← Zpět na blog
13. května 2026·3 min čtení·Tým TopSMS

GDPR checklist pro SMS marketing v roce 2026

Co musíte mít před odesláním první kampaňové SMS — souhlas, opt-out, retenci dat. Praktický checklist, sankce za porušení a způsoby, jak se nedostat do problémů.

GDPR (Nařízení EU 2016/679) je v účinnosti od května 2018. Po sedmi letech je překvapivě stále většina menších českých firem nedělá SMS marketing správně. Pokuty ÚOOÚ za neoprávněné marketingové zprávy v roce 2024 dosáhly v ČR přes 2 milionů korun. Tento článek je praktický průvodce — co musíte mít před tím, než odešlete první kampaň.

Tři pilíře, na kterých to stojí

1. Souhlas (consent)

Marketingovou SMS smíte odeslat jen tomu, kdo k tomu dal prokazatelný, dobrovolný a informovaný souhlas. To znamená:

  • Aktivní opt-in — uživatel zaškrtne políčko sám. Předzaškrtnuté políčko není souhlas.
  • Specifický — souhlas s "marketingovou komunikací" obecně nestačí, musí být jasné, že jde o SMS.
  • Dobrovolný — nesmíte ho podmínit objednávkou. "Bez souhlasu nedostanete zboží" = neplatný souhlas.
  • Doložitelný — uchovávejte timestamp + IP + verzi textu souhlasu. ÚOOÚ to při kontrole vyžaduje.

Výjimka: existující zákazník (= někdo, kdo už u vás něco koupil) může dostat marketingové SMS o podobných produktech bez explicitního souhlasu — ale jen pokud jste mu při sběru kontaktu nabídli možnost odhlášení. Tzv. "soft opt-in" podle § 7 zákona o některých službách informační společnosti.

2. Opt-out (právo na odhlášení)

Každá marketingová SMS musí obsahovat jednoduchý způsob odhlášení. V praxi:

  • Klíčové slovo zpět — např. "STOP na 11111" nebo "Pro odhlášení odpovězte STOP"
  • Web link — méně časté kvůli omezené délce SMS
  • Email kontakt — minimum, ale nestačí samotně

Po odhlášení musíte přestat posílat do 5 dnů (běžně okamžitě). Provádějte to automaticky — manuální procesování je riziko.

3. Retence dat

Telefonní čísla a metadata (kdy bylo odesláno, doručeno, otevřeno) nesmíte uchovávat déle, než je nutné. Praktické pravidla:

  • Marketingová databáze — pouze aktivní souhlasy. Při odhlášení smazat (nebo anonymizovat) okamžitě.
  • Transakční SMS (potvrzení objednávky, OTP) — uchovávejte podle daňových/účetních pravidel (5-10 let)
  • Logy doručení — typicky 1-3 roky pro analytics, pak agregovat nebo smazat

Sankce — co riskujete

ÚOOÚ může za GDPR porušení uložit pokutu:

  • Do 20 mil. EUR nebo 4 % globálního obratu (vyšší z toho)
  • Pro malé/střední firmy typicky 50 000 - 500 000 Kč za první porušení
  • Opakované porušení = horší

Plus: zákon o ochraně osobních údajů ČR (§ 65) sankce až 17 mil. Kč za "obtěžování" nevyžádanou komunikací.

Reálné případy ÚOOÚ 2024:

  • E-shop SMS marketing bez souhlasu, 12 000 čísel → 180 000 Kč
  • Realitní kancelář, opakované SMS po opt-out → 75 000 Kč
  • Nemocnice úniku 200 tel. čísel → 1 200 000 Kč

Kompletní checklist před první kampaní

Než spustíte kampaň, mějte odškrtnuto:

  • Souhlas se sběrem telefonního čísla — explicitní text, dvojité opt-in u marketing
  • Souhlas s marketingovou SMS — samostatné políčko (NE předzaškrtnuté)
  • Záznam timestamp + IP + verze textu při souhlasu (v DB)
  • Webová stránka /zasady-ochrany-osobnich-udaju aktuální, obsahuje SMS marketing
  • Záznam o zpracování (Article 30 GDPR) — interní dokument
  • DPA s SMS providerem (= ti dáme — máme ji připravenou)
  • Automatický opt-out systém (klíčové slovo STOP) implementovaný
  • Proces na žádost o výmaz dat (do 30 dnů) připravený
  • DPO (pověřenec) nebo kontaktní osoba na ochranu údajů (povinné nad 250 zaměstnanců nebo systematický monitoring)
  • Bezpečnost — šifrované přenosy, omezený přístup k DB

Co TopSMS dělá za vás

Při použití naší platformy automaticky:

  • Logujeme každou SMS s timestampem (důkaz pro ÚOOÚ)
  • Anonymizujeme IP adresy na /24 — méně osobních dat = méně rizika
  • Auto opt-out webhook — STOP zpráva automaticky odhlásí čísl ze všech vašich kampaní
  • DPA k podpisu — připravená šablona, podepíšete za 5 minut
  • Tabulka audit log — kdo, kdy, co s daty dělal — zachováno minimum 1 rok

Co můžete dělat hned

  1. Audit existujících kontaktů — máte u všech doložitelný souhlas? Pokud ne, neuneste je k SMS marketingu.
  2. Aktualizujte privacy policy — explicitně zmínit SMS marketing
  3. Nastavte STOP keyword — automaticky odhlásit při příchozí "STOP" zprávě
  4. Nezáleží na velikosti — pokud máte 100 kontaktů a porušíte GDPR, ÚOOÚ vás pokutuje stejně jako e-shop s milionem

GDPR není šikana, ale konkurenční výhoda. Firmy, které ho dodržují, mají kvalitnější databáze a lepší konverze než ti, kdo to obcházejí.

V dalším článku se podíváme na to, jak schválit alfanumerický sender ID v Česku — proces, doby a poplatky u T-Mobile, O2 a Vodafone.

GDPRmarketingprávnícompliance
Otestujte TopSMS zdarma

10 SMS na start, bez závazku, registrace minuta.

Registrovat zdarma →