Nabourání do emailu: Kdy je to trestný čin a jaké jsou sankce v roce 2026

Nabourání do emailu není jen nepříjemným narušením soukromí, ale v mnoha případech i závažným trestným činem. České právo považuje e-mailovou schránku za počítačový systém, a proto se na neoprávněný přístup k ní vztahují přísné trestní sankce. Tento článek vám srozumitelně vysvětlí, kdy se z hackerského útoku stává trestný čin, jaké postihy hrozí pachatelům a jak se jako oběť účinně bránit.

Co je považováno za nabourání do emailu z právního hlediska

V kontextu českého trestního práva není nabourání do emailu trestný čin pouze technický pojem z oblasti kybernetické bezpečnosti, ale především jasně definovaný skutek, který může mít závažné právní následky. Abychom porozuměli tomu, kdy se jedná o trestný čin a jaké sankce hrozí, musíme nejprve přesně vymezit, co zákonodárce a soudy považují za neoprávněný přístup k cizí elektronické komunikaci.

E-mailová schránka jako počítačový systém

Základním kamenem právní kvalifikace je skutečnost, že e-mailová schránka je judikaturou považována za počítačový systém ve smyslu § 230 trestního zákoníku. Tento výklad potvrdil Nejvyšší soud České republiky v právní větě ze dne 3. listopadu 2021, když jednoznačně stanovil, že elektronická pošta není veřejnou komunikací – přístup k ní je chráněn jedinečným heslem a zprávy v ní uchovávané jsou považovány za „jiný dokument uchovávaný v soukromí“.

E-mailová schránka tedy není pouhou „schránkou na dopisy“, ale z pohledu zákona představuje komplexní systém, do něhož je vstup bez souhlasu vlastníka zakázán. Tento výklad je zásadní i pro případy, kdy se útočník snaží argumentovat tím, že „se jen podíval“ nebo že „nic neukradl“. Zákon je v tomto směru nekompromisní.

Formy neoprávněného přístupu

Neoprávněný přístup k emailu může mít několik podob, přičemž všechny jsou z právního hlediska postižitelné. Mezi nejčastější formy hackingu emailu patří:

• Prolomení hesla (password cracking) – útočník pomocí specializovaného softwaru nebo hrubou silou uhodne či prolomí přihlašovací údaje. I v případě, že se jedná o slabé heslo typu „123456″, je prolomení považováno za neoprávněný přístup.
• Zneužití cizího přihlášení – pachatel získá přístupové údaje například odcizením mobilního telefonu, nahlédnutím přes rameno oběti (tzv. shoulder surfing) nebo využitím toho, že oběť zůstala přihlášena na veřejném počítači.
• Phishing a sociální inženýrství – útočník oběť podvodně přesvědčí, aby mu sama sdělila své přihlašovací údaje, například prostřednictvím falešné přihlašovací stránky, která se tváří jako oficiální služba.

Pro trestní odpovědnost přitom postačí, že se pachatel byť jen jednou přihlásí do cizí e-mailové schránky bez souhlasu oprávněného uživatele. I pouhé přihlášení bez dalšího jednání (např. bez čtení zpráv, mazání obsahu nebo odesílání falešných e-mailů) může být trestné. Není nutné, aby vznikla konkrétní škoda nebo aby útočník dále s daty manipuloval – samotný neoprávněný vstup je dokonáním trestného činu.

Jak upozorňuje analýza advokátní kanceláře Rowan Legal, v případech závažnějších forem neoprávněného přístupu (např. pokud útočník získá přístup k většímu množství schránek nebo pokud jedná organizovaně) může hrozit trest odnětí svobody až na tři nebo pět let. Za standardní neoprávněný přístup k emailu přitom hrozí pachateli až dvouletý trest odnětí svobody či zákaz činnosti.

Zvláštní pozornost si zaslouží také problematika krádeží internetových účtů, kdy se pachatelé nezaměřují pouze na e-mail, ale na veškeré online služby, které oběť používá. E-mailová schránka je však často klíčem k dalším účtům – pokud útočník získá přístup k e-mailu, může si nechat zaslat resetovací hesla k bankovnímu účtu, sociálním sítím či firemním systémům. Právě proto zákon přistupuje k nabourání do emailu s maximální přísností.

Právní rámec: § 230 trestního zákoníku a související předpisy

Pro pochopení toho, zda a kdy je nabourání do emailu trestný čin, je nezbytné se podívat na klíčové ustanovení trestního zákoníku – konkrétně na § 230 trestního zákoníku, který postihuje neoprávněný přístup k počítačovému systému a nosiči informací. Tento paragraf je základním pilířem právní ochrany před kybernetickými útoky, včetně prolomení e-mailového účtu.

Skutková podstata trestného činu

Základní skutková podstata je upravena v odstavci 1 § 230 trestního zákoníku. Podle ní se trestného činu dopustí ten, kdo překoná bezpečnostní opatření a neoprávněně vstoupí do počítačového systému nebo jeho části. V kontextu e-mailu to znamená například uhodnutí hesla, využití slabého zabezpečení, phishingový útok nebo zneužití zapomenutého účtu. Důležité je, že se nemusí jednat o složitý hackerský útok – stačí, když pachatel věděl, že nemá oprávnění ke vstupu, a přesto tak učinil.

Zákon vyžaduje úmyslné zavinění. Pachatel si musí být vědom, že jeho jednání je neoprávněné. To je klíčový rozdíl oproti situaci, kdy například uživatel omylem zadá špatné heslo nebo se přihlásí k účtu, k němuž má dočasný přístup. Pokud pachatel jednal z nedbalosti, § 230 se neuplatní. Více o rozdílu mezi úmyslem a nedbalostí se dočtete v článku o zavinění v trestním právu.

Vedle samotného vniknutí do systému zákon postihuje i neoprávněné užití dat (odst. 1 písm. b) – například čtení e-mailů, jejich kopírování, mazání či změnu. Pachatel se nemusí dopustit žádné další škody; samotný neoprávněný přístup je trestný, pokud k němu došlo úmyslně a po překonání bezpečnostního opatření.

Trestní sazby a kvalifikované skutkové podstaty

Trestní sazby se liší podle závažnosti činu a okolností, za kterých k němu došlo. Zákoník rozlišuje čtyři úrovně postihu:

Prakticky to znamená, že pokud pachatel nabourá e-mail a způsobí škodu například ve výši 50 000 Kč (větší škoda), může být potrestán až pěti lety vězení. Pokud se jedná o organizovanou skupinu, která působí v několika státech a způsobí škodu přesahující 1 000 000 Kč (škoda velkého rozsahu), hrozí trest až osm let. Je důležité si uvědomit, že škoda nemusí být jen finanční – může jít i o újmu na pověsti, ztrátu důvěry nebo narušení soukromí.

Novela trestního zákoníku účinná od ledna 2026 přináší zpřísnění v oblasti zneužití identity pro výrobu pornografie (nový § 191a), ale pro samotný neoprávněný přístup k počítačovému systému zůstává § 230 klíčovým ustanovením. Jak upozorňuje právní analýza na serveru Rowan Legal, i v tomto případě hrozí pachateli dvouletý trest odnětí svobody či zákaz činnosti. U závažnějších činů, jako je získání výraznějšího majetkového či jiného prospěchu, může být trest zvýšen až na tři nebo pět let.

Dále je nutné zdůraznit, že nabourání do emailu trestný čin není jen o samotném vniknutí. Pokud pachatel data dále zneužije – například k podvodu, krádeži identity nebo k založení falešného profilu – může být stíhán i za další trestné činy, jako je podvod, poškození cizích práv nebo porušení tajemství dopravovaných zpráv. Všechny tyto skutky se posuzují samostatně a tresty se sčítají.

Pro dokonalé pochopení je vhodné zmínit, že § 230 trestního zákoníku nevyžaduje, aby pachatel data skutečně použil – samotný neoprávněný přístup je trestný. Pokud se například někdo nabourá do e-mailové schránky kolegy, přečte si jeho zprávy, ale nic neudělá, pořád se dopustil trestného činu. Tato přísnost odráží závažnost narušení soukromí a důvěry v digitálním prostředí.

Rozdíl mezi přestupkem a trestným činem při nabourání do emailu

Ne každé neoprávněné vniknutí do cizí e-mailové schránky automaticky znamená trestní odpovědnost. Český právní řád rozlišuje mezi přestupkem a trestným činem na základě několika klíčových faktorů, především výše způsobené škody, intenzity zásahu a formy zavinění. Zatímco bagatelní jednání s minimálním dopadem může skončit pouze napomenutím či pokutou, závažnější případy již spadají pod trestní právo a hrozí za ně nepodmíněné tresty odnětí svobody. Nabourání do emailu trestný čin se stává teprve tehdy, pokud jsou naplněny zákonné znaky skutkové podstaty podle § 230 trestního zákoníku.

Pro laika je často obtížné rozpoznat, kde leží ona pomyslná hranice. Následující přehled vám pomůže orientovat se v základních kritériích, která rozhodují o tom, zda bude pachatel čelit správnímu řízení, nebo trestnímu stíhání.

Hranice škody a intenzity jednání

Základním dělítkem mezi přestupkem a trestným činem je výše škody a intenzita samotného zásahu. Podle ustálené judikatury a výkladové praxe Policie ČR se trestný čin neoprávněného přístupu k počítačovému systému a nosiči informací dle § 230 trestního zákoníku aplikuje až od určité hranice závažnosti. Jak uvádí Policie České republiky ve své charakteristice kyberkriminality, nejtypičtějším případem je jednání, kdy pachatel překoná zabezpečení systému a získá přístup k datům oběti, s nimiž dále libovolně nakládá – a právě tento „další následek“ je klíčový pro posouzení trestní odpovědnosti.

Pokud pachatel pouze „vyzkouší“ slabé heslo, vstoupí do schránky, nic nepoškodí, nezkopíruje data a okamžitě systém opustí, půjde zpravidla o přestupek proti soukromí podle § 81 a násl. zákona o přestupcích, za který hrozí pokuta do několika tisíc korun. Jakmile však dojde byť jen k hrozbě škody na cizím majetku, k narušení dat nebo k získání byť nepatrného prospěchu, jednání se překlápí do roviny trestného činu. Důležité je, že i samotný pokus je trestný – pokud se pachatel pokusí překonat zabezpečení e-mailového účtu, ale nepodaří se mu to, může být i přesto stíhán za pokus trestného činu dle § 230 odst. 1.

Role úmyslu a nedbalosti

Dalším zásadním faktorem je forma zavinění. Trestný čin podle § 230 trestního zákoníku vyžaduje úmyslné jednání – pachatel musí vědět, že vstupuje do cizího systému neoprávněně, a musí chtít tohoto jednání dosáhnout. Naopak nedbalost (např. omylem zadané podobné heslo, technická chyba) zakládá odpovědnost pouze v rovině přestupkové, a to jen v omezené míře. Pokud tedy někdo nevědomky a bez zavinění vstoupí do cizí schránky, trestně odpovědný nebude vůbec.

Praktický dopad úmyslu je zásadní: pokud pachatel vnikne do e-mailu, aby získal přístup k internetovému bankovnictví a odcizil finance, půjde jednoznačně o trestný čin. Pokud totéž provede ze zvědavosti, aniž by data dále zneužil, může být kvalifikace mírnější – ovšem stále se může jednat o trestný čin, pokud je naplněna byť jen hrozba škody. Zvláštní přitížení nastává, pokud pachatel následně zneužije identitu oběti například k výrobě či šíření pornografického díla – podle novely trestního zákoníku účinné od roku 2026 je dle § 191a trestné nejen samotné vytvoření takového díla, ale také jeho šíření či zpřístupnění dalším osobám, přičemž trestní sazba může dosahovat až pěti let odnětí svobody.

Pro snadnější orientaci přinášíme srovnávací tabulku klíčových kritérií:

Z výše uvedeného je patrné, že klíčovým momentem pro posun z přestupkové do trestní roviny je kombinace škody (reálné či hrozící) a úmyslu. Pokud obě složky dosáhnou dostatečné intenzity, je na místě trestní oznámení a zahájení úkonů trestního řízení. Pro podrobnější rozlišení mezi jednotlivými kategoriemi trestných činů a přečinů doporučujeme náš specializovaný článek o přečin vs trestný čin, kde naleznete podrobný výklad včetně konkrétních příkladů z judikatury.

V praxi se velmi často setkáváme s tím, že oběti váhají, zda podat trestní oznámení, protože si nejsou jisté, zda jejich případ „dosahuje“ na trestný čin. Naše doporučení je jednoznačné: pokud došlo byť jen k pokusu o nabourání e-mailu, vždy věc konzultujte s advokátem specializujícím se na kybernetickou kriminalitu. I zdánlivě malá škoda může být při správné argumentaci kvalifikována jako trestný čin, zejména pokud pachatel jednal s přímým úmyslem a způsobil alespoň hrozbu škody na datech či soukromí oběti.

Příklady z praxe a judikatura českých soudů

Teoretický výklad právních norem je nezbytný, ale skutečnou představu o tom, jak je nabourání do emailu trestný čin posuzováno v praxi, dává až konkrétní judikatura a soudní rozhodnutí. Níže uvádíme několik anonymizovaných příkladů z praxe, které ilustrují, jak české soudy aplikují § 230 trestního zákoníku a související ustanovení.

Klíčovým precedentem je právní věta Nejvyššího soudu ze dne 3. listopadu 2021, podle které elektronická pošta není veřejná komunikace, a to přesto, že zprávy jsou uchovávány jinde, než v e-mailové schránce uživatele. Soud výslovně uvedl, že e-mailová komunikace je vymezena předem určenými subjekty, jejichž přístupy jsou chráněny jedinečným heslem, a proto spadá pod definici „jiného dokumentu uchovávaného v soukromí“ podle trestního zákoníku. Toto rozhodnutí zásadně ovlivnilo posuzování případů neoprávněného přístupu k e-mailovým schránkám.

Případ neoprávněného čtení firemní pošty

V prvním anonymizovaném případě se jednalo o zaměstnance středně velké obchodní společnosti, který se bez souhlasu naboural do firemního e-mailového účtu svého kolegy. Pachatel využil skutečnosti, že kolega měl uložené heslo v nezabezpečeném sdíleném dokumentu. Po získání přístupu si zaměstnanec stáhl citlivé obchodní informace, včetně nabídek pro klienty a interní korespondence s dodavateli. Tyto informace následně použil k vlastnímu prospěchu při jednání s konkurenční firmou.

Právní závěr soudu: Soud v tomto případě kvalifikoval jednání jako neoprávněný přístup k počítačovému systému a nosiči informací podle § 230 odst. 1 trestního zákoníku, ve spojení s porušením tajemství dopravovaných zpráv podle § 183 trestního zákoníku. Pachatel byl odsouzen k podmíněnému trestu odnětí svobody v délce 18 měsíců se zkušební dobou 2 roky a dále k zákazu činnosti spočívající v přístupu k informačním systémům zaměstnavatele po dobu 3 let. Soud zdůraznil, že „e-mailová schránka zaměstnance, byť je zřízena v rámci firemní infrastruktury, není veřejně přístupným prostorem a její obsah požívá ochrany jako soukromý dokument.“

Tento případ dobře ilustruje, že i motivace „pouze“ získat obchodní výhodu, nikoli způsobit přímou škodu, je trestněprávně relevantní. Jak upozorňuje Dostupný advokát, zneužitím cizí identity na internetu se pachatel může dopustit nejednoho trestného činu – od porušení tajemství dopravovaných zpráv až po opatření a přechovávání přístupového zařízení a hesla k počítačovému systému.

Hacking soukromého účtu a vydírání

Druhý anonymizovaný případ se týkal hackera, který pomocí phishingové kampaně získal přístup k soukromému e-mailovému účtu mladé ženy. Pachatel si z účtu stáhl osobní fotografie a citlivou korespondenci, kterou následně použil jako nástroj k vydírání. Požadoval výkupné ve výši 50 000 Kč výměnou za nezveřejnění materiálů. Když oběť odmítla zaplatit, hacker rozeslal část materiálů jejím kontaktům a vyhrožoval dalšími úniky.

Právní závěr soudu: Soud kvalifikoval jednání jako neoprávněný přístup k počítačovému systému podle § 230 odst. 1, 2 trestního zákoníku (překonání zabezpečení a získání přístupu k datům), dále jako vydírání podle § 175 trestního zákoníku a nebezpečné pronásledování podle § 354 trestního zákoníku. Pachatel byl odsouzen k nepodmíněnému trestu odnětí svobody v délce 3 let a k náhradě nemajetkové újmy ve výši 80 000 Kč. Soud konstatoval, že „hacker, který získá přístup k e-mailovému účtu a následně oběť vydírá, se dopouští zvlášť závažné trestné činnosti, která zasahuje nejen do soukromí, ale i do osobní svobody poškozeného.“

Tento příklad ukazuje, že nabourání do emailu trestný čin není pouze technickým přestupkem, ale může mít závažné následky pro pachatele i oběť. Jak uvádí Policie České republiky, stále častější formou kyberkriminality je napadení e-mailových účtů, účtů na sociálních sítích a internetového bankovnictví, což má za následek průnik do soukromí, získávání citlivých informací s možností jejich poškození nebo zničení, a v neposlední řadě získání finančního prospěchu. S tím souvisí i další navazující trestná činnost, jako je vydírání, nebezpečné pronásledování, krádeže z účtů a podvody.

Tyto případy z praxe potvrzují, že české soudy přistupují k nabourání do emailu jako k trestnému činu s rostoucí přísností, zejména pokud je spojen s další trestnou činností. Judikatura se v posledních letech vyvíjí směrem k širší ochraně digitálního soukromí, což je v souladu s evropskými standardy a požadavky moderní kybernetické bezpečnosti.

Jak postupovat, pokud se stanete obětí nabourání do emailu

Stát se obětí hackingu vlastní e-mailové schránky je v dnešní době bohužel stále častější realitou. Útočníci cílí nejen na běžné uživatele, ale prostřednictvím tzv. whaling útoků i na manažery a vedoucí pracovníky, u nichž díky personalizovaným informacím dokáží navodit falešný pocit naléhavosti a autority. Podle britského Národního centra kybernetické bezpečnosti (NCSC) tyto útoky obsahují „personalizované informace o cílové organizaci nebo jednotlivci“ a využívají jazyk a tón obchodní komunikace, aby přiměly oběť k poskytnutí citlivých údajů, instalaci malwaru nebo převodu finančních prostředků (zdroj). Pokud jste se sami stali terčem takového útoku, je klíčové jednat rychle, systematicky a s vědomím, že nabourání do emailu trestný čin je a jako takový se musí řešit. Následující pětibodový návod vám pomůže minimalizovat škody a připravit podklady pro úspěšné trestní oznámení.

Okamžité kroky po zjištění útoku

1. Okamžitá změna hesla a kontrola nastavení účtu
   Jakmile zjistíte, že došlo k neoprávněnému přístupu, neprodleně si změňte přístupové heslo. Použijte silné, unikátní heslo, které jste dosud nikde nepoužili. Poté zkontrolujte všechna nastavení účtu – především přesměrování e-mailů, filtry, autorizované aplikace a obnovovací e-mailové adresy. Útočníci si často nastaví automatické přeposílání zpráv, aby měli i nadále přístup k vaší komunikaci, aniž byste si toho všimli.
2. Zajištění důkazů (hlavičky e-mailů, logy, screenshoty)
   Než začnete cokoli mazat nebo přenastavovat, zdokumentujte celý stav účtu. Pořiďte screenshoty podezřelých e-mailů, seznamu přihlášení, nastavení přesměrování a veškeré komunikace s útočníkem. Zásadní jsou tzv. hlavičky e-mailů (email headers), které obsahují informace o cestě zprávy, IP adresách a časových razítkách – tyto údaje jsou pro policii neocenitelné při dohledávání původu útoku. Uložte si také logy z přihlašování, pokud je váš poskytovatel nabízí. Důkladné zajištění důkazů je naprosto klíčové pro úspěšné trestní stíhání pachatele.
3. Kontaktování poskytovatele e-mailu
   Obraťte se na zákaznickou podporu vašeho e-mailového providera (Seznam, Google, Microsoft, Centrum atd.) a nahlaste incident. Poskytovatel může zablokovat účet, obnovit smazané zprávy, poskytnout dodatečné logy a pomoci s obnovením bezpečnostních nastavení. Zároveň si u něj můžete vyžádat oficiální záznamy o přístupech, které budou sloužit jako důkazní materiál.

Podání trestního oznámení a zajištění důkazů

4. Podání trestního oznámení na Policii ČR – co uvést, jaké dokumenty přiložit
   Jakmile máte zabezpečený účet a shromážděné důkazy, je na čase podat trestní oznámení. To můžete učinit na kterémkoli oddělení Policie ČR nebo písemně (doporučuje se datová schránka či doporučený dopis). V oznámení uveďte:
   • Vaše identifikační údaje (jméno, bydliště, rodné číslo).
   • Přesný popis skutku – kdy a jak jste zjistili neoprávněný přístup, co útočník provedl (čtení, mazání, rozesílání e-mailů, změna hesel).
   • Kvalifikaci skutku jako podezření ze spáchání trestného činu neoprávněného přístupu k počítačovému systému a neoprávněného zásahu do počítačového systému podle § 230 trestního zákoníku.
   • Seznam všech důkazů, které přikládáte (screenshoty, hlavičky e-mailů, logy, komunikace s poskytovatelem).
   • Výši způsobené škody, pokud ji můžete vyčíslit (např. odcizené finanční prostředky, náklady na obnovu účtu, ušlý zisk).

   Policie je povinna vaše oznámení přijmout a vydat vám potvrzení o jeho podání. Následně probíhá standardní trestní řízení, v němž budete vystupovat jako poškozený. Doporučujeme si uschovat kopii oznámení s razítkem a podacím číslem.

5. Možnost obrátit se na advokáta
   Pokud je škoda vysoká, útok měl dopad na vaše podnikání nebo se jedná o citlivá data, důrazně doporučujeme konzultovat případ s advokátem specializujícím se na kybernetickou kriminalitu. Profesionální právní zastoupení vám pomůže nejen s formulací trestního oznámení, ale také s komunikací s policií, s vyčíslením škody a s případným uplatněním nároku na náhradu škody v rámci trestního řízení. Advokát zároveň zajistí, aby vaše důkazy byly formálně správně podány a aby nedošlo k jejich zpochybnění. V pokročilejší fázi řízení bude důležité, aby za vás jednal zkušený obhájce a státní zástupce – tedy aby vaše zájmy hájil profesionál, který dokáže argumentovat specifiky kybernetických útoků. Neváhejte se obrátit na advokátní kancelář, která má s podobnými případy zkušenosti – i konzultace v řádu hodin může výrazně ovlivnit úspěšnost celého případu.

💡 Tip pro firmy: Pokud jste se stali obětí hackingu v pracovním prostředí, aktivujte okamžitě interní bezpečnostní protokol. Podle doporučení odborníků by měla každá organizace mít jasně stanovená pravidla pro práci s e-mailem – například zákaz zasílání osobních identifikačních údajů e-mailem nebo povinnost ověřovat platební příkazy telefonicky (zdroj). Důsledná interní politika může útokům předcházet, a pokud k nim dojde, výrazně urychlit reakci a minimalizovat škody.

Prevence z právního hlediska: Jak minimalizovat riziko trestního stíhání

Prevence hackingu není jen otázkou technické ochrany, ale především právní odpovědnosti. Mnozí uživatelé si neuvědomují, že se mohou sami dopustit trestného činu – a to i bez úmyslu škodit. Nejčastějším omylem je přesvědčení, že nabourání do emailu trestný čin je pouze záležitostí hackerů zvenčí. Opak je pravdou: i běžný zaměstnanec, který použije cizí přihlašovací údaje bez souhlasu, nebo ten, kdo sdílí firemní heslo s kolegou, se může ocitnout v hledáčku orgánů činných v trestním řízení. Klíčem k minimalizaci rizika je důkladné pochopení právního rámce a zavedení jasných interních pravidel.

Odpovědnost zaměstnavatele a zaměstnance

Zaměstnavatel nese primární odpovědnost zaměstnavatele za zajištění bezpečnosti firemních e-mailových schránek. Podle platné judikatury a výkladů ochrany osobních údajů je povinen zavést přiměřená technická a organizační opatření – od dvoufaktorového ověřování až po pravidelné bezpečnostní audity. Pokud zaměstnavatel tato opatření zanedbá a dojde k úniku dat nebo k nabourání do emailu trestný čin ze strany třetí osoby, může nést nejen občanskoprávní, ale i trestněprávní důsledky. Související práva a povinnosti zaměstnavatele v oblasti kybernetické bezpečnosti by měla být zakotvena ve vnitřních směrnicích, které jsou pro zaměstnance závazné.

Zaměstnanec je naopak povinen řídit se těmito směrnicemi a chránit přístupové údaje. Pokud zaměstnanec vědomě obejde bezpečnostní opatření – například použije slabé heslo nebo si uloží přihlašovací údaje na nezabezpečeném místě – a v důsledku toho dojde k úniku dat, může být volán k odpovědnosti. V extrémních případech, kdy zaměstnanec úmyslně zpřístupní svůj e-mail kolegovi bez vědomí nadřízeného, se již jedná o potenciální porušení § 230 trestního zákoníku.

Zákaz sdílení hesel a právní důsledky

Sdílení hesel je v českém právním prostředí mnohem rizikovější, než se na první pohled zdá. I když si kolegové předají přihlašovací údaje v dobré víře – například kvůli zastupování v době dovolené – může být toto jednání v určitých kontextech považováno za neoprávněný přístup k počítačovému systému. Sdílení hesel bez výslovného souhlasu vlastníka účtu (typicky zaměstnavatele) naplňuje znaky skutkové podstaty trestného činu, pokud dojde byť jen k přečtení e-mailů bez oprávnění. Soudy v takových případech zkoumají, zda měl uživatel „oprávnění“ k přístupu – a toto oprávnění nelze automaticky dovozovat z pracovního poměru.

Bezpečnostní varování: Podle analyzy společnosti Okta útočníci stále častěji využívají tzv. whaling – vysoce cílené phishingové kampaně zaměřené na konkrétní osoby ve firmě. Tyto útoky obsahují personalizované informace o organizaci a vyvolávají falešný pocit naléhavosti. Pokud zaměstnanec v důsledku takového útoku sdílí své heslo s útočníkem, může být částečně odpovědný za vzniklou škodu, pokud zanedbal základní bezpečnostní návyky.

Pro minimalizaci rizika prevence hackingu doporučuje zahrnout do interních směrnic výslovný zákaz sdílení hesel a stanovit jasné postupy pro předávání přístupů – například prostřednictvím dočasných delegovaných oprávnění. Zaměstnavatelé by měli také pravidelně školit zaměstnance o rozpoznávání phishingových útoků, včetně smishingových kampaní, které útočí prostřednictvím SMS. Jak ukazují případy z praxe, i jediný prozrazený přístupový údaj může vést k rozsáhlému úniku dat a následnému trestnímu stíhání všech zúčastněných stran.

Související trestné činy a právní kvalifikace

Samotné nabourání do emailu trestný čin podle § 230 trestního zákoníku jen zřídka stojí osamoceně. V praxi se pachatel dopouští současně i dalších protiprávních jednání, která se překrývají nebo doplňují. Právní kvalifikace se tak rozšiřuje o související trestné činy, které mohou výrazně zpřísnit výsledný trest. Pachatel, který se neoprávněně přihlásí k cizí e-mailové schránce, totiž automaticky zasahuje do tajemství dopravovaných zpráv a velmi často i do ochrany osobních údajů. Následující ustanovení patří mezi nejčastěji aplikovaná vedle § 230 TZ.

Porušení tajemství dopravovaných zpráv (§ 182 TZ)

Ustanovení § 182 trestního zákoníku chrání důvěrnost komunikace. Podle odstavce 1 písm. b) a c) se trestného činu dopustí ten, kdo „úmyslně poruší tajemství zprávy, která je dopravována telekomunikačním nebo jiným zařízením“ nebo kdo „zprávu takto dopravovanou zveřejní nebo jinak užije“. E-mailová komunikace jednoznačně spadá pod pojem „zpráva dopravovaná telekomunikačním zařízením“, jak opakovaně potvrdila i česká judikatura.

Důležité je, že § 182 TZ vyžaduje úmyslné jednání – nelze se ho dopustit z nedbalosti, například omylem zadanými přihlašovacími údaji. Pokud se pachatel nabourá do e-mailu s cílem zjistit obsah komunikace, jedná se o typický jednočinný souběh s § 230 TZ. Soud pak posuzuje oba trestné činy společně a ukládá trest podle přísnějšího ustanovení, přičemž souběh zohledňuje jako přitěžující okolnost.

Neoprávněné nakládání s osobními údaji (§ 180 TZ)

E-mailová schránka je doslova pokladnicí osobních údajů. Jména, adresy, telefonní čísla, rodná čísla, bankovní spojení, zdravotní informace – to vše může pachatel po nabourání získat a dále zneužít. Neoprávněné nakládání s osobními údaji podle § 180 TZ postihuje toho, kdo i z nedbalosti neoprávněně zveřejní, sdělí nebo jinak zpřístupní osobní údaje shromážděné v souvislosti s výkonem veřejné moci, nebo kdo je jinak užije v rozporu s právním předpisem.

Zde je zásadní rozdíl: zatímco § 230 TZ a § 182 TZ vyžadují úmysl, § 180 TZ postihuje i nedbalostní jednání. Pokud se pachatel nabourá do e-mailu, přečte zprávy obsahující osobní údaje a tyto údaje dále šíří – byť jen mezi přátele – může být stíhán i za tento trestný čin. Podle odborného portálu eHutník platí, že e-mailová zpráva je považována za „jiný dokument uchovávaný v soukromí“, a získal-li pachatel přístup k e-mailové komunikaci a užil tato data bez dovolení, naplnil znaky trestného činu podle § 230 TZ, ale často i podle § 180 TZ, pokud data obsahovala osobní údaje.

Vztah k § 230 TZ a jednočinný souběh

V praxi soudy velmi často aplikují jednočinný souběh všech tří ustanovení – § 230, § 182 a § 180 TZ. Jeden skutek (nabourání do e-mailu) tak naplňuje skutkové podstaty více trestných činů. Pachatel například:

• neoprávněně překoná zabezpečení e-mailové schránky (§ 230 TZ),
• přečte dosud nepřečtené zprávy a poruší tak tajemství dopravovaných zpráv (§ 182 TZ),
• a následně z těchto zpráv získá osobní údaje, které dále zneužije (§ 180 TZ).

Soud pak ukládá trest podle ustanovení, které postihuje nejpřísněji, a souběh zohledňuje jako přitěžující okolnost. Výsledná sankce může být výrazně přísnější, než kdyby pachatel spáchal pouze jeden z těchto trestných činů. Kromě toho může v některých případech přistoupit i trestný čin křivé výpovědi podle § 346 TZ, pokud pachatel v souvislosti s nabouráním následně lživě vypovídá před soudem nebo orgánem činným v trestním řízení. Více se dočtete v článku trestný čin křivé výpovědi.

Pro úplnost dodejme, že ochrana e-mailové komunikace se liší i v závislosti na tom, jakého poskytovatele uživatel zvolí. Podle srovnání e-mailových služeb od Tuta se úroveň zabezpečení mezi poskytovateli jako Gmail, Outlook, Proton Mail či Tuta Mail výrazně liší, což může mít vliv na to, jak snadno se pachatel k účtu dostane a jaké právní následky z toho plynou.

Mezinárodní přesah a spolupráce při vyšetřování

V digitálním prostředí, kde se hranice jednotlivých států stírají, představuje nabourání do emailu trestný čin, který velmi často přesahuje jurisdikci jedné země. Pachatel může sedět v kavárně v Bangkoku, server oběti být v Irsku a poškozený bydlet v České republice. Pro české orgány činné v trestním řízení je proto klíčové umět efektivně postupovat i v případech s mezinárodním prvkem, a to zejména s ohledem na novelizace trestního řádu účinné k roku 2026.

Příslušnost českých orgánů

Základním kamenem pro určení, zda se česká policie a soudy mohou případem zabývat, je princip teritoriality a personality. Podle § 4 trestního zákoníku se trestnost činu posuzuje podle českého práva, pokud byl spáchán na území České republiky (princip teritoriality). To platí i pro kybernetické útoky, kdy pachatel fyzicky sedí v Praze, i když se nabourává do emailu oběti, která má schránku na americkém serveru.

Pokud pachatel sídlí v zahraničí, přichází na řadu princip personality (aktivní i pasivní). Dle § 5 a § 6 trestního zákoníku se české právo použije i na činy spáchané v cizině, pokud je pachatelem občan ČR (aktivní princip) nebo pokud je obětí občan ČR a čin je trestný i v místě spáchání (pasivní princip). V praxi to znamená, že pokud hacker z Ukrajiny nabourá email českého podnikatele, jak popisuje i odborná literatura na eHutník.cz, české orgány mají pravomoc zahájit trestní stíhání, neboť došlo k porušení tajemství listin a jiných dokumentů uchovávaných v soukromí dle § 183, a to na úkor českého subjektu.

Zásadní je však otázka příslušnosti soudu. Pokud se podaří pachatele identifikovat a zadržet v zahraničí, český soud může požádat o jeho vydání (extradici) na základě mezinárodní smlouvy. V roce 2026 je již standardem, že se tyto žádosti podávají elektronicky a vyřizují se v rámci zrychlených procedur, zejména pokud jde o kybernetickou kriminalitu s vysokou škodou.

Spolupráce s Europolem a Interpolem

Praktické vyšetřování mezinárodního hackingu se neobejde bez zapojení nadnárodních policejních struktur. Europol hraje klíčovou roli jako centrální koordinátor a informační uzel. Jeho jednotka European Cybercrime Centre (EC3) poskytuje české Policii ČR (konkrétně Národní centrále proti organizovanému zločinu – NCOZ) specializované analýzy, překlady dat a propojuje vyšetřovatele z různých zemí v reálném čase.

Konkrétně v případě nabourání do emailu trestný čin s přeshraničním prvkem, Europol zajišťuje:

• Rychlý tok informací: Prostřednictvím sítě SIENA (Secure Information Exchange Network Application) si česká policie může okamžitě vyžádat výpisy z logů od poskytovatelů služeb v zahraničí, aniž by musela čekat měsíce na oficiální právní pomoc.
• Společné vyšetřovací týmy (JIT): Pokud je pachatel obzvlášť sofistikovaný a útočí na více subjektů v EU, může být zřízen společný tým, kde zasedají čeští státní zástupci společně s kolegy z Německa, Nizozemska nebo Polska.
• Forenzní expertízu: EC3 pomáhá s dešifrováním dat, analýzou blockchainových transakcí (pokud pachatel požadoval výkupné v kryptoměnách) a identifikací anonymizačních sítí, jako je Tor.

Interpol pak slouží jako globální most pro případy, kde figurují pachatelé mimo Evropskou unii, například z Ruska, Číny nebo Nigérie. Jeho systém I-24/7 umožňuje českým orgánům vydávat tzv. Red Notice (červené oznámení), což je mezinárodní zatykač, který omezuje pohyb hledané osoby po celém světě. Bez této spolupráce by bylo stíhání pachatele, který se fyzicky nikdy nenacházel na území ČR, prakticky nemožné.

Budoucnost právní úpravy a trendy v kybernetické bezpečnosti 2026

Právní prostředí v oblasti kybernetické kriminality prochází v roce 2026 zásadní proměnou. Česká republika se připravuje na implementaci evropské směrnice NIS2, která přinese revoluci v odpovědnosti subjektů kritické infrastruktury, včetně poskytovatelů e-mailových služeb. Tato změna zásadně ovlivní i to, jak bude posuzováno nabourání do emailu trestný čin a jaké sankce budou za takové jednání hrozit.

Novely trestního zákoníku

Očekávaná novela trestního zákoníku, která by měla nabýt účinnosti v průběhu roku 2026, přináší několik klíčových změn. Především dochází k rozšíření skutkové podstaty neoprávněného přístupu k počítačovému systému a nosiči informací dle § 230 trestního zákoníku. Nově se bude přísněji posuzovat i samotný pokus o nabourání do e-mailového účtu, a to bez ohledu na to, zda došlo k úniku dat. Dále se zpřísňují trestní sazby u kvalifikovaných skutkových podstat, například pokud je útok spáchán jako člen organizované skupiny nebo pokud je zaměřen na systém kritické informační infrastruktury.

Zvláštní pozornost je věnována tzv. „phishingovým kampaním“, které jsou dnes nejčastějším způsobem, jakým dochází k nabourání do emailu trestný čin. Novela výslovně upravuje trestnost přípravy a šíření phishingových nástrojů, čímž reaguje na rostoucí sofistikovanost útoků. V praxi to znamená, že i samotné vytvoření falešné přihlašovací stránky bude trestné, aniž by muselo dojít k jejímu úspěšnému použití. Tento krok výrazně usnadní práci orgánům činným v trestním řízení při dokazování úmyslu pachatele.

Vliv směrnice NIS2 na odpovědnost

Implementace směrnice NIS2 do českého právního řádu, která probíhá prostřednictvím novely zákona o kybernetické bezpečnosti, přináší zásadní změnu v odpovědnosti poskytovatelů digitálních služeb, včetně provozovatelů e-mailových schránek. Podle nové úpravy budou muset tito poskytovatelé zavést přísná bezpečnostní opatření, včetně povinného reportování bezpečnostních incidentů do 24 hodin od jejich zjištění. Pokud poskytovatel tato opatření zanedbá a v důsledku toho dojde k nabourání do emailu trestný čin, může nést odpovědnost za škodu, která tím vznikla uživateli.

Nová úprava také zavádí institut „bezpečnostní korelace“, kdy poskytovatelé e-mailových služeb musí aktivně monitorovat podezřelou aktivitu na svých platformách. Pokud například systém detekuje opakované neúspěšné pokusy o přihlášení z různých IP adres, má poskytovatel povinnost uživatele varovat a případně dočasně zablokovat přístup. Tento preventivní mechanismus má zásadně snížit počet úspěšných útoků. V případě, že poskytovatel tuto povinnost nesplní a dojde k úniku dat, může být vystaven sankcím až do výše 10 milionů eur nebo 2 % celosvětového ročního obratu.

Trend zpřísňování trestů za kyberkriminalitu je v roce 2026 jednoznačný. Soudy začínají ukládat nejen nepodmíněné tresty odnětí svobody, ale také majetkové tresty a zákaz činnosti v oblasti informačních technologií. Tento vývoj reflektuje rostoucí společenskou nebezpečnost kybernetických útoků, které mohou mít dalekosáhlé důsledky nejen pro jednotlivce, ale i pro celou ekonomiku. Pro uživatele to znamená, že téma kybernetická bezpečnost 2026 není jen technickou otázkou, ale stává se i otázkou právní odpovědnosti a ochrany vlastních práv.

V této souvislosti je vhodné připomenout, že podobně jako u e-mailových schránek, i u datové schránky novinky v roce 2024 přinesly zpřísnění bezpečnostních standardů. I když se jedná o odlišný typ komunikačního nástroje, principy ochrany a právní odpovědnosti jsou analogické. Očekává se, že v roce 2026 dojde k dalšímu propojení pravidel pro ochranu e-mailových schránek a datových schránek, což povede k jednotnějšímu a přísnějšímu režimu ochrany digitální komunikace jako celku.

Tento článek byl plně aktualizován dne 14. 5. 2026 s novými informacemi a aktuálními daty pro rok 2026.