Co je VPN bez logů? Auditovaní poskytovatelé, nezávislé zprávy a jak rozpoznat skutečné tvrzení od marketingu
VPN bez logů je služba, která nezaznamenává provoz, DNS ani metadata o připojení, podle nichž by bylo možné uživatele identifikovat. Tvrzení má smysl jen tehdy, když nezávislý auditor prozkoumal samotnou infrastrukturu. Zde je návod, jak to poznat.
Co "bez logů" ve skutečnosti znamená
VPN bez logů je poskytovatel, který se zavazuje nezaznamenávat provoz, DNS dotazy, IP adresy ani časová razítka připojení, jež by bylo možné spojit s konkrétním uživatelem. Samotný pojem 'bez logů' nemá žádnou právní definici. Používá ho každá domovská stránka VPN. Tvrzení získává smysl teprve tehdy, když nezávislý auditor prozkoumal skutečnou flotilu serverů a její konfiguraci — a zpráva je zveřejněna. K roku 2026 všech pět velkých placených VPN, kterými se zabýváme (Mullvad, Proton VPN, NordVPN, ExpressVPN, Surfshark), zveřejnilo nezávislé audity.
Co zveřejněné audity skutečně pokrývají
Nejnovější audit Mullvadu provedla společnost Cure53 ve dnech 3.–14. června 2024 (jeho celkově čtvrtý audit, druhý s Cure53). Jde o audit infrastruktury pokrývající jeden OpenVPN a jeden WireGuard server v produkční flotile Mullvadu. Proton VPN prošel čtyřmi po sobě jdoucími audity bez logů od Securitum (2022, 2023, 2024, 2025). NordVPN prošel šesti nezávislými ověřeními zásad bez logů podle ISAE 3000: PwC 2018, PwC 2020, Deloitte 2022, 2023, 2024, 2025. Trust Center ExpressVPN uvádí 23 zveřejněných auditů, nejnověji třetí audit bez logů od KPMG (2025) a audity Cure53/Praetorian přepisu protokolu Lightway do jazyka Rust (září–říjen 2024). Surfshark má audity bez logů od Deloitte z let 2023 a 2025 podle ISAE 3000.
Jak vypadá skutečné tvrzení o absenci logů
Skutečné tvrzení o absenci logů odlišují od marketingu tři signály. Za prvé zveřejněná zpráva třetí strany — nikoli blogový příspěvek ve formě tiskové zprávy, ale stažitelné PDF nebo stránka trust centra se jménem auditora a datem. Za druhé rozsah auditu, který zahrnuje infrastrukturu (konfiguraci na úrovni serveru), nikoli jen klientskou aplikaci. Za třetí ideálně skutečná zkouška soudním příkazem. Kanceláře Mullvadu prohledala 18. dubna 2023 švédská policie na základě příkazu vydaného z německé žádosti o právní spolupráci; Mullvad událost veřejně zdokumentoval a policie odešla, aniž zabavila zákaznická data, protože data, která příkaz požadoval, na serverech neexistovala (podle blogového příspěvku Mullvadu o domovní prohlídce). PureVPN naproti tomu v roce 2017 poskytl FBI logy připojení v případu kyberstalkingu Ryana Lina, navzdory svému dřívějšímu marketingu o 'absenci logů' — tento případ je kanonickým opačným příkladem marketingového tvrzení, které vyvrátil skutečný právní nátlak.
Na jurisdikci záleží méně než na tom, co poskytovatel ukládá
Marketing VPN přikládá jurisdikci velkou váhu. Ujednání o sdílení zpravodajských informací 5 / 9 / 14 Eyes (USA, Velká Británie, Kanada, Austrálie, Nový Zéland + Dánsko, Francie, Nizozemsko, Norsko + Německo, Belgie, Itálie, Švédsko, Španělsko) jsou reálná a VPN registrovaná ve Švédsku či Nizozemsku do nich spadá. Avšak poskytovatel v jurisdikci mimo Eyes, který uchovává logy připojení, je horší než poskytovatel bez logů kdekoli. Mullvad (Švédsko, v 14 Eyes) i Proton VPN (Švýcarsko, mimo Eyes) jsou oba auditované; razie u Mullvadu ukazuje, že na konfiguraci bez logů záleží více než na vlajce na mapě.
Jak číst zprávu z auditu
Otevřete zprávu a hledejte tři věci. (1) Rozsah — popisuje zpráva, co auditor zkoumal, včetně toho, které servery, které protokoly a jaké časové období? Obecné formulace typu 'audit zásad' bez konkrétností jsou slabší než 'zkoumali jsme konfigurační soubory VPN a konfigurace serverů'. (2) Metoda — zprávy Securitum pro Proton popisují kontrolu konfigurace na místě a rozhovory s personálem; zprávy Deloitte pro NordVPN odkazují na ISAE 3000 (mezinárodní standard pro ověřovací zakázky); zprávy Cure53 pro Mullvad popisují bezpečnostní testování metodou white-box na produkčních serverech. (3) Zjištění — každý audit něco najde. Audit Mullvadu od Cure53 z června 2024 našel dva problémy (jeden nízké, jeden střední závažnosti); audit Lightway od Praetorian z roku 2024 našel dva problémy s nízkým rizikem. Přítomnost zjištění není špatná — podezřelá by byla absence jakýchkoli zjištění. Záleží na závažnosti a nápravě.
Co ignorovat
Ignorujte obecné žebříčky 'nejsoukromějších VPN', které neuvádějí svou metodiku. Ignorujte poskytovatele, jejichž 'audit' je dopis od malé poradenské firmy, která se na servery nikdy nepodívala. Ignorujte srovnávací weby VPN, které neodkazují na samotnou zprávu — zpráva má datum a vydavatele; pokud na ni web neodkáže, je tvrzení neověřitelné. Ignorujte jurisdikci jako primární signál. Jediným spolehlivým signálem je zveřejněný rozsah auditu a tam, kde existuje, historie případů právního nátlaku.
Zdroje
Audit Mullvadu: mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Razie u Mullvadu 2023: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Audity Protonu: protonvpn.com/blog/no-logs-audit. Audity NordVPN: nordvpn.com/blog/nordvpn-no-logs-audit-2024. Trust Center ExpressVPN: expressvpn.com/trust. Audit Surfsharku: surfshark.com/blog/deloitte-nologs-policy-verified-again. Případ PureVPN/Lin: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. Všechny URL navštíveny 2026-04-30.