číslo jednací: 29271/2022/500
spisová značka: S0196/2022
| Instance | I. |
|---|---|
| Věc | Datová úložiště |
| Účastníci |
|
| Typ správního řízení | Veřejná zakázka |
| Výrok | § 263 odst. 3 zákona č. 134/2016 Sb. |
| Rok | 2022 |
| Datum nabytí právní moci | 10. 9. 2022 |
| Dokumenty |  2022_S0196.pdf 429 KB |
|
Spisová značka: ÚOHS-S0196/2022/VZ Číslo jednací: ÚOHS-29271/2022/500 |
|
Brno 25. 8. 2022 |
Úřad pro ochranu hospodářské soutěže příslušný podle § 248 zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů, ve správním řízení zahájeném dne 5. 5. 2022 na návrh ze dne 4. 5. 2022, jehož účastníky jsou
- zadavatel ─ Oblastní nemocnice Příbram, a.s., IČO 27085031, se sídlem Gen. R. Tesaříka 80, 261 01 Příbram,
- navrhovatel – Huawei Technologies (Czech) s.r.o., IČO 27367061, se sídlem Jihlavská 1558/21, 140 00 Praha,
ve věci přezkoumání úkonů zadavatele učiněných při zadávání veřejné zakázky „Datová úložiště“ v otevřeném řízení, jehož oznámení o zahájení zadávacího řízení bylo odesláno k uveřejnění dne 9. 3. 2022 a uveřejněno ve Věstníku veřejných zakázek dne 14. 3. 2022 pod ev. č. Z2022-009336, ve znění pozdější opravy, a v Úředním věstníku Evropské unie uveřejněno dne 14. 3. 2022 pod ev. č. 2022/S 051-132132, ve znění pozdější opravy,
rozhodl takto:
I.
Zadavatel – Oblastní nemocnice Příbram, a.s., IČO 27085031, se sídlem Gen. R. Tesaříka 80, 261 01 Příbram ─ stanovil zadávací podmínky veřejné zakázky „Datová úložiště“ zadávané v otevřeném řízení, jehož oznámení o zahájení zadávacího řízení bylo odesláno k uveřejnění dne 9. 3. 2022 a uveřejněno ve Věstníku veřejných zakázek dne 14. 3. 2022 pod ev. č. Z2022-009336, ve znění pozdější opravy, a v Úředním věstníku Evropské unie uveřejněno dne 14. 3. 2022 pod ev. č. 2022/S 051-132132, ve znění pozdější opravy, v rozporu s § 36 odst. 1 zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů, ve spojení se zásadou zákazu diskriminace zakotvenou v § 6 odst. 2 citovaného zákona tím, že stanovil zadávací podmínky citované veřejné zakázky tak, že vytvářely bezdůvodné překážky hospodářské soutěže, když v příloze č. 1 „Technické a obchodní požadavky zadavatele na předmět plnění“ zadávací dokumentace citované veřejné zakázky mj. stanovil, že vylučuje technické a programové prostředky společností Huawei Technologies Co., Ltd., Šen-čen, Čínská lidová republika, a ZTE Corporation, Šen-čen, Čínská lidová republika, včetně jejich dceřiných společností, z plnění citované veřejné zakázky, a to s odvoláním na Varování Národního úřadu pro kybernetickou a informační bezpečnost č. j. 3012/2018-NÚKIB-E/110 ze dne 17. 12. 2018, ačkoliv ze strany jmenovaného zadavatele nebyly prokázány relevantní důvody pro omezení hospodářské soutěže ve vztahu k dodavatelům nabízejícím na trhu výše uvedené technické a programové prostředky.
II.
Jako opatření k nápravě nezákonného postupu zadavatele – Oblastní nemocnice Příbram, a.s., IČO 27085031, se sídlem Gen. R. Tesaříka 80, 261 01 Příbram – uvedeného ve výroku I. tohoto rozhodnutí Úřad pro ochranu hospodářské soutěže podle § 263 odst. 3 zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů, ruší zadávací řízení na veřejnou zakázku „Datová úložiště“ zadávanou v otevřeném řízení, jehož oznámení o zahájení zadávacího řízení bylo odesláno k uveřejnění dne 9. 3. 2022 a uveřejněno ve Věstníku veřejných zakázek dne 14. 3. 2022 pod ev. č. Z2022-009336, ve znění pozdější opravy, a v Úředním věstníku Evropské unie uveřejněno dne 14. 3. 2022 pod ev. č. 2022/S 051-132132, ve znění pozdější opravy.
III.
Zadavateli – Oblastní nemocnice Příbram, a.s., IČO 27085031, se sídlem Gen. R. Tesaříka 80, 261 01 Příbram – se podle § 263 odst. 8 zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů, až do pravomocného skončení správního řízení vedeného Úřadem pro ochranu hospodářské soutěže pod sp. zn. S0196/2022/VZ ve věci návrhu navrhovatele – Huawei Technologies (Czech) s.r.o., IČO 27367061, se sídlem Jihlavská 1558/21, 140 00 Praha – ze dne 4. 5. 2022 na zahájení správního řízení o přezkoumání úkonů jmenovaného zadavatele ukládá zákaz uzavřít smlouvu v zadávacím řízení na veřejnou zakázku „Datová úložiště“ zadávanou v otevřeném řízení, jehož oznámení o zahájení zadávacího řízení bylo odesláno k uveřejnění dne 9. 3. 2022 a uveřejněno ve Věstníku veřejných zakázek dne 14. 3. 2022 pod ev. č. Z2022-009336, ve znění pozdější opravy, a v Úředním věstníku Evropské unie uveřejněno dne 14. 3. 2022 pod ev. č. 2022/S 051-132132, ve znění pozdější opravy.
IV.
Podle § 266 odst. 1 zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů, v návaznosti na § 1 vyhlášky č. 170/2016 Sb., o stanovení paušální částky nákladů řízení o přezkoumání úkonů zadavatele při zadávání veřejných zakázek, se zadavateli – Oblastní nemocnice Příbram, a.s., IČO 27085031, se sídlem Gen. R. Tesaříka 80, 261 01 Příbram – ukládá povinnost
uhradit náklady řízení ve výši 30 000 Kč (třicet tisíc korun českých).
Náklady řízení jsou splatné do dvou měsíců od nabytí právní moci tohoto rozhodnutí.
Odůvodnění
I. ZADÁVACÍ ŘÍZENÍ
1. Zadavatel – Oblastní nemocnice Příbram, a.s., IČO 27085031, se sídlem Gen. R. Tesaříka 80, 261 01 Příbram (dále jen „zadavatel“) – zahájil podle zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů (dále jen „zákon“), dne 9. 3. 2022 odesláním oznámení o zahájení zadávacího řízení k uveřejnění otevřené řízení za účelem zadání veřejné zakázky „Datová úložiště“, přičemž předmětné oznámení bylo uveřejněno ve Věstníku veřejných zakázek dne 14. 3. 2022 pod ev. č. Z2022-009336, ve znění pozdější opravy, a v Úředním věstníku Evropské unie uveřejněno dne 14. 3. 2022 pod ev. č. 2022/S 051-132132, ve znění pozdější opravy (dále jen „veřejná zakázka” či „zadávací řízení“).
2. V bodu 2.1 „Předmět veřejné zakázky“ zadávací dokumentace veřejné zakázky vymezil zadavatel předmět plnění veřejné zakázky následovně:
„Předmětem plnění této veřejné zakázky je dodávka 3 ks virtualizačních serverů, 2ks diskových úložišť (polí), záznamové zařízení hovorů pro komunikaci se zdravotnickou záchrannou službou, 4 ks LAN a 4 ks identických SAN přepínačů, 2 ks UPS, potřebného software včetně virtualizačního systému pro potřeby správy dat zadavatele včetně montáže, zprovoznění, dodávky potřebného software a zajištění potřebné uživatelské podpory a záručního servisu po dobu stanovenou v technické specifikaci, která je přílohou č. 1 této zadávací dokumentace a v závazném vzoru kupní smlouvy, který je rovněž přílohou této zadávací dokumentace (pro virtualizační servery 7 let, pro disková pole 5 let a podobně), a dále poskytnutí potřebných souvisejících služeb jako implementace a zprovoznění dodaného HW, instalace, zprovoznění a nastavení dodaného SW, implementace dohledového systému, provedení potřebných ověření, zkoušek a testů, zajištění přenosu (migrace dat) stávajících serverů na novou technologii, a poskytnutí dalších plnění a služeb blíže v příloze č. 1 této zadávací dokumentace, která obsahuje podrobné technické a smluvní požadavky zadavatele na předmět zakázky.“
3. Podle bodu II.1.5) „Předpokládaná celková hodnota” oznámení o zahájení zadávacího řízení (a taktéž dle části 3. „Předpokládaná hodnota veřejné zakázky“ zadávací dokumentace veřejné zakázky) zadavatel stanovil předpokládanou hodnotu veřejné zakázky ve výši 10 000 000 Kč bez DPH.
4. Podle bodu IV.2.2) „Lhůta pro doručení nabídek nebo žádostí o účast” oznámení o zahájení zadávacího řízení, ve znění opravy uveřejněné dne 7. 4. 2022, stanovil zadavatel lhůtu pro podání nabídek do dne 13. 4. 2022 do 10:00 hod.
5. Dne 11. 4. 2022 obdržel zadavatel od dodavatele – Huawei Technologies (Czech) s.r.o., IČO 27367061, se sídlem Jihlavská 1558/21, 140 00 Praha (dále jen „navrhovatel“) – námitky z téhož dne směřující proti zadávacím podmínkám veřejné zakázky (dále jen „námitky“).
6. Rozhodnutím ze dne 25. 4. 2022, které bylo navrhovateli doručeno téhož dne, zadavatel námitky odmítl (dále jen „rozhodnutí o námitkách“).
7. Vzhledem k tomu, že navrhovatel nepovažoval rozhodnutí o námitkách za učiněné v souladu se zákonem, podal dne 5. 5. 2022 u Úřadu pro ochranu hospodářské soutěže (dále jen „Úřad”) návrh na zahájení správního řízení o přezkoumání úkonů zadavatele ze dne 4. 5. 2022 (dále jen „návrh“). Zadavatel obdržel stejnopis návrhu rovněž dne 5. 5. 2022.
II. OBSAH NÁVRHU
8. Návrh směřuje proti zadávacím podmínkám veřejné zakázky, kdy navrhovatel je přesvědčen, že zadavatelem stanovená zadávací podmínka spočívající v tom, že „[z]ařízení uvedená ve Varování Národního úřadu pro kybernetickou a informační bezpečnost ze dne 17. 12. 2018[1][…] jsou pro plnění veřejné zakázky vyloučena, jelikož představují vysoké nebo kritické bezpečnostní riziko“, je stanovena v rozporu s § 6 odst. 1 a 2 a § 36 odst. 1 zákona a v rozporu se zákonem č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů (dále jen „ZKB“).
9. V souvislosti s výše uvedeným navrhovatel v návrhu předně konstatuje, že „[z]e zadávacích podmínek vůbec nevyplývá, zda a případně z jakého důvodu je zadavatel správcem a/nebo provozovatelem informačního nebo komunikačního systému kritické informační infrastruktury nebo jinou osobou povinnou dle § 3 ZKB“, v důsledku čehož není zřejmé, zda je zadavatel ve vztahu k předmětu plnění veřejné zakázky povinen postupovat v souladu se ZKB, resp. zda „vůbec přichází v úvahu, aby za určitých podmínek mohl z plnění Veřejné zakázky vyloučit technické a programové prostředky výrobců uvedených ve Varování“. Ze zadávací dokumentace veřejné zakázky pak dle navrhovatele rovněž nevyplývá „pro provoz jakých konkrétních informačních systémů je poptávané plnění určeno. […] Má-li být určitým způsobem omezena hospodářská soutěž s odkazem na povinnosti zadavatele dle ZKB, je nezbytné, aby bylo postaveno na jisto, že poptávané plnění (v celém svém rozsahu/každá jedna komponenta) je skutečně určeno pro provozování informačních systémů základní služby, a tedy, že ve vztahu k celému předmětu plnění je zadavatel vázán povinnostmi dle ZKB.“
10. Navrhovatel dále konstatuje, že zadavatel v rozhodnutí o námitkách uvádí, že vyloučení zařízení výrobců uvedených ve Varování NÚKIB z plnění veřejné zakázky je výsledkem provedené analýzy a hodnocení rizik, dle navrhovatele však ze zadávací dokumentace veřejné zakázky nevyplývá, že zadavatel provedl analýzu rizik či dokonce hodnocení rizik ve smyslu § 5 a § 8 odst. 2 vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) (dále jen „VKB“). Pokud tedy zadavatel uvádí, že zařízení výrobců uvedených ve Varování NÚKIB představují pro plnění veřejné zakázky vysoké nebo kritické bezpečnostní riziko, „není zřejmé, z čeho toto vysoké nebo kritické bezpečnostní riziko zadavatel dovozuje – zda pouze ze samotného Varování (což by bylo nepochybně nedostatečné – viz níže), nebo z analýzy rizik provedené zadavatelem“. I kdyby však zadavatel řádně provedl analýzu rizik a ta by indikovala vysokou míru rizika, v žádném případě není namístě, aby zadavatel plošně vylučoval veškerá zařízení výrobců uvedených ve Varování NÚKIB, neboť rizika plynoucí z použití takových zařízení „nepochybně mohou být eliminována přijetím odpovídajících (dodatečných) technických opatření, která může být dodavatel zavázán na své náklady […] provést (např. ochrana skrze produkty třetích osob apod.). Zadavatel – povinná osoba dle ZKB – je v souladu s ustanovením § 4 odst. 4 ZKB povinen volit taková opatření k plnění povinností dle ZKB, která co nejméně omezují hospodářskou soutěž.“ Uvedené navrhovatel uzavírá konstatováním, že zadavatel v daném případě „zjevně vůbec neprovedl analýzu rizik a i kdyby ji provedl (ač se o tom zadávací dokumentace nezmiňuje), zjevně vůbec neprovedl kroky, které musí následovat v rámci hodnocení rizik ve smyslu VKB po provedení analýzy rizik, tj. vůbec se nepokusil vymezit a zvážit vhodná opatření ke snížení identifikovaných rizik na úroveň akceptovatelného zbytkového rizika, a to tak, aby s tím související omezení hospodářské soutěže bylo co nejmenší, a jen […] bezmyšlenkovitě zvolil ten nejjednodušší, avšak soutěž nejvíce (zcela excesivně) omezující, způsob snížení rizik […], což je v rozporu nejen se zákonem o zadávání veřejných zakázek, ale i se ZKB“. Dle navrhovatele v šetřeném případě dochází ke „zcela excesivnímu, nepřípustnému, nedůvodnému a neobhajitelnému omezení hospodářské soutěže“.Zadávací podmínky veřejné zakázky „zcela jednoznačně […] znevýhodňují v soutěži ty dodavatele, kteří v rámci svých ICT řešení využívají technologie Huawei a ZTE; zadávací podmínky totiž znemožňují těmto dodavatelům taková (často velmi konkurenceschopná) řešení nabídnout, a to i přesto, že se z pohledu kybernetické bezpečnosti jedná o řešení stejně bezpečná či dokonce bezpečnější, než jsou řešení využívající technické a programové prostředky jiných výrobců, a to i při zohlednění hrozeb identifikovaných ve Varování NÚKIB, které mohou být eliminovány či sníženy na úroveň akceptovaného zbytkového rizika dodatečnými technickými opatřeními“.
11. Navrhovatel v návrhu rovněž konstatuje, že na základě výše uvedeného je postup zadavatele poznamenán také výraznou netransparentností. Navrhovatel uvádí, že aby zadavatel neporušil zásadu transparentnosti zakotvenou § 6 odst. 1 zákona, musel by „v zadávací dokumentaci jasně, srozumitelně a transparentně popsat minimálně:
- zda a v jakém rozsahu provedl analýzu rizik, popř. kompletní hodnocení rizik;
- jaká rizika byla ve vztahu k potenciálnímu využití technických a programových prostředků (zařízení) Huawei a ZTE identifikována, a to samostatně ve vztahu ke každému prvku poptávaného plnění; nestačí přitom pouze poukázat na hrozby dle Varování NÚKIB […];
- z jakých konkrétních důvodů bylo ke snížení identifikovaných rizik zvoleno právě opatření v podobě vyloučení veškerých technických a programových prostředků osob jmenovaných ve Varování NÚKIB […];
- z jakého důvodu bylo nezbytné vyloučit skutečně veškeré technické a programové prostředky osob jmenovaných ve Varování NÚKIB a pro všechny součásti předmětu plnění Veřejné zakázky, a to bez ohledu na jejich povahu, funkci, způsob začlenění a význam v celkovém technickém řešení;
- jaká jiná opatření ke snížení rizik identifikovaných v analýze rizik zadavatel zvažoval a z jakého důvodu se taková jiná – méně soutěž omezující – opatření nejeví jako dostatečná.
Nic z výše uvedeného však v zadávacích podmínkách uvedeno není.“.
12. S ohledem na všechny výše uvedené skutečnosti navrhovatel navrhuje, aby Úřad rozhodl o zrušení zadávacího řízení na veřejnou zakázku.
III. PRŮBĚH SPRÁVNÍHO ŘÍZENÍ
13. Podle § 249 zákona ve spojení s § 44 odst. 1 zákona č. 500/2004 Sb., správní řád, ve znění pozdějších předpisů (dále jen „správní řád“), bylo správní řízení o přezkoumání úkonů zadavatele zahájeno dne 5. 5. 2022, kdy Úřad obdržel návrh navrhovatele.
14. Účastníky správního řízení podle § 256 zákona jsou:
- zadavatel,
- navrhovatel.
15. Zahájení správního řízení oznámil Úřad jeho účastníkům přípisem č. j. ÚOHS-15172/2022/535 ze dne 6. 5. 2022.
16. Usnesením č. j. ÚOHS-15173/2022/535 ze dne 6. 5. 2022 určil Úřad zadavateli lhůtu k provedení úkonu – podání informace Úřadu o dalších úkonech, které zadavatel provede v šetřeném zadávacím řízení v průběhu správního řízení, a zaslání příslušné dokumentace o zadávacím řízení pořízené v souvislosti s provedenými úkony, a to nejpozději jeden den po provedení příslušného úkonu.
17. Dne 16. 5. 2022 obdržel Úřad od zadavatele dokumentaci o zadávacím řízení na veřejnou zakázku a vyjádření zadavatele k návrhu z téhož dne (dále jen „vyjádření zadavatele k návrhu” či „vyjádření k návrhu“).
Vyjádření zadavatele k návrhu
18. Zadavatel ve vyjádření k návrhu předně zdůrazňuje, že je správcem informačního systému základní služby ve smyslu § 3 písm. f) ZKB, neboť jím poskytované služby splňují definici základní služby ve smyslu § 2 písm. i) bod 5. ZKB a navazujících předpisů (vyhlášky č. 437/2017 Sb., o kritériích pro určení provozovatele základní služby, ve znění pozdějších předpisů), přičemž zadavatel zajišťuje poskytování základní služby prostřednictvím vlastního informačního systému, který rovněž spravuje. Zadavatel konstatuje, že je povinen provádět bezpečností opatření ve smyslu § 4 ZKB, což také v návaznosti na analýzu a hodnocení rizik provedené v souvislosti s přípravou zadávací dokumentace veřejné zakázky v návaznosti na § 8 odst. 1 písm. e) VKB učinil, když s ohledem na zjištěná rizika spojená se správou dat, která budou v rámci poptávané technologie spravována a která podléhají jakožto citlivé osobní údaje vysokému stupni ochrany, provedl bezpečnostní opatření dle § 4 odst. 2 a 4 ZKB a v návaznosti na Varování NÚKIB, které byl v rámci analýzy a hodnocení rizik povinen zohlednit, stanovil požadavek, aby tam popsaná zařízení nesměla být předmětem plnění veřejné zakázky. Takové omezení přitom dle zadavatele není nezákonným omezením hospodářské soutěže ve smyslu § 4 odst. 4 ZKB.
19. Zadavatel dále konstatuje, že „[s] ohledem na to, že předmět zakázky tvoří komplexní technologie, určená ke správě citlivých dat, kdy sami dodavatelé určují v rámci nabídek strukturu a podobu jednotlivých využitých zařízení, jejich komunikační SW i způsob vzájemného propojení a strukturování, neboť zadavatel stanovil vesměs pouze funkční požadavky na hlavní dodávané technologické soubory, provedl zadavatel analýzu možných dopadů a rizik právě s ohledem na vybrané rizikové oblasti, které jsou z hlediska zajištění kybernetické bezpečnosti klíčové. Zadavatel tak vyhodnotil, že předmět veřejné zakázky je zejména datové úložiště a navazující síťové prvky, které budou určeny pro uchování a správu citlivých zdravotnických dat ohledně všech pacientů Oblastní nemocnice Příbram, a.s. Jde tedy o systém, který bude nakládat s vysoce citlivými daty a navíc s velikým objemem takových dat, kdy všechny uchovávaná data musí být neustále k dispozici, neboť jsou využívána v nepřetržitém režimu […]. Z hlediska metodiky Národního úřadu pro kybernetickou bezpečnost se proto zadavateli pořizovaná technologie jevila a jeví jako riziková z toho hlediska, že slouží k přístupu k citlivým zdravotnickým datům jednotlivých pacientů a k jejich přenášení, kdy navíc jde o data desítek tisíc pacientů, takže o značné objemy citlivých údajů, které mohou být ohroženy jak z hlediska samotného uložení (ztráta či poškození), tak v rámci přenosu pomocí síťových prvků (únik, zneužití či jiné nedovolené nakládání s takovými daty mimo kontrolu zadavatele). Navíc je zde i vysoké riziko spojené s možnou nedostupností dat v případě výpadku (či záměrného blokování) služeb spojených s ukládáním a přenosem dat v rámci úložiště […].“ K uvedenému zadavatel uzavírá, že pokud NÚKIB vyhodnotil zařízení vyráběná navrhovatelem v konkrétních oblastech jako riziková a v rámci analýzy zadavatele byla hrozba možných dopadů na jeho provoz v uvedených oblastech vyhodnocena jako vysoká až kritická, pak bylo z pohledu plnění povinností zadavatele provádět bezpečností opatření dle ZKB nutné eliminovat rizika hrozící v rámci následného provozu základní služby a jejího informačního systému tím, že riziková zařízení budou vyloučena z možnosti být předmětem plnění veřejné zakázky. Zadavatel rovněž konstatuje, že navrhovatelem hojně citované pasáže z odborné literatury ve vztahu k nepřípustnosti omezení hospodářské soutěže nezohledňují podstatnou skutečnost, a to tu, že v daném případě nešlo o libovůli zadavatele, ale o plnění jeho zákonné povinnosti dané § 4 ZKB.
20. Co se týče námitek navrhovatele, které se zabývají otázkou neuvedení analýzy a hodnocení rizik v zadávací dokumentaci veřejné zakázky z pohledu transparentnosti zadávacího postupu, k těmto zadavatel ve vyjádření k návrhu uvádí, že analýzu a hodnocení rizik provedené dle ZKB a VKB, potažmo další související informace, vč. odůvodnění výběru zvoleného bezpečnostního opatření pro mitigaci rizika, není povinen učinit součástí zadávacích podmínek. Tento závěr dle zadavatele vychází jak z rozhodovací praxe Úřadu, tak ze zákona samotného, když podkladové analýzy jistě nemusí být součástí zadávacích podmínek ani v jiných případech (zákon takovou povinnost zadavateli nikde nestanoví). Současně zadavatel konstatuje, že informace o tom, na základě jakých podkladů zadavatel spornou podmínku stanovil, nejsou pro tvorbu nabídek potřebné.
21. Závěrem vyjádření k návrhu zadavatel se zřetelem na vše shora uvedené navrhuje, aby byl návrh navrhovatele zamítnut jako nedůvodný.
Další průběh správního řízení
22. Usnesením č. j. ÚOHS-17846/2022/535 ze dne 26. 5. 2022 Úřad správní řízení dle § 64 odst. 1 písm. e) správního řádu ve spojení s § 261 odst. 2 zákona přerušil s cílem získat odborné stanovisko, příp. znalecký posudek k zadavatelem v rámci dokumentace o zadávacím řízení na veřejnou zakázku poskytnuté analýze rizik, konkrétně k otázce, zda je analýza rizik provedená zadavatelem z formálního a obsahového hlediska v souladu s dotčenými právními předpisy (zejména ZKB a VKB) a obecně platnými a uznávanými standardy v oboru kybernetické bezpečnosti, a pokud ano, zda mohl zadavatel v souladu s dotčenými právními předpisy (zejména ZKB a VKB) a obecně platnými a uznávanými standardy v oboru kybernetické bezpečnosti zvolit v šetřeném případě i jiné technické opatření než opatření spočívající ve vyloučení zařízení uvedených ve Varování NÚKIB z plnění veřejné zakázky, resp. zda bylo předmětné bezpečnostní opatření v podobě popsaného opatření zvoleno v souladu s obecně platnými a uznávanými standardy v oboru kybernetické bezpečnosti.
23. Přípisem č. j. ÚOHS-17847/2022/535 ze dne 26. 5. 2022 (dále jen „žádost o stanovisko ze dne 26. 5. 2022“) Úřad požádal NÚKIB o zodpovězení otázky, zda je analýza rizik provedená zadavatelem z formálního a obsahového hlediska v souladu s dotčenými právními předpisy (zejména ZKB a VKB) a obecně platnými a uznávanými standardy v oboru kybernetické bezpečnosti (tj. lege artis), a pokud ano, zda mohl zadavatel v souladu s dotčenými právními předpisy (zejména ZKB a VKB) a obecně platnými a uznávanými standardy v oboru kybernetické bezpečnosti (tj. lege artis) zvolit v šetřeném případě i jiné technické opatření než opatření spočívající ve vyloučení zařízení uvedených ve Varování NÚKIB z plnění veřejné zakázky, resp. zda bylo předmětné bezpečnostní opatření v podobě popsaného opatření zvoleno v souladu s obecně platnými a uznávanými standardy v oboru kybernetické bezpečnosti (tj. lege artis).
24. Přípisem č. j. ÚOHS-20824/2022/535 ze dne 22. 6. 2022 Úřad účastníkům správního řízení oznámil, že ve správním řízení se pokračuje, a to za účelem vydání rozhodnutí o nařízení předběžného opatření spočívajícího v uložení zákazu zadavateli uzavřít smlouvu v předmětném zadávacím řízení, a to až do pravomocného skončení správního řízení.
25. Rozhodnutím č. j. ÚOHS-20762/2022/500 ze dne 22. 6. 2022 bylo zadavateli nařízeno z moci úřední předběžné opatření, kterým byl zadavateli uložen zákaz uzavřít smlouvu v zadávacím řízení na veřejnou zakázku.
26. Usnesením č. j. ÚOHS-21010/2022/535 ze dne 23. 6. 2022 Úřad správní řízení dle § 64 odst. 1 písm. e) správního řádu ve spojení s § 261 odst. 2 zákona opětovně přerušil s cílem získat odborné stanovisko, příp. znalecký posudek k zadavatelem v rámci dokumentace o zadávacím řízení na veřejnou zakázku poskytnuté analýze rizik, konkrétně k otázce, zda je analýza rizik provedená zadavatelem z formálního a obsahového hlediska v souladu s dotčenými právními předpisy (zejména ZKB a VKB) a obecně platnými a uznávanými standardy v oboru kybernetické bezpečnosti, a pokud ano, zda mohl zadavatel v souladu s dotčenými právními předpisy (zejména ZKB a VKB) a obecně platnými a uznávanými standardy v oboru kybernetické bezpečnosti zvolit v šetřeném případě i jiné technické opatření než opatření spočívající ve vyloučení zařízení uvedených ve Varování NÚKIB z plnění veřejné zakázky, resp. zda bylo předmětné bezpečnostní opatření v podobě popsaného opatření zvoleno v souladu s obecně platnými a uznávanými standardy v oboru kybernetické bezpečnosti.
27. Dne 7. 7. 2022 obdržel Úřad od NÚKIB přípis s názvem „Sdělení k analýze rizik Oblastní nemocnice Příbram“ z téhož dne (dále jen „stanovisko NÚKIB ze dne 7. 7. 2022“).
Stanovisko NÚKIB ze dne 7. 7. 2022
28. NÚKIB ve stanovisku ze dne 7. 7. 2022 předně uvádí, že spolu s žádostí o stanovisko ze dne 26. 5. 2022 obdržel od Úřadu i dokument s názvem „Analýza a hodnocení rizik spojených s přípravou realizace veřejné zakázky ‚Datová uložiště‘“ ze dne 7. 2. 2022 vč. jeho dvou příloh (dále jen „doručený dokument“).
29. NÚKIB dále upozorňuje na skutečnost, že v současné době neeviduje zadavatele jako povinnou osobu podle § 3 ZKB. Přestože zadavatel o sobě v doručeném dokumentu tvrdí, že je provozovatelem a poskytovatelem základní služby a správcem informačního systému základní služby dle § 3 písm. f) ZKB, „NÚKIB do dnešního dne nevydal žádné rozhodnutí nebo opatření obecné povahy, kterým by zadavatele určil povinnou osobou podle § 3 ZKB, a žádné řízení o určení v současné době nevede. Stejně tak do dnešního dne nedošlo ani k tzv. samourčení (tzn. povinnou osobou se subjekt stává ze zákona naplněním definičních znaků a je automaticky povinen nahlásit NÚKIB své kontaktní údaje). Tudíž NÚKIB nemá informace o tom, že by zadavatel byl povinnou osobou podle § 3 písm. f) ZKB.“
30. Dle NÚKIB tak lze uzavřít, že „pokud není zadavatel povinnou osobou podle ZKB, nelze u něj dovodit ani povinnost postupovat podle pravidel obsažených v ZKB. Uvedené však neznamená, že by zadavatel nemohl aplikovat ustanovení ZKB a vyhlášky č. 82/2018 Sb. […] ve svých strukturách dobrovolně, např. z důvodu, že to po něm požadují jeho smluvní partneři nebo jeho zřizovatel, nebo z důvodu, že zadavatel usiluje o získání certifikace ISO 27000 (celá koncepce VKB je založena právě na normě ISO 27001).“
31. NÚKIB dále uvádí, že Varování NÚKIB je „aktem s obecnou platností, kterým NÚKIB informuje širokou veřejnost o existenci hrozby v oblasti kybernetické bezpečnosti. Varování samo o sobě neukládá žádné povinnosti, stejně jako není určeno pouze omezenému okruhu adresátů. Speciální ustanovení ZKB a VKB stanoví, které orgány a osoby (povinné osoby) mají zákonnou povinnost zohlednit varování v procesu řízení rizik. Lze však předpokládat (a NÚKIB to považuje z hlediska zajištění vysoké úrovně kybernetické bezpečnosti v České republice za vysoce žádoucí), že i orgány a osoby, které nespadají do působnosti ZKB, budou s informací obsaženou ve varování v rámci řízení bezpečnosti svých informačních systémů dále pracovat a budou ji zohledňovat v procesu řízení rizik. Jak VKB, tak norma ISO 27001 totiž požadují, aby povinné osoby, resp. subjekty aplikující normu, při řízení rizik zohledňovaly jim známé relevantní hrozby. Je přitom lhostejné, zda se o nich subjekt dozvěděl z varování NÚKIB či z jiného veřejného či vlastního zdroje.“
32. Co se týče zodpovězení otázek položených Úřadem v žádosti o stanovisko ze dne 26. 5. 2022, NÚKIB konstatuje, že „[p]ostup zadavatele při tvorbě analýzy rizik, obsah analýzy rizik a způsob jejího provedení je třeba posuzovat i v kontextu předcházejících a navazujících kroků zadavatele tvořících v souhrnu proces řízení rizik. Proces řízení rizik sestává z hodnocení rizik (jehož součástí je identifikace, analýza a vyhodnocení rizik), výběru a zavedení opatření ke zvládání rizik, sdílení informací o riziku a sledování a přezkoumání rizik [srov. § 2 písm. i) VKB]. Výběr konkrétního bezpečnostního opatření, jehož implementace sníží hodnotu rizika na akceptovatelnou úroveň, pak musí být založen nikoli pouze na samotné analýze rizik (jejímž výsledkem je striktně vzato pouze stanovení hodnoty rizika), nýbrž i na navazujícím vyhodnocení rizik (tedy určení, zda je riziko akceptovatelné či nikoli) a zvážení v úvahu přicházejících bezpečnostních opatření. Postup povinné osoby by přitom měl korespondovat s již nastavenými pravidly pro řízení rizik. Pro posouzení správnosti postupu povinné osoby při tvorbě analýzy rizik je krom jiného nezbytné i posouzení toho, zda celý proces hodnocení rizik, do něhož tvorba analýzy rizik spadá a od jehož zbylých součástí je funkčně neoddělitelná, byl proveden v souladu s metodikou k tomu vyhotovenou [srov. § 5 odst. 1 písm. a) VKB].“
33. V návaznosti na výše uvedené NÚKIB konstatuje, že „[v] doručeném dokumentu […] není uvedena kompletní analýza rizik, tak jak ji VKB chápe, ale spíše toliko konstatování jejího závěru. NÚKIB proto žádostí ze dne 13. června 2022 požádal přímo zadavatele o zaslání kompletní analýzy rizik, pokud tedy takovou analýzou rizik disponuje a zároveň jej vyzval k vysvětlení toho, proč sám sebe označuje za poskytovatele základní služby, když jím nebyl určen. Dne 17. června 2022 obdržel NÚKIB odpověď. Zadavatel ve svém vyjádření mj. uvedl, že vedení nemocnice: ‚přijalo rozhodnutí na plnou implementaci kybernetických a informačních bezpečnostních opatření ve shodě s VKB, a to na dobrovolné bázi, s cílem, aby se neopakovala situace jako v Nemocnici Benešov, Fakultní nemocnici Brno, a nejnověji Ředitelství silnic a dálnic.‘ Dále pak zadavatel uvedl, že vedení nemocnice ‚si uvědomuje, že k aktuálnímu datu nemá provedenou Analýzu rizik ve shodě s metodikou NÚKIB, nicméně jako úvodní krok byla provedena GAP (rozdílová) analýza (podle metodiky NÚKIB), kterou je možno na vyžádání Vám poskytnout.‘ Žádostí ze dne 20. června 2022 si NÚKIB uvedenou GAP analýzu od zadavatele vyžádal, avšak do dnešního dne žádnou odpověď neobdržel, přičemž stanovená lhůta k provedení úkonu již marně uplynula.“
34. Dle NÚKIB je na základě výše uvedeného „zřejmé, že zadavatel není povinnou osobou podle ZKB a zároveň si je vědom toho, že jím zpracovaná analýza rizik není ve shodě s metodikou NÚKIB. Postup zadavatele při hodnocení rizik a při navazujícím výběru bezpečnostního opatření je tedy z pohledu NÚKIB nedostatečně zdokumentován a je obecně neopakovatelný a zmatečný. Stejně tak je zmatečný i samotný způsob zapracování varování NÚKIB ze dne 17. prosince 2018 do procesu hodnocení rizik. Z výše uvedených důvodu pak postup zadavatele nelze označit za souladný se ZKB a VKB. NÚKIB nevylučuje, že pokud by zadavatel provedl hodnocení rizik řádně podle všech pravidel obsažených ve VKB a vyvaroval se výše uvedeným pochybením, výsledek hodnocení rizik by byl shodný a rozporované bezpečnostní opatření by bylo pro snížení identifikovaných rizik možné i nadále považovat za jediné akceptovatelné. Za současného stavu a na základě předložených dokumentů je však třeba uzavřít, že výběr bezpečnostního opatření se nezakládá na hodnocení rizik provedeném zcela v souladu s požadavky ZKB a VKB.“
Další průběh správního řízení
35. Přípisem č. j. ÚOHS-22970/2022/535 ze dne 12. 7. 2022 Úřad účastníkům správního řízení oznámil, že ve správním řízení se pokračuje, jelikož dne 7. 7. 2022 odpadla překážka, pro kterou bylo předmětné správní řízení přerušeno.
36. Usnesením č. j. ÚOHS-25002/2022/535 ze dne 25. 7. 2022 stanovil Úřad účastníkům správního řízení lhůtu, ve které se mohli vyjádřit k podkladům rozhodnutí.
37. Účastníci řízení se ve lhůtě stanovené usnesením č. j. ÚOHS-25002/2022/535 ze dne 25. 7. 2022 ani později k podkladům rozhodnutí nevyjádřil.
IV. ZÁVĚRY ÚŘADU
38. Úřad přezkoumal na základě § 248 a následujících ustanovení zákona případ ve všech vzájemných souvislostech a po zhodnocení všech podkladů pro rozhodnutí, zejména příslušné části dokumentace o zadávacím řízení na veřejnou zakázku a vyjádření účastníků správního řízení, a na základě vlastních zjištění rozhodl tak, jak je uvedeno ve výrocích I. až IV. tohoto rozhodnutí. Ke svému rozhodnutí Úřad uvádí následující rozhodné skutečnosti.
K výroku I. tohoto rozhodnutí
Relevantní ustanovení zákona a dalších právních předpisů
39. Podle § 6 odst. 1 zákona zadavatel při postupu podle tohoto zákona musí dodržovat zásady transparentnosti a přiměřenosti.
40. Podle § 6 odst. 2 zákona ve vztahu k dodavatelům musí zadavatel dodržovat zásadu rovného zacházení a zákazu diskriminace.
41. Podle § 28 odst. 1 písm. a) zákona se pro účely tohoto zákona rozumí zadávacími podmínkami veškeré zadavatelem stanovené
1. podmínky průběhu zadávacího řízení,
2. podmínky účasti v zadávacím řízení,
3. pravidla pro snížení počtu účastníků zadávacího řízení nebo snížení počtu předběžných nabídek nebo řešení,
4. pravidla pro hodnocení nabídek,
5. další podmínky pro uzavření smlouvy na veřejnou zakázku podle § 104 zákona.
42. Podle § 36 odst. 1 zákona zadávací podmínky nesmí být stanoveny tak, aby určitým dodavatelům bezdůvodně přímo nebo nepřímo zaručovaly konkurenční výhodu nebo vytvářely bezdůvodné překážky hospodářské soutěže.
43. Podle § 263 odst. 3 zákona platí, že stanoví-li zadavatel zadávací podmínky v rozporu s tímto zákonem, Úřad uloží nápravné opatření spočívající ve zrušení zadávacího řízení.
44. Podle § 3 ZKB orgány a osobami, kterým se ukládají povinnosti v oblasti kybernetické bezpečnosti, jsou
a) poskytovatel služby elektronických komunikací a subjekt zajišťující síť elektronických komunikací, pokud není orgánem nebo osobou podle § 3 písm. b) ZKB,
b) orgán nebo osoba zajišťující významnou síť, pokud nejsou správcem nebo provozovatelem komunikačního systému podle § 3 písm. d) ZKB,
c) správce a provozovatel informačního systému kritické informační infrastruktury,
d) správce a provozovatel komunikačního systému kritické informační infrastruktury,
e) správce a provozovatel významného informačního systému,
f) správce a provozovatel informačního systému základní služby, pokud nejsou správcem nebo provozovatelem podle § 3 písm. c) nebo d) ZKB,
g) provozovatel základní služby, pokud není správcem nebo provozovatelem podle § 3 písm. f) ZKB, a
h) poskytovatel digitální služby.
45. Podle § 4 odst. 2 ZKB jsou orgány a osoby uvedené v § 3 písm. c) až f) ZKB povinny zavést a provádět bezpečnostní opatření v rozsahu nezbytném pro zajištění kybernetické bezpečnosti informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury, informačního systému základní služby a významného informačního systému a vést o nich bezpečnostní dokumentaci.
46. Podle § 4 odst. 4 ZKB jsou orgány a osoby uvedené v § 3 písm. c) až f) ZKB povinny zohlednit požadavky vyplývající z bezpečnostních opatření při výběru dodavatele pro jejich informační nebo komunikační systém a tyto požadavky zahrnout do smlouvy, kterou s dodavatelem uzavřou. Zohlednění požadavků vyplývajících z bezpečnostních opatření podle věty první v míře nezbytné pro splnění povinností podle tohoto zákona nelze považovat za nezákonné omezení hospodářské soutěže nebo neodůvodněnou překážku hospodářské soutěži.
47. Podle § 2 písm. i) VKB se pro účely této vyhlášky rozumí řízením rizik činnost zahrnující hodnocení rizik, výběr a zavedení opatření ke zvládání rizik, sdílení informací o riziku a sledování a přezkoumání rizik.
48. Podle § 5 odst. 1 písm. a) VKB povinná osoba v rámci řízení rizik v návaznosti na § 4 ZKB stanoví metodiku pro hodnocení rizik, včetně stanovení kritérií pro akceptovatelnost rizik.
Zjištěné skutečnosti
49. Varování NÚKIB vydané dle § 12 odst. 1 ZKB varuje před použitím technických nebo programových prostředků společnosti Huawei Technologies Co., Ltd., Šen-čen, Čínská lidová republika, a společnosti ZTE Corporation, Šen-čen, Čínská lidová republika, včetně jejich dceřiných společností, neboť představují hrozbu v oblasti kybernetické bezpečnosti.
50. V příloze č. 1 „Technické a obchodní požadavky zadavatele na předmět plnění“ zadávací dokumentace veřejné zakázky (dále jen „příloha č. 1 zadávací dokumentace veřejné zakázky“) je uvedeno mj. následující:
„Zařízení uvedená ve Varování Národního úřadu pro kybernetickou a informační bezpečnost ze dne 17. 12. 2018, č. j. 3012/2018-NÚKIB-E/110, vydaného v souladu se zákonem č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů, ve znění pozdějších předpisů, jsou pro plnění veřejné zakázky vyloučena, jelikož představují vysoké nebo kritické bezpečnostní riziko.“
(dále jen „sporná zadávací podmínka“ či „sporné opatření“).
Právní posouzení
51. Úřad nejprve v obecnosti uvádí, že řádné stanovení zadávacích podmínek je jednou ze základních povinností zadavatele v rámci zadávacího řízení a má výrazný dopad na další průběh zadávacího řízení, neboť potenciální dodavatelé se na základě zadávacích podmínek rozhodují, zda se budou o předmětnou veřejnou zakázku ucházet. Zadávací podmínky by tak měly představovat konkrétní vyjádření jednotlivých požadavků zadavatele, jež je formálně zachyceno v zadávací dokumentaci.
52. Úřad dále uvádí, že zadávací podmínky zadavatel musí stanovit v mezích příslušných ustanovení zákona, zejm. pak v mezích základních zásad zadávání veřejných zakázek, jež jsou uvedeny v § 6 zákona. S odkazem na § 36 odst. 1 zákona pak Úřad uvádí, že zadávací podmínky musí být nastaveny tak, aby vůči všem potenciálním dodavatelům působily nediskriminačně, tj. v souladu se zásadou zákazu diskriminace zakotvenou v § 6 odst. 2 zákona, přičemž z tohoto základního pravidla vyplývá, že zadávací podmínky nesmí určitému okruhu dodavatelů či přímo jednomu dodavateli bezdůvodně přímo či nepřímo zaručovat konkurenční výhodu a zároveň zadavatel nesmí zadávací podmínky stanovit tak, aby v jejich důsledku docházelo k vytváření bezdůvodných překážek hospodářské soutěže. K uvedenému Úřad doplňuje, že po zadavateli nepochybně nelze reálně požadovat, aby stanovené zadávací podmínky měly na všechny dodavatele stejný dopad a nevytvářely mezi dodavateli určitou nerovnováhu. Případné omezení však musí být vždy odůvodnitelné oprávněnými potřebami zadavatele a je to právě zadavatel, kdo musí unést důkazní břemeno, že se skutečně nejedná o bezdůvodnou překážku hospodářské soutěže mezi jednotlivými potenciálními dodavateli předmětu plnění veřejné zakázky.
53. V šetřeném případě je mezi účastníky správního řízení mj. sporu o tom, zda zadávací podmínka uvedená v příloze č. 1 zadávací dokumentace veřejné zakázky spočívající v tom, že zařízení uvedená ve Varování NÚKIB jsou pro plnění veřejné zakázky vyloučena, neboť představují vysoké nebo kritické bezpečnostní riziko, je stanovena v souladu s § 36 odst. 1 ve spojení s § 6 odst. 2 zákona (blíže viz body 8. až 10. odůvodnění tohoto rozhodnutí).
54. Za účelem posouzení výše uvedené otázky se Úřad nejprve zabýval tím, zda zadavatel spornou zadávací podmínku stanovil v souladu se ZKB a VKB a v míře nezbytně nutné ve smyslu § 4 odst. 4 ZKB, přičemž na tomto místě předesílá, že své závěry zakládá zejm. na stanovisku ze dne 7. 7. 2022, které mu na žádost ze dne 26. 5. 2022 poskytl příslušný ústřední orgán státní správy pro oblast kybernetické bezpečnosti, tj. NÚKIB (blíže viz body 28. až 34. odůvodnění tohoto rozhodnutí).
55. Ve stanovisku NÚKIB ze dne 7. 7. 2022 je v prvé řadě uvedeno, že NÚKIB v současné době neeviduje zadavatele jako povinnou osobu podle § 3 ZKB. „NÚKIB do dnešního dne nevydal žádné rozhodnutí nebo opatření obecné povahy, kterým by zadavatele určil povinnou osobou podle § 3 ZKB, a žádné řízení o určení v současné době nevede. Stejně tak do dnešního dne nedošlo ani k tzv. samourčení (tzn. povinnou osobou se subjekt stává ze zákona naplněním definičních znaků a je automaticky povinen nahlásit NÚKIB své kontaktní údaje). Tudíž NÚKIB nemá informace o tom, že by zadavatel byl povinnou osobou podle § 3 […] ZKB.“ V této souvislosti NÚKIB uzavírá, že „pokud není zadavatel povinnou osobou podle ZKB, nelze u něj dovodit ani povinnost postupovat podle pravidel obsažených v ZKB“, což však dle stanoviska NÚKIB ze dne 7. 7. 2022 neznamená, že by zadavatel nemohl aplikovat ustanovení ZKB a VKB ve svých strukturách „dobrovolně, např. z důvodu, že to po něm požadují jeho smluvní partneři nebo jeho zřizovatel, nebo z důvodu, že zadavatel usiluje o získání certifikace ISO 27000 (celá koncepce VKB je založena právě na normě ISO 27001)“.
56. Ve vztahu k výše uvedenému Úřad uvádí, že ačkoliv ve vyjádření k návrhu zadavatel dovozuje, že je povinnou osobou ve smyslu § 3 písm. f) ZKB, ze stanoviska NÚKIB ze dne 7. 7. 2022, resp. v něm citovaného vyjádření zadavatele, které NÚKIB obdržel dne 17. 6. 2022, vyplývá, že zadavatel aplikuje vybrané povinnosti dle ZKB a VKB „na dobrovolné bázi, s cílem, aby se neopakovala situace jako v Nemocnici Benešov, Fakultní nemocnici Brno, a nejnověji Ředitelství silnic a dálnic“. V této souvislosti Úřad uvádí, že nijak nepolemizuje s argumentací zadavatele, že k aplikaci ustanovení ZKB a VKB ve svých strukturách přistupuje dobrovolně, nicméně dle přesvědčení Úřadu je tato argumentace ve vztahu k šetřenému případu irelevantní, neboť z hlediska posouzení, zda zadavatel stanovil sporné opatření v souladu se zákonem, je rozhodné stanovisko NÚKIB, ze kterého bude vyplývat, zda zadavatel sporné opatření stanovil v souladu s příslušnými ustanoveními ZKB a VKB.
57. Ohledně posouzení souladu postupu zadavatele při tvorbě analýzy rizik s ustanoveními ZKB a VKB je přitom ve stanovisku NÚKIB ze dne 7. 7. 2022 předně uvedeno, že „[p]ostup zadavatele při tvorbě analýzy rizik, obsah analýzy rizik a způsob jejího provedení je třeba posuzovat i v kontextu předcházejících a navazujících kroků zadavatele tvořících v souhrnu proces řízení rizik. Proces řízení rizik sestává z hodnocení rizik (jehož součástí je identifikace, analýza a vyhodnocení rizik), výběru a zavedení opatření ke zvládání rizik, sdílení informací o riziku a sledování a přezkoumání rizik [srov. § 2 písm. i) VKB]. Výběr konkrétního bezpečnostního opatření, jehož implementace sníží hodnotu rizika na akceptovatelnou úroveň, pak musí být založen nikoli pouze na samotné analýze rizik (jejímž výsledkem je striktně vzato pouze stanovení hodnoty rizika), nýbrž i na navazujícím vyhodnocení rizik (tedy určení, zda je riziko akceptovatelné či nikoli) a zvážení v úvahu přicházejících bezpečnostních opatření. […] Pro posouzení správnosti postupu povinné osoby při tvorbě analýzy rizik je krom jiného nezbytné i posouzení toho, zda celý proces hodnocení rizik, do něhož tvorba analýzy rizik spadá a od jehož zbylých součástí je funkčně neoddělitelná, byl proveden v souladu s metodikou k tomu vyhotovenou [srov. § 5 odst. 1 písm. a) VKB].“
58. Dále je ve stanovisku NÚKIB ze dne 7. 7. 2022 uvedeno, že „[v] doručeném dokumentu […] není uvedena kompletní analýza rizik, tak jak ji VKB chápe, ale spíše toliko konstatování jejího závěru. NÚKIB proto žádostí ze dne 13. června 2022 požádal přímo zadavatele o zaslání kompletní analýzy rizik, pokud tedy takovou analýzou rizik disponuje […]. Dne 17. června 2022 obdržel NÚKIB odpověď. Zadavatel ve svém vyjádření mj. uvedl, že […] ‚si uvědomuje, že k aktuálnímu datu nemá provedenou Analýzu rizik ve shodě s metodikou NÚKIB, nicméně jako úvodní krok byla provedena GAP (rozdílová) analýza […], kterou je možno na vyžádání […] poskytnout.‘ Žádostí ze dne 20. června 2022 si NÚKIB uvedenou GAP analýzu od zadavatele vyžádal, avšak do dnešního dne žádnou odpověď neobdržel, přičemž stanovená lhůta k provedení úkonu již marně uplynula.“
59. Na základě shora uvedeného je dle NÚKIB „zřejmé, že zadavatel […] si je vědom toho, že jím zpracovaná analýza rizik není ve shodě s metodikou NÚKIB. Postup zadavatele při hodnocení rizik a při navazujícím výběru bezpečnostního opatření je tedy z pohledu NÚKIB nedostatečně zdokumentován a je obecně neopakovatelný a zmatečný. Stejně tak je zmatečný i samotný způsob zapracování varování NÚKIB ze dne 17. prosince 2018 do procesu hodnocení rizik. Z výše uvedených důvodu pak postup zadavatele nelze označit za souladný se ZKB a VKB.“ V závěru stanoviska NÚKIB ze dne 7. 7. 2022 pak „NÚKIB nevylučuje, že pokud by zadavatel provedl hodnocení rizik řádně podle všech pravidel obsažených ve VKB a vyvaroval se výše uvedeným pochybením, výsledek hodnocení rizik by byl shodný a rozporované bezpečnostní opatření by bylo pro snížení identifikovaných rizik možné i nadále považovat za jediné akceptovatelné. Za současného stavu a na základě předložených dokumentů je však třeba uzavřít, že výběr bezpečnostního opatření se nezakládá na hodnocení rizik provedeném zcela v souladu s požadavky ZKB a VKB.“
60. S ohledem na výše uvedené Úřad shrnuje, že ze stanoviska NÚKIB ze dne 7. 7. 2022 ve vztahu k Úřadem v žádosti o stanovisko ze dne 26. 5. 2022 položené otázce, zda je analýza rizik provedená zadavatelem z formálního a obsahového hlediska v souladu s dotčenými právními předpisy (zejména ZKB a VKB) a obecně platnými a uznávanými standardy v oboru kybernetické bezpečnosti, jednoznačně vyplývá, že analýza rizik zpracovaná zadavatelem „není […] kompletní analýza rizik, tak jak ji VKB chápe, ale spíše toliko konstatování jejího závěru“, a že sám zadavatel přiznává, že „nemá provedenou Analýzu rizik ve shodě s metodikou NÚKIB“. Vzhledem k tomu, že NÚKIB na základě této skutečnosti konstatuje, že „postup zadavatele při hodnocení rizik a při navazujícím výběru bezpečnostního opatření […] nelze označit za souladný se ZKB a VKB“, lze dle Úřadu s ohledem na uvedené uzavřít, že v posuzovaném případě nebyly ze strany zadavatele prokázány žádné relevantní důvody pro vyloučení zařízení uvedených ve Varování NÚKIB z plnění veřejné zakázky a tím pro omezení hospodářské soutěže ve vztahu k dodavatelům nabízejícím na trhu tato zařízení. Sporná zadávací podmínka tak je stanovena v rozporu s § 36 odst. 1 ve spojení s § 6 odst. 2 zákona, neboť představuje nepovolenou diskriminaci a omezení hospodářské soutěže ve vztahu k dodavatelům nabízejícím na trhu zařízení uvedená ve Varování NÚKIB.
61. Pro úplnost Úřad uvádí, že nezastírá, že ze stanoviska NÚKIB ze dne 7. 7. 2022 vyplývá, že zadavatelem byla vyjma diskutované analýzy rizik provedena rovněž tzv. „GAP (rozdílová) analýza“, kterou zadavatel NÚKIB na vyžádání ve stanovené lhůtě neposkytl, a že tuto Úřad obdržel od zadavatele dne 23. 6. 2022. Úřad je nicméně toho názoru, že předmětná „GAP (rozdílová) analýza“ nemůže zvrátit závěr Úřadu učiněný v předchozím bodu odůvodnění tohoto rozhodnutí, neboť dle přesvědčení Úřadu by NÚKIB nevyslovil jednoznačný závěr o nesouladu postupu zadavatele se ZKB a VKB v šetřeném případě, pokud by pro tento neměl dostatečné podklady.
62. Se zřetelem na všechny výše předestřené skutečnosti tak Úřad uzavírá, že zadavatel stanovil zadávací podmínky veřejné zakázky v rozporu s § 36 odst. 1 zákona ve spojení se zásadou zákazu diskriminace zakotvenou v § 6 odst. 2 zákonatím, že stanovil zadávací podmínky veřejné zakázky tak, že vytvářely bezdůvodné překážky hospodářské soutěže, když v příloze č. 1 zadávací dokumentace veřejné zakázky mj. stanovil, že vylučuje technické a programové prostředky společností Huawei Technologies Co., Ltd., Šen-čen, Čínská lidová republika, a ZTE Corporation, Šen-čen, Čínská lidová republika, včetně jejich dceřiných společností, z plnění veřejné zakázky, a to s odvoláním na Varování NÚKIB, ačkoliv ze strany zadavatele nebyly prokázány relevantní důvody pro omezení hospodářské soutěže ve vztahu k dodavatelům nabízejícím na trhu výše uvedené technické a programové prostředky.
63. Úřad proto rozhodl tak, jak je uvedeno ve výroku I. tohoto rozhodnutí.
K dalším navrhovatelem namítaným skutečnostem
64. Úřad uvádí, že nepřehlíží další navrhovatelem namítaná pochybení zadavatele týkající se zejm. netransparentnosti zadávacího řízení (viz bod 11. odůvodnění tohoto rozhodnutí). Vzhledem k výše uvedenému nicméně Úřad považuje případné šetření dalších skutečností uvedených v návrhu za nadbytečné, neboť by nemohlo mít na výsledek řízení, a tedy na rozhodnutí Úřadu ve věci vliv. Úřad tak postupuje v souladu s ustálenou rozhodovací praxí, z níž lze vyvodit, že zkoumání dalších důvodů pro uložení nápravného opatření je nadbytečné, existuje-li alespoň jeden oprávněný důvod pro uložení nápravného opatření. Takový postup v rámci přezkumu je nejen v souladu s rozhodovací praxí Úřadu a správních soudů, ale je též v souladu se zásadou procesní ekonomie. Je neúčelné, aby se Úřad věcně zabýval všemi důvody pro uložení nápravného opatření a k prokázání či vyvrácení jejich existence prováděl rozsáhlé dokazování, jež neúměrně zatíží účastníky řízení i Úřad a případně též nedůvodně pozdrží průběh správního řízení. Pokud tedy Úřad dospěje k závěru, že alespoň jeden důvod pro uložení nápravného opatření existoval, je zkoumání existence dalších důvodů nadbytečné. I kdyby totiž existence ostatních důvodů pro uložení nápravného opatření byla vyvrácena, popř. potvrzena, nemohla by tato skutečnost nic změnit na tom, že zadavatel nepostupoval při zadávání šetřené veřejné zakázky v souladu se zákonem, pročež Úřad jako nápravné opatření zrušil zadávací řízení na veřejnou zakázku, jak vyplývá v podrobnostech níže z odůvodnění tohoto rozhodnutí.
K výroku II. rozhodnutí – k uložení nápravného opatření spočívajícího ve zrušení zadávacího řízení na veřejnou zakázku
65. Podle § 263 odst. 3 zákona platí, že stanoví-li zadavatel zadávací podmínky v rozporu s tímto zákonem, Úřad uloží nápravné opatření spočívající ve zrušení zadávacího řízení.
66. V případě, že jsou zadávací podmínky stanoveny v rozporu se zákonem, není v dané situaci možné k dosažení nápravy protiprávního stavu uložit jiné nápravné opatření než nápravné opatření spočívající ve zrušení zadávacího řízení.
67. Úřad ve výroku I. tohoto rozhodnutí konstatoval, že zadavatel stanovil zadávací podmínky veřejné zakázky v rozporu s § 36 odst. 1 zákona ve spojení se zásadou zákazu diskriminace zakotvenou v § 6 odst. 2 zákonatím, že stanovil zadávací podmínky veřejné zakázky tak, že vytvářely bezdůvodné překážky hospodářské soutěže, když v příloze č. 1 zadávací dokumentace veřejné zakázky mj. stanovil, že vylučuje technické a programové prostředky společností Huawei Technologies Co., Ltd., Šen-čen, Čínská lidová republika, a ZTE Corporation, Šen-čen, Čínská lidová republika, včetně jejich dceřiných společností, z plnění veřejné zakázky, a to s odvoláním na Varování NÚKIB, ačkoliv ze strany zadavatele nebyly prokázány relevantní důvody pro omezení hospodářské soutěže ve vztahu k dodavatelům nabízejícím na trhu výše uvedené technické a programové prostředky.
68. Vzhledem k tomu, že došlo k naplnění podmínky dle § 263 odst. 3 zákona, je Úřad povinen rozhodnout o uložení nápravného opatření spočívajícího ve zrušení zadávacího řízení na veřejnou zakázku. S ohledem na výše uvedené skutečnosti rozhodl Úřad o uložení nápravného opatření tak, jak je uvedeno ve výroku II. tohoto rozhodnutí.
K výroku III. rozhodnutí – k uložení zákazu uzavřít smlouvu v zadávacím řízení
69. Podle § 263 odst. 8 zákona platí, že ukládá-li Úřad nápravné opatření s výjimkou zákazu plnění smlouvy, zakáže zároveň zadavateli až do pravomocného skončení řízení uzavřít v zadávacím řízení smlouvu; rozklad proti tomuto výroku nemá odkladný účinek.
70. Výše citované ustanovení zákona formuluje jako obligatorní součást rozhodnutí Úřadu o uložení nápravného opatření (s výjimkou zákazu plnění smlouvy) rovněž výrok o tom, že zadavatel až do pravomocného skončení správního řízení nesmí uzavřít smlouvu v zadávacím řízení, přičemž tento výrok je účinný dnem vydání rozhodnutí, tedy je účinný i u nepravomocného rozhodnutí. Tento zákaz uzavřít smlouvu se ukládá z důvodu, aby se zadavatel nemohl vyhnout splnění uloženého nápravného opatření uzavřením smlouvy [s důsledky zastavení správního řízení dle § 257 písm. j) zákona] ještě před nabytím právní moci rozhodnutí.
71. Vzhledem k tomu, že Úřad ve výroku II. tohoto rozhodnutí uložil nápravné opatření spočívající ve zrušení zadávacího řízení na veřejnou zakázku, uložil zároveň ve výroku III. tohoto rozhodnutí zadavateli zákaz uzavřít smlouvu v zadávacím řízení na veřejnou zakázku, a to až do pravomocného skončení tohoto správního řízení.
K výroku IV. rozhodnutí – k uložení úhrady nákladů řízení
72. Podle § 266 odst. 1 zákona je součástí rozhodnutí Úřadu, kterým se ukládá nápravné opatření nebo zákaz plnění smlouvy, též rozhodnutí o povinnosti zadavatele uhradit náklady správního řízení. Náklady řízení se platí paušální částkou, kterou stanoví Ministerstvo pro místní rozvoj vyhláškou. Příslušná vyhláška č. 170/2016 Sb., o stanovení paušální částky nákladů řízení o přezkoumání úkonů zadavatele při zadávání veřejných zakázek, stanoví v § 1, že paušální částka nákladů řízení o přezkoumání úkonů zadavatele, kterou je povinen zadavatel uhradit v případě, že Úřad rozhodl o uložení nápravného opatření nebo zákazu plnění smlouvy, činí 30 000 Kč.
73. Vzhledem k tomu, že Úřad ve výroku II. tohoto rozhodnutí uložil nápravné opatření spočívající ve zrušení zadávacího řízení na veřejnou zakázku, rozhodl Úřad o uložení povinnosti uhradit náklady řízení, jak je uvedeno ve výroku IV. tohoto rozhodnutí.
74. Náklady řízení jsou splatné do dvou měsíců od nabytí právní moci tohoto rozhodnutí na účet Úřadu pro ochranu hospodářské soutěže zřízený u pobočky České národní banky v Brně číslo 19-24825621/0710, variabilní symbol 2022000196.
Poučení
Proti tomuto rozhodnutí lze do 15 dnů ode dne jeho doručení podat rozklad k předsedovi Úřadu pro ochranu hospodářské soutěže, a to prostřednictvím Úřadu pro ochranu hospodářské soutěže ‒ Sekce veřejných zakázek, třída Kpt. Jaroše 1926/7, 604 55 Brno. Včas podaný rozklad proti výrokům I., II., a IV. tohoto rozhodnutí má odkladný účinek. Rozklad proti výroku III. tohoto rozhodnutí nemá podle § 263 odst. 8 zákona odkladný účinek. Rozklad a další podání účastníků učiněná v řízení o rozkladu se podle § 261 odst. 1 písm. b) zákona zasílají Úřadu výhradně prostřednictvím datové schránky nebo jako datová zpráva podepsaná uznávaným elektronickým podpisem.
otisk úředního razítka
Mgr. Markéta Dlouhá
místopředsedkyně
Obdrží
1. Oblastní nemocnice Příbram, a.s., Gen. R. Tesaříka 80, 261 01 Příbram
2. Huawei Technologies (Czech) s.r.o., Jihlavská 1558/21, 140 00 Praha
Vypraveno dne
viz otisk razítka na poštovní obálce nebo časový údaj na obálce datové zprávy
[1] Pozn. Úřadu: Varování Národního úřadu pro kybernetickou a informační bezpečnost (dále jen „NÚKIB“) č. j. 3012/2018-NÚKIB-E/110 ze dne 17. 12. 2018 (dále jen „Varování NÚKIB“).
