číslo jednací: 28082/2023/500
spisová značka: S0172/2023
Instance | I. |
---|---|
Věc | FN Motol – Dodávky PC sestav pro FN Motol v období 2022 – 2026 |
Účastníci |
|
Typ správního řízení | Veřejná zakázka |
Výrok | § 257 písm. f) zákona č. 134/2016 Sb. |
Rok | 2023 |
Datum nabytí právní moci | 11. 8. 2023 |
Dokumenty | 2023_S0172.pdf 471 KB |
Spisová značka: ÚOHS-S0172/2023/VZ |
|
|
Číslo jednací: ÚOHS-28082/2023/500 |
|
Brno 26. 7. 2023 |
Úřad pro ochranu hospodářské soutěže příslušný podle § 248 zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů, v řízení o přestupku zahájeném z moci úřední dne 16. 3. 2023, jehož účastníkem je
- obviněný – Fakultní nemocnice v Motole, IČO 00064203, se sídlem V úvalu 84/1, 150 00 Praha – Motol,
ve věci možného spáchání přestupku podle § 268 odst. 1 písm. b) citovaného zákona v otevřeném řízení „FN Motol – Dodávky PC sestav pro FN Motol v období 2022 – 2026“ zahájeném za účelem uzavření rámcové dohody, jehož oznámení bylo odesláno k uveřejnění dne 21. 4. 2022 a uveřejněno ve Věstníku veřejných zakázek dne 25. 4. 2022 pod ev. č. zakázky Z2022-014983, ve znění pozdějších oprav, a v Úředním věstníku Evropské unie dne 26. 4. 2022 pod ev. č. 2022/S 081-217395, ve znění pozdějších oprav,
vydává toto
usnesení:
Správní řízení vedené pod sp. zn. ÚOHS-S0172/2023/VZ ve věci možného spáchání přestupku podle § 268 odst. 1 písm. b) zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů, které mělo spočívat v tom, že obviněný – Fakultní nemocnice v Motole, IČO 00064203, se sídlem V úvalu 84/1, 150 00 Praha – Motol – v otevřeném řízení „FN Motol – Dodávky PC sestav pro FN Motol v období 2022 – 2026“ zahájeném za účelem uzavření rámcové dohody, jehož oznámení bylo odesláno k uveřejnění dne 21. 4. 2022 a uveřejněno ve Věstníku veřejných zakázek dne 25. 4. 2022 pod ev. č. zakázky Z2022-014983, ve znění pozdějších oprav, a v Úředním věstníku Evropské unie dne 26. 4. 2022 pod ev. č. 2022/S 081-217395, ve znění pozdějších oprav, stanovil zadávací podmínky v rozporu s § 36 odst. 1 citovaného zákona ve spojení se zásadou zákazu diskriminace zakotvenou v § 6 odst. 2 citovaného zákona, když v rámci technické specifikace předmětu plnění v příloze č. 2 „Technická specifikace“ zadávací dokumentace pro části plnění „PC sestavy standardní“, „PC sestavy výkonné“ a „PC sestavy ,All-in-oneʻ“ stanovil požadavek na „Předinstalované programové vybavení (image na disku) – musí být plně kompatibilní s OS používaném na stávajících PC ve vlastnictví zadavatele – OEM MS Windows 10 Professional CZ 64 bit“, přičemž, jak uvedl ve Vysvětlení zadávací dokumentace ze dne 13. 6. 2022, uvedený požadavek plní pouze OEM licence poskytnutá výrobcem zařízení, a tím vytvořil bezdůvodnou překážku hospodářské soutěže, a znemožnil tak účast v soutěži dodavatelům, kteří dodávají licence jiného typu než OEM a byli by objektivně schopni předmět plnění realizovat a dne 26. 8. 2022 uzavřel rámcovou dohodu, se podle § 257 písm. f) citovaného zákona zastavuje, neboť v řízení zahájeném z moci úřední nebyly zjištěny důvody pro uložení sankce podle § 268 citovaného zákona.
Odůvodnění
I. POSTUP OBVINĚNÉHO
1. Obviněný – Fakultní nemocnice v Motole, IČO 00064203, se sídlem V úvalu 84/1, 150 00 Praha – Motol (dále jen „obviněný“ nebo též „zadavatel“) – jakožto veřejný zadavatel dle § 4 odst. 1 písm. c) zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů (dále jen „zákon“), zahájil dne 21. 4. 2022 odesláním oznámení o zahájení zadávacího řízení k uveřejnění za účelem uzavření rámcové dohody otevřené řízení „FN Motol – Dodávky PC sestav pro FN Motol v období 2022 – 2026“; oznámení bylo uveřejněno ve Věstníku veřejných zakázek dne 25. 4. 2022 pod ev. č. zakázky Z2022-014983, ve znění pozdějších oprav, a v Úředním věstníku Evropské unie dne 26. 4. 2022 pod ev. č. 2022/S 081-217395, ve znění pozdějších oprav (dále jen „zadávací řízení“).
2. Předmětem rámcové dohody jsou dle čl. 2.2.1 zadávací dokumentace ze dne 21. 4. 2022 (dále jen „zadávací dokumentace“) „průběžné dodávky nerepasovaných PC sestav pro Odbor informačních systémů a zpracování dat ZP FN Motol, které budou dodány včetně veškerého příslušenství nutného k uvedení do provozu, bez nutnosti zakoupení dalších komponent (…), a to včetně poskytnutí veškerých licencí nezbytných pro řádné fungování přístroje. Technická specifikace (…) je uvedena v Příloze č. 2 této zadávací dokumentace a rovněž jako Příloha č. 1 Kupní smlouvy (Technická specifikace předmětu plnění).“
3. Dne 26. 8. 2022 uzavřel obviněný s dodavatelem Rexonix s.r.o., IČO 04493982, se sídlem Pod višňovkou 1661/35, 140 00 Praha 4 (dále jen „vybraný dodavatel“) „Kupní smlouvu č. 2203100964“ (dále jen „rámcová dohoda“), kdy dle čl. II.1. rámcové dohody budou osobní počítače (dále také jen „PC“) dodávány na základě dílčích písemných objednávek, které vybraný dodavatel dle čl. VI.1. rámcové dohody elektronicky potvrdí.
II. POSTUP ÚŘADU PŘED ZAHÁJENÍM SPRÁVNÍHO ŘÍZENÍ
4. Úřad pro ochranu hospodářské soutěže (dále jen „Úřad“), jako orgán příslušný podle § 248 zákona k výkonu dozoru nad dodržováním pravidel stanovených zákonem a zadávacími podmínkami pro zadání podlimitní a nadlimitní veřejné zakázky, včetně koncese s výjimkou koncesí malého rozsahu podle § 178 zákona, a pro zvláštní postupy podle části šesté zákona, jakož i k projednání přestupků podle tohoto zákona, včetně ukládání pokuty za jejich spáchání, obdržel podnět k přezkoumání postupu obviněného v zadávacím řízení evidovaný Úřadem pod sp. zn. P0497/2022/VZ (dále jen „podnět“), v rámci kterého bylo mj. namítáno, že požadavek obviněného týkající se licencí je v rozporu se zásadou zákazu diskriminace.
5. V návaznosti na obdržený podnět si Úřad vyžádal od zadavatele vyjádření ke skutečnostem v něm uvedeným a zaslání dokumentace o zadávacím řízení. Dne 16. 9. 2022 obdržel Úřad vyjádření obviněného z téhož dne (dále jen „vyjádření k podnětu“) a požadovanou dokumentaci o zadávacím řízení.
6. Zadavatel ve vyjádření k podnětu mj. uvedl, že hodlá pořídit 2 800 ks PC sestav spolu se softwarovými licencemi (OEM). Dle zadavatele se jedná o jediné funkční řešení, které garantuje bezproblémový chod PC sestav bez nutnosti dalších zásahů IT oddělení (vedení evidence licenčních klíčů, nutnost zásahů při reinstalaci apod.). Nadto jsou dle zadavatele předinstalované licence (OEM) cenově značně výhodnější, a umožní tak zadavateli dosáhnout cenové úspory. Zadavatel v souvislosti s argumentací stěžovatele ohledně nemožnosti dodat druhotné licence uvádí, že druhotné licence jsou sice technicky shodné, ale užití a funkcionalita OEM a druhotné licence je rozdílná. Druhotná licence je dle názoru zadavatele překoupená licence, kdy v případě jejího opětovného užití předchozím vlastníkem či jinou osobou mající k této licenci práva zadavatel nebude schopen využívat PC sestavy do doby instalace originálního licencovaného software. Zadavatel by se tak dle svého přesvědčení vystavil nebezpečí, které by mohlo znemožnit zajištění kontinuálního poskytování zdravotních služeb. Zadavatel tak dle svých slov nikterak nediskriminuje žádné potenciální dodavatele, neboť každý dodavatel má možnost zajistit PC sestavy s předinstalovanými licencemi k požadovanému software s tím, že aktivační klíč k němu bude přímo obsažen v BIOS. Závěrem vyjádření zadavatel uzavírá, že zadávací podmínky stanovil na základě svých odůvodněných potřeb s ohledem na praktickou využitelnost předmětu plnění ve vztahu k jeho co nejhospodárnějšímu využití.
7. Úřad v souvislosti s tvrzením stěžovatele, že „[v] případě výlučnosti požadavku Zadavatele na dodání OEM licence poskytnutou od výrobce zařízení dochází k omezení soutěže nejen ve vztahu k potenciálním soutěžitelům, jejichž podnikatelská činnost je zaměřena na nákup a prodej samostatných licencí k počítačovému programu (s tím je spojena i finanční konkurenceschopnost), ale rovněž i ve vztahu k zařízením těch výrobců, kteří praxi OEM licencí při své činnosti neprovádějí“, požádal dne 3. 10. 2022 stěžovatele o upřesnění, jaký konkrétní okruh dodavatelů by dle jeho názoru měl být výše uvedeným požadavkem zadavatele limitován v účasti v zadávacím řízení a proč, a o příkladmý výčet konkrétních dodavatelů, kterým v důsledku požadavku zadavatele na licence vznikla překážka v účasti v zadávacím řízení.
8. V souvislosti s prověřováním postupu zadavatele v zadávacím řízení dále Úřad dne 4. 10. 2022 oslovil 20 dodavatelů působících na relevantním trhu s žádostí o poskytnutí stanoviska mj. k otázce, zda shledávají požadavek zadavatele týkající se softwarových licencí z jejich pohledu obtížně splnitelným, a tedy omezujícím pro jejich případnou účast v zadávacím řízení. V této souvislosti je Úřad rovněž požádal o zodpovězení otázek, zda je běžné u daného typu plnění požadovat jako součást dodávek PC sestav rovněž předinstalované programové vybavení (licence), a nakolik je běžné dodávat licence v jiném režimu než OEM, jak požadoval v předmětném případu zadavatel.
9. Dne 4. 10. 2022 Úřad obdržel sdělení dodavatele TOPSOFT JKM spol. s r.o., IČO 25403435, se sídlem Jungmannova 1029, 413 01 Roudnice nad Labem, ve kterém dodavatel mj. uvedl, že „[p]ožadavek na umístění klíče v biosu či UEFI jednoznačně eliminuje jakoukoliv jinou možnost distribuce software, jelikož tento požadavek je možné realizovat jedině u OEM licencí, které se nahrávají u velkých nadnárodních výrobců formou OA3 aktivace. Neexistuje žádný jiný způsob(,) jakým je možné nahrát klíč do biosu/uefi. Tímto krokem však zadavatel automaticky diskriminuje ostatní formy dodávky licencí Windows 10/11 Pro i přes to, že poskytují stejnou funkčnost a není mezi nimi žádný funkční rozdíl.“
10. Dne 5. 10. 2022 Úřad obdržel sdělení dodavatele ITS akciová společnost, IČO 14889811, se sídlem Vinohradská 2396/184, 130 00 Praha 3, ve kterém dodavatel mj. uvedl, že „[u] daného typu poptávaného zařízení, které vykazuje známky standardního PC obvyklých parametrů, je naprosto standardní požadovat již předinstalované OS od výrobce. Lze v tomto případě hovořit o výrobcích společností jako je HP, DELL, Lenovo a další. (…) Pro úplnost dodáváme, že sestavení a instalace OS je obvykle prováděno výrobcem a o(b)sahuje i jeho další obslužný software krytý OEM licencí výrobců, kde cena za SW je zahrnuta v ceně PC. Požadavek zadavatele, aby dodaná licence operačního systému byla předinstalovaná na dodávaný HW jako OEM, je standardní. Dnes to ale v případě Windows budou primárně Windows 11, které lze považovat za plně kompatibilní s Windows 10.“
11. Dne 5. 10. 2022 Úřad obdržel sdělení dodavatele DATECO, s.r.o., IČO 25792032, se sídlem Koberkova 1061, 198 00 Praha 14, ve kterém dodavatel mj. uvedl, že „[p]ožadavek zadavatele je splnitelný, ale zároveň neumožňuje nabídnout jiné licence programového vybavení, nežli OEM od výrobce zařízení. Takto sepsané požadavky neumožňují nabídnout např. druhotné licence Windows, jenž nyní jsou akceptovány jako jedno z řešení, které nijak neomezuje zadavatele v provozu. Je zcela běžné žádat předinstalované programové licence a je běžné nabízet a dodávat i druhotný software předinstalovaný. V současnosti je zcela běžné nabízet licence v jiném režimu, nežli OEM. Celkové omezení dané dalšími podrobnými specifikacemi zadavatele, pro programové vybavení WINDOWS 10 PRO, jednoznačně vylučuje použití druhotných licencí, a to bez uvedení skutečně relevantních důvodů. Úspora na každém zařízení za použití druhotného SW by byla cca 1500 Kč bez DPH.“
12. Dne 5. 10. 2022 Úřad obdržel sdělení dodavatele Netfox s.r.o., IČO 27574032, se sídlem Koněvova 65/2755, 130 00 Praha 3, ve kterém dodavatel mj. uvedl, že „dle našeho názoru je zadání běžné dle podobných výběrových řízení od jiných organizací. Nějaké značky trochu diskriminuje, že nejde nabízet úplně vše, ale bude více možností(,) co zadání splní.“
13. Dne 5. 10. 2022 Úřad obdržel sdělení dodavatele Com-Sys TRADE spol. s r.o., IČO 16188781, se sídlem Jagellonská 2427/19, 130 00 Praha 3, ve kterém dodavatel uvedl, že nemůže poskytnout relevantní odpověď, jelikož dodávka PC sestav nepatří mezi jeho specializaci a v této oblasti nemá potřebné znalosti.
14. Dne 6. 10. 2022 Úřad obdržel sdělení dodavatele FLAME System s.r.o., IČO 26846888, se sídlem Dr. Maye 468/3, 709 00 Ostrava, ve kterém dodavatel v souvislosti s požadavkem na softwarové licence uvedl, že „[t]oto považujeme za jednoznačně znevýhodňující požadavek. Tato funkcionalita je poskytována pouze několika značkovými výrobci PC.“
15. Dne 10. 10. 2022 Úřad obdržel sdělení dodavatele MERIT GROUP a.s., IČO 64609995, se sídlem Březinova 136/7, 779 00 Olomouc, ve kterém dodavatel v souvislosti s požadavkem na softwarové licence uvedl následující: „Ano, toto je možné požadovat z důvodu zajištění potřebné licence pro chod HW a SW vybavení. Mohlo by se stát, že bude sestava (dále PC) dodána bez operačního systému (dále jen OS). V takovém případě by vznikly zadavateli více náklady s pořízením daného software. Dále je dobré požadovat stejnou/totožnou verzi OS, jako je ten, který je v síti zadavatele již využíván, z důvodu více nákladů na správu daných PC nebo potřeby pořízení jiné SW licence z důvodu nekompatibility s danou verzí OS. Je také běžnou praxí dodávat licence v jiném režimu licencování, ale pak hrozí dodávka s licencemi druhotného původu a složité dokládání nabití daného SW.“
16. Dne 10. 10. 2022 Úřad obdržel sdělení dodavatele Globesystem s.r.o., IČO 06862063, se sídlem Plumlovská 562/60, 796 01 Prostějov, ve kterém dodavatel uvedl, že „v dnešní době není žádná Vámi uvedená podmínka omezující pro případnou účast v zadávacím řízení.“
17. Dne 10. 10. 2022 Úřad obdržel sdělení dodavatele COMIMPEX spol. s r.o., IČO 46972439, se sídlem Haškova 153/17, 638 00 Brno, ve kterém dodavatel mj. uvedl, že „[a]ni jeden z požadavků (jak pokud jde i požadavek na předinstalované programové vybavení, […]) neshledáváme obtížně splnitelným a nemyslíme si, že by omezoval naši případnou účast v zadávacím řízení. Dle našeho názoru tyto požadavky (stejně jako další požadované parametry z technické specifikace) plní zejména počítačové sestavy tzv. ,značkovýchʻ výrobců – HP, DELL, Lenovo, Acer, ASUS aj. a obtížně splnitelné mohou být pouze pro dodavatele svépomocí skládaných PC.“
18. Dne 11. 10. 2022 Úřad obdržel objasnění pisatele podnětu z téhož dne, ve kterém uvedl následující: „Požadavek, aby byl aktivační klíč umístěn do BIOSu poptávaných počítačů (PC sestav) diskriminuje značnou část soutěžitelů na relevantním trhu. Stanovený požadavek jsou schopny splnit prakticky výhradně nadnárodní korporace výrobců počítačů, Jedná se o největší soutěžitele na relevantním trhu, a to konkrétně například (…):
a) Nadnárodní korporace Hewlett-Packard (https://www.hp.com/cz-cs/home.html). Oficiální české zastoupení: HEWLETT-PACKARD s.r.o., IČO: 170 488 51, se sídlem Za Brumlovkou 1559/5, Michle, 140 00 Praha 4;
b) Nadnárodní korporace Lenovo (https://www.lenovo.com/cz/cs/). Oficiální české zastoupení Lenovo Technology B.V. organizační složka, IČO: 272 438 69, se sídlem Jankovcova 1603/47a, Holešovice, 170 00 Praha 7;
c) Nadnárodní korporace Dell Inc. (https://www1.euro.dell.com/). Oficiální české zastoupení Dell Computer spol. s r.o., IČO: 45272808, se sídlem Praha 11 - Chodov, V Parku 2325/16, PSČ 14800.
Všechny shora zmíněné společnosti (a další nadnárodní výrobci počítačů) mají s nadnárodní korporací Microshop uzavřeny smlouvy, v důsledku kterých jsou schopny aktivační klíč implementovat do BIOSu základní desky počítače při jeho výrobě.
Naproti tomu stojí široké spektrum ostatních výrobců počítačů, kteří shora uvedenou možnost nemají. V České republice jde například o lokální výrobce značek jako LYNX, Triline, HAL3000, Tigo, Alta TopOffice a další. Tito výrobci vyrábějí vlastní počítačové skříně a lokálně montují komponenty, jako jsou procesory, základní desky, grafické karty, paměti a další nezbytné součástky pro řádný chod počítače, avšak nikdo z těchto výrobců není schopen nebo oprávněn vložit klíč do BIOSu počítače, jelikož touto technologií nikdo z nich nedisponuje. Každý z těchto výrobců operační systém Windows instaluje na pevný disk počítače. Aktivační klíč zůstává nahrán na zmíněném pevném disku a nikoliv v BIOSu, jak Zadavatel diskriminačně a současně bez dostatečných důvodů požaduje.
Ke shora zmíněných značkám zmiňuje Stěžovatel příkladmo některé firmy jejich výrobců:
a) Značka LYNX (https://www.lynx.cz/). Společnost eD system a. s., IČO: 479 745 16, se sídlem Novoveská 1262/95, Mariánské Hory, 709 00 Ostrava;
b) Značka Triline (https://www.triline.cz/). Společnost AT Computers a. s., IČO: 61672599, se sídlem Těšínská 1970/56, Slezská Ostrava, 710 00 Ostrava;
c) Značka HAL3000 (https://www.hal3000.cz/). Společnost 100MEGA Distribution s. r. o., IČO: 60707968, se sídlem Železná 681/7, Horní Heršpice, 619 00 Brno.
Rovněž Stěžovatel je výrobcem počítačových sestav, které distribuuje pod svojí vlastní značkou a stejně jako všichni shora zmínění lokální výrobci není schopen implementovat operační systém do BIOSu počítače. Stěžovateli a lokálním výrobcům z ČR a EU není přístupná potřebná technologie.
Stěžovatel proto považuje za zjevné, že v důsledku diskriminačního požadavku Zadavatele dochází k tomu, že jsou z výběrového řízení účelově vyřazeni všichni menší producenti počítačových sestav, a to nejenom na lokálním českém trhu, ale i trhu evropském. Výše zmíněné nadnárodní korporace, které organizují obchody na území EU – výrobu produktů nebo distribuci služeb nebo obojí – ve více zemích, tak získávají výhodu oproti menším soutěžitelům, kteří nemohou a nedisponují výrobním procesem umožňujícím instalovat aktivační klíč operačního systému Windows do BIOSu počítače.“
19. Dne 11. 10. 2022 Úřad obdržel sdělení dodavatele S&T CZ s.r.o., IČO 44846029, se sídlem V parku 2316/12, 148 00 Praha 4, ve kterém dodavatel mj. uvedl, že „[p]ožadavek na předinstalovaný operační systém s licencí v režimu OEM je požadavek naprosto běžný a zcela bez problému splnitelný. Výrobci PC sestav či notebooků zcela běžně vybavují své výrobky předinstalovaným operačním systémem, který je licencován jako OEM. To znamená, že licence operačního systému je svázaná s konkrétním kusem HW (PC sestavy) a není přenositelná. Jedná se o nejlevnější způsob, jakým se dá nakoupit originální a nepoužitá licence operačního systému. Dalším benefitem OEM licence je umístění licenčního klíče v BIOS PC sestavy a tím odpadá jakákoli další práce se správou licenčních klíčů, které by v případě nákupu licencí jiným distribučním kanálem bylo nutné separátně administrovat, hlídat jejich využití apod. Předinstalovaný operační systém pak výrazně snižuje náklady na uvedení do provozu (není třeba instalovat operační systém separátně na každý PC) a tím snižuje nároky na uživatelskou IT podporu zadavatele.“
20. Dne 14. 10. 2022 Úřad obdržel sdělení dodavatele Caleum a.s., IČO 28351363, se sídlem Italská 438/36, 130 00 Praha 3, ve kterém dodavatel v souvislosti s požadavkem na softwarové licence uvedl, že „[p]ro nás jako dodavatele by tento požadavek nebyl obtížně splnitelný, toto nabízí většina výrobců PC sestav (Dell, Lenovo, HP, …). Zároveň je to i rozumný požadavek z hlediska výsledné provozní stability a jednodušší správy dodaných PC. Zvláště pro velké organizace je standardizace správy přínosná.“
21. Dne 27. 10. 2022 Úřad obdržel sdělení dodavatele TERA Systems s.r.o., IČO 28080289, se sídlem Lidická tř. 1004/139, 370 07 České Budějovice, ve kterém dodavatel mj. uvedl, že „[s]pecifikace typu licence je vždy omezující, je totiž jedno zda dodavatel nakoupí od výrobce počítač rovnou s OEM licencí nebo zakoupí PC bez licence a licenci koupí zvlášť a na PC ji nainstaluje. A často je separátní nákup pro dodavatele výhodnější. Je běžné dodávat jiné než OEM licence.“
III. PRŮBĚH ŘÍZENÍ O PŘESTUPKU
22. Vzhledem k tomu, že Úřad považoval na základě shromážděných podkladů za prokázané, že se obviněný dopustil přestupku podle § 268 odst. 1 písm. b) zákona, vydal dne 16. 3. 2023 příkaz č. j. ÚOHS-10817/2023/500, sp. zn. ÚOHS-S0172/2023/VZ z téhož dne (dále jen „příkaz“), který byl obviněnému doručen téhož dne. Tímto dnem bylo podle § 249 zákona ve spojení s § 46 odst. 1 a § 150 odst. 1 zákona č. 500/2004 Sb., správní řád, ve znění pozdějších předpisů (dále jen „správní řád“), a ve spojení s § 90 odst. 1 zákona č. 250/2016 Sb., o odpovědnosti za přestupky a řízení o nich, ve znění pozdějších předpisů (dále jen „zákon o přestupcích“), zahájeno řízení o přestupku z moci úřední.
23. Účastníkem řízení o přestupku je podle § 256 zákona obviněný.
24. Proti uvedenému příkazu podal obviněný dne 24. 3. 2023 odpor z téhož dne, č. j. FNMO/23/032035 (dále jen „odpor“). Podle § 150 odst. 3 správního řádu se podáním odporu příkaz ruší a řízení pokračuje, přičemž lhůty pro vydání rozhodnutí začínají znovu běžet dnem podání odporu.
Odpor obviněného
25. V odporu obviněný argumentuje, že technická specifikace předmětu zadávacího řízení vychází z jeho potřeb a provozního prostředí nemocnice. Vzhledem k tomu, že obviněný je poskytovatelem základní služby ve smyslu zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů (dále jen „zákon o kybernetické bezpečnosti“), přispívá dle jeho názoru požadavek na předinstalované OEM licence v rámci dodávek PC sestav, které jsou předmětem šetřeného zadávacího řízení, k zajištění dostatečné ochrany provozu nemocnice jakožto zařízení kritické infrastruktury. Dále pak obviněný na podporu svého postupu opakuje argumentaci vznesenou v průběhu šetření podnětu.
Další průběh řízení o přestupku
26. Usnesením ze dne 27. 3. 2023 stanovil Úřad obviněnému lhůtu, v níž mohl navrhovat důkazy, činit jiné návrhy a vyjádřit své stanovisko v řízení.
27. Dne 4. 4. 2023 Úřad obdržel vyjádření obviněného ze dne 30. 3. 2023, ve kterém obviněný opakuje svou argumentaci uvedenou v odporu.
28. Dne 5. 4. 2023 Úřad požádal přípisem z téhož dne Národní úřad pro kybernetickou bezpečnost (dále jen „NÚKIB“) o stanovisko, zda musí být v počítačích obviněného z hlediska kybernetické bezpečnosti provozu nemocnice nainstalována výhradně OEM licence, tj. zda se jedná o jediný přípustný způsob, nebo je možné do kritické infrastruktury zapojit počítač s jiným typem licence Microsoft Windows než OEM.
29. Dne 25. 4. 2023 Úřad od NÚKIB obdržel sdělení ze dne 18. 4. 2023 (dále jen „sdělení NÚKIB“), v němž bylo Úřadu sděleno následující:
„Fakultní nemocnice v Motole (…) je povinnou osobu podle § 3 písm. f) zákona č. 181/2014 Sb., o kybernetické bezpečnosti a změně souvisejících zákonů, ve znění pozdějších předpisů (dále také jen ,ZKBʻ) a jako taková je povinna zavádět a provádět bezpečnostní opatření definovaná prováděcí vyhláškou č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (dále také jen ,VKBʻ). Plnění těchto povinností pak bude zasahovat i do způsobu dodržování pravidel pro zadávání veřejných zakázek.
Vyhláška č. 82/2018 Sb. je univerzální předpis platný pro všechny druhy povinných osob podle ZKB, s čímž souvisí, že i povinnosti v ní obsažené jsou koncipovány relativně obecným způsobem, resp. technologicky neutrálně a tak, aby byly splnitelné v různých typech organizací a v různých typech infrastruktury. Nadto jde o standardizovanou sadu opatření, která může být rozšířena i o další specifické prostředky, které zajistí ještě vyšší míru kybernetické bezpečnosti v organizaci. Vyhláška výslovně neupravuje povinnost používat OEM, proto lze v obecné rovině konstatovat, že použití výhradně OEM licence nemusí být jediné možné řešení zajištění určité úrovně bezpečnosti infrastruktury organizace, nicméně všechny požadavky je potřeba posuzovat s ohledem na potřeby daného subjektu, včetně zohlednění všech relevantních okolností. V případě, že jde o řešení, které bylo zvoleno v rámci bezpečnostního opatření podle ZKB (potažmo VKB), zadávací řízení by mělo zohledňovat zadavatelovo hodnocení rizik, zvážení možných variant pro snížení hodnoty rizika na akceptovatelnou úroveň a výběr takové varianty, která bude pro zadavatele přiměřená a současně bezdůvodně neomezí hospodářskou soutěž. Přitom musí zadavatel vzít v potaz požadavky ZKB a VKB na přiměřenost přijatých opatření. Ustanovení § 4 odst. 4 ZKB pak presumuje, že zohlednění požadavků vyplývajících z bezpečnostních opatření v míře nezbytné pro splnění povinností dle ZKB nelze považovat za nezákonné omezení hospodářské soutěže nebo neodůvodněnou překážku hospodářské soutěži.
V případě, že se jedná o opatření nad rámec požadavků ZKB, resp. nenaplňující podmínku nezbytnosti pro splnění podmínek ZKB, zákonná fikce se neuplatní a zadavatel bude povinen obhájit oprávněnost svých požadavků jiným způsobem (resp. ne odkazem na ZKB). To však neznamená, že by takový požadavek v kontextu organizace nemohl být odůvodněn zajišťováním kybernetické bezpečnosti.
Pro bližší posouzení tohoto konkrétního případu by NÚKIB musel disponovat potřebnými detaily poskytnutými ze strany zadavatele jakožto správce příslušného informačního systému základní služby.“
30. Usnesením ze dne 27. 4. 2023 Úřad určil obviněnému lhůtu k doplnění tvrzení o nezbytnosti požadavku na OEM licence poskytnuté výrobcem zařízení v důsledku povinnosti obviněného postupovat podle zákona o kybernetické bezpečnosti a k označení důkazů k prokázání uvedených tvrzení.
31. Dne 10. 5. 2023 Úřad obdržel od obviněného podklady, které dle jeho tvrzení dokládají důvodnost požadavku na dodávku PC sestav s předinstalovanými OEM licencemi, tj. Analýzu rizik AR-2022-0015 – Výběrové řízení na osobní počítače a související interní komunikaci, včetně vyjádření manažera a architekta kybernetické bezpečnosti.
32. Dne 15. 5. 2023 Úřad přípisem z téhož dne doplnil žádost o stanovisko adresovanou NÚKIB, přičemž přílohou tohoto přípisu byly výše uvedené podklady zaslané obviněným.
33. Dne 17. 5. 2023 Úřad od NÚKIB obdržel sdělení, že „(…) po prostudování přiložené dokumentace NÚKIB shledal, že pro řádné posouzení zákonnosti postupu zadavatele při tvorbě analýzy rizik a výběru bezpečnostního opatření je nezbytné si od zadavatele vyžádat vysvětlení některých nejasností. Vyjádření NÚKIB bude tudíž připraveno až po obdržení odpovědi a na základě zjištěných informací.“
34. Usnesením ze dne 19. 5. 2023 Úřad přerušil předmětné správní řízení s cílem získat odborné stanovisko v souvislosti s posouzením otázek kybernetické bezpečnosti, a to do doby doručení tohoto odborného stanoviska.
35. Dne 26. 6. 2023 Úřad obdržel od NÚKIB odborné stanovisko ze dne 23. 6. 2023 (dále jen „stanovisko NÚKIB“), v němž je uvedeno následující:
„Na dotaz, jestli se jedná o přípustný způsob, resp. jediný možný přípustný způsob řešení z hlediska kybernetické bezpečnosti provozu, je nutné uvést, že obecně se nejedná o jediný možný přípustný způsob řešení, nicméně je nutné vzít v potaz skutečnost, že Fakultní nemocnice v Motole, IČO 00064203, se sídlem V Úvalu 84, 150 06 Praha 5, je povinnou osobou dle § 3 zákona č. 181/2014 Sb., o kybernetické bezpečnosti (…), a je tedy povinna v rámci zajišťování kybernetické bezpečnosti postupovat dle požadavků tohoto zákona a jeho prováděcí vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (…). Rovněž je nutné zdůraznit, že požadavky ZKB a VKB je možné naplnit různými způsoby, proto je vždy nutné brát v potaz konkrétní situaci.
Z hlediska plnění požadavků ZKB je základním požadavkem provádět hodnocení rizik (dle požadavků § 4 a § 5 VKB) a na základě jeho výsledků přijímat přiměřená bezpečnostní opatření s cílem zvládání identifikovaných rizik, a tedy zajištění kybernetické bezpečnosti. ZKB ani VKB nestanoví podrobnější informace ke způsobu výběru opatření ke zvládání rizik, platí tedy (a tyto postupy vycházejí z technických norem regulujících systém řízení bezpečnosti informací, zejm. ČSN ISO/IEC 27001 a ČSN ISO/IEC 27005; na normách ISO/IEC řady 27000 je ostatně založena celá VKB), že konkrétní opatření ke zvládání rizik volí povinná osoba na základě svých specifických potřeb, především při zohlednění struktury informačního nebo komunikačního systému, jehož rizika mají být mitigována, pravidel obsažených v bezpečnostních politikách a bezpečnostní dokumentaci a dalších postupů a požadavků, kterými je povinná osoba v rámci své činnosti vázána. Nezbytnou součástí zvažování přiměřenosti bezpečnostního opatření [o které hovoří § 3 písm. c) VKB] je též posouzení hospodárnosti zvoleného postupu, zejména tedy zda náklady spojené se zavedením bezpečnostního opatření nejsou neúměrné nákladům spojeným s realizací rizika. Volba konkrétního opatření ke snížení identifikovaného rizika je výlučně v odpovědnosti povinné osoby.
Výběrová řízení upravuje § 8 odst. 2 písm. a) VKB. V souladu s tímto ustanovením je povinná osoba u významných dodavatelů v rámci výběrového řízení a před uzavřením smlouvy provádět hodnocení rizik souvisejících s plněním předmětu výběrového řízení (v tomto případě ve vztahu k osobním počítačům) přiměřeně podle přílohy č. 2 VKB (v souvislosti s § 4 a § 5 VKB). Z tohoto důvodu je nutné na problematiku nahlížet v celkovém kontextu. NÚKIB se proto zaměřil na samotný proces řízení rizik ve vztahu k dotčenému výběrovému řízení s cílem ověřit, jestli byl proveden korektně. Úlohou NÚKIB je pak především kontrola toho, zda bezpečnostní opatření, která má povinná osoba povinnost zavést a provést, jsou zaváděna a prováděna v rozsahu nezbytném pro zajištění kybernetické bezpečnosti konkrétního systému a zda povinné osoby zohledňují požadavky vyplývající z bezpečnostních opatření při výběru dodavatele pro jejich systém (situaci lze například připodobnit tomu, že ÚOHS obecně nehodnotí vhodnost řešení poptávaných ve veřejných zakázkách z hlediska potřeb zadavatelů, ale pouze to, zda zadavatelé při formulaci svých požadavků nevybočují z mantinelů pro zadávání veřejných zakázek). Ve vztahu k přijatým opatřením pro zvládání rizik tedy NÚKIB hodnotí, zda skutečně vedou k požadovanému cíli (snížení rizika na akceptovatelnou úroveň) a zda nejsou nepřiměřená, nikoli zda povinná osoba zvážila všechna možná řešení (to lze učinit jen vůči opatřením, která jsou uvedena v rámci VKB, ale ne vůči všem možným řešením) a zvolila z v úvahu přicházejících řešení to nejoptimálnější.
Ze strany Fakultní nemocnice v Motole byly předloženy dokumenty související s předmětným zadávacím řízením, konkrétně hodnocení rizik a související metodiky. Při posuzování předložených dokumentů vyvstala potřeba jejich vysvětlení, proto dne 8.6.2023 proběhlo jednání se zástupci Fakultní nemocnice v Motole, v rámci kterého zástupci nemocnice uvedli, že potřeba OEM licencí v rámci BIOS vychází z požadavku kybernetické bezpečnosti provozu, neboť Fakultní nemocnice v Motole spravuje přes 3 700 počítačů (přičemž v rámci veřejné zakázky vyžaduje dalších 2 800 kusů), jež jsou migrovány dle potřeby. Pro zajištění kontinuity provozu nemocnice pak z analýzy rizik vychází jako nejoptimálnější řešení právě pořízení OEM licencí v rámci BIOS, jak ostatně vyplývá i z interních sdělení, jež jsou součástí přílohy doplnění žádosti ÚOHS ze dne 15. května 2023. Podle těchto podkladů není architektem kybernetické bezpečnosti doporučeno využití druhotných, krabicových či jiných licencí z důvodů časových, kapacitních a možných právních komplikací. Tento závěr NÚKIB považuje za racionální, neboť s jinými typy licencí mohou souviset problémy v centrální správě licencí, migrací počítačů (v jejich přenastavení pro nového uživatele, neboť licence je ,pevněʻ spojena s hardwarem, který ji využívá), podporou a využíváním kapacit [viz interní sdělení ze dne 16. ledna 2022]. NÚKIB konstatuje, že použití OEM licencí skutečně může eliminovat některá rizika spojená s využitím jiných typů licencí (takovými riziky mohou být například nedostatečná podpora, práva třetích stran, neukončení používání prodané licence, nekompatibilita s nástrojem pro správu licencí). V obecné rovině lze také konstatovat, že spravování OEM licencí v rámci BIOS by mělo být oproti sekundárním či krabicovým licencím méně náročné na kapacity správce, zejména například při reinstalaci počítače (což lze s ohledem na množství koncových zařízení spravovaných nemocnicí a jejich častou migrací mezi uživateli považovat z pohledu kybernetické bezpečnosti a přiměřenosti zvoleného řešení za relevantní argument). Nadto nejde o řešení v praxi neobvyklé, excesivní či specificky koncipované, naopak jde o využití na trhu běžně dostupného řešení. Na základě přezkumu předložených dokumentů a doplňujícího jednání NÚKIB konstatuje, že ačkoliv předložené dokumenty neobsahovaly veškeré úvahy a postupy, které byly v rámci hodnocení rizik uvažovány, došlo k jejich adekvátnímu vysvětlení v rámci doplňujícího jednání. Tyto dílčí nedostatky, spočívající především v absenci dokumentace dílčích diskuzí nad bezpečnostními opatřeními a v absenci některých dílčích kroků analýzy rizik, neměly vliv na závěry, které z provedeného hodnocení rizik vyplynuly.
NÚKIB proto konstatuje, že předložené hodnocení rizik bylo zpracováno v souladu s požadavky § 8 odst. 2 písm. a) VKB a stanovená bezpečnostní opatření ˏzajištění údržby a aktualizace OS po dobu 7 let bez dodatečných provozních nákladů (nákup připravených PC s garantovanou OEM licencí v rámci BIOS), garantovaná záruka dodavateleʻ jsou z hlediska plnění požadavku ZKB a VKB dostatečně odůvodněná, vedou ke snížení identifikovaného rizika na akceptovatelnou úroveň a zároveň nejsou zjevně excesivní.“
36. Dne 27. 6. 2023 Úřad přípisem z téhož dne obviněnému oznámil pokračování správního řízení, jelikož odpadla překážka, pro kterou bylo správní řízení přerušeno.
37. Usnesením ze dne 28. 6. 2023 Úřad stanovil obviněnému lhůtu, v níž se mohl vyjádřit k podkladům rozhodnutí.
38. Obviněný se ve lhůtě stanovené Úřadem ani později k podkladům rozhodnutí nevyjádřil.
ZÁVĚRY ÚŘADU
39. Úřad přezkoumal na základě ustanovení § 248 a následujících ustanovení zákona případ ve všech vzájemných souvislostech a po zhodnocení všech podkladů, na základě vlastních zjištění, tj. zejména při zohlednění závěrů uvedených ve stanovisku NÚKIB konstatuje, že správní řízení vedené ve věci možného spáchání přestupku obviněným podle § 268 odst. 1 písm. b) zákona uvedeného ve výroku tohoto usnesení se podle § 257 písm. f) zastavuje, neboť v řízení zahájeném z moci úřední nebyly zjištěny důvody pro uložení sankce podle § 268 zákona.
40. Ke svému rozhodnutí uvádí Úřad následující rozhodné skutečnosti.
Relevantní ustanovení právních předpisů
41. Podle § 6 odst. 2 zákona ve vztahu k dodavatelům musí zadavatel dodržovat zásadu rovného zacházení a zákazu diskriminace.
42. Podle § 28 odst. 1 písm. a) zákona se zadávacími podmínkami rozumí veškeré zadavatelem stanovené
1. podmínky průběhu zadávacího řízení,
2. podmínky účasti v zadávacím řízení,
3. pravidla pro snížení počtu účastníků zadávacího řízení nebo snížení počtu předběžných nabídek nebo řešení,
4. pravidla pro hodnocení nabídek,
5. další podmínky pro uzavření smlouvy na veřejnou zakázku podle § 104 zákona.
43. Podle § 28 odst. 1 písm. b) zákona se zadávací dokumentací rozumí veškeré písemné dokumenty obsahující zadávací podmínky, sdělované nebo zpřístupňované účastníkům zadávacího řízení při zahájení zadávacího řízení, včetně formulářů podle § 212 zákona a výzev uvedených v příloze č. 6 k tomuto zákonu.
44. Podle § 36 odst. 1 zákona zadávací podmínky nesmí být stanoveny tak, aby určitým dodavatelům bezdůvodně přímo nebo nepřímo zaručovaly konkurenční výhodu nebo vytvářely bezdůvodné překážky hospodářské soutěže.
45. Podle § 37 odst. 1 zákona podmínky účasti v zadávacím řízení může zadavatel stanovit jako
a) podmínky kvalifikace,
b) technické podmínky vymezující předmět veřejné zakázky včetně podmínek nakládání s právy k průmyslovému nebo duševnímu vlastnictví vzniklými v souvislosti s plněním smlouvy na veřejnou zakázku,
c) obchodní nebo jiné smluvní podmínky vztahující se k předmětu veřejné zakázky, nebo
d) zvláštní podmínky plnění veřejné zakázky, a to zejména v oblasti vlivu předmětu veřejné zakázky na životní prostředí, sociálních důsledků vyplývajících z předmětu veřejné zakázky, hospodářské oblasti nebo inovací.
46. Podle § 131 odst. 2 zákona zadavatel může uzavřít rámcovou dohodu pouze na základě zadávacího řízení, které by byl oprávněn použít na veřejnou zakázku obdobného předmětu a předpokládané hodnoty.
47. Podle § 257 písm. f) zákona Úřad zahájené řízení usnesením zastaví, jestliže v řízení zahájeném z moci úřední nebyly zjištěny důvody pro uložení nápravného opatření podle § 263 zákona nebo pro uložení sankce podle § 268 nebo 269 zákona.
48. Podle § 268 odst. 1 písm. b) zákona se zadavatel dopustí přestupku tím, že stanoví zadávací podmínky v rozporu se zákonem a zadá veřejnou zakázku, uzavře rámcovou dohodu nebo se soutěž o návrh považuje po výběru návrhu za ukončenou.
49. Podle § 2 písm. i) zákona o kybernetické bezpečnosti se základní službou rozumí služba, jejíž poskytování je závislé na sítích elektronických komunikací nebo informačních systémech a jejíž narušení by mohlo mít významný dopad na zabezpečení společenských nebo ekonomických činností v některém z těchto odvětví
1. energetika,
2. doprava,
3. bankovnictví,
4. infrastruktura finančních trhů,
5. zdravotnictví,
6. vodní hospodářství,
7. digitální infrastruktura,
8. chemický průmysl.
50. Podle § 2 písm. i) zákona o kybernetické bezpečnosti se informačním systémem základní služby rozumí informační systém, na jehož fungování je závislé poskytování základní služby.
51. Podle § 3 písm. f) zákona o kybernetické bezpečnosti orgány a osobami, kterým se ukládají povinnosti v oblasti kybernetické bezpečnosti, jsou správce a provozovatel informačního systému základní služby, pokud nejsou správcem nebo provozovatelem podle písmene c) nebo d).
52. Podle § 4 odst. 1 zákona o kybernetické bezpečnosti se bezpečnostním opatřením rozumí souhrn úkonů, jejichž cílem je zajištění bezpečnosti informací v informačních systémech a dostupnosti a spolehlivosti služeb a sítí elektronických komunikací v kybernetickém prostoru.
53. Podle § 4 odst. 2 zákona o kybernetické bezpečnosti orgány a osoby uvedené v § 3 písm. c) až f) tohoto zákona jsou povinny zavést a provádět bezpečnostní opatření v rozsahu nezbytném pro zajištění kybernetické bezpečnosti informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury, informačního systému základní služby a významného informačního systému a vést o nich bezpečnostní dokumentaci.
54. Podle § 4 odst. 4 zákona o kybernetické bezpečnosti orgány a osoby uvedené v § 3 písm. c) až f) tohoto zákona jsou povinny zohlednit požadavky vyplývající z bezpečnostních opatření při výběru dodavatele pro jejich informační nebo komunikační systém a tyto požadavky zahrnout do smlouvy, kterou s dodavatelem uzavřou. Zohlednění požadavků vyplývajících z bezpečnostních opatření podle věty první v míře nezbytné pro splnění povinností podle tohoto zákona nelze považovat za nezákonné omezení hospodářské soutěže nebo neodůvodněnou překážku hospodářské soutěži.
55. Podle § 3 písm. c) vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti), povinná osoba v rámci systému řízení bezpečnostních informací pro stanovený rozsah systému řízení bezpečnosti informací na základě cílů systému řízení bezpečnosti informací, bezpečnostních potřeb a hodnocení rizik zavede přiměřená bezpečnostní opatření.
56. Podle § 5 odst. 1 písm. a) vyhlášky o kybernetické bezpečnosti povinná osoba v rámci řízení rizik v návaznosti na § 4 stanoví metodiku pro hodnocení rizik, včetně stanovení kritérií pro akceptovatelnost rizik.
57. Podle § 8 odst. 2 písm. a) vyhlášky o kybernetické bezpečnosti povinná osoba u významných dodavatelů dále v rámci výběrového řízení a před uzavřením smlouvy provádí hodnocení rizik souvisejících s plněním předmětu výběrového řízení přiměřeně podle přílohy č. 2 k této vyhlášce.
Skutečnosti zjištěné z dokumentace o zadávacím řízení
58. V čl. 2.1.6 zadávací dokumentace obviněný stanovil předpokládanou hodnotu plnění ve výši 69 000 000 Kč bez DPH s tím, že se jedná o hodnotu maximální a nepřekročitelnou, přičemž
· předpokládaná hodnota u položky „PC sestava standardní“ činí 60 000 000 Kč bez DPH za předpokládaný počet 2 500 ks,
· předpokládaná hodnota u položky „PC sestava výkonná“ činí 6 000 000 Kč bez DPH za předpokládaný počet 20 ks a
· předpokládaná hodnota u položky „PC sestava ,All-in-oneʻ“ činí 3 000 000 Kč bez DPH za předpokládaný počet 100 ks.
59. V příloze č. 2 „Technická specifikace předmětu plnění“ zadávací dokumentace, která současně tvoří přílohu č. 1 rámcové dohody (dále jen „příloha č. 2 zadávací dokumentace“) obviněný v rámci požadavků na „systémovou platformu“ stanovil následující minimální parametr: „Předinstalované programové vybavení (image na disku) – musí být plně kompatibilní s OS používaném na stávajících PC ve vlastnictví zadavatele – OEM MS Windows 10 Professional CZ 64 bit. Výrobková stabilita, jednotný výrobce CPU, GPU a síťové karty“[1] (dále také jako „požadavek na OEM licence“).
60. Obviněný v rámci žádostí o vysvětlení zadávací dokumentace obdržel následující dotazy ze dne 6. 6. 2022:
„Dotaz 1.:
Požaduje, Zadavatel, aby dodaná licence operačního systémů byla předinstalovaná na dodávaný HW a aktivační klíč byl umístěn v BIOSu počítače?“
Dotaz 2.:
Požaduje Zadavatel, aby byla licence bude poskytnuta výrobcem hardware jako OEM? A tedy, chápeme správně, že požadavek ze zadávací dokumentace ,Předinstalované programové vybavení (image na disku) – musí být plně kompatibilní s OS používaném na stávajících PC ve vlastnictví zadavatele – OEM MS Windows 10 Professional CZ 64 bitʻ plní pouze OEM licence poskytnutá výrobcem zařízení?“
61. V rámci vysvětlení zadávací dokumentace č. 5 ze dne 13. 6. 2022 (dále jen „vysvětlení zadávací dokumentace č. 5“) obviněný na výše uvedené dotazy odpověděl následovně:
„Odpověď na dotaz č. 1:
Ano. Zadavatel požaduje, aby dodaná licence operačního systémů byla předinstalovaná na dodávaný HW a aktivační klíč byl umístěn v BIOSu počítače.
Odpověď na dotaz č. 2:
Ano. Zadavatel požaduje, aby byla licence byla poskytnuta výrobcem hardware jako OEM. Požadavek ze zadávací dokumentace ,Předinstalované programové vybavení (image na disku) – musí být plně kompatibilní s OS používaném na stávajících PC ve vlastnictví zadavatele – OEM MS Windows 10 Professional CZ 64 bitʻ plní pouze licence poskytnutá výrobcem zařízení.
Zadavatel pro vyloučení pochybností ke své odpovědi doplňuje, že bude akceptovat pouze tzv. originální licence.“
Právní posouzení
62. Úřad předně v obecné rovině uvádí, že řádné stanovení zadávacích podmínek je jednou ze základních povinností zadavatele ve vztahu k zadávacímu řízení, jež má výrazný dopad na jeho další průběh, neboť právě prostřednictvím zadávacích podmínek dochází k omezení okruhu potenciálních dodavatelů pro účely výběru vhodného dodavatele, s nímž bude následně uzavřena smlouva, příp. rámcová dohoda. Zadavatel jimi vymezuje mj. podmínky účasti v zadávacím řízení, mezi něž patří i technické podmínky, jejichž hlavním účelem je stanovení požadavků na předmět plnění.
63. Úřad dále uvádí, že technické podmínky definují předmět plnění z věcného hlediska, přičemž zadavatel je oprávněn stanovit pouze takové technické podmínky, které přímo vymezují jím poptávané plnění, jež stanovuje za účelem naplnění svých potřeb. Lze tedy konstatovat, že technické podmínky musí vycházet z objektivně zdůvodnitelných požadavků a potřeb zadavatele. Ačkoli obecně stanovení požadavků na předmět poptávaného plnění nepochybně závisí na rozhodnutí zadavatele, neboť on jediný nejlépe zná své potřeby, je třeba zdůraznit, že zadavatel je při svých úvahách ohledně konkrétního vymezení zadávacích podmínek vázán jednotlivými ustanoveními zákona, a to včetně základních zásad zakotvených v § 6 zákona. I při existenci konkrétní potřeby, na základě které zadavatel specifikuje určitý technický parametr poptávaného plnění, jímž provádí kvalitativní vymezení předmětu plnění, je tak zadavatel ve vztahu ke stanovení zadávacích podmínek, a to včetně podmínek vymezujících předmět poptávaného plnění, povinen dodržet rovněž základní zásady zadávacího řízení, mj. zásadu zákazu diskriminace, aby nedocházelo k bezdůvodnému omezování hospodářské soutěže, tedy aby zadávací podmínky některým dodavatelům bezdůvodně nezaručovaly konkurenční výhodu či nevytvářely bezdůvodné překážky hospodářské soutěže.
64. Právě uvedené nelze chápat tak, že je zadavatelům upírána možnost stanovit technické podmínky podle svých potřeb. Technická specifikace však musí vycházet z objektivně zdůvodnitelných požadavků zadavatele. Zadávací podmínky tedy mohou za konkrétních okolností ve svém důsledku vytvářet jistou nerovnováhu mezi dodavateli, čili mohou do určité míry „prolamovat“ základní zásady zadávacího řízení (a to především zásadu zákazu diskriminace), avšak výlučně za předpokladu, že pro to existuje objektivní důvod na straně zadavatele (ve svém důsledku se pak tedy ani nejedná o porušení zásady zákazu diskriminace). Jinak řečeno zadávací podmínky sice mohou pro určité dodavatele skýtat výhodu, avšak nesmí tomu tak být bezdůvodně, tj. tato výhoda musí být odůvodněna, resp. vycházet z konkrétních logických úvah zadavatele a musí pro ni existovat objektivní příčiny.
65. Jak již bylo uvedeno výše, předmětem plnění v šetřeném případě jsou dodávky PC sestav, které budou obviněnému dodány včetně veškerého příslušenství nutného k uvedení do provozu, bez nutnosti zakoupení dalších komponent, a včetně poskytnutí veškerých licencí nezbytných pro řádné fungování PC sestavy, přičemž dle technické specifikace předmětu plnění tyto licence musí být plně kompatibilní s OS používaném na stávajících PC sestavách ve vlastnictví zadavatele, tj. licence MS Windows 10 Professional CZ typu OEM. Vysvětlením zadávací dokumentace č. 5 pak obviněný předmětný požadavek v souvislosti s dodávkou licencí objasnil, a to v tom smyslu, že požadoval, aby dodaná licence operačního systému byla předinstalovaná na dodávaný hardware, přičemž aktivační klíč měl být umístěn v BIOSu počítače, a rovněž že softwarová licence měla být poskytnuta výrobcem hardware jako originální licence typu OEM[2].
66. Úřad na základě vlastního šetření vycházejícího z informací zjištěných z veřejně dostupných zdrojů a na základě výsledků průzkumu trhu zjistil, že OEM licence předinstalované na obviněným požadované PC sestavy výrobcem zařízení (obecně) nepředstavují jediný způsob, jakým lze zabezpečit ty potřeby obviněného, které byly Úřadu obviněným sděleny a které vyplývaly ze zadávacích podmínek, tj. zajištění PC sestav, které budou z pohledu obviněného připraveny k okamžitému uvedení do provozu, tedy k jejich fungování nebude třeba dokupovat žádné další komponenty ani softwarové licence, a vydal proto příkaz, ve kterém konstatoval, že obviněný stanovil zadávací podmínky zadávacího řízení v rozporu s § 36 odst. 1 zákona ve spojení se zásadou zákazu diskriminace zakotvenou v § 6 odst. 2 zákona, když v rámci technické specifikace předmětu plnění v příloze č. 2 zadávací dokumentace pro části plnění „PC sestavy standardní“, „PC sestavy výkonné“ a „PC sestavy ,All-in-oneʻ“ stanovil požadavek na „Předinstalované programové vybavení (image na disku) – musí být plně kompatibilní s OS používaném na stávajících PC ve vlastnictví zadavatele – OEM MS Windows 10 Professional CZ 64 bit“, přičemž, jak uvedl ve vysvětlení zadávací dokumentace ze dne 13. 6. 2022, uvedený požadavek plní pouze OEM licence poskytnutá výrobcem zařízení, čímž vytvořil bezdůvodnou překážku hospodářské soutěže, a znemožnil tak účast v soutěži dodavatelům, kteří dodávají licence jiného typu než OEM a byli by objektivně schopni předmět plnění realizovat.
67. Obviněný nicméně v podaném odporu argumentoval v tom smyslu, že jakožto poskytovatel základní služby ve smyslu zákona o kybernetické bezpečnosti je povinen postupovat v souladu s uvedeným zákonem, přičemž požadavek na předinstalované OEM licence v rámci dodávek PC sestav dle jeho názoru přispívá k zajištění dostatečné ochrany provozu nemocnice, která je zařízením kritické infrastruktury.
68. Úřad na tomto místě připomíná, že zadavatel může určit technologie (tj. technický popis způsobu provádění veřejné zakázky), které budou použity k plnění veřejné zakázky v rámci stanovení technických podmínek, nicméně se nesmí jednat o „bezdůvodné“ vytváření překážek hospodářské soutěže. Ustanovení § 4 odst. 4 zákona o kybernetické bezpečnosti pak zadavateli výslovně stanovuje povinnost zohlednit požadavky vyplývající z bezpečnostních opatření při výběru dodavatele pro informační nebo komunikační systém, přičemž zohlednění takových požadavků v míře nezbytné pro splnění povinností podle zákona o kybernetické bezpečnosti pak nelze považovat za nezákonné omezení hospodářské soutěže nebo nedůvodnou překážku hospodářské soutěže.
69. Vzhledem k tomu, že Úřad nedisponuje úředními osobami, které by měly odborné znalosti k posouzení otázek týkajících se kybernetické bezpečnosti, Úřad požádal NÚKIB o stanovisko v této věci, přičemž v této souvislosti předesílá, že své posouzení zakládá zejména na vyjádření, resp. závěrech NÚKIB, jakožto ústředního orgánu státní správy pro oblast kybernetické bezpečnosti (viz výše odůvodnění tohoto usnesení).
70. Ze stanoviska NÚKIB, které Úřad obdržel dne 26. 6. 2023, vyplývá, že v případě OEM licence se obecně nejedná o jediný možný přípustný způsob řešení požadavku obviněného, nicméně s ohledem na postavení obviněného jakožto subjektu povinného podle zákona o kybernetické bezpečnosti a souvisejících právních předpisů a s ohledem na to, že zákonné požadavky je možné naplnit různými způsoby, je nutno brát v potaz konkrétní situaci. NÚKIB dále Úřadu v obecné rovině sdělil, že na základě výsledků hodnocení rizik povinná osoba přijímá přiměřená bezpečnostní opatření s cílem zvládání identifikovaných rizik, a tedy zajištění kybernetické bezpečnosti, přičemž výběr konkrétního opatření ke snížení identifikovaného bezpečnostního rizika je výlučně v odpovědnosti povinné osoby. V rámci výběrového řízení a před uzavřením smlouvy pak má povinná osoba povinnost provádět hodnocení rizik souvisejících s plněním předmětu plnění výběrového řízení. Úlohou NÚKIB je následně především kontrola toho, zda bezpečnostní opatření, která má povinná osoba povinnost zavést a provést, jsou zaváděna a prováděna v rozsahu nezbytném pro zajištění kybernetické bezpečnosti konkrétního systému a zda povinné osoby zohledňují požadavky vyplývající z bezpečnostních opatření při výběru dodavatele pro jejich systém. Ve vztahu k přijatým opatřením pro zvládání rizik tedy NÚKIB hodnotí, zda skutečně vedou k požadovanému cíli, tj. snížení rizika na akceptovatelnou úroveň, a zda nejsou nepřiměřená.
71. Ve vztahu k šetřenému případu pak NÚKIB uvedl, že závěr obviněného vyplývající z provedené analýzy rizik v tom smyslu, že pro zajištění kontinuity provozu nemocnice vychází jako nejoptimálnější řešení pořízení OEM licencí v rámci BIOS, je racionální, neboť s pořízením jiných typů licencí mohou souviset problémy, např. při centrální správě licencí, v souvislosti s migrací počítačů pro jiné uživatele či v souvislosti s podporou a využíváním personálních kapacit. Podle NÚKIB použití OEM licencí skutečně může eliminovat některá rizika spojená s využitím jiných typů licencí, např. nedostatečná podpora, práva třetích stran, neukončení používání prodané licence, nekompatibilita s nástrojem pro správu licencí. Spravování OEM licencí by pak v obecné rovině dle NÚKIB mělo být oproti sekundárním či krabicovým licencím méně náročné na kapacity správce, zejména při reinstalaci počítače, což lze s přihlédnutím k množství zařízení spravovaných obviněným a jejich častou migraci mezi uživateli z pohledu kybernetické bezpečnosti a přiměřenosti zvoleného řešení považovat ze relevantní argument. Nadto podle NÚKIB nejde o řešení v praxi neobvyklé, excesivní či specificky koncipované, ba naopak jde o využití na trhu běžně dostupného řešení. NÚKIB v souvislosti s šetřeným případem uzavřel, že stanovená bezpečnostní opatření „zajištění údržby a aktualizace OS po dobu 7 let bez dodatečných provozních nákladů (nákup připravených PC s garantovanou OEM licencí v rámci BIOS), garantovaná záruka dodavatele“ jsou z hlediska splnění požadavku zákona o kybernetické bezpečnosti a vyhlášky o kybernetické bezpečnosti dostatečně odůvodněná, vedou ke snížení identifikovaného rizika na akceptovatelnou úroveň a zároveň nejsou zjevně excesivní.
72. Úřad na tomto místě akcentuje, že plnění povinností stanovených povinným osobám zákonem o kybernetické bezpečnosti, potažmo jeho prováděcím právním předpisem (vyhláškou o kybernetické bezpečnosti), z povahy věci nemůže být považováno za nezákonné. Z pohledu zákona (o zadávání veřejných zakázek) je nutno vždy posoudit důvodnost stanoveného požadavku zadavatelem. Skutečnost, že konkrétní zadávací podmínka může do určité míry omezovat množství subjektů oprávněných k podání nabídky do zadávacího řízení nutně neznamená porušení zákona, neboť zákon za nezákonný označuje takový postup zadavatele, kterým bezdůvodně vytváří překážky hospodářské soutěže. Jelikož v průběhu vedeného správního řízení vyšly najevo nové okolnosti (v podrobnostech viz výše odůvodnění tohoto rozhodnutí), se kterými Úřad nepracoval v době vydání příkazu a zejména pak s přihlédnutím k závěrům stanoviska NÚKIB, které de facto aprobuje postup zadavatele v souvislosti s postupy dle zákona o kybernetické bezpečnosti, nahlíží nyní i Úřad odlišnou optikou na důvody, které zadavatele vedly ke stanovení předmětné zadávací podmínky.
73. Vzhledem k tomu, že ze stanoviska NÚKIB jednoznačně vyplývá, že obviněný jakožto osoba povinná podle § 3 písm. f) zákona o kybernetické bezpečnosti nepostupoval v souvislosti s poptáváním plnění, které je předmětem šetřeného zadávacího řízení, tj. PC sestav včetně veškerých licencí, v rozporu se zákonem o kybernetické bezpečnosti, když poptávané plnění, resp. stanovená bezpečnostní opatření označil za racionální, dostatečně odůvodněná, která vedou ke snížení identifikovaného bezpečnostního rizika na akceptovatelnou úroveň a zároveň nejsou zjevně excesivní, lze mít za to, že obviněným provedené omezení hospodářské soutěže ve smyslu požadavku na OEM licence předinstalované výrobcem zařízení nebylo provedeno bezdůvodně.
74. V kontextu výše uvedeného tedy lze uzavřít, že obviněný stanovením požadavku na OEM licence předinstalované na obviněným požadované PC sestavy nepostupoval v rozporu se zákonem, konkrétně s § 36 odst. 1 zákona ve spojení se zásadou zákazu diskriminace zakotvenou v § 6 odst. 2 zákona, tudíž se nemohl dopustit přestupku podle § 268 odst. 1 písm. b) zákona, jak původně Úřad konstatoval v příkazu.
75. Na základě výše uvedeného Úřad konstatuje, že v rámci vedeného řízení o přestupku neshledal důvody pro uložení sankce, a proto rozhodl o zastavení správního řízení podle § 257 písm. f) zákona tak, jak je uvedeno ve výroku tohoto usnesení.
Poučení
Proti tomuto usnesení lze do 15 dnů ode dne jeho doručení podat rozklad k předsedovi Úřadu pro ochranu hospodářské soutěže, a to prostřednictvím Úřadu pro ochranu hospodářské soutěže – Sekce veřejných zakázek, třída Kpt. Jaroše 1926/7, Černá Pole, 604 55 Brno. Včas podaný rozklad nemá podle § 76 odst. 5 správního řádu odkladný účinek. Rozklad a další podání účastníků učiněná v řízení o rozkladu se podle § 261 odst. 1 písm. b) zákona zasílají Úřadu výhradně prostřednictvím datové schránky nebo jako datová zpráva podepsaná uznávaným elektronickým podpisem.
otisk úředního razítka
Mgr. Markéta Dlouhá
místopředsedkyně
Obdrží
Fakultní nemocnice v Motole, V úvalu 84/1, 150 00 Praha – Motol
Vypraveno dne
viz otisk razítka na poštovní obálce nebo časový údaj na obálce datové zprávy
[1] Požadavek je stanoven shodně pro všechny tři typy požadovaných PC sestav, tedy jak pro „PC sestavu standarní“, tak pro „PC sestavu výkonnou“ i „All-in-one“
[2] V této souvislosti Úřad považuje za nezbytné v obecné rovině uvést, že OEM (zkratka anglického Original Equipment Manufacturer) licence je obchodní označení užívané pro předinstalovaný (originální) software výrobcem hardwaru, kdy OEM licence opravňuje koncového zákazníka k používání softwaru výhradně ve spojení s hardwarem počítače, se kterým byl software distribuován, jelikož OEM licence je svázána se základní deskou počítače, ve kterém instalace této licence (včetně její aktivace) proběhla. Jako vzorový příklad uvedeného způsobu licencování lze uvést OEM licence operačního programu Microsoft Windows, které v šetřeném případě požadoval obviněný.