epravo.cz

Přihlášení / registrace

Nemáte ještě účet? Zaregistrujte se


Zapomenuté heslo
    Přihlášení / registrace
    • ČLÁNKY
      • občanské právo
      • obchodní právo
      • insolvenční právo
      • finanční právo
      • správní právo
      • pracovní právo
      • trestní právo
      • evropské právo
      • veřejné zakázky
      • ostatní právní obory
    • ZÁKONY
      • sbírka zákonů
      • sbírka mezinárodních smluv
      • právní předpisy EU
      • úřední věstník EU
    • SOUDNÍ ROZHODNUTÍ
      • občanské právo
      • obchodní právo
      • správní právo
      • pracovní právo
      • trestní právo
      • ostatní právní obory
    • AKTUÁLNĚ
      • 10 otázek
      • tiskové zprávy
      • vzdělávací akce
      • komerční sdělení
      • ostatní
      • rekodifikace TŘ
    • Rejstřík
    • E-shop
      • Online kurzy
      • Online konference
      • Záznamy konferencí
      • EPRAVO.CZ Premium
      • Konference
      • Monitoring judikatury
      • Publikace a služby
      • Společenské akce
      • Advokátní rejstřík
      • Partnerský program
    • Předplatné
    9. 11. 2020
    ID: 112089upozornění pro uživatele

    IT bezpečnost při zadávání veřejných zakázek

    Informační technologie jsou v současné době zahrnuty ve většině oblastí činnosti zadavatelů a jejich význam bude i nadále růst[1]. Spolu s rostoucím významem informačních technologií a informací v nich obsažených se zvyšují i nároky na jejich bezpečnost. Roste tedy počet zranitelností a s nimi i rizika, že dané zranitelnosti budou využity hrozbami, a dojde tak ke škodám na informačních aktivech[2] zadavatelů[3]. Základem IT bezpečnosti bez ohledu na postavení zadavatele tak vždy bude zajištění důvěrnosti, integrity a dostupnosti informačních aktiv.

    K IT bezpečnosti se vztahuje celá řada právních přepisů[4], standardů a metodik, které společně vedou k ochraně informačních aktiv zadavatelů. V tomto článku se zaměříme pouze na jeden z mnoha aspektů této problematiky, a to na bezpečné poskytování informací při zadávání veřejných zakázek dle zákona 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů (dále jen „ZZVZ“).

    Z pohledu ZZVZ se při ochraně informací ve vztahu k IT bezpečnosti střetávají dvě základní pravidla, a to potřebnost ochrany informací poskytovaných zadavatelem při zadávání veřejné zakázky a požadavek na transparentnost zadávání veřejné zakázky. Zadavatel proto bude muset vždy nejdříve uvážit, jaké informace dodavatelům bude nezbytné poskytnout (podrobnost nezbytná pro účast dodavatelů v zadávacím řízení) a zda takové informace je nutné z pohledu IT bezpečnosti chránit.

    Reklama
    Nemáte ještě registraci na epravo.cz?

    Registrujte se, získejte řadu výhod a jako dárek Vám zašleme aktuální online kurz na využití umělé inteligence v praxi.

    REGISTROVAT ZDE

    Jestliže pro řádný a se ZZVZ souladný postup při zadávání veřejné zakázky bude potřebné poskytnout informace, jež bude třeba chránit, měl by zadavatel uvážit nejvhodnější možnost ochrany. Vedle zcela specifické úpravy veřejných zakázek v oblasti bezpečnosti dle části deváté ZZVZ, která se uplatní zejména tam, kde se předmět veřejné zakázky dotýká utajovaných informací, budou pro zadavatele podstatná ustanovení § 36 odst. 8, § 96 odst. 2 a § 211 odst. 3 ZZVZ.

    Dle § 96 odst. 2 ZZVZ může zadavatel příslušnou část zadávací dokumentace poskytnout jiným vhodným způsobem než uveřejněním zadávací dokumentace na profilu zadavatele, pokud takovou část zadávací dokumentace nelze uveřejnit z důvodů vymezených v § 211 odst. 3 písm. d) ZZVZ nebo v případě postupu podle § 36 odst. 8 ZZVZ.

    Reklama
    Implementace a servis softwaru (online - živé vysílání) - 9.9.2025
    Implementace a servis softwaru (online - živé vysílání) - 9.9.2025
    9.9.2025 09:003 975 Kč s DPH
    3 285 Kč bez DPH

    Koupit

    V souladu s § 36 odst. 8 ZZVZ může zadavatel požadovat, aby dodavatel přijal přiměřená opatření k ochraně důvěrné povahy informací, které zadavatel poskytuje nebo zpřístupňuje v průběhu zadávacího řízení.

    Dle § 211 odst. 3 písm. d) ZZVZ písemná komunikace mezi zadavatelem a dodavatelem nemusí probíhat elektronicky v případě, kdy použití jiné než elektronické komunikace je nezbytné z důvodu ochrany zvláště citlivé povahy informací, přičemž požadovanou úroveň zabezpečení nelze řádně zajistit běžně dostupnými elektronickými nástroji nebo nástroji podle § 103 odst. 3 ZZVZ.

    Zadavatel tak nejčastěji bude poskytovat dodavatelům chráněné informace na základě dohody o mlčenlivosti nebo prohlášení o mlčenlivosti (dále jen „NDA“) [5]. Pro zachování řádné ochrany informací bude nezbytné, aby zadavatel dbal na precizní vymezení NDA, a to zejména na specifikaci informací, které podléhají ochraně; nakládání s těmito informacemi včetně hmotného podkladu, na kterém jsou zachyceny; okruh osob, které budou s informacemi oprávněny nakládat, včetně poddodavatelských vztahů; a formulaci sankcí za porušení povinností dodavatele. V této souvislosti je třeba také zmínit, že i NDA představuje komunikaci zadavatele s dodavatelem dle § 211 odst. 1 ZZVZ, která by měla probíhat elektronicky.

    Ve většině případů budou chráněné informace poskytnuty na hmotném podkladu[6] a zadavatel by měl zvážit zabezpečení i takového hmotného podkladu, a to jak proti zneužití, tak také pro potřeby identifikace dodavatele, kterému byl hmotný podklad poskytnut, v případě prokazování porušení NDA.

    Jestliže zadavatel dospěje do fáze, kdy má vymezeno, jaké informační aktiva bude chránit (část zadávací dokumentace) a jaký zvolí způsob ochrany (poskytnutí na základě NDA), pak by si měl stanovit, kdy bude chráněná informace dodavatelům poskytnuta. S tímto posouzením souvisí zejména volba druhu zadávacího řízení.

    Jestliže zadavatel zvolí vícefázové zadávací řízení, pak může v odůvodněných případech zvolit postupné poskytování chráněných informací v návaznosti na potřebnost informací pro účast dodavatele v příslušné fázi zadávacího řízení. Např. metodický materiál Národního úřadu pro kybernetickou a informační bezpečnost (dále jen „NÚKIB“) s označením „ZADÁVÁNÍ VEŘEJNÝCH ZAKÁZEK V OBLASTI ICT A KYBERNETICKÁ BEZPEČNOST“[7] doporučuje pro ochranu informací využívat jednací řízení s uveřejněním.

    V rámci jednacího řízení s uveřejněním může zadavatel poskytnout část chráněných informací ve lhůtě pro podání žádostí o účast a další část až dodavatelům, kteří prokázali splnění kvalifikace a byli vyzváni k podání předběžné nabídky, a to ve lhůtě pro podání předběžných nabídek. V odůvodněných případech bude možné poskytnout chráněné informace i na jednání o předběžné nabídce.

    Jestliže se bude předmět veřejné zakázky vztahovat ke kybernetické bezpečnosti dle zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů (dále jen „ZKB“), mohou zadavatelé pro potřeby ochrany informací využít také ustanovení § 4 odst. 4 ZKB, dle kterého jsou orgány a osoby uvedené v § 3 písm. c) až f) ZKB povinny zohlednit požadavky vyplývající z bezpečnostních opatření při výběru dodavatele pro jejich informační nebo komunikační systém a tyto požadavky zahrnout do smlouvy, kterou s dodavatelem uzavřou. Zohlednění požadavků vyplývajících z bezpečnostních opatření dle výše uvedeného v míře nezbytné pro splnění povinností podle ZKB nelze považovat za nezákonné omezení hospodářské soutěže nebo neodůvodněnou překážku hospodářské soutěži.

    Vzhledem k tomu, že povinnost zveřejňování informací se váže nejenom k zahájení zadávacího řízení, ale také k jeho ukončení, měl by zadavatel při ochraně informací z pohledu IT bezpečnosti zvážit i problematiku uveřejňování výsledku zadávacího řízení (zejména uzavřené smlouvy) a poskytování informací o zadávacím řízení (např. dle zákona 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů).

    Dle § 3 odst. 1 zákona 340/2015 Sb. o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv (zákon o registru smluv), ve znění pozdějších předpisů se prostřednictvím registru smluv neuveřejňují informace, které nelze poskytnout při postupu podle předpisů upravujících svobodný přístup k informacím.

    Dle § 11 odst. 1 písm. d) zákona 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů povinný subjekt může omezit poskytnutí informace, pokud její poskytnutí významně nebo přímo ohrožuje účinnost bezpečnostního opatření stanoveného na základě zvláštního předpisu pro účel ochrany bezpečnosti osob, majetku a veřejného pořádku.

    Pokud tedy zadavatel bude chránit informace, které jsou citlivé povahy a není žádoucí, aby vešly v obecnou známost (opatření, které má svůj podklad v zákoně), bude zadavatel oprávněn tyto informace neuveřejnit nebo neposkytnout, a to i když se dle ZZVZ předpokládá jejich zpřístupnění (např. informace, jejichž zveřejnění by mohlo ohrozit kybernetickou bezpečnost).[8]

    V neposlední řadě poskytuje zadavateli určité východisko k ochraně informací před povinným uveřejňováním i samotný ZZVZ v ustanovení § 218 odst. 3 ZZVZ, dle kterého zadavatel nemusí uveřejnit informaci podle ZZVZ, pokud by její uveřejnění znamenalo porušení jiného právního předpisu nebo by bylo v rozporu s veřejným zájmem, nebo by mohlo porušit právo dodavatele na ochranu obchodního tajemství nebo by mohlo ovlivnit hospodářskou soutěž.

    I když to nemusí být na první pohled zřejmé, ZZVZ samostatně, či společně s jinými právními předpisy nabízí zadavateli rozličné možnosti, jak ochránit z pohledu IT bezpečnosti významná informační aktiva. Nicméně všechny způsoby ochrany budou odvislé od schopnosti zadavatele takové postupy nejen v praxi efektivně využít, ale také si jejich využití řádně odůvodnit. Zadavatel je ten, kdo nejlépe zná povahu a význam jím poskytovaných informací, a tedy právě on musí dodavatele a kontrolní orgány přesvědčit, že v konkrétním případě při ochraně informací nepostupuje netransparentně či snad diskriminačně a svévolně, ale že pouze aplikuje opatření nezbytná k zajištění IT bezpečnosti jeho informačních aktiv.

    Pro řádné a se ZZVZ souladné zajištění IT bezpečnosti při zadávání veřejných zakázek lze zadavateli doporučit, aby tuto oblast nepodceňoval a neponechával ji pouze na nahodilých řešeních, ale aby si nastavil interní předpisy řešící tuto problematiku a sledoval aktuální věcné i právní výkladové tendence (např. Národní centrum kybernetické bezpečnosti, Národní CSIRT České republiky).

    Mgr. Lenka Lelitovská,
    advokátní koncipient

     

    MT Legal


    MT Legal s.r.o., advokátní kancelář
     
    Jugoslávská 620/29
    120 00 Praha 2
     
    Tel.: +420 222 866 555  
    Fax:  +420 222 866 546
    e-mail: info@mt-legal.com
     

    [1] Informace a informační procesy, které u zadavatelů probíhají, budou postupně digitalizovány např. i v souvislosti s dopady zákona 12/2020 Sb., o právu na digitální služby a o změně některých zákonů, ve znění pozdějších předpisů.

    [2] Informační aktiva představují zejména zařízení, programy a informace, které jsou podstatné pro výkon činností zadavatele.

    [3] Např. Národní strategie kybernetické bezpečnosti České republiky na období let 2015 až 2020 uvádí následující: „Pokračující digitalizace veřejné správy v České republice slouží k zlepšení fungování veřejné správy a jejího vztahu k veřejnosti. Avšak služby a aplikace poskytované občanům a soukromým podnikům prostřednictvím eGovernment s sebou nesou značná kybernetická bezpečnostní rizika.“

    [4] Zejména zákon 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů, zákon 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění pozdějších předpisů; zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů a zákon 110/2019 Sb., o zpracování osobních údajů.

    [5] non-disclosure agreement

    [6] Výjimkou budou situace, kdy zadavatel bude poskytovat chráněné informace pouze k nahlédnutí (např. zdrojové kódy informačního systému).

    [7] Verze metodického materiálu 1.3, platná ke dni 30. 7. 2020, dk dispozici >>> zde.

    [8] Podpůrným materiálem pro zadavatele v této souvislosti může být Doporučení k (ne)poskytování informací v oblasti kybernetické bezpečnosti a bezpečnosti systémů nakládajících s utajovanými informacemi zpracované NÚKIB, verze 2.0, platná ke dni 24. 8. 2020 a k dispozici >>> zde.


    © EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz


    Mgr. Lenka Lelitovská (MT Legal)
    9. 11. 2020

    Poslat článek emailem

    *) povinné položky

    Další články:

    • JIŘÍ HARNACH - VEŘEJNÉ ZAKÁZKY LIVE! - ÚOHS, SRPEN 2025
    • Obvyklá pochybení zadavatelů dotačních veřejných zakázek – I. část
    • Zadávání veřejných zakázek na Slovensku z pohledu dodavatele - vybrané odlišnosti od české právní úpravy
    • Byznys a paragrafy, díl 15.: Změny závazků ze smlouvy uzavřené ve veřejné zakázce
    • Certifikace dodavatele jako podmínka účasti v zadávacím řízení
    • JIŘÍ HARNACH - VEŘEJNÉ ZAKÁZKY LIVE! - ÚOHS, ČERVENEC 2025
    • JIŘÍ HARNACH - VEŘEJNÉ ZAKÁZKY LIVE! - ÚOHS, ČERVEN 2025
    • Omezení přezkumu postupu zadavatelů dle rozhodnutí NSS ve věci výstavby jaderných bloků v Dukovanech
    • Některá úskalí podání formálně bezvadného návrhu na přezkum úkonů zadavatele k Úřadu pro ochranu hospodářské soutěže
    • FSR EU o zahraničních subvencích a více než rok jeho aplikace v oblasti veřejných zakázek
    • Právní novinky v roce 2025, část třetí – změny v oblasti veřejných zakázek a v trestním právu

    Novinky v eshopu

    Aktuální akce

    • 09.09.2025Implementace a servis softwaru (online - živé vysílání) - 9.9.2025
    • 09.09.2025Techniky přesvědčivé argumentace – nejen u soudu (online - živé vysílání) - 9.9.2025
    • 10.09.2025Postup zaměstnavatele před/při sjednávání pracovního poměru z pohledu práva (pro soukromý sektor) (online - živé vysílání) - 10.9.2025
    • 10.09.2025Shareholders' agreement aneb Co by si měli společníci mezi sebou upravit (online - živé vysílání) - 10.9.2025
    • 11.09.2025Gemini a NotebookLM od A do Z v právní praxi (online - živé vysílání) - 11.9.2025

    Online kurzy

    • Úvod do problematiky squeeze-out a sell-out
    • Pořízení pro případ smrti: jak zajistit, aby Váš majetek zůstal ve správných rukou
    • Zaměstnanec – rodič z pohledu pracovněprávních předpisů
    • Flexi novela zákoníku práce
    • Umělá inteligence a odpovědnost za újmu
    Lektoři kurzů
    JUDr. Tomáš Sokol
    JUDr. Tomáš Sokol
    Kurzy lektora
    JUDr. Martin Maisner, Ph.D., MCIArb
    JUDr. Martin Maisner, Ph.D., MCIArb
    Kurzy lektora
    Mgr. Marek Bednář
    Mgr. Marek Bednář
    Kurzy lektora
    Mgr. Veronika  Pázmányová
    Mgr. Veronika Pázmányová
    Kurzy lektora
    Mgr. Michaela Riedlová
    Mgr. Michaela Riedlová
    Kurzy lektora
    JUDr. Jindřich Vítek, Ph.D.
    JUDr. Jindřich Vítek, Ph.D.
    Kurzy lektora
    Mgr. Michal Nulíček, LL.M.
    Mgr. Michal Nulíček, LL.M.
    Kurzy lektora
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Tomáš Nielsen
    JUDr. Tomáš Nielsen
    Kurzy lektora
    všichni lektoři

    Konference

    • 18.09.2025Diskusní fórum: Daňové právo v praxi - 18.9.2025
    • 02.10.2025Trestní právo daňové - 2.10.2025
    • 03.10.2025Daňové právo 2025 - Daň z přidané hodnoty - 3.10.2025
    Archiv

    Magazíny a služby

    • Monitoring judikatury (24 měsíců)
    • Monitoring judikatury (12 měsíců)
    • Monitoring judikatury (6 měsíců)

    Nejčtenější na epravo.cz

    • 24 hod
    • 7 dní
    • 30 dní
    • Byznys a paragrafy, díl 17.: Přístup do datové schránky právnické osoby při úmrtí jednatele
    • Sankce Evropské unie proti Rusku a jejich dopad na obchodní smlouvy
    • Odměna advokáta
    • Realitní obchod, provize zprostředkovatele a právní důsledky odstoupení od kupní smlouvy
    • Limity nároku poškozeného na náhradu nákladů za nájem náhradního vozidla
    • Oprávnění policejního orgánu k odemknutí mobilního telefonu nuceným přiložením prstu obviněného
    • Praktické dopady tzv. flexi novely zákoníku práce na běh a délku výpovědní doby
    • Flexinovela a změny v oblasti jiných důležitých osobních překážek v práci
    • Specifika výpovědi podnájemní smlouvy bytu optikou judikatury Nejvyššího soudu
    • Oprávnění policejního orgánu k odemknutí mobilního telefonu nuceným přiložením prstu obviněného
    • Vyhoření. Z jiné perspektivy
    • Limity nároku poškozeného na náhradu nákladů za nájem náhradního vozidla
    • Realitní obchod, provize zprostředkovatele a právní důsledky odstoupení od kupní smlouvy
    • Smlouva uzavřená mezi studentem a soukromou vysokou školou jako smlouva spotřebitelská – nález Ústavního soudu ze dne 5. února 2025, sp. zn. IV. ÚS 2093/24
    • Oceňování automobilů jako součást ocenění společnosti
    • Nárok na pobídkovou složku mzdy podmíněný dodržováním pracovních povinností a její krácení za jejich nedodržování
    • Oprávnění policejního orgánu k odemknutí mobilního telefonu nuceným přiložením prstu obviněného
    • Novela trestního zákoníku
    • Jak číst znalecký posudek: Právní orientace pro advokáty
    • V čem Nejvyšší soud selhává a proč by mu to advokáti měli říct
    • Nejvyšší soud o pohyblivé mzdě a pracovní kázni: Krácení nároku, nebo legitimní podmínka?
    • Neplatnost vydědění a její důsledky
    • Koncentrace řízení a kdy je čas na poučení
    • Limity rozhodování ve společenství vlastníků jednotek: výbor vs. shromáždění

    Soudní rozhodnutí

    Odměna obhájce

    Ustanovení § 151 odst. 2 trestního řádu nezakládá bez dalšího nárok obhájce na odměnu a náhradu hotových výdajů za jakýkoli úkon právní služby poskytnutý obviněnému v...

    Podmíněné propuštění (exkluzivně pro předplatitele)

    Pokud se obecné soudy při posuzování podmínek pro podmíněné propuštění omezí na pouhé matematické sečtení kázeňských odměn a počtu trestních odsouzení a z možnosti...

    Poučovací povinnost (exkluzivně pro předplatitele)

    Pokud by odvolací soud založil svůj procesní postup pouze na nesprávném právním posouzení závěrů plynoucích z právně závazného názoru v rozhodnutí dovolacího soudu bez toho, aby...

    Právo na informace (exkluzivně pro předplatitele)

    Právo stěžovatele na informace podle čl. 17 odst. 1 a 5 Listiny je porušeno, jestliže povinný subjekt podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím neposkytl...

    Smluvní pokuta (exkluzivně pro předplatitele)

    Procesní úkon (námitku), jímž se dovolává nepřiměřenosti nároku na smluvní pokutu, může dlužník vznést v řízení kdykoliv, a to až do okamžiku rozhodnutí odvolacího soudu. Je...

    Hledání v rejstřících

    • mapa serveru
    • o nás
    • reklama
    • podmínky provozu
    • kontakty
    • publikační podmínky
    • FAQ
    • obchodní a reklamační podmínky
    • Ochrana osobních údajů - GDPR
    • Nastavení cookies
    100 nej
    © EPRAVO.CZ, a.s. 1999-2025, ISSN 1213-189X
    Provozovatelem serveru je EPRAVO.CZ, a.s. se sídlem Dušní 907/10, Staré Město, 110 00 Praha 1, Česká republika, IČ: 26170761, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod spisovou značkou B 6510.
    Automatické vytěžování textů a dat z této internetové stránky ve smyslu čl. 4 směrnice 2019/790/EU je bez souhlasu EPRAVO.CZ, a.s. zakázáno.

    Jste zde poprvé?

    Vítejte na internetovém serveru epravo.cz. Jsme zdroj informací jak pro laiky, tak i pro právníky profesionály. Zaregistrujte se u nás a získejte zdarma řadu výhod.

    Protože si vážíme Vašeho zájmu, dostanete k registraci dárek v podobě unikátního online kurzu Základy práce s AI. Tento kurz vás vybaví znalostmi a nástroji potřebnými k tomu, aby AI nebyla jen dalším trendem, ale spolehlivým partnerem ve vaší praxi. Připravte se objevit potenciál AI a zjistit, jak může obohatit vaši kariéru.

    Registrace je zdarma, k ničemu Vás nezavazuje a získáte každodenní přehled o novinkách ve světě práva.


    Vaše data jsou u nás v bezpečí. Údaje vyplněné při této registraci zpracováváme podle podmínek zpracování osobních údajů



    Nezapomněli jste něco v košíku?

    Vypadá to, že jste si něco zapomněli v košíku. Dokončete prosím objednávku ještě před odchodem.


    Přejít do košíku


    Vaši nedokončenou objednávku vám v případě zájmu zašleme na e-mail a můžete ji tak dokončit později.