číslo jednací: 08669/2025/500
spisová značka: S0031/2025/VZ

Instance I.
Věc Ochrana klientských stanic II
Účastníci
  1. Česká národní banka
  2. APPSEC s.r.o.
  3. T-Mobile Czech Republic a.s.
Typ správního řízení Veřejná zakázka
Výrok § 265 písm. a) zákona č. 134/2016 Sb.
Rok 2025
Datum nabytí právní moci 26. 3. 2025
Dokumenty file icon 2025_S0031.pdf 468 KB

Spisová značka:  ÚOHS-S0031/2025/VZ

Číslo jednací:      ÚOHS-08669/2025/500

 

Brno 6. 3. 2025

 

 

 

Úřad pro ochranu hospodářské soutěže příslušný podle § 248 zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů, ve správním řízení zahájeném dne 16. 1. 2025
na návrh z téhož dne, jehož účastníky jsou

  • zadavatel – Česká národní banka, IČO 48136450, se sídlem Na příkopě 864/28, 110 00 Praha 1,
  • navrhovatel – APPSEC s.r.o., IČO 05542812, se sídlem Thámova 166/18, 186 00 Praha 8,
  • vybraný dodavatel – T-Mobile Czech Republic a.s., IČO 64949681, se sídlem Tomíčkova 2144/1, 148 00 Praha 4,

ve věci přezkoumání úkonů cit. zadavatele učiněných při zadávání veřejné zakázky „Ochrana klientských stanic II“ v otevřeném řízení, jehož oznámení bylo odesláno k uveřejnění dne 15. 10. 2024 a uveřejněno ve Věstníku veřejných zakázek dne 16. 10. 2024 pod ev. č. Z2024-050574 a v Úředním věstníku Evropské unie dne 16. 10. 2024 pod ev. č. 625804-2024,

rozhodl takto:

Návrh navrhovatele – APPSEC s.r.o., IČO 05542812, se sídlem Thámova 166/18, 186 00 Praha 8 – ze dne 16. 1. 2025 na zahájení správního řízení o přezkoumání úkonů zadavatele – Česká národní banka, IČO 48136450, se sídlem Na příkopě 864/28, 110 00 Praha 1 – učiněných při zadávání veřejné zakázky „Ochrana klientských stanic II“ v otevřeném řízení, jehož oznámení bylo odesláno k uveřejnění dne 15. 10. 2024 a uveřejněno ve Věstníku veřejných zakázek dne 16. 10. 2024 pod  ev. č. Z2024-050574 a v Úředním věstníku Evropské unie dne 16. 10. 2024 pod ev. č. 625804-2024, se podle § 265 písm. a) zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů, zamítá, neboť nebyly zjištěny důvody pro uložení nápravného opatření.

 

Odůvodnění

I.            PRŮBĚH ZADÁVACÍHO ŘÍZENÍ

1.           Zadavatel – Česká národní banka, IČO 48136450, se sídlem Na příkopě 864/28, 110 00 Praha 1 (dále jen „zadavatel“) – zahájil dne 15. 10. 2024 odesláním oznámení o zahájení zadávacího řízení k uveřejnění podle zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů (dále jen „zákon“), otevřené řízení za účelem zadání veřejné zakázky „Ochrana klientských stanic II“. Oznámení o zahájení zadávacího řízení bylo uveřejněno ve Věstníku veřejných zakázek dne 16. 10. 2024 pod ev. č. Z2024-050574 a v Úředním věstníku Evropské unie téhož dne pod ev. č. 625804-2024 (dále jen „veřejná zakázka“ nebo „zadávací řízení“).

2.           Předmětem plnění veřejné zakázky je podle článku 1. „Vymezení předmětu veřejné zakázky“ zadávací dokumentace veřejné zakázky ze dne 14. 10. 2024 (dále jen „zadávací dokumentace“) „dodání, implementace a údržba systému ochrany koncových zařízení pro nepřetržitou detekci a následnou automatickou nebo manuální reakci na zjištěné bezpečnostní události, a to pro 1 800 klientských zařízení a pro 160 serverových zařízení (…)“.

3.           Podle formuláře uveřejněného ve Věstníku veřejných zakázek dne 16. 10. 2024 pod ev. č. Z2024-050574 činí předpokládaná hodnota veřejné zakázky 14 250 000 Kč bez DPH.   

4.           Lhůta pro podání nabídek byla zadavatelem stanovena do 27. 11. 2024 do 10:00. 

5.           Zadavatel do konce lhůty pro podání nabídek obdržel 2 nabídky na veřejnou zakázku, a to včetně nabídky navrhovatele – APPSEC s.r.o., IČO 05542812, se sídlem Thámova 166/18, 186 00 Praha 8 (dále jen „navrhovatel“).

6.           Zadavatel rozhodnutím ze dne 5. 12. 2024 rozhodl o výběru dodavatele – T-Mobile Czech Republic a.s., IČO 64949681, se sídlem Tomíčkova 2144/1, 148 00 Praha 4 (dále jen „vybraný dodavatel“). Zadavatel zaslal účastníkům zadávacího řízení oznámení o rozhodnutí o výběru dodavatele ze dne 5. 12. 2024 prostřednictvím elektronického nástroje zadavatele dne
6. 12. 2024 (dále jen „oznámení o výběru“).

7.           Navrhovatel podal proti rozhodnutí o výběru námitky ze dne 19. 12. 2024, jež byly zadavateli doručeny prostřednictvím elektronického nástroje zadavatele dne 20. 12. 2024 (dále jen „námitky“).

8.           Zadavatel svým rozhodnutím o námitkách ze dne 6. 1. 2025 (dále jen „rozhodnutí o námitkách“), které bylo navrhovateli doručeno téhož dne prostřednictvím elektronického nástroje, tyto námitky odmítl.

9.           Vzhledem k tomu, že navrhovatel nepovažoval rozhodnutí zadavatele o jím podaných námitkách za učiněné v souladu se zákonem, podal dne 16. 1. 2025 k Úřadu pro ochranu hospodářské soutěže (dále jen „Úřad“) návrh z téhož dne na zahájení správního řízení o přezkoumání úkonů zadavatele (dále jen „návrh“).

II.           OBSAH NÁVRHU

10.        Návrh míří proti rozhodnutí zadavatele o výběru dodavatele. Navrhovatel má předně za to, že zadavatel postupoval při posouzení nabídky vybraného dodavatele v rozporu se zákonem, jelikož nabídka vybraného dodavatele nesplňuje v zadávacích podmínkách obligatorně požadovanou funkcionalitu endpointu „Offline detekce a reakce“. Navrhovatel přitom poukazuje na to, že technické řešení nabízené vybraným dodavatelem není schopno zajistit plnohodnotnou ochranu koncového zařízení v případě, kdy je zařízení v režimu offline. Navrhovatel s ohledem na podrobnosti uvedené v oznámení o výběru, konkrétně pak z dokladů o kvalifikaci techniků vybraného dodavatele, dovozuje, že vybraný dodavatel pro realizaci předmětu veřejné zakázky zvolil řešení postavené na systému CrowdStrike Falcon (dále jen „systém Crowdstrike“). V této souvislosti dále navrhovatel odkazuje na popis požadované funcionality endpointu „Offline detekce a reakce“, která je v zadávacích podmínkách popsána jako schopnost plnohodnotné ochrany koncového zařízení v případě, kdy agentní software není ve spojení s centrálním managementem. Uvedená funkcionalita nicméně dle navrhovatele není zcela jednoznačně v případě systému Crowdstrike splněna.

11.        Navrhovatel ve vztahu k systému Crowdstrike dále uvádí, že uvedený systém byl v nedávné době zasažen chybou, která způsobila masivní technologický výpadek a narušení bezpečnosti systémů, na kterých byl nasazen, a jejíž příčinou byla dle veřejně dostupných informací chyba v kódu během aktualizace obsahu. Navrhovatel přitom poukazuje na to, že přestože společnost Crowdstrike daný problém následně vyřešila, tak v souvislosti s touto situací vyplynuly do té doby explicitně nepřiznané problematické aspekty technického řešení systému Crowdstrike. Především mělo dle navrhovatele jít o skutečnost, že systému Crowdstrike musí být několikrát denně aktualizován, přičemž pro tyto aktualizace je bezpodmínečně nutné, aby bylo koncové zařízení online. Navrhovatel shrnuje, že zcela standardním procesem je, že denně proběhne v systému Crowdstrike 10 až 12 aktualizací. Navrhovatel dále s odkazem na posouzení systému Crowdstrike provedené na youtube kanálu Security First Corp uvádí, že systém Crowdstrike je známý pro svůj proaktivní přístup k ochraně koncového zařízení před viry, spywarem a jiným škodlivým softwarem, kdy jedním z klíčových způsobů, jak toho dosáhnout, jsou neustálé aktualizace. Systém Crowdstrike má přitom aktualizovat své definice několikrát denně, přičemž tyto aktualizace jsou nezbytné pro boj s novými taktikami, technikami a postupy používanými útočníky. Dle uvedeného posouzení je celková účinnost systému Crowdstrike přisuzována jeho strategii časté aktualizace. Navrhovatel dále poukazuje na popis systému Crowdstrike provedený univerzitou v Chicagu, který na položenou otázku: „Naruší CrowdStrike Falcon mou práci?“ odpovídá následovně: „CrowdStrike Falcon vyžaduje instalaci internetového připojení a funguje nejefektivněji, když je počítač připojen k internetu.“. Navrhovatel výše uvedené shrnuje tak, že zajištění aktualizací, které probíhají 10 až 12krát denně, je zcela zásadní pro funkčnost daného systému a plnohodnotnou ochranu koncových zařízení, přičemž pro provedení těchto aktualizací je nutné, aby bylo koncové zařízení online. Dle navrhovatele pak platí, že bez toho, aby bylo koncové zařízení online, aktualizace neproběhnou, a není tak možné takovému zařízení zajistit plnou ochranu. Dle názoru navrhovatele tak uvedený systém neodpovídá požadavku zadavatele na dodání řešení, které bude schopné plnohodnotné ochrany koncového zařízení i v režimu offline, tedy v případě, kdy agentní software není ve spojení s centrálním managementem. Z pohledu navrhovatele tedy není naplněna zadavatelem požadovaná mandatorní funkcionalita „Offline detekce a reakce“, jelikož v případě, kdy je koncové zařízení v režimu offline, nebude zajištěna jeho plnohodnotná ochrana. S ohledem na to má navrhovatel za to, že nabídka vybraného dodavatele nesplňuje zadávací podmínky, a zadavatel tak měl v souladu s § 48 odst. 2 písm. a) zákona vybraného dodavatele ze zadávacího řízení vyloučit.

12.        Navrhovatel dále uvádí, že se zadavatel dle jeho názoru v rozhodnutí o námitkách vypořádal s výše uvedenou argumentací pouze obecně a povrchně, když toliko konstatoval, že je schopnost plnohodnotné ochrany koncového zařízení v případě, kdy agentní software není ve spojení s centrálním managementem, zajištěna pomocí posledně online načtené politiky agentem na koncovém zařízení. Navrhovatel nicméně tímto nepovažuje vznesené námitky za vypořádané. Zadavatel dle navrhovatele předně v rozhodnutí o námitkách vůbec neuvedl, zda vybraný dodavatel skutečně ve své nabídce nabídl právě systém Crowdstrike. Dále se dle něj zadavatel nevypořádal s tvrzením, že je nutné, aby byl uvedený systém 10 až 12krát denně aktualizován, přičemž že bez této aktualizace neposkytuje plnohodnotnou ochranu, a není tak naplněna požadovaná funkcionalita „Offline detekce a reakce“. Navrhovatel přitom k výše uvedené argumentaci zadavatele dodává, že ochrana poskytovaná na základě poslední dostupné aktualizace dle něj nemůže být považována za dostatečnou pro splnění předmětného požadavku na plnohodnotnou ochranu koncových zařízení.

13.        Navrhovatel nad rámec výše uvedeného doplňuje, že na relevantním trhu v zásadě vystupují dva druhy systémů ochrany koncových zařízení, které se vzájemně liší podle způsobu zachycování hrozeb. Zjednodušeně řečeno pak jde dle navrhovatele na jedné straně o systémy na bázi neustálých aktualizací a na straně druhé o systémy na bázi umělé inteligence, neuronových sítí a strojového učení, které navrhovatel označuje jako tzv. NextGen antiviry. Navrhovatel má přitom za to, že zadavatel stanovením požadavku na „Offline detekci a reakci“ fakticky vyloučil z použití právě systémy závislé na neustálých aktualizacích, ke kterým přitom navrhovatel počítá rovněž systém Crowdstrike, neboť v jejich případě systémy bez přístupu k těmto aktualizacím nemohou zachytit nejnovější typy hrozeb. Pro úplnost přitom navrhovatel dodává, že rovněž v případě tzv. NextGen antivirů dochází k určitým aktualizacím, nicméně uvedené systémy poskytují plnohodnotnou ochranu koncových zařízení i bez ohledu na aktualizace identifikující případnou hrozbu.        

14.        S ohledem na výše uvedené pak navrhovatel požaduje provedení průzkumu trhu, v jehož rámci by Úřad oslovil dodavatele systémů ochrany koncových zařízení s dotazem, zda je dle jejich názoru v případě systémů postavených na bázi neustálých aktualizací splněna zadavatelem definovaná funkcionalita „Offline detekce a reakce“, a dále pak, zda by jim tento požadavek zabránil podat nabídku do zadávacího řízení na veřejnou zakázku. Navrhovatel je přitom přesvědčen, že uvedený průzkum trhu je zcela zásadní pro stanovení jednoznačné odpovědi na to, zda systém Crowdstrike poskytuje v rámci offline detekce a reakce plnohodnotnou ochranu koncového zařízení i v případě, kdy je agent delší dobu offline.

15.        Navrhovatel dále uvádí, že tvrzení zadavatele o tom, že ověření požadované funkcionality bude součástí 1. etapy plnění smlouvy na veřejnou zakázku, je zcela irelevantní. Zadavatel přitom dle navrhovatele nemůže rezignovat na svou povinnost posoudit splnění zadávacích podmínek vybraným dodavatelem. Postup zadavatele, kdy by došlo k uzavření smlouvy s nejistými technickými parametry, by dle navrhovatele představoval porušení zásady transparentnosti a zásady rovného zacházení, neboť by došlo ke zvýhodnění vybraného dodavatele oproti navrhovateli, který přitom stanovené technické požadavky jednoznačně splňuje.

16.        Navrhovatel dále odkazuje na čl. VIII odst. 1 návrhu smlouvy na veřejnou zakázku, dle kterého dodavatel poskytne po dobu trvání smlouvy zadavateli nevýhradní, nepřevoditelné, nedělitelné a teritoriálně neomezené oprávnění k výkonu práva užívat dodané programové prostředky. Navrhovatel přitom s ohledem na svou znalost relevantního trhu uvádí, že vybraný dodavatel obvykle nabízí své řešení ochrany koncových zařízení založené na základě systému Crowdstrike jako tzv. manažovanou službu v rámci IT modelu softwaru nazývanou jako „Software as a service“ (dále jen „model SaaS“). Navrhovatel přitom upozorňuje na to, že model SaaS nenaplňuje výše uvedený požadavek zadavatele na licenční ujednání. Dle navrhovatele se totiž v případě modelu SaaS jedná o distribuční cloudový model, kdy poskytovatel umožňuje pronájem již jednou vytvořené aplikace, resp. o tzv. softwarový hosting, kdy uživatel či firmy neřeší žádné licence ani nákup technického vybavení. Poskytovatel služeb přitom spravuje hardware a software a v rámci příslušné smlouvy o poskytování služeb zajišťuje dostupnost a zabezpečení aplikace a dat.

17.        Navrhovatel dále odkazuje na odborný článek, dle kterého v důsledku výše naznačené povahy modelu SaaS v případě jeho využívání obecně nedochází k užívání softwaru ve smyslu § 12 zákona č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (dále jen „autorský zákon“), neboť v takovém případě nedochází k rozmnožování softwaru, software není instalován na zařízeních uživatele a veškeré fungování, zabezpečení a správu softwaru zajišťuje přímo poskytovatel, přičemž uživatel  obecně nenabývá licenci k tomuto softwaru, ale místo toho poskytovateli pouze platí sjednané předplatné za umožnění přístupu k softwaru, resp. za oprávnění užívat výstupy z tohoto softwaru. Navrhovatel má tak s ohledem na výše uvedené zato, že v případě modelu SaaS zadavatel nezíská jakékoliv oprávnění k výkonu práva užívat programové prostředky. Navrhovatel dále shrnuje, že v případě modelu SaaS tak nelze v rámci smlouvy stanovit požadavek na právo k užití software, jelikož druhá smluvní strana toto právo nezískává. Dle navrhovatele je tak zcela jednoznačné, že vybraný dodavatel nesplňuje smluvní podmínku na licenční ujednání dle čl. VIII odst. 1 návrhu smlouvy na veřejnou zakázku.  

18.        Navrhovatel dodává, že ani s touto námitkou se zadavatel ve svém rozhodnutí o námitkách dostatečně nevypořádal. Navrhovatel má přitom za to, že zadavatel se v odůvodnění rozhodnutí o námitkách nikterak nezabýval stěžejním argumentem navrhovatele, že v případě řešení nabízeného vybraným dodavatelem uživatel nenabývá licenci k tomuto systému. Zadavatel dle navrhovatele pouze v rozhodnutí o námitkách v obecné rovině polemizuje nad tím, zda lze oprávnění zajišťovat zprostředkovaně, což však dle navrhovatele nebylo předmětem podaných námitek. Navrhovatel dále uvádí, že z rozhodnutí o námitkách nevyplývá, že by zadavatel jakýmkoliv způsobem otázku licencí u vybraného dodavatele ověřil, ač k tomu byl dle navrhovatele povinen.     

19.        S ohledem na výše uvedené se navrhovatel domáhá toho, aby Úřad zrušil rozhodnutí o výběru dodavatele a veškeré související a navazující úkony zadavatele.             

III.         PRŮBĚH SPRÁVNÍHO ŘÍZENÍ

20.        Podle § 249 zákona ve spojení s § 44 odst. 1 zákona č. 500/2004 Sb., správní řád, ve znění pozdějších předpisů (dále jen „správní řád“), bylo správní řízení o přezkoumání úkonů zadavatele zahájeno dnem 16. 1. 2025, kdy Úřad obdržel návrh navrhovatele.

21.        Účastníky správního řízení jsou podle § 256 zákona:

  • zadavatel,
  • navrhovatel a
  • vybraný dodavatel.

22.        Zahájení správního řízení oznámil Úřad jeho účastníkům přípisem ze dne 17. 1. 2025.

23.        Dne 24. 1. 2025 zadavatel Úřadu doručil vyjádření k návrhu na zahájení správního řízení o přezkoumání úkonů zadavatele z téhož dne (dále jen „vyjádření zadavatele k návrhu“)a zároveň byla Úřadu téhož dne prostřednictvím certifikovaného elektronického nástroje zpřístupněna dokumentace o zadávacím řízení.

Vyjádření zadavatele k návrhu

24.        Zadavatel ve svém vyjádření k návrhu předně uvedl, že nesouhlasí s tvrzením navrhovatele, že by rozhodnutí o námitkách bylo nepřezkoumatelné. Zadavatel přitom uvedl, že je ze zákona povinen vypořádat se s podanými námitkami tak, aby rozhodnutí o námitkách bylo přezkoumatelné, a to s přihlédnutím k obecnosti a konkrétnosti skutečností uváděných v námitkách. Zadavatel zdůrazňuje, že není povinen vypořádávat explicitně každé jednotlivé tvrzení uvedené v námitkách, přičemž platí, že z rozhodnutí o námitkách musí být seznatelné, z jakých relevantních důvodů zadavatel s tvrzeními stěžovatele podávajícího námitky nesouhlasí, resp. proč zadavatel námitky odmítá. Zadavatel má přitom za to, že z jeho rozhodnutí o námitkách zřetelně vyplývá, proč neshledal, že by nabídka vybraného dodavatele skutečně nesplňovala zadávací podmínky veřejné zakázky z důvodů uvedených navrhovatelem, a že tak nejsou dány důvody pro zrušení rozhodnutí o výběru. Konkrétně pak zadavatel uvedl, že v rozhodnutí o námitkách nijak nerozporoval, že by vybraný dodavatel ve své nabídce skutečně nabídl řešení postavené na systému Crowdstrike, neboť s ohlédnutím na obsah námitek nepovažoval za nutné tuto skutečnost explicitně uvést. Zadavatel přitom odkazuje na znění návrhu navrhovatele, který sám uvedl, že uvedená skutečnost byla zadavatelem implicitně potvrzena. Uvedená skutečnost pak rovněž podle zadavatele již předtím jasně vyplývala z obsahu rozhodnutí o výběru.      

25.        Ve vztahu k údajnému nesplnění mandatorního požadavku „Offline detekce a reakce“ ze strany vybraného dodavatele zadavatel předně poukazuje na to, že zadávací podmínky je vždy nutné vnímat jako logický celek spjatý funkčními vazbami, přičemž při výkladu jednotlivých zadávacích podmínek není dle něj možné odhlížet od jejich celkového kontextu a účelu. Zadavatel přitom shrnuje, že na základě předmětné podmínky požadoval, aby agentní software k samotnému zásahu nepotřeboval rozhodnutí managementu, který mu dá k zásahu pokyn, ale aby zasahoval sám dle aktuálně dostupných informací, které má v okamžiku zásahu k dispozici. Požadavek plnohodnotné ochrany v daném případě tedy dle zadavatele směřoval na schopnost autonomního rozhodování všech požadovaných modulů vyjmenovaných v části „Funkcionalita endpointu“ o zásahu bez nutnosti získání povolení nebo potvrzení rozhodnutí z nadřazeného on-premise nebo cloudového managementu nabízeného systému. Zadavatel dále uvádí, že v zadávacích podmínkách veřejné zakázky nezakázal, resp. nijak nelimitoval nutnost pravidelných aktualizací pro efektivní chod systému. Zadavatel zdůrazňuje, že je při posuzování splnění podmínek účasti vždy vázán stanovenými zadávacími podmínkami a nemůže klást nad jejich rámec žádné další požadavky. Zadavatel má přitom za to, že když by vycházel z výkladu navrhovatele, tedy že požadavek plnohodnotné ochrany koncových zařízení není v případě systému, který pro své fungování potřebuje provádění pravidelných aktualizací, splněn, jednalo by se o požadavek, který nemá oporu v zadávacích podmínkách. Zadavatel dále dodává, že případný požadavek na limitaci nebo dokonce zákaz jakýchkoliv aktualizací pro efektivní a stálý chod poptávaného systému by představoval excesivní stanovení požadavků nad rámec potřeb zadavatele, a mohlo by tak jít o bezdůvodnou překážku hospodářské soutěže, resp. o bezdůvodné omezení okruhu potenciálních dodavatelů, kteří by se jinak mohli zadávacího řízení účastnit. 

26.        Zadavatel dále poukazuje na skutečnost, že rovněž systém nabízený navrhovatelem podléhá aktualizacím, a nelze tak tvrdit, že navrhovatelem nabízené technické řešení pro svůj efektivní chod aktualizace ovlivňující následné detekce a reakce na bezpečnostní události na koncových zařízení vůbec neprovádí. Zadavatel přitom odkazuje na tvrzení navrhovatele uvedené v návrhu, dle kterého se rovněž jím nabízený systém aktualizuje, byť s dovětkem, že tyto aktualizace nejsou pro funkčnost systému zásadní. Navrhovatel přitom odkazuje na to, že jím nabízené technické řešení je postaveno na bázi umělé inteligence, neuronové sítě a strojového učení, přičemž má za to, že takovéto řešení poskytuje plnohodnotnou ochranu koncových zařízení bez ohledu na instalaci vydané aktualizace, neboť systém případné hrozby identifikuje na základě zkušeností s již v minulosti identifikovanými hrozbami. Zadavatel k uvedenému dodává, že rovněž tato specifika byla zahrnuta do mandatorních požadavků v rámci technických požadavků na předmět plnění veřejné zakázky, a to konkrétně v rámci požadavku „Behaviorální analýza“. Zadavatel shrnuje tento požadavek tak, že součástí mandatorních požadavků na předmět plnění veřejné zakázky byl rovněž behaviorální engine, kdy by ochrana koncových stanic měla být zajišťována i prostřednictvím metod umělé inteligence a strojového učení, tedy přesně tak, jak to nastiňuje navrhovatel. S ohledem na uvedený mandatorní požadavek je přitom dle zadavatele zjevné, že řešení nabízené vybraným dodavatelem zahrnuje rovněž řešení postavené na bázi NextGen antivirus.

27.        Zadavatel dále uvádí, že navrhovatelem odkazované videonahrávky nepochází z oficiálních zdrojů výrobce, a mohou tak obsahovat rovněž nepřesné informace. Zadavatel přitom sděluje, že rovněž z navrhovatelem odkazovaných zdrojů vyplývá, že pravidelné updaty systému Crowdstrike jsou jen jedním z klíčových mechanismů, nicméně že nejsou jediným aspektem pro zajištění efektivní ochrany koncového zařízení. Zadavatel pro vyloučení pochybností odkazuje na videonahrávku dostupnou na webových stránkách výrobce systému Crowdstrike, z níž dle zadavatele jednoznačně vyplývá, že i v případě, kdy je zařízení offline, ochrana na bázi systému Crowdstrike funguje, přičemž po získání konektivity je do centrálního managementu odeslán log s informací o zásahu agenta. 

28.        Ve vztahu k tvrzení navrhovatele o nedostatečně vypořádaných námitkách zadavatel uvádí, že námitky navrhovatele zpochybňující splnění požadavku „Offline detekce a reakce“ neobsahovaly podrobné věcné argumenty, a to s výjimkou tvrzení, že zajištění aktualizací probíhajících 10 až 12krát denně je zcela zásadní pro funkčnost systému nabízeného vybraným dodavatelem a pro plnohodnotnou ochranu koncových zařízení. Konkrétní argumentace navrhovatele, podle níž je pro posouzení plnohodnotné ochrany koncových zařízení rozhodující způsob identifikace hrozeb koncového zařízení, pak byla navrhovatelem předložena až v rámci samotného návrhu. Zadavatel se tak s touto námitkou nemohl řádně vypořádat v rámci rozhodnutí o námitkách.

29.        Zadavatel dále konstatuje, že v souvislosti s podanými námitkami navrhovatele s ohledem na výše uvedené nehledal žádný důvod pro to, aby přistoupil k ověření, zda technické řešení nabízené vybraným dodavatelem splňuje zadávací podmínky na veřejnou zakázku, neboť navrhovatel zkrátka v námitkách neuvedl žádné tvrzení, které by relevantním způsobem zpochybňovalo správnost či věrohodnost údajů uvedených vybraným dodavatelem. Zadavatel shrnuje výše uvedené tak, že v daném případě neshledal důvody pro zrušení rozhodnutí o výběru dodavatele, resp. že ani tvrzení a skutečnosti obsažené v návrhu v něm nevyvolávají pochybnosti ohledně správnosti a souladnosti jím zvoleného postupu se zákonem.        

30.        K údajnému nesplnění smluvních podmínek týkajících se licenčních ujednání ze strany vybraného dodavatele pak zadavatel uvedl následující. Uvedená zadávací podmínka (tedy čl. VIII odst. 1 návrhu smlouvy na veřejnou zakázku; pozn. Úřadu) je dle zadavatele zcela jednoznačně podmínkou vztahující se k plnění smlouvy, přičemž její skutečné naplnění tak nelze ověřovat v rámci zadávacího řízení, resp. takové pouze teoretické ověření by pro zadavatele postrádalo smysl. Zadavatel dále uvádí, že případné nenaplnění uvedené smluvní podmínky bude konstituovat porušení uzavřené smlouvy spojené s patřičnými důsledky pro vybraného dodavatele. Uvedená námitka by přitom mohla v tomto ohledu být dle zadavatele úspěšná pouze tehdy, pokud by navrhovatel prokázal, že neexistuje žádná faktická možnost, aby vybraný dodavatel tuto smluvní podmínku naplnil. K tomuto nicméně dle zadavatele návrh nesměřuje.      

31.        Zadavatel v souvislosti s výše uvedeným dále konstatuje, že navrhovatel si chybně vyložil požadavky zadavatele plynoucí z čl. VIII odst. 1 návrhu smlouvy na veřejnou zakázku, když přitom rozsáhle pracuje s pojmem „licence“ a mylně jej spojuje toliko s předmětem ochrany podle autorského zákona. Zadavatel přitom poukazuje na skutečnost, že v ustanovení § 2358 odst. 1 zákona č. 89/2012 Sb., občanský zákoník (dále jen „občanský zákoník“), je pojem licence definován daleko šířeji, konkrétně jako „oprávnění k výkonu práva duševního vlastnictví v ujednaném omezeném nebo neomezeném rozsahu“. Použitý pojem „práva duševního vlastnictví“ přitom dle názoru zadavatele dalece přesahuje úzké chápání ochrany poskytované autorským zákonem. Zadavatel přitom již v rozhodnutí o námitkách uvedl, že obchodní podmínky byly v případě veřejné zakázky nastaveny tak, aby byl zadavatel oprávněn k výkonu práva užívat programové prostředky dodané dle smlouvy na veřejnou zakázky a dle účelu této smlouvy s tím, že není vyloučeno, aby toto oprávnění bylo zajišťováno zprostředkovaně, tj. na základě smluvního vztahu mezi výrobcem softwaru, který je součástí řešení vybraného dodavatele, a vybraným dodavatelem. Smyslem dotčeného ujednání smlouvy na veřejnou zakázku přitom dle zadavatele je zajistit zadavateli formálně bezproblémové užívání programových prostředků, a nesměřuje tedy nutně k zajištění licence ve smyslu, kterým tento pojem vykládá navrhovatel. Zadavatel dále podotýká, že obecně při formulaci licenčních ustanovení, zejména pak ve smlouvách zajišťujících dodávky a služby v oblasti IT nelze ustrnout v pojmosloví a rigidním nastavení české právní úpravy a je nutné vzít v úvahu, že zejména právní úpravy v oblasti common law jsou schopny od sebe odlišovat „pronájem“ a „prodej“ softwaru, neboť práva duševního vlastnictví chápou jako věcná práva ke kopii softwaru, přičemž obě zahrnují pod pojem licence. Oproti tomu kontinentální, potažmo česká právní úprava dle zadavatele není tohoto vůbec schopna, protože některé předměty ochrany duševního vlastnictví nejde v kontinentálním právním prostředí jednoduše „koupit“, neboť některá práva k nim jsou nepřevoditelná. Zadavatel má tak za to, že úvaha navrhovatele je chybná i z hlediska skutečnosti, že vychází z názvu článku VIII návrhu smlouvy „Licenční ujednání“, které však nemá normativní charakter.

32.        Ve vztahu k navrhovatelem používanému pojmu SaaS je pak dle zadavatele namístě uvést, že nejde o právní ani odborně etablovaný pojem s jednoznačným významem, nýbrž o pojem shrnující řadu technických modelů poskytování přístupu ke vzdálenému systému a výsledkům jeho činnosti. Podle zadavatele proto není vyloučeno ani v rámci poskytování plnění prostřednictvím modelu SaaS, aby byla na koncových zařízeních uživatele vyžadována např. instalace určitého skriptu, softwarového klíče, či vstupní součásti API umožňující přístup a řádné spojení se vzdáleným systémem, která by podléhala ochraně práv duševního vlastnictví, či by přímo byla předmětem ochrany podle autorského zákona. Zadavatel uvedl, že se přitom při mnohosti možných řešení a snaze co nejvíce otevřít soutěž nemohl vyhnout tomu, aby smlouvou požadoval zajištění práv užít duševní vlastnictví k jemu dodaným softwarovým součástem plnění v potřebném rozsahu, neboť v opačném případě by riskoval buď plnění nepoužitelné bez dalších nákladů, nebo bezdůvodně zúžil možný okruh dodávaných řešení. Následně zadavatel poznamenává, že i v případě, kdy by vybraný dodavatel skutečně použil model SaaS v tom smyslu, jak o něm hovoří navrhovatel, tedy situaci, kdy veškerá podpůrná infrastruktura, software a data aplikace budou umístěny v datovém centru poskytovatele služeb, nelze ani tak dle zadavatele vyloučit potřebu poskytnutí práv k užití předmětu ochrany podle autorského zákona, a tedy potažmo potřebu naplnění uvedeného ustanovení návrhu smlouvy tak, jak jej chápe navrhovatel. Navrhovatel totiž dle zadavatele ve své úvaze čerpá z ojedinělého odborného článku, který však vychází z řady jednostranně dogmaticky předkládaných závěrů. Když přitom navrhovatel uvádí, že v daném případě modelu SaaS obecně nedochází k užívání softwaru ve smyslu § 12 autorského zákona, kdy nedochází k rozmnožování softwaru a kdy software není instalován na zařízeních uživatele, pomíjí přitom dle názoru zadavatele skutečnost, že výčet způsobů užívání podle § 12 autorského zákona je toliko demonstrativní, a nelze proto dle zadavatele vyloučit, že v případě sporu by i užívání díla způsobem podle modelu SaaS, tak jak jej chápe navrhovatel, bylo rozhodujícím orgánem posouzeno jako užití díla ve smyslu § 12 autorského zákona. Zadavatel shrnuje, že v případě počítačových programů je doposud judikatorně neřešenou otázkou, zda dochází k jejich tzv. konzumaci, neboť při jejich běhu vznikají různé fragmenty ukládané jako dočasné soubory či do operační paměti koncového zařízení a zobrazované na zobrazovacím zařízení, přičemž navíc uživatel se softwarem aktivně interaguje, což dle názoru zadavatele doktrína jednoznačně považuje za užití díla. Podle zadavatele dále pak i sama aplikace ustanovení smlouvy o poskytování digitálního obsahu na každý případ plnění SaaS nevylučuje zároveň nutnost poskytnutí licence ve smyslu, jak ji chápe navrhovatel, o čemž konkrétně pojednává ustanovení § 2389a odst. 2 občanského zákoníku, dle kterého platí, že vyžaduje-li užívání digitálního obsahu oprávnění k výkonu práva duševního vlastnictví, použijí se také příslušná ustanovení o licenci.

33.        Zadavatel výše uvedené shrnuje tak, že navrhovatel dle jeho názoru zcela účelově a na základě čistě subjektivních úvah a vlastních domněnek uměle konstruuje nenaplnění zadávacích podmínek zadavatele vybraným dodavatelem, nadto zadávací podmínky subjektivně a po svém vykládá co do jejich skutečného obsahu a současně údajně ze znalostí a zkušeností z relevantního trhu předpokládá podrobnosti budoucího plnění vybraným dodavatelem.

34.        Zadavatel má tak zato, že při posuzování nabídky vybraného dodavatele a následném rozhodnutí o výběru tohoto dodavatele postupoval v souladu se zákonem a rovněž, že o námitkách navrhovatele rozhodl v souladu s ustanovením § 245 zákona.

Další průběh správního řízení

35.        Usnesením ze dne 28. 1. 2025 Úřad určil zadavateli lhůtu k podání informace o dalších úkonech, které zadavatel provede v šetřeném zadávacím řízení v průběhu správního řízení, a zaslání příslušné dokumentace o zadávacím řízení ve smyslu § 216 odst. 1 zákona pořízené v souvislosti s provedenými úkony.

36.        Dne 3. 2. 2025 doručil Úřadu vybraný dodavatel své vyjádření k návrhu z téhož dne (dále jen „vyjádření vybraného dodavatele k návrhu“). Vybraný dodavatel ve svém vyjádření k návrhu uvedl ve vztahu ke splnění mandatorního požadavku „Offline detekce a reakce“, že tvrzení, dle kterého v případě, když je zařízení offline, není zajištěna jeho plnohodnotná ochrana, je jen chybným závěrem navrhovatele. Vybraný dodavatel přitom uvádí, že systém Crowdstrike poskytuje nezávislou ochranu na daném zařízení i v případě, pokud je endpoint bez napojení do centrální konzole. Centrální konzole přitom funguje primárně jako správa a přehled o senzorech a detekcích, přičemž po zapojení zpět do konzole jsou všechna data odeslána zpět do centrálního managementu. Crowdstrike agent přitom podle vybraného dodavatele tuto techniku průběžně doplňuje o tzv. Indikátory kompromitace, které jsou získávány ve formě updatů. Krátkodobá nedostupnost aktualizací však dle názoru vybraného dodavatele výrazně nesnižuje účinnost ochrany poskytované systémem Crowdstrike. I v případě, kdy není sensor po dobu několika dní aktualizován, si totiž dle vybraného dodavatele nadále zachovává vysokou detekční a prevenční schopnost ve vztahu k hrozbám známým před jeho poslední aktualizací, přičemž je ale s vysokou pravděpodobností schopen detekovat i hrozbu nově vzniklou, pro kterou doposud nebyl aktualizován, pokud taková hrozba vykazuje nestandardní chování podobné chování již naučených hrozeb. Vybraný dodavatel přitom zdůrazňuje, že senzor k samotnému zásahu proti potenciální hrozbě nečeká na pokyn či schválení centrální konzole, ale zasahuje samostatně dle pravidel, která má aktuálně přikázaná. Vybraný dodavatel dále upřesňuje, že systém Crowdstrike používá několik tzv. Machine Learning modelů pro on-device detekci a prevenci neznámých hrozeb, a podle rozdělení systému ochrany koncových zařízení předložených v návrhu navrhovatelem by tak spíše měl spadat do kategorie systémů fungujících na základě umělé inteligence. Moderní EDR systémy přitom podle vybraného dodavatele využívají aktualizace na nové hrozby zcela běžně. Podle názoru vybraného dodavatele by přitom technické řešení, kdy by byl systém ochrany dlouhodobě v režimu offline, stanovené zadávací podmínky nesplňovalo. Vybraný dodavatel zároveň zdůrazňuje, že i po dobu, kdy je Falcon senzor off-line, provádí nadále nepřetržitě detekci hrozeb. Mezi chováním senzoru v offline a online režimu tak není rozdíl co do způsobu, rychlosti ani rozsahu reakce na detekovaný vzorec vadného chování u chráněného zařízení. Z výše uvedených důvodů se vybraný dodavatel domnívá, že ve své nabídce zcela naplnil zadávací podmínku plnohodnotné offline detekce a reakce.

37.        Dále ve vztahu k otázce splnění stanovených smluvních podmínek týkajících se licenčního ujednání považuje vybraný dodavatel za nezbytné uvést, že dle jeho názoru i v rámci SaaS modelů dochází k užívání počítačových programů a uděluje se licence stejně jako u jiného softwaru, přičemž udělení práv nezbytných k užívání modelu SaaS je standardně součástí předmětu innominátní smlouvy pro poskytování SaaS. Přestože pak v takových případech dle vybraného dodavatele nemá zákazník rozmnoženinu počítačových programů ve své výhradní diskreci, plní pro něj model SaaS stejné funkce a má zcela stejný význam, jako by daná rozmnoženina programů v SaaS běžela na jeho vlastní infrastruktuře. Vybraný dodavatel má pak rovněž za to, že majetkové právo užít autorské dílo ve smyslu § 12 autorského zákona není nijak limitováno, resp. podmíněno nutností užívat kopie díla. Přestože podle vybraného dodavatele není způsob užívání ve smyslu modelu SaaS výslovně zmíněn ve výčtu způsobů užití autorského díla ve smyslu § 12 autorského zákona, nelze to dle něj považovat za překážku, neboť tento výčet má jednoznačně demonstrativní charakter. Vybraný dodavatel zároveň poukazuje na znění odst. 5 uvedeného ustanovení, dle kterého lze dílo užít i jiným způsobem než způsoby uvedenými v odstavci 4. Vybraný dodavatel dále upozorňuje na definici licence uvedenou v ustanovení § 2358 občanského zákoníku, které popisuje licenci jako oprávnění k výkonu práva duševního vlastnictví v ujednaném omezeném nebo neomezeném rozsahu. S ohledem na výše uvedené se vybraný dodavatel domnívá, že jeho nabídka v plném rozsahu splňuje zadávací podmínky veřejné zakázky, a to včetně požadavku článku VIII návrhu smlouvy na veřejnou zakázku.             

38.        Usnesením ze dne 19. 2. 2025 stanovil Úřad účastníkům správního řízení lhůtu, v níž se mohli vyjádřit k podkladům rozhodnut.

39.        Navrhovatel dne 27. 2. 2025 doručil Úřadu své vyjádření k podkladům rozhodnutí. Navrhovatel předně uvádí, že zadavatel uvedl svůj výklad sporného požadavku na funkcionalitu „Offline detekce a reakce“ teprve až v rámci svého vyjádření se k návrhu. Navrhovatel přitom uvádí, že výklad zadavatele, dle kterého pro splnění dané podmínky postačuje schopnost autonomního rozhodování, neodpovídá skutečnosti, neboť schopnost autonomního rozhodování dle názoru navrhovatele neznamená, že koncové zařízení bude skutečně plnohodnotně chráněno. Navrhovatel nadto zdůrazňuje, že tento nový výklad uvedeného požadavku předložený zadavatelem činí jeho dřívější rozhodnutí o námitkách nepřezkoumatelným, neboť zadavatel byl povinen řádně vypořádat námitky a argumenty navrhovatele již v rozhodnutí o námitkách. Navrhovatel rovněž opětovně vyzývá Úřad k provedení jím již v návrhu požadovaného průzkumu trhu, přičemž setrvává na tom, že právě provedení průzkumu trhu je zásadní pro stanovení jednoznačné odpovědi na to, zda systém Crowdstrike poskytuje v rámci offline detekce a reakce plnohodnotnou ochranu. Závěrem svého vyjádření navrhovatel opakovaně shrnuje, že zajištění aktualizací je pro funkčnost systému Crowdstrike a plnohodnotnou ochranu koncových zařízení zcela zásadní, přičemž v případě, kdy budou koncová zařízení v režimu offline, tak tyto aktualizace neproběhnou, a nebude tak zajištěna jejich plnohodnotná ochrana. Navrhovatel je tak nadále přesvědčen, že byl výběr vybraného dodavatele proveden nezákonně, a navrhuje proto, aby Úřad rozhodnutí o výběru vybraného dodavatele zrušil.    

40.        Zadavatel a vybraný dodavatel svá vyjádření k podkladům rozhodnutí Úřadu ve stanovené lhůtě (ani později) nedoručili. 

IV.        ZÁVĚRY ÚŘADU

41.        Úřad přezkoumal na základě § 248 a následujících ustanovení zákona případ ve všech vzájemných souvislostech a po zhodnocení všech podkladů, zejména relevantních částí dokumentace o zadávacím řízení a vyjádření účastníků správního řízení rozhodl o zamítnutí návrhu navrhovatele, neboť nebyly zjištěny důvody pro uložení nápravného opatření. Ke svému rozhodnutí Úřad uvádí následující rozhodné skutečnosti.

Relevantní ustanovení zákona a dalších právních předpisů

42.        Podle § 6 odst. 1 zákona musí zadavatel při postupu podle tohoto zákona dodržovat zásady transparentnosti a přiměřenosti.

43.        Podle § 37 odst. 1 písm. b) zákona může zadavatel stanovit podmínky účasti v zadávacím řízení jako technické podmínky vymezující předmět veřejné zakázky včetně podmínek nakládání s právy k průmyslovému nebo duševnímu vlastnictví vzniklými v souvislosti s plněním smlouvy na veřejnou zakázku.

44.        Podle § 48 odst. 2 písm. a) zákona zadavatel může vyloučit účastníka zadávacího řízení, pokud údaje, doklady, vzorky nebo modely předložené účastníkem zadávacího řízení nesplňují zadávací podmínky nebo je účastník zadávacího řízení ve stanovené lhůtě nedoložil.

45.        Podle § 245 odst. 1 zákona zadavatel do 15 dnů od doručení námitek odešle rozhodnutí o námitkách stěžovateli. V rozhodnutí uvede, zda námitkám vyhovuje nebo je odmítá; součástí rozhodnutí o odmítnutí námitek musí být odůvodnění, ve kterém se zadavatel podrobně a srozumitelně vyjádří ke všem skutečnostem uvedeným stěžovatelem v námitkách. Dojde-li k odmítnutí námitek podle odstavce 3 cit. ustanovení zákona, postačí odůvodnění ve vztahu ke splnění podmínek pro jejich odmítnutí. Pokud zadavatel námitkám vyhoví, sdělí v rozhodnutí současně, jaké provede opatření k nápravě.

46.        Podle § 263 odst. 5 zákona platí, že je-li rozhodnutí o námitkách, jímž byly námitky odmítnuty, učiněné v rozporu s § 245 odst. 3 zákona nebo je-li odůvodnění rozhodnutí o námitkách nepřezkoumatelné pro nesrozumitelnost nebo pro nedostatek důvodů, může Úřad uložit nápravné opatření spočívající toliko ve zrušení rozhodnutí o námitkách; v takovém případě platí, že okamžikem nabytí právní moci rozhodnutí Úřadu, kterým je toto nápravné opatření ukládáno, byly podány nové námitky s totožným obsahem. Tyto nové námitky nemůže zadavatel odmítnout jako opožděné.

47.        Podle § 265 písm. a) zákona Úřad návrh zamítne, pokud nebyly zjištěny důvody pro uložení nápravného opatření.

48.        Podle § 12 odst. 4 autorského zákona je právem dílo užít zejména:

a) právo na rozmnožování díla (§ 13 autorského zákona),

b) právo na rozšiřování originálu nebo rozmnoženiny díla (§ 14 autorského zákona),

c) právo na pronájem originálu nebo rozmnoženiny díla (§ 15 autorského zákona),

d) právo na půjčování originálu nebo rozmnoženiny díla (§ 16 autorského zákona),

e) právo na vystavování originálu nebo rozmnoženiny díla (§ 17 autorského zákona),

f) právo na sdělování díla veřejnosti (§ 18 autorského zákona), zejména

1.     právo na provozování díla živě nebo ze záznamu a právo na přenos provozování díla (§ 19 a 20 autorského zákona),

2.     právo na vysílání díla rozhlasem či televizí (§ 21 autorského zákona),

3.     právo na přenos rozhlasového či televizního vysílání díla (§ 22 autorského zákona),

4.     právo na provozování rozhlasového či televizního vysílání díla (§ 23 autorského zákona).

49.        Podle § 2358 odst. 1 občanského zákoníku licenční smlouvou poskytuje poskytovatel nabyvateli oprávnění k výkonu práva duševního vlastnictví (licenci) v ujednaném omezeném nebo neomezeném rozsahu a nabyvatel se zavazuje, není-li ujednáno jinak, poskytnout poskytovateli odměnu.

50.        Podle § 2389a odst. 1 občanského zákoníku se smlouvou o poskytování digitálního obsahu poskytovatel zavazuje zpřístupnit uživateli věc v digitální podobě (digitální obsah) k užívání pro vlastní potřebu a uživatel se zavazuje platit za to odměnu.

Skutečnosti vyplývající z dokumentace o zadávacím řízení

51.        V článku 4. „Obchodní a platební podmínky“ zadávací dokumentace je uvedeno následující:

Obchodní podmínky včetně platebních podmínek jsou obsaženy v návrhu smlouvy, který tvoří přílohu č. 1 ZD.

Tento návrh smlouvy je pro dodavatele závazný, přičemž dodavatel do návrhu smlouvy doplní pouze zadavatelem požadované (žlutě označené) údaje, ostatní náležitosti není oprávněn jakkoli měnit.“. 

52.        V článku II „Průběh plnění“ návrhu smlouvy o dodávce, implementaci a údržbě systému ochrany koncových zařízení (EPP/EDR), která tvoří přílohu č. 1 zadávací dokumentace (dále jen „návrh smlouvy na veřejnou zakázku“), je uvedeno mj. následující:

Plnění podle čl. I odst. 1 této smlouvy bude realizováno v jednotlivých etapách, přičemž plnění realizovaná v těchto etapách budou předmětem akceptací podle tohoto článku a článku IV této smlouvy. Realizace jednotlivých etap bude probíhat takto:

Etapa 1 – Ověření přítomnosti deklarovaných technických vlastností

Dodavatel v referenčním prostředí dodavatele prokáže, že nabízený systém obsahuje všechny vlastnosti uvedené v příloze č. 2 této smlouvy.“.

(…)

Etapa 3 – Kompletní dodávka součástí systému (HW, SW, licence), jejich instalace, konfigurace a implementace v systémovém prostředí zadavatele dle harmonogramu vypracovaného v realizační studii

V této etapě dojde k postupnému, kompletnímu zprovoznění díla v infrastruktuře zadavatele. Kompletní Etapa 3 v sobě zahrnuje nejméně následující činnosti:

(…)

b) instalaci potřebného SW managementu a řádné zalicencování všech komponent,

(…)

Krok 1

(…)

Po zprovoznění a zpřístupnění managementu provede zadavatel vyhodnocení nastavení díla. V případě, že je zadavatelem identifikovaný vážný nedostatek systému, tj. nedostatek bránící užívání díla, mající vliv na stabilitu chráněného systému nebo spočívající v selhání ochranných funkcí, dodavatel je povinen do 5 pracovní dnů upravit nastavení systému tak, aby dílo mohlo být použitelné v souladu s požadavky stanovenými v této smlouvě. V případě potřeby poskytnou pověřené osoby zadavatele k tomu nezbytnou součinnost. Možnost případného dodatečného nastavení systému dostane dodavatel dvakrát, tudíž má ve výsledku 3 pokusy na nastavení díla tak, aby odpovídalo požadavkům stanoveným v této smlouvě.

V případě, že dodavatel není schopný vážné nedostatky odstranit, je zadavatel oprávněn od smlouvy odstoupit dle čl. XIII odst. 5 písm. f) a požadovat po dodavateli smluvní pokutu dle čl. XI odst. 7.

(…)

V případě, že je dílo nastaveno tak, že odpovídá požadavkům stanoveným v této smlouvě, s výjimkou drobných vad, potvrdí pověřená osoba zadavatele pověřené osobě dodavatele
e-mailovou zprávou akceptaci Kroku 1. Toto potvrzení zároveň slouží jako pokyn pro přechod ke Kroku 2.“.

53.        V odst. 1 článku VIII „Licenční ujednání“ návrhu smlouvy na veřejnou zakázku je uvedeno následující:

Dodavatel poskytuje po dobu trvání této smlouvy zadavateli nevýhradní, nepřevoditelné, nedělitelné a teritoriálně neomezené oprávnění k výkonu práva užívat programové prostředky dodané dle této smlouvy a dle účelu této smlouvy. Právo užívání programových prostředků přechází na zadavatele dnem jejich instalace/implementace v místě plnění a předáním účtu správce vzdáleného management tenantu zadavatele.“.

54.        V odst. 7 článku XI. „Smluvní pokuty, úrok z prodlení“ návrhu smlouvy na veřejnou zakázku je uvedeno následující:

V případě zjištění, že dodané dílo nesplňuje jakýkoliv technický požadavek zadavatele dle přílohy č. 2 této smlouvy, je zadavatel oprávněn požadovat smluvní pokutu ve výši 150 000 Kč za každý zjištěný případ.“.

55.        V článku XIII „Doba trvání smlouvy, výpověď, odstoupení od smlouvy“ návrhu smlouvy o dílo je mj. uvedeno následující:

„4. Poruší-li kterákoliv strana podstatným způsobem závazky vyplývající z této smlouvy, má druhá strana právo odstoupit od smlouvy, a to i v části, prostřednictvím písemného odstoupení. Takové odstoupení bude platné a nabude účinnosti dnem jeho doručení druhé smluvní straně. (…).

5. Za podstatné porušení smlouvy strany považují zejména tyto případy:

– ze strany dodavatele:

a)     dodaný HW nebo SW nebude splňovat veškeré požadavky zadavatele uvedené v příloze č. 2 této smlouvy, (…).“

56.        V dokumentu „Technické požadavky zadavatele“, který tvoří přílohu č. 2 návrhu smlouvy na veřejnou zakázku (dále jen „Technické požadavky“), jsou mj. uvedeny následující mandatorní požadavky:

„Funkcionalita endpointu

Popis funkce

Požadované funkční vlastnosti

Splňuje řešení?

Behaviorální analýza

Pomocí algoritmů strojového [u]čení detekuje a blokuje nebezpečné a podezřelé chování součástí operačního systému, zejména spouštěných souborů, služeb nebo procesů, přístupu k operační paměti, zápisy do souborů a registrů systému, pokusy o exploitaci nebo zlovolné využití legitimních součástí operačního systému.

 

ANO

Offline detekce a reakce

Schopnost plnohodnotné ochrany koncového zařízení v případě, kdy agentní software není ve spojení s centrálním managementem.

 

ANO“

57.        Nabídka vybraného dodavatele obsahuje návrh smlouvy na veřejnou zakázku podepsaný vybraným dodavatelem.

Právní posouzení

58.        Úřad konstatuje, že návrh směřuje proti rozhodnutí o výběru a dále proti rozhodnutí o námitkách. Předmětem vedeného správního řízení je tak posouzení toho, zda zadavatel při rozhodování o výběru dodavatele, resp. následně při odmítání námitek proti rozhodnutí o výběru porušil zákon, v důsledku čehož by bylo nezbytné přijmout nápravné opatření spočívající ve zrušení rozhodnutí o výběru, resp. rozhodnutí o námitkách.

K mandatornímu požadavku „Offline detekce a reakce“

59.        Návrh předně zpochybňuje rozhodnutí o výběru vybraného dodavatele z důvodu údajného nesplnění mandatorního požadavku zadavatele na funkcionalitu endpointu „offline detekce a reakce“ technického řešení systému ochrany koncových zařízení nabízeného vybraným dodavatelem.    

60.        Tvrzení navrhovatele je založeno na předpokladu, že vybraný dodavatel hodlá plnit předmět veřejné zakázky prostřednictvím systému Crowdstrike. Navrhovatel přitom uvádí, že funkčnost systému Crowdstrike je závislá na pravidelných aktualizacích databáze hrozeb, ke kterým v praxi může docházet až 10krát či 12krát denně, a pro jejichž řádnou instalaci je nutné, aby byla chráněná koncová zařízení dostupná v režimu online. S ohledem na uvedené pak dle názoru navrhovatele není splněna zadavatelem požadovaná podmínka plnohodnotné ochrany koncového zařízení v případě, kdy agentní software není ve spojení s centrálním managementem. Navrhovatel rovněž uvádí, že obecně lze systémy ochrany koncových zařízení dostupné na relevantním trhu rozdělit do dvou skupin, a to na skupinu využívající pro detekci hrozeb mechanismy strojového učení a umělé inteligence, a dále pak na skupinu, do které navrhovatel zařazuje rovněž systém Crowdstrike, která provádí detekci hrozeb právě na základě údajů dostupných v pravidelně aktualizované databázi. Navrhovatel má přitom za to, že požadavek zadávacích podmínek na plnohodnotnou ochranu koncových zařízení v podstatě nemůže být splněn systémem závislým na pravidelných aktualizacích, neboť právě pro tyto aktualizace je nutné zajistit připojení koncových zařízení k internetu.      

61.        Zadavatel nezpochybňuje, že vybraný dodavatel skutečně ve své nabídce předložil systém ochrany koncových zařízeních založený na systému Crowdstrike, a rovněž ani to, že systém Crowdstrike skutečně podléhá aktualizacím, které vyžadují online připojení k internetu. Zadavatel má nicméně za to, že jím stanovená předmětná podmínka neměla za cíl obecně vyloučit z plnění veřejné zakázky systémy založené na pravidelných aktualizacích, nýbrž pouze zajistit to, aby byl agentní software nabízeného systému schopen zasahovat sám podle aktuálně jemu dostupných informací bez toho, aby přitom podléhal případnému schvalování jemu nadřízeného managementu. Zadavatel dále upřesnil, že žádným způsobem neomezil či nezakázal využívání pravidelných aktualizací. Zadavatel rovněž poukázal na to, že i systém Crowdstrike částečně využívá mechanismu strojového učení a spadá tak dle uvedeného rozdělení provedeného navrhovatelem spíše do skupiny systémů fungujících na bázi umělé inteligence, což přitom ostatně rovněž vyplývá i ze stanovených mandatorních požadavků. 

62.        Úřad konstatuje, že podstatou projednávaného sporu je odlišný výklad pojmu „plnohodnotná ochrana“ koncových zařízení účastníků správního řízení. Navrhovatel uvedenou podmínku vykládá tak, že nabízený systém ochrany koncového zařízení nesmí být žádným způsobem závislým na online komunikaci s nadřazeným softwarem, např. z důvodu stahování nejnovějších aktualizací databáze hrozeb, neboť již situaci, kdy, byť jen krátkodobě, systém ochrany koncových zařízení založený na pravidelných aktualizacích nedisponuje nejnovější aktualizací databáze, považuje za nesplnění požadavku plnohodnotné ochrany. Zadavatel naproti tomu již v rozhodnutí o námitkách uvedl, že jím požadovaná schopnost plnohodnotné ochrany koncového zařízení v případě, kdy agentní software není ve spojení s centrálním managementem, může být dostatečným způsobem zajištěna rovněž prostřednictvím posledně online načtené politiky agentem na koncovém zařízení, přičemž k doplnění nejnovějších aktualizací následně opětovně dojde po přechodu do stavu online.

63.        Úřad výše uvedené shrnuje tak, že v zásadě se názor navrhovatele a zadavatele, resp. vybraného dodavatele liší v tom, zda stanovená zadávací podmínka na funkcionalitu endpointu „offline detekce a reakce“, která byla zadavatelem v zadávacích podmínkách formulována jako „[s]chopnost plnohodnotné ochrany koncového zařízení v případě, kdy agentní software není ve spojení s centrálním managementem“, je splněna i v případě, kdy nabízené technické řešení spoléhá při své funkčnosti rovněž na pravidelné aktualizace zajišťované nadřízeným softwarem (např. ve sféře výrobce daného technického řešení), pro jejichž řádnou instalaci musí být koncová zařízení, pro jejichž ochranu dané technické řešení slouží, v režimu online. 

64.        Podle názoru Úřadu by výklad sporné zadávací podmínky předložený navrhovatelem pravděpodobně vedl ke značně striktnímu omezení hospodářské soutěže, které by přitom nejspíše nebylo vedeno žádným objektivním cílem. Ač se totiž může navrhovatelem předložená teze o tom, že systém ochrany koncového zařízení může dosahovat skutečně plnohodnotné, resp. úplné úrovně ochrany právě pouze v okamžiku, kdy je plně aktualizován, jevit jako logická, v praxi nejspíše nebude možné určit, do jaké míry se zhorší úroveň poskytované ochrany např. v případě, kdy koncové zařízení je po dobu např. několika hodin v režimu offline. Když by přitom Úřad řešil právě oprávněnost takto vykládané zadávací podmínky z hlediska odůvodněnosti omezení hospodářské soutěže, byl by to pak právě zadavatel, kdo by musel ustát důkazní břemeno, proč k takové omezující podmínce přikročil a zda jím stanovený účel je tomuto omezení soutěže proporcionální. Vedle toho naopak výklad sporné zadávací podmínky předložený zadavatelem dává smysl jak z hlediska soutěžního, kdy takto vykládaná podmínka zjevně umožňuje účast v zadávacím řízení dodavatelům nabízejícím oba výše naznačené druhy systémů ochrany koncových zařízení zadavatele, tak věcného, neboť podle názoru Úřadu je při přechodu do offline režimu ochrana koncových zařízení zajištěna i na základě poslední nahrané aktualizace (přičemž významná část myslitelných hrozeb pochází právě z online prostředí). Nelze přitom ani uzavřít, že by takový „mírnější“, lépe však řečeno „racionální“ výklad byl v rozporu s jejím zněním.

65.        Pro úplnost Úřad doplňuje, že navrhovatel přitom obecně způsob ochrany koncových zařízení prostřednictvím poslední nahrané aktualizace nezpochybňuje. Mezi stranami sporu tak není pochyb o tom, zda k tomuto způsobu ochrany obecně v případě technického řešení nabízeného vybraným dodavatelem skutečně dochází. Spor je veden pouze v otázce, zdali jde i v tomto případě o zadavatelem požadovanou „plnohodnotnou“ ochranu. Úřad má za to, že tomu tak je – ochrana bude zajištěna na totožné úrovni jako v okamžiku, kdy k odpojení došlo. 

66.        Pokud navrhovatel vycházel z velmi přísné interpretace předmětné zadávací podmínky (která se ve svém důsledku vlastně i z laického pohledu jeví až absurdní, a proto nesprávná, protože by vylučovala jakékoli řešení postavené nejen na pravidelných aktualizacích, ale na jakékoli on-line vzájemné komunikaci), bylo to jeho rizikem. Navrhovatel (resp. ani žádný jiný dodavatel) přitom nevyužil svého práva požádat o vysvětlení zadávací dokumentace, na základě kterého by mohl ještě před podáním nabídek konfrontovat zadavatele se svým výkladem sporné podmínky, která se nepochybně i jemu samotnému musela jevit velmi přísná.

67.        Ve vztahu k naplnění uvedené podmínky je pak dle Úřadu nutné uvést, že skutečné vlastnosti technického řešení nabízeného zadavateli vybraným dodavatelem bude zadavatel reálně schopen hodnotit v souvislosti se samotnou realizační fází veřejné zakázky, kdy dojde k nasazení systému ochrany koncových zařízení do sítě zadavatele. K tomu Úřad doplňuje, že zadavatel stanovil ve smlouvě podrobný mechanismus ověření, zda dodávané plnění odpovídá požadavkům zadavatele, a je tak schopný případné vady plnění na straně vybraného dodavatele korigovat. Vybraný dodavatel přitom ve své nabídce předložil jím podepsaný návrh smlouvy na veřejnou zakázku včetně vymezení mandatorních požadavků zadavatele, a zadavatel tak v tomto okamžiku oprávněně jedná v dobré víře, když očekává její řádné plnění.

68.        S ohledem na výše uvedené má Úřad za to, že námitky navrhovatele ve vztahu k naplnění požadavku na funkcionalitu endpointu nutně nemusely v zadavateli vyvolat podezření, že plnění nabízené vybraným dodavatelem neodpovídá požadavkům zadávací dokumentace, a to jednak proto, že námitky navrhovatele vycházely z odlišné interpretace předmětné zadávací podmínky (jinými slovy, když navrhovatel upozornil zadavatele, že technické řešení vybraného dodavatele bude mít přístup k nejnovějším aktualizacím pouze v režimu online, nemuselo toto upozornění vyvolat v zadavateli podezření, že by nabízené plnění z tohoto důvodu nesplňovalo stanovené zadávací podmínky) a rovněž pak s ohledem na to, že vzhledem k aktuální fázi zadávacího řízení měl zadavatel dostatečným způsobem ověřeno, že plnění nabízené vybraným dodavatelem jím stanovené podmínky splňuje.    

69.        Ve vztahu k navrhovatelem předloženému rozdělení systémů ochrany koncových zařízení pak Úřad poukazuje na to, že mandatorním požadavkem zadavatele na funkcionalitu endpointu byl rovněž požadavek na tzv. behaviorální analýzu, která dle svého vymezení v zadávacích podmínkách (dodávaný systém dle uvedeného požadavku „[p]omocí algoritmů strojového [u]čení detekuje a blokuje nebezpečné a podezřelé chování součástí operačního systému, zejména spouštěných souborů, služeb nebo procesů, přístupu k operační paměti, zápisy do souborů a registrů systému, pokusy o exploitaci nebo zlovolné využití legitimních součástí operačního systému“) nepochybně splňuje navrhovatelem uváděné parametry systémů fungujících na bázi umělé inteligence. Navrhovatel přitom tuto uváděnou funkcionalitu technického řešení vybraného dodavatele nerozporoval ani v námitkách, ani později v návrhu. Z předkládaného rozdělení typů systémů tak podle Úřadu nelze vyvozovat, že pokud systém ochrany koncového zařízení vybraného dodavatele obsahuje klíčové znaky systému založených na pravidelných aktualizacích, znamená to zároveň, že nevyužívá rovněž funkčních prvků systému na bázi umělé inteligence. Podle názoru Úřadu přitom i z uvedených zadávacích podmínek, které tak dle výkladu zadavatele zjevně požadují určité prvky systému na bázi umělé inteligence a zároveň provádění aktualizací, vyplývá, že v praxi bude nejspíše docházet ke kombinaci jím uvedených typů technických řešení.

70.        Ve vztahu k navrhovatelem v návrhu, a popř. pak i zadavatelem v jeho vyjádření k návrhu, uváděným videozáznamům a dalším tvrzením třetích osob pak Úřad obecně uvádí, že o tvrzeních, kterými navrhovatel i zadavatel svá vyjádření podporují, v podstatě není sporu. Navrhovatel prostřednictvím v návrhu předložených odkazech měl v úmyslu prokázat, že systém Crowdstrike využívá pravidelné aktualizace a že jsou tyto aktualizace důležité pro jeho fungování, což zadavatel v zásadě v rámci vedeného správního řízení nezpochybňuje. Jak již bylo uvedeno výše, jádrem sporu mezi zadavatelem a navrhovatelem je zde spíše rozdílnost pohledu na výklad podmínky „plnohodnotné ochrany“ systému. Rovněž pak tvrzení zadavatele, resp. vybraného dodavatele, že systém Crowdstrike je schopný zajišťovat ochranu koncových zařízení v režimu offline prostřednictvím poslední načtené aktualizace, je skutečnost, kterou v zásadě navrhovatel nezpochybňuje. I zde přitom platí, že obě strany sporu přikládají uvedenému mechanismu zásadně opačné hodnocení z hlediska toho, zdali se jedná o splnění požadavku na „plnohodnotnou“ ochranu. Pro úplnost Úřad uvádí, že účastníci správního řízení uváděné videozáznamy, popř. jiná vyjádření třetích osob dostupná na internetu ve svých přípisech výslovně neoznačili za důkazy určené k projednání ve správním řízením. S ohledem na výše uvedené Úřad nepovažuje za potřebné se výše uvedenými videozáznamy a tvrzeními třetích stran důkladněji zabývat, neboť jejich provedení coby důkazů by nemohlo přispět k lepšímu zjištění skutkového stavu (jejich prostřednictvím by byly toliko dokazovány skutečnosti, které nejsou mezi stranami sporné a o nichž ani Úřad nemá pochybnosti).      

71.        Úřad dále uvádí, že nepřehlédl, že navrhovatel v rámci správního řízení navrhnul provedení průzkumu trhu, ve kterém by se Úřad obrátil na dodavatele systémů ochrany koncových zařízení s dotazem, zda je dle jejich názoru v případě systémů postavených na bázi neustálých aktualizací splněna zadavatelem definovaná funkcionalita „Offline detekce a reakce“ a dále pak, zda by jim tento požadavek zabránil podat nabídku do zadávacího řízení na veřejnou zakázku. Úřad přitom uvádí, že k požadovanému průzkumu trhu nepřikročil, a to z následujících důvodů. Předně platí, že předmětem vedeného správního řízení není přezkum stanovených zadávacích podmínek z hlediska možného omezujícího účinku. V této souvislosti Úřad doplňuje, že pokud měl navrhovatel či jiný dodavatel na relevantním trhu v úmyslu zpochybnit stanovení zadávacích podmínek z důvodu jejich diskriminační povahy, nebo např. z důvodu údajné nejednoznačnosti zadávacích podmínek, měl proti zadávacím podmínkám podat včasné námitky ve lhůtě podle § 242 odst. 4 zákona, tedy nejpozději do skončení lhůty pro podání nabídek. Ve vztahu k navrhované otázce, zda je požadovaná podmínka zadavatele na funkcionalitu „Offline detekce a reakce“ splnitelná rovněž v případě systému fungujícího na bázi pravidelných aktualizací databáze hrozeb, pak Úřad doplňuje, že klíčové pro posouzení podstaty sporu mezi navrhovatelem a zadavatelem je postup zadavatele při posouzení splnění stanovených technických podmínek jednoho konkrétního systému ochrany koncových zařízení, resp. to, zda podané námitky navrhovatele měly v zadavateli vyvolat potřebu toto posouzení přezkoumat. Pro přezkoumání uvedeného postupu zadavatele, tedy převážně pro posouzení toho, zda konkrétní nabízené technické řešení odpovídá předmětné zadávací podmínce, by tak případné názory dodavatelů na relevantním trhu na spíše obecnou otázku formulovanou navrhovatelem nebyly nijak relevantní. O racionálním (a z toho důvodu jediném možném) výkladu předmětné zadávací podmínky nemá Úřad pochybnosti. Jak již přitom bylo výše uvedeno, technické řešení vybraného dodavatele kombinuje systém na bázi pravidelných aktualizací se systémem na bázi umělé inteligence a strojového učení, přičemž rovněž z tohoto důvodu by šetření navrhovatelem vzneseného dotazu na relevantním trhu nebylo pro řešení podstaty projednávaného případu relevantní.

K požadavku zadavatele na licenční ujednání

72.        Navrhovatel má dále dle podaného návrhu, resp. dříve podaných námitek za to, že nabídka vybraného dodavatele nesplňuje stanovené zadávací podmínky rovněž z důvodu nesplnění požadavků zadavatele na poskytnutí licence uvedených v článku VIII odst. 1 návrhu smlouvy na veřejnou zakázku. Navrhovatel konstatuje, že v předmětném ustanovení návrhu smlouvy je stanoveno, že dodavatel poskytuje po dobu trvání této smlouvy zadavateli nevýhradní, nepřevoditelné, nedělitelné a teritoriálně neomezené oprávnění k výkonu práva užívat programové prostředky dodané dle této smlouvy a dle účelu této smlouvy. Navrhovatel přitom s ohledem na své znalosti a zkušenosti z relevantního trhu na poli systémů ochrany koncových zařízení upozorňuje, že vybraný dodavatel své řešení pro ochranu koncových zařízení založené na základě systému Crodwstrike obvykle realizuje v rámci modelu SaaS. Navrhovatel má zato, že právě prostřednictvím modelu SaaS nedojde k naplnění zadavatelem požadovaného licenčního ujednání. Navrhovatel doplňuje, že model SaaS obecně představuje distribuční cloudový model, kdy poskytovatel umožňuje pronájem již jednou vytvořené aplikace. Navrhovatel dále konstatuje, že v důsledku uvedeného charakteru modelu SaaS tedy obecně nedochází k užívání softwaru ve smyslu § 12 autorského zákona, resp. že nedochází k rozmnožování softwaru, přičemž software není instalován na zařízeních uživatele a veškeré fungování, zabezpečení a správu softwaru zajišťuje přímo poskytovatel. Uživatel softwaru poskytovaného prostřednictvím modelu SaaS tak dle navrhovatele obecně nenabývá licenci k tomuto softwaru, ale místo toho poskytovateli pouze platí sjednané předplatné za umožnění přístupu k softwaru, resp. za oprávnění užívat výstupy z tohoto softwaru. Navrhovatel výše uvedené shrnuje tak, že v případě modelu SaaS zadavatel nezíská jakékoliv oprávnění k výkonu práva užívat programové prostředky, jelikož vybraný dodavatel pouze zadavateli nabízí službu související se systémem, nikoliv samotné oprávnění k užití systému. Vzhledem k výše uvedenému pak podle názoru navrhovatele nabídka vybraného dodavatele nesplňuje zadávací podmínky veřejné zakázky a vybraný dodavatel tak měl být zadavatelem v souladu s § 48 odst. 2 písm. a) zákona vyloučen ze zadávacího řízení.

73.        K uvedenému tvrzení navrhovatele konstatuje Úřad následující.

74.        Zadavatel v článku 4. „Obchodní a platební podmínky“ zadávací dokumentaci stanovil, že návrh smlouvy na veřejnou zakázku tvořící přílohu č. 1 zadávací dokumentace je pro dodavatele závazný, přičemž dodavatelé nejsou oprávněni (s výjimkou zvlášť označených údajů) tyto smluvní podmínky jakkoliv měnit. Součástí takto stanovených závazných smluvních podmínek je rovněž článek VIII „Licenční ujednání“, včetně navrhovatelem zpochybňovaného odst. 1 tohoto článku. Pro úplnost Úřad dodává, že předmětné ustanovení článku VIII odst. 1 návrhu smlouvy nebylo určeno k provádění jakýchkoliv doplnění či změn ze strany dodavatelů. Obsahem samotného odstavce 1 článku VIII návrhu smlouvy je pak poskytnutí nevýhradního, nepřevoditelného, nedělitelného a teritoriálně neomezeného oprávnění k výkonu práva užívat programové prostředky dodané dle této smlouvy a dle účelu této smlouvy dodavatelem ve prospěch zadavatele.

75.        Z dokumentace o zadávacím řízení pak jednoznačně vyplývá, že vybraný dodavatel ve své nabídce předložil jím podepsaný návrh smlouvy na veřejnou zakázku. Návrh smlouvy podepsaný vybraným dodavatelem obsahoval nezměněné znění článku VIII „Licenční ujednání“, a to včetně odstavce 1 uvedeného ustanovení smlouvy.

76.        S ohledem na výše uvedené tak má Úřad za nezpochybnitelné, že se vybraný dodavatel podáním nabídky na veřejnou zakázku zcela a bezvýhradně podřídil licenčnímu ujednání předepsaného zadavatelem v návrhu smlouvy na veřejnou zakázku. 

77.        Úřad má přitom zato, že tvrzení navrhovatele o tom, že vybraný dodavatel „obvykle“ nabízí technické řešení v modelu SaaS, samo o sobě nemuselo v zadavateli vzbudit podezření, že se vybraný dodavatel chystá zadavateli požadované technické řešení nabídnout způsobem, který by nesplňoval zadavatelem stanovené požadavky na licenční ujednání. Zadavatel již v tomto okamžiku (tedy k okamžiku podání námitek navrhovatelem) měl k dispozici podepsaný návrh smlouvy vybraného dodavatele, dle kterého se vybraný dodavatel zavázal mimo jiné i k respektování zadavatelem stanoveného licenčního ujednání, a měl tak jednoznačnou indicii, že v případě plnění předmětu veřejné zakázky, tedy ve zcela konkrétní a jediné relevantní situaci, navrhovatel hodlá zadavatelem stanovené licenční podmínky respektovat.  

78.        Úřad k výše uvedenému doplňuje, že jedinou myslitelnou reakcí zadavatele, která by s ohledem na podané námitky zpochybňující naplnění licenčního ujednání ze strany vybraného dodavatele v šetřeném případě připadala v úvahu, by přitom bylo vyzvání vybraného dodavatele k vysvětlení nabídky, v rámci kterého by pak de facto zadavatel mohl vyzvat vybraného dodavatele, aby opětovně uvedl, že se skutečně cítí být vázán jím již v nabídce podaným a podepsaným návrhem smlouvy. Taková žádost o vysvětlení nabídky by přitom z pohledu Úřadu byla jednoznačně nadbytečná.  

79.        Pro úplnost Úřad uvádí, že návrh smlouvy na veřejnou zakázku obsahuje smluvní mechanismy, které brání tomu, aby byl předmět plnění veřejné zakázky předán a akceptován zadavatelem v případě, kdy předávané plnění neodpovídá požadovaným smluvním podmínkám. Úřad v této souvislosti poukazuje především na smluvní úpravu etapy 3 plnění smlouvy, v jejímž rámci má dojít k postupnému kompletnímu zprovoznění díla v infrastruktuře zadavatele. Jako součást uvedené etapy plnění smlouvy je přitom rovněž výslovně uváděna instalace potřebného software managementu a řádné zalicencování všech komponent. Zadavatel je přitom v rámci této etapy plnění oprávněn provést po zprovoznění a zpřístupnění managementu ve výše uvedeném smyslu vyhodnocení nastavení díla, přičemž v případě, kdy bude zadavatelem identifikovaný vážný nedostatek systému, kterým je podle návrhu smlouvy mimo jiné nedostatek bránící užívání díla (kterým by bezpochyby mohlo být právě nedodržení požadovaného licenčního ujednání), vzniká zadavateli právo na odstranění zjištěných nedostatků a následně pak případně rovněž právo na odstoupení od smlouvy a smluvní pokutu.     

K rozhodnutí zadavatele o námitkách

80.        Návrh dále míří proti způsobu vyřízení námitek podaných navrhovatelem, přičemž navrhovatel má za to, že se zadavatel v rozporu s § 245 odst. 1 zákona nevyjádřil podrobně a srozumitelně ke všem skutečnostem uvedeným v námitkách. Rozhodnutí o námitkách obsahuje dle názoru navrhovatele na mnoha místech pouze povrchní a obecná konstatování, namísto dostatečného věcného vypořádání jednotlivých námitek.

81.        S ohledem na tvrzení navrhovatele uvedené v návrhu přistoupil Úřad k posouzení toho, zda rozhodnutí o námitkách obstojí v testu zákonnosti ve smyslu § 245 odst. 1 zákona, tedy, zda se zadavatel v rozhodnutí o námitkách vyjádřil podrobně a srozumitelně ke všem skutečnostem tvrzeným v námitkách a zda je tak rozhodnutí o námitkách přezkoumatelné.

82.        V obecné rovině Úřad uvádí, že námitky jako procesní institut představují primární ochranu dodavatelů před nezákonným postupem zadavatele. Jsou-li námitky podány, je zadavatel povinen v rozhodnutí o nich uvést, zda námitkám vyhovuje nebo je odmítá, a své rozhodnutí odůvodnit v souladu se zásadou transparentnosti (§ 6 odst. 1 zákona) tak, aby bylo zpětně přezkoumatelné. Tato povinnost zadavatele, dovoditelná již ze samotných zásad zadávání veřejných zakázek, je v § 245 odst. 1 zákona zdůrazněna výslovným požadavkem, aby se zadavatel v rozhodnutí o námitkách podrobně a srozumitelně vyjádřil ke všem skutečnostem v nich uvedeným.

83.        Úřad v této souvislosti odkazuje na rozhodnutí předsedy Úřadu sp. zn. ÚOHS-R0205/2019/VZ č. j. ÚOHS-01903/2020/323/VVá ze dne 17. 1. 2020, v němž předseda Úřadu uvedl: „Opakuji tedy, že ač je samozřejmě po zadavateli nutno požadovat vyjádření ke všem navrhovatelovým námitkám, není účelem institutu námitek a rozhodnutí o nich, zahlcovat zadavatele rozsáhlými podáními, na jejichž každou větu by bylo nutné podrobně odpovídat. Takový postup by byl absurdní, zneužitelný a byl by v rozporu jak se smyslem institutu námitek, tak se zásadami zadávání veřejných zakázek.“.

84.        Úřad shrnuje, že navrhovatel předně zpochybňuje dostatečné vypořádání námitek, když zadavatel dle jeho mínění žádným způsobem nereagoval na tvrzení uvedené v námitkách ve vztahu k technickým vlastnostem systému Crowdstrike. Navrhovatel předně uvádí, že zadavatel se v rozhodnutí o námitkách nevyjádřil k tomu, zda skutečně vybraný dodavatel ve své nabídce na veřejnou zakázku nabídl řešení postavené na systému Crowdstrike. Navrhovatel má dále zato, že se zadavatel v rozhodnutí o námitkách vyjádřil zcela obecně a povrchně k popisovaným specifikům systému Crowdstrike, když pouze konstatoval, že schopnost plnohodnotné ochrany koncového zařízení v případě, kdy agentní software není ve spojení s centrálním managementem, je zajištěna pomocí posledně načtené politiky agentem koncového zařízení. Zadavatel se přitom dále dle názoru navrhovatele nijak nevypořádal s tvrzením, že pro funkčnost uvedeného systému je nutné, aby byl systém Crowdstrike 10 až 12krát denně aktualizován, a že bez těchto aktualizací systém neposkytuje koncovým zařízením plnohodnotnou ochranu. Navrhovatel má dále za to, že rozhodnutí o námitkách je nepřezkoumatelné rovněž z důvodu, že se v jeho odůvodnění zadavatel nedostatečně vypořádal s námitkami týkajícími se nesplnění smluvních podmínek týkajících se splnění požadavků zadavatele na licenční ujednání. Navrhovatel má přitom zato, že zadavatel v této souvislosti v rozhodnutí o námitkách uvedl pouze v obecném duchu, že požadavky zadavatele dle technické specifikace nezakazují cloudové řešení.   

85.        Úřad konstatuje, že zadavatel v odůvodnění svého rozhodnutí o námitkách uvedl poměrně obsáhlé odůvodnění odpovídající struktuře podaných námitek.

86.        Ve vztahu k námitkám týkajícím se systému Crowdstrike Úřad uvádí následující. Úřad předně nesouhlasí, že by rozhodnutí o námitkách bylo nepřezkoumatelné z důvodu, že v něm zadavatel jednoznačně nepotvrdil domněnku navrhovatele, že vybraný dodavatel ve své nabídce nabídl technické řešení postavené právě na systému Crowdstrike. Úřad přitom zdůrazňuje, že sám navrhovatel na základě odůvodnění rozhodnutí o výběru považuje za zcela jednoznačné, že vybraný dodavatel v rámci své nabídky nabízí řešení postavené právě na systému Crowdstrike. O tom pak ostatně svědčí sama skutečnost, že navrhovatel byl vůbec schopen podat námitky, resp. později návrh právě proti využití systému Crowdstrike. Jednoznačně tak přitom platí, že zadavatel tím, že výslovně nepotvrdil uvedenou domněnku navrhovatele (o které přitom navrhovatel již v námitkách žádným způsobem nepochybuje), nemohl navrhovatele jakkoliv omezit v možnostech podat proti postupu zadavatele opravné prostředky s náležitým odůvodněním. Úřad dále sděluje, že odůvodnění zadavatele ve vztahu k technickým specifikům systému Crowdstrike a s tím související námitku navrhovatele týkající se nesplnění požadované mandatorní funkcionality „Offline detekce a reakce“, kdy zadavatel konkrétně uvedl, že schopnost plnohodnotné ochrany koncového zařízení je v případě, kdy agentní software není ve spojení s centrálním managementem, zajištěna pomocí posledně načtené politiky agentem na koncovém zařízení, resp. tedy, že v případě offline režimu koncového zařízení bude ochrana zajištěna právě uvedeným způsobem s tím, že po přechodu do režimu online dojde k případné další aktualizaci systému, nepovažuje za nijak obecné ani povrchní, ale naopak za zcela zásadní a věcné, neboť z něj jednoznačně vyplývá podstata tvrzení zadavatele v rámci posuzovaného sporu. Zadavatel přitom tímto způsobem předložil navrhovateli svůj výklad předmětné technické podmínky na zajištění plnohodnotné ochrany koncového zařízení v případě, kdy je toto zařízení v režimu offline, a navrhovatel pak následně mohl proti tomuto výkladu brojit v podaném návrhu.

87.        Úřad pak nemůže souhlasit ani s tvrzením, že by rozhodnutí o námitkách bylo nepřezkoumatelné z důvodu, že zadavatel v jeho odůvodnění detailně nepředestřel svůj výklad sporné zadávací podmínky na plnohodnotnou ochranu koncových zařízení z hlediska schopnosti autonomního rozhodování všech požadovaných modulů bez nutnosti zásahu nadřízeného managementu. Úřad přitom opakuje, že námitka navrhovatele zcela konkrétně zpochybňovala splnění stanovené podmínky na „Offline detekci a reakci“ systémem Crowdstrike z důvodu opakujících se denních aktualizací. Zadavatel pak v rozhodnutí o námitkách reagoval právě na tuto konkrétní námitku, když uvedl, že případné neprovedení denních aktualizací neohrozí chráněná koncová zařízení, neboť jejich ochrana bude dostatečně zajištěna prostřednictvím posledně načtené aktualizace. Úřad má přitom za to, že navrhovatel obdržel na svou konkrétně vznesenou námitku zcela konkrétní odpověď zadavatele, a nelze tak dovozovat, že by z tohoto důvodu bylo rozhodnutí o námitkách nepřezkoumatelné.              

88.        Ohledně vypořádání námitky týkající se licenčního ujednání pak Úřad uvádí, že zadavatel v rozhodnutí o námitkách vyložil navrhovateli účel jím stanoveného licenčního ujednání, tedy zajištění, aby byl zadavatel na jeho základě oprávněn k výkonu práva užívat programové prostředky dodané v rámci realizace předmětu plnění veřejné zakázky, přičemž rovněž uvedl, že není vyloučeno, aby toto oprávnění bylo zajišťováno zprostředkovaně. Zadavatel rovněž uvedl, že pokud by navrhovatelem předpokládaný model SaaS byl postaven na principu cloudových služeb, nejednalo by se dle jeho názoru o porušení stanoveného licenčního ujednání. V tomto ohledu pak Úřad zdůrazňuje, že samotná námitka, kdy navrhovatel pouze na základě svých obchodních zkušeností předpokládá, že vybraný dodavatel hodlá zadavateli distribuovat předmět plnění veřejné zakázky na základě modelu SaaS, je ve své podstatě značně obecná a není podložena žádným konkrétním tvrzením, které by prokazovalo, že vybraný dodavatel skutečně hodlá (v rozporu s jím podaným podepsaným návrhem smlouvy na veřejnou zakázku) poskytovat softwarové plnění zadavateli v jakémkoliv rozporu se zadavatelem stanoveným licenčním ujednáním. Zadavatel přitom podle názoru Úřadu nepochybil, když k takto obecně formulované námitce přistoupil rovněž spíše obecným způsobem. Tvrzení zadavatele, že nezakázal řešení postavené na cloudových službách, přitom Úřad považuje za relevantní, neboť právě navrhovatel ve své námitce charakterizoval model SaaS jako distribuční cloudový model. Úřad dospěl k závěru, že zadavatel v rozhodnutí o námitkách představil ucelený argumentační rámec, kterým jasně a srozumitelně reagoval na argumentaci navrhovatele obsaženou v námitkách. Úřad konstatuje, že zadavatel se v rozhodnutí o námitkách vypořádal s podstatou navrhovatelem uváděných námitek a rozhodnutí o námitkách plní svůj účel, neboť navrhovateli poskytuje možnost dostatečně se seznámit se stanoviskem a odůvodněním zadavatele, případně se následně vyjádřit k argumentaci zadavatele v rámci návrhu na přezkoumání úkonů zadavatele.

89.        S ohledem na výše uvedené má Úřad za to, že v šetřeném případě došlo ze strany zadavatele k vypořádání námitek v souladu se zákonem, pročež neshledal důvody pro uložení nápravného opatření podle § 263 odst. 5 zákona.

Závěr

90.        Na základě všech výše uvedených zjištění a skutečností dospěl Úřad k závěru, že zadavatel při výběru dodavatele a při vypořádání námitek navrhovatele nepostupoval v rozporu se zákonem.

91.        Úřad proto ve věci návrhu navrhovatele rozhodl o jeho zamítnutí podle § 265 písm. a) zákona, neboť nebyly zjištěny důvody pro uložení nápravného opatření, jak je uvedeno ve výroku tohoto rozhodnutí.

 

 

 

Poučení

Proti tomuto rozhodnutí lze do 15 dní ode dne jeho doručení podat rozklad k předsedovi Úřadu pro ochranu hospodářské soutěže, a to prostřednictvím Úřadu pro ochranu hospodářské soutěže – Sekce veřejných zakázek, třída Kpt. Jaroše 1926/7, Černá Pole, 602 00 Brno. Včas podaný rozklad má odkladný účinek. Rozklad a další podání účastníků učiněná v řízení o rozkladu se podle § 261 odst. 1 písm. b) zákona činí výhradně prostřednictvím datové schránky nebo jako datová zpráva podepsaná uznávaným elektronickým podpisem.

 

 

otisk úředního razítka

 

 

 

 

Mgr. Markéta Dlouhá

místopředsedkyně

 

 

 

 

 

 

 

 

 

 

Obdrží

1. Česká národní banka, Na příkopě 864/28, 110 00 Praha 1

2. APPSEC s.r.o., Thámova 166/18, 186 00 Praha 8

3. T-Mobile Czech Republic a.s., Tomíčkova 2144/1, 148 00 Praha 4

 

Vypraveno dne

viz otisk razítka na poštovní obálce nebo časový údaj na obálce datové zprávy

 

vyhledávání ve sbírkách rozhodnutí

ilustrace
ilustrace
ilustrace
ilustrace
ilustrace
ilustrace
Veřejné zakázky
ilustrace
 
ilustrace
 
 
 
cs | en
cs | en