číslo jednací: 32062/2021/163/MPe
spisová značka: R0131/2021/VZ

Instance II.
Věc ČSSZ – Obměna diskových polí (DigiČesko)
Účastníci
  1. Česká republika – Česká správa sociálního zabezpečení
  2. SÍŤ, spol. s r.o.
Typ správního řízení Veřejná zakázka
Typ rozhodnutí rozklad zamítnut a napadené rozhodnutí potvrzeno
Rok 2021
Datum nabytí právní moci 22. 10. 2021
Související rozhodnutí 27129/2021/500/AIv
32062/2021/163/MPe
Dokumenty file icon 2021_R0131.pdf 307 KB

Spisová značka:  ÚOHS-R0131/2021/VZ

Číslo jednací:      ÚOHS-32062/2021/163/MPe                                                                                     

 

 

 

 

Brno 21. 10. 2021

 

                               

 

V řízení o rozkladu ze dne 25. 8. 2021 doručeném Úřadu pro ochranu hospodářské soutěže téhož dne navrhovatelem –

  • SÍŤ, spol. s r.o., IČO 60779420, se sídlem Pražákova 702/12, Mariánské Hory, 709 00 Ostrava, ve správním řízení zastoupena na základě plné moci ze dne 10. 5. 2021 společností INDOC s.r.o., IČO 26164001, se sídlem U Hadovky 564/3, Dejvice, 160 00 Praha 6,

proti rozhodnutí Úřadu pro ochranu hospodářské soutěže č. j. ÚOHS-27129/2021/500/AIv ze dne 10. 8. 2021 vydanému ve správním řízení vedeném pod sp. zn. ÚOHS-S0207/2021/VZ ve věci přezkoumání úkonů zadavatele –

  • Česká republika – Česká správa sociálního zabezpečení, IČO 00006963, se sídlem Křížová 1292/25, 150 00 Praha,

učiněných při zadávání veřejné zakázky „ČSSZ – Obměna diskových polí (DigiČesko)“ v otevřeném řízení, jehož oznámení bylo do Věstníku veřejných zakázek odesláno dne 12. 3. 2021 a uveřejněno dne 15. 3. 2021 pod ev. č. Z2021-009005 a v Úředním věstníku Evropské unie uveřejněno dne 17. 3. 2021 pod ev. č. 2021/S 053-132723,

jsem podle § 152 odst. 6 písm. b) ve spojení s § 90 odst. 5 zákona č. 500/2004 Sb., správní řád, ve znění pozdějších předpisů rozhodl takto:

 

Rozhodnutí Úřadu pro ochranu hospodářské soutěže č. j. ÚOHS-27129/2021/500/AIv ze dne 10. 8. 2021 vydané v řízení vedeném pod sp. zn. ÚOHS-S0207/2021/VZ

 

 

p o t v r z u j i

 

a podaný rozklad

 

z a m í t á m.

 

Odůvodnění

I.               Zadávací řízení a správní řízení vedené Úřadem pro ochranu hospodářské soutěže

1.             Úřad pro ochranu hospodářské soutěže (dále jen „Úřad“) jako orgán příslušný podle § 248 zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů (dále jen „zákon“[1]) k výkonu dozoru nad dodržováním pravidel stanovených tímto zákonem a zadávacími podmínkami pro zadání podlimitní a nadlimitní veřejné zakázky, včetně koncese s výjimkou koncesí malého rozsahu podle § 178 zákona, a pro zvláštní postupy podle části šesté zákona, obdržel dne 4. 6. 2021 návrh (dále jako „návrh“) navrhovatele – SÍŤ, spol. s r.o., IČO 60779420, se sídlem Pražákova 702/12, Mariánské Hory, 709 00 Ostrava, ve správním řízení zastoupena na základě plné moci ze dne 10. 5. 2021 společností INDOC s.r.o., IČO 26164001, se sídlem U Hadovky 564/3, Dejvice, 160 00 Praha 6, (dále jako „navrhovatel“) – z téhož dne na zahájení správního řízení ve věci přezkoumání úkonů zadavatele – Česká republika – Česká správa sociálního zabezpečení, IČO 00006963, se sídlem Křížová 1292/25, 150 00 Praha, (dále jako „zadavatel“) – učiněných při zadávání veřejné zakázky „ČSSZ – Obměna diskových polí (DigiČesko)“ v otevřeném řízení, jehož oznámení bylo do Věstníku veřejných zakázek odesláno dne 12. 3. 2021 a uveřejněno dne 15. 3. 2021 pod ev. č. Z2021-009005 a v Úředním věstníku Evropské unie uveřejněno dne 17. 3. 2021 pod ev. č. 2021/S 053-132723, (dále jako „veřejná zakázka“).

2.             Dnem 4. 6. 2021, kdy Úřad obdržel shora uvedený návrh, bylo podle § 249 zákona ve spojení s § 44 odst. 1 zákona č. 500/2004 Sb., správní řád, ve znění pozdějších předpisů (dále jen „správní řád“) zahájeno správní řízení o přezkoumání úkonů zadavatele.

3.             Návrhem se navrhovatel domáhal zrušení rozhodnutí o vyloučení navrhovatele ze dne 23. 4. 2021 (dále jen „rozhodnutí o vyloučení“) a všech navazujících úkonů, příp. zrušení zadávacího řízení na veřejnou zakázku. Navrhovatel v návrhu namítal, že rozhodnutí o jeho vyloučení bylo učiněno nesprávně a v rozporu se zákonem, poněvadž jeho nabídka byla zpracována v souladu se zadávací dokumentací. V zadávací dokumentaci nebylo dle navrhovatele výslovně uvedeno, že technické a programové prostředky společnosti Huawei Technologies Co., Ltd., Šen-čen, Čínská lidová republika, (dále jen „zařízení Huawei“, příp. „společnost Huawei“) by byly automaticky vyloučeny pro plnění veřejné zakázky. Nejasnost a nejednoznačnost požadavků zadavatele nemůže jít k tíži dodavatele. Zadávací dokumentace rovněž neobsahovala ani žádnou zadavatelem zpracovanou analýzu rizik obsahující konkrétní bezpečnostní opatření zvolená zadavatelem. Zadávací dokumentace dle navrhovatele neobsahovala ani informaci, že tuto analýzu zpracovává zadavatel. Dle analýzy rizik zpracované navrhovatelem zařízení Huawei vysoké bezpečnostní riziko nepředstavuje, a proto jej nabídl. Paušálním omezením veškerých zařízení Huawei by se zadavatel dopustil zcela excesivního a nedůvodného omezení hospodářské soutěže. Navrhovatel rovněž namítal nepřezkoumatelnost rozhodnutí o vyloučení.

4.             Zadavatel ve vyjádření k návrhu ze dne 14. 6. 2021 uvedl, že v zadávací dokumentaci stanovil zcela jasnou podmínku, že zařízení uvedená ve Varování Národního úřadu pro kybernetickou a informační bezpečnost („dále jen NÚKIB“) ze dne 17. 12. 2018, č. j. 3012/2018-NÚKIB-E/110 vydané v souladu se zákonem č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů, ve znění pozdějších předpisů (dále jen „zákon o kybernetické bezpečnosti“), (dále jako „Varování NÚKIB“) jsou pro plnění veřejné zakázky vyloučena, jelikož představují vysoké nebo kritické bezpečnostní riziko. Zadávací podmínky byly dle zadavatele stanoveny jasně a srozumitelně. Zadavatel dále podotýká, že ačkoliv návrh navrhovatele směřoval proti rozhodnutí o vyloučení, hlavní podstatou argumentace navrhovatele je zpochybnění zadávací podmínky týkající se předmětu plnění a analýzy rizik. Zadavatel dále uvedl, že žádným způsobem nezamlčel existenci jím provedené analýzy rizik, jelikož byl tuto analýzu povinen vyhotovit a její výsledky promítl do zadávacích podmínek. Analýza rizik provedená navrhovatelem nemůže být objektivně porovnatelná s analýzou rizik provedenou zadavatelem.

5.             Úřad rozhodnutím ze dne 23. 7. 2021, č. j. ÚOHS-24836/2021/536/VSv nařídil zadavateli z moci úřední předběžné opatření spočívající v zákazu uzavřít smlouvu v šetřeném zadávacím řízení.

Průběh zadávacího řízení

6.             Zadavatel zahájil dne 12. 3. 2021 postupem dle § 56 zákona otevřené zadávací řízení na předmět veřejné zakázky.

7.             Předmět veřejné zakázky dle bodu 2.1 zadávací dokumentace „spočívá v zajištění dodávek 2 ks Enterprise diskových polí, 2 ks Midrange diskových polí včetně příslušné SAN infrastruktury a souvisejícího plnění.“ V předmětném bodu zadávací dokumentace bylo dále uvedeno, že: „Zadavatel prohlašuje, že předmět plnění nesmí být nevyhovující z hlediska informační bezpečnosti, přičemž za nevyhovující je považováno jakékoli plnění, které obsahuje technologie/klíčové prvky, vůči jejichž výrobcům vydal Národní úřad pro kybernetickou a informační bezpečnost Varování NÚKIB č. j. 3012/2018-NÚKIB-E/110 ze dne 17. prosince 2018 v souladu se zákonem č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů a které dle analýzy rizik představují vysoké nebo kritické riziko.“

8.             Dne 23. 4. 2021 zadavatel rozhodl podle § 48 odst. 2 písm. a) zákona o vyloučení navrhovatele ze zadávacího řízení, přičemž „Rozhodnutí o vyloučení účastníka řízení z účasti v zadávacím řízení“ (dále jen „rozhodnutí o vyloučení“) bylo navrhovateli doručeno téhož dne. Proti rozhodnutí o vyloučení podal navrhovatel dne 10. 5. 2021 námitky z téhož dne (dále jen „námitky“). Zadavatel o podaných námitkách rozhodl dne 24. 5. 2021 (dále jen „rozhodnutí o námitkách“) tak, že je odmítá. Rozhodnutí o námitkách bylo navrhovateli doručeno dne 25. 5. 2021.

II.             Napadené rozhodnutí

9.             Dne 10. 8. 2021 vydal Úřad rozhodnutí č. j. ÚOHS-27129/2021/500/AIv v řízení vedeném pod sp. zn. ÚOHS-S0207/2021/VZ (dále jen „napadené rozhodnutí“).

10.         Úřad napadeným rozhodnutím rozhodl tak, že se návrh navrhovatele podle § 265 písm. a) zákona zamítá, neboť nebyly zjištěny důvody pro uložení nápravného opatření.

11.         Úřad v odůvodnění napadeného rozhodnutí konstatoval, že ze zadávací dokumentace bylo zřejmé, že za plnění nevyhovující z hlediska informační bezpečnosti bude považováno jakékoliv plnění, které obsahuje technologie/klíčové prvky výrobců, vůči kterým vydal NÚKIB Varování NÚKIB. V předmětném dokumentu byla uvedena mj. zařízení společnosti Huawei, čehož si musel být navrhovatel vědom, poněvadž sám uvedl, že se s Varováním NÚKIB a souvisejícími dokumenty seznámil. Zadávací dokumentace v tomto případě nepřipouští objektivně rozdílný výklad než ten, že zařízení a technologie společnosti Huawei jsou nepřípustné. K vyloučení navrhovatele tak došlo v souladu se zákonem a zadávací dokumentací. Ze zadávací dokumentace dle Úřadu neplyne požadavek, aby si dodavatelé zpracovali vlastní analýzu rizik, na základě které by mohli zhodnotit, zda jimi nabízené řešení představuje bezpečnostní riziko. Naopak je nepochybné, že danou analýzu rizik má zpracovat a zpracoval zadavatel, jakožto osoba odpovědná z hlediska zákona o kybernetické bezpečnosti. Na základě zadavatelem zpracované analýzy pak byly vymezeny zadávací podmínky, a to tak, že jako bezpečnostní opatření bylo přijato, že jako předmět plnění jsou vyloučena veškerá zařízení a technologie, jež představují dle Varování NÚKIB a zadavatelem zpracované analýzy rizik kritické nebo vysoké bezpečnostní riziko. Zadavatel dále neměl povinnost jím zpracovanou analýzu rizik učinit součástí zadávací dokumentace. Postupem zadavatele tak nebyla porušena zásada transparentnosti ve smyslu § 6 odst. 1 zákona. Úřad shledal, že rozhodnutí o vyloučení je řádně odůvodněné.

III.           Rozklad navrhovatele

12.         Dne 25. 8. 2021 podal navrhovatel k předsedovi Úřadu rozklad z téhož dne proti napadenému rozhodnutí, které mu bylo doručeno dne 10. 8. 2021. Rozklad byl tedy podán v zákonné lhůtě.

Námitky rozkladu

13.         Navrhovatel rozkladem předně namítá, že závěr Úřadu učiněný v napadeném rozhodnutí je nesprávný a neodpovídá znění čl. 2.1 zadávací dokumentace. Ze zadávací dokumentace neplyne, že by zařízení společnosti Huawei bylo nepřípustné. Ze znění zadávací dokumentace je naopak zřejmé, že za nevyhovující bude považováno takové plnění, které jednak obsahuje technologie/klíčové prvky výrobců uvedených ve Varování NÚKIB a které současně představuje dle analýzy rizik vysoké nebo kritické riziko. Aby bylo možné dovodit, že zařízení společnosti Huawei není přípustné, pak musí být provedena analýza rizik, dle které lze vyhodnotit bezpečnostní riziko zařízení dané společnosti. Z Varování NÚKIB však dle navrhovatele neplyne povinnost pro zadavatele ve svých strukturách automaticky zakázat zařízení společnosti Huawei. Dle navrhovatele tak ani zadavatel neučinil, jelikož ve znění zadávací dokumentace není uvedeno, že jsou tato zařízení automaticky vyloučena. Pokud zadavatel zamýšlel vyloučení zařízení této společnosti, měl tak výslovně uvést v zadávací dokumentaci. K naplnění podmínky uvedené v zadávací dokumentaci nepostačí, že je zařízení Huawei uvedeno ve Varování NÚKIB, je zapotřebí taktéž provést zmiňovanou analýzu rizik, dle které bude možné určit, jaká zařízení vykazují vysoké nebo kritické riziko. Uvedená analýza zadavatele však nebyla součástí zadávací dokumentace, a proto dodavatel nabyl dojmu, že si ji musí zpracovat sám. Skutečnost, že tuto analýzu rizik zpracovává zadavatel, a že její výsledky byly zapracovány do zadávací dokumentace, navrhovatel zjistil až z obsahu rozhodnutí o vyloučení. Dle navrhovatelem zpracované analýzy rizik však nebylo zařízení společnosti Huawei shledáno jako rizikové, a proto jej v nabídce nabídl. Jelikož nebylo toto zařízení výslovně v zadávací dokumentaci vyloučeno, navrhovatel setrvává na svém názoru, že jím podaná nabídka byla učiněna v souladu se zadávacími podmínkami. Navrhovatel je proto přesvědčen, že neměl být ze zadávacího řízení vyloučen.

14.         Navrhovatel na podporu správnosti interpretace dané zadávací podmínky učinil součástí podaného rozkladu jazykový rozbor provedený Ústavem pro jazyk český Akademie věd České republiky, v.v.i., jenž předložil na listinném dokumentu s názvem „Odpověď na jazykový dotaz“ ze dne 19. 3. 2021. Dle uvedeného dokumentu je nezbytné, v případě, že má být uvedené zařízení považováno za neakceptovatelné, aby byly splněny kumulativně obě podmínky vymezené v čl. 2.1 zadávací dokumentace. Z předmětného článku zadávací dokumentace totiž automaticky neplyne, že technologie/klíčové prvky, jichž se týká Varování NÚKIB, jsou nepřípustné. Musí se totiž jednat o zařízení, které je dle předmětné analýzy rizik považováno za zařízení vykazující vysoké nebo kritické riziko. Nezákonnost napadeného rozhodnutí zakládá dle navrhovatele taktéž skutečnost, že Úřad odmítl jako důkazní prostředek jím zpracovanou analýzu rizik, jež je dle navrhovatele pro posouzení zákonnosti postupu zadavatele zásadní.

15.         Navrhovatel rovněž odmítá závěr Úřadu, že rozhodnutí o vyloučení bylo řádně a dostatečně odůvodněné.

Závěr rozkladu

16.         Navrhovatel navrhuje, aby předseda Úřadu napadené rozhodnutí zrušil a věc vrátil Úřadu k novému projednání.

IV.          Vyjádření zadavatele k rozkladu

17.         Zadavatel se ve svém vyjádření ze dne 31. 8. 2021 plně ztotožňuje se závěry napadeného rozhodnutí. Z článku 2.1 zadávací dokumentace jasně vyplývá, že za plnění nevyhovující z hlediska informační bezpečnosti bude považováno jakékoli plnění, které obsahuje technologie/klíčové prvky, vůči jejichž výrobcům vydal NÚKIB Varování, a které dle analýzy rizik představuje neakceptovatelné riziko. Z dokumentů NÚKIB pak jasně plyne, že hodnocení rizik musí zpracovat osoba povinná, tedy nepochybně zadavatel. Výsledky provedené analýzy rizik pak musí zadavatel promítnout do zadávacích podmínek. Jestliže se navrhovatel s dokumenty NÚKIB seznámil, jak tvrdí, pak mu musel být postup zadavatele zřejmý. Předložené vyjádření Ústavu pro jazyk český Akademie věd České republiky, v.v.i není s výše uvedeným dle zadavatele v rozporu, ba naopak závěry Úřadu i zadavatele potvrzuje. Pro zadavatele je rovněž překvapivé, že by si měl navrhovatel sám zpracovat analýzu rizik, jelikož neměl k dispozici, jak i sám navrhovatel uvádí, topologii sítě zadavatele, jakožto ani detaily vážící se ke správě logistických a fyzických přístupů a dalších opatření. Připustil-li by zadavatel participaci dodavatelů na hodnocení rizik, zakotvil by toto v zadávací dokumentaci, což se nestalo. Jelikož navrhovatelem nabízené plnění obsahovalo technologie/klíčové prvky, vůči jejichž výrobcům vydal NÚKIB Varování, a zároveň se dle zadavatelem provedené analýzy rizik jednalo o riziko neakceptovatelné, byl navrhovatel vyloučen ze zadávacího řízení v souladu se zadávacími podmínkami. Zadavatel dále dodává, že neměl povinnost přiložit jím provedenou analýzu rizik k zadávací dokumentaci, jelikož není její součástí.

18.         Zadavatel je taktéž přesvědčen, že v rozhodnutí o vyloučení uvedl a popsal dostatečným způsobem důvody, pro které navrhovatele ze zadávacího řízení vyloučil. Zadavatel závěrem dodává, že ačkoliv je předmětem přezkumu ve správním řízení oprávněnost vyloučení navrhovatele, navrhovatel opakovaně napadá zákonnost a opodstatněnost samotných zadávacích podmínek, což tak činí opožděně. Zadavatel setrvává na tom, že zadávací podmínky byly stanoveny jasným a srozumitelným způsobem.  

19.         Zadavatel navrhuje, aby předseda Úřadu napadené rozhodnutí potvrdil a podaný rozklad zamítl.

V.            Řízení o rozkladu

20.         Úřad po doručení rozkladu neshledal podmínky pro postup podle § 87
a podle § 88 odst. 1 správního řádu, a proto předal spis se svým stanoviskem předsedovi Úřadu k rozhodnutí o rozkladu.

Stanovisko předsedy Úřadu

21.         Po projednání rozkladu a veškerého spisového materiálu rozkladovou komisí jmenovanou podle § 152 odst. 3 správního řádu a po posouzení případu ve všech jeho vzájemných souvislostech jsem podle § 89 odst. 2 správního řádu přezkoumal soulad napadeného rozhodnutí a řízení, které jeho vydání předcházelo, s právními předpisy a s přihlédnutím k návrhu rozkladové komise jsem dospěl k následujícímu závěru.

22.         Úřad tím, že rozhodl tak, jak je uvedeno ve výrocích napadeného rozhodnutí, rozhodl správně a v souladu s právními předpisy. V další části odůvodnění tohoto rozhodnutí jsou v podrobnostech rozvedeny důvody, pro které jsem přistoupil k potvrzení napadeného rozhodnutí a k zamítnutí rozkladu navrhovatele.

VI.          K námitkám rozkladu

K oprávněnosti vyloučení navrhovatele ze zadávacího řízení

23.         V nyní řešeném případě byl navrhovatel ve smyslu § 48 odst. 2 písm. a) zákona vyloučen ze zadávacího řízení, jelikož dle zadavatele předložil nabídku, která neodpovídala zadávacím podmínkám. Navrhovatelem nabízené technologické řešení dle zadavatele přesáhlo akceptovatelnou úroveň rizika spojeného s použitím nabízených technologií. Navrhovatel v návrhu rozporoval, že ze znění zadávací dokumentace neplyne, že by jím nabízené řešení bylo neakceptovatelné, a proto neměl být ze zadávacího řízení vyloučen. Úřad v napadeném rozhodnutí však dal za pravdu zadavateli, neboť dospěl k závěru, že vyloučení navrhovatele ze zadávacího řízení bylo oprávněné a v souladu se zadávacími podmínkami. Navrhovatel v podaném rozkladu uvedený závěr Úřadu rozporuje. V řízení o rozkladu navrhovatele je proto nezbytné posoudit, zda byl navrhovatel vyloučen v souladu se zákonem a zadávací dokumentací.

24.         Předseda Úřadu úvodem akcentuje, že předmětem probíhajícího správního řízení je přezkum zákonnosti vyloučení navrhovatele, nikoliv zákonnosti zadávacích podmínek. Námitky směřující proti zadávacím podmínkám by byly uplatněny opožděně.

25.         K institutu vyloučení ze zadávacího řízení lze uvést, že ačkoliv se důvody vyloučení vyskytují napříč zákonem, převážnou část právní úpravy nalezneme v § 48 zákona. Předmětné ustanovení tedy v sobě obsahuje většinu zákonných důvodů pro vyloučení účastníka ze zadávacího řízení. Na základě některých důvodů je zadavatel oprávněn účastníka vyloučit a v případě některých důvodů je vyloučení naopak obligatorní. Nutno podotknout, že zadavatel je oprávněn vyloučit účastníka ze zadávacího řízení pouze na základě zákona a v jeho mezích. Jedním z důvodů, pro které zadavatel může účastníka zadávacího řízení vyloučit, je nesplnění zadávacích podmínek.

26.         Dle § 48 odst. 2 písm. a) zákona zadavatel může vyloučit účastníka ze zadávacího řízení, pokud údaje, doklady, vzorky nebo modely předložené účastníkem zadávacího řízení, nesplňují zadávací podmínky.

27.         Pokud tedy účastník zadávacího řízení doloží vyžadované údaje, doklady, vzorky nebo modely nedostatečně, tedy předloží nabídku neodpovídající zadávacím podmínkám, vystavuje se možnému vyloučení z účasti v zadávacím řízení. Vyloučení je v tomto případě fakultativní. Je tedy na zadavateli, zda k samotnému vyloučení účastníka pro nesplnění zadávacích podmínek přistoupí, vždy tak musí učinit v případě vybraného dodavatele, jak plyne z § 48 odst. 8 zákona. Za nesplnění zadávacích podmínek lze považovat nepochybně i předložení nabídky obsahující údaje o předmětu plnění, jež neodpovídají požadavkům uvedeným v zadávacích podmínkách. Takové pochybení pak nelze ospravedlnit ani tím, že by se jednalo o ekonomicky nejvýhodnější nabídku, neboť takový předpoklad zákon nezná.

28.         Pro posouzení tohoto případu jsou rozhodné následující skutečnosti.

29.         Zadavatel v zadávací dokumentaci v čl. 2.1 stanovil, že: „předmět plnění nesmí být nevyhovující z hlediska informační bezpečnosti, přičemž za nevyhovující je považováno jakékoli plnění, které obsahuje technologie/klíčové prvky, vůči jejichž výrobcům vydal Národní úřad pro kybernetickou a informační bezpečnost Varování NÚKIB č. j. 3012/2018-NÚKIB-E/110 ze dne 17. prosince 2018 v souladu se zákonem č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů a které dle analýzy rizik představují vysoké nebo kritické riziko.“

30.         Předmětné Varování NÚKIB ze dne 17. 12. 2018, jež bylo vydáno dle § 12 odst. 1 zákona o kybernetické bezpečnosti, varuje před použitím technických nebo programových prostředků společnosti Huawei a společnosti ZTE Corporation, Šen-Čen, Čínská lidová republika, (dále jako „společnost ZTE Corporation“), včetně jejich dceřiných společností, neboť představují hrozbu v oblasti kybernetické bezpečnosti. K tomuto varování NÚKIB vydal dne 4. 1. 2019 metodiku, která konkretizuje možné postupy správců informačních a komunikačních systémů spadajících pod zákon o kybernetické bezpečnosti, dále vysvětluje institut varování, popisuje princip řízení rizik a nastiňuje možnosti při zajištění plnění povinností podle zákona o kybernetické bezpečnosti v souladu s předpisy regulujícími zadávání veřejných zakázek (dále jen „metodika NÚKIB“).

31.         Ze zjištěných skutečností dále plyne, že zadavatel v závěru jím provedené analýzy rizik ze dne 18. 2. 2021 uvedl, že je nutné vyloučení technologií společnosti Huawei a společnosti ZTE Corporation z výběrového řízení, jelikož u zařízení uvedených výrobců vyšla hodnota rizika jako kritická. Uvedené zadavatel následně shrnul také v rozhodnutí o vyloučení navrhovatele, ve kterém  konstatoval, že: „před zahájením zadávacího řízení a současně při zpracování zadávací dokumentace v souladu s § 8 odst. 2 písm. a) a § 5 odst. 1 písm. h) bod 3. vyhlášky o kybernetické bezpečnosti provedl hodnocení rizik související s požadovaným předmětem plnění, přičemž z jím provedené analýzy rizik, jež je součástí procesu hodnocení rizik, vyplynul závěr, že technické a programové prostředky společnosti Huawei Technologies Co., Ltd., Šen-čen, Čínská lidová republika představují pro Zadavatele kritickou úroveň rizika. V případě možného ohrožení aktiv je kritické riziko pro Zadavatele zcela nepřípustné.“

32.         Navrhovatel v nabídce, konkrétně v doplněné příloze č. 1 vzoru smlouvy – Technická specifikace zboží, uvedl v položce „Enterprise diskové pole“ konkrétní typ a označení diskového pole: Huawei OceanStor Dorado 6000 V6 Quad controller a v položce „Midrange diskové pole“ uvedl: Huawei OceanStor 5300 V5 Dual controller. Nabídka navrhovatele tak prokazatelně obsahovala technické a programové prostředky společnosti Huawei.

33.         V rozhodnutí o vyloučení zadavatel závěrem uvedl, že: „Jelikož Dodavatelem nabízené plnění obsahuje technologie/klíčové prvky, vůči jehož výrobci vydal Národní úřad pro kybernetickou a informační bezpečnost Varování, a ze Zadavatelem provedené analýzy rizik, která slouží jako podklad pro výběr konkrétních bezpečnostních opatření, vyplynulo, že v případě Dodavatelem nabízeného technologického řešení přesáhlo riziko spojené s použitím nabízených technologií Zadavatelem akceptovatelnou úroveň a představuje kritickou úroveň rizika, rozhodl Zadavatel tak, jak je uvedeno ve výroku tohoto rozhodnutí. Nabídka Dodavatele nesplňuje zadávací podmínky předmětné Veřejné zakázky, neboť předmět plnění, jež Dodavatel ve své nabídce uvedl, je nevyhovující z hlediska informační bezpečnosti a dle analýzy rizik představuje kritické riziko.“

34.         Pro posouzení tohoto případu je důležité uvést, že zadavatel je správcem a provozovatelem informačního systému kritické infrastruktury ve smyslu § 3 písm. c) zákona o kybernetické bezpečnosti, což je mezi stranami nespornou skutečností. Ze zákona o kybernetické bezpečnosti tak pro zadavatele plynou povinnosti. Dle § 4 odst. 4 zákona o kybernetické bezpečnosti je zadavatel při výběru dodavatele pro informační a komunikační systémy povinen zohlednit požadavky vyplývající z bezpečnostních opatření a tyto požadavky zahrnout do zadávací dokumentace[2]. Bezpečnostními opatřeními se ve smyslu § 4 odst. 1 zákona o kybernetické bezpečnosti rozumí souhrn úkonů, jejichž cílem je zajištění bezpečnosti informací v informačních systémech a dostupnosti a spolehlivosti služeb a sítí elektronických komunikací v kybernetickém prostoru. Jedním z bezpečnostních opatření, resp. organizačních opatření je řízení rizik[3], při němž se provádí identifikace, analýza a vyhodnocení rizik. Při řízení rizik je zadavatel v souladu s § 5 odst. 1 písm. h) bod 3 vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat, ve znění pozdějších předpisů (dále jen jako „vyhláška o kybernetické bezpečnosti“) povinen zohlednit opatření podle § 11 zákona o kybernetické bezpečnosti, kterým je i Varování NÚKIB[4].

35.         Zadavatel jakožto povinná osoba ve smyslu zákona o kybernetické bezpečnosti je povinen zohlednit v zadávací dokumentaci závěry plynoucí z Varování NÚKIB, jakožto výsledky provedené analýzy rizik. Toto tvrzení podporuje také fakt, že je to zadavatel, kdo provádí hodnocení (analýzu) rizik a kdo je v souladu s § 4 odst. 4 zákona o kybernetické bezpečnosti povinen při výběru dodavatele zohlednit závěry předmětné analýzy. Skutečnost, že má zadavatel zpracovat analýzu rizik, plyne taktéž z bodu 3. 1, resp. 6.1 metodiky NÚKIB. Je tedy nanejvýš zřejmé, že zadavatel musí zpracovat analýzu rizik a její výstupy zapracovat do zadávacích podmínek tak, aby dostál své povinnosti plynoucí ze zákona o kybernetické bezpečnosti. V šetřeném zadávacím řízení, které bylo zadáváno jako otevřené řízení ve smyslu § 56 zákona, si proto nelze představit situaci, že by tato analýza nebyla zpracována dopředu a její výsledek nebyl při tvorbě zadávacích podmínek zohledněn, resp. nebyl do zadávacích podmínek zadavatelem zapracován.

36.         Ze zadávací podmínky stanovené zadavatelem v tomto případě plyne, že za nevyhovující předmět plnění bude považováno „jakékoli plnění, které obsahuje technologie/klíčové prvky, vůči jejichž výrobcům vydal Národní úřad pro kybernetickou a informační bezpečnost Varování NÚKIB“ a které současně „dle analýzy rizik představují vysoké nebo kritické riziko“.

37.         Jazykovým rozborem bodu 2. 1 zadávací dokumentace dojdeme k následujícím závěrům. Zadavatel požadoval, aby předmět plnění splňoval požadavky na informační bezpečnost. To dále rozvedl tak, že za nevyhovující se považuje jakékoliv plnění, které obsahuje technologie/klíčové prvky výrobců uvedených ve Varování NÚKIB, tj. společnosti Huawei a společnosti ZTE Corporation, a které dle analýzy rizik představuje vysoké nebo kritické riziko. Ačkoliv nelze říci, že by v citované zadávací podmínce bylo výslovně uvedeno, že předmětnou analýzu rizik již zadavatel zpracoval, lze k tomuto závěru dojít, a to s přihlédnutím k příslušným právním předpisům. Z vyhlášky o kybernetické bezpečnosti, resp. zákona o kybernetické bezpečnosti a bodu 6.1 metodiky NÚKIB plyne, že zadavatel je povinnou osobou ke zpracování analýzy rizik, jejíž výsledky musí být zapracovány do zadávací dokumentace. Zadavatel je navíc osobou, jež dokáže nejlépe vyhodnotit, jaké opatření ke snížení identifikovaného rizika zvolit, jelikož zná vstupní informace pro posouzení rizik. Zadavatel samozřejmě může po dodavatelích požadovat součinnost při vypracování předmětné analýzy, příp. aby si tito zpracovali vlastní „analýzu“. V takovém případě je však nezbytné tuto povinnost plynoucí pro jednotlivé dodavatele do zadávací dokumentace zakotvit, což se v tomto případě nestalo.

38.         Vyjdeme-li z premisy, že zadavatel je povinen zpracovat analýzu rizik a zapracovat její výsledky do zadávací dokumentace, je nutno vykládat danou zadávací podmínku v tom smyslu, že analýza rizik již byla zadavatelem provedena a její výsledky byly do zadávací dokumentace zapracovány. Skutečnosti, že analýza již byla provedena, odpovídá i zadavatelem použitý přítomný čas v následujících větách bodu 2. 1. zadávací dokumentace: „…přičemž za nevyhovující je považováno jakékoli plnění, které obsahuje technologie/klíčové prvky (…) které dle analýzy rizik představují vysoké nebo kritické riziko.“ V nyní řešeném případě je tedy nepochybné, že zadavatel za nevyhovující plnění považoval plnění obsahující technologie/klíčové prvky společnosti Huawei či společnosti ZTE Corporation (u kterých analýza rizik provedená zadavatelem dovodila vysoké nebo kritické riziko).  Se zohledněním příslušných právních předpisů se výklad zadávací podmínky provedený zadavatelem a ověřený Úřadem jeví jako nejpřiléhavější. Daný výklad podporuje také skutečnost, že ostatní dodavatelé podali nabídky v souladu s danou zadávací podmínkou, tedy bez technologií/klíčových prvků výrobců citovaných ve Varování NÚKIB.

39.         Skutečnost, že nabídka navrhovatele obsahující technologie/klíčové prvky společnosti Huawei bude vyloučena, proto byla zřejmá. Pokud měl navrhovatel pochybnosti o výkladu dané zadávací podmínky, měl zadavatele požádat o její vysvětlení.

40.         Navrhovatelem předložený jazykový rozbor provedený Ústavem pro jazyk český Akademie věd ČR v.v.i. je v tomto případě relevantní. Nelze však říci, že by výrazně podporoval tvrzení navrhovatele učiněná v rozkladu proti napadenému rozhodnutí. Daný rozbor totiž obsahuje výklad dané zadávací podmínky v tom smyslu, že za plnění neakceptovatelné je považováno takové, které bylo uvedeno ve Varování NÚKIB a současně bylo vyhodnoceno analýzou rizik jako plnění s vysokým až kritickým rizikem. S tímto výkladem se však ztotožňuje i zadavatel ve svém vyjádření, shodně pak také Úřad v napadeném rozhodnutí i předseda Úřadu v tomto rozhodnutí. Skutečně je nutné, aby byly tyto podmínky splněny kumulativně. Tomu však odpovídá i výše provedený výklad předmětné zadávací podmínky. V nyní řešeném případě totiž zadavatel provedl analýzu rizik, jejíž výsledky zapracoval do zadávací podmínky, ve které následně uvedl, že za nevyhovující bude považováno takové plnění, které obsahuje technologie/klíčové prvky výrobců, vůči nimž vydal NÚKIB Varování, tedy i zařízení společnosti Huawei. Uvedený rozbor nerozporuje závěr napadeného rozhodnutí, naopak jej spíše potvrzuje.

41.         Dílčím závěrem lze konstatovat, že ze znění zadávací dokumentace bylo zřejmé, jaká technologická řešení nejsou akceptovatelná. Povaha a zákonnost samotné zadávací podmínky v tomto případě není relevantní, poněvadž předmětem správního řízení byl přezkum postupu zadavatele spočívající ve vyloučení navrhovatele. Jestliže navrhovatel předložil ve své nabídce technologické řešení společnosti Huawei, jež bylo s ohledem na bod 2.1 zadávací dokumentace považováno za neakceptovatelné plnění, je logické, že zadavatel přistoupil k jeho vyloučení. Lze proto konstatovat, že navrhovatel byl oprávněně a v souladu se zákonem vyloučen z účasti v zadávacím řízení, jelikož jím předložená nabídka neodpovídala zadávacím podmínkám. Dále je možné konstatovat, že zadavatel v tomto případě postupoval v souladu se svou zákonnou povinností, když zpracoval danou analýzu rizik, jejíž výsledky zapracoval do zadávací dokumentace. V tomto případě nebyla porušena ani zásada transparentnosti vymezená v § 6 zákona. Podstata uvedené zásady totiž nespočívá v tom, že je nezbytně nutné, aby byly zveřejněny veškeré podklady, na základě kterých byla připravena zadávací dokumentace. Pro její naplnění je podstatné, aby byl postup zadavatele zpětně přezkoumatelný, což v tomto případě možné bylo.

42.         K námitce navrhovatele, že Varování NÚKIB automaticky nezakazuje užití technologií společnosti Huawei, lze ve světle výše uvedené argumentace uvést, že toto Úřad v napadeném rozhodnutí netvrdil. Dané neplyne ani ze znění zadávací dokumentace či vyjádření zadavatele.  Vyloučení nabídky obsahující technologické a programové prostředky společnosti Huawei totiž plynulo nejen z citovaného Varování NÚKIB, ale také bylo podmíněno výsledky provedené analýzy rizik, dle které zadavatel usoudil, že technologie uvedené ve Varování NÚKIB jsou z hlediska informační bezpečnosti rizikové nad míru akceptovatelnosti. Nejedná se však o tvrzené automatické vyloučení technologií dané společnosti jen na základě Varování NÚKIB. Zadavatel totiž vyloučil tato zařízení až na základě jím provedené analýzy rizik. Obecně lze dodat, že přijetí opatření pro zajištění informační bezpečnosti ze strany povinné osoby (zadavatele) nelze označit za „libovůli“. Potenciální míra rizika narušení informační bezpečnosti je naopak pro stát nezanedbatelná[5]. Přijetí opatření pro zajištění bezpečnosti je tedy naplněním zákonné povinnosti, bez jejíhož splnění by zadavatel nemohl soutěžené plnění do svých struktur použít (za předpokladu, že vyhodnotil riziko daného řešení za neakceptovatelné). Z tohoto důvodu bylo povinností zadavatele přijmout opatření pro snížení rizika, jak ostatně provedl vymezením dané zadávací podmínky. Postupoval tak zcela v souladu s možnými postupy řešení[6] a v souladu se svou zákonnou povinností.

43.         Navrhovatel v rozkladu taktéž rozporuje výklad zadávací podmínky vymezené v bodě 2.1 zadávací dokumentace v tom smyslu, že předmětná analýza rizik měla být součástí zadávací dokumentace. V důsledku její absence se navrhovatel domníval, že ji má zpracovat sám. Dle jím provedené analýzy rizik nebylo technologické řešení obsahující zařízení společnosti Huawei považováno za plnění s vysokou až kritickou rizikovosti, a proto se rozhodl jej nabídnout.

44.         K předmětné námitce navrhovatele lze uvést, že z bodu 2.1 zadávací dokumentace, a ani jiného bodu zadávací dokumentace, nelze nikterak dovodit, že by zadavatel po dodavatelích požadoval zpracování analýzy rizik. Naopak je z dané zadávací podmínky možné dovodit, že předmětná analýza rizik byla již zadavatelem zpracována a její výsledky byly zapracovány do zadávací dokumentace. Z podkladů pro rozhodnutí, jež jsou součástí správního spisu, je ověřitelné, že analýza rizik byla zpracována zadavatelem před zahájením zadávacího řízení. Pokud navrhovatel rozporuje, že tedy měla být analýza součástí zadávací dokumentace, nelze se s tímto ztotožnit. Dokumenty obsahující analýzu rizik netvoří součást zadávací dokumentace[7]. Jedná se toliko o podklad, na základě kterého byla zadávací dokumentace vytvořena a zároveň slouží v případě přezkumu správním orgánem jako ověření správnosti postupu zadavatele. Zadavatel není povinen uveřejňovat provedenou analýzu rizik, jelikož tato obsahuje citlivé údaje týkající se vnitřní sítě zadavatele. V souladu s § 5 odst. 1 písm. e) vyhlášky o kybernetické bezpečnosti je sice zadavatel povinen zpracovat zprávu o hodnocení rizik, to však neznamená, že tuto zprávu obsahující výsledky provedené analýzy musí uveřejňovat, tedy učinit ji součástí zadávací dokumentace. Povinnost učinit analýzu rizik součástí zadávací dokumentace, resp. povinnost uvést, na základě jakých podkladů byla daná zadávací podmínka stanovena, neplyne z žádného zákonného ustanovení. Informace obsažené v předmětných dokumentech dodavatelé pro podání nabídek do zadávacího řízení veřejné zakázky nepotřebují. Nehledě na to, že obsah dané analýzy by byl stěžejní spíše pro řízení o zákonnosti zadávacích podmínek, což není předmětem tohoto správního řízení. Odkaz na provedenou analýzu rizik v bodě 2.1 zadávací dokumentace lze tedy chápat jako odůvodnění přijaté formy bezpečnostního opatření, jak ostatně správně konstatoval i Úřad v bodě 52 odůvodnění napadeného rozhodnutí. Uvedený odkaz lze také chápat jako informaci o tom, že daná analýza rizik byla zadavatelem provedena a její výsledky byly zapracovány do zadávací dokumentace. Byť by bylo pro příště vhodnější tuto informaci uvést pro přehlednost výslovně.

45.         Zadavatel, jakožto osoba povinná ke zpracování analýzy rizik, je v rámci této analýzy povinen zabývat se všemi hrozbami, které NÚKIB za hrozby označí, a zohlednit je. Volba konkrétního opatření je pak zcela v diskreci zadavatele. Jak již zaznělo výše, zadavatel je s ohledem na znalost topologie vlastní sítě osobou, jež dokáže nejlépe vyhodnotit, jaké opatření ke snížení identifikovaného rizika zvolit. Je možné, aby zadavatel požádal dodavatele o zpracování vlastní „analýzy“, je však nezbytné, aby toto zakotvil do zadávací dokumentace. Jelikož v zadávací dokumentaci nebylo uvedeno, že by předmětnou analýzu měli zpracovat dodavatelé, příp. že by se měli podílet na jejím zpracování, nelze tuto skutečnost dovozovat. Nehledě na to, že jimi provedená analýza by s ohledem na nedostatek informací o fungování a vnitřních systémech zadavatele nemohla být odpovídající. Rizikem zpracování analýzy rizik ze strany dodavatelů je taktéž skutečnost, že by tito dodavatelé nemuseli být při hodnocení rizik nutně objektivní.

46.         Rovněž se lze ztotožnit s tvrzením uvedeným v bodě 58 odůvodnění napadeného rozhodnutí, jelikož navrhovatelem navržený důkazní prostředek – analýza rizik zpracovaná navrhovatelem – je pro účely tohoto správního řízení irelevantní. Předmětná analýza zpracovaná navrhovatelem by skutečně cílila na prokazování přiměřenosti zadávací podmínky. Nejedná se však o důkazní prostředek obsahující relevantní údaje pro rozhodnutí o postupu zadavatele při vyloučení navrhovatele.

47.         Navrhovatel dále namítá, že rozhodnutí o vyloučení nebylo dostatečně odůvodněno, poněvadž stojí na nesprávném právním závěru. S tímto tvrzením se nelze ztotožnit. Předně je možné odkázat na bod 59 odůvodnění napadeného rozhodnutí, kde je tato námitka Úřadem vypořádána. Předseda Úřadu se s tímto vypořádáním zcela ztotožňuje. Odůvodnění rozhodnutí o vyloučení je dostatečné, jelikož je z jeho obsahu zcela zřejmé, z jakého důvodu byl navrhovatel ze zadávacího řízení vyloučen. Rozhodnutí o vyloučení je dostatečně a přezkoumatelně odůvodněno. K druhé části této dílčí námitky lze dodat, že Úřad při přezkoumání postupu zadavatele dospěl k závěru, že zadavatel byl oprávněn navrhovatele ze zadávacího řízení vyloučit. S tímto závěrem se ztotožnil i předseda Úřadu v tomto rozhodnutí. Námitka uplatněná navrhovatelem je nedůvodná.

48.         Závěrem lze konstatovat, že Úřad napadeným rozhodnutím rozhodl správně a v souladu s právními předpisy, když shledal, že zadavatel byl oprávněn navrhovatele ze zadávacího řízení na předmětnou veřejnou zakázku ve smyslu § 48 odst. 2 písm. a) zákona vyloučit.

K zákonnosti napadeného rozhodnutí

49.         Závěrem konstatuji, že jsem napadené rozhodnutí přezkoumal z hlediska zákonnosti, načež shrnuji, že jsem dospěl k závěru, že Úřad rozhodl v souladu se zákonem a dalšími právními předpisy.

50.         K zákonnosti napadeného rozhodnutí poukazuji, že Úřad zjistil skutkový stav, o němž nejsou důvodné pochybnosti. Úřad také řádně označil všechny podklady, z nichž při vydání napadeného rozhodnutí vycházel, načež uvedl závěry, které z těchto podkladů zjistil a na jejichž základě dospěl ke svým závěrům. Úřad uvedl všechny právní normy, které v dané věci aplikoval, řádně odůvodnil jejich použití a výsledné napadené rozhodnutí mám za logické, srozumitelné a plně přezkoumatelné. Současně konstatuji, že jsem nezjistil procesní vadu, která by mohla mít za následek nezákonnost napadeného rozhodnutí.

Shrnutí

51.         Závěrem lze konstatovat, že zadavatel byl oprávněn vyloučit navrhovatele ve smyslu § 48 odst. 2 písm. a) zákona za zadávacího řízení, jelikož navrhovatelem nabízené plnění neodpovídalo zadávacím podmínkám. Zadavatel je osobou povinnou ve smyslu zákona o kybernetické bezpečnosti, a tedy je povinen zpracovat analýzu rizik, na základě které musí přijmout bezpečnostní opatření, jež začlení do zadávací dokumentace. 

VII.        Závěr

52.         Po zvážení všech aspektů dané věci a po zjištění, že Úřad postupoval v souladu se zákonem a správním řádem, jsem dospěl k závěru, že nenastaly podmínky pro zrušení nebo změnu napadeného rozhodnutí z důvodů uváděných v rozkladu. Vzhledem k výše uvedenému jsem rozhodl tak, jak je uvedeno ve výroku tohoto rozhodnutí.

Poučení

Proti tomuto rozhodnutí se podle § 91 odst. 1 zákona č. 500/2004 Sb., správní řád, ve znění pozdějších předpisů, ve spojení s § 152 odst. 5 téhož zákona nelze dále odvolat.

 

 

otisk úředního razítka

 

 

 

 

 

 

doc. JUDr. PhDr. Petr Mlsna, Ph.D.

předseda Úřadu pro ochranu hospodářské soutěže

 

 

Obdrží

Česká republika - Česká správa sociálního zabezpečení, Křížová 1292/25, 150 00 Praha

INDOC s.r.o., U Hadovky 564/3, 160 00 Praha 6

 

Vypraveno dne

viz otisk razítka na poštovní obálce nebo časový údaj na obálce datové zprávy



[1]Pokud je v rozhodnutí uveden odkaz na zákon, jedná se vždy o znění účinné ke dni zahájení zadávacího řízení na veřejnou zakázku.

[2] Případně též do smlouvy, kterou následně zadavatel uzavře s vybraným dodavatelem.

[3] Viz § 5 odst. 2 písm. b) zákona o kybernetické bezpečnosti.

[4] Dle § 11 odst. 2 písm. a) zákona o kybernetické bezpečnosti.

[5] Viz bod 8 Varování NÚKIB.

[6] Povinné osoby pro zajištění dostupnosti služby v praxi obvykle zvažují čtyři postupy: nasazení technického opatření eliminujícího zranitelnost(i) aktiva či hrozby s ním spojené, implementaci nového řešení při zachování starého řešení, redundanci a eliminaci rizikové technologie (viz Stanovisko NÚKIB ze dne 23. 10. 2019, k rozhodnutí Úřadu sp. zn. ÚOHS-S0262/2019/VZ).

[7] Tento závěr byl vysloven taktéž v bodě 64 odůvodnění rozhodnutí Úřadu ze dne 6. 11. 2019, č. j. ÚOHS-S0262/2019/VZ-30266/2019/523/Jma. Uvedené plyne také z rozhodnutí Úřadu ze dne 13. 1. 2020, č. j. ÚOHS-S0358/2019/VZ-01269/2020/512/KMo.

vyhledávání ve sbírkách rozhodnutí

cs | en
+420 542 167 111 · posta@uohs.cz