S přijetím zákona č. 264/2025 Sb., o kybernetické bezpečnosti, a postupným přijímáním prováděcích předpisů dochází k rozšiřování rámce povinností jednotlivých poskytovatelů regulovaných služeb, na něž se tento zákon vztahuje. Jednou z těchto povinností, které zákonná úprava přináší, je povinnost řízení aktiv, která je podrobněji upravena prováděcími předpisy. V souvislosti se splněním jednotlivých povinností poskytovatelé regulovaných služeb přistupují k nasazování nástrojů ochrany před únikem informací. Prostřednictvím těchto nástrojů však dochází rovněž k rozsáhlému monitorování aktivit zaměstnanců, a je tedy nutné, aby nástroje ochrany před únikem informací splňovaly veškeré zákonné podmínky při respektování právních limitů plynoucích z dalších právních předpisů. V tomto článku se autoři snaží přiblížit, jaké právní předpisy je třeba při zavádění nástrojů monitoringu zaměstnanců reflektovat.
zákon o kybernetické bezpečnosti monitoring zaměstnanců GDPR ochrana osobních údajů SIEM DLP
Zákon č. 264/2025 Sb., o kybernetické bezpečnosti (dále také jako ZKB nebo zákon o kybernetické bezpečnosti), upravuje celou řadu povinností, které musejí být ze strany poskytovatelů regulovaných služeb splňovány. Jednou z nich je i povinnost řízení aktiv. Ta je v obecné rovině upravena pro poskytovatele regulovaných služeb v § 14 odst. 1 písm. a) bodě 5. ZKB a pro poskytovatele regulovaných služeb v režimu nižších povinností v § 14 odst. 2 písm. c) ZKB. Povinnost řízení aktiv pro poskytovatele regulovaných služeb v režimu vyšších povinností je podrobněji upravena pro účely zákona o kybernetické bezpečnosti v přijímané vyhlášce o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností (dále také jako Vyhláška).1 Nad rámec základních povinností řízení aktiv Vyhláška v § 22 odst. 1 upravuje povinnost používat nástroj pro detekci bezpečnostních událostí, který zajišťuje ověření a kontrolu přenášených dat v rámci komunikační sítě a mezi komunikačními sítěmi, ověření a kontrolu přenášených dat na síťovém perimetru komunikační sítě a aktivní blokování nežádoucí komunikace v rámci komunikační sítě. Dále § 24 odst. 1 Vyhlášky stanovuje povinnost užívat nástroj pro nepřetržité vyhodnocování kybernetických bezpečnostních událostí detekovaných dle § 22 Vyhlášky
V souvislosti se splněním jednotlivých podmínek stanovených ve Vyhlášce dochází vedle jiných opatření ze strany poskytovatelů regulovaných služeb i k nasazování nástrojů ochrany před únikem informací, např. ve formě nástrojů typu Data Loss Prevention (dále také jako DLP) nebo Security Information and Event Management (dále také jako SIEM). Nástroje typu DLP nebo SIEM však v praxi představují formu monitoringu zaměstnanců, a z tohoto důvodu je zcela nezbytné, aby tyto nástroje byly užívány v rámci limitů stanovených tuzemskou právní úpravou. Platí rovněž, že kromě právních limitů uvedených níže je vždy třeba konkrétní nastavení monitorovacích nástrojů uzpůsobit výsledkům analýzy rizik povinné osoby. Dále je nezbytné uzpůsobit vnitřní předpisy a interní procesy povinné osoby tak, aby bylo zjevné dodržení zákonných povinností.
Autoři článku mají za to, že pro komplexní pochopení právní úpravy monitoringu zaměstnanců je nezbytné poukázat na ústavněprávní rámec problematiky. V rámci monitoringu dochází ke kolizi práva zaměstnavatele vlastnit a chránit majetek s právem zaměstnance na ochranu soukromí. Právo zaměstnavatele vlastnit a chránit svůj majetek je obsaženo v čl. 11 Listiny základních práv a svobod (dále také jako LZPS), který zaručuje každému právo vlastnit majetek a všem osobám poskytuje stejný obsah i ochranu vlastnického práva. Naproti tomu právo zaměstnance na ochranu soukromí je obsaženo v čl. 7 odst. 1 a čl. 10 LZPS. Dále je taktéž třeba zmínit i čl. 13 LZPS, kde je upraveno právo na ochranu listovního tajemství a tajemství jiných písemností a záznamů.
V případě kolize výše zmíněných základních práv je třeba posoudit možnost monitoringu zaměstnanců ve světle tříkrokového testu proporcionality.2 Prvním krokem testu je posouzení vhodnosti monitoringu zaměstnanců, tedy monitoring musí skutečně vést k dosažení sledovaného cíle. Druhým krokem je posouzení nezbytnosti monitoringu zaměstnanců, což znamená, že není dán jiný méně omezující způsob, jak daného cíle dosáhnout. Třetím krokem je pak přiměřenost, kterou je třeba vnímat tak, že zásah do práv zaměstnanců nesmí být nepřiměřeně rozsáhlý vzhledem ke sledovanému cíli monitoringu zaměstnanců. Test proporcionality těchto základních práv se odráží v zákonné právní úpravě monitoringu zaměstnanců.
Zákonná právní úprava ochrany soukromí je upravena v ustanovení § 86 zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů (dále také jako OZ). Ustanovení velice obecně určuje, že nikdo není oprávněn zasáhnout do soukromí druhého, nemá-li k tomu zákonný důvod. Ustanovení § 86 OZ demonstrativně uvádí případy, kdy není možné bez svolení člověka narušit jeho soukromí s tím, že úprava § 86 OZ se vztahuje i na písemnosti soukromé povahy. V případě tohoto ustanovení se však jedná o velice obecnou úpravu ochrany soukromí člověka.
Zákonná právní úprava monitoringu zaměstnanců je obsažena zejména u ustanovení § 316 zákona č. 262/2006 Sb., zákoník práce, ve znění pozdějších předpisů (dále také jako ZPr), kde jsou v odst. 2 a 3 upravena základní východiska pro provádění monitoringu zaměstnanců. Zaměstnavatel je oprávněn monitorovat činnost zaměstnance pouze v případech, kdy je dán závažný důvod spočívající ve zvláštní povaze činnosti zaměstnavatele. Je-li tento závažný důvod dán a zaměstnavatel má v úmyslu provádět monitoring zaměstnance, je povinen přímo informovat zaměstnance o rozsahu a způsobu provádění tohoto monitoringu. Pojem závažný důvod je nutno vnímat tak, že zájem zaměstnavatele je v daném případě natolik důležitý, že převáží nad chráněnými zájmy zaměstnance, které jsou v takovém případě omezeny. V tomto ohledu je však nutné uvést, že omezení chráněných zájmů zaměstnance musí být provedeno pouze v nezbytném rozsahu a nejvhodnějším způsobem k dosažení určeného cíle. K monitoringu zaměstnanců je tedy možné přistoupit za předpokladu, že se jedná o nejvhodnější prostředek k dosažení stanoveného cíle a je vyloučeno, aby cíle bylo možné dosáhnout jiným způsobem za menšího zásahu do chráněných zájmů zaměstnance.3
S právní úpravou monitoringu zaměstnanců obsaženou v ustanoveních § 316 ZPr jsou úzce propojena ustanovení § 24a zákona č. 251/2005 Sb., o inspekci práce, ve znění pozdějších předpisů, která upravují sankce za porušení povinností zaměstnavatele při provádění monitoringu zaměstnanců. V případě, že zaměstnavatel bude provádět monitoring zaměstnanců a nebudou splněny zákonné podmínky obsažené v § 316 odst. 2 ZPr, jedná se o přestupek, za který zaměstnavateli hrozí pokuta až ve výši 1 000 000Kč. Provádí-li zaměstnavatel monitoring zaměstnanců v souladu se zákonnými podmínkami, avšak opomene zaměstnance informovat o rozsahu a provádění monitoringu ve smyslu § 316 odst. 3 ZPr, jedná se o přestupek. Za tento přestupek je možné zaměstnavateli uložit pokutu až ve výši 100 000Kč.
Na problematiku monitoringu zaměstnanců je nutné taktéž nahlížet ve světle ochrany osobních údajů zaměstnanců, a je tedy třeba splňovat povinnosti dle Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ ES (dále také jako GDPR) a souvisejícího zákona č. 110/2019 Sb., o zpracování osobních údajů, ve znění pozdějších předpisů. Tyto předpisy neobsahují konkrétní ustanovení týkající se přímo monitoringu zaměstnanců, avšak upravují základní podmínky a zásady zpracování osobních údajů, ke kterému v souvislosti s monitoringem zpravidla dochází. Mezi základní zásady zpracování osobních údajů dle GDPR patří zejména zákonnost, konkrétnost, transparentnost, omezení účelem, minimalizace zpracovávaných údajů, přesnost, omezení ukládání, integrita a důvěrnost. V souvislosti s monitoringem zaměstnanců a ochranou osobních údajů je třeba poukázat na nutnost rozlišování, v jakém případě se jedná o soukromou elektronickou adresu a v jakém případě o elektronickou adresu úřední, od čehož se odvíjí i rámec povinností zaměstnavatele.4
Je tedy zjevné, že zákon o kybernetické bezpečnosti a Vyhláška sice zavádějí povinnost k nasazení technických nástrojů, avšak jejich užití je limitováno celou řadou dalších právních předpisů, resp. je při zavedení těchto nástrojů nutné splnit povinnosti z těchto předpisů plynoucích.
Závěrem článku je nutno shrnout, za jakých podmínek je možné ze strany zaměstnavatele přistoupit k nasazení nástrojů ochrany před únikem informací, jimiž dochází k monitoringu zaměstnanců. Autoři v tomto ohledu považují za vhodné upozornit na skutečnost, že pro určité zaměstnavatele mohou být podmínky pro nasazení nástrojů ochrany před únikem informací v určitých oblastech mírně odlišné zejména z důvodu vnitřních předpisů zaměstnavatele, kterými je vázán. Nicméně zákonné podmínky nasazení nástroje ochrany před únikem informací, kterými dochází k monitoringu zaměstnanců, jsou následující:
- Monitoring zaměstnanců musí vést k dosažení sledovaného cíle.
- Monitoring zaměstnanců je možné provádět pouze v nezbytném rozsahu, který odpovídá sledovanému účelu a je nezbytný pro dosažení určitého cíle.
- K monitoringu zaměstnanců je zaměstnavatel oprávněn přistoupit pouze v případě, že není možné dosáhnout cíle jinými, méně invazivními prostředky.
- Monitoring zaměstnanců je zaměstnavatel povinen provádět nejméně invazivní metodou monitoringu.
- Zaměstnavatel je povinen zaměstnance o monitoringu předem informovat.
- Zaměstnavatel je oprávněn využívat výstupy monitoringu zaměstnanců pouze k dosažení sledovaných cílů. S výstupy je povinen zacházet dle příslušných zákonných ustanovení.
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
Poznámky pod čarou:
- Ke dni 4. října 2025 se jedná o návrh vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností (stav: 9PK – projednáno PK), dostupné z: https://odok.gov.cz/portal/veklep/material/ALBSDGQCWPDA/
- Viz např. nález Ústavního soudu, sp. zn. IV. ÚS 412/04, ze dne 7. 12. 2005
- PICHRT, J. a kol. Zákoník práce: Praktický komentář. [online]. [Systém ASPI]. Wolters Kluwer, [cit. 2025-07-21]. ASPI_ID KO262_p12006CZ. Dostupné z: http://www.aspi.cz. ISSN 2336-517X
- Více k problematice: Úřad pro ochranu osobních údajů, Stanovisko č. 2/2009 k problematice zpracování osobních údajů. Praha: Úřad pro ochranu osobních údajů, 2009
