Do Not Track a realita: co skutečně funguje

Do Not Track: co to je a proč (většinou) nefunguje

Do Not Track (DNT) je HTTP hlavička, kterou prohlížeč oznamuje webu, že uživatel si nepřeje být sledován. Zní to slibně, nicméně tento standard nikdy nezískal širokou technickou ani legislativní podporu a většina webů jej jednoduše ignoruje. Specifikace W3C popisuje pouze způsob signalizace – nikoli povinnost ji respektovat. Výsledek? Prakticky žádný efekt na reálné sledování napříč webem.

Realita 2025: stav DNT a co se změnilo

Po letech sporů byl projekt DNT de facto opuštěn a několik prohlížečů jej postupně vypínalo nebo skrývalo. Dnes je DNT spíše historickým reliktem – technicky existuje, ale v praxi je jeho dopad zanedbatelný. Z odborných přehledů vyplývá, že část prohlížečů DNT odstranila, jiné jej ponechaly jako volitelnou možnost bez praktických garancí uplatnění.

Proč DNT selhalo

• Dobrovolnost na straně webů: bez povinné legislativy nebyl důvod signalizaci respektovat.
• Nejasná sémantika: neexistovala shoda, co přesně znamená „nesledovat“ (pouze reklama? analytika? sociální widgety?).
• Konflikt zájmů: reklamní ekosystém stojí na profilování; bez regulace převažovaly ekonomické motivace.
• Technické obcházení: fingerprinting, server-side tracking a link decoration obcházejí jakoukoli „požadavek“ bez vynutitelnosti.

GPC: nástupce, který už má zuby (v USA)

Global Privacy Control (GPC) je moderní signál „opt-out“, který vyjadřuje nesouhlas se sdílením/prodejem osobních údajů. Rozdíl oproti DNT spočívá v právním ukotvení: v Kalifornii (CCPA/CPRA) a Coloradu (CPA) musí firmy akceptovat tzv. universal opt-out mechanism, přičemž GPC je explicitně přijímán. Regulátoři toto i vymáhají – první významný případ byla dohoda s firmou Sephora v roce 2022 právě za nerešpektování GPC. V říjnu 2025 dokonce proběhla společná kontrolní akce Kalifornie, Colorada a Connecticutu zaměřená na dodržování GPC.

Třetí strany, cookies a „nový normál“

Letitě avizovaný konec třetích stran v Chrome se několikrát odložil a nakonec Google od plánu plošného vypnutí cookies ustoupil; preferuje kombinaci existujících nastavení a API projektu Privacy Sandbox. To znamená, že sledovací mechanismy z webu nezmizely – pouze se mění jejich technická podoba a regulace. Pro ochranu soukromí se proto není třeba spoléhat na budoucí „magické“ vypínače, ale na konkrétní opatření, která fungují již dnes.

Co reálně funguje: praktický „stack“ ochrany

Níže jsou seřazeny podle poměru účinnost → komfort. Jde o kombinovatelné vrstvy – čím více jich použijete, tím méně úniků metadat.

1. Integrované blokování trackerů v prohlížeči: Zapněte Enhanced Tracking Protection (Firefox) nebo používejte prohlížeče s agresivním výchozím nastavením (Brave, Safari s ITP). Blokují známé vzory, cookies třetích stran, sociální trackery a fingerprint skripty.
2. Doplňky na ochranu soukromí: uBlock Origin/Privacy Badger minimalizují sledovače, Decentraleyes či lokální CDN zmírňují úniky k třetím stranám. (Pozn.: vyžadují občasné „whitelisty“ pro nefunkční weby.)
3. GPC zapnuté v prohlížeči: pokud působíte v regulovaných jurisdikcích (nebo navštěvujete jejich weby), zapněte GPC – zvyšuje pravděpodobnost, že platformy legálně musí respektovat váš opt-out.
4. Ochrana proti link decoration: čistěte URL parametry (utm_*, fbclid, gclid), ideálně automaticky; sdílejte „čisté“ odkazy.
5. Anti-fingerprinting režimy: použijte resistFingerprinting (Firefox) nebo prohlížeč s uniformizací otisku (Brave). Očekávejte drobné kolize na některých webech.
6. Oddělení identit: kontejnery/profily pro práci, osobní a citlivá témata; jiný účet ≠ stejné cookies. Minimalizuje profilování napříč kontexty.
7. Síťová vrstva: DNS sinkhole (NextDNS/AdGuard DNS) a DoH/DoT brání úniku dotazů k poskytovateli a blokují známé domény trackerů.
8. E-mailové aliasy a blokování pixelů: blokujte načítání vzdálených obrázků; aliasy (SimpleLogin/Apple Hide My Email) zabraňují párování účtů.

Co funguje „někdy“: CMP a tlačítka souhlasu

Panely souhlasu (CMP) jsou právní mechanismus, nikoli technická bariéra. I když v EU musí respektovat volby, v praxi se setkáváme s dark patterns, chybně implementovanými položkami nebo ignorováním volby mimo cookies (např. server-side profilování). Proto i při důsledném klikání „Odmítnout vše“ mějte zapnuté technické blokování na úrovni prohlížeče.

Co nefunguje (dostatečně): DNT a pasivní víra

• Samo DNT: Bez zákonné povinnosti je to pouze signál bez vynutitelnosti – weby jej běžně ignorují.
• „Pouze anonymní analytika“: i agregované metriky mohou při kombinaci s dalšími zdroji umožnit re-identifikaci.
• Inkognito bez dalších opatření: čistí lokální historii, ale neblokuje fingerprinting, síťové identifikátory ani korelace přihlášení.

Rizika a kompromisy: proč 100% soukromí není zadarmo

Silné blokování může narušit funkčnost některých webů (komentáře, mapy, videa). Ochrana proti fingerprintingu zase snižuje kompatibilitu. Přístup „privacy by default“ proto doplňte o jemné odblokování na důvěryhodných webech a o oddělené profily, abyste minimalizovali zásahy.

Doporučený postup na 30 minut

1. Zapněte Enhanced/Strict Tracking Protection nebo použijte prohlížeč s robustním výchozím nastavením.
2. Do prohlížeče přidejte uBlock Origin (základní seznamy + čištění parametrů) a aktivujte GPC.
3. Vymažte a vypněte třetí strany, kde to jde; sledujte, zda web funguje – v případě potřeby whitelistujte.
4. Rozdělte si identity (profesionální / osobní / citlivá témata) do oddělených profilů/kontejnerů.
5. Přepněte DNS na NextDNS/AdGuard s filtry trackerů; zapněte DoH/DoT v prohlížeči.
6. V e-mailu blokujte vzdálené obrázky a používejte aliasy pro nákupy a registrace.

Jak měřit výsledek (bez sdílení dat)

Využijte lokální testy: about:networking/DevTools pro přehled, které domény se načítají; otevřené seznamy trackerů (EasyPrivacy) pro srovnání; testovací profily bez doplňků pro A/B kontrolu. U služeb, kde záleží na personalizaci (mapy, hudba), volte vyvážení – např. povolit 1P cookies, ale blokovat 3P a fingerprint.

Shrnutí: „DNT je mrtvé, ať žije kombinace opatření“

DNT samo o sobě problém sledování nevyřeší. GPC má právní váhu alespoň v některých státech USA a jeho respektování je vymáháno. Na spolehlivé omezení webového dohledu však působí až vícevrstvá obrana: blokování na úrovni prohlížeče, GPC, doplňky, oddělení identit a síťová filtrace. Svět cookies se mění – ne vždy směrem k menšímu sledování – proto vsázejte na opatření, která fungují už dnes, a pravidelně je revidujte.