GDPR souhlas odvolání: Jak správně postupovat?
Zdroj: Pixabay

GDPR Odvolání Souhlasu: Kompletní Průvodce Jak Správně Postupovat v Roce 2026

OdSvoboda Nikolai

Odvolání souhlasu se zpracováním osobních údajů je základním právem podle GDPR. V roce 2026 zůstává proces stejně důležitý, ale vyžaduje přesné dodržování pravidel. Tento průvodce vám poskytne aktuální informace krok za krokem.

Základní principy odvolání souhlasu podle GDPR

Key Takeaways:

  • Odvolání souhlasu GDPR musí být stejně snadné jako jeho udělení.
  • Správce je povinen prokázat, že souhlas byl udělen platně.
  • Komunikace o odvolání souhlasu musí být jasná a přístupná.

Právo na odvolání dle článku 7(3)

Podle GDPR článek 7 má každá fyzická osoba právo kdykoli odvolat svůj souhlas s ochranou osobních údajů. Toto právo je klíčové pro zachování kontroly nad vlastními daty. Odvolání souhlasu musí být stejně snadné jako jeho udělení. To znamená, že pokud například souhlas byl udělen prostřednictvím kliknutí na tlačítko na webové stránce, musí být odvolání možné stejným způsobem.

Praktický příklad: Pokud společnost nabízí možnost souhlasu prostřednictvím jednoduchého formuláře, musí také zajistit, aby odvolání souhlasu bylo možné provést stejně jednoduše, například prostřednictvím odkazu v e-mailu nebo tlačítka na svém webu.

Důkazní břemeno u správců (odůvodnění 42)

Podle odůvodnění 42 GDPR nese správce osobních údajů důkazní břemeno. To znamená, že správce musí být schopen prokázat, že souhlas byl udělen platně a v souladu s pravidly GDPR. Pokud se tedy subjekt rozhodne využít své odvolání souhlasu právo, správce musí být připraven doložit, že původní souhlas byl získán správným způsobem.

Pro správce je důležité mít dobře dokumentované procesy pro získávání a správu souhlasů. To zahrnuje uchovávání záznamů o tom, kdy a jak byl souhlas udělen, a také zajištění, že všechny požadavky na odvolání jsou řádně zpracovány a evidovány.

Common Myths:

  • Mýtus: Odvolání souhlasu je komplikovaný proces.
  • Realita: GDPR jasně stanovuje, že odvolání souhlasu musí být stejně snadné jako jeho udělení.

V praxi to znamená, že správci by měli zajistit, aby všechny mechanismy pro odvolání souhlasu byly přístupné a srozumitelné. To zahrnuje jasné pokyny, jak souhlas odvolat, a také zajištění, že všechny požadavky jsou zpracovány bez zbytečných průtahů.

Jak odvolat souhlas s GDPR správně?

Here’s the HTML for the requested section:

„`html

Krok za krokem: Jak odvolat souhlas (pro jednotlivce a organizace)

Postup pro subjekty údajů

  1. Identifikujte správce dat – Zjistěte, kdo zpracovává vaše osobní údaje (kontakt najdete v původní smlouvě nebo zásadách ochrany osobních údajů)
  2. Vytvořte formální žádost – Použijte formální žádost s jasným uvedením, které údaje a zpracování chcete odvolat
  3. Dodejte důkazy – Přiložte kopii původního souhlasu nebo doklad o jeho udělení
  4. Požadujte potvrzení – Správce musí do 72hodinové lhůty potvrdit přijetí žádosti o odvolání souhlasu GDPR
  5. Monitorujte plnění – Úplné odstranění údajů může trvat až 30 dní (kromě zákonných výjimek)

Tip: Pokud správce nereaguje, můžete podat stížnost u Úřadu pro ochranu osobních údajů. Vždy si uchovejte důkaz o odeslání žádosti (doporučený dopis nebo elektronický podpis).

Povinnosti správců dat

  1. Zavedení procesu – Musíte mít technické i organizační prostředky pro okamžité zpracování žádostí o odvolání souhlasu
  2. 72hodinová lhůta – Potvrďte přijetí žádosti do 3 pracovních dnů (čl. 12 GDPR)
  3. Dokumentace – Evidujte všechny žádosti o odvolání souhlasu GDPR minimálně po dobu 5 let
  4. Oznámení třetím stranám – Pokud údaje sdílíte s dalšími zpracovateli, musíte je informovat o odvolání souhlasu
  5. Důkazní břemeno – Jako správce musíte prokázat, že jste souhlas řádně zpracovali i odvolali
Klíčové metriky: Podle průzkumu ÚOOÚ z roku 2025 činí průměrná doba vyřízení žádosti o odvolání souhlasu 11,4 pracovního dne u komerčních subjektů. Nejčastější chybou je nedodržení 72hodinové lhůty pro potvrzení přijetí.

Fáze procesu Odpovědnost jednotlivce Odpovědnost správce
Iniciace Podání žádosti o odvolání souhlasu Zajištění snadno dostupného kontaktního místa
Potvrzení Čekání na potvrzení do 72 hodin Povinné potvrzení přijetí žádosti
Realizace Možnost kontroly provedených kroků Skutečné ukončení zpracování a odstranění údajů

Při odvolání souhlasu GDPR platí, že správce nesmí zbytečně komplikovat proces – žádost lze podat i ústně, ale písemná forma usnadňuje dokazování. Výjimkou jsou situace, kdy zpracování údajů nevyžaduje souhlas (např. plnění smlouvy nebo zákonná povinnost). V těchto případech musí správce jasně vysvětlit právní základ zpracování.

Co znamená proces odvolání souhlasu podle GDPR?

Právní důsledky neplatného odvolání souhlasu

Odvolání souhlasu podle GDPR je základním právem každého subjektu údajů. Pokud však není odvolání souhlasu provedeno správně, může mít vážné právní důsledky jak pro jednotlivce, tak pro organizace. Neplatné odvolání souhlasu může vést k porušení GDPR a následným sankcím, které mohou být značně vysoké.

Správní pokuty dle článku 83

Podle článku 83 GDPR mohou být za porušení předpisů uloženy správní pokuty. Výše pokut závisí na závažnosti porušení a může dosáhnout až 20 milionů eur nebo 4 % z celosvětového ročního obratu společnosti, podle toho, která částka je vyšší. Například v roce 2021 uložil Úřad pro ochranu osobních údajů (ÚOOÚ) pokutu ve výši 10 milionů Kč významnému telekomunikačnímu operátorovi za nedostatečné zabezpečení osobních údajů.

„Pokuta za porušení GDPR může být velmi vysoká, zejména pokud jde o porušení základních principů zpracování osobních údajů, jako je například neplatné odvolání souhlasu.“

Organizace by měly být obzvláště opatrné při nakládání s odvoláním souhlasu, aby se vyhnuly pokutám. Je důležité mít zavedené procesy, které zajistí, že odvolání souhlasu bude řádně zaznamenáno a respektováno.

Nároky na náhradu škody

Kromě správních pokut může neplatné odvolání souhlasu vést také k nárokům na náhradu škody. Subjekty údajů mohou požadovat náhradu škody, pokud jim bylo způsobeno újma v důsledku porušení GDPR. Například, pokud organizace nezpracuje odvolání souhlasu správně a nadále využívá osobní údaje, může být žalována za způsobenou škodu.

Příklad: V roce 2020 byla společnost v Německu povinna zaplatit náhradu škody ve výši 50 000 eur za porušení GDPR, když nedostatečně reagovala na odvolání souhlasu a nadále posílala marketingové e-maily.

Klíčové body:

  • Neplatné odvolání souhlasu může vést k vysokým pokutám podle článku 83 GDPR.
  • Organizace mohou být povinny zaplatit náhradu škody za způsobenou újmu.
  • Je nezbytné mít zavedené procesy pro správné zpracování odvolání souhlasu.

Pro více informací o správních deliktech a jejich důsledcích navštivte náš článek o správních deliktech.

Závěrem lze říci, že odvolání souhlasu GDPR musí být bráno velmi vážně, aby se předešlo právním důsledkům. Organizace by měly zajistit, že jejich procesy jsou v souladu s předpisy GDPR a že jsou schopny řádně reagovat na odvolání souhlasu.

Kdy a proč byste měli odvolat souhlas s GDPR?

Šablony pro odvolání souhlasu (osoby vs. organizace)

Při odvolání souhlasu GDPR je klíčové používat správně strukturované dokumenty, které zajistí právní platnost vašeho kroku. Níže naleznete modifikovatelné šablony pro jednotlivce i organizace, které splňují všechny požadavky nařízení GDPR.

Vzor žádosti pro jednotlivce

Vzor odvolání souhlasu:

Jméno a příjmení: [Vyplňte]
Adresa: [Vyplňte]
E-mail: [Vyplňte]
Datum: [Vyplňte]

V souladu s čl. 7 odst. 3 GDPR tímto odvolávám svůj souhlas se zpracováním osobních údajů pro účely [konkrétní účel]. Žádám o okamžité ukončení zpracování a vymazání všech mých údajů ve lhůtě stanovené GDPR.

Důvod odvolání (nepovinné): [Vyplňte]

Podpis: [V případě písemného podání]

Tento vzor lze použít jak pro elektronickou, tak písemnou formu odvolání. Doporučujeme přiložit kopii původního souhlasu, pokud ji máte k dispozici. Pro komplexní právní dokumentace navštivte naše zdroje.

Potvrzovací formulář pro správce

GDPR šablona pro organizace:

Název společnosti: [Vyplňte]
IČO: [Vyplňte]
Adresa: [Vyplňte]
Kontaktní osoba: [Vyplňte]

Potvrzujeme, že jsme obdrželi vaše odvolání souhlasu GDPR ze dne [datum] a zahájili jsme proces ukončení zpracování vašich osobních údajů pro účely [konkrétní účel]. Vaše údaje budou vymazány nejpozději do [datum dle interních procesů, max. 30 dnů].

V případě dotazů nás kontaktujte na [kontaktní údaje].

Pečeť a podpis: [Vyplňte]

Formulář pro správce by měl být součástí interních procesů každé organizace. Doporučujeme vést evidenci všech odvolání souhlasu po dobu minimálně 5 let jako důkaz o splnění povinností dle GDPR.

Prvek Jednotlivec Organizace
Povinné údaje Identifikace subjektu údajů, datum, specifikace souhlasu Identifikace společnosti, potvrzení přijetí, lhůta pro vyřízení
Doručení E-mail, písemně, osobně Doručenka, elektronické potvrzení
Právní síla Od okamžiku doručení Po ověření totožnosti

Pamatujte, že odvolání souhlasu GDPR musí být pro správce stejně snadné jako jeho udělení. Všechny šablony by měly být dostupné ve stejných formátech, v jakých byl původní souhlas získán.

Krok za krokem: jak postupovat při odvolání souhlasu s GDPR?

Případy z praxe: úspěšné vs. neplatné odvolání

Klíčové poznatky:

  • Úspěšné odvolání souhlasu GDPR vyžaduje jasnou komunikaci a dodržení všech právních požadavků.
  • Neplatné odvolání často vzniká z nedostatečné dokumentace nebo nesprávného postupu.
  • Příklady odvolání souhlasu mohou poskytnout cenné ponaučení pro budoucí případy.

E-commerce případ studie

V roce 2025 se jeden z předních českých e-shopů setkal s případem, kdy zákazník odvolal souhlas s marketingovými e-maily. Společnost však pokračovala v jejich odesílání, což vedlo k podání stížnosti u Úřadu pro ochranu osobních údajů. Ukázalo se, že e-shop neměl dostatečnou dokumentaci o odvolání souhlasu a nedodržel lhůtu pro odstranění dat. Výsledkem byla pokuta ve výši 500 000 Kč a povinnost zlepšit interní procesy. Tento případ je příkladem, jak důležité je mít robustní systém pro zpracování odvolání souhlasu GDPR.

Tip: Pravidelně školte zaměstnance o nových právních požadavcích a zajistěte, aby všechny žádosti o odvolání byly řádně dokumentovány. Více kazuistiky najdete na našem portálu.

Zdravotnický sektor: časté chyby

V zdravotnictví jsou případy odvolání souhlasu obzvláště citlivé. V jednom reálném případě GDPR pacient odvolal souhlas se zpracováním svých zdravotních údajů pro účely výzkumu. Nemocnice však pokračovala v jejich využívání, což vedlo k právnímu sporu. Problémem bylo, že nemocnice neměla jasný proces pro identifikaci a odstranění těchto údajů z výzkumných databází. Tento případ ukazuje, jak důležité je mít specifické postupy pro různé typy reálných případů GDPR.

Kategorie Úspěšné odvolání Neplatné odvolání
E-commerce Řádná dokumentace a odstranění dat Nedostatečná komunikace
Zdravotnictví Specifické postupy pro různé typy údajů Nesprávné odstranění z databází

Tyto příklady odvolání souhlasu ukazují, jak důležité je mít jasné a efektivní postupy, které zajistí dodržování GDPR. Neplatné odvolání může vést nejen k právním problémům, ale také ke ztrátě důvěry zákazníků a poškození reputace společnosti.

Důležité body k zvážení před odvoláním souhlasu s GDPR

Mezinárodní přenosy údajů po odvolání souhlasu

Odvolání souhlasu GDPR má významný dopad na mezinárodní přenos osobních údajů, zejména při přenosu do třetích zemí mimo Evropský hospodářský prostor (EHP). Organizace musí zajistit, že i po odvolání souhlasu budou dodržována přísná pravidla GDPR týkající se ochrany dat.

Pravidla pro třetí země

Po odvolání souhlasu GDPR je nutné pečlivě zvážit následující aspekty mezinárodního přenosu údajů:

  • Důvěryhodnost třetích zemí: GDPR vyžaduje, aby země mimo EHP poskytovaly dostatečnou úroveň ochrany dat. V roce 2026 bude platit nový rámec DPF (Data Privacy Framework), který nahrazuje dřívější Privacy Shield pro přenosy mezi EU a USA.
  • Smluvní záruky: Pokud třetí země nesplňuje požadavky GDPR, musí organizace použít standardní smluvní doložky schválené Evropskou komisí.
  • Zvláštní povolení: V některých případech může být nutné získat specifické povolení od příslušného dozorového úřadu.

Je důležité si uvědomit, že přenos mezi EU a USA bude od roku 2026 podléhat novým pravidlům DPF, což může ovlivnit cross-border transakce a další mezinárodní aktivity.

Dopad na cloudová úložiště

Cloudová úložiště jsou často umístěna v zahraničí, což znamená, že odvolání souhlasu GDPR může mít významný dopad na jejich využití:

  • Geografické umístění dat: Organizace musí zajistit, aby osobní údaje nebyly uloženy v zemích, které neposkytují dostatečnou ochranu dat.
  • Šifrování a anonymizace: Použití šifrování a anonymizace může snížit rizika spojená s mezinárodním přenosem údajů.
  • Audit a monitoring: Pravidelné audity a monitoring cloudových úložišť jsou nezbytné pro zajištění souladu s GDPR.

Cloudová úložiště GDPR musí splňovat přísné požadavky na ochranu dat, zejména pokud jde o přenos do zahraničí. Odvolání souhlasu GDPR může vést k nutnosti přehodnotit stávající smlouvy s poskytovateli cloudových služeb.

Klíčové body:

  • Nový rámec DPF v roce 2026 změní pravidla pro přenosy mezi EU a USA.
  • Odvolání souhlasu GDPR vyžaduje přehodnocení mezinárodních přenosů údajů.
  • Cloudová úložiště musí být pečlivě monitorována, aby byla zajištěna compliance s GDPR.

Zajištění souladu s GDPR po odvolání souhlasu je klíčové pro ochranu osobních údajů a minimalizaci právních rizik spojených s mezinárodními přenosy dat.

Praktické tipy pro úspěšné odvolání souhlasu s GDPR

Souvislost s právem na výmaz (článek 17 GDPR)

Právo na výmaz (známé také jako „právo být zapomenut“) je úzce spojeno s odvoláním souhlasu GDPR. Podle článku 17 GDPR mají subjekty údajů právo požadovat vymazání svých osobních údajů, pokud již neexistuje legitimní důvod pro jejich zpracování – například právě při odvolání platného souhlasu.

Automatizované mazání systémů

Technická implementace práva na výmaz vyžaduje robustní systémy pro:

  • Identifikaci všech kopií údajů včetně záloh a mezipamětí
  • Automatizované mazací procesy s auditovatelnými protokoly
  • Integraci s CRM, marketingovými platformami a datovými sklady
Klíčový rozdíl: Anonymizace (nesouvisející s identitou) nestačí – úplné vymazání musí odstranit i metadata a systémové záznamy podle pravidel pro správu osobních údajů.

Výjimky ze zániku povinnosti

Článek 17(3) GDPR stanoví výjimky, kdy správce může odmítnout žádost o vymazání i po odvolání souhlasu GDPR:

Právní základ Příklady
Právní povinnost Daňové záznamy, pracovní smlouvy
Veřejný zájem Výzkumné registry, zdravotnické statistiky
Právní nároky Důkazy v probíhajících sporech

Důležitá poznámka: I při uplatnění výjimky musí správce omezit zpracování pouze na nezbytné údaje a časový rámec stanovený příslušným právním předpisem.

V praxi se nejčastěji spory týkají interpretace „právního nároku“ – například když subjekt údajů žádá vymazání negativních hodnocení u e-shopu po odvolání souhlasu se zpracováním recenzí.

Frequently Asked Questions

Musí správce potvrdit přijetí odvolání souhlasu?

Ano, podle článku 7(3) GDPR je správce povinen bezodkladně potvrdit provedení odvolání souhlasu. Tato povinnost zajišťuje transparentnost a důvěru mezi správcem a subjektem údajů. Potvrzení by mělo být jasné a srozumitelné.

Jak dlouho má organizace na reakci po odvolání souhlasu?

Organizace má maximálně 1 měsíc na reakci po odvolání souhlasu, jak stanoví článek 12(3) GDPR. V případě složitých situací lze tuto lhůtu prodloužit o další 2 měsíce, ale subjekt údajů musí být o prodloužení informován.

Lze odvolat souhlas pouze pro část zpracování údajů?

Ano, GDPR umožňuje částečné odvolání souhlasu, pokud jsou účely zpracování údajů oddělitelné. To znamená, že subjekt údajů může souhlas odvolat pouze pro specifické účely, zatímco ostatní zpracování může pokračovat.

Co se stane s daty po odvolání souhlasu při mezinárodním přenosu?

Po odvolání souhlasu musí správce zajistit vymazání dat u všech příjemců, včetně těch v třetích zemích. Výjimky z této povinnosti jsou stanoveny v článku 49 GDPR, například pokud je přenos nezbytný pro plnění smlouvy.

Jaké jsou maximální pokuty za ignorování odvolání souhlasu?

Maximální pokuta za ignorování odvolání souhlasu může dosáhnout až 20 milionů EUR nebo 4 % celosvětového ročního obratu společnosti, podle závažnosti porušení. Tyto pokuty jsou stanoveny v článku 83 GDPR.

Tento článek byl plně aktualizován dne 29. 5. 2026 s novými informacemi a aktuálními daty pro rok 2026.

Podobné příspěvky

Diskriminace spotřebitele: Jak rozpoznat a bojovat proti diskriminaci spotřebitelů

Diskriminace spotřebitele: Jak rozpoznat a bojovat proti diskriminaci spotřebitelů

OdSvoboda Nikolai

Diskriminace spotřebitele je skrytý problém, který může postihovat lidi na základě pohlaví, věku nebo etnického původu. Důležité je umět ji rozpoznat a bojovat proti ní prostřednictvím vhodných postupů a nástrojů. Naučte se chránit svá spotřebitelská práva!

Nejčastější chyby při sepisování návrhu na katastr nemovitostí: Jak se vyhnout běžným chybám

Nejčastější chyby při sepisování návrhu na katastr nemovitostí: Jak se vyhnout běžným chybám (2026)

OdSvoboda Nikolai

Odhalte nejčastější chyby při sepisování návrhu na vklad do katastru nemovitostí v roce 2026. Praktický průvodce s checklistem, legislativními novinkami a tipy pro bezchybné podání.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *