CCTVplanner.io
    Dodržování15 minut čtení

    Software ruského původu v projektech CCTV v EU (2026): Dodržování předpisů, sankce a přezkum zadávání veřejných zakázek

    Věcný přehled zaměřený na zadávání veřejných zakázek pro návrháře, integrátory CCTV a zadavatele z EU, kteří si v roce 2026 kladou stejnou opakující se otázku: jak se uplatňují pravidla původu, sankcí a uchovávání dat, pokud se jedná o software pro návrh CCTV? Tento článek shrnuje veřejně dostupný rámec. Nejedná se o právní poradenství – každé konkrétní rozhodnutí o zadávání veřejných zakázek by mělo být potvrzeno kvalifikovaným právním zástupcem pro zadávání veřejných zakázek.

    Důležité: jedná se o faktickou recenzi, nikoli o právní poradenství

    Sankce, kontroly vývozu a pravidla pro zadávání veřejných zakázek se často mění a v jednotlivých členských státech EU se vykládají odlišně. Nic v tomto článku by nemělo být považováno za právní poradenství pro jakoukoli konkrétní transakci. Pro závazná rozhodnutí se obraťte na kvalifikovaného právního zástupce pro zadávání veřejných zakázek v příslušné jurisdikci. Odkazy na veřejně dostupné normy, předpisy a judikaturu jsou přesné podle našich nejlepších znalostí a svědomí k květnu 2026.

    Obsah

    Proč je tato otázka důležitá při zadávání veřejných zakázek v EU v roce 2026

    Od roku 2022 EU přijala několik po sobě jdoucích sankčních balíčků namířených proti Rusku, a to souběžně s vývojem pravidel pro veřejné zakázky v členských státech. Kumulativní dopad na zadávání veřejných zakázek na software byl značný: zadavatelé, kteří se dříve na původ softwaru neptali, nyní běžně zahrnují požadavky na zveřejnění původu ve fázi kvalifikace a nabídky, které nemohou prokázat neschválený původ, jsou před obchodním posouzením běžně filtrovány.

    Software pro návrh CCTV systémů spadá do zvláštní kategorie rizik, protože artefakty, které vytváří – plány podlaží, umístění kamer, topologie sítě, BOM – jsou citlivé jak z bezpečnostního, tak z provozního hlediska. I v případech, kdy se sankční nástroj na první pohled nevztahuje na konkrétní nástroj pro plánování CCTV, veřejní zadavatelé mají tendenci uplatňovat preventivní přístup, zejména v oblasti obrany, veřejné správy, kritické infrastruktury a velkých projektů v oblasti zdravotnictví nebo dopravy.

    Tento článek je vysvětlujícím materiálem, jaký jsme si přáli, když se nás klienti z řad integrátorů poprvé začali ptát na původ softwaru v odpovědích na nabídky. Je popisný, nikoli normativní – jeho účelem je srozumitelně vysvětlit rámec, aby návrhář CCTV mohl položit svému poradci pro zadávání zakázek správné otázky, a ne aby tuto konverzaci nahrazoval.

    Současný sankční rámec EU – obecné shrnutí

    Omezující opatření EU vůči Rusku jsou prováděna prostřednictvím nařízení Rady zveřejněných v Úředním věstníku Evropské unie a aktualizována prostřednictvím následných balíčků změn. Rámec funguje na třech širokých pilířích týkajících se zadávání veřejných zakázek na software.

    Tři pilíře relevantní pro software

    • Kontroly vývozu. Omezení dodávek specifického zboží, služeb, technologií a softwaru do Ruska, se zaměřením na odvětví dvojího užití, obrany a některých průmyslových kategorií.
    • Finanční sankce. Zmrazení majetku a zákaz zpřístupňování finančních prostředků nebo hospodářských zdrojů osobám a subjektům uvedeným na seznamu. Test „vlastnictví a kontroly“ je konkrétně relevantní a uplatňuje se i v případě, že dodavatel sám není uveden na seznamu, ale je vlastněn nebo ovládán subjektem uvedeným na seznamu.
    • Filtry veřejných zakázek. Ustanovení nařízení Rady (EU) č. 833/2014 (ve znění pozdějších předpisů), která zakazují zadávání veřejných zakázek určitým ruským osobám a subjektům, proveditelná a doplněná různými způsoby právními předpisy členských států o zadávání veřejných zakázek.

    Kromě rámce na úrovni EU zavedly členské státy jako Německo, Francie, Polsko, severské a pobaltské země vlastní formulaci veřejných zakázek s přísnějšími kritérii. Výsledkem je, že stejný dodavatel může být přijatelný v jedné jurisdikci EU a vyloučen v jiné, i když jej žádný nástroj výslovně neuvádí. Týmy pro zadávání veřejných zakázek proto mají tendenci používat nejpřísnější formulaci členského státu jako své interní měřítko.

    Americká strana: NDAA §889 a výkonné nařízení ICTS

    Na straně USA jsou dva nástroje běžně citovány i úředníky EU pro zadávání veřejných zakázek jako neformální kritéria. NDAA §889 (zákon o zmocnění k národní obraně Johna S. McCaina na fiskální rok 2019) zakazuje federálním agenturám a federálním dodavatelům nakupovat nebo používat telekomunikační a video monitorovací zařízení od některých čínských výrobců, na která se vztahuje tato dohoda. Výkonné nařízení o informačních a komunikačních technologiích a službách (ICTS), zejména výkonné nařízení 13873 a jeho nástupci, dávají americkému ministerstvu obchodu širokou pravomoc přezkoumávat transakce zahrnující zahraniční protivníky.

    Ani jeden z těchto nástrojů se z právního hlediska nevztahuje na typické zadávání veřejných zakázek v EU. Často se však používají jako šablona pro zadávání veřejných zakázek. Veřejný zadavatel EU z roku 2026, který vypracovává nabídku na CCTV, bude běžně požadovat, aby dodavatel prohlásil, že jeho software, hosting a personál nebudou vyloučeny podle pravidel ekvivalentních §889, a to i v případě, že samotný §889 je pro smlouvu irelevantní. Dodavatelé, kteří nemohou toto prohlášení učinit, jsou v konkurenční nevýhodě bez ohledu na základní zákonnost své nabídky.

    Přímý dopad zadávání veřejných zakázek na software pro návrh CCTV

    Níže uvedené kategorie představují čtyři, u kterých se v roce 2026 v projektech CCTV v EU nejčastěji objevují otázky týkající se původu softwaru.

    Veřejné zakázky

    Veřejné, obranné, zdravotnické a vzdělávací zakázky stále častěji obsahují explicitní doložky o zveřejnění „původu softwaru“. Spouštěčem je obvykle jedno z výše uvedených ustanovení o filtrování zakázek, které se uplatňuje prostřednictvím transpozice do národních předpisů. I v případech, kdy je zákonná hranice diskutabilní, je praktická realita taková, že nabídky, které nemohou prokázat přijatelný původ, jsou filtrovány ve fázi kvalifikace. Návrháři, kteří se v roce 2026 účastní zakázek veřejného sektoru, by měli očekávat, že učiní potvrzující prohlášení o původu pro každý softwarový nástroj použitý v procesu návrhu, nejen pro samotný sledovací hardware.

    Smlouvy o kritické infrastruktuře

    Zadávání veřejných zakázek v oblasti energetiky, dopravy, bankovnictví a vodárenských služeb se řídí směrnicí NIS2 (směrnice (EU) 2022/2555) a překrývajícími se odvětvovými pravidly. Ačkoli je samotná směrnice NIS2 založena spíše na riziku než na původu, výsledná posouzení rizik obvykle identifikují původ v dodavatelském řetězci jako relevantní faktor a provozovatelé základních služeb tuto skutečnost začlenili do svých rámců pro zadávání veřejných zakázek. Laťka pro důkazy o původu softwaru v projektech kritické infrastruktury je výrazně vyšší než u běžných komerčních zakázek.

    Audity shody s předpisy v soukromých podnicích

    Velké podniky s vlastními rámci pro ESG, dodavatelský řetězec nebo kybernetická rizika pravidelně auditují své dodavatele a subdodavatele. I v případě, že se nejedná o konkrétní výběrové řízení, může být integrátor používající software, jehož původ nelze prokázat, během každoročního přezkumu vyřazen ze seznamu preferovaných dodavatelů. Tato dynamika se v letech 2024 a 2025 znatelně zrychlila a pokračuje i v roce 2026.

    Přeshraniční zapojení integrátorů

    Integrátoři působící v jurisdikcích EU i mimo EU čelí další složitosti, protože se standardy pro zadávání veřejných zakázek liší. Nástroj přijatelný pro soukromý komerční projekt v jedné jurisdikci nemusí projít filtrem pro zadávání veřejných zakázek v jiné jurisdikci. Mnoho integrátorů si to racionalizovalo standardizací nástrojů pocházejících z EU pro všechny projekty, což zjednodušuje reakci na jakékoli budoucí výběrové řízení bez ohledu na to, kde skončí.

    Jak kupující ověřují původ softwaru

    Úředník provádějící kontrolu původu má k dispozici poměrně standardní sadu nástrojů. Žádná z těchto kontrol individuálně neprokazuje původ – sestavují triangulovaný obraz z veřejně dostupných informací.

    • Registr WHOIS pro doménu dodavatele – země registrátora, organizace registrujícího subjektu, ASN nameserveru.
    • Zveřejnění názvu právnické osoby, země registrace a daňového identifikačního čísla ze strany dodavatele – obvykle vyžadováno při kvalifikaci.
    • Revize poskytovatele hostingu – cloudová oblast, kde fyzicky běží SaaS infrastruktura, doložená atestací nebo smlouvou o hostingu s třetí stranou.
    • Veřejné korporátní podání – registry skutečných vlastníků, struktura mateřské společnosti a jakékoli křížové odkazy na sankční seznamy.
    • Osvědčení o dodavatelském řetězci – písemné prohlášení dodavatele popisující, kde je software navržen, hostován a podporován, a uvádějící názvy všech dílčích zpracovatelů.

    U zakázek s vyšším rizikem (obrana, kritická infrastruktura) se posouzení může rozšířit i na původ zdrojového kódu, bezpečnostní testování třetí stranou a nezávislý právní posudek. Mezní náklady na posouzení vyšší úrovně nejsou triviální a zadavatelé si jej obvykle zadávají pouze tehdy, pokud to odůvodňuje hodnota nebo citlivost zakázky.

    Úhel pohledu na přenos dat do třetích zemí GDPR

    Články 44 až 49 GDPR upravují předávání osobních údajů do zemí mimo Evropský hospodářský prostor. Výchozí pravidlo je, že takový předávání je zakázáno, pokud se na něj nevztahuje jedna ze stanovených záruk: rozhodnutí Evropské komise o odpovídající ochraně, schválený mechanismus předávání, jako jsou standardní smluvní doložky s vhodnými doplňkovými opatřeními, nebo výjimka pro specifické situace.

    Evropský soudní dvůr ve věci Schrems II (věc C-311/18, 2020) jasně uvedl, že standardní smluvní doložky musí být doplněny posouzením dopadu přenosu, které zohledňuje zákony cílové země a to, zda poskytují v podstatě rovnocennou ochranu. Rusko není na seznamu odpovídající ochrany Evropské komise a převládající interpretace je, že dosažení „v podstatě rovnocenné“ ochrany pro přenosy do Ruska je vzhledem k tamní právní krajině obtížné. Praktickým důsledkem je, že jakýkoli nástroj pro návrh CCTV, který přenáší osobní údaje na servery v Rusku nebo subjektům pod ruskou jurisdikcí, čelí významné zátěži spojené s posouzením dopadu přenosu, kterou nástroje hostované v EU jednoduše nenesou.

    U projektů CCTV je to důležité, protože návrhové nástroje se dotýkají osobních údajů častěji, než si lidé uvědomují – metadat projektu, informací o webu koncového zákazníka, e-mailových adres účtů, obsahu tiketů podpory. Kupující, který bere GDPR vážně, bude chtít mít jistotu, že žádná z těchto dat neopustí EU/EHP způsobem, který by spustil kontrolu podle kapitoly V.

    Proč existuje CCTVplanner – hostovaný v EU, vyvinutý v EU

    CCTVplanner provozuje společnost DEFENSAR, registrovaná v Polsku, s frontendem hostovaným v Polsku a backendem na cloudové infrastruktuře v regionu EU. To je význam titulku „100% navrženo a hostováno v EU“ – právní subjekt, inženýrství i hosting se nacházejí v Evropské unii a ve výchozí architektuře nejsou žádní subzpracovatelé ze třetích zemí.

    Pro týmy zadávání zakázek se to promítá do krátké, deklarativní odpovědi na výše popsané otázky týkající se zveřejnění původu. V datové cestě se nenachází žádný ruský, čínský ani americký subzpracovatel. Podle kapitoly V GDPR neexistuje žádná povinnost posoudit dopad přenosu, protože data neopouští EU. V dodavatelském řetězci neexistuje žádná diskvalifikační klauzule ekvivalentní §889. Architektura EU jako výchozího nastavení, které důvěřují integrátoři z celého světa, je jediným prvkem, který se v roce 2026 v rozhovorech o zadávání zakázek objevuje nejčastěji.

    Postoj EU v jednom odstavci

    • Provozní subjekt DEFENSAR je registrován a daňově rezidentní v Polsku.
    • Frontend hostovaný v Polsku; backend v cloudu v regionu EU (eu-west).
    • Ve výchozí architektuře nejsou žádní dílčí zpracovatelé dat ze třetích zemí.
    • Standardně v souladu s GDPR – pro kupující z EU není vyžadováno samostatné posouzení dopadu převodu.

    Realita „přechodu z JVSG “

    Praktická otázka, kterou slýcháme od integrátorů v roce 2026, zní: „Jsme spokojeni s naším současným nástrojem pro návrh CCTV, ale tým pro zadávání veřejných zakázek označil zveřejnění původu softwaru za riziko. Jak vypadá přechod?“ Odpověď je většinou mechanická – exportovat půdorys do formátu DXF, importovat jej do CCTVplanneru, přemístit kamery z katalogu s více než 65 000 modely, porovnat prahové hodnoty DORI, přesměrovat kabeláž, exportovat vícestránkový PDF . V níže uvedeném průvodci migrací jsme napsali podrobný postup. Žádný z kroků není nijak zvlášť obtížný. Nejtěžší je obecně rozhodnutí o přechodu, nikoli samotný přechod.

    Konkrétně u přechodů v souvislosti s nákupem doporučujeme písemně zdokumentovat přechod – spouštěcí událost, vyhodnocené alternativy, zvolenou náhradu a datum, kdy je stávající nástroj vyřazen z pracovního postupu. Poradci pro nákup i auditoři ESG odměňují zdokumentovaná rozhodnutí a písemný protokol o přechodu je běžnou součástí balíčků due diligence.

    Závěrečné prohlášení o vyloučení odpovědnosti

    Tento článek je věcným přehledem založeným na veřejně dostupných normách, předpisech a judikatuře k květnu 2026. Nejedná se o právní poradenství a nenahrazuje poradenství kvalifikovaného právního zástupce pro zadávání veřejných zakázek ve vaší jurisdikci. Sankce, kontroly vývozu a pravidla pro zadávání veřejných zakázek se často vyvíjejí a v jednotlivých členských státech EU se vykládají odlišně. Každé konkrétní rozhodnutí o zadávání veřejných zakázek by mělo být potvrzeno právním zástupcem obeznámeným s konkrétním veřejným zadavatelem, odvětvím a jurisdikcí.

    Žádné tvrzení v tomto článku není zamýšleno jako znevažování jakékoli země, společnosti nebo kategorie dodavatele. Záměrem je popsat rámec zadávání veřejných zakázek tak, jak jej kupující vnímají v roce 2026, aby integrátoři mohli připravit odpovědi na nabídky a navrhnout pracovní postupy, které přežijí fázi kvalifikace.

    Často kladené otázky

    Is software of Russian origin banned from EU public procurement in 2026?

    There is no single blanket EU rule that says "all software of Russian origin is banned". Instead, several layered EU instruments — sanctions regulations, public-procurement rules, sectoral export controls and member-state interpretations — combine to make Russian-origin software difficult or impossible to procure in many specific contexts (defence, public administration, critical infrastructure, financial services). Whether your specific procurement is permitted depends on the contracting authority, the sector and the country. Always consult your in-house counsel or external procurement advisor for a binding determination.

    Does the EU sanctions framework apply to design software, not just hardware?

    Sanctions instruments commonly cover "goods, services, technology and software" — software is treated as a category of its own, separate from physical hardware. Whether a particular CCTV design tool falls inside or outside a specific sanctions instrument is a fact-specific legal question. Public-sector tenders increasingly include explicit "software origin" disclosure requirements, and a vendor unable to evidence non-Russian origin is usually filtered out at the qualification stage regardless of the underlying sanctions analysis.

    How does GDPR interact with Russian-hosted software?

    GDPR Articles 44 to 49 govern personal-data transfers to third countries. Russia is not on the European Commission's list of countries with an adequacy decision, and standard contractual clauses to Russian processors face additional scrutiny under the Schrems II reasoning of the European Court of Justice. In practice this means that any CCTV design tool that transmits personal data — project metadata, account information, customer-site details — to servers in Russia or to entities under Russian jurisdiction faces a meaningful GDPR transfer-impact assessment burden that EU-hosted tools do not.

    What is NDAA §889 and does it apply outside the United States?

    NDAA §889 is a US federal procurement rule that prohibits federal agencies and federal contractors from buying or using telecommunications and video-surveillance equipment from certain named Chinese companies. It is a US instrument with US scope, but it is increasingly cited as a procurement template by EU and UK contracting authorities updating their own rules. Procurement officers in 2026 routinely ask vendors whether their products would qualify under §889 even when §889 itself does not legally apply to the contract.

    What practical due-diligence does a procurement team perform on software origin?

    Standard checks include WHOIS lookups on the vendor domain, verification of the legal entity name and registration country, review of hosting providers (where the SaaS infrastructure physically runs), inspection of public corporate filings, and a request for a written supply-chain attestation from the vendor. For higher-risk procurements (defence, critical infrastructure) the assessment can extend to source-code provenance, third-party penetration testing, and an independent legal opinion. None of this is a substitute for advice from procurement counsel, which is why the recurring recommendation in this article is to consult one.

    Související články

    Plánovač CCTV vs. JVSG

    Porovnání vedle sebe včetně umístění dat.

    Přechod z JVSG : Průvodce migrací 2026

    Podrobný postup pro přechod na řízený zadáváním veřejných zakázek.

    Nejlepší bezplatný software pro návrh CCTV (2026)

    Možnosti bezplatné úrovně ověřené z hlediska původu v EU a souladu GDPR.

    EN 62676-4 :2025 Aktualizace OODPCVS (2026)

    Aktualizace standardů relevantní pro znění předpisů EU o zadávání veřejných zakázek.

    Kalkulačka DORI

    Kalkulačka prohlížeče hostovaná v EU, není nutná žádná instalace.

    Kalkulačka EN 62676-4

    Doporučení pro objektivy splňující normy, hostováno v EU.

    ← Zpět na blog

    © 2026 CCTVplanner. Všechna práva vyhrazena.