Dekorativní pozadí stránky

Únik osobních údajů na Facebook a kontrola pracovních e-mailů. Co vzkázal NSS zaměstnavatelům i zaměstnancům?

Únik osobních údajů na Facebook a kontrola pracovních e-mailů. Co vzkázal NSS zaměstnavatelům i zaměstnancům?

Zaměstnavatel může za určitých podmínek nahlédnout do pracovní e-mailové schránky zaměstnance. Nedávný rozsudek Nejvyššího správního soudu potvrzuje, že možnost přístupu není otázka vlastnictví schránky, ale toho, zda existují jasná interní pravidla, zda byl zaměstnanec předem informován a zda je kontrola konkrétní, přiměřená a časově omezená.

Nejvyšší správní soud se v rozsudku ze dne 18. 3. 2026, sp. zn. 6 Ads 21/2026 – 27,[1] zabýval případem státního zaměstnance Českého úřadu zeměměřického a katastrálního („ČÚZK“). Případ je zajímavý nejen svými skutkovými okolnostmi, ale i praktickými dopady pro HR, compliance a IT bezpečnost.

Co se vlastně stalo?

Státní zaměstnanec ČÚZK zveřejnil ve veřejné facebookové skupině vkladovou listinu obsahující neanonymizované osobní údaje. Tím ale věc neskončila. Stejný dokument navíc rozeslal e-mailem také kolegům, kteří k němu neměli oprávněný přístup, a dokonce i dvěma osobám mimo úřad. Pro soud nebylo podstatné, jaký byl jeho motiv, ale to, že šlo o únik dat a že zaměstnavatel potřeboval zjistit jeho rozsah. Právě v této souvislosti zaměstnavatel přistoupil ke kontrole pracovní e-mailové komunikace zaměstnance a zaměstnanec toto rozporoval. 

Může zaměstnavatel kontrolovat pracovní e-maily?

Podle zaměstnance nikoliv. Tvrdil, že kontrola e-mailů porušila ochranu tajemství dopravovaných zpráv podle čl. 13 Listiny (ochrana listovního tajemství) a odporovala také § 316 zákoníku práce (zákaz sledování). Namítal rovněž, že pouhá interní směrnice zaměstnavatele upravující možnost v případě „důvodného podezření“ přistoupit k obsahu e‑mailové komunikace zaměstnance („monitoring“) nestačí, a že bez soudního souhlasu nelze e-maily číst ani při podezření na protiprávní jednání.

NSS dal za pravdu zaměstnavateli. Podle soudu byl monitoring v daném případě zákonný a přiměřený. Klíčové bylo zejména to, že:

  • zaměstnanec byl o možnosti monitoringu předem informován,
  • ČÚZK si právo kontroly e-mailové komunikace vyhradil ve vnitřním předpisu,
  • zaměstnanec tuto informaci navíc potvrzoval při každém přihlášení do počítače,
  • nešlo o plošnou kontrolu všech zaměstnanců,
  • zaměstnavatel měl konkrétní podezření na únik osobních údajů,
  • monitoring byl časově omezen jen na tři dny,
  • a věcně se zaměřoval pouze na zjištění rozsahu úniku dat.

Jinými slovy: NSS neposvětil obecné „pročítání“ pracovních e-mailů, ale konkrétní a účelově omezený zásah navázaný na bezpečnostní incident.

To odpovídá evropské judikatuře (Halford v. Spojené království,[2] Bărbulescu v. Rumunsko),[3] na kterou NSS navázal. V praxi by si zaměstnavatel měl vždy umět odpovědět na tyto otázky:

  • Byl zaměstnanec předem a srozumitelně informován?
  • Existuje konkrétní a doložitelný důvod kontroly?
  • Lze cíle dosáhnout mírnějším opatřením?
  • Je rozsah kontroly omezen jen na to, co je skutečně nutné?
  • Existují záruky proti zneužití?

Proč se vyplatí mít interní směrnici dřív než incident nastane?

Rozsudek je silným argumentem pro jasně nastavená interní pravidla. Dobře připravená směrnice pomáhá hned z několika důvodů:

1. Snižuje právní riziko

Transparentně nastavená pravidla výrazně snižují riziko sporů o to, zda byl zásah do soukromí zaměstnance přiměřený.

2. Pomáhá při řešení bezpečnostních incidentů

Při podezření na únik dat nebo kybernetický incident je čas klíčový. Směrnice určuje předem, kdo může o kontrole rozhodnout, v jakých situacích je přípustná, jak se provádí, jak se pořizuje záznam a jak se chrání práva dotčené osoby.

Bez jasných pravidel může zaměstnavatel čelit nejen námitkám zaměstnance, ale i regulatorním otázkámreputační škodě.

Existence předem přijatých pravidel může hrát zásadní roli při obhajování postupu vůči zaměstnanci, soudu nebo dozorovému orgánu.

Jaká rizika mohou správně nastavená pravidla pokrýt?

V praxi nejde jen o „hlídání zaměstnanců“. Dobře nastavená pravidla mohou firmu chránit zejména před těmito riziky:

  • únik osobních údajů,
  • únik obchodního tajemství a důvěrných informací,
  • porušení sektorové regulace nebo smluvních povinností mlčenlivosti,
  • ztráta důkazů o průběhu incidentu,
  • spory se zaměstnanci o nepřípustný zásah do soukromí,
  • reputační škoda,
  • nekoordinovaný postup IT, HR, compliance a managementu.

Platí to jen pro stát, nebo i pro soukromý sektor?

V posuzovaném případě NSS zdůraznil, že ČÚZK pracuje s údaji zvláštní povahy a že spravuje informace, které jsou v systému vedeny na základě zákona. To nepochybně hrálo roli při posouzení přiměřenosti zásahu.

Za srovnatelně závažný důvod lze podle okolností považovat i situace, kdy zaměstnavatel pracuje například s:

  • citlivými osobními údaji,
  • bankovním nebo platebním tajemstvím,
  • zdravotnickou dokumentací,
  • vysoce důvěrnými klientskými informacemi,
  • obchodním tajemstvím,
  • bezpečnostně významnými systémy nebo infrastrukturou.

soukromém sektoru přitom nestačí obecné tvrzení, že „jde o firemní schránku“. Zaměstnavatel musí umět ukázat, proč byla kontrola v dané situaci skutečně nutná.

Co by měla interní pravidla řešit?

Pokud chtějí zaměstnavatelé z rozhodnutí NSS, které dále vyjasňuje dosavadní praxi, vytěžit praktický benefit, měla by interní pravidla alespoň rámcově pokrýt:

  • účel a limity používání pracovního e-mailu,
  • zda a v jakém rozsahu je tolerováno soukromé užití,
  • situace, kdy může dojít ke kontrole, včetně posouzení nezbytnosti a přiměřenosti zásahu (balanční test),
  • okruh oprávněných osob,
  • proces schvalování kontroly,
  • pravidla dokumentace a auditní stopy,
  • ochranu důvěrnosti a minimalizaci zásahu,
  • návaznost na HR, IT, compliance a incident response.

Právě propojení právního, HR a bezpečnostního pohledu bývá v praxi rozhodující.

Pozoruhodné je, že zaměstnanec, který sám zveřejnil cizí osobní údaje na sociální síti, se následně dovolával ochrany soukromí své služební e-mailové komunikace. NSS se s tím vypořádal precizně a v souladu s evropskou judikaturou. Rozsudek je potvrzením, že kontrola pracovních e-mailů může být legitimním nástrojem – ale jen tehdy, je-li opřená o jasná pravidla, konkrétní důvod a přiměřený postup. Pro zaměstnavatele jde o připomínku, že interní směrnice nemá být jen „papír do šuplíku".

Rozsudek tak bude důležitý zejména pro zaměstnavatele, kteří nastavují pravidla monitoringu, pro HR a compliance týmy, pro specialisty na kyberbezpečnost a ochranu dat, ale i pro samotné zaměstnance, kteří pracují s citlivými informacemi.

Související články
GDPR a oslovení: Je nutné znát pohlaví zákazníka?
Jaroslav Šuchman

GDPR a oslovení: Je nutné znát pohlaví zákazníka?

Francouzský železniční dopravce požadoval po svých zákaznících při online rezervaci jízdenky informaci, zda je má oslovovat „pane“ nebo „paní“. Nedávný rozsudek Soudního dvora Evropské unie ukazuje, že takový požadavek není v souladu s právními předpisy. Údaj o oslovení totiž není nezbytný pro splně