<html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8"></head><body>
<div>Cau, ja jako spravce dat na "moji vps" nemam povinost nekomu rikat kde ty data jsou (jen v jakem rozsahu je zpracovavam a k cemu). </div><div><br></div><div>Pokud by tyto informace chtel videt nejaky dozorovy organ, tak pak se s nim o tom budu bavit. </div><div><br></div><div>Samozrejme ze pro svoji interni potrebu to na lejstro dam, abych to v pripade potreby mohl dolozit.</div><div><br></div><div>Jako clen VpsFree se potrebuji ujistit, ze mi moji Vpsku administruji radne a prijmou opatreni (neco) a budu se muset oprit o nejaky pravni dokument.</div><div><br></div><div>Z hlediska VPSFree je to dle meho soudu tak, ze poskytuje pouze technicke nastroje a administruje ty systemy a bude se snazit byt v souladu aby clenove neodesly. Kdyz to prezenu, pokud by clenove meli prazdne vpsky, jak by priprava na gdpr vypadala?</div><div><br></div><div><br></div><div><br></div><div><br></div><div id="composer_signature"><meta http-equiv="Content-Type" content="text/html; charset=UTF-8">S pozdravem<div>Petr Juhaňák</div><div><br></div><div>petr@juhanak.cz | +420 739 639 132</div></div><br><br>-------- Původní zpráva --------<br>Od: Pavel Snajdr <snajpa@snajpa.net> <br>Datum: 01.02.18 1:28 (GMT+01:00) <br>Komu: "vpsFree.cz Community list" <community-list@lists.vpsfree.cz> <br>Předmět: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR <br><br>Jo, tohle by slo presne tam, cca tak, jak rikas.<br><br>Jako pani, to fakt GDPR resi ochranu dat tim, ze vsem naokolo vykeca, <br>kde ty data jsou a pak jakoze proti podpisu mame delat, ze na ne <br>nevidime?<br><br>Nechapu to.<br><br>Neni pro nas lepsi vubec nevedet, jestli tam neco takovyho vubec je a za <br>soukrome proste povazovat cokoliv z datasetu clena, kterehokoliv?<br><br>Komu pomuze, ze nam presne vyslepici a jeste podepise, kde ta data ma?<br><br>/snajpa<br><br>On 2018-02-01 01:22, Slávek Banko wrote:<br>> Ve Stanovách je odkazován Provozní řád, který je schvalovaný Radou.<br>> <br>> Pokud by navrhované prohlášení typu "všechní informační zařízení jejíž<br>> použití poskytovává VPSFree a na které se zpracovává data jsou v EU" a<br>> další pravidla související s GDPR mohl podchytit Provozní řád, pak by<br>> možná mohl by být tím společným dokumentem závazným pro všechny?<br>> <br>> --<br>> Slávek<br>> <br>> On Thursday 01 of February 2018 00:12:28 Timothy Hobbs wrote:<br>>> Já teď koukám na stanovy<br>>> https://vpsfree.cz/download/stanovy_vpsfree.pdf a nevidím kde je<br>>> napsáno, že "všechní informační zařízení jejíž použití poskytovává<br>>> VPSFree a na které se zpracovává data jsou v EU".<br>>> <br>>> On 01/31/2018 08:12 AM, zd nex wrote:<br>>> > Ahojte,<br>>> ><br>>> > také si tu směrnici vykládám tak, že každý člen musí za data na VPS<br>>> > zodpovídat sám (mít pověřenou osobu, která s tím pracuje + papír, že<br>>> > je o tom seznámená.) Co se týče dat na VPSFree, tak tam půjde<br>>> > primárně o to, jestli stačí to co je ve stanovách - či jestli nějak<br>>> > bude také potřeba tedy domluvit (sepsat smlouvu) mezi členem(jeho<br>>> > daty) a vpsfree nějak odděleně, nebo bude pouze stačit, aby to bylo<br>>> > ve stanovách - že jsou zde admini a následně jednotlivý členové co<br>>> > pracují s VPS(kteří jsou zodpovědní za data)? Tzn tím pádem, by<br>>> > nemělo být nutné nic měnit, kromě té specifikace - kdo a jaký má<br>>> > přístup k VPS a jakou zodpovědnost (plnou).<br>>> ><br>>> > --<br>>> > S pozdravem,<br>>> ><br>>> > Zdeněk Dlauhý<br>>> ><br>>> > Email:support@pripravto.cz <mailto:support@pripravto.cz><br>>> > Mobil: +420 702 549 370<br>>> > Web: www.pripravto.cz <http://www.pripravto.cz><br>>> ><br>>> > Dne 31. ledna 2018 6:21 Petr Juhaňák <petr@juhanak.cz<br>>> > <mailto:petr@juhanak.cz>> napsal(a):<br>>> ><br>>> > Je to tak jak rika Jirka.<br>>> ><br>>> > VpsFree si udela samo datovy audit z hlediska osobnich udaju<br>>> > ktere eviduje o clenech a sepise si na papir kde a v jakem rozsahu<br>>> > jsou a hlavne zadokumentuje jaka opatreni uz ma (procesy a technicka<br>>> > nastaveni) aby to vypadalo jako rizena prace s riziky. Pak pravni<br>>> > dokumenty typu informovane souhlasy.<br>>> ><br>>> > To same si udelaji clenove ale v jinem ramci, uz na urovni jejich<br>>> > provozovane technologie php eshopy a podobne a zase seznam<br>>> > opatreni, proces kdyz nekdo odvola souhlas se zpracovanim, seznam<br>>> > opatreni.<br>>> ><br>>> > To jsou veci ktere si kazdy muze pripravit uz ted.<br>>> ><br>>> > Predstava, ze vpdfree je tu od toho aby zajistila soulad s gdpr<br>>> > je mylna. To si musi zajistit kazdy clen sam, tj. nemluvim o<br>>> > technickem svete.<br>>> ><br>>> ><br>>> ><br>>> > S pozdravem<br>>> > Petr Juhaňák<br>>> ><br>>> > petr@juhanak.cz <mailto:petr@juhanak.cz> | +420 739 639 132<br>>> > <tel:+420%20739%20639%20132><br>>> ><br>>> ><br>>> > -------- Původní zpráva --------<br>>> > Od: Jindřich Sadílek <jindrich.sadilek@gmail.com<br>>> > <mailto:jindrich.sadilek@gmail.com>><br>>> > Datum: 31.01.18 1:41 (GMT+01:00)<br>>> > Komu: community-list@lists.vpsfree.cz<br>>> > <mailto:community-list@lists.vpsfree.cz><br>>> > Předmět: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR<br>>> ><br>>> > Jedna věc je, co si musí pořešit VPSfree jako organizace, zcela<br>>> > jiná pak jendotliví správci vlastních žiletek.<br>>> ><br>>> > Provozujete nějaký jednoduchý eshop, máte uživatelské registrace<br>>> > a pošlete semtam email, natož považovatelný za reklamní? Jste v tom<br>>> > až po uši...<br>>> ><br>>> > Dne St, 31. leden 2018 v 00:30 h uživatel Jirka Bourek napsal:<br>>> >> Problém je, že tohle všechno řeší technické věci, které udělat<br>>> >> chceš, ale neřeší to chybějící papíry, které potřebuješ pro úřad.<br>>> >><br>>> >> Jasně, v oboru "no tak nám procesory trochu leakujou paměť,<br>>> >> hlavně že jsem náhodou včas prodal akcie" nějakou skutečnou ochranu<br>>> >> osobních údajů<br>>> >> v podstatě řešit nejde. Jenže to úředníky z EU nezajímá - ti<br>>> >> vymysleli<br>>> >> směrnici na ochranu osobních údajů, takže se osobní údaje chrání<br>>> >> tak, jak nařizuje směrnice. Až přijde kontrola, argumentace "dyť je<br>>> >> to nesmysl!" nic nezachrání.<br>>> >><br>>> >> Takže správce potřebuje se zpracovatelem mít smlouvu nebo jiný<br>>> >> právní akt. Pokud je právním aktem - dostatečným pro úřad - členství<br>>> >> v vpsfree,<br>>> >> tak je asi všechno v poho.<br>>> >> (http://www.privacy-regulation.eu/cs/28.htm<br>>> >> <http://www.privacy-regulation.eu/cs/28.htm>)<br>>> >> Pokud ne, tak je problém.<br>>> >><br>>> >> Jinak teda<br>>> >><br>>> >> > Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi, jakou ma<br>>> >><br>>> >> zodpovednost, best practices v ohledu bezpecnosti davno sleduje.<br>>> >><br>>> >> Co když to neví, nebo na to dlabe? :-)<br>>> >><br>>> >><br>>> >> Pavel Snajdr wrote:<br>>> >><br>>> >> Stejne jako oskenovat, co ti tam bezi a dostat se ti tam bez<br>>> >> zvednuti my pohodlny zadele, obzvlast pokud jedes nejakou<br>>> >> PHPkovinu a data, ktery by bylo potreba chranit, jsou primo<br>>> >> v DB, kam ty PHP spagety vidi.<br>>> >><br>>> >> A co ted s tim, vypneme to vsehno? ;)<br>>> >><br>>> >> Chci tim rict, ze panikrit IMHO neni na miste a kdyz se nad<br>>> >> tim clovek zamysli, zasifrovat vsechno taky neni reseni.<br>>> >><br>>> >> Jinak ja jsem za GDPR rad, mam vymluvu, proc si sebou budu<br>>> >> nosit klicenku s trhavinou na flashkach, mame vymluvu, proc<br>>> >> plosne nasadit sifrovani, proc se nam nepujde dostat do<br>>> >> racku neautorizovane, aniz by to neodmazlo klice a neshodilo vsehno<br>>> >> chraneny (tj. abys nam fakt nechtel otevrit ten rack).<br>>> >><br>>> >> Ne ze by GDPR neco resilo, ale dava van super vymluvu, jak<br>>> >> muzem nase systemy postupne posouvat vic smerem plausible<br>>> >> deniability, tj. soukromi je level jedna, level nuda, ale co<br>>> >> nam to umozni je ochranit i adminy pred tim, aby vedeli, co<br>>> >> clen bezi.<br>>> >><br>>> >> Neumel jsem si bez GDPR predstavit, jak zvysovat zabezpeceni<br>>> >> bez toho, aby to vypadalo, jako kdyz se chystame hostovat<br>>> >> tunu detskyho porna a lokalni pobocku CIA. Jenom to nebude<br>>> >> vsehno hned - a nektery levely zabezpeceni na sharovanym<br>>> >> hardwaru ani nepujde udelat.<br>>> >><br>>> >> Chci:<br>>> >><br>>> >> - sifrovani v ZoL<br>>> >> - aby clen mel moznost klic per dataset neulozit, ale zadat<br>>> >> si ho sam pres bezpecny kanal (ssh/https api call)<br>>> >> - monitoring otevreni racku co bez nahlaseni predem donuti<br>>> >> masiny smazat klice z RAM<br>>> >><br>>> >> Ale tohle je furt malo, pokud admini nemaji vedet, co clen<br>>> >> bezi. Ani fullvirt ani se sifrovanou RAM na AMD nam<br>>> >> nepomuze, takze resim, jak zahostovat single board desky pro cleny,<br>>> >> kteri chteji mit moznost nejcitlivejsi data mit fakt soukrome.<br>>> >><br>>> >> Ve finale:<br>>> >><br>>> >> - budes mit moznost data na VPS sifrovat svymi hesly, ktera<br>>> >> se u nas nebudou ukladat (prusvih je, ze my nemame jak<br>>> >> dokazat, ze jsme to nikde neulozili)<br>>> >><br>>> >> - pri neautorizovanym pristupu do racku se klice smaznou, to<br>>> >> samy pri rebootu/resetu a je pak na tobe zvazit, jestli je<br>>> >> OK data uz odemknout<br>>> >><br>>> >> - budes mit moznost nejcitlivejsi data vysoupnout vedle po<br>>> >> siti na svuj dedikovanej systemek kalibru ARM Cortex A53, do<br>>> >> budoucna RISC-V<br>>> >><br>>> >> Problem nastava, kdyz s adminkem pujde do datacentra nekdo<br>>> >> sebedulezitejsi, nez GDRP byrokrat s kulometem u palice, pak<br>>> >> admin nema moznost ani nejak kliknout smazani klicu, nebo<br>>> >> aspon nejakej counter na webu ve smyslu kanarka, ktery bude<br>>> >> pocitat pocet podobnych incidentu.<br>>> >><br>>> >> Shared computing ma svoje limity, bohuzel, jestli sledujes,<br>>> >> kam tim mirim.<br>>> >><br>>> >> GDPR podle mne vyzaduje nutne jenom nejaky papirovani, ale<br>>> >> do budoucna nam dava zaminku jit na to vic z husta, co se soukromi<br>>> >> tyce.<br>>> >><br>>> >> Muze nam pak nekdo nadavat, ze delame hosting detskyho porna<br>>> >> a teroristum, kdyz mame racky obehnany pomalu ziletkovym<br>>> >> dratem? Nemuze, at si stezuje v Bruselu.<br>>> >><br>>> >> Za mne dobry, ale nebude to hned. A v prvni vlne bude hlavne<br>>> >> to papirovani. V druhy vlne se musime zbavit nedostacujiciho<br>>> >> OpenVZ, vpsAdminOS ma podstatne lip ovladatelnejsi<br>>> >> bezpecnostni politiku - a je odspoda nahoru cely podepsany a<br>>> >> verifikovatelny.<br>>> >><br>>> >> /snajpa<br>>> >><br>>> >> On 30 Jan 2018, at 23:41, Jaroslav Skrivan<br>>> >> <skrivy@skrivy.net <mailto:skrivy@skrivy.net>> wrote:<br>>> >><br>>> >> Jenom moje osobni zkusenost - odnest si cizi disky z<br>>> >> datacentra neni zas takovy problem, jak se na prvni<br>>> >> pohled muze zdat.<br>>> >> From: Pavel Snajdr<br>>> >> Sent: 1/30/2018 10:49 PM<br>>> >> To: vpsFree.cz Community list<br>>> >> Subject: Re: [vpsFree.cz: community-list] vpsFree.cz a<br>>> >> GDPR<br>>> >><br>>> >> Ahoj,<br>>> >><br>>> >> GDPR je, pokud to dobre chapu, totalni nesmysl, z<br>>> >> kteryho jsou vsichni vyjukani uplne, ale naprosto totalne zbytecne.<br>>> >><br>>> >> Podivej se, co bezime za procesory.<br>>> >><br>>> >> Jak ma nekdo neco v takovym stavu vubec industry-wide za<br>>> >> neco rucit?<br>>> >><br>>> >> Za mne je GDPR o tom a pouze o tom, ze musime podepsat<br>>> >> papir s lidmi, co maji admin pristupy, aby acknuli<br>>> >> oficialne svoji zodpovednost.<br>>> >><br>>> >> V seznamu clenu uz ted mame jenom nejnutnejsi udaje<br>>> >> (podle posledni zkusenosti s PCR a PSR jim k<br>>> >> identifikaci ani to nemusi stacit...).<br>>> >><br>>> >> Ve stanovach mame zakotvenou ochranu dat clenu uz od<br>>> >> zacatku.<br>>> >><br>>> >> Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi,<br>>> >> jakou ma zodpovednost, best practices v ohledu<br>>> >> bezpecnosti davno sleduje.<br>>> >><br>>> >> A kdyz si nekdo mysli, ze Vsechno Zasifrovat(tm) to<br>>> >> vyresi, tak se rovnou zeptam - a borci, jak se k tomu<br>>> >> asi programy na ty masine dostanou? Hint: stejne musi byt data<br>>> >> odemcena pri behu. A ze se k nim neco dostane za behu je mnoooohem<br>>> >> pravdepodobnejsi, nez ze nam z hlidanyho datacentra nekdo ukradne<br>>> >> disky a vycte si neco offline.<br>>> >><br>>> >> Tedy, muj nazor je, ze vubec neni potreba panikarit a<br>>> >> natoz se uchylovat k reseni stylem ‘radsi to na vpsFree<br>>> >> nedam vubec’. To ty servery muzeme rovnou vypnout totiz<br>>> >> - a cely to zabalit s tim, ze jsme se nechali prevalcovat<br>>> >> byrokratama.<br>>> >><br>>> >> /snajpa<br>>> >> (Pavel Snajdr)<br>>> >> (Predseda vpsFree.cz)<br>>> >> (+420 720 107 791 <tel:+420%20720%20107%20791>)<br>>> >><br>>> >> On 30 Jan 2018, at 22:10, Lukáš Jelínek - AIKEN<br>>> >> <lukas@aiken.cz <mailto:lukas@aiken.cz>> wrote:<br>>> >><br>>> >> Ahoj,<br>>> >><br>>> >> pokud si vzpomínám, tak něco podobného už se řešilo<br>>> >> na valné hromadě<br>>> >> (byť ještě nebylo nařízení GDPR). A situace je v<br>>> >> podstatě taková, že to<br>>> >> asi příliš řešit nelze, protože by to pro spolek<br>>> >> znamenalo velkou<br>>> >> administrativní zátěž a značný nárůst nákladů.<br>>> >><br>>> >> Čili asi nejčistším řešením v tuto chvíli je,<br>>> >> nevyužívat servery<br>>> >> vpsFree.cz k ukládání osobních údajů - přinejmenším<br>>> >> do doby, než se<br>>> >> všechny záležitosti vyřeší (a než vůbec vznikne<br>>> >> nějaký závazný výklad<br>>> >> různých ustanovení směrnice).<br>>> >><br>>> >> Lukáš Jelínek<br>>> >><br>>> >><br>>> >><br>>> >> Ahoj ve spolek!<br>>> >><br>>> >> Datum 25.5.2018, kdy nám vstupuje v účinnost<br>>> >> GDPR se pomalu ale jistě<br>>> >> blíží. Bohužel jsem byl, ač neprávník do této<br>>> >> problematiky trochu<br>>> >> zatlačen a byly na mě již vzneseny dotazy<br>>> >> týkající se GDPR a vpsFree.<br>>> >><br>>> >> Myslím, si, že je nás více, kteří na VPS máme<br>>> >> uloženy nějaké ty osobní<br>>> >> údaje (adresy, emaily, apod.) a skoro všichni<br>>> >> máme nějaký ten<br>>> >> webserver, kde se logují IP adresy, které jsou<br>>> >> rovněž považovány za<br>>> >> osobní údaje. Díky tomu jsme z pohledu GDPR<br>>> >> považování za správce<br>>> >> osobních údajů. Podle článku 4 GDPR se<br>>> >> zpracovaním osobních údajů<br>>> >> rozumí také ukládání osobních údajů. Z toho<br>>> >> plyne, že jakýkoliv<br>>> >> poskytovatel cloudových služeb, hostingu, VPS,<br>>> >> atd. je vůči správci v<br>>> >> postavení zpracovatele osobních údajů. Článek 28<br>>> >> GDPR potom řeší vztah<br>>> >> zpracovatele a správce, kde mj. požaduje nějaký<br>>> >> smluvní vztah mezi<br>>> >> nimi. Když to převedu na protředí vpsFree tak<br>>> >> členové jsou v podstatě<br>>> >> správci osobních údajů a vpsFree je<br>>> >> zpracovatelem osobních údajů.<br>>> >><br>>> >> Můj dotaz zní, zda a jak bylo nebo bude GDPR<br>>> >> řešeno na úrovní vpsFree?<br>>> >> V podstatě asi jde o to, aby bylo v případě<br>>> >> kontroly z UOOÚ možno<br>>> >> něčím nebo nějak prokázat, že vpsFree je v<br>>> >> souladu s GDPR a taky<br>>> >> garantuje, že data nebudou uložena mimo EU.<br>>> >> Věřím, že v našich řadách<br>>> >> jsou kompetentnější členové v této věci jako já<br>>> >> a tak bých rád otevřel<br>>> >> diskusi.<br>>> >><br>>> >> Honza.<br>>> >><br>> _______________________________________________<br>> Community-list mailing list<br>> Community-list@lists.vpsfree.cz<br>> http://lists.vpsfree.cz/listinfo/community-list<br>_______________________________________________<br>Community-list mailing list<br>Community-list@lists.vpsfree.cz<br>http://lists.vpsfree.cz/listinfo/community-list<br></body></html>