Do Not Track: princip, neúspěch a jeho nástupci v ochraně soukromí

Do Not Track: co to je a proč (většinou) nefunguje

Do Not Track (DNT) je HTTP hlavička, kterou prohlížeč oznamuje webu, že uživatel si nepřeje být sledován. Zní to nadějně, ale standard nikdy nezískal širokou technickou ani legislativní podporu a většina webů jej jednoduše ignoruje. Specifikace W3C popisuje pouze způsob signalizace – nikoli povinnost ji respektovat. Výsledek? Prakticky žádný efekt na reálné sledování napříč webem.

Realita 2025: stav DNT a co se změnilo

Po letech sporů byl projekt DNT de facto opuštěn a několik prohlížečů jej postupně vypínalo nebo skrývalo. Dnes je DNT spíše historický relikt – technicky existuje, ale v praxi je jeho vliv mizivý. Z odborných přehledů vyplývá, že část prohlížečů DNT odstranila, jiné ho nechaly jako volitelnou možnost bez praktických garancí uplatnění.

Proč DNT selhalo

• Dobrovolnost na straně webů: bez povinné legislativy nebyl důvod signalizaci respektovat.
• Nesrozumitelná sémantika: nebyla shoda, co přesně znamená „nesledovat“ (pouze reklama? analytika? sociální widgety?).
• Konflikt zájmů: reklamní ekosystém stojí na profilování; bez regulace převládly ekonomické motivace.
• Technické obcházení: fingerprinting, server-side tracking a link decoration obejdou jakoukoli „požadavek“ bez vymahatelnosti.

GPC: nástupce, který už má zuby (v USA)

Global Privacy Control (GPC) je moderní signál „opt-out“, který vyjadřuje nesouhlas se sdílením/prodejem osobních údajů. Rozdíl oproti DNT je v právním ukotvení: v Kalifornii (CCPA/CPRA) a Coloradu (CPA) musí firmy uznávat tzv. univerzální opt-out mechanismus, přičemž GPC je explicitně akceptován. Regulátoři to také vymáhají – první velký případ byla dohoda se společností Sephora v roce 2022 právě za nerešpektování GPC. V říjnu 2025 dokonce proběhla společná kontrolní akce Kalifornie, Colorada a Connecticutu zaměřená na dodržování GPC.

Třetí strany, cookies a „nový normál“

Roky avizovaný konec třetích stran v Chrome byl několikrát odložen a nakonec Google od plánu plošného vypnutí cookies ustoupil; upřednostňuje kombinaci stávajících nastavení a API projektu Privacy Sandbox. To znamená, že sledovací mechanismy z webu nezmizely – pouze se mění jejich technická podoba a regulace. Pro ochranu soukromí se proto není třeba spoléhat na budoucí „magické“ vypínače, ale na konkrétní opatření, která fungují už dnes.

Co reálně funguje: praktický „stack“ ochrany

Níže je seřazeno podle poměru účinnost → komfort. Jedná se o kombinovatelné vrstvy – čím více jich použijete, tím méně úniků metadat.

1. Integrované blokování trackerů v prohlížeči: Zapněte Enhanced Tracking Protection (Firefox) nebo používejte prohlížeče s agresivním výchozím nastavením (Brave, Safari s ITP). Blokují známé vzory, cookies třetích stran, sociální trackery a fingerprint skripty.
2. Doplňky na ochranu soukromí: uBlock Origin/Privacy Badger minimalizují sledovače, Decentraleyes či lokální CDN zmírňují úniky k třetím stranám. (Pozn.: vyžadují občasné „whitelisty“ pro nefunkční weby.)
3. GPC zapnuté v prohlížeči: pokud působíte v regulovaných jurisdikcích (nebo navštěvujete jejich weby), zapněte GPC – zvyšuje šanci, že platformy legálně musí respektovat váš opt-out.
4. Ochrana před link decoration: čistěte URL parametry (utm_*, fbclid, gclid), ideálně automaticky; sdílejte „čisté“ odkazy.
5. Anti-fingerprinting režimy: použijte resistFingerprinting (Firefox) nebo prohlížeč s uniformizací otisku (Brave). Očekávejte drobné kolize na některých webech.
6. Oddělení identit: kontejnery/profily pro práci, osobní a citlivá témata; jiný účet ≠ stejné cookies. Minimalizuje profilování napříč kontexty.
7. Síťová vrstva: DNS sinkhole (NextDNS/AdGuard DNS) a DoH/DoT brání úniku dotazů k poskytovateli a blokují známé domény trackerů.
8. E-mailové aliasy a blokování pixelů: blokujte načítání vzdálených obrázků; aliasy (SimpleLogin/Apple Hide My Email) zabraňují párování účtů.

Co funguje „někdy“: CMP a tlačítka souhlasu

Panely souhlasu (CMP) jsou právní mechanismus, nikoli technická bariéra. I když v EU musí respektovat volby, v praxi se setkáváme s dark patterns, chybně implementovanými položkami nebo ignorováním volby mimo cookies (např. server-side profilování). Proto, i při důsledném klikání „Odmítnout vše“, mějte zapnuté technické blokování na úrovni prohlížeče.

Co nefunguje (dostatečně): DNT a pasivní víra

• Samotné DNT: Bez zákonné povinnosti je to pouze signál bez vymahatelnosti – weby ho běžně ignorují.
• „Jen anonymní analytika“: i agregované metriky mohou při kombinaci s dalšími zdroji umožnit reidentifikaci.
• Inkognito bez dalších opatření: čistí lokální historii, ale neblokuje fingerprinting, síťové identifikátory ani přihlašovací korelace.

Rizika a kompromisy: proč není 100% soukromí zadarmo

Silné blokování může narušit fungování některých webů (komentáře, mapy, videa). Ochrana proti fingerprintingu zase snižuje kompatibilitu. Přístup „privacy by default“ proto doplňte o jemné odblokování na důvěryhodných webech a o oddělené profily, abyste minimalizovali zásahy.

Doporučený postup na 30 minut

1. Zapněte Enhanced/Strict Tracking Protection nebo použijte prohlížeč se silným výchozím nastavením.
2. Do prohlížeče přidejte uBlock Origin (základní seznamy + parametrové čištění) a aktivujte GPC.
3. Vymažte a vypněte třetí strany, kde to jde; sledujte, zda web funguje – v případě potřeby whitelisting.
4. Rozdělte si identity (profesionální / osobní / citlivá témata) do oddělených profilů/kontejnerů.
5. Přepněte DNS na NextDNS/AdGuard s filtry trackerů; zapněte DoH/DoT v prohlížeči.
6. V e-mailu blokujte vzdálené obrázky a používejte aliasy pro nákupy a registrace.

Jak měřit výsledek (bez sdílení dat)

Využijte lokální testy: about:networking/DevTools pro pohled, které domény se načítají; otevřené seznamy trackerů (EasyPrivacy) pro porovnání; testovací profily bez doplňků pro A/B kontrolu. U služeb, kde záleží na personalizaci (mapy, hudba), volte vyváženost – např. povolit 1P cookies, ale blokovat 3P a fingerprint.

Shrnutí: „DNT je mrtvé, ať žije kombinace opatření“

DNT samotné problém sledování nevyřeší. GPC má právní váhu alespoň v některých státech USA a jeho respektování se vymáhá. Na webový dohled však spolehlivě působí až vícevrstvá obrana: blokování v prohlížeči, GPC, doplňky, oddělení identit a síťová filtraci. Svět cookies se mění – ne vždy směrem k menšímu sledování – proto stavte na opatření, která fungují už dnes, a pravidelně je revidujte.