Nakladatelství Forum, s.r.o. > Blog > E-mail a telefon bývalého zaměstnance: Jak správně postupovat a neporušit GDPR?
Datum zveřejnění: 1. 7. 2025

E-mail a telefon bývalého zaměstnance: Jak správně postupovat a neporušit GDPR?

Ukončení pracovního poměru zaměstnance přináší řadu organizačních i právních kroků. Kromě předání agendy, vrácení pracovních prostředků či vystavení zápočtového listu se firmy musí vypořádat také s tím, co udělat s e-mailovou schránkou a telefonním číslem bývalého zaměstnance. V mnoha případech se totiž jedná o osobní údaje chráněné podle GDPR. Jak tedy postupovat v souladu se zákonem a zároveň zajistit kontinuitu provozu?

Pracovní vs. soukromý e-mail: co je co?

Základem správného postupu je rozlišení, zda se jedná o:

E-mailová adresa obsahující jméno zaměstnance je podle výkladu GDPR považována za osobní údaj, i když byla vytvořena zaměstnavatelem pro pracovní účely. To znamená, že zaměstnavatel nemůže do této schránky libovolně nahlížet a musí postupovat obezřetně.

Naopak obecná schránka bez vazby na konkrétní osobu se za osobní údaj nepovažuje, a zaměstnavatel s ní může po odchodu zaměstnance nakládat volněji.

Jak postupovat při ukončení pracovního poměru

V ideálním případě:

  • Požádejte zaměstnance, aby si vymazal soukromé e-maily.
  • Nechte si předat relevantní pracovní e-maily (případně je přeposlat jinému kolegovi).
  • Domluvte se na nastavení automatické odpovědi, která informuje o jeho odchodu a nasměruje odesílatele na jinou kontaktní osobu.
  • Zajistěte, aby zaměstnanec dopředu informoval své kontakty, např. v podpisu e-mailu.

Tento postup sníží riziko, že bude nutné do schránky nahlížet až po odchodu zaměstnance.

Pokud není odchod předvídatelný:

V případě okamžitého zrušení pracovního poměru může zaměstnavatel sám nastavit automatickou odpověď a v nezbytném rozsahu do e-mailové schránky nahlédnout – například za účelem předání obchodních kontaktů. I zde je však nutné:

  • postupovat šetrně,
  • přistupovat pouze k relevantním pracovním zprávám,
  • vyhýbat se čtení soukromé korespondence.

Zaměstnavatel by měl využívat filtrace podle klíčových slov, časového období nebo odesílatele a nepřistupovat ke všem e-mailům bez rozdílu.

Archivace e-mailové schránky a její smazání

Z pohledu GDPR se ukončením pracovního poměru ruší právní důvod pro zpracování osobních údajů. E-mailová schránka by měla být:

  • ideálně smazána ihned po skončení pracovního poměru,
  • případně archivována na přechodnou dobu (max. 3 měsíce), pokud k tomu existuje oprávněný zájem zaměstnavatele (např. zajištění plynulosti projektů).

Po uplynutí této doby je nutné:

  • schránku zcela smazat,
  • zajistit, aby na ni již nebylo možné doručit nové e-maily.

Jak naložit s telefonním číslem a mobilním telefonem

Podobně jako u e-mailu platí, že telefonní číslo zaměstnance (pokud je spojeno s jeho osobou) je osobním údajem. Proto doporučujeme:

  • deaktivovat pracovní číslo, případně jej přidělit jinému zaměstnanci až po odstranění všech spojení s bývalým pracovníkem,
  • vymazat data z pracovního mobilního telefonu a SIM karty,
  • zaměstnanci umožnit stažení soukromých dat, pokud bylo zařízení používáno i k osobním účelům,
  • smazat kontakty a odkazy na dané číslo z webu, podpisů, vizitek a dalších veřejných zdrojů.

Právní rámec: kdy je přístup zaměstnavatele oprávněný?

Přístup do e-mailu nebo telefonu bývalého zaměstnance lze odůvodnit tzv. oprávněným zájmem (čl. 6 odst. 1 písm. f) GDPR), například pro ochranu oprávněných zájmů firmy – tedy zajištění předání rozpracovaných projektů či komunikace s klienty.

Aby však byl tento zájem právně udržitelný, musí být:

  • nezbytný (nelze dosáhnout jiným způsobem),
  • přiměřený (omezující práva zaměstnance co nejméně),
  • transparentně komunikovaný – ideálně formou vnitřního předpisu.

Doporučení pro zaměstnavatele

  1. Zaveďte vnitřní směrnici, která definuje pravidla pro nakládání s e-maily a telefonními čísly (před i po skončení pracovního poměru).
  2. Seznamte zaměstnance s tímto pravidlem již při nástupu.
  3. Zajistěte technické řešení pro nastavení automatických odpovědí, archivaci i bezpečné mazání dat.
  4. Respektujte soukromí a zásadu minimalizace – nahlížejte jen do toho, co je nezbytně nutné.
  5. Dokumentujte důvody přístupu k osobním údajům a nastavte jasná pravidla odpovědnosti.

Tip pro vás!↘️

GDPR pod útokem masivních regulací 2025

GDPR pod útokem masivních regulací 2025

Rychlé kroky, jak legalizovat AI • GDPR 2.0 • 7 (ne)smrtelných hříchů v marketingu

Termín: 22. 10. 2025 | Místo konání: Praha, Hotel Olympik

Další články

27. 6. 2025

Nové limity pro veřejné zakázky malého rozsahu od 3. 4. 2025: Co přináší novela ZZVZ?

Dne 3. dubna 2025 vstoupila v účinnost novela zákona o zadávání veřejných zakázek, provedená zákonem č. 69/2025 Sb. Tato novela...

24. 6. 2025

Přesun financování nepedagogických pracovníků na zřizovatele od 1. 1. 2026

Od 1. ledna 2026 by měl v Česku vstoupit v platnost nový systém financování nepedagogických pracovníků ve školách. Novela školského...

20. 6. 2025

Zaměstnanci jako IT hrozba firmy: Největší slabina kybernetické bezpečnosti?

Kybernetická bezpečnost firem čelí stále sofistikovanějším útokům, ale statistiky potvrzují jedno nepříjemné zjištění: největší IT hrozbu často představují samotní zaměstnanci....

17. 6. 2025

AI ve firmě prakticky: Jak využít umělou inteligenci v HR a interní komunikaci

Umělá inteligence (AI) už dávno není jen trendem. V moderních firmách se stává každodenním nástrojem pro efektivní řízení lidských zdrojů,...

13. 6. 2025

Generační rozdíly ve firmě: Skrytý potenciál nebo časovaná bomba?

Na dnešních pracovištích je běžné, že spolupracují zaměstnanci různých věkových skupin – od zkušených odborníků z řad baby boomers až...

11. 6. 2025

Spisový řád a vedení spisové služby ve škole: Co musí každá škola vědět

Povinnosti škol v oblasti vedení spisové služby a zpracování školních dokumentů jsou přesně stanoveny archivním zákonem. Každá škola musí mít...