Sledují vás generátory QR kódů? Jak to ověřit za 30 sekund
Vytvoření QR kódu vypadá nevinně: vyplníte formulář, dostanete obrázek. Co nevidíte, je to, co se děje s daty, která jste zadali – zda zůstanou ve vašem prohlížeči nebo cestují na server poskytovatele.
U WiFi, vCard, plateb a jakýchkoli osobních dat na tom záleží.
Rychlá odpověď
- Online generátory QR kódů mohou sledovat dvě odlišné věci: data, která zadáváte (heslo, kontakt, URL) a kdo QR kód skenuje poté.
- Sledování zadaných dat závisí na tom, zda je generování na straně serveru (data cestují na server) nebo na straně klienta (vše se odehrává ve vašem prohlížeči).
- Sledování skenů je možné pouze u dynamických QR kódů: QR odkazuje na URL poskytovatele, která zaznamenává každou návštěvu.
- Ověřit to můžete za 30 sekund pomocí záložky Síť v DevTools vašeho prohlížeče při generování QR kódu.
- Pokud zadáváte citlivá data (WiFi, vCard, platby), používejte client-side generátory, bez registrace, ideálně open source.
Jaké typy sledování existují v generátoru QR kódů
Tři odlišné vrstvy:
1. Sledování dat, která zadáváte
Když vyplníte formulář (SSID, heslo, kontakt, URL), tyto informace mohou:
- Zůstat ve vašem prohlížeči a nikam se neodeslat (generování client-side).
- Cestovat na server poskytovatele k vytvoření obrázku a vrátit se (generování server-side). Mohou pak zůstat v protokolech, analytice nebo databázích.
Většina online generátorů je ve výchozím nastavení server-side, protože to je nejjednodušší implementace. To neznamená, že poskytovatel je zákeřný, ale vaše data procházejí jejich infrastrukturou.
2. Sledování uživatele generujícího QR kód
Jako každý web může mít generátor:
- Analytiku (Google Analytics, Plausible, Matomo atd.).
- Cookies třetích stran a reklamní pixely (Meta, TikTok, Google Ads).
- Otisk prohlížeče pro vaši identifikaci bez cookies.
- Povinný účet, který váže každý vámi vygenerovaný QR kód k vaší identitě.
To je nezávislé na samotném generování QR kódů, ale je součástí balíčku.
3. Sledování toho, kdo QR kód skenuje
Platí pouze pro dynamické QR kódy: kód odkazuje na krátkou URL poskytovatele (qr.xx/abc123), která přesměrovává na skutečný cíl. Každé přesměrování je zaznamenáno s:
- Přesným časem skenu.
- IP adresou uživatele (tedy přibližnou polohou).
- Typem zařízení, OS, prohlížečem.
- Zdrojem (referer), pokud existuje.
U dynamického QR kódu není sledování skenů náhodné – je to smysl existence produktu.
Jak zjistit, zda vás generátor sleduje (bez programování)
Tři minuty s libovolným moderním prohlížečem:
- Otevřete generátor, který plánujete použít.
- Stiskněte F12 (nebo klikněte pravým tlačítkem → Prozkoumat) a přejděte na záložku Síť.
- Klepněte na červené tlačítko záznamu / nechejte záložku otevřenou a vymažte ji (tlačítko ⌀).
- Vyplňte formulář QR s libovolnými daty a klepněte na „generovat".
- Sledujte požadavky, které se zobrazují v seznamu.
Na co se zaměřit:
- Pokud se při generování neobjeví žádné nové požadavky: QR se vytváří 100 % ve vašem prohlížeči. Client-side. ✅
- Pokud se při klepnutí na generovat objeví požadavek
POSTna URL poskytovatele s vašimi poli (SSID, heslo atd.) v payloadu: vaše data cestují na server. Server-side. ❌ pro citlivá data - Pokud je odpovědí obrázek QR kódu (PNG nebo SVG) vygenerovaný backendem: to potvrzuje, že server kód vytváří.
Také zkontrolujte, zda stránka načítá Google Analytics, Meta Pixel nebo jiné sledovací skripty (uvidíte požadavky na google-analytics.com, googletagmanager.com, connect.facebook.net atd.).
Zjevné varovné signály
Bez DevTools, několik rychlých ukazatelů:
- Vyžadují registraci nebo účet k vygenerování základního QR kódu.
- Mají „PRO" plán s podrobným sledováním skenů: pokud je to jejich obchodní model, sledování je v DNA produktu.
- Stažený QR nese jejich URL místo vaší (
qr.xx/abc123místovasedomena.cz): jde o dynamický QR, automaticky sledovaný. - Zásady ochrany osobních údajů zmiňují sdílení dat s třetími stranami, marketingovými partnery nebo reklamní využití.
- Nezveřejňují zdrojový kód a nástroj je zdarma bez jasného obchodního modelu: někdo za to platí, obvykle vašimi daty.
Jak ověřit, že je generátor client-side
Rychlý kontrolní seznam:
- Funguje offline: odpojte WiFi, znovu načtěte stránku a pokuste se generovat. Pokud to funguje, je client-side. Pokud nelze načíst nebo generovat, závisí na serveru.
- Při generování nevznikají síťové požadavky (ověřitelné přes DevTools výše).
- Není vyžadován účet, žádný e-mail.
- Zdrojový kód je kontrolovatelný (open source nebo neminifikovaný JavaScript).
- Cíl QR je přesně to, co zadáte, nikoli zkrácená URL poskytovatele.
Pokud platí všech pět, generátor nemůže sledovat vás ani toho, kdo kód skenuje.
Proč to nejvíce záleží u WiFi, vCard a plateb
U veřejné URL (vaše firemní webová stránka, veřejný PDF) nemá generátor „vidění" vaší URL žádné riziko: stejně byla veřejná.
Existují ale tři typy QR kódů, kde je sledování kritické:
- WiFi: heslo vaší sítě. Pokud cestuje na server poskytovatele, je mimo vaši kontrolu.
- vCard: osobní telefon, e-mail, adresa. Osobní údaje chráněné GDPR (v České republice vymáhané ÚOOÚ – Úřadem pro ochranu osobních údajů).
- Platby / Bitcoin: peněženka, IBAN, bankovní data. Nejvyšší úroveň citlivosti.
V těchto případech použití client-side generátoru není paranoia – je to základní hygiena.
Open source vs. proprietární
To, že je generátor open source, samo o sobě nezaručuje větší soukromí, ale umožňuje:
- Auditovat kód a ověřit, že neobsahuje skryté sledování.
- Potvrdit client-side logiku bez nutnosti věřit tvrzením poskytovatele.
- Sami si ho hostovat, pokud chcete plnou kontrolu.
Proprietární generátor může být stejně soukromý, ale vyžaduje důvěru v to, co poskytovatel tvrdí. Bez auditovatelného kódu to nelze ověřit.
V praxi: open source + bez účtu + bez sítě při generování = nejvyšší rozumný standard soukromí.
Závěr
Téměř každý online generátor QR kódů zpracovává vaše data na svém serveru. To je v pořádku pro veřejnou URL, ale riskantní pro WiFi, vCard nebo platby. Ověřit za 30 sekund: otevřete DevTools, přejděte na Síť a zkontrolujte, zda prohlížeč odesílá při generování QR jakékoli požadavky. Pokud ne, je client-side a váš obsah nikdy neopustí vaše zařízení.
QRcito generuje každý QR kód celý ve vašem prohlížeči, bez účtu, bez sítě při generování a bez sledovačů třetích stran. Ověřit to můžete otevřením DevTools před klepnutím na generovat.
Časté otázky
Co znamená „client-side" u generátoru QR kódů? Že JavaScript vytvářející QR obrázek běží uvnitř vašeho prohlížeče. Data, která zadáváte, se nikdy neodešlou na žádný server. Generování je lokální, okamžité a funkční offline.
Je zákonné, aby generátor QR kódů ukládal moje data? Pokud to jejich zásady ochrany osobních údajů deklarují a vy to akceptujete, ano. Problém je, že mnoho zásad je vágních nebo nepokrývá data specifická pro QR kódy. Při pochybnostech předpokládejte, že něco ukládají, a pokud jsou vaše data citlivá, zvolte jiný nástroj.
Může statický QR kód sledovat, kdo ho skenuje? Ne. Statický QR kód neprochází žádným serverem: informace jdou přímo z kódu do čtečky. Pouze dynamické QR kódy (s mezilehlou URL přesměrování) mohou sledovat skeny.
Jak GDPR platí na generátory QR kódů? Pokud zadáváte osobní údaje (jméno, e-mail, telefon ve vCard) do nástroje server-side se sídlem v EU nebo sloužícího evropským uživatelům, poskytovatel odpovídá za zpracování podle GDPR. Pro minimalizaci rizika a povinností je jednoduchá cesta používání client-side generátorů.
Proč může QRcito nabídnout vše zdarma bez sledování? Protože generování QR kódů je lehký proces, který nevyžaduje drahou infrastrukturu. Client-side znamená žádné náklady na server na uživatele; bez sledování nebo účtů není co prodávat. Web funguje za velmi nízké náklady bez potřeby monetizace uživatelů.