Nese vedoucí zaměstnanec odpovědnost za škodu způsobenou phishingovým útokem, pokud v rozporu s interními pravidly prosadí provedení platby? Ano.

Žalovaný působil jako ředitel divize financí České pošty. Obdržel e-maily od osoby vydávající se za generálního ředitele s požadavkem na urgentní platbu ve výši 47 000 EUR. Požadavek však nesplňoval náležitosti vyžadované interními předpisy. Žalovaný přesto o platbě opakovaně komunikoval s podřízenou zaměstnankyní, telefonicky urgoval provedení platby a následně podřízené přeposlal další e-mail se slovy „Jitko, prosím..“. Platba byla provedena a teprve poté vyšlo najevo, že šlo o phishingový útok.

Odvolací soud uzavřel, že žalovaný dal pokyn k provedení platby a odpovídá proto za polovinu vzniklé škody; za druhou polovinu odpovídá podřízená zaměstnankyně, která rovněž porušila interní předpisy.

Nejvyšší soud (21 Cdo 3349/2024) zdůraznil, že obsah takového sdělení je třeba posuzovat podle celého kontextu komunikace. V projednávané věci proto nešlo jen o neurčitou prosbu, ale o prosazení provedení platby navzdory nesplnění interních požadavků. Nejvyšší soud současně korigoval závěr odvolacího soudu a uzavřel, že žalovaný se na vzniku škody podílel podstatně více než jeho podřízená: jeho podíl na škodě nemůže být nižší než 75 %, zatímco u podřízené nemůže přesáhnout 25 %.

Poučení:

Při posuzování odpovědnosti zaměstnance za škodu nelze vycházet jen z izolovaného textu jednotlivého sdělení. Rozhodující může být celý kontext komunikace i postavení zaměstnance. Při spoluodpovědnosti více zaměstnanců pak nerozhoduje jen forma zavinění, ale i význam jejich jednání pro vznik celkové škody.

Autoři: Pracovněprávní tým