číslo jednací: S0262/2019/VZ-30266/2019/523/JMa

 

Úřad pro ochranu hospodářské soutěže příslušný podle § 248 zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů, ve správním řízení zahájeném dne 8. 7. 2019 na návrh z téhož dne, jehož účastníky jsou:

• zadavatel – Česká republika - Ministerstvo životního prostředí, IČO 00164801, se sídlem Vršovická 1442/65, 100 00 Praha 10,
• navrhovatel – Huawei Technologies (Czech) s.r.o., IČO 27367061, se sídlem Jihlavská 1558/21, 140 00 Praha 4,

ve věci přezkoumání úkonů zadavatele učiněných při zadávání veřejné zakázky „Pořízení serverů pro resort MŽP v roce 2019“ v otevřeném řízení, jehož oznámení bylo odesláno k uveřejnění dne 18. 3. 2019 a uveřejněno ve Věstníku veřejných zakázek dne 21. 3. 2019 pod ev. č. Z2019-008830, ve znění oprav uveřejněných ve dnech 8. 4. 2019, 12. 4. 2019, dvou oprav uveřejněných dne 29. 4. 2019 a opravy uveřejněné dne 9. 5. 2019 a v Úředním věstníku Evropské unie dne 21. 3. 2019 pod ev. č. 2019/S 057-130973, ve znění oprav uveřejněných ve dnech 10. 4. 2019 pod ev. č. 2019/S 071-167806, 12. 4. 2019 pod ev. č. 2019/S 073-172713, 29. 4. 2019 pod ev. č. 2019/S 083-197066, 30. 4. 2019 pod ev. č. 2019/S 084-200247 a 10. 5. 2019 pod ev. č. 2019/S 090-215848,

rozhodl takto:

Návrh navrhovatele – Huawei Technologies (Czech) s.r.o., IČO 27367061, se sídlem Jihlavská 1558/21, 140 00 Praha 4 – ze dne 8. 7. 2019 se podle § 265 písm. a) zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů, zamítá, neboť nebyly zjištěny důvody pro uložení nápravného opatření.

 

Odůvodnění

I.               ZADÁVACÍ ŘÍZENÍ

1.             Zadavatel – Česká republika - Ministerstvo životního prostředí, IČO 00164801, se sídlem Vršovická 1442/65, 100 00 Praha 10 (dále jen „zadavatel“) – zahájil podle zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdější předpisů (dále jen „zákon“) otevřené řízení za účelem zadání veřejné zakázky „Pořízení serverů pro resort MŽP v roce 2019“, přičemž oznámení o zahájení zadávacího řízení bylo odesláno k uveřejnění dne 18. 3. 2019 a uveřejněno ve Věstníku veřejných zakázek dne 21. 3. 2019 pod ev. č. Z2019-008830, ve znění oprav uveřejněných ve dnech 8. 4. 2019, 12. 4. 2019, dvou oprav uveřejněných dne 29. 4. 2019 a opravy uveřejněné dne 9. 5. 2019 a v Úředním věstníku Evropské unie dne 21. 3. 2019 pod ev. č. 2019/S 057-130973, ve znění oprav uveřejněných ve dnech 10. 4. 2019 pod ev. č. 2019/S 071-167806, 12. 4. 2019 pod ev. č. 2019/S 073-172713, 29. 4. 2019 pod ev. č. 2019/S 083-197066, 30. 4. 2019 pod ev. č. 2019/S 084-200247 a 10. 5. 2019 pod ev. č. 2019/S 090-215848 (dále jen „veřejná zakázka“).

2.             Předmět plnění veřejné zakázky vymezil zadavatel v článku 2. odst. 2.2 zadávací dokumentace následovně: 

„Veřejná zakázka je Zadavatelem vypsána za účelem uzavření smlouvy na dodávky serverů včetně instalačních a konfiguračních prací (je-li to v daném případě relevantní), a poskytování 5 leté záruky výrobce (včetně záručního servisu) pro Zadavatele a Pověřující zadavatele.

Přesné parametry serverů jsou stanoveny v technické specifikaci v Příloze č. 1 ZD. Tato technická specifikace je minimální možná, účastník zadávacího řízení (dále jen „Účastník“) může nabídnout charakteristiky lepší. Účastník vyplní údaje v této technické specifikaci tam, kde k tomu bude vyzván (místa označená ANO/NE), a přiloží ji do své nabídky.

Servery budou pocházet z oficiálních distribučních kanálů. Záruky na díly a servis budou garantovány výrobcem, budou u výrobce registrovány jménem Zadavatele a Pověřujících zadavatelů, a budou ověřitelné na webových stránkách výrobce. Všechny požadované funkce systémů budou v den podání nabídky v dodaných řešeních a v zařízeních již plně implementovány a funkční.

Dodávané servery budou nové, nepoužité (maximálně zahořené z výroby), popř. zapnuté pro ověření funkčnosti v rámci případné kompletace dodávky.“

3.             Předpokládaná hodnota veřejné zakázky byla dle čl. 3 zadávací dokumentace stanovena s odkazem na § 16 a § 20 zákona a zadavatel ji nezveřejnil.

4.             Dne 10. 6. 2019 byly zadavateli doručeny námitky navrhovatele – Huawei Technologies (Czech) s.r.o., IČO 27367061, se sídlem Jihlavská 1558/21, 140 00 Praha 4 (dále jen „navrhovatel“) z téhož dne směřující proti stanovení zadávacích podmínek veřejné zakázky.

5.             Rozhodnutím ze dne 25. 6. 2019 zadavatel námitky navrhovatele odmítl. Uvedené rozhodnutí bylo navrhovateli doručeno téhož dne.

6.             Vzhledem k tomu, že navrhovatel nesouhlasil s vyřízením svých námitek zadavatelem, doručil dne 8. 7. 2019 Úřadu pro ochranu hospodářské soutěže (dále jen „Úřad“) návrh z téhož dne na zahájení správního řízení o přezkoumání úkonů zadavatele, přičemž tentýž den doručil stejnopis návrhu i zadavateli.

Varování Národního úřadu pro kybernetickou a informační bezpečnost

7.             Úřad na tomto místě uvádí, že dne 17. 12. 2018 bylo Národním úřadem pro kybernetickou a informační bezpečnost (dále jen „NÚKIB“) vydáno Varování č. j. 3012/2018-NÚKIB-E/110 dle § 12 odst. 1 zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů, ve znění pozdějších předpisů (dále jen „ZKB“), ve kterém NÚKIB varuje před použitím technických nebo programových prostředků společnosti Huawei Technologies Co., Ltd., Šen-Čen, Čínská lidová republika, a společnosti ZTE Corporation, Šen-Čen, Čínská lidová republika, včetně jejich dceřiných společností (dále jen „dotčené společnosti“), neboť představují hrozbu v oblasti kybernetické bezpečnosti (dále jen „varování NÚKIB“). K tomuto varování NÚKIB vydal dne 4. 1. 2019 metodiku, která konkretizuje možné postupy správců informačních a komunikačních systémů spadajících pod ZKB, dále vysvětluje institut varování, popisuje princip řízení rizik a nastiňuje možnosti při zajištění plnění povinností podle ZKB v souladu s předpisy regulujícími zadávání veřejných zakázek (dále jen „metodika NÚKIB“).

II.             OBSAH NÁVRHU

8.             Návrh navrhovatele směřuje proti zadávacím podmínkám veřejné zakázky, konkrétně proti podmínce stanovené v čl. 17 písm. o) zadávací dokumentace: „Poptávané řešení je určeno pro provozování významných informačních systémů a informačních systémům základních služeb. Zadavatel tedy spadá pod dikci zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů (dále jen „Zákon o kybernetické bezpečnosti“) a dodané řešení nesmí být tedy v rozporu s požadavky Národního úřadu pro kybernetickou a informační bezpečnost (dále jen „NÚKIB“) pro provoz významných informačních systémů a informačních systémům základních služeb. Dodané řešení musí proto splňovat všechny související požadavky a nařízení a musí umožňovat Zadavateli řádné plnění povinností podle Zákona o kybernetické bezpečnosti. V souladu s výše uvedeným je Zadavatel povinen dle § 5 vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti), ve znění pozdějších předpisů, provádět analýzu rizik a identifikovaná rizika řídit. Současně je Zadavatel povinen zabývat se všemi hrozbami, které prostřednictvím varování vydává NÚKIB, a zohlednit je v analýze rizik. Zadavatel proto provedl, s přihlédnutím k vydanému "varování" NÚKIB, analýzu rizik a v hodnocení se řídil pokyny uvedenými v dokumentu NÚKIB "Metodika k varování ze dne 17. prosince 2018". Veškerá bezpečnostní opatření, která bude nutné u dodaného řešení na základě výsledků analýzy rizik přijmout, nesmí pro Zadavatele znamenat žádné další náklady. Uvedeným opatřením, v případě dodávek řešení výrobců, před kterými varoval NÚKIB, je dodávka a zajištění stavu vysoké dostupnosti řešení – ke každému kusu dodaného hardware dodávka druhého kusu hardware od nečínského výrobce a jejich plná společná integrace tak, aby takové řešení plnilo funkci zajištění vysoké dostupnosti a současně i veškeré Zadavatelem definované požadavky v rámci zadávacích podmínek k Veřejné zakázce.“ (dále jen „sporná podmínka“ či „sporné opatření“). Navrhovatel je přesvědčen, že citovaná zadávací podmínka je stanovena v rozporu se zákonem, konkrétně v rozporu s § 36 odst. 1 zákona, neboť určitým dodavatelům bezdůvodně zaručuje konkurenční výhodu, resp. vytváří bezdůvodné překážky hospodářské soutěže, neboť dle navrhovatele:

• je stanovena v rozporu se zásadou zákazu diskriminace a rovného zacházení dle § 6 odst. 2 zákona,
• je stanovena v rozporu se zásadou transparentnosti dle § 6 odst. 1 zákona,
• vybočuje z mezí opatření nezbytně nutných k plnění povinností dle ZKB, čímž v rozporu s § 4 odst. 4 ZKB a § 36 odst. 1 zákona dochází nedůvodnému omezení hospodářské soutěže a
• je stanovena – v rozporu se ZKB – toliko na základě analýzy rizik a hodnocení namísto komplexního hodnocení rizik, tj. při její formulaci nebyly (v rozporu se ZKB) zohledněny kroky v rámci hodnocení rizik navazující na analýzu rizik, zejména aktualizace plánu zvládání rizik či uvážení úrovně akceptovaného zbytkového rizika.

9.             K porušení zásady zákazu diskriminace a rovného zacházení navrhovatel uvádí, že zadávací podmínky znevýhodňuji v soutěži ty dodavatele, kteří v rámci svých ICT řešení využívají technologie navrhovatele. Nerovnost určitých dodavatelů přitom zadavatel dle navrhovatele způsobil zcela nepřiměřeným opatřením spočívajícím v povinnosti dodat další dodatečné kusy hardware v případě dodávky programových prostředků výrobců uvedených ve varování NÚKIB.

10.         Zásadu transparentnosti zadavatel dle navrhovatele stanovením sporné podmínky porušil tím, že v zadávací dokumentaci neuvedl:

• jaká rizika byla ve vztahu k potenciálnímu využití technických a programových prostředků navrhovatele identifikována,
• z jakých konkrétních důvodů bylo ke snížení identifikovaných rizik zvoleno právě sporné opatření, když toto opatření s sebou nese největší v úvahu přicházející omezení hospodářské soutěže,
• z jakého důvodu bylo nezbytné přistoupit ke spornému opatření dodávky dodatečného kusu hardware, s ohledem na povahu, funkci, způsob začlenění a význam konkrétních prvků v celkovém technickém řešení,
• jaká jiná opatření ke snížení rizik identifikovaných v analýze rizik zadavatel zvažoval a z jakého důvodu se taková jiná – méně soutěž omezující – opatření nejeví jako dostatečná.

11.         Ze zadávací dokumentace musí dle navrhovatele vyplývat, že omezení hospodářské soutěže spornou podmínkou bylo provedeno pouze v míře nezbytné pro splnění povinností dle ZKB v souladu s § 4 odst. 4 ZKB. Zadavatel měl dle navrhovatele uvést, jakým způsobem provedl hodnocení rizik a jaká konkrétní rizika byla ve vztahu k výrobkům navrhovatele identifikována. Navrhovatel odkazuje na odbornou literaturu, konkrétně na komentář k § 36 zákona, kde cituje: „Nicméně případné omezení by mělo být vždy odůvodnitelné oprávněnými potřebami zadavatele. Jinými slovy, zadavatel může ve smyslu komentovaného odstavce 1 omezit hospodářskou soutěž o veřejnou zakázku prostřednictvím zadávacích podmínek, ale musí unést důkazní břemeno, že se nejedná o bezdůvodnou překážku v hospodářské soutěži dodavatelů o veřejnou zakázku, resp. že se nejedná o bezdůvodné přímé či nepřímé konkurenční zvýhodnění (protěžování) určitého dodavatele či skupiny dodavatelů stanovenými zadávacími podmínkami. Oba způsoby uvedeného konání zadavatele (kladení bezdůvodných překážek a aktivní přímé či nepřímé zvýhodnění dodavatele) jsou komentovaným odstavcem zakázány.“[1] Na komentářovou literaturu odkazuje i dále, když uvádí, že smyslem, respektive jedním z aspektů zásady transparentnosti v zadávacím řízení je zajištění možnosti další kontroly postupů zadavatele.[2]

12.         Navrhovatel tak k porušení zásady transparentnosti postupem zadavatele shrnuje, že ze zadávací dokumentace nevyplývá přesvědčivé zdůvodnění sporné podmínky, není k dispozici analýza rizik, na kterou zadavatel v kontextu sporné podmínky odkazuje, a nelze tak přezkoumat, že sporná podmínka s analýzou rizik souvisí a zda v daném případě nebylo možné aplikovat jiné, méně soutěž omezující opatření ke snížení údajně identifikovaných rizik.

13.         Dále navrhovatel rozvádí, v čem spatřuje nedůvodně excesivní omezení hospodářské soutěže v rozporu s § 4 odst. 4 ZKB. Dle navrhovatele není v žádném případě možné, aby se zadavatel s varováním NÚKIB vypořádal stanovením „diskriminujících podmínek pro konkrétního výrobce nebo výrobců z konkrétní země, bez zohlednění jejich povahy, funkce, způsobu začlenění a významu v celkovém technickém řešení.“ I kdyby byla na základě analýzy rizik s ohledem na varování NÚKIB indikována vysoká míra rizika u produktů navrhovatele, lze tyto dle navrhovatele nepochybně eliminovat přijetím technických opatření, která může být zavázán provést navrhovatel na své náklady (v rámci plnění veřejné zakázky). Přitom dodává, že zadavatel jako osoba povinná dle ZKB je povinen volit taková opatření k plnění povinností dle ZKB, která co nejméně omezují hospodářskou soutěž.

14.         V daném případě zadavatel dle navrhovatele vůbec neprovedl kroky, které musí následovat v rámci hodnocení rizik po provedení analýzy rizik, tj. vymezit a zvážit vhodná opatření ke snížení identifikovaných rizik na akceptovanou úroveň. Dle navrhovatele si lze představit diskriminační podmínky až v okamžiku, kdy navrhovatel nenabídne či nenavrhne zadavateli taková opatření, která by vedla ke snížení rizik na akceptovanou úroveň, a to až poté, co z úplného hodnocení rizik vyplyne, že neexistují jiná opatření, která by mohla vést ke snížení identifikovaných rizik pod akceptovanou úroveň.

15.         V závěru navrhovatel opětovně uvádí, že postup zadavatele spočívající ve stanovení nerovných zadávacích podmínek byl proveden bez úplného hodnocení rizik, když nejprve měl zadavatel vypracovat plán zvládání rizik, při jehož tvorbě měl náležitě uvážit všechna potenciální opatření, která by mohla být přijata ke snížení rizik identifikovaných v analýze rizik, a posoudit jejich dopady do hospodářské soutěže. Zároveň by povinná osoba měla uvážit úroveň akceptovaného zbytkového rizika. Teprve v návaznosti na to pak může zadavatel vymezit opatření k plnění povinností dle ZKB v nezbytném rozsahu. Dle navrhovatele zadavatel takové úplné hodnocení rizik neprovedl.

16.         Navrhovatel uvádí, že stanovením sporné podmínky mu hrozí vznik újmy, neboť v jejím důsledku nelze podat konkurenceschopnou nabídku, když navrhovateli je stanovena povinnost dodání většího množství, než ostatním dodavatelům.

17.         Na základě výše uvedeného navrhovatel žádá, aby Úřad zrušil zadávací řízení na veřejnou zakázku.

III.           PRŮBĚH SPRÁVNÍHO ŘÍZENÍ

18.         Dne 8. 7. 2019, kdy Úřad návrh navrhovatele obdržel, bylo podle § 249 zákona ve spojení s § 44 odst. 1 zákona č. 500/2004 Sb., správní řád, ve znění pozdějších předpisů (dále jen „správní řád“), zahájeno správní řízení o přezkoumání úkonů zadavatele vedené pod sp. zn. S0262/2019/VZ.

19.         Účastníky správního řízení podle ustanovení § 256 zákona jsou

• zadavatel,
• navrhovatel.

20.         Zahájení správního řízení Úřad jeho účastníkům oznámil přípisem č. j. ÚOHS-S0262/2019/VZ-18943/2019/523/JMa ze dne 9. 7. 2019. V oznámení o zahájení správního řízení Úřad mj. zadavatele upozornil, že je dle § 252 odst. 1 zákona povinen doručit Úřadu dokumentaci o zadávacím řízení v originále.

21.         Dne 18. 7. 2019 byla Úřadu prostřednictvím datové schránky doručena kompletní dokumentace o zadávacím řízení k předmětné veřejné zakázce společně s „Vyjádřením zadavatele k obsahu návrhu“ (dále jen „vyjádření“) a dne 29. 7. 2019 byla Úřadu doručena poštou v listinné podobě tatáž dokumentace o zadávacím řízení, vč. nabídek dodavatelů, které zadavatel obdržel v zadávacím řízení.

22.         Usnesením č. j. ÚOHS-S0262/2019/VZ-19967/2019/523/JMa ze dne 22. 7. 2019 uložil Úřad zadavateli lhůtu k podání informace Úřadu o dalších úkonech, které zadavatel provede v šetřeném zadávacím řízení v průběhu správního řízení, a zaslání příslušné dokumentace o zadávacím řízení ve smyslu § 216 odst. 1 zákona pořízené v souvislosti s provedenými úkony, a to nejpozději jeden den po provedení příslušného úkonu.

Analýza rizik zadavatele a související dokumenty

23.         Dne 25. 7. 2019 Úřad zadavateli usnesením č. j. ÚOHS-S0262/2019/VZ-20485/2019/523/JMa stanovil lhůtu k doručení analýzy rizik, na základě které přistoupil k zařazení sporného opatření do zadávací dokumentace, jakož i metodiky zadavatele pro hodnocení rizik ve smyslu § 5 odst. 1 písm. a) VKB, a souvisejících dokumentů nezbytných pro úplné pochopení postupu zadavatele při hodnocení rizik. Úřad se dále usnesením dotázal zadavatele, zda tyto dokumenty obsahují z hlediska § 38 odst. 6 správního řádu skutečnosti, na něž se vztahuje zákonem uložená nebo uznaná povinnost mlčenlivosti, příp. utajované informace ve smyslu zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů a případně, aby tyto konkrétně identifikoval.

24.         Dne 1. 8. 2019 obdržel Úřad na základě usnesení č. j. ÚOHS-S0262/2019/VZ-20485/2019/523/JMa dokument obsahující nejen příslušnou analýzu rizik, ale také kroky zadavatele v procesu hodnocení rizik, jehož byla analýza rizik součástí, a dále interní pokyn zadavatele pro hodnocení rizik ve smyslu § 5 odst. 1 písm. a) VKB, včetně příloh (dále jen „Pokyn MKB“). Zároveň zadavatel sdělil, že všechny doručované dokumenty obsahují skutečnosti, na něž se vztahuje zákonem uložená nebo uznaná mlčenlivost.

25.         Usnesením č. j. ÚOHS-S0262/2019/VZ-25485/2019/523/JMa ze dne 16. 9. 2019 Úřad stanovil zadavateli lhůtu k provedení úkonu – identifikaci konkrétních ustanovení právních předpisů, na základě kterých obsahuje analýza rizik a související dokumenty doručené zadavatelem Úřadu dne 1. 8. 2019 skutečnosti ve smyslu § 38 odst. 6 správního řádu, na něž se vztahuje zákonem uznaná nebo uložená povinnost mlčenlivosti. Na základě tohoto usnesení zadavatel Úřadu odpověděl dne 19. 9. 2019 s tím, že se jedná o právní důvod dle § 11 odst. 1 písm. d) zákona č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů.

26.         Dne 8. 8. 2019 Úřad rozhodnutím č. j. ÚOHS-S0262/2019/VZ-21931/2019/523/JMa nařídil předběžné opatření, kterým zadavateli zakázal uzavřít v zadávacím řízení na veřejnou zakázku smlouvu.

Stanovisko NÚKIB ze dne 9. 9. 2019

27.         Usnesením č. j. ÚOHS-S0262/2019/VZ-21572/2019/523/JMa ze dne 9. 8. 2019 Úřad správní řízení přerušil s cílem získat odborné stanovisko, příp. znalecký posudek k zadavatelem poskytnuté analýze rizik, konkrétně k otázce, zda předmětná analýza rizik byla z formálního a obsahového hlediska provedena v souladu s dotčenými právními předpisy a obecně platnými uznávanými standardy v oboru kybernetické bezpečnosti. V návaznosti na to pak Úřad oslovil s žádostí o stanovisko č. j. ÚOHS-S0262/2019/VZ-21968/2019/523/JMa ze dne 12. 8. 2019 NÚKIB.

28.         Dne 30. 8. 2019 NÚKIB informoval Úřad, že jeho sdělení je dosud připravováno. Sdělení NÚKIB k analýze rizik bylo Úřadu doručeno dne 9. 9. 2019. NÚKIB nejprve sdělil, že analýzu rizik je třeba posuzovat v kontextu předcházejících a navazujících kroků zadavatele tvořících v souhrnu proces řízení rizik. Výběr konkrétního bezpečnostního opatření pro snížení hodnoty rizika na akceptovatelnou úroveň (v šetřeném případě sporného opatření) musí být založen nejen na analýze rizik, ale i na navazujícím vyhodnocení rizik a zvážení v úvahu přicházejících bezpečnostních opatření a postup povinné osoby by přitom měl korespondovat s již nastavenými pravidly pro řízení rizik.

29.         NÚKIB kromě posouzení správnosti postupu povinné osoby při tvorbě analýzy rizik posoudil i souladnost celého procesu hodnocení rizik s Pokynem MKB. Na základě informací obsažených v dokumentech poskytnutých mu Úřadem (tj. dokumentů obdržených Úřadem od zadavatele dne 1. 8. 2019, srov. bod 24. tohoto odůvodnění) NÚKIB uzavřel, že „předložená analýza rizik splňuje požadavky ZKB a VKB a je provedena v souladu s obecně platnými a uznávanými standardy v oboru kybernetické bezpečnosti.“ K rozsahu svého přezkumu uvedl NÚKIB následující:

„NÚKIB se při hodnocení zákonnosti předložené analýzy rizik (resp. celého procesu hodnocení rizik, jehož byla analýza rizik součástí) zaměřil primárně na to, zda zadavatel postupoval v souladu s metodikou k tomu stanovenou (zde pokynem MKB), zda jsou metodika i praktický postup zadavatele při hodnocení rizik srozumitelné a přezkoumatelné, zda pravidla obsažená v metodice korespondují s pravidly obsaženými v ZKB a VKB a se standardy v oblasti kybernetické bezpečnosti a zda zadavatel tam, kde mu metodika i právní předpisy umožňují jednat dle svého vlastního uvážení (zejm. při přiřazování hodnot aktivům, hrozbám a zranitelnostem), nejednal neodůvodněně excesivně. Dále pak NÚKIB hodnotil rozsah aktiv, u nichž byla hodnocena rizika, jejich souvislost s předmětem veřejné zakázky a způsob zapracování informace obsažené ve varování do procesu hodnocení rizik. Dílčí nepřesnosti a nedostatky, které NÚKIB identifikoval, spočívaly zejména v absenci podrobnějšího hodnocení důsledků závislostí mezi jednotlivými aktivy, nepřesném rozdělení jednotlivých úrovní škály pro hodnocení rizik a nezohlednění zavedených bezpečnostních opatření při stanovení hodnoty rizika spojeného s použitím prostředků dotčených společností. Uvedené nedostatky však samostatně ani v souhrnu nemohly mít vliv na výsledek hodnocení rizik, neboť výsledná hodnota rizika by stále dosahovala neakceptovatelné úrovně.“

30.         Usnesením č. j. ÚOHS-S0262/2019/VZ-26093/2019/523/JMa ze dne 26. 9. 2019 Úřad stanovil zadavateli lhůtu k provedení úkonu - sdělení, jakým způsobem sporné opatření snižuje na akceptovatelnou úroveň jiná rizika, než ta, spočívající v nedostupnosti služby, která zadavatel vyhodnotil jako vysoká nebo kritická a tato neakceptoval. Zadavatel k usnesení Úřadu sdělil, že sporné opatření tato rizika nesnižuje. Dále sdělil, že po posouzení každé hrozby a s ní spjaté úrovně rizika došel k závěru, že pouze u hrozeb týkajících se „nedostupnosti služby“ není schopen riziko snížit na akceptovatelnou úroveň prostřednictvím již zavedených organizačních a technických opatření.

Stanovisko NÚKIB ze dne 23. 10. 2019

31.         Dne 4. 10. 2019 Úřad oslovil přípisem č. j. ÚOHS-S0262/2019/VZ-27156/2019/523/JMa z téhož dne s žádostí o (další) stanovisko NÚKIB. V žádosti o stanovisko se Úřad dotazoval, zda zadavatel mohl dle odborného názoru NÚKIB v souladu s dotčenými právními předpisy (zejména ZKB a VKB) a obecně platnými a uznávanými standardy v oboru kybernetické bezpečnosti (tj. lege artis) zvolit i jiné technické opatření, než sporné opatření, kterým by zamezil riziku nedostupnosti služby? Dále se dotázal, zda bylo předmětné bezpečnostní opatření, tj. sporné opatření, zvoleno v souladu s obecně platnými a uznávanými standardy v oboru kybernetické bezpečnosti (tj. lege artis)? Dne 21. 10. 2019 pak Úřad zaslal opakovanou žádost č. j. ÚOHS-S0262/2019/VZ-28830/2019/523/JMa.

32.         Sdělení od NÚKIB Úřad obdržel dne 23. 10. 2019. NÚKIB v něm mimo jiné uvedl, že:

„ZKB ani VKB nestanoví podrobnější informace ke způsobu výběru opatření ke zvládání rizik, platí tedy (a tyto postupy vycházejí z technických norem regulujících systém řízení bezpečnosti informací, zejm. ČSN ISO/IEC 27001 a ČSN ISO/IEC 27005; na normách ISO/IEC řady 27000 je ostatně založena celá VKB), že konkrétní opatření ke zvládání rizik volí povinná osoba na základě svých specifických potřeb, především při zohlednění struktury informačního nebo komunikačního systému, jehož rizika mají být mitigována, pravidel obsažených v bezpečnostních politikách a bezpečnostní dokumentaci a dalších postupů a požadavků, kterými je povinná osoba v rámci své činnosti vázána. Nezbytnou součástí zvažování přiměřenosti bezpečnostního opatření [o které hovoří § 3 písm. c) VKB] je též posouzení hospodárnosti zvoleného postupu, zejm. tedy zda náklady spojené se zavedením bezpečnostního opatření nejsou neúměrné nákladům spojeným s realizací rizika. Volba konkrétního opatření ke snížení identifikovaného rizika je výlučně v odpovědnosti povinné osoby.

Výčet opatření ke zvládání rizik přitom není konečný – konkrétní podoba opatření se odvíjí především od charakteru rizika, na které má reagovat, atributu bezpečnosti, na který má reagovat (důvěrnost, dostupnost, integrita), úrovně zabezpečení, které má být jeho implementací dosaženo, architektury systému, do kterého má být implementováno, lokace, ve které má být implementováno, důležitosti aktiva, jehož rizika mají být regulována, finančních možností povinné osoby atd. Konkrétní opatření, které je pro mitigaci určitého rizika zavedeno v jedné organizaci, nemusí být vhodné pro jinak strukturovanou organizaci. Jedno technické opatření může ve vztahu k různým systémům regulovat riziko různým způsobem a v různé kvalitě. Některá technická opatření mohou být s ohledem na jejich provedení unikátní a v jiných organizacích nereplikovatelná, některá inovativní technická opatření nemusí být povinným osobám z jejich činnosti vůbec známa. Ze všech těchto a dalších důvodů je výběr konkrétních opatření ke zvládání rizik ponechán povinným osobám, neboť nikdo nezná regulované systémy a kontext jejich fungování lépe než právě povinné osoby.

Úlohou NÚKIB v této věci je pak především kontrola toho, zda bezpečnostní opatření, která má povinná osoba povinnost zavést a provést, jsou zaváděna a prováděna v rozsahu nezbytném pro zajištění kybernetické bezpečnosti konkrétního systému a zda povinné osoby zohledňují požadavky vyplývající z bezpečnostních opatření při výběru dodavatele pro jejich systém (situaci lze například připodobnit tomu, že ÚOHS obecně nehodnotí vhodnost řešení poptávaných ve veřejných zakázkách z hlediska potřeb zadavatelů, ale pouze to, zda zadavatelé při formulaci svých požadavků nevybočují z mantinelů pro zadávání veřejných zakázek). Ve vztahu k přijatým opatřením pro zvládání rizik tedy NÚKIB hodnotí, zda skutečně vedou k požadovanému cíli (snížení rizika na akceptovatelnou úroveň) a zda nejsou nepřiměřená, nikoli zda povinná osoba zvážila všechna možná řešení (to lze učinit jen vůči opatřením, která jsou uvedena v rámci VKB, ale ne vůči všem možným řešením) a zvolila nejoptimálnější z nich. „Zvážení v úvahu přicházejících bezpečnostních opatření“ zmíněné v předchozím vyjádření NÚKIB má sloužit povinným osobám k tomu, aby z v úvahu přicházejících řešení vybraly to nejoptimálnější z hlediska svých potřeb.“

33.         NÚKIB dále ve sdělení identifikoval čtyři povinnými osobami v praxi obvykle zvažované postupy:

a)      nasazení technického opatření eliminujícího zranitelnost(i) aktiva nebo hrozby spojené s používáním aktiva (tj. de facto postup, který měl dle navrhovatele zadavatel v dané situaci použít, srov. body  13. a 14. tohoto odůvodnění),

b)      implementaci nového řešení za současného zachování provozu (byť nouzového) starého řešení,

c)      redundanci, tedy zdvojení používaných zařízení (tj. de facto sporné opatření zadavatele),

d)      eliminaci rizikové technologie (obvykle v případech, kdy zranitelnost aktiva nemůže být eliminována jiným způsobem nebo kdy hrozbu spojenou s použitím aktiva nelze eliminovat jiným způsobem).

K možnosti a) NÚKIB uvedl, že ve svém varování identifikoval jako hrozbu technické a programové prostředky dotčených společností, bez další specifikace, tj. vztahující se na všechny jejich řešení mířící na trh, přičemž stejně tak nehodnotí zranitelnosti jednotlivých jejich zařízení. Důvody pro vydání varování NÚKIB nejsou na konkrétní zranitelnosti vázány, hrozba, kterou tak jejich prostředky představují, může být realizována jednak prostřednictvím obvyklých zranitelností, jednak prostřednictvím zranitelností, které mohou být pro jejich prostředky specifické. NÚKIB tak z uvedených důvodů považuje za nevhodné, aby povinné osoby bez informací, které má k dispozici NÚKIB a vede je v utajovaném režimu jako veřejnosti nepřípustné, dovozovaly, které zranitelnosti jsou s prostředky dotčených společností spojeny a reagovaly na ně specifickými technickými opatřeními. Shrnul tak, že „Pokud povinná osoba nezná specifika zranitelností a hrozeb spojených s uvedenými zařízeními, těžko na ně může nějak specificky reagovat.“

K možnosti b) pak uvedl, že takové řešení je spíše provizorní, vzhledem k nevyhnutelné rostoucí poruchovosti a zastarávání původních technologií a označil ji za krajně problematickou a dlouhodobě neudržitelnou.

Jako zcela běžné řešení pro zajištění vysoké dostupnosti pak označil redundanci, tj. postup podle písm. c), která je nadto bezpečnostním opatřením podle § 27 písm. d) VKB, tj. opatřením, které musí povinná osoba ze zákona zvažovat. Redundancí zajistí, že v případě výpadku primárního zařízení budou veškeré procesy přesměrovány na redundantní funkční zařízení a neovlivní fungování služby samotné a pro případ ztráty dat budou data zachována na redundantním zařízení.

Varianta d) pak spočívá ve vyloučení řešení dotčených společností. Ta však může být z hlediska ZKB a VKB nepřiměřená, když cílem přijetí bezpečnostního opatření není současné zajištění dostupnosti, důvěrnosti a integrity, ale pouze některé z těchto složek (např. dostupnosti, jako v šetřeném případě).

34.         NÚKIB tak uzavřel, že sporné opatření představuje zákonem předpokládané a standardně užívané opatření pro zajištění dostupnosti služby. U redundantního zařízení má zadavatel speciální požadavky na výrobce zařízení, vycházející z varování NÚKIB. Sporné opatření se tak s ohledem na skutkové okolnosti dle názoru NÚKIB jeví jako smysluplné a neexcesivní. Dále dodal, že na základě jeho zkušeností lze dovodit, že není příliš pravděpodobné, že by existovalo i jiné technické řešení, kterým by zadavatel byl schopen srovnatelným způsobem zajistit vysokou dostupnost služby a snížit tím hodnotu identifikovaného rizika na akceptovatelnou úroveň, vyjma úplného zákazu prostředků dotčených společností.

35.         Úřad dne 23. 10. 2019 určil účastníkům řízení lhůtu, ve které se mohli vyjádřit k podkladům rozhodnutí.

36.         K podkladům rozhodnutí se ve stanovené lhůtě ani později žádný z účastníků správního řízení nevyjádřil.

IV.          ZÁVĚRY ÚŘADU

Relevantní ustanovení právních předpisů

37.         Podle § 6 odst. 1 zákona zadavatel při postupu podle tohoto zákona musí dodržovat zásady transparentnosti a přiměřenosti.

38.         Podle § 6 odst. 2 zákona zadavatel musí ve vztahu k dodavatelům dodržovat zásadu rovného zacházení a zákazu diskriminace.

39.         Podle § 36 odst. 1 zákona nesmí být zadávací podmínky stanoveny tak, aby určitým dodavatelům bezdůvodně přímo nebo nepřímo zaručovaly konkurenční výhodu nebo vytvářely bezdůvodné překážky hospodářské soutěže.

40.         Podle § 36 odst. 3 zákona zadavatel stanoví a poskytne dodavatelům zadávací podmínky v podrobnostech nezbytných pro účast dodavatele v zadávacím řízení a nesmí přenášet odpovědnost za správnost a úplnost zadávacích podmínek na dodavatele.

41.         Orgány a osoby uvedené v § 3 písm. c) až f) ZKB jsou podle § 4 odst. 2 ZKB povinny zavést a provádět bezpečnostní opatření v rozsahu nezbytném pro zajištění kybernetické bezpečnosti informačního systému a vést o nich bezpečnostní dokumentaci.

42.         Podle § 4 odst. 4 ZKB jsou orgány a osoby uvedené v § 3 písm. c) až f) [mezi které patří i zadavatel, pozn. Úřadu] povinny zohlednit požadavky vyplývající z bezpečnostních opatření při výběru dodavatele pro jejich informační nebo komunikační systém a tyto požadavky zahrnout do smlouvy, kterou s dodavatelem uzavřou. Zohlednění požadavků vyplývajících z bezpečnostních opatření podle věty první v míře nezbytné pro splnění povinností podle tohoto zákona nelze považovat za nezákonné omezení hospodářské soutěže nebo neodůvodněnou překážku hospodářské soutěži.

K výroku rozhodnutí                                                                                              

43.         Úřad nejprve uvádí, že jádro sporu spočívá v oprávněnosti zadavatelem zvoleného sporného opatření uvedeného v čl. 17 písm. o) zadávací dokumentace, spočívajícího v povinnosti redundance dodávaných serverů v případě, že dodavatel jako primární server nabídne server dotčených společností. Navrhovatel namítá, že sporná zadávací podmínka vytváří bezdůvodné překážky hospodářské soutěže ve smyslu § 36 odst. 1 zákona (srov. bod 8. a násl. tohoto odůvodnění).

44.         Předmětné ustanovení kategoricky nezakazuje, aby zadavatel stanovením zadávacích podmínek vytvářel překážky hospodářské soutěže, ale (pokud by např. z nějakého důvodu musel) aby tomu tak ze strany zadavatele nebylo činěno bezdůvodně. Každé zadávací podmínky do jisté míry omezují hospodářskou soutěž, jelikož vždy dochází k omezení okruhu potenciálních dodavatelů, kteří jsou schopni se o veřejnou zakázku úspěšně ucházet, tj. například splnit kvalifikační předpoklady. Omezení se však musí vždy pohybovat v rámci zásad uvedených v § 6 zákona, které proces zadávání veřejných zakázek ovládají.

45.         Jak navrhovatel uvádí, k porušení zásady zákazu diskriminace a rovného zacházení dochází v daném případě tím, že dodavatelé nabízející řešení navrhovatele jsou povinni dodat ještě další, „zdvojující“ kus hardware od jiného výrobce, než od dotčených společností. Důsledkem je podle něj de facto vyloučení účasti navrhovatele na veřejné zakázce, když povinnost dodat kus hardwaru navíc nepochybně vede k vyšším nákladům oproti dodavatelům, jichž se varování NÚKIB netýká.

46.         Úřad na tomto místě souhlasí, že sporné opatření nepochybně určitým způsobem omezuje možnost dodavatelů, nabízejících řešení dotčených společností, se o veřejnou zakázku úspěšně ucházet. Není pochybnosti o tom, že povinnost dodat kus hardware navíc na základě sporné podmínky vede k navýšení nákladů dodavatelů, zatímco dodavatelům, kterých se sporná podmínka netýká, navýšení nákladů nevzniká.

47.         Sporná podmínka tak dle Úřadu vytváří omezení hospodářské soutěže, díky kterému jsou někteří dodavatelé jistě znevýhodněni oproti dodavatelům jiným. Zároveň je však třeba říci, že zadavatel zakotvil sporný požadavek do zadávací dokumentace za účelem splnění svých zákonných povinností, a to v návaznosti na varování NÚKIB. Ustanovení § 4 odst. 4 ZKB zadavateli výslovně stanovuje povinnost zohlednit požadavky vyplývající z bezpečnostních opatření při výběru dodavatele pro informační nebo komunikační systém. Zohlednění takových požadavků v míře nezbytné pro splnění povinností podle ZKB pak nelze považovat za nezákonné omezení hospodářské soutěže nebo nedůvodnou překážku hospodářské soutěže. Úřad se tak pro posouzení otázky, zda zadavatel stanovil spornou podmínku v rozporu s § 36 odst. 1 zákona, zabýval tím, zda spornou podmínku stanovil v souladu se ZKB a v míře nezbytně nutné, ve smyslu § 4 odst. 4 ZKB, přičemž na tomto místě předesílá, že své posouzení zakládá zejména na vyjádření, která mu na žádost poskytl příslušný ústřední orgán státní správy pro oblast kybernetické bezpečnosti, tj. NÚKIB (srov. body 28., 31. a násl. tohoto odůvodnění).

48.         Ve sdělení ze dne 23. 10. 2019 NÚKIB mj. popsal, co je bezpečnostním opatřením ve smyslu ZKB, přičemž jako jedno z bezpečnostních opatření označil řízení rizik, kterým se podle § 2 písm. i) VKB rozumí činnost zahrnující hodnocení rizik, výběr a zavedení opatření ke zvládání rizik, sdílení informací o riziku a sledování a přezkoumání rizik (u zadavatele je způsob řízení rizik zachycen v Pokynu MKB). Výběr konkrétního opatření, kterým se sníží hodnota rizika na akceptovatelnou úroveň (v šetřeném případě tedy redundancí rizikového aktiva), pak závisí na analýze rizik, v rámci které se stanoví hodnota rizika a zároveň na navazujícím vyhodnocení rizik, a to vše v souladu s nastavenými pravidly pro řízení rizik.

49.         V šetřeném případě NÚKIB ve sdělení ze dne 9. 9. 2019 posoudil zadavatelův dokument obsahující hodnocení rizik, včetně analýzy rizik, jako vypracovaný v souladu se zákonem a obecně platnými a uznávanými standardy v oboru kybernetické bezpečnosti. Zejména se zaměřil na to, zda zadavatel postupoval v souladu s Pokynem MKB, zda jsou postup zadavatele i Pokyn MKB srozumitelné a přezkoumatelné, zda korespondují s pravidly v ZKB, VKB a standardy kybernetické bezpečnosti, a zda tam, kde zadavatel mohl jednat v rámci vlastního uvážení, nejednal excesivně.

50.         Z výše uvedeného sdělení NÚKIB ze dne 9. 9. 2019 tak vyplývá, že zadavatel provedl proces hodnocení správně, když na základě varování NÚKIB (v terminologii Pokynu MKB „významné změny“, na základě které došlo ke změně hodnoty rizika u jednotlivých rizik) analyzoval rizika spojená s použitím výrobků dotčených společností jako vysoká či kritická. Dle článku 3. odst. 3. Pokynu MKB jsou obě tyto úrovně rizika popsány jako nepřípustná, respektive dlouhodobě nepřípustná. Zadavatel tak byl povinen tato rizika snížit na akceptovatelnou úroveň.

51.         Úřad v kontextu výše uvedeného může na tomto místě učinit dílčí závěr, a sice že zadavatel při vyhodnocování rizik postupoval v souladu s platnými předpisy i obecně uznávanými standardy v oboru kybernetické bezpečnosti.

52.         Jak je uvedeno ve sporné podmínce, tak i ve vyjádřeních, která od zadavatele obdržel Úřad, sporná podmínka má zajistit vysokou dostupnost řešení, přičemž zadavatel tvrdí, že z jeho pohledu se jedná zároveň o jediné možné technické řešení, jak riziku nedostupnosti služby předejít. Naproti tomu navrhovatel tvrdí, že zvolené řešení je excesivní a přesahuje nezbytnou míru ve smyslu § 4 odst. 4 ZKB.

53.         Povinnost zajistit dostupnost služby zadavateli jakožto povinné osobě podle ZKB je zakotvena v § 4 odst. 2 ZKB. Přijetí opatření pro jejich zajištění tak není žádnou „libovůlí“ zadavatele, ale plněním zákonné povinnosti, bez jejíhož splnění by nemohl soutěžené plnění vůbec do svých struktur použít, když vyhodnotil, že riziko nedostupnosti služby dosahuje hodnot, kdy jej na základě svých bezpečnostních opatření (tj. v daném případě řízení rizik) nemůže akceptovat. Zadavatel tak byl v dané situaci povinen opatření pro snížení rizika na akceptovatelnou úroveň přijmout. Úřad se tak zaměřil na otázku, zda na základě, jak uvedl NÚKIB, „správně“ provedeného vyhodnocení rizik, je zadavatelem zvolené sporné opatření vhodné a přiměřené pro dosažení jím deklarovaného cíle, tj. zajištění vysoké dostupnosti služby.

54.         Navrhovatel ve svém návrhu uvádí, že i v případě, že by zadavatel na základě analýzy rizik s ohledem na varování NÚKIB indikoval vysokou míru rizika u jeho produktů (jak tomu bylo i v daném případě), šlo tato rizika eliminovat přijetím technických opatření, která méně omezí hospodářskou soutěž. Naopak zadavatel označil zvolené technické opatření jako jediné možné (respektive jediné, o kterém ví) pro zajištění dostupnosti služby.

55.         Jak uvedl NÚKIB ve sdělení z 23. 10. 2019, povinné osoby pro zajištění dostupnosti služby v praxi obvykle zvažují čtyři postupy. Nasazení technického opatření eliminujícího zranitelnost(i) aktiva či hrozby s ním spojené, implementaci nového řešení při zachování starého řešení, redundanci a eliminaci rizikové technologie.

56.         Posledně uvedené opatření by znamenalo úplné vyloučení řešení navrhovatele ze zadávacího řízení a nelze tak hovořit o opatření, které by omezovalo hospodářskou soutěž v menším rozsahu, než sporné opatření zvolené zadavatelem. Co se týče implementace nového řešení za současného zachování provozu starého řešení, tuto variantu NÚKIB označil za krajně problematickou a dlouhodobě neudržitelnou, a to vzhledem k rostoucí poruchovosti a zastarávání původních technologií, navíc ne vždy použitelnou.

57.         Ze zbývajících postupů pro snížení rizika nedostupnosti služeb tak zbývají dva, a to redundance, tj. opatření zvolené zadavatelem, anebo takové technické opatření, které sníží zranitelnost(i) nebo hrozby na akceptovatelnou úroveň, tj. fakticky postup preferovaný navrhovatelem. Jak uvedl navrhovatel ve svém návrhu, takové opatření nemůže zadavatel přijmout „od stolu,“ bez znalosti konkrétního nabízeného řešení a bez spolupráce s dodavateli takového řešení. Naopak si dle navrhovatele měl zadavatel nejprve počkat, jaké řešení mu dodavatelé nabídnou a až na jejich základě přijmout konkrétní opatření k příslušnému nabídnutému řešení.

58.         Úřad uvádí, že navrhovatelem předestíraný postup nebyl v dané situaci použitelný, když nutnost přijmout opatření pro zabránění nedostupnosti služby vychází z varování NÚKIB. Jak uvádí NÚKIB ve sdělení ze dne 23. 10. 2019, varování označuje jako hrozbu pro kybernetickou bezpečnost technické a programové prostředky dotčených společností bez bližší specifikace. Vzhledem k obecnosti varování NÚKIB tak zadavatel nemá (resp. ani nemůže mít) informace o tom, jaká konkrétní rizika z použití řešení dotčených společností vycházejí (srov. bod 33. tohoto odůvodnění). Uvedené přitom platí jak pro fázi před podáním nabídek, tak i pro fázi po podání nabídek, kdy již ví, jaká konkrétní řešení dodavatelé nabízejí. Ani se znalostí konkrétního řešení nemůže zadavatel přijímat specifická technická opatření ke snížení zranitelnosti, jejíž specifika nezná. Na této skutečnosti nic nemění ani potenciální ochota navrhovatele technická opatření na vlastní náklady do svého řešení zakomponovat, když zadavatel stále nebude bez znalosti specifických zranitelností vědět, zda by taková technická opatření byla dostatečná.

59.         Naproti tomu zadavatelem zvolené technické opatření odrážející se ve sporné podmínce, tj. požadavek na zdvojení dodávaného hardware, označil NÚKIB za v praxi zcela běžné řešení pro zajištění vysoké dostupnosti služby, které navíc zadavatel byl povinen zvažovat dle VKB. Ačkoliv to sice samo o sobě neznamená, že takový postup by pro hospodářskou soutěž nebyl omezující nad míru nezbytnou pro plnění povinností zadavatele ve smyslu § 4 odst. 4 ZKB, je třeba zároveň dodat, že NÚKIB dává zadavateli za pravdu, když uvádí, že „není příliš pravděpodobné, že by existovalo i jiné technické řešení, kterým by zadavatel byl schopen srovnatelným způsobem zajistit vysokou dostupnost služby a snížit tím hodnotu identifikovaného rizika na akceptovatelnou úroveň, vyjma úplného zákazu prostředků dotčených společností“, čímž potvrzuje tvrzení zadavatele, že si není vědom žádného jiného opatření, kterým by vysokou dostupnost služby zajistil, než prostřednictvím sporného požadavku.

60.         Úřad (jakož ani NÚKIB) nevylučuje, že může – v teoretické rovině – existovat pro hospodářskou soutěž méně omezující technické opatření, než redundance, kterým by zadavatel zajistil vysokou dostupnost služby. Jak však Úřad uvádí v bodě 57. tohoto odůvodnění, zadavatel neměl (s ohledem na nedostupnost bližších informací) žádnou možnost takové opatření přijmout v situaci, kdy reálně nezná hrozbu, které čelí. Vedle úplného vyloučení řešení dotčených společností (které by bylo navíc „přísnějším“ opatřením a bezpochyby by jej navrhovatel rovněž – stejně jako sporný požadavek – považoval za nepřiměřené) tak zadavatel sporným opatřením dle Úřadu v dané situaci zvolil pro něj jediné možné opatření pro zajištění vysoké dostupnosti služby. V této souvislosti Úřad dále uvádí, že je za jedno s názorem NÚKIB o tom, že nelze předmětné opatření považovat za excesívní, přesahující nezbytnou míru ve smyslu § 4 odst. 4 ZKB.

61.         S argumentem navrhovatele, že sporná podmínka nebyla stanovena na základě komplexního hodnocení rizik tak Úřad nemůže souhlasit, když ze všeho výše uvedeného plyne, že proces řízení rizik zadavatel provádí v souladu se ZKB a v jeho rámci zvolil i technické opatření, které je nejen vhodné, ale také bezdůvodně neomezuje hospodářskou soutěž.

62.         Úřad tak uzavírá, že ačkoliv zadavatel stanovením sporné podmínky hospodářskou soutěž omezil, nejednalo se o omezení bezdůvodné, a tudíž zákonem nedovolené.

63.         K navrhovatelem tvrzenému porušení zásady zákazu diskriminace a zásady rovného zacházení Úřad uvádí, že není pochyby o tom, že sporná podmínka znevýhodňuje některé dodavatele, nabízející řešení dotčených společností, a sama o sobě tak překážku hospodářské soutěže představuje. Možné porušení zásady zákazu diskriminace, jako ostatně i dalších zásad ovládajících zadávací řízení, je však nutno posuzovat optikou individuálních okolností případu. Jak Úřad dovodil výše, sporné opatření je (s výjimkou úplného vyloučení řešení dotčených společností) jediným opatřením pro zabránění nedostupnosti služby, které mohl zadavatel reálně přijmout. S ohledem na povinnosti zadavatele plynoucí ze ZKB by bez přijetí sporného opatření ani nemohl předmět veřejné zakázky poptávat. Zároveň Úřad (i v kontextu stanoviska NÚKIB) uzavřel, že se nejedná o podmínku jakkoliv excesivní. Její zařazení do zadávací dokumentace tak nepředstavuje libovůli zadavatele, nýbrž jediný způsob, jak mohl zadavatel dostát svým zákonným povinnostem v oblasti kybernetické bezpečnosti. Zadavatel je přitom povinen se při zadávání veřejných zakázek řídit právním řádem České republiky jako celkem. Nemůže-li tak zadavatel dodržet svou zákonnou povinnost při zadávání veřejné zakázky v oblasti kybernetické bezpečnosti jinak, než přijetím sporného opatření, nejedná se o nedovolenou diskriminaci, neboť takový závěr by vedl k situaci, kdy by zadavatel předmět veřejné zakázky vůbec nemohl poptat, a to bez jakéhokoliv zavinění z jeho strany. Ostatně i navrhovatel určitý rozdílný přístup připouští, když uvádí, že náklady na „mírnější“ technické opatření na základě varování NÚKIB (tj. takové, které by navrhovatel považoval za důvodné) by mohl nést dodavatel nabízející řešení dotčených společností. I v takovém případě by však vznikly dodavatelům nabízejícím řešení dotčených společností určité zvýšené náklady, a tudíž by byli znevýhodněni oproti dodavatelům nabízejícím řešení, kterých se varování NÚKIB netýká. Úřad tak uzavírá, že sporná podmínka nepředstavuje nedovolenou diskriminaci.

64.         Na závěr se Úřad vyjadřuje i k navrhovatelem tvrzenému nedodržení zásady transparentnosti ze strany zadavatele z důvodů uvedených v bodě 10. odůvodnění tohoto rozhodnutí. Co do stanovení zadávacích podmínek se tato zásada odráží v § 36 odst. 3 zákona, když zadávací podmínky je zadavatel povinen stanovit a poskytnout dodavatelům v podrobnostech nezbytných pro účast dodavatele v zadávacím řízení. Sporná podmínka byla co do způsobu stanovení dostatečně jasná a jednoznačná a je z ní patrné, co konkrétně zadavatel od dodavatelů (v případě, že se jich sporná podmínka týká) požaduje. Stejně tak bylo ve sporné podmínce výslovně uvedeno, že tato vychází z varování NÚKIB včetně odůvodnění, proč je zadavatel povinen na varování NÚKIB reagovat. Varování NÚKIB přitom muselo být navrhovateli, jakožto dodavateli nabízejícímu řešení jedné z dotčených společností, také jistě dobře známé, když o jeho existenci má povědomí i široká veřejnost. I v kontextu této informace lze mít za to, že i navrhovateli byly známy souvislosti, z nichž sporná podmínka vyplývala. Ke spornému opatření tak zadavatel nepřistoupil svévolně, nýbrž reagoval na varování NÚKIB, a to po řádně provedeném procesu hodnocení rizik. Dle Úřadu zadavatel neměl povinnost v zadávací dokumentaci dokumenty obsahující analýzu rizik zveřejnit, když tyto netvoří její součást, ani nebyl povinen v zadávací dokumentaci uvádět, na základě jakých podkladů spornou podmínku stanovil, když informace obsažené v předmětných dokumentech dodavatelé pro podání nabídek do zadávacího řízení veřejné zakázky nepotřebují. Zásada transparentnosti nespočívá v povinnosti zveřejňovat veškeré podklady, na základě kterých byla zadávací dokumentace připravena, ale (mimo jiné) v možnosti postupy zadavatele zpětně přezkoumat. Jak je uvedeno výše, Úřad měl možnost procesy zadavatele vedoucí k volbě konkrétního opatření přezkoumat, když dokumenty týkající se řízení rizik u zadavatele od něj obdržel a mj. na základě posouzení NÚKIB i vyhodnotil jako dostatečné. Co se týká přezkoumatelnosti toho, jaká jiná opatření zadavatel zvažoval, pak Úřad uvádí, že zadavatel ve svém vyjádření uvedl, že se z jeho pohledu jedná o jediné možné technické řešení, jak předejít riziku „nedostupnosti služby“. Úřad (s ohledem na sdělení NÚKIB) došel ke stejnému závěru a volbu sporného opatření označil za vhodnou a bezdůvodně neomezující hospodářskou soutěž (srov. bod 61. tohoto odůvodnění).

65.         Podle § 265 písm. a) zákona Úřad návrh zamítne, pokud nebyly zjištěny důvody pro uložení nápravného opatření.

66.         Na základě všech zjištění a argumentů uvedených v odůvodnění tohoto rozhodnutí Úřad ve věci návrhu navrhovatele ze dne 8. 7. 2019 rozhodl o jeho zamítnutí podle § 265 písm. a) zákona, neboť nebyly zjištěny důvody pro uložení nápravného opatření, jak je uvedeno ve výroku tohoto rozhodnutí.

Poučení

Proti tomuto rozhodnutí lze do 15 dní ode dne jeho doručení podat rozklad k předsedovi Úřadu pro ochranu hospodářské soutěže, a to prostřednictvím Úřadu pro ochranu hospodářské soutěže – Sekce veřejných zakázek, třída Kpt. Jaroše 1926/7, Černá Pole, 604 55 Brno. Včas podaný rozklad má odkladný účinek. Rozklad a další podání účastníků učiněná v řízení o rozkladu se podle § 261 odst. 1 písm. b) zákona činí výhradně prostřednictvím datové schránky nebo jako datová zpráva podepsaná uznávaným elektronickým podpisem.

 

otisk úředního razítka

 

 

v z. Mgr. Michal Kobza

 

JUDr. Eva Kubišová

místopředsedkyně     

 

 

 

 

 

Obdrží

1.             Česká republika – Ministerstvo životního prostředí, Vršovická 1442/65, 100 00 Praha 10

2.             Huawei Technologies (Czech) s.r.o., Jihlavská 1558/21, 140 00 Praha 4

 

Vypraveno dne

viz otisk razítka na poštovní obálce nebo časový údaj na obálce datové zprávy