epravo.cz

Přihlášení


Registrace nového uživatele
Zapomenuté heslo
Přihlášení
  • ČLÁNKY
  • ZÁKONY
  • SOUDNÍ ROZHODNUTÍ
  • AKTUÁLNĚ
  • COVID-19
  • E-shop
  • Advokátní rejstřík
  • občanské právo
  • obchodní právo
  • insolvenční právo
  • finanční právo
  • správní právo
  • pracovní právo
  • trestní právo
  • evropské právo
  • veřejné zakázky
  • ostatní právní obory
Konference: Elektronizace veřejné správy v nové legislativě
9. 11. 2020
ID: 112089upozornění pro uživatele

IT bezpečnost při zadávání veřejných zakázek

Informační technologie jsou v současné době zahrnuty ve většině oblastí činnosti zadavatelů a jejich význam bude i nadále růst[1]. Spolu s rostoucím významem informačních technologií a informací v nich obsažených se zvyšují i nároky na jejich bezpečnost. Roste tedy počet zranitelností a s nimi i rizika, že dané zranitelnosti budou využity hrozbami, a dojde tak ke škodám na informačních aktivech[2] zadavatelů[3]. Základem IT bezpečnosti bez ohledu na postavení zadavatele tak vždy bude zajištění důvěrnosti, integrity a dostupnosti informačních aktiv.

K IT bezpečnosti se vztahuje celá řada právních přepisů[4], standardů a metodik, které společně vedou k ochraně informačních aktiv zadavatelů. V tomto článku se zaměříme pouze na jeden z mnoha aspektů této problematiky, a to na bezpečné poskytování informací při zadávání veřejných zakázek dle zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů (dále jen „ZZVZ“).

Z pohledu ZZVZ se při ochraně informací ve vztahu k IT bezpečnosti střetávají dvě základní pravidla, a to potřebnost ochrany informací poskytovaných zadavatelem při zadávání veřejné zakázky a požadavek na transparentnost zadávání veřejné zakázky. Zadavatel proto bude muset vždy nejdříve uvážit, jaké informace dodavatelům bude nezbytné poskytnout (podrobnost nezbytná pro účast dodavatelů v zadávacím řízení) a zda takové informace je nutné z pohledu IT bezpečnosti chránit.

Jestliže pro řádný a se ZZVZ souladný postup při zadávání veřejné zakázky bude potřebné poskytnout informace, jež bude třeba chránit, měl by zadavatel uvážit nejvhodnější možnost ochrany. Vedle zcela specifické úpravy veřejných zakázek v oblasti bezpečnosti dle části deváté ZZVZ, která se uplatní zejména tam, kde se předmět veřejné zakázky dotýká utajovaných informací, budou pro zadavatele podstatná ustanovení § 36 odst. 8, § 96 odst. 2 a § 211 odst. 3 ZZVZ.

Dle § 96 odst. 2 ZZVZ může zadavatel příslušnou část zadávací dokumentace poskytnout jiným vhodným způsobem než uveřejněním zadávací dokumentace na profilu zadavatele, pokud takovou část zadávací dokumentace nelze uveřejnit z důvodů vymezených v § 211 odst. 3 písm. d) ZZVZ nebo v případě postupu podle § 36 odst. 8 ZZVZ.

V souladu s § 36 odst. 8 ZZVZ může zadavatel požadovat, aby dodavatel přijal přiměřená opatření k ochraně důvěrné povahy informací, které zadavatel poskytuje nebo zpřístupňuje v průběhu zadávacího řízení.

Dle § 211 odst. 3 písm. d) ZZVZ písemná komunikace mezi zadavatelem a dodavatelem nemusí probíhat elektronicky v případě, kdy použití jiné než elektronické komunikace je nezbytné z důvodu ochrany zvláště citlivé povahy informací, přičemž požadovanou úroveň zabezpečení nelze řádně zajistit běžně dostupnými elektronickými nástroji nebo nástroji podle § 103 odst. 3 ZZVZ.

Zadavatel tak nejčastěji bude poskytovat dodavatelům chráněné informace na základě dohody o mlčenlivosti nebo prohlášení o mlčenlivosti (dále jen „NDA“) [5]. Pro zachování řádné ochrany informací bude nezbytné, aby zadavatel dbal na precizní vymezení NDA, a to zejména na specifikaci informací, které podléhají ochraně; nakládání s těmito informacemi včetně hmotného podkladu, na kterém jsou zachyceny; okruh osob, které budou s informacemi oprávněny nakládat, včetně poddodavatelských vztahů; a formulaci sankcí za porušení povinností dodavatele. V této souvislosti je třeba také zmínit, že i NDA představuje komunikaci zadavatele s dodavatelem dle § 211 odst. 1 ZZVZ, která by měla probíhat elektronicky.

Ve většině případů budou chráněné informace poskytnuty na hmotném podkladu[6] a zadavatel by měl zvážit zabezpečení i takového hmotného podkladu, a to jak proti zneužití, tak také pro potřeby identifikace dodavatele, kterému byl hmotný podklad poskytnut, v případě prokazování porušení NDA.

Jestliže zadavatel dospěje do fáze, kdy má vymezeno, jaké informační aktiva bude chránit (část zadávací dokumentace) a jaký zvolí způsob ochrany (poskytnutí na základě NDA), pak by si měl stanovit, kdy bude chráněná informace dodavatelům poskytnuta. S tímto posouzením souvisí zejména volba druhu zadávacího řízení.

Jestliže zadavatel zvolí vícefázové zadávací řízení, pak může v odůvodněných případech zvolit postupné poskytování chráněných informací v návaznosti na potřebnost informací pro účast dodavatele v příslušné fázi zadávacího řízení. Např. metodický materiál Národního úřadu pro kybernetickou a informační bezpečnost (dále jen „NÚKIB“) s označením „ZADÁVÁNÍ VEŘEJNÝCH ZAKÁZEK V OBLASTI ICT A KYBERNETICKÁ BEZPEČNOST“[7] doporučuje pro ochranu informací využívat jednací řízení s uveřejněním.

V rámci jednacího řízení s uveřejněním může zadavatel poskytnout část chráněných informací ve lhůtě pro podání žádostí o účast a další část až dodavatelům, kteří prokázali splnění kvalifikace a byli vyzváni k podání předběžné nabídky, a to ve lhůtě pro podání předběžných nabídek. V odůvodněných případech bude možné poskytnout chráněné informace i na jednání o předběžné nabídce.

Jestliže se bude předmět veřejné zakázky vztahovat ke kybernetické bezpečnosti dle zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů (dále jen „ZKB“), mohou zadavatelé pro potřeby ochrany informací využít také ustanovení § 4 odst. 4 ZKB, dle kterého jsou orgány a osoby uvedené v § 3 písm. c) až f) ZKB povinny zohlednit požadavky vyplývající z bezpečnostních opatření při výběru dodavatele pro jejich informační nebo komunikační systém a tyto požadavky zahrnout do smlouvy, kterou s dodavatelem uzavřou. Zohlednění požadavků vyplývajících z bezpečnostních opatření dle výše uvedeného v míře nezbytné pro splnění povinností podle ZKB nelze považovat za nezákonné omezení hospodářské soutěže nebo neodůvodněnou překážku hospodářské soutěži.

Vzhledem k tomu, že povinnost zveřejňování informací se váže nejenom k zahájení zadávacího řízení, ale také k jeho ukončení, měl by zadavatel při ochraně informací z pohledu IT bezpečnosti zvážit i problematiku uveřejňování výsledku zadávacího řízení (zejména uzavřené smlouvy) a poskytování informací o zadávacím řízení (např. dle zákona č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů).

Dle § 3 odst. 1 zákona č. 340/2015 Sb. o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv (zákon o registru smluv), ve znění pozdějších předpisů se prostřednictvím registru smluv neuveřejňují informace, které nelze poskytnout při postupu podle předpisů upravujících svobodný přístup k informacím.

Dle § 11 odst. 1 písm. d) zákona č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů povinný subjekt může omezit poskytnutí informace, pokud její poskytnutí významně nebo přímo ohrožuje účinnost bezpečnostního opatření stanoveného na základě zvláštního předpisu pro účel ochrany bezpečnosti osob, majetku a veřejného pořádku.

Pokud tedy zadavatel bude chránit informace, které jsou citlivé povahy a není žádoucí, aby vešly v obecnou známost (opatření, které má svůj podklad v zákoně), bude zadavatel oprávněn tyto informace neuveřejnit nebo neposkytnout, a to i když se dle ZZVZ předpokládá jejich zpřístupnění (např. informace, jejichž zveřejnění by mohlo ohrozit kybernetickou bezpečnost).[8]

V neposlední řadě poskytuje zadavateli určité východisko k ochraně informací před povinným uveřejňováním i samotný ZZVZ v ustanovení § 218 odst. 3 ZZVZ, dle kterého zadavatel nemusí uveřejnit informaci podle ZZVZ, pokud by její uveřejnění znamenalo porušení jiného právního předpisu nebo by bylo v rozporu s veřejným zájmem, nebo by mohlo porušit právo dodavatele na ochranu obchodního tajemství nebo by mohlo ovlivnit hospodářskou soutěž.

I když to nemusí být na první pohled zřejmé, ZZVZ samostatně, či společně s jinými právními předpisy nabízí zadavateli rozličné možnosti, jak ochránit z pohledu IT bezpečnosti významná informační aktiva. Nicméně všechny způsoby ochrany budou odvislé od schopnosti zadavatele takové postupy nejen v praxi efektivně využít, ale také si jejich využití řádně odůvodnit. Zadavatel je ten, kdo nejlépe zná povahu a význam jím poskytovaných informací, a tedy právě on musí dodavatele a kontrolní orgány přesvědčit, že v konkrétním případě při ochraně informací nepostupuje netransparentně či snad diskriminačně a svévolně, ale že pouze aplikuje opatření nezbytná k zajištění IT bezpečnosti jeho informačních aktiv.

Pro řádné a se ZZVZ souladné zajištění IT bezpečnosti při zadávání veřejných zakázek lze zadavateli doporučit, aby tuto oblast nepodceňoval a neponechával ji pouze na nahodilých řešeních, ale aby si nastavil interní předpisy řešící tuto problematiku a sledoval aktuální věcné i právní výkladové tendence (např. Národní centrum kybernetické bezpečnosti, Národní CSIRT České republiky).

Mgr. Lenka Lelitovská,
advokátní koncipient

 

MT Legal


MT Legal s.r.o., advokátní kancelář
 
Jugoslávská 620/29
120 00 Praha 2
 
Tel.: +420 222 866 555  
Fax:  +420 222 866 546
e-mail: info@mt-legal.com
 

[1] Informace a informační procesy, které u zadavatelů probíhají, budou postupně digitalizovány např. i v souvislosti s dopady zákona č. 12/2020 Sb., o právu na digitální služby a o změně některých zákonů, ve znění pozdějších předpisů.

[2] Informační aktiva představují zejména zařízení, programy a informace, které jsou podstatné pro výkon činností zadavatele.

[3] Např. Národní strategie kybernetické bezpečnosti České republiky na období let 2015 až 2020 uvádí následující: „Pokračující digitalizace veřejné správy v České republice slouží k zlepšení fungování veřejné správy a jejího vztahu k veřejnosti. Avšak služby a aplikace poskytované občanům a soukromým podnikům prostřednictvím eGovernment s sebou nesou značná kybernetická bezpečnostní rizika.“

[4] Zejména zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů, zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění pozdějších předpisů; zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů a zákon č. 110/2019 Sb., o zpracování osobních údajů.

[5] non-disclosure agreement

[6] Výjimkou budou situace, kdy zadavatel bude poskytovat chráněné informace pouze k nahlédnutí (např. zdrojové kódy informačního systému).

[7] Verze metodického materiálu 1.3, platná ke dni 30. 7. 2020, dk dispozici >>> zde.

[8] Podpůrným materiálem pro zadavatele v této souvislosti může být Doporučení k (ne)poskytování informací v oblasti kybernetické bezpečnosti a bezpečnosti systémů nakládajících s utajovanými informacemi zpracované NÚKIB, verze 2.0, platná ke dni 24. 8. 2020 a k dispozici >>> zde.


© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz


Mgr. Lenka Lelitovská (MT Legal)
9. 11. 2020
pošli emailem
vytiskni článek
  • Tweet

Další články:

  • Omezení účasti dodavatelů ze třetích zemí
  • Cirkulární veřejné zakázky
  • Právní možnosti řešení vlivu nepříznivých klimatických podmínek na průběh realizace výstavby 1. díl – soukromoprávní smlouvy o dílo
  • Aktuální praxe předsedy ÚOHS v případech týkajících se § 46 zákona o zadávání veřejných zakázek
  • Odpovědné veřejné zadávání v kontextu „odpadové“ novely zákona o zadávání veřejných zakázek
  • K nezbytné míře podrobnosti popisu subjektivních kritérií hodnocení ve veřejných zakázkách
  • Odpovědné veřejné zadávání – nové základní zásady ZZVZ
  • Odpovědné zadávání veřejných zakázek ve světle novely zákona o odpadech
  • Novela zákona o zadávání veřejných zakázek – odpovědné zadávání
  • Jak je to s nepřípustným přenášením odpovědnosti za správnost a úplnost zadávacích podmínek
  • Akvizice v režimu veřejných zakázek

Související produkty

Online kurzy

  • Zadávání sektorových veřejných zakázek a zadávání koncesí dle ZZVZ
  • Výjimky ze zadávacího řízení
  • Spolupráce zadavatelů
  • Základní změny a novinky, které přináší ZZVZ (zadávací řízení, režimy a zvláštní postupy)
  • Podstatná změna závazků (smlouvy) ve světle ZZVZ a judikatury
Lektoři kurzů
JUDr. Jiří Votrubec
JUDr. Jiří Votrubec
Kurzy lektora
Mgr. Jiří Harnach
Mgr. Jiří Harnach
Kurzy lektora
Mgr. Jan Hlavsa
Mgr. Jan Hlavsa
Kurzy lektora
Mgr. Jan Měkota
Mgr. Jan Měkota
Kurzy lektora
Mgr. Michal Kožár
Mgr. Michal Kožár
Kurzy lektora
Mgr. David Říčný
Mgr. David Říčný
Kurzy lektora
všichni lektoři

Nejčtenější na epravo.cz

  • 24 hod
  • 7 dní
  • 30 dní
  • K chystané novele zákona o ochraně spotřebitele
  • Rozhodnutí většinového spoluvlastníka
  • Jak vlastně posuzovat trestné činy při nouzovém stavu?
  • Prohlídka advokátní kanceláře
  • Sněmovna bude hlasovat o státním rozpočtu na rok 2001
  • Výpověď z pracovního poměru ze strany zaměstnance (část 1.)
  • Krácení dovolené nově od 1. 1. 2021
  • Nová právní úprava dovolené účinná k 1.1.2021 – dovolená za kalendářní rok (část 1.)
  • Okamžité zrušení pracovního poměru pro neomluvené absence v celkové délce 3 dnů (3 pracovních směn)
  • Nová úprava evidence skutečných majitelů: četné změny a vysoké sankce
  • Krácení dovolené nově od 1. 1. 2021
  • Nová právní úprava dovolené účinná k 1.1.2021 – dovolená za kalendářní rok (část 1.)
  • Novinky ve stavebním právu v roce 2021
  • Výpověď z pracovního poměru ze strany zaměstnance (část 1.)
  • Bez diverzity v advokacii časem neobstojíme
  • Digitální právní jednání a písemná forma
  • Novela zákoníku práce zavádějící konečně pravidla pro home office
  • Výpověď z pracovního poměru ze strany zaměstnance (část 1.)
  • Krácení dovolené nově od 1. 1. 2021
  • Nová právní úprava dovolené účinná k 1.1.2021 – dovolená za kalendářní rok (část 1.)
  • Okamžité zrušení pracovního poměru pro neomluvené absence v celkové délce 3 dnů (3 pracovních směn)
  • Exekuce na obhajné vůči státu
  • Pracovněprávní důsledky odmítnutí zaměstnance podrobit se testu na Covid-19
  • Nová úprava evidence skutečných majitelů: četné změny a vysoké sankce

Pracovní pozice

Soudní rozhodnutí

Prohlídka advokátní kanceláře

Legitimním cílem rozhodování o nahrazení souhlasu České advokátní komory k seznámení se s obsahem listin, nalezených orgánem provádějícím úkon při prohlídce prostor, v nichž...

DPH

Institut ručení upravený v § 109 zákona o DPH totiž spočívá v „ručení odběratelem-plátcem daně, který je příjemcem zdanitelného plnění, za daň, která z tohoto zdanitelného...

Cizinci a ohrožení veřejného zdraví (exkluzivně pro předplatitele)

Ohrožení veřejného zdraví nelze podřadit pod pojem závažné porušení veřejného pořádku, protože zákon o pobytu cizinců v § 119 rozlišuje ohledně důvodů pro správní...

Daňový podvod (exkluzivně pro předplatitele)

Zpochybňuje-li daňový subjekt význam zjištěných objektivních okolností tvrzeními opírajícími se o to, že na nich neshledává nic nestandardního či podezřelého, není povinností...

Dlouhodobý pobyt (exkluzivně pro předplatitele)

Skutečnost, že cizinec naplňuje účel, pro který mu byl dlouhodobý pobyt udělen, nevylučuje, aby správní orgán shledal jinou závažnou překážku, kterou může být v obecné rovině i...

Vyhledávání ASPI

ASPI

Hledání v rejstřících

  • mapa serveru
  • o nás
  • reklama
  • podmínky provozu
  • kontakty
  • publikační podmínky
  • FAQ
  • obchodní a reklamační podmínky
  • Ochrana osobních údajů - GDPR
AIVD APEK 100 nej
© EPRAVO.CZ, a.s. 1999-2021, ISSN 1213-189X      developed by Actimmy
Provozovatelem serveru je EPRAVO.CZ, a.s. se sídlem Dušní 907/10, Staré Město, 110 00 Praha 1, Česká republika, IČ: 26170761, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod spisovou značkou B 6510.

Jste zde poprvé?

Vítejte na internetovém serveru epravo.cz. Jsme zdroj informací jak pro laiky, tak i pro právníky profesionály. Zaregistrujte se u nás a získejte zdarma řadu výhod.


Protože si vážíme Vašeho zájmu, dostanete k registraci dárek v podobě unikátního video tréningu od jednoho z nejznámějších českých advokátů a rozhodců JUDr. Martina Maisnera, Ph.D., MCIArb, a to "Taktika vyjednávání o smlouvách".


Registrace je zdarma, k ničemu Vás nezavazuje a získáte každodenní přehled o novinkách ve světě práva.


Vaše data jsou u nás v bezpečí. Údaje vyplněné při této registraci zpracováváme podle podmínek zpracování osobních údajů