Do Not Track (DNT) a skutečnost: ověření efektivity mechanismů ochrany před sledováním

Do Not Track: co to je a proč (většinou) nefunguje

Do Not Track (DNT) je HTTP hlavička, kterou prohlížeč oznamuje webu, že uživatel si nepřeje být sledován. Zní to slibně, ale standard nikdy nezískal širokou technickou ani legislativní podporu a většina webů jej jednoduše ignoruje. Specifikace W3C popisuje pouze způsob signalizace – nikoli povinnost ji respektovat. Výsledek? Prakticky žádný vliv na reálné sledování napříč webem.

Realita 2025: stav DNT a co se změnilo

Po letech sporů byl projekt DNT de facto opuštěn a několik prohlížečů jej postupně vypínalo nebo skrývalo. Dnes je DNT spíše historickým reliktem – technicky existuje, ale v praxi je jeho dopad mizivý. Z odborných přehledů vyplývá, že část prohlížečů DNT odstranila, jiné jej ponechaly jako volitelnou možnost bez praktických záruk uplatnění.

Proč DNT selhalo

• Dobrovolnost na straně webů: bez povinné legislativy nebyl důvod signalizaci respektovat.
• Nejasná sémantika: chyběla shoda na tom, co přesně znamená „nesledovat“ (jen reklama? analytika? sociální widgety?).
• Konflikt zájmů: reklamní ekosystém stojí na profilování; bez regulace převážily ekonomické motivace.
• Technické obcházky: fingerprinting, server-side tracking a link decoration obcházejí jakoukoli „požadavek“ bez vynutitelnosti.

GPC: nástupce, který už má zuby (v USA)

Global Privacy Control (GPC) je moderní signál „opt-out“, který vyjadřuje nesouhlas se sdílením/prodejem osobních údajů. Rozdíl oproti DNT spočívá v právním zakotvení: v Kalifornii (CCPA/CPRA) a Coloradu (CPA) musí firmy uznávat tzv. universal opt-out mechanism, přičemž GPC je explicitně akceptován. Regulátoři to navíc vymáhají – prvním velkým případem byla dohoda s firmou Sephora v roce 2022 právě za nerešpektování GPC. V říjnu 2025 dokonce proběhla společná kontrolní akce Kalifornie, Colorada a Connecticutu zaměřená na dodržování GPC.

Třetí strany, cookies a „nový normál“

Roky ohlášený konec třetích stran v Chrome se několikrát odkládal a nakonec Google od plánu plošného vypnutí cookies ustoupil; preferuje kombinaci existujících nastavení a API projektu Privacy Sandbox. To znamená, že sledovací mechanismy z webu nezmizely – pouze se mění jejich technická podoba a regulace. Pro ochranu soukromí se proto není třeba spoléhat na budoucí „magické“ vypínače, ale na konkrétní opatření, která fungují už dnes.

Co reálně funguje: praktický „stack“ ochrany

Níže je řazeno podle poměru účinnost → komfort. Jedná se o kombinovatelné vrstvy – čím více z nich použijete, tím méně úniků metadat.

1. Integrované blokování trackerů v prohlížeči: Zapněte Enhanced Tracking Protection (Firefox) nebo používejte prohlížeče s agresivním defaultem (Brave, Safari s ITP). Blokují známé vzory, cookies třetích stran, sociální trackery a fingerprint skripty.
2. Doplňky pro ochranu soukromí: uBlock Origin/Privacy Badger minimalizují sledovače, Decentraleyes či lokální CDN zmírňují úniky k třetím stranám. (Pozn.: vyžadují občasné „whitelistování“ pro rozbité weby.)
3. GPC zapnuté v prohlížeči: pokud působíte v regulovaných jurisdikcích (nebo navštěvujete jejich weby), zapněte GPC – zvyšuje šanci, že platformy legálně musí respektovat váš opt-out.
4. Ochrana před link decoration: čistěte URL parametry (utm_*, fbclid, gclid), ideálně automaticky; sdílejte „čisté“ odkazy.
5. Anti-fingerprinting režimy: použijte resistFingerprinting (Firefox) nebo prohlížeč s uniformizací otisku (Brave). Očekávejte drobné kolize na některých webech.
6. Oddělení identit: kontejnery/profily pro práci, osobní a citlivá témata; jiný účet ≠ stejné cookies. Minimalizuje profilování napříč kontexty.
7. Síťová vrstva: DNS sinkhole (NextDNS/AdGuard DNS) a DoH/DoT brání úniku dotazů k poskytovateli a blokují známé domény trackerů.
8. E-mailové aliasy a pixel blocking: blokujte načítání vzdálených obrázků; aliasy (SimpleLogin/Apple Hide My Email) zabraňují párování účtů.

Co funguje „někdy“: CMP a tlačítka souhlasu

Panely souhlasu (CMP) jsou právní mechanismus, nikoli technická bariéra. I když v EU musí respektovat volby, v praxi se setkáváme s dark patterns, chybně implementovanými položkami nebo ignorováním volby mimo cookies (například server-side profilování). Proto i při důsledném klikání „Zamítnout vše“ mějte zapnuté technické blokování na úrovni prohlížeče.

Co nefunguje (dostatečně): DNT a pasivní víra

• Samotné DNT: Bez zákonné povinnosti je to pouze signál bez vynutitelnosti – weby jej běžně ignorují.
• „Pouze anonymní analytika“: i agregované metriky mohou v kombinaci s dalšími zdroji umožnit re-identifikaci.
• Režim inkognito bez dalších opatření: čistí lokální historii, ale neblokuje fingerprinting, síťové identifikátory ani korelace přihlášení.

Rizika a kompromisy: proč není 100% soukromí zadarmo

Silné blokování může narušit funkčnost některých webů (komentáře, mapy, videa). Ochrana proti fingerprintingu pak snižuje kompatibilitu. Přístup „privacy by default“ proto doplňte o jemné odblokování na důvěryhodných webových stránkách a o oddělené profily, abyste minimalizovali zásahy.

Doporučený postup na 30 minut

1. Zapněte Enhanced/Strict Tracking Protection nebo použijte prohlížeč se silným výchozím nastavením.
2. Přidejte do prohlížeče uBlock Origin (základní seznamy + čištění parametrů) a aktivujte GPC.
3. Vymažte a vypněte cookies třetích stran, kde je to možné; sledujte, zda web funguje – v případě potřeby proveďte whitelistování.
4. Rozdělte si identity (profesionální / osobní / citlivá témata) do oddělených profilů/kontejnerů.
5. Přepněte DNS na NextDNS/AdGuard s filtry proti trackerům; zapněte DoH/DoT v prohlížeči.
6. V e-mailu blokujte vzdálené obrázky a používejte aliasy pro nákupy a registrace.

Jak měřit výsledek (bez sdílení dat)

Využijte lokální testy: about:networking/DevTools k pohledu na načítané domény; otevřené seznamy trackerů (EasyPrivacy) ke srovnání; testovací profily bez doplňků pro A/B kontrolu. U služeb, kde záleží na personalizaci (mapy, hudba), volte kompromis – např. povolit cookies 1. strany, ale blokovat 3. strany a fingerprinting.

Shrnutí: „DNT je mrtvé, ať žije kombinace opatření“

DNT samo o sobě problém sledování nevyřeší. GPC má právní váhu alespoň v některých státech USA a jeho respektování je vymáháno. Pro webový dohled však spolehlivě působí až vícevrstvá obrana: blokování v prohlížeči, GPC, doplňky, oddělení identit a síťová filtraci. Svět cookies se mění – ne vždy směrem k menšímu sledování – proto sázejte na opatření, která fungují už dnes, a pravidelně je revidujte.