právě konkrétně dotazoval, zda splňuje nabídka navrhovatele jeho požadavky na

a)      zabezpečenou správu současně pro všechny poptávané komponenty sítě (bezpečnostní brány, přepínače, bezdrátové přístupové body), tj. umožňuje ji bez použití dalších SW komponent třetích stran,

b)      plnou konfiguraci současně pro všechny poptávané komponenty sítě (bezpečnostní brány, přepínače, bezdrátové přístupové body), tj. umožňuje ji bez použití dalších SW komponent třetích stran,

c)      monitorování současně pro všechny poptávané komponenty sítě (bezpečnostní brány, přepínače, bezdrátové přístupové body), tj. umožňuje ji bez použití dalších SW komponent třetích stran

prostřednictvím jednotného integrovaného webového rozhraní v rámci integrované bezpečnostní brány.

101.     V rozhodnutí o vyloučení zadavatel konstatoval, že ani opakované objasnění nabídky předložené navrhovatelem nerozptýlilo jeho domněnku, že navrhovatelem není nabízeno řešení zahrnující dodávku centrálního systému správy sítě, a to prostřednictvím jednotného webového rozhraní, které je integrováno v bezpečnostní bráně. Zadavatel na základě předložených skutečností konstatoval, že řešení nabízené navrhovatelem je založeno na centrálním systému správy sítě (řešení Extreme Network Manager), který je integrován s bezpečnostní bránou (firewall Hilstone) a dalšími komponentami, a to nikoli v bezpečnostní bráně nebo v jejím rámci.

102.     Zadavatel v rozhodnutí o vyloučení rozvedl, že „pro zabezpečenou správu, plnou konfiguraci a monitorování poptávaných komponent sítě účastník nabízí řešení postavené na samostatném SW řešení (Extreme Network Management), které je s jednotlivými komponentami navrženého řešení provázáno prostřednictvím rozhraní založeného na veřejných protokolech (REST, SNMP). Tento produkt (Extreme Network Management) však není integrován v bezpečnostní bráně, tj. v nabízeném firewallu (je s ní provázán prostřednictvím veřejně popsaného rozhraní, nikoli v ní integrován) a zároveň není žádným z výrobců komponent podporován. Zadavatel nerozporuje, že nabízené řešení (Extreme Network Management) může umožňovat konfiguraci a monitoring zařízení pomocí standardu REST API/SNMP pro zařízení výrobců, kteří veřejně publikují technické parametry svého rozhraní – nejedná se však o řešení integrované v nabízeném firewallu. Zároveň zadavatel musí konstatovat, že v případě řešení, které není výrobci jednotlivých komponent podporováno, může existovat riziko (dočasné) nefunkčnosti požadovaných bezpečnostních funkcí, kdy výrobce nepodporovaného řešení reaguje na provedené změny na rozhraní jednotlivých prvků až ve vazbě na zveřejněnou (aktualizovanou) technickou dokumentaci popisující změny a nikoli na základě spolupráce s výrobcem daného prvku před provedením změn. V rámci objasnění nabídky ze dne 20. 4. 2021 účastník sice uvedl, že „k (těmto) zásadním změnám (změně rozhraní na straně výrobce) u výrobců firewallů, switchů a wifi nedochází“, toto své tvrzení však nijak nedokládá ani nekonkretizuje a zadavatel je tak musí odmítnout jako neprokázané a nepodložené. Obdobně může dojít i ke změně řešení vlastního SW Extreme Network Management, kdy by výrobce tohoto řešení mohl jednoduše upustit od podpory dodaných komponent bez jakékoli možnosti nápravy takového kroku ze strany zadavatele nebo účastníka.“.

103.     Zadavatel v rozhodnutí o vyloučení k výše popsané problematice uzavřel, že nabízené řešení nesplňuje požadavek na centrální systém správy sítě, který je integrován v bezpečnostní bráně nebo v jejím rámci. Nabídka navrhovatele je tak dle zadavatele v rozporu s § 48 odst. 2 písm. a) zákona, protože navrhovatelem nabízené plnění nesplňuje zadávací podmínky stanovené zadavatelem.

K výroku tohoto rozhodnutí

104.     Úřad primárně konstatuje, že mezi účastníky řízení je sporu o oprávněnosti vyloučení navrhovatele z účasti v šetřeném zadávacím řízení. Zatímco navrhovatel vyjadřuje přesvědčení, že splnil podmínky zadávacího řízení, a jeho vyloučení je tudíž nezákonné, zadavatel, z logiky věci, zaujímá názor diametrálně odlišný, když má za to, že všechna jím učiněná rozhodnutí v průběhu zadávacího řízení jsou souladná se zákonem.

105.     Konkrétně se navrhovatel vymezuje vůči rozhodnutí o vyloučení, které považuje za nezákonné, a rozhodnutí o námitkách, které má za nepřezkoumatelné. Úřad nejprve přistoupil k posouzení námitky navrhovatele týkající se dodržení zásady transparentnosti, absence bližšího odůvodnění a rovněž samotné oprávněnosti rozhodnutí o vyloučení.

106.     Podle komentáře k § 48 odst. 11 zákona (viz Vilém PODEŠVA, Lukáš SOMMER, Jiří VOTRUBEC, Martin FLAŠKÁR, Jiří HARNACH, Jan MĚKOTA a Martin JANOUŠEK. Zákon o zadávání veřejných zakázek: Komentář [Systém ASPI]. Wolters Kluwer) toto „ustanovení ukládá zadavateli povinnost odeslat účastníkovi, který byl ze zadávacího řízení vyloučen, bezodkladně oznámení o vyloučení. V souladu se zásadou transparentnosti musí být toto oznámení odůvodněno natolik, aby bylo z oznámení přezkoumatelné, na základě jakých skutečností a po uplatnění jakých úvah zadavatel dospěl k závěru o naplnění důvodů pro vyloučení zájemce.“.

107.     Rovněž podle komentáře k § 48 odst. 11 zákona (viz Dvořák, D., Machurek, T., Novotný, P., Šebesta, M. a kolektiv. Zákon o zadávání veřejných zakázek. Komentář. 1. vydání. Praha: Nakladatelství C. H. Beck, 2017, s. 1212. Systém Beck-online) platí: „Pokud zadavatel účastníka ze zadávacího řízení vyloučí, (…), je povinen bezodkladně odeslat vyloučenému účastníkovi oznámení o vyloučení. V oznámení musí být přitom vyloučení daného účastníka zadavatelem řádně odůvodněno. V odůvodnění by měl zadavatel tedy uvést zejména dle jakého konkrétního ustanovení ZVZ účastníka zadávacího řízení vylučuje a prokázat prostřednictvím konkrétních okolností a skutečností naplnění všech atributů a podmínek daného důvodu pro vyloučení.“.

108.     Úřad konstatuje, že zadavatel v rozhodnutí o vyloučení navrhovatele jednal v souladu se zákonem, když výslovně odkázal na zákonná ustanovení, a to § 48 odst. 2 písm. a) a c) zákona a návazně na § 89 zákona, kteréžto odkazy rozvedl slovně v úvodu rozhodnutí o vyloučení, jak je patrné na straně 2 nahoře rozhodnutí o vyloučení. Podrobněji pak zadavatel odůvodnil své přesvědčení o nezákonnosti nabídky navrhovatele pod body: A) Centrální systém správy školní sítě, B) Podpora NAT 66, 46, 64 pro IPv6 u firewallu, C) Výkon přepínačů LAN typ 1 a typ 2. V rámci každého z těchto bodů zadavatel konkrétně specifikoval, které aspekty z nabídky navrhovatele považuje za neodpovídající jeho zadávacím podmínkám. Úřad osvědčuje, že rozhodnutí o vyloučení je dostatečně konkrétní a srozumitelné, v souladu se základními zásadami zadávání veřejných zakázek dle § 6 zákona a dále, že obsahuje všechny náležitosti, které zákon klade na rozhodnutí o vyloučení.

109.     V neposlední řadě Úřad rovněž vyzdvihuje, že o skutečnosti, že předmětné rozhodnutí o vyloučení obsahuje relevantní důvody vyloučení a bylo dostatečně odůvodněno, svědčí i fakt, že navrhovatel byl schopen na jeho základě zformulovat řádně odůvodněné námitky, ve kterých polemizoval se závěry zadavatele uvedenými v rozhodnutí o vyloučení. Tento přístup odpovídá obecnému názoru, že rozhodnutí je přezkoumatelné (a tedy i dostatečně odůvodněné), pokud s ním lze vést řádnou polemiku (srov. rozsudek Krajského soudu v Brně ze dne 1. 7. 2020, č. j. 29 Af 31/2019-85, kde je v bodě 22 uvedeno: „… Nadto krajský soud uvádí, že žalobce v podané žalobě s argumenty předsedy ÚOHS, resp. žalovaného věcně polemizuje; je tak zřejmé, že jejich úvahám porozuměl.“). Navrhovatel byl tedy dostatečně vybaven argumenty zadavatele, které vedly k jeho vyloučení, o čemž svědčí i obsah jeho námitek a samotného návrhu, v nichž právě s konkrétními důvody svého vyloučení se zadavatelem polemizuje. Mohl se tak vůči konkrétním důvodům zadavatele vymezit, což také učinil. Rozhodnutí zadavatele o vyloučení navrhovatele tak Úřad s přihlédnutím k jeho podrobnému odůvodnění považuje za učiněné v souladu s § 48 odst. 11 zákona.

110.     Co se potom týče opodstatněnosti konkrétních důvodů, které zadavatel pod body A) až C) v rozhodnutí o vyloučení uvádí a které navrhovatel všechny jednotlivě a postupně napadá, Úřad nejprve přistoupil k posouzení prvního z nich uvedeného pod bodem A) Centrální systém správy školní sítě. Zadavatel v tomto případě navrhovatele vyloučil pro rozpor jeho nabídky s § 48 odst. 2 písm. a) zákona v návaznosti na § 89 zákona s odůvodněním, že nabídka navrhovatele nesplňuje požadavky zadavatele na technické podmínky plnění veřejné zakázky podle § 89 zákona. Konkrétně se jednalo o důvod, že navrhovatelem není nabízeno řešení zahrnující dodávku centrálního systému správy sítě, a to prostřednictvím jednotného webového rozhraní, které je integrováno v bezpečnostní bráně, resp. v jejím rámci. Zadavatel na základě předložených skutečností konstatoval, že řešení nabízené navrhovatelem je založeno na centrálním systému správy sítě (řešení Extreme Network Manager), který je integrován s bezpečnostní bránou (firewall Hilstone) a dalšími komponentami, a to nikoli v bezpečnostní bráně nebo v jejím rámci (viz bod 101. odůvodnění tohoto rozhodnutí).

111.     Navrhovatel naopak trvá na tom, že zadavatel přistupuje k nesprávnému (extenzivnímu) výkladu zadávacích podmínek. Má za to, že jeho řešení splňuje požadavky zadavatele stanovené v technické specifikaci, vč. požadavku - „Centrální systém správy sítě pomocí jednoho webového rozhraní“. Navrhovatel se domnívá, že pojem „v rámci integrované bezpečnostní brány“ je širším oproti pojmu „integrováno v bezpečnostní bráně“. Lze shrnout, že navrhovatel nepopírá, že nabízí řešení systému správy sítě, které není integrováno v bezpečnostní bráně. Zároveň však má za to, že jeho řešení stejně požadavkům zadavatele na centrální správu sítě dostojí. Navrhovatel je toho názoru, že předmětnou zadávací podmínku „Centrální systém správy sítě pomocí jednoho webového rozhraní“ lze interpretovat různě a splnit pomocí různých řešení, a proto není možné se v souladu s § 36 odst. 3 zákona a ustálenou rozhodovací praxí Úřadu omezit na jeden výklad. Naopak je zadavatel v takovém případě povinen použít výklad, který je ku prospěchu hospodářské soutěže, tj. vycházet z pojmu „v rámci integrované bezpečnostní brány“, jenž je dle navrhovatele pojmem širším.

112.     V návaznosti na výše shrnutá kontradiktorní přesvědčení zadavatele a navrhovatele ohledně inkriminované zadávací podmínky přistoupil Úřad k jejímu přezkumu a posouzení. Pro lepší přehlednost zde Úřad opakuje vymezení této zadávací podmínky, jak je citováno již v bodu 95. odůvodnění tohoto rozhodnutí. V příloze č. 1 „Technická specifikace předmětu zakázky vč. příloh“ zadávací dokumentace, konkrétně v dokumentu „PS02 – Konektivita“, je na straně 10 v bodě 2.3.1 „Centrální systém správy sítě“ uvedeno: „Je navržen a vyžadován centrální systém správy sítě a to prostřednictvím jednotného webového rozhraní, které je integrováno v bezpečnostní bráně pro následující komponenty sítě:

- Integrovaná bezpečnostní brána

- LAN přepínače

- Bezdrátové přístupové body.“.

Pod výše uvedeným požadavkem zadavatele je zveřejněna tabulka nazvaná „Centrální systém správy školní sítě (povinné parametry)“, jejíž bod 1 je popsán takto: „Centrální systém správy sítě musí umožnit zabezpečenou správu, plnou konfiguraci a monitorování současně pro všechny poptávané komponenty sítě (bezpečnostní brány, přepínače, bezdrátové přístupové body) a to prostřednictvím jednotného integrovaného webového rozhraní v rámci integrované bezpečnostní brány.“.

113.     Jak je z textu citovaného v předchozím odstavci patrné, zadavatel v řečeném bodě 2.3.1 definoval požadavek „centrální systém správy sítě a to prostřednictvím jednotného webového rozhraní, které je integrováno v bezpečnostní bráně“ (zvýrazněno Úřadem, pozn. Úřadu). Tento požadavek byl dále v tabulce v jejím bodě 1 specifikován tak, že „centrální systém správy sítě musí umožnit zabezpečenou správu, plnou konfiguraci a monitorování současně pro všechny poptávané komponenty sítě (…) a to prostřednictvím jednotného integrovaného webového rozhraní v rámci integrované bezpečnostní brány“ (zvýrazněno Úřadem, pozn. Úřadu). Úřad z textu ověřil, že požadavek na integraci v bezpečnostní bráně či v rámci bezpečnostní brány zadavatel prokazatelně vymezil.

114.     Jelikož je Úřad vázán právním názorem předsedy Úřadu vysloveným v druhostupňovém rozhodnutí, konkrétně v jeho bodu 57. odůvodnění, kde předseda Úřadu akcentuje, že „Úřad při novém posouzení věci zjistí skutkový stav do takové míry, že o něm nebudou důvodné pochybnosti. Při tomto postupu Úřad přihlédne ke konkrétním argumentům, které uvádí navrhovatel v rozkladu a provede materiální přezkum rozporovaných zadávacích podmínek. Na podporu svých tvrzení si Úřad může obstarat nové důkazy – vyjádření od odborných subjektů či institucí s dostatečným odborným zázemím, průzkum na relevantním trhu (a to v tom směru, jakým způsobem chápou spornou zadávací podmínku dodavatelé působící na relevantním trhu), případně požádá autora znaleckého posudku předloženého navrhovatelem o vysvětlení či doplnění předloženého znaleckého posudku dle ustanovení § 28 odst. 6 zákona č. 254/2019 Sb., o znalcích, znaleckých kancelářích a znaleckých ústavech, popř. si Úřad nechá zpracovat vlastní znalecký posudek. Úřad nemusí provést všechny výše navržené postupy za účelem řádného zjištění skutkové stavu. Úřad provede pouze takové postupy, které uzná za vhodné a které povedou k řádnému zjištění skutkového stavu.“, a jelikož Úřad seznal, že pro posouzení některých navrhovatelem namítaných kritérií technické kvalifikace je zapotřebí odborných znalostí, kterými oprávněné úřední osoby nedisponují, provedl Úřad šetření na relevantním trhu (viz bod 50. odůvodnění tohoto rozhodnutí). Na základě posouzení provedeného šetření však Úřad nezjistil skutkový stav do takové míry, že o něm nebyly důvodné pochybnosti. Úřad proto v šetřené věci v souladu se závazným právním názorem předsedy Úřadu ustanovil znalce k vypracování znaleckého posudku, aby mohl v uvedené věci rozhodnout (v podrobnostech v dalších částech odůvodnění tohoto rozhodnutí).

115.     Úřad obecně uvádí, že správní orgán provede důkaz znaleckým posudkem tam, kde je k posouzení skutečností významných pro zjištění skutkového stavu věci zapotřebí odborných znalostí, kterými oprávněné úřední osoby nedisponují. Správní orgán musí dbát o to, aby znalcem (znaleckým ústavem) byl ustanoven odborník z toho oboru, popřípadě z jeho odvětví, do něhož spadá odborné posouzení konkrétních skutečností; zadání musí formulovat tak, aby znalci nebylo ukládáno vyjadřovat se k otázkám, u nichž nejde o odborné posouzení skutečností, nýbrž o právní posouzení určitého skutkového stavu nebo o výklad právního předpisu. Toto považuje Úřad za splněné, když ani účastníci správního řízení ve svých vyjádřeních k podkladům rozhodnutí nezpochybňují samotnou odbornost znalce.

116.     Úřad konstatuje, že znalecký posudek (vč. jeho dodatku) z hlediska splnění formálních znaků posudku je přípustný, byl zpracován odborníkem z oboru, do něhož spadá odborné posouzení konkrétních skutečností, přičemž závěry uvedené ve znaleckém posudku Úřad považuje za jasné a vnitřně bezrozporné. Úřad tudíž shledal závěry znalce ve znaleckém posudku za způsobilé být součástí argumentace při právním posouzení projednávané věci. Úřad dále naznal, že závěry znalce nejsou v rozporu s žádnou jinou skutečností, která by byla Úřadem zjištěna z dokumentace o zadávacím řízení.

117.     Poté, co Úřad posoudil přípustnost znaleckého posudku coby důkazu, přistoupil s ohledem na odborné věcné závěry znalce v něm učiněné k posouzení navrhovatelem namítaného vyloučení ze zadávacího řízení.

118.     Úřad se nejdříve bude zabývat definicí pojmu „bezpečnostní brána“, na jejíž definici se dotázal pod otázkou č. 1 a) usnesení, jímž znalce ustanovil. Pokud jde o pojem „bezpečnostní brána“, uvádí znalec ve znaleckém posudku (viz body 60. a 61. odůvodnění tohoto rozhodnutí), že bezpečnostní brána »je aktivní síťový prvek, od kterého očekáváme, že bude naplňovat účinný kontrolní hraniční mechanismus často označovaný jako tzv. „perimetr obrany“. (…)« a »je - jak již z názvu vypovídá - sama o sobě bezpečnostně kritickým zařízením nejčastěji umístěným na hraničním bodě sítí a je vnímána jako rozhraní mezi vnější sítí (veřejným internetem) a vnitřní sítí, přičemž propouští jedním nebo druhým směrem data podle určitých předem definovaných pravidel. Brání tak zejména před neoprávněnými průniky do sítě a odesílání dat ze sítě bez vědomí a souhlasu správce/uživatele. (…)«. K právě řečenému Úřad zdůrazňuje tvrzení znalce, že jakákoli vedlejší komponenta, která není integrální součástí (tedy v šetřeném případě připojené PC), popírá základní vlastnosti bezpečnostní brány.

119.     Na str. 17 znaleckého posudku dále znalec specifikuje, že „Bezpečnostní bránu lze obecně chápat i jako soubor hardwarových a softwarových prostředků, pokud však nebylo na jiném místě zadávací dokumentace veřejné zakázky specifikováno jinak.“.

120.     K dotazu Úřadu pod č. 1 b), tedy zda je součástí bezpečnostní brány PC, který je k ní přímo připojen a na němž bude instalován předmětný software Extreme Management Network umožňující celkovou správu sítě a doplňující chybějící vlastnosti jiných prvků, či nikoliv, znalec uvádí »Jak již z názvu vypovídá, má „Bezpečnostní brána“ sama o sobě charakter bezpečnostně kritického (HW/SW) zařízení, proto tak musí být provozována redundantně v režimu vysoké dostupnosti. Jakákoli vedlejší komponenta, která není integrální součástí (tedy v dotazovaném případě PC) popírá základní vlastnost takové brány, např. z důvodu oddělených bezpečnostních aktualizaci firmwarů/operačních systémů, které neposkytuje přímo výrobce dané brány. (…)«. K právě řečenému Úřad zdůrazňuje tvrzení znalce, že jakákoli vedlejší komponenta, která není integrální součástí (tedy v šetřeném případě připojené PC), popírá základní vlastnosti bezpečnostní brány. Ve výsledku znalecké analýzy na str. 18 znaleckého posudku navíc znalec sděluje, že »PC přímo připojené k „Bezpečnostní bráně“ lze považovat za servisní doplněk „Bezpečnostní brány“, na kterém může běžet obslužný software (např. stahování stavových logů), ne však software řídící. Případný spolupracující bezpečnostní software instalovaný na PC ve formě různých agentů (rezidentního software na stanicích či serveru) může pouze doplňovat funkce bezpečnostní brány většinou ve formě sběru událostí, popřípadě rozšiřujících funkcí jako je hlídání stavů, VPN apod.«.

121.     Pokud jde o pojmy „integrováno v bezpečnostní bráně“ a „v rámci integrované bezpečnostní brány“, tedy o to, zda má některý z těchto pojmů rozšiřující význam, odkazuje Úřad na odpověď znalce k dotazu pod č. 1 c) (viz bod 62. odůvodnění tohoto rozhodnutí), ve které uvádí, že pojem „v rámci integrované bezpečnostní brány“ je pojmem širším, avšak tento pojem je nutno vnímat v celkovém významu zadání. Ve výsledku analýzy dat k citovanému dotazu však znalec na str. 18 a 19 znaleckého posudku odkazuje na „požadavek 3.4.3.2. Centrální systém správy sítě (povinné minimální parametry)“, v němž je uvedeno, že „Centrální systém správy sítě musí umožnit zabezpečenou správu, plnou konfiguraci a monitorování současně pro všechny poptávané komponenty sítě (bezpečnostní brány, přepínače, bezdrátové přístupové body), a to prostřednictvím jednotného integrovaného webového rozhraní v rámci integrované bezpečnostní brány“ (předmětný požadavek je uveden v bodu 95. odůvodnění tohoto rozhodnutí, pozn. Úřadu), a sděluje, že »slovní spojení „v rámci integrované bezpečnostní brány“ nemá rozšiřující význam, ale pouze je to odkaz na výše popsanou požadovanou vlastnost bezpečnostní brány, která má mít zaintegrovanou funkci jednotného webového rozhraní pro vyjmenované komponenty.

Dle mého názoru je ve výše uvedeném zvýrazněném textu (tj. znalcem shora citovaném požadavku na centrální systém správy sítě, který je uveden v bodu 95. odůvodnění tohoto rozhodnutí, pozn. Úřadu) jasně deklarován požadavek na management, který je součástí bezpečnostní brány, a připojení k němu lze zabezpečeně provádět z jakéhokoliv PC/serveru v chráněné síti prostřednictvím webového prohlížeče a nikoliv tak, že je nutná instalace nějaké rezidentní aplikace či její části na PC/server za účelem požadované správy a managementu bezpečnostní brány. Předmětnou chráněnou síť včetně jejích prvků musí být možné plnohodnotně spravovat pomocí lokálního GUI (grafického rozhraní) provozovaného přímo na bezpečnostní bráně bez nutnosti instalovat klienta na PC koncovou (management) stanici.

Zadavatel měl zcela evidentně zájem (a dle mého názoru oprávněný) o jednotný (a tím i jednodušší) management poptávaných prvků a tento management mít přímo integrovaný v dodané bezpečnostní bráně. Softwarové řešení, které bude instalované na samostatném PC přímo připojeném k bezpečnostní bráně vše zbytečně prodražuje a dělá poptávané řešení komplikovanější, poruchovější zejména v budoucích letech, kdy bude rutinně užíváno už po záruce. Nelze totiž očekávat, že cílovou správcovskou skupinou takovéto školní chráněné sítě bude vzdělaný IT odborník na datové sítě, ale jen vysokoškolsky vzdělaný pedagog, v lepším případě matematik či fyzik.

(…)

Řešením „integrovaným v bezpečnostní bráně“ se dle mého názoru rozumí softwarová nebo hardwarová komponenta, schopná vykonávat určitou činnost nebo poskytovat určitou vlastnost prostředky zmiňované brány. Slovem „integrovaným“ jasně odkazuje zadavatel na logickou a legitimní podmínku, aby z podstaty věci (zejména z bezpečnostního důvodu) danou schopností disponovala samotná brána, bez závislosti na jakémkoliv externím zařízení.[1]«.

122.     Z právě řečeného tak lze dovodit, že znalec považuje pojem „v rámci integrované bezpečnostní brány“ za sám o sobě rozšiřující, avšak v kontextu šetřené veřejné zakázky dovozuje, že nemá rozšiřující význam, neboť jde o odkaz na výše popsanou požadovanou vlastnost bezpečnostní brány, která má mít zaintegrovanou funkci jednotného webového rozhraní pro vyjmenované komponenty, když dle názoru znalce měl zadavatel zcela evidentně zájem o jednotný management poptávaných prvků a tento management mít přímo integrovaný v dodané bezpečnostní bráně. Úřad se proto neztotožňuje s názorem navrhovatele, že pojem „v rámci integrované bezpečnostní brány“ je nutno chápat jako rozšiřující, neboť v kontextu šetřené veřejné zakázky (a ve vztahu k cílům zadavatele vyplývajícím z předmětné zadávací podmínky) tohoto obecně rozšiřujícího významu nenabývá.

123.     K námitce navrhovatele, že jím nabízené řešení je založeno na řešení „v rámci bezpečnostní brány“, odkazuje Úřad na odpověď znalce k dotazu pod č. 1 d) (viz bod 63. odůvodnění tohoto rozhodnutí), v níž je uvedeno, že navrhovatelem nabízené řešení splňuje požadavek „Centrální systém správy sítě“, ne však za využití lokálního GUI (grafického rozhraní). Požadavek „integrováno v bezpečnostní bráně“ chápe znalec tak, že není potřeba další rezidentní aplikace v PC k tomu, aby bylo možno centrálně spravovat prvky sítě, protože už je součástí zařízení „bezpečnostní brána“.

124.     Vzhledem k tomu, že odpověď znalce na dotaz č. 1 d) nepovažoval Úřad za jednoznačnou, požádal jej o její doplnění (viz bod 56. odůvodnění tohoto rozhodnutí). Znalec dodatkem znaleckého posudku (viz bod 69. odůvodnění tohoto rozhodnutí) doplnil předmětnou odpověď výslovně tak, že dle jeho mínění řešení nabízené navrhovatelem s využitím rezidentní aplikace Extreme Network Management spuštěné na PC přímo připojené k bezpečnostní bráně nesplňuje podmínku „integrováno v bezpečnostní bráně ani v jejím rámci“. Řešení nabízí centrální systém správy školní sítě integrovaný s bezpečnostní bránou s využitím bezpečnostního prvku „Hillstone SG 6000-E 5600". Znalec současně odkázal na str. 18 znaleckého posudku, kde je vysvětlen pojem „v rámci integrované bezpečnostní brány“ (viz bod 121. odůvodnění tohoto rozhodnutí, pozn. Úřadu) a na str. 23 znaleckého posudku, kde je vymezen pojem „integrovaný s bezpečnostní bránou“. Úřad dodává, že na str. 23 znaleckého posudku znalec specifikoval, že navrhovatelem »nabízené řešení založené na SW řešení Extreme Network Management lze specifikovat jako Centrální systém správy sítě integrovaný s bezpečnostní bránou. Řešení navrhované dodavatelem nepoužívá „centrální systém správy prostřednictvím jednotného webového rozhraní, který je integrován v bezpečnostní bráně“, ale pro část funkcionalit používá nadstavbový prvek - program EMN a pro část funkcionalit (vytváření tunelů napojených na FW) jiný nadstavbový prvek – program Ruckus Smart Zone“.

Dle mého zjištění výrobce Extreme Network Management neuvažuje nasazení na rozhraní bezpečnostního prvku Hillstone SG 6000-E 5600, ale instalaci mimo předmětný bezpečnostní prvek, tj. nejedná o řešení integrované v samotném bezpečnostním prvku Hillstone SG 6000-E 5600.«.

125.     K dotazu Úřadu, zda navrhovatelem nabízené řešení je založeno na softwarovém řešení „v rámci bezpečnostní brány“, odkazuje Úřad na odpověď znalce k dotazu pod č. 1 e) (viz bod 64. odůvodnění tohoto rozhodnutí), v níž je uvedeno, že navrhovatelem nabízené řešení založené na SW řešení Extreme Network Management splňuje požadavek „Centrální systém správy sítě“, ne však za využití lokálního GUI (grafického rozhraní) provozovaného přímo na bezpečnostním prvku Hillstone SG 6000-E 5600, ale s nutností pro „Centrální systém správy sítě“ využít instalovaného rezidentního klienta (na SW řešení) Extreme Network Management spuštěného na PC přímo připojeného k bezpečnostní bráně. Znalec tedy vyjadřuje názor, že řešení nabízené navrhovatelem je připojeno k bezpečnostní bráně.

126.     Ve výsledku znalecké analýzy k odpovědi na dotaz č. 1 e) znalec doplňuje, že »Prakticky to znamená pro správce předmětné sítě, že nemůže využívat možnost spravovat předmětnou Bezpečnostní bránu a další aktivní prvky pomocí lokálního GUI (grafického rozhraní) provozovaného přímo na bezpečnostní bráně, ale bude nutné využít instalovaného rezidentního klienta (na SW řešení) Extreme Network Management spuštěného na PC přímo připojeného k „Bezpečnostní bráně“.«.

127.     Ve výsledku znalecké analýzy k odpovědi na dotaz č. 1 f) znalec uvádí, že »když by byla požadována implementace „Centrální systém správy sítě“ bez přímo připojeného PC, pak musí být možné bezpečnostní bránu a další aktivní prvky předmětné lokální sítě spravovat pomocí lokálního GUI (grafického rozhraní) provozovaného přímo na bezpečnostní bráně. Obvykle pak bývá podmínkou, že všechny prvky sítě by měly od stejného výrobce. Využití takovéto implementace je obecně níže uvedenými výrobci nabízeno, ze zkušenosti však nelze bez realizace provozních testů však hromadně uvést, že takto lze spravovat jakýkoli aktivní prvek (starší verze). Např. to mohou být výrobci aktivních síťových prvků Fortinet https://www.fortinet.com, Sophos https://www.sg135.com, Ubiquity https://www.ui.com, Zyxel https://www.zyxel.com i další. U těchto uvedených výrobců vycházím z veřejně dostupných zdrojů, resp. z volně publikovaných dokumentací již realizovaných školních sítí v ČR.

Jednou možnosti, by bylo nutné využít instalovaného rezidentního klienta Extreme Network Management spuštěného na PC přímo připojeného k „Bezpečnostní bráně“. Vlastností centrální správy na SW firmy Extreme Networks, Extreme Network Manager, umožňuje centrální správu všech dodávaných komponent sítě (bezpečnostní brány, přepínače, bezdrátové přístupové body) pomocí SNMP (vl, v2 a v3) a REST API. Bez realizace provozních testů však nelze hromadně uvést, že takto lze spravovat jakýkoli aktivní prvek (jsou známy případy nekompatibility některých výrobců aktivních prvků).«.

128.     Pokud navrhovatel namítá, že znalec opakovaně zmiňuje „lokální GUI“, avšak požadavek na lokální GUI (grafické rozhraní) není v zadávacích podmínkách uveden a posuzování, zda nabízené řešení disponuje lokálním GUI tak odporuje § 36 odst. 3 zákona, Úřad konstatuje, že s navrhovatelem je možno souhlasit v tom, že požadavek na lokální GUI není v zadávací dokumentaci výslovně uveden. To ostatně netvrdí ani znalec ve znaleckém posudku, a nelze tak ani usuzovat, že se znalec chybně seznámil se zadávací dokumentací, jak činí navrhovatel ve svém vyjádření k podkladům rozhodnutí. Úřad však především akcentuje, že v rámci předmětného správního řízení není posuzováno, zda řešení nabízené navrhovatelem disponuje lokálním GUI, nýbrž zejména otázka, zda navrhovatelem nabízené řešení splňuje požadavek na „centrální systém správy sítě a to prostřednictvím jednotného webového rozhraní, které je integrováno v bezpečnostní bráně“. S ohledem na tuto skutečnost považuje Úřad řešení otázky dispozice lokálním GUI za irelevantní.

129.     Ve výsledku znalecké analýzy k odpovědi na dotaz č. 1 h) znalec vyjadřuje názor, že »Dodavatel nabízí centrální správu postavenou na software americké firmy Extreme Networks, Extreme Network Manager, který umožňuje centrální správu všech dodávaných komponent sítě (bezpečnostní brány, přepínače, bezdrátové přístupové body) pomocí SNMP (vl, v2 a v3) a REST API. Systém bude nasazen tou formou, že „bude instalován na PC přímo připojené k Bezpečnostní Bráně.

Dodavatelem nabízené řešení založené na SW řešení Extreme Network Management lze specifikovat jako Centrální systém správy sítě integrovaný s bezpečnostní bránou. Řešení navrhované dodavatelem nepoužívá „centrální systém správy - sítě prostřednictvím jednotného webového rozhraní, který je integrován v bezpečnostní bráně“, ale pro část funkcionalit používá nadstavbový prvek - program EMN a pro část funkcionalit (vytváření tunelů napojených na FW) jiný nadstavbový prvek - program Ruckus Smart Zone“.

Dle mého zjištění výrobce Extreme Network Management neuvažuje nasazení na rozhraní bezpečnostního prvku Hillstone SG 6000-E 5600, ale instalaci mimo předmětný bezpečnostní prvek, tj. nejedná o řešení integrované v samotném bezpečnostním prvku Hillstone SG 6000-E 5600.«.

130.     Cílem Úřadu při pokládání otázek znalci bylo na základě skutečností uvedených ve znaleckém posudku dovodit, zda nabídka navrhovatele splňuje požadavky zadavatele, a to ve vztahu k částem týkajícím se: a) Centrálního systému správy školní sítě, b) Podpory NAT 66, 46, 64 pro IPv6 u firewallu (Integrovaná bezpečnostní brána) a c) Výkonu přepínačů LAN typ 1 a typ 2, a zodpovězení případných souvisejících otázek. Úřad na základě znaleckého posudku následně posoudil, zda nabídka navrhovatele splňuje požadavky zadavatele v části Centrálního systému správy školní sítě, resp. zda zadavatel oprávněně vyloučil navrhovatele ze zadávacího řízení, neboť dle jeho názoru nabídka navrhovatele požadavky zadavatele na mj. Centrální systém správy školní sítě nesplňuje.

131.     Úřad na tomto místě shrne skutečnosti zjištěné ze znaleckého posudku, z něhož vyplývá, že řešení nabízené navrhovatelem je připojeno k bezpečnostní bráně, resp. integrováno s bezpečnostní bránou, avšak není integrováno v bezpečnostní bráně, ani v jejím rámci.

132.     Úřad tedy shrnuje, že pojmem „bezpečnostní brána“ je možno, jednoduše řečeno, rozumět aktivní síťový prvek, který je sám o sobě bezpečnostně kritickým zařízením nejčastěji umístěným na hraničním bodě sítí a který je vnímán jako rozhraní mezi vnější sítí (veřejným internetem) a vnitřní sítí (neveřejným intranetem), propouští jedním nebo druhým směrem data podle určitých předem definovaných pravidel. Ze znaleckého posudku je možné dovodit, že jakékoliv PC připojené k bezpečnostní bráně je pouze jejím doplňkem, a tedy není její součástí.

133.     Dle znalce je v požadavku zadavatele znějícím „Centrální systém správy sítě musí umožnit zabezpečenou správu, plnou konfiguraci a monitorování současně pro všechny poptávané komponenty sítě (bezpečnostní brány, přepínače, bezdrátové přístupové body), a to prostřednictvím jednotného integrovaného webového rozhraní v rámci integrované bezpečnostní brány“ (viz bod 95. odůvodnění tohoto rozhodnutí) jasně deklarován požadavek na management, který je součástí bezpečnostní brány, a připojení k němu lze zabezpečeně provádět z jakéhokoliv PC/serveru v chráněné síti prostřednictvím webového prohlížeče, a nikoliv tak, že je nutná instalace nějaké rezidentní aplikace či její části na PC/server za účelem požadované správy a managementu bezpečnostní brány. Předmětnou chráněnou síť včetně jejích prvků musí být možné plnohodnotně spravovat pomocí lokálního GUI (grafického rozhraní) provozovaného přímo na bezpečnostní bráně bez nutnosti instalovat klienta na PC koncovou (management) stanici. Uvedenou zadávací podmínku je tak možno považovat za požadavek zadavatele na jednotný management poptávaných prvků a tento management mít přímo integrovaný v dodané bezpečnostní bráně. Dle znalce dále slovem „integrovaným“ zadavatel jasně odkazuje na logickou a legitimní podmínku, aby z podstaty věci (zejména z bezpečnostního důvodu) danou schopností disponovala samotná brána, bez závislosti na jakémkoliv externím zařízení.

134.     Úřad podotýká, že sám navrhovatel ve svém vyjádření uvádí, že „Součástí dodávky bude i software americké firmy Extreme Networks, Extreme Network Manager, který bude instalován na PC přímo připojeného k Bezpečnostní Bráně.“ (viz bod 98. odůvodnění tohoto rozhodnutí). Tvrzení navrhovatele lze tedy považovat za shodné s tvrzením znalce, že řešení nabízené navrhovatelem je připojeno k bezpečnostní bráně. Znalec však považuje toto řešení za integrované s bezpečnostní bránou, nikoliv však v bezpečnostní bráně ani v jejím rámci (viz výše). Tedy nesplňující předmětnou podmínku zadavatele.

135.     Ohledně vyloučení navrhovatele ze zadávacího řízení z důvodu, že navrhovatelem není nabízeno řešení zahrnující dodávku centrálního systému správy sítě, a to prostřednictvím jednotného webového rozhraní, které je integrováno v bezpečnostní bráně [když zadavatel na základě předložených skutečností konstatoval, že řešení nabízené navrhovatelem je založeno na centrálním systému správy sítě (řešení Extreme Network Manager), který je integrován s bezpečnostní bránou (firewall Hilstone) a dalšími komponentami, a to nikoli v bezpečnostní bráně nebo v jejím rámci (viz bod 101. odůvodnění tohoto rozhodnutí)], dospěl Úřad s ohledem na vyjádření znalce ve znaleckém posudku, resp. jeho dodatku, k závěru, že vyloučení navrhovatele ze shora uvedeného důvodu je oprávněné. Úřad ze závěrů učiněných znalcem dovozuje, že řešení nabízené navrhovatelem založené na SW řešení Extreme Network Management, které bude instalováno na PC přímo připojeného k bezpečnostní bráně, nesplňuje požadavek na integrování v bezpečnostní bráně, a to ani v jejím rámci, neboť dle znaleckého posudku je řešení nabízené navrhovatelem připojeno k bezpečnostní bráně. Úřad zejména odkazuje na dodatek znaleckého posudku (viz bod 124. odůvodnění tohoto rozhodnutí), v němž je znalcem výslovně uvedeno, že dle jeho mínění řešení nabízené navrhovatelem s využitím rezidentní aplikace Extreme Network Management spuštěné na PC přímo připojené k bezpečnostní bráně nesplňuje podmínku integrováno v bezpečnostní bráně ani v jejím rámci. Úřad přitom odkazuje na definici bezpečnostní brány provedenou znalcem (viz body 60. a 61. odůvodnění tohoto rozhodnutí), přičemž nerozporuje tvrzení navrhovatele, že neexistuje jednotná definice bezpečnostní brány. Úřad se však při svém posouzení přiklonil k definici/popisu bezpečnostní brány provedené znalcem, neboť znalec je odbornou osobou v předmětném oboru znalecké činnosti, a tudíž Úřad nemá důvod tuto definici zpochybňovat či k ní nepřihlédnout. Ve znaleckém posudku je navíc výslovně uvedeno, že jakákoli vedlejší komponenta, která není integrální součástí (tedy v šetřeném případě připojené PC) bezpečnostní brány, popírá základní vlastnosti bezpečnostní brány. Řešení nabízené navrhovatelem tedy Úřad považuje za připojené k bezpečnostní bráně, resp. integrované s bezpečnostní bránou, nikoliv však integrované v bezpečnostní bráně nebo jejím rámci (když pojem „v rámci“ nelze považovat v šetřeném případě za významem rozšiřující).

136.     Navrhovatelem nabízené řešení tak teoreticky může uspokojit potřeby zadavatele v tom smyslu, že je schopno integrovat všechny dodávané komponenty a centrálně je spravovat, avšak vzhledem k tomu, že není integrováno v bezpečnostní bráně či v jejím rámci, tak není schopno naplnit cíle, které stanovením přezkoumávané zadávací podmínky zadavatel sleduje, a to požadavek na management, který je součástí bezpečnostní brány a připojení k němu lze zabezpečeně provádět z jakéhokoliv PC/serveru v chráněné síti prostřednictvím webového prohlížeče, jež vyplývá z technické specifikace (viz bod 95. odůvodnění tohoto rozhodnutí), konkrétně ze slov „prostřednictvím jednotného integrovaného webového rozhraní v rámci integrované bezpečnostní brány“.

137.     Na výše řečeném ničeho nemění ani odkaz navrhovatele na znalecký posudek RNDr. Jiřího Bartoše, Ph.D., předložený navrhovatelem (dále jen „znalecký posudek navrhovatele“), na nějž se navrhovatel odvolává a jehož předmětem je posouzení dotazů navrhovatele, a to „Je řešení dodavatele schopno splnit výše uvedený požadavek zadavatele veřejné zakázky za předpokladu, že dodavatel je schopen pomocí SW Extreme Networks a REST API propojení, které je součásti nabídky, centralizovaně řídit všechny dodávané prvky sítě?“ (dále jen „dotaz č. 1“), a dotaz „Pakliže zadavatel veřejné zakázky v rozhodnutí o vyloučení uvedl, že dodavatel nesplnil následující požadavek: „centrální systém správy sítě prostřednictvím jednotného webového rozhraní, který je integrován v bezpečnostní bráně“, jedná se o stejnou podmínku (požadavek), jaká byla uvedena v technické specifikaci?“ (dále jen „dotaz č. 2“).

138.     Úřad sděluje, že z textu znaleckého posudku navrhovatele nevyplývá jednoznačný závěr, který by potvrzoval, že navrhovatel zadávací podmínku na centrální systém správy sítě, který je integrován v bezpečnostní bráně nebo v jejím rámci, splnil. Konkrétně v odpovědi na dotaz č. 1 znalec RNDr. Jiří Bartoš, Ph.D., sdělil, že řešení navrhovatele je „schopno splnit požadavek zadavatele na plnou centrální konfiguraci a monitorování současně pro všechny poptávané komponenty sítě (bezpečnostní brány, přepínače, přístupové body) pomocí nabízeného SW Extreme Networks – tedy v rámci SW Extreme Network Manager budou všechny integrovány všechny poptávané komponenty sítě (bezpečnostní brány, přepínače, přístupové body).“. Znalec RNDr. Jiří Bartoš, Ph.D., v uvedené odpovědi na dotaz č. 1 neodpovídá na stěžejní otázku, jež je předmětem sporu mezi navrhovatelem a zadavatelem, a to, zda je řešení nabízené navrhovatelem integrováno v bezpečnostní bráně či v jejím rámci, ale pouze uzavírá, že pomocí dodávaného řešení budou integrovány všechny poptávané komponenty sítě.

139.     V odpovědi na dotaz č. 2 znalec RNDr. Jiří Bartoš, Ph.D., sdělil, že »Zadavatel v rozhodnutí o vyloučení uvedl, že dodavatel nesplnil následující požadavek: „centrální systém správy sítě prostřednictvím jednotného webového rozhraní, který je integrován v bezpečnostní bráně“ – vzhledem k účelnosti požadavku a vágnosti termínu je nutné v rámci posudku tyto formulace posoudit a konfrontovat s parametry zadávací dokumentace a z tohoto pohledu se jedná o stejnou podmínku (požadavek), jak byla uvedena v zadávací dokumentaci.«. Úřad konstatuje, že znalec RNDr. Jiří Bartoš, Ph.D., ve své odpovědi hodnotí požadavky zadavatele z hlediska jejich účelnosti (viz také str. 11 znaleckého posudku navrhovatele), ale nikterak se nezabývá otázkou, zda navrhovatelem nabízené řešení splňuje požadavky zadavatele. Znalec RNDr. Jiří Bartoš, Ph.D., tedy v předmětné odpovědi pouze porovnává znění zadávací podmínky uvedené v rozhodnutí o vyloučení a v zadávací dokumentaci, avšak již neuvádí, zda navrhovatel nabídl řešení splňující požadavky zadavatele na integraci v bezpečnostní bráně či jejím rámci.

140.     Úřad nepopírá tvrzení znalce RNDr. Jiřího Bartoše, Ph.D., že SW Extreme Network Manager je schopen integrovat všechny dodávané komponenty a centrálně je spravovat. Nicméně jmenovaný znalec nesděluje, zda je samo řešení nabízené navrhovatelem integrováno v bezpečnostní bráně či v jejím rámci a ani předmětný znalecký posudek navrhovatele neobsahuje odpovědi na otázky, jež je nutno zodpovědět na základě závazného názoru předsedy Úřadu obsaženého v druhostupňovém rozhodnutí. Předmětný znalecký posudek navrhovatele např. rovněž uvádí, že bezpečnostní brána neznamená jen samotný „box“, ale je závislá na dalších součástech, avšak bezpečnostní bránu tento znalecký posudek nikterak nepopisuje/nedefinuje. Úřad jej tedy pro posouzení, co se rozumí bezpečnostní bránou nemohl nikterak využít.

141.     Zodpovězení zásadní otázky, jež je předmětem sporu mezi navrhovatelem a zadavatelem, a to, zda je řešení nabízené navrhovatelem integrováno v bezpečnostní bráně či v jejím rámci, předmětný znalecký posudek navrhovatele neobsahuje. Znalecký posudek navrhovatele tak existenci naplnění důvodu vyloučení navrhovatele pro nesplnění předmětné zadávací podmínky dle Úřadu z výše uvedených důvodů nevyvrací. Předmětný znalecký posudek navrhovatele tudíž Úřad jako důkaz pro vyvrácení argumentace zadavatele v rozhodnutí o vyloučení navrhovatele nemůže akceptovat.

142.     Naopak znalecký posudek pořízený Úřadem zodpovídá na veškeré dotazy potřebné jak pro zodpovězení otázky, co se rozumí bezpečnostní bránou, tak pro zodpovězení toho, zda navrhovatelem nabízené řešení je integrováno v bezpečnostní bráně či jejím rámci. Proto Úřad vycházel při posouzení těchto otázek z jím pořízeného znaleckého posudku. Nelze tedy souhlasit s argumentací navrhovatele, že „vedle sebe“ existují dva sobě vzájemně si odporující znalecké posudky, neboť posudek zajištěný navrhovatelem na kruciální otázky, jež jsou předmětem sporu dle Úřadu neodpovídá. Závěry obou znaleckých posudků tedy Úřad nepovažuje za vzájemně si odporující.

143.     Pokud navrhovatel namítá, že Úřad měl dle druhostupňového rozhodnutí v prvé řadě objasnit, co se rozumí bezpečnostní bránou, a k tomu např. požádat autora dřívějšího znaleckého posudku o jeho doplnění, popř. si nechat zpracovat vlastní znalecký posudek, avšak Úřad se obrátil na „nového“ znalce Ing. Kyncla s dotazy k objasnění sporných zadávacích podmínek, Úřad sděluje, že předseda Úřadu v bodu 57. odůvodnění druhostupňového rozhodnutí výslovně uvedl, že „Na podporu svých tvrzení si Úřad může obstarat nové důkazy – vyjádření od odborných subjektů či institucí s dostatečným odborným zázemím, průzkum na relevantním trhu (…), případně požádá autora znaleckého posudku předloženého navrhovatelem o vysvětlení či doplnění předloženého znaleckého posudku (…), popř. si Úřad nechá zpracovat vlastní znalecký posudek. Úřad nemusí provést všechny výše navržené postupy za účelem řádného zjištění skutkové stavu. Úřad provede pouze takové postupy, které uzná za vhodné a které povedou k řádnému zjištění skutkového stavu.“. Z druhostupňového rozhodnutí tak nevyplývá Úřadu povinnost požádat autora znaleckého posudku předloženého navrhovatelem o jeho doplnění, ale pouze možnost jej požádat o případné doplnění, jakož i možnost nechat si zpracovat vlastní znalecký posudek, když předseda Úřadu výslovně zmiňuje, že Úřad nemusí provést všechny výše navržené postupy za účelem řádného zjištění skutkové stavu. Úřad tak dle svého správního uvážení rozhodl o zpracování nového znaleckého posudku, jenž bude komplexně zodpovídat na dotazy rozhodné pro posouzení šetřeného správního řízení.

144.     K námitce navrhovatele týkající se výčtu podkladů a zdrojů uvedených v čl. 2 znaleckého posudku Úřad uvádí, že znalci poskytl veškerou dokumentaci k zadávacímu řízení, kterou disponoval, jakož i obsah spisu. Znalec dále zajistil některé z podkladů nutných pro zpracovaní znaleckého posudku z vlastní činnosti. Úřad však nemůže nikterak ovlivnit výčet konkrétních podkladů, které se znalec rozhodl pro zpracování znaleckého posudku využít.

145.     K námitce navrhovatele týkající se definování pojmu „bezpečnostní brána“ znalcem a k tomu, že musí být provozována v režimu vysoké dostupnosti, Úřad opakuje, že neexistuje jednoznačná definice bezpečnostní brány. Úřad nepopírá argument navrhovatele, že režim vysoké dostupnosti není požadován v zadávací dokumentaci, nicméně toto nemůže nic změnit na závěrech Úřadu, neboť předmětem sporu je, zda řešení nabízené navrhovatelem je integrováno v bezpečnostní bráně či v jejím rámci, a nikoliv to, zda bezpečnostní brána musí být provozována v režimu vysoké dostupnosti.

146.     Pokud navrhovatel namítá, že znalec ve znaleckém posudku uvádí, že nelze ověřit bezpečnostní prvek Hillstone SG 6000-E 5600, ačkoliv v nabídce je technický list Hillstone SG 6000-E 5660, Úřad se ztotožňuje s tvrzením navrhovatele, že tato otázka není relevantní, neboť nebyla důvodem pro vyloučení ani předmětem jakékoliv žádosti o objasnění nabídky, a proto Úřad při posouzení věci k tomuto závěru znalce nijak nepřihlížel.

147.     K tvrzení navrhovatele, že ze zadávacích podmínek, resp. technické specifikace, jednoznačně nevyplývá, že by zadavatel vyloučil použití jakéhokoliv zařízení připojeného na bezpečnostní bránu, když navíc samotný pojem bezpečnostní brány není standardizován, a oba znalci jej vykládají odlišně, a že je také potřeba zohlednit, jak svou vůli zadavatel projevil navenek, nikoliv přihlížet k vůli domnělé a navenek neprojevené, Úřad sděluje, že vůli, jak má nabízené řešení vypadat, zadavatel výslovně projevil v technické specifikaci ve znění předmětné zadávací podmínky, k čemuž se Úřad vyjádřil již v bodu 133. odůvodnění tohoto rozhodnutí. Co se týče navrhovatelem tvrzeného odlišného výkladu pojmu bezpečnostní brána ze strany obou znalců Úřad předně uvádí, že znalecký posudek navrhovatele výklad tohoto pojmu neobsahuje, a tudíž ani nelze dospět k závěru, že znalecké posudky obsažené ve správním spisu obsahují rozdílný výklad pojmu bezpečnostní brána. Znalec ve znaleckém posudku navrhovatele sice uvedl, že je třeba definovat samotné použité pojmy a následně se vyjádřil k pojmu bezpečnostní brána, nicméně v této souvislosti pouze uvedl, že „Bezpečnostní brána jako taková neznamená jen samotný „box“, ale je závislá na dalších součástech (PC pro administraci, podporovaný OS a web browser).[2]“. Tvrzení o tom, že se v případě bezpečnostní brány jedná o box, který je závislý na dalších součástech však Úřad nepovažuje za takový ucelený výklad, který by odpovídal na otázku, co tento pojem znamená.

148.     K postupu zadavatele při vyloučení navrhovatele Úřad dodává, že považuje za nepřípadné tvrzení navrhovatele, že zadavatel rezignoval na snahu odstranit možné pochybnosti ohledně nabídky navrhovatele postupem, který mu zákon umožňuje. Naopak zadavatel vůči navrhovateli opakovaně využil možnost žádat o objasnění nabídky dle § 46 odst. 1 zákona, ačkoli k tomu nebyl povinen, o čemž svědčí tři dokumenty nazvané „Žádost o doplnění a objasnění údajů v nabídce dle § 46 ZZVZ“ ze dne 11. 1. 2021, 12. 4. 2021 a dne 19. 4. 2021, na něž následovalo sdělení navrhovatele ze dne 14. 1. 2021 a dokumenty navrhovatele „Odpověď na žádost o doplnění a objasnění údajů v nabídce“ ze dne 15. 4. 2021 a dne 20. 4. 2021, jak je zmíněno v bodech 97. a 100. odůvodnění tohoto rozhodnutí.

149.     Dle komentáře k § 46 odst. 1 zákona (viz Vilém PODEŠVA, Lukáš SOMMER, Jiří VOTRUBEC, Martin FLAŠKÁR, Jiří HARNACH, Jan MĚKOTA a Martin JANOUŠEK. Zákon o zadávání veřejných zakázek: Komentář [Systém ASPI]. Wolters Kluwer): „Možnost žádat o objasnění či doplnění údajů, dokladů, vzorků nebo modelů je oprávněním zadavatele. Nelze totiž považovat za v rozporu s řádným průběhem zadávacího řízení, pokud dojde k vyloučení účastníků zadávacího řízení z toho důvodu, že nejsou schopni předložit žádosti o účast, předběžné nabídky či nabídky dostatečné a úplné (za předpokladu jednoznačně formulovaných zadávacích podmínek). (…) Zadavatelé by měli přistupovat k výzvě dle komentovaného ustanovení zejména v případech drobných pochybení, která působí nejednoznačnost údajů či dokladů v nabídkách (či jiných úkonech účastníků), přičemž tato nejednoznačnost je snadno odstranitelná právě na základě postupu dle výzvy, a současně vinou nejednoznačnosti nelze nabídky hodnotit, případně nelze na jejich základě (či na základě jiných úkonů) učinit jednoznačný závěr ohledně splnění podmínek účasti.“.

150.     Také dle komentáře k § 48 odst. 2 písm. a) zákona (viz Vilém PODEŠVA, Lukáš SOMMER, Jiří VOTRUBEC, Martin FLAŠKÁR, Jiří HARNACH, Jan MĚKOTA a Martin JANOUŠEK. Zákon o zadávání veřejných zakázek: Komentář [Systém ASPI]. Wolters Kluwer): „Zadavatel je předně oprávněn vyloučit účastníka ze zadávacího řízení, pokud jím předložené údaje, doklady, vzorky či modely neodpovídají zadávacím podmínkám či nebyly v požadované lhůtě vůbec předloženy. Komentovaná část ustanovení potvrzuje, že dodatečné objasňování či doplňování ve smyslu § 46 je pouze fakultativním postupem.“.

151.     Jak přímo ze zákona a z výše citovaných komentářů vyplývá, zadavatel nebyl povinen takto učinit a mohl navrhovatele rovnou vyloučit ze zadávacího řízení pro nesplnění zadávacích podmínek. Zadavatel v řečených žádostech o objasnění vůči navrhovateli projevil zřejmou snahu dát mu možnost se obhájit a v zadávacím řízení se udržet. Až v návaznosti na obdržené odpovědi od navrhovatele zadavatel konstatoval, že ani opakované objasnění nabídky předložené navrhovatelem nerozptýlilo jeho domněnku, že navrhovatelem není nabízeno řešení zahrnující dodávku centrálního systému správy sítě, a to prostřednictvím jednotného webového rozhraní, které je integrováno v bezpečnostní bráně či v jejím rámci (viz body 100. a 101. odůvodnění tohoto rozhodnutí), přičemž zadavatel svůj závěr ještě podrobně dále odůvodnil (viz bod 102. odůvodnění tohoto rozhodnutí). Nelze tedy dle Úřadu zadavateli ani jakkoliv vytýkat, že nevyvinul snahu odstranit možné pochybnosti ohledně nabídky navrhovatele, kterou mu zákon dává, avšak neukládá. Zadavatel se zachoval právě naopak, než tvrdí navrhovatel, když mu dal v celku třikrát možnost svou nabídku blíže vyjasnit, kterýžto postup teprve našel svůj odraz v odůvodnění rozhodnutí o vyloučení. Úřad má za to, že zadavatel vyloučení navrhovatele ohledně bodu A) Centrální systém správy školní sítě přesvědčivě zdůvodnil, o zákonnosti postupu zadavatele v této otázce tak Úřad nemá důvodné pochybnosti.

152.     Jak již bylo Úřadem popsáno a postaveno najisto v předchozích bodech odůvodnění tohoto rozhodnutí, navrhovatelem nabídnuté řešení nesplňuje požadavek zadavatele na řešení zahrnující dodávku centrálního systému správy sítě, a to prostřednictvím jednotného webového rozhraní, které je integrováno v bezpečnostní bráně nebo v jejím rámci. Nelze tedy konstatovat jinak, než že navrhovatel nesplnil zadávací podmínku stanovenou zadavatelem v příloze č. 1 „Technická specifikace předmětu zakázky“ uvedené v dokumentu „PS02 – Konektivita“ na straně 10 v bodě 2.3.1 „Centrální systém správy sítě“. Vzhledem k právě řečenému tudíž Úřad uvádí, že pakliže zadavatel navrhovatele podle § 48 odst. 2 písm. a) zákona z účasti v šetřeném zadávacím řízení vyloučil, postupoval v souladu s citovaným ustanovením zákona, neboť nabídka navrhovatele nesplnila zadávací podmínky.

153.     K dalším skutečnostem namítaným navrhovatelem Úřad uvádí, že vzhledem k tomu, že vyloučení navrhovatele ze zadávacího řízení bylo zadavatelem učiněno, jak Úřad odůvodnil výše, v souladu se zákonem, považuje Úřad již za nadbytečné zabývat se ostatními namítanými skutečnostmi a argumenty navrhovatele, konkrétně potom námitkami uvedenými pod bodem B) Podpora NAT 66, 46, 64 pro IPv6 u firewallu a bodem C) Výkon přepínačů LAN typ 1 a typ 2. Úřad konstatuje, že se k dalším skutečnostem, jež navrhovatel ve svém návrhu uvádí, nevyjadřuje, a to s odkazem na rozsudek Vrchního soudu v Olomouci, č. j. 2 A 2/99-20 ze dne 24. 6. 1999, který judikoval, že za situace, kdy existuje alespoň jediný oprávněný důvod k vyloučení uchazeče, je nadbytečné zkoumat další namítané důvody pro vyloučení. Přestože se tento rozsudek vztahoval k dnes již neplatnému zákonu č. 199/1994 Sb., o zadávání veřejných zakázek, je závěr v něm zaujatý aplikovatelný i v nyní projednávané věci. Úřad má za to, že šetření dalších skutečností uvedených v návrhu by nemohlo mít na výsledek rozhodnutí Úřadu, tj. že zadavatel vyloučil navrhovatele v souladu se zákonem, vliv. Úřad tak shledává přezkum dalších důvodů pro vyloučení navrhovatele ze zadávacího řízení za nadbytečný v případě, kdy byl Úřadem prokázán alespoň jeden důvod za oprávněný. K tomuto postupu Úřad přistoupil v souladu se zásadou procesní ekonomie, neboť považuje za neúčelné, aby se věcně zabýval všemi důvody pro vyloučení navrhovatele ze zadávacího řízení v případě prokázání oprávněnosti alespoň jednoho z nich, tedy aby k prokázání či vyvrácení existence dalších důvodů prováděl rozsáhlé dokazování, jež dále zatíží účastníky řízení a případně též nedůvodně pozdrží průběh přezkumného a zadávacího řízení, když i po posouzení těchto skutečností by se na výsledku rozhodnutí nic nezměnilo.

154.     S odkazem na předchozí odstavec odůvodnění tohoto rozhodnutí tak Úřad konstatuje, že se blíže nezabýval ani argumentem navrhovatele, že zadavatel postupoval nesprávně, když při jeho vyloučení použil odkaz na § 48 odst. 2 písm. c) zákona. Vzhledem k tomu, že zde prokazatelně byl dán důvod pro vyloučení navrhovatele podle § 48 odst. 2 písm. a) zákona, považuje Úřad za irelevantní zabývat se v podrobnostech tím, zda byl zadavatel oprávněn vyloučit navrhovatele z účasti v šetřeném zadávacím řízení i podle § 48 odst. 2 písm. c) zákona.

155.     Závěrem se Úřad zabýval námitkou navrhovatele napadající rozhodnutí o námitkách pro nepřezkoumatelnost.

156.     Komentář k § 245 odst. 1 zákona (viz Vilém PODEŠVA, Lukáš SOMMER, Jiří VOTRUBEC, Martin FLAŠKÁR, Jiří HARNACH, Jan MĚKOTA a Martin JANOUŠEK. Zákon o zadávání veřejných zakázek: Komentář [Systém ASPI]. Wolters Kluwer) k rozhodnutí zadavatele o námitkách uvádí: „Zadavatel je pak povinen v rozhodnutí uvést, zda námitkám vyhovuje, či je odmítá, a zároveň toto své rozhodnutí odůvodnit, a to tak, aby bylo přezkoumatelné. Jedná se o zcela logický požadavek, neboť zadavatel je osobou odpovědnou za průběh zadávacího řízení, a měl by proto být schopen svůj postup v rámci zadávacího řízení zcela obhájit. Zákon navíc výslovně uvádí povinnost se v odůvodnění podrobně a srozumitelně vyjádřit ke všem skutečnostem uvedeným v námitkách. Tuto svou povinnost zadavatel nesplní, pokud se vypořádá s námitkami pouze obecným sdělením, aniž by své rozhodnutí opřel o argumentaci založenou na konkrétních a přezkoumatelných skutečnostech. Za dostačující proto nelze považovat např. konstatování, že se namítaného pochybení zadavatel nedopustil a námitky z toho důvodu neshledává relevantní.“.

157.     Úřad přezkoumal rozhodnutí o námitkách v návaznosti na jeho zákonné obsahové požadavky podle § 245 odst. 1 zákona, které rozvádí výše citovaný komentář, a má za to, že zadavatel požadavku jeho přezkoumatelnosti dostál. Neomezil se totiž na pouhé obecné sdělení, avšak své rozhodnutí opřel o konkrétní skutečnosti, jimiž vyvrací tvrzení navrhovatele v jeho námitkách. Zadavatel se podobně jako v rozhodnutí o vyloučení (podrobněji viz body 108. a 109. odůvodnění tohoto rozhodnutí, jejichž závěry v zásadě platí i pro rozhodnutí o námitkách) samostatně vyjádřil ke každému ze třech bodů [viz body A) Centrální systém správy školní sítě, B) Podpora NAT 66, 46, 64 pro IPv6 u firewallu, C) Výkon přepínačů LAN typ 1 a typ 2)], v rámci vypořádání každého z nich nejdříve uvedl námitku navrhovatele a poté k ní svůj vlastní podrobný komentář, proč dané námitce nemůže vyhovět. Systematika rozhodnutí o námitkách je jasná a přehledná, jeho obsah je srozumitelný a dostatečně podrobný, čemuž nasvědčuje i fakt, že navrhovatel mohl s obsahem rozhodnutí o námitkách polemizovat ve svém návrhu.

158.     Úřad podotýká, že rovněž předseda Úřadu v bodech 36. a 37. odůvodnění druhostupňového rozhodnutí dospěl k závěru, že „Z argumentace zadavatele, uvedené v rozhodnutí o námitkách, lze zcela zřetelně seznat obecný argumentační rámec, tj. z jakých důvodů považuje řešení navrhovatele za nevyhovující (…)“. Podle předsedy Úřadu vyjádřeném v druhostupňovém rozhodnutí Úřad předmětnou návrhovou námitku vyřešil správně a odůvodnění rozhodnutí o námitkách je srozumitelné a dostatečně podrobné. Předseda Úřadu se rovněž ztotožnil s názorem, že pokud s argumenty obsaženými v rozhodnutí o námitkách navrhovatel polemizuje, pak jim dostatečně porozuměl.

159.     Skutečnost, že navrhovatel s argumentací zadavatele uvedenou v rozhodnutí o námitkách, podobně jako v rozhodnutí o vyloučení, jež Úřad rovněž seznal souladné se zákonem, i nadále nesouhlasí, nemůže být důvodem pro konstatování nepřezkoumatelnosti rozhodnutí o námitkách, které se dostatečně podrobně a přehledně námitkami navrhovatele zabývá. Ani tuto námitku navrhovatele směřující proti rozhodnutí o námitkách Úřad neshledal případnou.

160.     Ve světle všech shora uvedených skutečností a v souvislosti se všemi zjištěnými poznatky tedy Úřad uzavírá, že v šetřeném případě zadavatel postupoval v souladu se zákonem, když dne 29. 4. 2021 rozhodl o vyloučení navrhovatele ze zadávacího řízení na předmětnou veřejnou zakázku, když údaje předložené navrhovatelem nesplňovaly zadávací podmínky, neboť navrhovatelem v nabídce předložené řešení nesplňuje požadavek zadavatele na řešení zahrnující dodávku centrálního systému správy sítě, a to prostřednictvím jednotného webového rozhraní, které je integrováno v bezpečnostní bráně nebo v jejím rámci, přestože tak zadavatel v zadávacích podmínkách požadoval, a proto Úřad podle § 265 písm. a) zákona rozhodl tak, jak je uvedeno ve výroku tohoto rozhodnutí, a návrh navrhovatele zamítl.

Poučení

Proti tomuto rozhodnutí lze do 15 dnů ode dne jeho doručení podat rozklad k předsedovi Úřadu pro ochranu hospodářské soutěže, a to prostřednictvím Úřadu pro ochranu hospodářské soutěže – Sekce veřejných zakázek, třída Kpt. Jaroše 1926/7, Černá Pole, 604 55 Brno. Včas podaný rozklad má odkladný účinek. Rozklad a další podání účastníků učiněná v řízení o rozkladu se podle § 261 odst. 1 písm. b) zákona činí výhradně prostřednictvím datové schránky nebo jako datová zpráva podepsaná uznávaným elektronickým podpisem.

 

otisk úředního razítka

 

 

Mgr. Markéta Dlouhá

místopředsedkyně

 

 

 

 

 

 

 

 

 

Obdrží

1.             město Volyně, náměstí Svobody 41, 387 01 Volyně

2.             MT Legal s.r.o., advokátní kancelář, Jakubská 121/1, 602 00 Brno

 

Vypraveno dne

viz otisk razítka na poštovní obálce nebo časový údaj na obálce datové zprávy