· 6 min

Sledují vás generátory QR kódů? Jak to ověřit za 30 sekund

Jaká data mohou generátory QR kódů sbírat, jak ověřit, zda váš generátor zpracovává data v prohlížeči, a jak vybrat skutečně soukromý generátor bez sledovačů.

Sledují vás generátory QR kódů? Jak to ověřit za 30 sekund

Vytvoření QR kódu vypadá nevinně: vyplníte formulář, dostanete obrázek. Co nevidíte, je to, co se děje s daty, která jste zadali – zda zůstanou ve vašem prohlížeči nebo cestují na server poskytovatele.

U WiFi, vCard, plateb a jakýchkoli osobních dat na tom záleží.

Rychlá odpověď

  • Online generátory QR kódů mohou sledovat dvě odlišné věci: data, která zadáváte (heslo, kontakt, URL) a kdo QR kód skenuje poté.
  • Sledování zadaných dat závisí na tom, zda je generování na straně serveru (data cestují na server) nebo na straně klienta (vše se odehrává ve vašem prohlížeči).
  • Sledování skenů je možné pouze u dynamických QR kódů: QR odkazuje na URL poskytovatele, která zaznamenává každou návštěvu.
  • Ověřit to můžete za 30 sekund pomocí záložky Síť v DevTools vašeho prohlížeče při generování QR kódu.
  • Pokud zadáváte citlivá data (WiFi, vCard, platby), používejte client-side generátory, bez registrace, ideálně open source.

Jaké typy sledování existují v generátoru QR kódů

Tři odlišné vrstvy:

1. Sledování dat, která zadáváte

Když vyplníte formulář (SSID, heslo, kontakt, URL), tyto informace mohou:

  • Zůstat ve vašem prohlížeči a nikam se neodeslat (generování client-side).
  • Cestovat na server poskytovatele k vytvoření obrázku a vrátit se (generování server-side). Mohou pak zůstat v protokolech, analytice nebo databázích.

Většina online generátorů je ve výchozím nastavení server-side, protože to je nejjednodušší implementace. To neznamená, že poskytovatel je zákeřný, ale vaše data procházejí jejich infrastrukturou.

2. Sledování uživatele generujícího QR kód

Jako každý web může mít generátor:

  • Analytiku (Google Analytics, Plausible, Matomo atd.).
  • Cookies třetích stran a reklamní pixely (Meta, TikTok, Google Ads).
  • Otisk prohlížeče pro vaši identifikaci bez cookies.
  • Povinný účet, který váže každý vámi vygenerovaný QR kód k vaší identitě.

To je nezávislé na samotném generování QR kódů, ale je součástí balíčku.

3. Sledování toho, kdo QR kód skenuje

Platí pouze pro dynamické QR kódy: kód odkazuje na krátkou URL poskytovatele (qr.xx/abc123), která přesměrovává na skutečný cíl. Každé přesměrování je zaznamenáno s:

  • Přesným časem skenu.
  • IP adresou uživatele (tedy přibližnou polohou).
  • Typem zařízení, OS, prohlížečem.
  • Zdrojem (referer), pokud existuje.

U dynamického QR kódu není sledování skenů náhodné – je to smysl existence produktu.

Jak zjistit, zda vás generátor sleduje (bez programování)

Tři minuty s libovolným moderním prohlížečem:

  1. Otevřete generátor, který plánujete použít.
  2. Stiskněte F12 (nebo klikněte pravým tlačítkem → Prozkoumat) a přejděte na záložku Síť.
  3. Klepněte na červené tlačítko záznamu / nechejte záložku otevřenou a vymažte ji (tlačítko ⌀).
  4. Vyplňte formulář QR s libovolnými daty a klepněte na „generovat".
  5. Sledujte požadavky, které se zobrazují v seznamu.

Na co se zaměřit:

  • Pokud se při generování neobjeví žádné nové požadavky: QR se vytváří 100 % ve vašem prohlížeči. Client-side. ✅
  • Pokud se při klepnutí na generovat objeví požadavek POST na URL poskytovatele s vašimi poli (SSID, heslo atd.) v payloadu: vaše data cestují na server. Server-side. ❌ pro citlivá data
  • Pokud je odpovědí obrázek QR kódu (PNG nebo SVG) vygenerovaný backendem: to potvrzuje, že server kód vytváří.

Také zkontrolujte, zda stránka načítá Google Analytics, Meta Pixel nebo jiné sledovací skripty (uvidíte požadavky na google-analytics.com, googletagmanager.com, connect.facebook.net atd.).

Zjevné varovné signály

Bez DevTools, několik rychlých ukazatelů:

  • Vyžadují registraci nebo účet k vygenerování základního QR kódu.
  • Mají „PRO" plán s podrobným sledováním skenů: pokud je to jejich obchodní model, sledování je v DNA produktu.
  • Stažený QR nese jejich URL místo vaší (qr.xx/abc123 místo vasedomena.cz): jde o dynamický QR, automaticky sledovaný.
  • Zásady ochrany osobních údajů zmiňují sdílení dat s třetími stranami, marketingovými partnery nebo reklamní využití.
  • Nezveřejňují zdrojový kód a nástroj je zdarma bez jasného obchodního modelu: někdo za to platí, obvykle vašimi daty.

Jak ověřit, že je generátor client-side

Rychlý kontrolní seznam:

  • Funguje offline: odpojte WiFi, znovu načtěte stránku a pokuste se generovat. Pokud to funguje, je client-side. Pokud nelze načíst nebo generovat, závisí na serveru.
  • Při generování nevznikají síťové požadavky (ověřitelné přes DevTools výše).
  • Není vyžadován účet, žádný e-mail.
  • Zdrojový kód je kontrolovatelný (open source nebo neminifikovaný JavaScript).
  • Cíl QR je přesně to, co zadáte, nikoli zkrácená URL poskytovatele.

Pokud platí všech pět, generátor nemůže sledovat vás ani toho, kdo kód skenuje.

Proč to nejvíce záleží u WiFi, vCard a plateb

U veřejné URL (vaše firemní webová stránka, veřejný PDF) nemá generátor „vidění" vaší URL žádné riziko: stejně byla veřejná.

Existují ale tři typy QR kódů, kde je sledování kritické:

  • WiFi: heslo vaší sítě. Pokud cestuje na server poskytovatele, je mimo vaši kontrolu.
  • vCard: osobní telefon, e-mail, adresa. Osobní údaje chráněné GDPR (v České republice vymáhané ÚOOÚ – Úřadem pro ochranu osobních údajů).
  • Platby / Bitcoin: peněženka, IBAN, bankovní data. Nejvyšší úroveň citlivosti.

V těchto případech použití client-side generátoru není paranoia – je to základní hygiena.

Open source vs. proprietární

To, že je generátor open source, samo o sobě nezaručuje větší soukromí, ale umožňuje:

  • Auditovat kód a ověřit, že neobsahuje skryté sledování.
  • Potvrdit client-side logiku bez nutnosti věřit tvrzením poskytovatele.
  • Sami si ho hostovat, pokud chcete plnou kontrolu.

Proprietární generátor může být stejně soukromý, ale vyžaduje důvěru v to, co poskytovatel tvrdí. Bez auditovatelného kódu to nelze ověřit.

V praxi: open source + bez účtu + bez sítě při generování = nejvyšší rozumný standard soukromí.

Závěr

Téměř každý online generátor QR kódů zpracovává vaše data na svém serveru. To je v pořádku pro veřejnou URL, ale riskantní pro WiFi, vCard nebo platby. Ověřit za 30 sekund: otevřete DevTools, přejděte na Síť a zkontrolujte, zda prohlížeč odesílá při generování QR jakékoli požadavky. Pokud ne, je client-side a váš obsah nikdy neopustí vaše zařízení.

QRcito generuje každý QR kód celý ve vašem prohlížeči, bez účtu, bez sítě při generování a bez sledovačů třetích stran. Ověřit to můžete otevřením DevTools před klepnutím na generovat.

Časté otázky

Co znamená „client-side" u generátoru QR kódů? Že JavaScript vytvářející QR obrázek běží uvnitř vašeho prohlížeče. Data, která zadáváte, se nikdy neodešlou na žádný server. Generování je lokální, okamžité a funkční offline.

Je zákonné, aby generátor QR kódů ukládal moje data? Pokud to jejich zásady ochrany osobních údajů deklarují a vy to akceptujete, ano. Problém je, že mnoho zásad je vágních nebo nepokrývá data specifická pro QR kódy. Při pochybnostech předpokládejte, že něco ukládají, a pokud jsou vaše data citlivá, zvolte jiný nástroj.

Může statický QR kód sledovat, kdo ho skenuje? Ne. Statický QR kód neprochází žádným serverem: informace jdou přímo z kódu do čtečky. Pouze dynamické QR kódy (s mezilehlou URL přesměrování) mohou sledovat skeny.

Jak GDPR platí na generátory QR kódů? Pokud zadáváte osobní údaje (jméno, e-mail, telefon ve vCard) do nástroje server-side se sídlem v EU nebo sloužícího evropským uživatelům, poskytovatel odpovídá za zpracování podle GDPR. Pro minimalizaci rizika a povinností je jednoduchá cesta používání client-side generátorů.

Proč může QRcito nabídnout vše zdarma bez sledování? Protože generování QR kódů je lehký proces, který nevyžaduje drahou infrastrukturu. Client-side znamená žádné náklady na server na uživatele; bez sledování nebo účtů není co prodávat. Web funguje za velmi nízké náklady bez potřeby monetizace uživatelů.

← Zpět na blog