GDPR souhlas pro marketingové SMS: jak na ÚOOÚ, ZoZOÚ a § 7 ZSO

Souhlas s obchodními sděleními (čl. 6 odst. 1 písm. a GDPR + § 7 zákona č. 480/2004 Sb.) je v ČR nejčastěji kontrolovaný bod Úřadem pro ochranu osobních údajů (ÚOOÚ). Pokuty za nedostatečnou evidenci jsou až 10 mil. Kč nebo 2 % obratu. 4notify vede pro každý kontakt strukturovanou stopu: kdy, jaký formulář, jaká IP, jakou verzí znění; export pro inspektora je jedním kliknutím.

Problém

„Měli jsme to v podmínkách registrace“ před ÚOOÚ nebrání. Inspektor chce log s časovým razítkem, zněním checkboxu a důkazem, že byl předzaškrtnutý opt-out (jako u Gmailu). Pokud nemáte tento log, automaticky padáte do horní pásmy pokut.

Právní rámec

Nařízení (EU) 2016/679 (GDPR) čl. 7

Souhlas musí být svobodný, konkrétní, informovaný a jednoznačný. Důkazní břemeno nese správce — 4notify ho přebírá za vás.

Zákon č. 110/2019 Sb. (ZpZOÚ)

Český doplněk GDPR; § 11 stanoví věk 15 let pro souhlas dítěte u informačních služeb (nižší než výchozí 16 v GDPR).

§ 7 zákona č. 480/2004 Sb. (ZSO)

Předchozí souhlas pro obchodní sdělení s výjimkou existující obchodní vazby (smlouva na podobný produkt v posledních 12 měsících).

§ 11 odst. 1 zákona č. 480/2004 Sb.

Pokuta až 10 000 000 Kč za rozesílání bez souhlasu; ÚOOÚ ji ukládá kumulativně podle počtu adresátů.

Architektura

Strukturovaná evidence souhlasu

Každý záznam obsahuje: hash IP, user-agent, časové razítko v UTC, identifikátor formuláře, verzi znění a checksum původního textu. Inspektor dostane CSV export.

Opt-out na tři způsoby

STOP přes SMS, jednoklikový List-Unsubscribe-Post u e-mailu a tlačítko v zákaznickém profilu — všechny tři okamžitě synchronizované přes náš centrální preference center.

Retence a anonymizace

Po 24 měsících od posledního kontaktu adresu automaticky pseudonymizujeme; po dalších 12 měsících odstraňujeme úplně, pokud není zákonný důvod (např. účetní doklady).

Hlášení porušení ÚOOÚ do 72 hodin

Pokud se vyskytne incident, 4notify vám připraví předvyplněný formulář se všemi technickými údaji a postup pro hlášení skrz datovou schránku ÚOOÚ.

Kód

json
{
  "contact_id": "cust_2026_018473",
  "consent": {
    "channel": "sms",
    "given_at": "2026-05-08T14:32:11Z",
    "ip_hash": "sha256:b21a4...",
    "user_agent": "Mozilla/5.0 (...)",
    "form_id": "registration_v3",
    "wording_version": "cs-2026-04-01",
    "checksum": "sha256:c0ff33...",
    "method": "opt-in-double",
    "withdrawn_at": null
  }
}

Ukázková zpráva

E-mailPotvrďte prosím odběr novinek od VašíFirmy

Dobrý den, díky za zájem. Pro dokončení přihlášení k odběru novinek prosím klikněte na následující odkaz. Pokud žádost nevychází od Vás, e-mail ignorujte — bez kliknutí Vám nic neposíláme.

Před spuštěním

Implementovat double opt-in u nových kontaktů
Verzovat znění checkboxu (každá změna = nová verze)
Aktivovat centrální preference center
Pravidelný audit retence (90denní cyklus)
Stáhnout vzor DPA pro zpracovatele (4notify)
Nastavit notifikaci na podezřelý nárůst opt-out (drift detection)

Co dělá 4notify jinak

Připravenost na kontrolu ÚOOÚ jedním kliknutím — strukturovaný export evidence souhlasu, verze znění, hash IP a checksum.

Časté dotazy

Můžeme posílat transakční SMS bez souhlasu?

Ano. Transakční zprávy (potvrzení objednávky, OTP, doručení) jsou na základě smluvního plnění (čl. 6 odst. 1 písm. b GDPR), opt-in marketing nepotřebují. Opt-out STOP musí přesto fungovat.

Co když souhlas vypršel, ale chceme oslovit znovu?

Doporučujeme re-engagement e-mail s prosbou o obnovení souhlasu, ne SMS. Re-engagement bez souhlasu je porušení a ÚOOÚ to v praxi pokutuje.

Jak dlouho uchovávat opt-out záznamy?

Doporučujeme minimálně 4 roky (promlčecí lhůta na deliktní řízení), ale po pseudonymizaci. Zachováte tak důkaz, že jste platnou žádost o opt-out respektovali.