Rozsudek Nejvyššího soudu České republiky (dále jen „NS ČR“) ze dne 26. února 2026, sp. zn. 21 Cdo 3349/2024, se zabýval odpovědností zaměstnanců za provedení platby na základě tzv. phishingového útoku.
Shrnutí skutkového stavu
Zaměstnavatel se domáhal po svém bývalém zaměstnanci náhrady škody ve výši přes 760 tis. Kč. Škoda vznikla v souvislosti s provedením zahraniční platby ve výši 47 000 EUR na základě e-mailu, který byl vydáván za pokyn generálního ředitele společnosti. Ve skutečnosti šlo o phishingový útok.
Žalovaný byl vedoucím zaměstnancem – ředitelem divize financí (G1), podřízenou byla ředitelka sekce (G2, účetnictví a daně). Dne 19. prosince 2017 obdržel v 8:52 e-mail údajně od generálního ředitele (nezobrazená adresa), s dotazem na zůstatek a žádostí o platbu 47 000 EUR. V 9:02 potvrdil údajnému generálnímu řediteli dostatek prostředků.
V 9:09 obdržel pokyny k platbě a žádost o potvrzení; v 9:12 uvedl, že pokyn předá. Následovaly urgence. Telefonicky jednal s ředitelkou sekce, která požadovala e-mail s elektronickým podpisem, jak vyžadoval vnitřní předpis zaměstnavatele; žalovaný ji ujistil, že s generálním ředitelem hovořil.
V 9:53 požádal údajného generálního ředitele o zaslání podepsaného pokynu, v 9:58 bylo sděleno, že dokumenty dodá později a platba má být provedena ihned.
V 9:59 přeposlal e-mail své podřízené s poznámkou „Jitko, prosím…“. Tato ředitelka sekce v 10:09 zadala své podřízené provést zahraniční platbu po ověření dispozic, přičemž žalovaný byl informován.
Právní otázky řešené NS ČR
NS ČR řešil:
- jakým způsobem se vykládá pokyn nadřízeného zaměstnance vůči podřízenému (tzv. faktické jednání) v pracovněprávních vztazích a
- jak se určuje míra zavinění více zaměstnanců při společné odpovědnosti za škodu podle § 257 odst. 5 zákoníku práce.
Závěry NS ČR
Povaha pokynu nadřízeného zaměstnance
NS ČR potvrdil, že:
- pokyn zaměstnavatele nebo vedoucího zaměstnance k výkonu práce není právním jednáním, ale tzv. faktickým jednáním,
- jeho obsah je však třeba vykládat obdobně podle pravidel výkladu projevu vůle podle občanského zákoníku (§ 556 o. z.),
- při výkladu je nutné zohlednit zejména:
- úmysl jednající osoby,
- kontext situace,
- předchozí komunikaci mezi účastníky,
- praxi mezi stranami.
NS ČR uzavřel, že e-mail žalovaného obsahující text „Jitko, prosím“ ve spojení s předchozí komunikací představoval pokyn podřízené zaměstnankyni k provedení pokynu domnělého generálního ředitele, tedy k realizaci platby.
Odpovědnost zaměstnance za škodu
Pro vznik odpovědnosti zaměstnance za škodu musí být splněny všechny předpoklady:
- porušení pracovních povinností,
- vznik škody,
- příčinná souvislost,
- zavinění zaměstnance.
Žalovaný tyto povinnosti porušil zejména tím, že:
- prosadil realizaci platebního pokynu, který nesplňoval náležitosti interních předpisů, ujistil podřízenou zaměstnankyni, že komunikoval s generálním ředitelem, čímž odstranil její pochybnosti.
Míra zavinění při odpovědnosti více zaměstnanců
NS ČR zdůraznil, že pojem „míra zavinění“ podle § 257 odst. 5 ZP zahrnuje:
- formu zavinění (např. nedbalost),
- význam porušení povinností pro vznik škody.
V posuzovaném případě:
- oba zaměstnanci jednali ve formě vědomé nedbalosti,
- rozhodující roli při vzniku škody však sehrál žalovaný, který jako vedoucí zaměstnanec prosadil provedení platby.
Proto NS ČR dovodil, že:
- míra zavinění žalovaného nemůže být nižší než 75 %,
- míra zavinění druhé zaměstnankyně nemůže přesáhnout 25 %.
Dopad rozhodnutí
- má význam zejména v oblasti odpovědnosti zaměstnanců za škodu,
- potvrzuje, že pokyny nadřízených lze vyvozovat i z nepřímé komunikace, pokud to vyplývá z kontextu,
- zdůrazňuje odpovědnost vedoucích zaměstnanců za vadné pokyny,
- upřesňuje výklad pojmu „míra zavinění“ při společné odpovědnosti více zaměstnanců.
Rozhodnutí je významné také pro praxi zaměstnavatelů při řešení škod způsobených kybernetickými útoky (např. phishingem) a pro nastavení interních kontrolních mechanismů při provádění finančních transakcí.
Celý HR Legal Update 03/2026 ke stažení zde.