Offboarding zaměstnance v IT je ten nejzranitelnější moment každé malé firmy. Mezi okamžikem, kdy zaměstnanec dostane výpověď, a chvílí, kdy mu IT skutečně zablokuje přístupy, často uplynou hodiny – někdy i dny. Přesně v tomto okně dochází ke krádeži dat, smazání souborů nebo zneužití firemních účtů. V tomto návodu najdete kompletní offboarding checklist pro malé firmy v Praze i v Česku, který minimalizuje rizika a splní požadavky GDPR.

Co je IT offboarding a proč na něm záleží

IT offboarding je strukturovaný proces odebrání všech firemních přístupů, dat a zařízení odcházejícímu zaměstnanci. Týká se účtů, hesel, e-mailu, cloudových služeb, notebooku, mobilu, klíčů, VPN přístupů i sdílených dokumentů. Cílem je, aby po posledním pracovním dni neměl bývalý zaměstnanec jediný funkční přístup do firemních systémů.

Pro malou firmu do 50 zaměstnanců je IT offboarding kritický ze tří důvodů:

• Bezpečnost dat. Bývalý zaměstnanec se zachovaným přístupem k e-mailu nebo cloudu je největším bezpečnostním rizikem firmy.
• Compliance. GDPR, NIS2 i smlouvy s klienty vyžadují prokazatelný proces ukončení přístupu a likvidace osobních údajů.
• Licence a náklady. Nezablokované účty Microsoft 365, Google Workspace nebo Adobe Cloud generují měsíční náklady, které firma platí měsíce po odchodu zaměstnance.

Podle průzkumu Beyond Identity má 83 % bývalých zaměstnanců po odchodu z firmy stále aktivní přístup minimálně k jednomu firemnímu účtu. To je číslo, které by mělo majitele každé malé firmy probrat – jeden z pěti dat tento přístup po odchodu reálně zneužije.

Reálná rizika špatného IT offboardingu

Když IT offboarding není pevný proces, ale improvizace, firma se vystavuje konkrétním finančním a právním škodám. Mezi nejčastější patří:

• Krádež zákaznických dat. Bývalý obchodník stahuje databázi klientů den před odchodem ke konkurenci.
• Smazání nebo sabotáž souborů. Frustrovaný zaměstnanec smaže sdílené dokumenty nebo zašifruje data, ke kterým má přístup.
• Únik citlivých informací. Aktivní e-mailový účet bývalého zaměstnance může být zneužit pro phishing nebo BEC útok (Business Email Compromise).
• Pokuty za GDPR. Pokud firma neprokáže, že přístup k osobním údajům byl ukončen, hrozí pokuta až do výše 4 % ročního obratu.
• Ztráta know-how. Když zaměstnanec odejde bez předání dokumentace, firma ztrácí přístup k vlastním procesům, smlouvám a projektům.
• Placení nevyužitých licencí. Měsíční předplatné Microsoft 365 Business Standard stojí 350 Kč. U 5 zapomenutých účtů to dělá 21 000 Kč ročně zbytečně.

Podle IBM Cost of a Data Breach Report stojí jeden incident úniku dat firmu průměrně přes 4 miliony dolarů. Insider threat – tedy hrozba od stávajícího nebo bývalého zaměstnance – patří mezi tři nejdražší kategorie incidentů.

IT offboarding checklist: 7 kroků, které musí firma zvládnout

Následující checklist je univerzální šablona pro malé firmy do 50 zaměstnanců. Větší firmy budou potřebovat dodatečné kroky (HRIS integrace, dedikovaný IAM systém), ale jádro procesu zůstává stejné.

1. Příprava před oznámením odchodu

Ideální stav je, že IT ví o odchodu zaměstnance dříve než zaměstnanec sám. Vedoucí by měl minimálně 1 pracovní den předem informovat IT (nebo externího správce IT) o plánovaném odchodu, datu posledního pracovního dne a způsobu rozloučení.

Co IT v tento moment připraví:

• Seznam všech účtů, ke kterým má zaměstnanec přístup (Microsoft 365, CRM, fakturace, banka, sdílené disky)
• Seznam firemních zařízení (notebook, mobil, klíče, čip)
• Plán předání agendy a zástupu (kdo přebírá e-maily, kdo úkoly)
• Návrh data a hodiny, kdy budou přístupy zablokovány

2. Odebrání přístupů a deaktivace účtů

V den ukončení pracovního poměru (nebo dříve, pokud jde o problémový odchod) IT najednou deaktivuje všechny účty. Postup:

• Deaktivovat účet v Active Directory / Microsoft Entra ID (dříve Azure AD)
• Zrušit SSO (single sign-on) přístupy do externích služeb
• Odebrat přístupy do CRM, ERP, fakturačního systému, e-shopu
• Zablokovat VPN přístup a vzdálené plochy
• Odhlásit zaměstnance ze všech aktivních session na všech zařízeních
• Přesměrovat příchozí e-maily na vedoucího nebo zástupce
• Nastavit automatickou odpověď s kontaktem na zástupce

Důležitý detail: účty se obvykle nemažou okamžitě, ale deaktivují na 30–90 dní. Důvod je praktický – často se najdou e-maily, dokumenty nebo úkoly, ke kterým je potřeba zpětně přistoupit.

3. Reset hesel a tokenů sdílených účtů

Toto je nejčastěji opomíjený krok. Pokud zaměstnanec znal heslo do sdíleného firemního účtu (banka, sociální sítě, technická podpora, doménový registrátor), musí se okamžitě změnit. Stejně tak:

• Zrušit aplikační hesla a API klíče vytvořené tímto zaměstnancem
• Resetovat token Wi-Fi sítí, ke kterým měl přístup
• Vymazat jeho biometrii ze sdílených zařízení (tablety, terminály)
• Změnit kódy k alarmu, SIM PIN sdílených mobilů

Pokud firma používá password manager (například Bitwarden, 1Password nebo Keeper), tento krok zabere minuty místo hodin. Více v našem návodu na správu hesel ve firmě.

4. Vrácení a evidence firemních zařízení

Notebook, mobil, dock, klávesnice, sluchátka, klíče, čipy, kreditní karta – vše musí být vráceno v den ukončení a zaprotokolováno. Doporučujeme jednoduchou předávací zprávu se sériovými čísly zařízení a podpisem obou stran.

Po vrácení zařízení IT provede:

• Zálohu pracovních dat na firemní úložiště
• Kompletní reset zařízení (factory reset, ne pouze smazání profilu)
• Aktualizaci evidence majetku (kdo má co)
• Kontrolu fyzického stavu (vlhkost, poškození, chybějící příslušenství)

5. Záloha pracovních dat a předání agendy

Před deaktivací účtů musí být firemní data zachována. Mezi nejdůležitější patří:

• Pracovní soubory z OneDrive, Google Drive, lokálního disku
• E-mailová archivace (export PST nebo přesun do mailboxu zástupce)
• Kontakty, kalendář, úkoly
• Chatovací historie (Teams, Slack, Google Chat)
• Rozpracované projekty v Jira, Asana, Trello, Notion

Pro plynulé předání agendy doporučujeme společné schůzky se zástupcem v posledních 5–10 dnech. Bez nich firma ztrácí kontext – ví, kde data jsou, ale neví, co znamenají.

6. BYOD: smazání firemních dat ze soukromých zařízení

Pokud zaměstnanec používal soukromý mobil pro firemní e-mail (BYOD – Bring Your Own Device), musí se firemní data smazat. Bez správného nástroje to znamená nepříjemnou prosbu, ať si zaměstnanec sám smaže aplikaci. S nasazeným MDM (Mobile Device Management) řešením stačí pár kliknutí a firemní data zmizí bez zásahu do soukromých.

Více o nastavení politik BYOD najdete v našem článku BYOD ve firmě 2026.

7. Dokumentace celého procesu (GDPR a interní compliance)

Posledním krokem je písemný záznam o tom, co bylo provedeno, kým a kdy. Dokument by měl obsahovat:

• Datum a čas deaktivace každého přístupu
• Seznam vrácených zařízení se sériovými čísly
• Potvrzení o zálohování a smazání dat
• Podpis IT správce a zaměstnance (nebo HR)

Tento dokument je právní pojistka firmy. Pokud později dojde k incidentu, prokážete, že vaše firma postupovala podle interních pravidel a splnila povinnosti dle Úřadu pro ochranu osobních údajů.

Časté chyby firem při IT offboardingu

V praxi se u malých firem opakují stejné chyby. Pokud kteroukoli z nich poznáváte, máte ve firmě bezpečnostní díru:

• Offboarding řeší pouze HR, IT je informováno až po odchodu. Zaměstnanec má pak často ještě týden plný přístup.
• Hesla se nemění, jen se „doufá”. Sdílená hesla zůstanou platná měsíce, i když je zná bývalý zaměstnanec.
• Účty se neruší, aby „nebyl problém s e-maily”. Aktivní účet bez vlastníka je magnet pro phishing a útoky.
• Firma platí licence za neaktivní účty. Microsoft 365 nebo Google Workspace si rok po odchodu zaměstnance dál odečítají poplatek.
• Notebook se „nějak vrátí”. Bez předávacího protokolu se IT někdy ani nedozví, že má zařízení zpět.
• Neprovádí se factory reset. Notebook jde dalšímu zaměstnanci s daty a profilem předchozího uživatele.
• Chybí dokumentace. Při kontrole GDPR firma nedokáže prokázat, že proces proběhl.

Jak IT offboarding zautomatizovat

Manuální offboarding zabere u jednoho zaměstnance 2–4 hodiny práce IT. V automatizovaném prostředí je to 10–15 minut. Nástroje, které k tomu malá firma potřebuje:

• Microsoft Entra ID (Azure AD) nebo Google Workspace Admin – centrální správa identit a SSO
• MDM řešení (Microsoft Intune, Jamf, Scalefusion) – vzdálené smazání zařízení i firemních dat na BYOD telefonech
• Password manager s firemním sdílením (Bitwarden, 1Password) – rychlý reset sdílených hesel
• HRIS systém propojený s IT (Personio, BambooHR) – automatické spuštění offboarding workflow při zadání data odchodu
• SIEM / log management – kontrola, že neproběhly podezřelé akce v týdnu před odchodem

Pro firmu s 5–20 zaměstnanci je realistický cíl mít první tři nástroje (Entra ID, MDM, password manager). HRIS a SIEM přicházejí na řadu od cca 30 zaměstnanců výš.

Pokud nemáte interní IT, řešení tohoto procesu typicky spadá pod externí správu firemního IT. Profesionální poskytovatel má offboarding šablony, automatizaci i zkušenost s tím, co se nejčastěji zapomíná.

Časté dotazy k IT offboardingu

Kdy přesně máme zablokovat přístupy odcházejícímu zaměstnanci?

Ideálně v okamžiku posledního pracovního dne, po odevzdání zařízení a podpisu předávacího protokolu. U problémových odchodů (výpověď ze strany zaměstnavatele pro porušení povinností) doporučujeme zablokovat přístupy ihned v okamžiku oznámení – ještě před tím, než zaměstnanec opustí kancelář.

Můžeme jednoduše smazat e-mailový účet bývalého zaměstnance?

Ne hned. E-mailový účet by měl být převeden na sdílenou schránku nebo přesměrován na zástupce minimálně 30 dní, ideálně 90 dní. Klienti, partneři a interní kolegové mohou na adresu posílat zprávy ještě týdny po odchodu zaměstnance a firma o ně nesmí přijít. Poté lze účet odstranit a licenci uvolnit.

Jak dlouho máme archivovat data po bývalém zaměstnanci?

Závisí na typu dat. Pracovní e-maily a soubory obvykle 5–10 let podle interní směrnice. Osobní údaje zaměstnance (mzdové podklady, smlouvy) podle zákona o archivnictví. Data, která už nejsou potřeba, by se měla po uplynutí lhůty smazat – GDPR vyžaduje princip minimalizace.

Co dělat, když bývalý zaměstnanec použil firemní heslo i pro soukromé účty?

Toto je překvapivě častý problém. Pokud zaměstnanec použil sdílené firemní heslo (například k bance nebo doménovému registrátorovi) i pro vlastní účely, je nutné po jeho odchodu heslo změnit a zkontrolovat poslední přihlášení. Firma by také měla mít v interních směrnicích výslovný zákaz používání firemních hesel pro soukromé účely.

Závěr: offboarding není byrokracie, ale ochrana firmy

Strukturovaný IT offboarding rozhoduje o tom, zda odchod zaměstnance bude pro firmu rutinní událost nebo bezpečnostní incident. Sedm kroků v tomto checklistu – příprava, deaktivace účtů, reset hesel, vrácení zařízení, záloha dat, BYOD wipe, dokumentace – pokryje 95 % rizik, kterým malá firma reálně čelí.

Pokud si nejste jistí, jestli má vaše firma offboarding proces nastavený správně, nabízíme bezplatný IT audit, který odhalí slabá místa nejen v offboardingu, ale i v celém zabezpečení firmy. Pro firmy v Praze a okolí nás můžete kontaktovat na stránce kontakt nebo zavolat přímo na 228 222 752.