Czy generatory kodów QR Cię śledzą? Jak to sprawdzić w 30 sekund
Tworzenie kodu QR wygląda niewinnie: wypełniasz formularz, otrzymujesz obraz. Czego nie widzisz to co dzieje się z wpisanymi danymi — czy pozostają w przeglądarce, czy trafiają na serwer dostawcy.
W przypadku WiFi, vCard, płatności i wszelkich danych osobowych ta różnica ma znaczenie.
Szybka odpowiedź
- Generatory QR online mogą śledzić dwie odrębne rzeczy: dane, które wprowadzasz (hasło, kontakt, URL) i kto skanuje kod QR później.
- Śledzenie wprowadzonych danych zależy od tego, czy generowanie odbywa się po stronie serwera (dane trafiają na serwer) czy po stronie klienta (wszystko dzieje się w przeglądarce).
- Śledzenie skanowań jest możliwe tylko z dynamicznymi kodami QR: QR wskazuje na URL dostawcy, który rejestruje każde odwiedzenie.
- Możesz to sprawdzić w 30 sekund przy użyciu DevTools (zakładka Sieć) podczas generowania QR.
- Jeśli wprowadzasz wrażliwe dane (WiFi, vCard, płatności), używaj generatorów client-side, bez rejestracji, najlepiej open source.
Jakie rodzaje śledzenia istnieją w generatorze QR
Trzy odrębne warstwy:
1. Śledzenie wprowadzanych danych
Gdy wypełniasz formularz (SSID, hasło, kontakt, URL), te informacje mogą:
- Pozostać w przeglądarce i nigdy nie być wysyłane (generowanie client-side).
- Trafić na serwer dostawcy, aby zbudować obraz i go zwrócić (generowanie server-side). Mogą następnie znaleźć się w logach, analityce lub bazach danych.
Większość generatorów online jest domyślnie server-side, bo to najprostsza implementacja. Nie oznacza to, że dostawca jest złośliwy, ale Twoje dane przechodzą przez jego infrastrukturę.
2. Śledzenie użytkownika generującego QR
Jak każda strona internetowa, generator może mieć:
- Analitykę (Google Analytics, Plausible, Matomo, itp.).
- Ciasteczka stron trzecich i piksele reklamowe (Meta, TikTok, Google Ads).
- Fingerprinting przeglądarki do identyfikacji bez ciasteczek.
- Obowiązkowe konto wiążące każdy wygenerowany QR z Twoją tożsamością.
Jest to niezależne od samego generowania QR, ale część pakietu.
3. Śledzenie skanujących QR
Dotyczy tylko dynamicznych kodów QR: kod wskazuje na krótki URL dostawcy (qr.xx/abc123), który przekierowuje do rzeczywistego celu. Każde przekierowanie jest rejestrowane z:
- Dokładnym czasem skanowania.
- IP użytkownika (przybliżona lokalizacja).
- Typem urządzenia, systemem operacyjnym, przeglądarką.
- Referrerem jeśli jest.
W dynamicznym QR śledzenie skanowań nie jest przypadkowe — to racja bytu produktu.
Jak wykryć czy generator Cię śledzi (bez kodowania)
Trzy minuty z dowolną nowoczesną przeglądarką:
- Otwórz generator, który planujesz używać.
- Naciśnij F12 (lub kliknij prawym przyciskiem → Sprawdź) i przejdź do zakładki Sieć.
- Kliknij czerwony przycisk nagrywania / utrzymuj zakładkę otwartą i wyczyść ją (przycisk ⌀).
- Wypełnij formularz QR jakimikolwiek danymi i kliknij „generuj".
- Spójrz na żądania, które pojawiają się na liście.
Na co zwrócić uwagę:
- Jeśli nie pojawiają się nowe żądania podczas generowania: QR jest budowany w 100% w przeglądarce. Client-side. ✅
- Jeśli pojawia się żądanie
POSTdo URL dostawcy gdy klikasz generuj, z Twoimi polami (SSID, hasło, itp.) w treści: Twoje dane trafiają na serwer. Server-side. ❌ dla wrażliwych danych - Jeśli odpowiedzią jest obraz QR (PNG lub SVG) wygenerowany przez backend: potwierdza to, że serwer buduje kod.
Sprawdź też, czy strona ładuje Google Analytics, Meta Pixel lub inne skrypty trackerów (zobaczysz żądania do google-analytics.com, googletagmanager.com, connect.facebook.net, itp.).
Oczywiste czerwone flagi
Bez DevTools, kilka szybkich wskaźników:
- Wymagają rejestracji lub konta do generowania podstawowego QR.
- Mają plan „PRO" ze szczegółowym śledzeniem skanowań: jeśli to ich model biznesowy, śledzenie jest w DNA produktu.
- Pobrany QR niesie ich URL zamiast Twojego (
qr.xx/abc123zamiasttwojastrona.pl): to dynamiczny QR, automatycznie śledzony. - Polityka prywatności wspomina udostępnianie danych stronom trzecim, partnerom marketingowym lub użytkowanie reklamowe.
- Nie publikują kodu źródłowego a narzędzie jest darmowe bez jasnego modelu biznesowego: ktoś za to płaci, zwykle Twoimi danymi.
Jak sprawdzić, że generator jest client-side
Szybka lista kontrolna:
- Działa offline: odłącz WiFi, przeładuj stronę i spróbuj wygenerować. Jeśli działa, jest client-side. Jeśli nie może się załadować lub nie pozwala generować, zależy od serwera.
- Brak żądań sieciowych podczas generowania (weryfikowalne przez DevTools jak powyżej).
- Nie wymaga konta, bez e-maila.
- Kod źródłowy jest sprawdzalny (open source lub nie-minifikowany JavaScript).
- Cel QR to dokładnie to co wpisujesz, nie skrócony URL dostawcy.
Jeśli wszystkie pięć jest spełnionych, generator nie może Cię śledzić ani skanujących kod.
Dlaczego ma to największe znaczenie dla WiFi, vCard i płatności
W przypadku publicznego URL (strona firmowa, publiczny PDF), to że generator „widzi" Twój URL nie dodaje ryzyka: i tak miał być publiczny.
Ale są trzy typy QR, gdzie śledzenie jest krytyczne:
- WiFi: hasło do sieci. Jeśli trafi na serwer dostawcy, jest poza Twoją kontrolą.
- vCard: prywatny telefon, e-mail, adres. Dane osobowe objęte RODO (Rozporządzenie o Ochronie Danych Osobowych), egzekwowane przez UODO.
- Płatności / Bitcoin: portfel, IBAN, dane bankowe. Najwyższy poziom wrażliwości.
W tych przypadkach używanie generatora client-side to nie paranoja — to podstawowa higiena.
Open source vs własnościowy
To, że generator jest open source, samo w sobie nie gwarantuje większej prywatności, ale pozwala:
- Audytować kod i zweryfikować brak ukrytego śledzenia.
- Potwierdzić logikę client-side bez brania słowa dostawcy.
- Hostować samodzielnie jeśli chcesz pełnej kontroli.
Własnościowy generator może być równie prywatny, ale wymaga zaufania temu co twierdzi dostawca. Bez audytowalnego kodu nie ma możliwości weryfikacji.
W praktyce: open source + bez konta + bez sieci podczas generowania = najwyższy rozsądny standard prywatności.
Podsumowanie
Prawie każdy generator QR online przetwarza Twoje dane na swoim serwerze. To jest w porządku dla publicznego URL, ale ryzykowne dla WiFi, vCard lub płatności. Aby sprawdzić w 30 sekund, otwórz DevTools, przejdź do Sieć i sprawdź czy przeglądarka wysyła jakiekolwiek żądania gdy generujesz QR. Jeśli nie, jest client-side i Twoja treść nigdy nie opuszcza urządzenia.
QRcito generuje każdy QR całkowicie w przeglądarce, bez konta, bez sieci podczas generowania i bez trackerów stron trzecich. Możesz to zweryfikować otwierając DevTools przed kliknięciem generuj.
FAQ
Co oznacza „client-side" w generatorze QR? Że JavaScript budujący obraz QR działa wewnątrz przeglądarki. Wpisane dane nigdy nie są wysyłane do żadnego serwera. Generowanie jest lokalne, natychmiastowe i działa offline.
Czy legalne jest, żeby generator QR przechowywał moje dane? Jeśli ich polityka prywatności to deklaruje i akceptujesz ją, tak. Problem polega na tym, że wiele polityk jest niejasnych lub nie obejmuje danych specyficznych dla QR. W razie wątpliwości zakładaj że coś przechowują i wybierz inne narzędzie, jeśli Twoje dane są wrażliwe.
Czy statyczny QR może śledzić kto go skanuje? Nie. Statyczny QR nie przechodzi przez żaden serwer: informacja przechodzi bezpośrednio z kodu do czytnika. Tylko dynamiczne QR (z pośrednim URL przekierowania) mogą śledzić skanowania.
Jak RODO ma zastosowanie do generatorów QR? Jeśli wprowadzasz dane osobowe (imię, e-mail, telefon w vCard) do narzędzia server-side z siedzibą w UE lub obsługującego europejskich użytkowników, dostawca jest odpowiedzialny za przetwarzanie zgodnie z RODO. Aby zminimalizować ryzyko i obowiązki, prostą drogą jest używanie generatorów client-side.
Dlaczego QRcito może oferować wszystko za darmo bez śledzenia? Ponieważ generowanie kodów QR to lekki proces niewymagający drogiej infrastruktury. Bycie client-side oznacza brak kosztów serwera per użytkownik; bez śledzenia i kont, nie ma produktu do sprzedania. Strona działa przy bardzo niskich kosztach, bez potrzeby monetyzowania użytkowników.