Môže ma zamestnávateľ sledovať na súkromnom telefóne?
Bez firemného MDM profilu zamestnávateľ nevidí takmer nič. S MDM vidí pracovnú zónu, ale súkromné správy a aplikácie zostávajú skryté. K tomu § 13 Zákonníka práce.
Na tejto stránke 9 sekcií
- Dva prípady, ktoré rozhodujú o všetkom
- Ako za 90 sekúnd zistíš, v ktorom prípade si
- Prípad A: súkromný telefón bez MDM
- Prípad B: BYOD zaregistrovaný v MDM
- Čo hovorí slovenský Zákonník práce (§ 13)
- GDPR a zákon 18/2018 v práci
- Štyri legálne cesty, ako môže zamestnávateľ sledovať súkromný telefón
- Znaky monitoringu (a čo reálne znamenajú)
- Čo robiť, ak máš podozrenie na nadmerný monitoring
Krátka odpoveď je menej dramatická, než ako to znie v kuloárnych debatách. Dva fakty rozhodujú takmer o každom prípade: či máš v telefóne nainštalovaný MDM profil firmy a či zamestnávateľ dodržal informačnú povinnosť podľa Zákonníka práce a GDPR. Zvyšok sú detaily.
Krátko. Ak v tvojom telefóne nie je nainštalovaný pracovný MDM profil, zamestnávateľ o ňom takmer nič nevie: nevidí aplikácie, správy ani polohu. Ak je telefón zaregistrovaný v MDM (lebo si si nastavil pracovný e-mail cez firemný portál), situácia sa mení. Aj tak ostávajú tvoje súkromné aplikácie a správy neviditeľné. Apple to rieši cez User Enrollment, Android cez Work Profile. Nepretržité sledovanie polohy súkromného telefónu mimo pracovného času je na Slovensku v rozpore s § 13 Zákonníka práce a so zákonom 18/2018 Z. z.
Dva prípady, ktoré rozhodujú o všetkom
Ešte pred akýmkoľvek právnym detailom rozdeľujú dva technické fakty každú otázku o sledovaní zamestnanca do jedného z dvoch prípadov.
Prípad A: tvoj súkromný telefón nemá nainštalovaný žiadny pracovný MDM profil. Pracovný e-mail si nenastavoval cez firemný portál. Nemáš nainštalovanú apku „Company Portal”. IT oddelenie ti nedalo žiadnu povinnú aplikáciu. V tomto prípade je zamestnávateľ technicky slepý voči tvojmu telefónu. Nevidí aplikácie, správy, polohu, fotky, históriu prehliadača ani nič iné. Jediné, čo môže monitorovať, je sieť, do ktorej sa pripájaš (firemné Wi-Fi vie zalogovať domény, ktoré navštíviš) a firemné služby, do ktorých sa z telefónu prihlásiš (ich Slack workspace zaznamená, kedy si sa prihlásil).
Prípad B: tvoj súkromný telefón je zaregistrovaný v MDM tvojho zamestnávateľa. Toto sa zvyčajne stane v deň, keď si nastavuješ pracovný e-mail. Sprievodca ťa požiada o inštaláciu „konfiguračného profilu”, aby firma mohla zabezpečiť e-mailové spojenie. Po inštalácii zamestnávateľ vidí model zariadenia, verziu OS, nainštalované spravované aplikácie, niekedy polohu, kým máš spravovanú aplikáciu otvorenú, a vie diaľkovo zmazať pracovnú zónu. Stále nevidí (z technického dizajnu Apple a Google) tvoje súkromné aplikácie, správy ani fotky.
Drvivá väčšina hľadaní typu „môže ma zamestnávateľ sledovať” predpokladá najhorší scenár a obáva sa Prípadu A. Realita je, že viac ako 95 percent súkromných telefónov bez pracovného nastavenia spadá do Prípadu A, kde zamestnávateľ nevidí nič. Tento článok počíta s tým, že sa nachádzaš v Prípade A alebo zvažuješ prechod do Prípadu B.
Ako za 90 sekúnd zistíš, v ktorom prípade si
Na iPhone otvor Nastavenia, Všeobecné, VPN a správa zariadení. Ak obrazovka hovorí „Žiadne nainštalované profily”, si v Prípade A. Ak vidíš názov profilu (často niečo ako „[Firma] MDM” alebo „Microsoft Intune”), si v Prípade B.
Na Androide otvor Nastavenia, Zabezpečenie, Aplikácie správcu zariadenia, alebo skontroluj Nastavenia, Účty, Pracovný účet. Položka „Pracovný profil”, často zobrazená ako samostatná záložka v zozname aplikácií s malým ikonom kufríka, znamená, že si v Prípade B s oddelením cez Work Profile.
Ak nájdeš profil, ktorý si vedome neinštaloval, to samo o sebe je signál. Stalkerware niekedy inštaluje falošný „device management” profil, aby získal vyššie oprávnenia. Viac v návode, ako zistiť, či ti niekto sleduje telefón.
Prípad A: súkromný telefón bez MDM
V Prípade A je viditeľnosť zamestnávateľa do tvojho telefónu obmedzená na štyri úzke kanály.
Prvý: čokoľvek, do čoho sa z telefónu prihlásiš pomocou firemného účtu. Ak sa cez Safari na súkromnom iPhone prihlásiš do firemného Gmailu, IT admin vidí v audit logu Google Workspace, že sa začala session z iPhonu v tvojom typickom meste, a vidí, k čomu si v Gmaile pristupoval. Nevidí, aké iné záložky si mal v Safari otvorené, ani aké aplikácie si používal po zatvorení Gmailu.
Druhý: firemná Wi-Fi sieť. Ak je telefón na firemnej Wi-Fi, sieť môže zalogovať každú navštívenú doménu (DNS dotazy) a každú IP adresu, na ktorú si sa pripojil. Premávku nedešifruje, ale vidí „telefón-X navštívil tinder.com o 14:14”. Toto sa loguje preto, lebo sieť je ich, nie tvoj telefón.
Tretí: všetko, čo je viazané na pracovný e-mail. Ak si si nastavil pracovný e-mail v Apple Mail (cez IMAP alebo Exchange, bez MDM profilu), zamestnávateľ vie čítať každý e-mail v tej schránke, lebo je na ich serveri. Telefón je len zariadenie, ktoré k nemu pristupuje.
Štvrtý: všetko, čo si dobrovoľne nainštaloval: ich MDM aplikáciu, VPN klient, endpoint security agenta. Každá z nich rozširuje viditeľnosť firmy.
Štyri kanály vyššie sú reálne, ale ohraničené. Ak držíš pracovné prihlásenia na firemnom notebooku a vyhýbaš sa firemnej Wi-Fi cez súkromný telefón, viditeľnosť zamestnávateľa do tvojho telefónu je v Prípade A prakticky nulová.
Prípad B: BYOD zaregistrovaný v MDM
Prípad B mätie ľudí, lebo pravidlá pôsobia invazívne, ale technická realita je obmedzenejšia, než sa zdá.
Apple architektúru BYOD volá User Enrollment. Keď IT zaregistruje telefón, iOS vytvorí samostatné Apple ID a samostatný kryptografický objem pre spravované dáta. Pracovné aplikácie, pracovný e-mail a pracovné dokumenty sídlia na spravovanom objeme. Súkromné aplikácie, súkromné správy a súkromné fotky sídlia na osobnom objeme. Tieto dva sa navzájom nečítajú.
Čo iOS User Enrollment zamestnávateľovi ukáže: model zariadenia, verziu OS, sériové číslo, zoznam spravovaných aplikácií (len tie pracovné), dáta spravovaných aplikácií (len keď si pracovnú apku otvoril), súlad s politikou hesla a možnosť diaľkovo zmazať iba spravovaný objem. Súkromné správy, fotky, história prehliadača, súkromné nainštalované aplikácie a aktivita súkromného Apple ID sú neviditeľné.
Android BYOD model sa volá Work Profile. Work Profile vytvorí samostatný používateľský priestor v telefóne s vlastnými aplikáciami a úložiskom. V zozname aplikácií sa zobrazí ako druhá záložka s malým ikonom kufríka. Aplikácie v Work Profile sú spravované. Aplikácie v tvojom osobnom profile nie sú. Ani firemný IT admin nevie cez MDM čítať správy ani súbory v tvojom osobnom profile.
V praxi to znamená: ak máš BYOD, zamestnávateľ vidí zoznam ako „spravované aplikácie: Outlook, Teams, Salesforce, Authy”, ale nevidí „súkromné aplikácie: Tinder, Calm, Snapchat, Spotify.” Vidí, kedy Outlook pristúpil k mailu. Nevidí, kedy Snapchat poslal snap.
Najväčšou výnimkou je tzv. plne spravovaný Android (fully managed), ktorý je iný než Work Profile. Plne spravovaný režim je určený pre firemné zariadenia. Ak si IT oddeleniu odovzdal súkromný telefón a zaregistrovali ho ako fully managed (zriedkavé pri súkromných zariadeniach, ale možné), majú plnú viditeľnosť. Work Profile súkromné dáta chráni. Plne spravovaný režim nie.
Čo hovorí slovenský Zákonník práce (§ 13)
Slovenský zákon, ktorý sa najčastejšie cituje pri sledovaní zamestnancov, je zákon č. 311/2001 Z. z. (Zákonník práce), najmä § 13 ods. 4. Ten zakazuje zamestnávateľovi narúšať súkromie zamestnanca na pracovisku bez vážnych dôvodov spočívajúcich v osobitnej povahe činností a bez toho, aby ho na to vopred upozornil.
Konkrétne § 13 hovorí: zamestnávateľ nesmie bez upozornenia monitorovať zamestnanca, robiť záznam telefonických hovorov uskutočňovaných cez technické pracovné zariadenia ani kontrolovať elektronickú poštu. Slovo „technické pracovné zariadenia” je kľúčové. Zákon predpokladá, že ide o firemné zariadenie. Súkromný telefón nie je „technické pracovné zariadenie” zamestnávateľa.
V praxi: ak ti firma kúpila služobný telefón, môže ho monitorovať, ale musí ti to vopred povedať a uviesť rozsah a dobu monitorovania. Ak si si pracovný e-mail nastavil v súkromnom telefóne dobrovoľne, monitorovanie sa môže týkať len pracovnej zóny (e-mail server, MDM spravované aplikácie), nie tvojho súkromného obsahu.
Ak sa cítiš sledovaný a zamestnávateľ ťa nikdy o monitorovaní písomne neinformoval, zákon je na tvojej strane. Inšpektorát práce SR aj Úrad na ochranu osobných údajov SR rieši takéto prípady ako porušenie povinnosti zamestnávateľa.
GDPR a zákon 18/2018 v práci
Druhý pilier ochrany je zákon č. 18/2018 Z. z. o ochrane osobných údajov, ktorý transponuje GDPR (Nariadenie EÚ 2016/679). Dohliada nad ním Úrad na ochranu osobných údajov SR.
Pre zamestnanca sú dôležité tri princípy z GDPR. Prvý je princíp účelu. Zamestnávateľ smie zbierať len tie osobné údaje, ktoré sú na konkrétny pracovný účel nevyhnutné. Sledovať polohu sales reprezentanta v služobnom aute počas pracovného času je legitímne. Sledovať jeho polohu cez víkend nie je.
Druhý princíp je informačná povinnosť. Článok 13 GDPR hovorí, že zamestnávateľ ti musí pri zbere údajov dať informácie: kto je prevádzkovateľ, aký je účel, právny základ, doba uchovávania, kto sú príjemcovia, aké máš práva. Ak monitoruje GPS v aute alebo MDM v telefóne bez týchto informácií, porušuje GDPR.
Tretí princíp je primeranosť. Ak existuje miernejší spôsob, ktorý dosiahne ten istý cieľ (napr. pravidelné reporty namiesto nepretržitého GPS sledovania), zamestnávateľ má použiť ten miernejší.
Pokuty od ÚOOÚ SR môžu dosiahnuť 20 miliónov eur alebo 4 % ročného celosvetového obratu firmy, podľa toho, ktorá suma je vyššia. Slovenské podniky dostali za posledné roky pokuty napríklad za kamerové systémy bez upozornenia alebo za nadmerné GPS sledovanie zamestnancov v služobných autách.
Štyri legálne cesty, ako môže zamestnávateľ sledovať súkromný telefón
Keď spojíme vyššie uvedené, zostávajú štyri legálne cesty, ako môže slovenský zamestnávateľ monitorovať alebo sledovať tvoj súkromný telefón.
Prvá. Telefón si zaregistroval v MDM dobrovoľne alebo ako podmienku prístupu k pracovnému e-mailu. Firma vidí aktivitu spravovaných aplikácií, voliteľne polohu počas používania spravovaných aplikácií, a vie diaľkovo zmazať pracovnú zónu. Súkromné aplikácie ani správy nevidí.
Druhá. Pripojíš sa na firemnú Wi-Fi, kde si firma môže zalogovať DNS dotazy a šírku pásma cez MAC adresu telefónu. Sledovanie je na strane siete, nie telefónu, ale efekt je rovnaký.
Tretia. Prihlásiš sa z telefónu do firemnej služby (Slack, Teams, Gmail, Salesforce, GitHub Enterprise). Logované je to, čo daná služba centrálne zaznamenáva. Tvoj telefón je len prístupový bod, nie zdroj dát.
Štvrtá. Dobrovoľne nainštaluješ trackingovú alebo produktivitnú aplikáciu, ktorú firma pre prácu vyžaduje (Time Doctor, Hubstaff, Teramind alebo staršie fleet aplikácie typu Xora). Tieto aplikácie vidia to, na čo si im dal povolenie. Ak požiadajú o „Vždy” povolenie polohy a ty súhlasíš, dostanú polohu 24/7. Pre slovenské pomery je to právne riskantné. Bez výslovného súhlasu, ktorý spĺňa GDPR (slobodný, informovaný, špecifický), je takéto sledovanie napadnuteľné.
V zozname zámerne chýba: akákoľvek cesta, ktorá by zamestnávateľovi umožnila sledovať súkromný telefón, ktorý zamestnanec nezaregistroval v MDM, nepripojil na firemnú Wi-Fi a nepoužíval na firemné služby. Takýto telefón je súkromný.
Znaky monitoringu (a čo reálne znamenajú)
Väčšina zoznamov „znakov sledovania v práci” online zamieňa bežné správanie telefónu s dohľadom. Reálne znaky sú užšie.
Profil „Device Management” v nastaveniach, ktorý nepoznáš. Reálny signál. Otvor Nastavenia, Všeobecné, VPN a správa zariadení (iPhone), alebo Nastavenia, Zabezpečenie (Android). Ak vidíš profil, ktorý si neinštaloval, niečo je zle. Môže ísť o MDM, môže ísť o stalkerware.
Pracovné aplikácie, ktoré si neinštaloval, sa objavili v knižnici aplikácií. Reálny signál, ale len na zaregistrovaných BYOD telefónoch. MDM dokáže pushnúť spravované aplikácie bez toho, aby sa ťa zakaždým pýtal.
Batéria sa nezvyčajne rýchlo vybíja. Slabý signál sám osebe. Veľa bežných aplikácií vybíja batériu. V kombinácii s prvými dvoma znakmi pridáva váhu.
Pracovné aplikácie poznajú tvoju polohu, aj keď si im to nepovedal. Reálny signál. Skontroluj povolenie polohy pre každú pracovnú aplikáciu v Nastavenia, Súkromie a zabezpečenie, Lokalizačné služby. „Vždy” pri pracovnej aplikácii znamená 24/7 polohu, nie len počas práce.
Cítiš, že ťa telefón „počúva”, keď pred ním rozprávaš. Nie je to reálny signál. Telefóny rutinne neodpočúvajú okolitý zvuk. Cielené reklamy zvyčajne vychádzajú z dát z vyhľadávania a prehliadania, nie z mikrofónu.
Hlbšiu diagnostiku nájdeš v návode, ako zistiť, či ti niekto sleduje telefón, ktorý pokrýva tie isté kontroly a pridáva stránku stalkerwaru, ktorá sa s pracovným monitoringom prelína.
Čo robiť, ak máš podozrenie na nadmerný monitoring
Ak nájdeš profil, na ktorého inštaláciu si nedal súhlas, urob screenshot s viditeľným dátumom, potom ho odstráň. Na iPhone: Nastavenia, Všeobecné, VPN a správa zariadení, klik na profil, Odstrániť správu. Na Androide: Nastavenia, Zabezpečenie, Aplikácie správcu zariadenia, deaktivovať a potom odstrániť pracovný účet.
Odstránenie management profilu zvyčajne zmaže spravované aplikácie a pracovný e-mail. Stratíš prístup k pracovnému e-mailu a aplikáciám z toho telefónu, kým sa znova nezaregistruješ. To je voľba, ktorú ti systém dáva: znovu sa zaregistrovať a akceptovať viditeľnosť, alebo zostať mimo a stratiť prístup z tohto zariadenia.
Ak veríš, že monitorovanie prekročilo to, čo si mal v pracovnej zmluve a vnútornom predpise, máš tri cesty.
Prvá: podaj sťažnosť na Úrad na ochranu osobných údajov SR (dataprotection.gov.sk). Úrad je oprávnený začať konanie a ukladať pokuty. Sťažnosť sa dá podať písomne aj cez elektronický formulár.
Druhá: kontaktuj Inšpektorát práce SR (ip.gov.sk). Pri porušení § 13 Zákonníka práce má kompetenciu vykonať kontrolu u zamestnávateľa.
Tretia: ak ide o vážnejší zásah do súkromia (napríklad neoprávnený prístup do počítačového systému podľa § 247 Trestného zákona), polícia 158 alebo tieseň 112. Pri závažných prípadoch má zmysel kontaktovať aj advokáta špecializujúceho sa na pracovné právo. Niekoľko advokátskych kancelárií v Bratislave a Košiciach má skúsenosti s podobnými spormi a prvá konzultácia býva za fixnú sumu.
Najhlbšia ochrana zostáva technická, nie právna. Súkromný telefón, ktorý si nikdy nezaregistroval v MDM zamestnávateľa, ktorý sa nepripája na ich Wi-Fi a ktorý nepoužívaš na prihlásenie do firemných služieb, zostáva pod akýmkoľvek slovenským právnym režimom súkromný. Hranicu medzi pracovným a súkromným telefónom určuje to, čo ty ako zamestnanec inštaluješ a pripájaš.
Otázky a odpovede
Čo sa čitatelia pýtajú
6 otázok · aktualizované 5/2026