Zaměstnavatel může za určitých podmínek nahlédnout do pracovní e-mailové schránky zaměstnance. Nedávný rozsudek Nejvyššího správního soudu potvrzuje, že možnost přístupu není otázka vlastnictví schránky, ale toho, zda existují jasná interní pravidla, zda byl zaměstnanec předem informován a zda je kontrola konkrétní, přiměřená a časově omezená.
Nejvyšší správní soud se v rozsudku ze dne 18. 3. 2026, sp. zn. 6 Ads 21/2026 – 27,[1] zabýval případem státního zaměstnance Českého úřadu zeměměřického a katastrálního („ČÚZK“). Případ je zajímavý nejen svými skutkovými okolnostmi, ale i praktickými dopady pro HR, compliance a IT bezpečnost.
Co se vlastně stalo?
Státní zaměstnanec ČÚZK zveřejnil ve veřejné facebookové skupině vkladovou listinu obsahující neanonymizované osobní údaje. Tím ale věc neskončila. Stejný dokument navíc rozeslal e-mailem také kolegům, kteří k němu neměli oprávněný přístup, a dokonce i dvěma osobám mimo úřad. Pro soud nebylo podstatné, jaký byl jeho motiv, ale to, že šlo o únik dat a že zaměstnavatel potřeboval zjistit jeho rozsah. Právě v této souvislosti zaměstnavatel přistoupil ke kontrole pracovní e-mailové komunikace zaměstnance a zaměstnanec toto rozporoval.
Může zaměstnavatel kontrolovat pracovní e-maily?
Podle zaměstnance nikoliv. Tvrdil, že kontrola e-mailů porušila ochranu tajemství dopravovaných zpráv podle čl. 13 Listiny (ochrana listovního tajemství) a odporovala také § 316 zákoníku práce (zákaz sledování). Namítal rovněž, že pouhá interní směrnice zaměstnavatele upravující možnost v případě „důvodného podezření“ přistoupit k obsahu e‑mailové komunikace zaměstnance („monitoring“) nestačí, a že bez soudního souhlasu nelze e-maily číst ani při podezření na protiprávní jednání.
NSS dal za pravdu zaměstnavateli. Podle soudu byl monitoring v daném případě zákonný a přiměřený. Klíčové bylo zejména to, že:
- zaměstnanec byl o možnosti monitoringu předem informován,
- ČÚZK si právo kontroly e-mailové komunikace vyhradil ve vnitřním předpisu,
- zaměstnanec tuto informaci navíc potvrzoval při každém přihlášení do počítače,
- nešlo o plošnou kontrolu všech zaměstnanců,
- zaměstnavatel měl konkrétní podezření na únik osobních údajů,
- monitoring byl časově omezen jen na tři dny,
- a věcně se zaměřoval pouze na zjištění rozsahu úniku dat.
Jinými slovy: NSS neposvětil obecné „pročítání“ pracovních e-mailů, ale konkrétní a účelově omezený zásah navázaný na bezpečnostní incident.
To odpovídá evropské judikatuře (Halford v. Spojené království,[2] Bărbulescu v. Rumunsko),[3] na kterou NSS navázal. V praxi by si zaměstnavatel měl vždy umět odpovědět na tyto otázky:
- Byl zaměstnanec předem a srozumitelně informován?
- Existuje konkrétní a doložitelný důvod kontroly?
- Lze cíle dosáhnout mírnějším opatřením?
- Je rozsah kontroly omezen jen na to, co je skutečně nutné?
- Existují záruky proti zneužití?
Proč se vyplatí mít interní směrnici dřív než incident nastane?
Rozsudek je silným argumentem pro jasně nastavená interní pravidla. Dobře připravená směrnice pomáhá hned z několika důvodů:
1. Snižuje právní riziko
Transparentně nastavená pravidla výrazně snižují riziko sporů o to, zda byl zásah do soukromí zaměstnance přiměřený.
2. Pomáhá při řešení bezpečnostních incidentů
Při podezření na únik dat nebo kybernetický incident je čas klíčový. Směrnice určuje předem, kdo může o kontrole rozhodnout, v jakých situacích je přípustná, jak se provádí, jak se pořizuje záznam a jak se chrání práva dotčené osoby.
Bez jasných pravidel může zaměstnavatel čelit nejen námitkám zaměstnance, ale i regulatorním otázkám a reputační škodě.
Existence předem přijatých pravidel může hrát zásadní roli při obhajování postupu vůči zaměstnanci, soudu nebo dozorovému orgánu.
Jaká rizika mohou správně nastavená pravidla pokrýt?
V praxi nejde jen o „hlídání zaměstnanců“. Dobře nastavená pravidla mohou firmu chránit zejména před těmito riziky:
- únik osobních údajů,
- únik obchodního tajemství a důvěrných informací,
- porušení sektorové regulace nebo smluvních povinností mlčenlivosti,
- ztráta důkazů o průběhu incidentu,
- spory se zaměstnanci o nepřípustný zásah do soukromí,
- reputační škoda,
- nekoordinovaný postup IT, HR, compliance a managementu.
Platí to jen pro stát, nebo i pro soukromý sektor?
V posuzovaném případě NSS zdůraznil, že ČÚZK pracuje s údaji zvláštní povahy a že spravuje informace, které jsou v systému vedeny na základě zákona. To nepochybně hrálo roli při posouzení přiměřenosti zásahu.
Za srovnatelně závažný důvod lze podle okolností považovat i situace, kdy zaměstnavatel pracuje například s:
- citlivými osobními údaji,
- bankovním nebo platebním tajemstvím,
- zdravotnickou dokumentací,
- vysoce důvěrnými klientskými informacemi,
- obchodním tajemstvím,
- bezpečnostně významnými systémy nebo infrastrukturou.
V soukromém sektoru přitom nestačí obecné tvrzení, že „jde o firemní schránku“. Zaměstnavatel musí umět ukázat, proč byla kontrola v dané situaci skutečně nutná.
Co by měla interní pravidla řešit?
Pokud chtějí zaměstnavatelé z rozhodnutí NSS, které dále vyjasňuje dosavadní praxi, vytěžit praktický benefit, měla by interní pravidla alespoň rámcově pokrýt:
- účel a limity používání pracovního e-mailu,
- zda a v jakém rozsahu je tolerováno soukromé užití,
- situace, kdy může dojít ke kontrole, včetně posouzení nezbytnosti a přiměřenosti zásahu (balanční test),
- okruh oprávněných osob,
- proces schvalování kontroly,
- pravidla dokumentace a auditní stopy,
- ochranu důvěrnosti a minimalizaci zásahu,
- návaznost na HR, IT, compliance a incident response.
Právě propojení právního, HR a bezpečnostního pohledu bývá v praxi rozhodující.
Pozoruhodné je, že zaměstnanec, který sám zveřejnil cizí osobní údaje na sociální síti, se následně dovolával ochrany soukromí své služební e-mailové komunikace. NSS se s tím vypořádal precizně a v souladu s evropskou judikaturou. Rozsudek je potvrzením, že kontrola pracovních e-mailů může být legitimním nástrojem – ale jen tehdy, je-li opřená o jasná pravidla, konkrétní důvod a přiměřený postup. Pro zaměstnavatele jde o připomínku, že interní směrnice nemá být jen „papír do šuplíku".
Rozsudek tak bude důležitý zejména pro zaměstnavatele, kteří nastavují pravidla monitoringu, pro HR a compliance týmy, pro specialisty na kyberbezpečnost a ochranu dat, ale i pro samotné zaměstnance, kteří pracují s citlivými informacemi.
- [1] – https://vyhledavac.nssoud.cz/DokumentOriginal/Html/780510.
- [2] – https://hudoc.echr.coe.int/eng#{%22itemid%22:[%22001-58039%22]}
- [3] – https://hudoc.echr.coe.int/fre#{%22itemid%22:[%22001-177082%22]}




.jpg.webp?hash=42aee78b200ecb233b8ce2152884450088fd4691)

