Ahoj,

jestli tomu rozumím dobře, tak je to vlastně obráceně než jsme si dosud mysleli? Tj. sdružení by mělo dokazovat, že má smlouvu se svými členy, že oni jsou GDPR-compliant a ne naopak?

Z toho mi tak trochu plyne, že když mám na VPS nainstalovaný ISPConfig a v něm pár webů svých klientů, tak bych měl mít také já s nimi smlouvu, že jejich weby jsou GDPR-compliant? Tzn. já jsem zodpovědný za své zákazníky co u mě provozují a sdružení je zodpovědné za to, že jeho členové jsou zodpovědní? A tzn. musí existovat transitivní uzávěr smluv o GDPR-compliancy na kohokoliv kdo se otře o servery vpsFree? Ufff.

BTW - jak se dá dokázat, že něco neporušuji? To je přece prolomení principu presumpce neviny, není-liž pravda? Není to napadnutelné přes listinu základních práv a svobod? Nebo přes ústavu? Rozumíte tomu někdo?

Díky,
Š.
 
Dne 31.1.2018 v 20:46 Ing. Jan Dvořák napsal(a):
Ahoj!

IMHO to co je ve stanovách rozhodně stačit nebude. Nechci teď řešit členskou evidenci, apod. To je další věc k řešení, ale teď začnu trochu ze široka. Poskytování VPS je služba IaaS (infrastruktura jako služba). vpsFree, jako ten kdo tuto službu poskytuje je dle GDPR zpracovatelem osobních údajů. To jestli má přístup k osobním údajům členů na VPS nebo ne není rozhodující. Pokud vpsFree nebude mít smluvní ujednání se správci (členy) tak může být považován přímo za správce sám. Toto vše je novinka GDPR. Doposud se na tyto zpracovatele legislativa v oblasti osobních údajů nevztahovala nebo se dala obejít.

Takže vpsFree má IMHO dvě možnosti. Buď jasně deklaruje, že poskytnutá VPS jsou pouze pro osobní potřebu a zakáže členům zpracovávat na VPS jakékoliv osobní údaje. Tím pádem nebude muset řešit žádné GDPR, což ale bude znamenat odchod členů, na které se GDPR vztahuje. Nebo bude muset s každým členem, který bude na VPS zpracovávat osobní údaje uzavřít zpracovatelskou smlouvu. GDPR poměrně jasně stanovuje co taková smlouva má obsahovat a tak jen heslovitě:
- předmět a trvání zpracování
- povaha a účel zpracování
- typ osobních údajů a kategorii subjektů údajů
- povinnosti a práva správce
- povinnosti zpracovatele (zpracování osobní údajů jen na základě dokumentovaných pokynů správce, zajistit důvěrnost, přijmout vhodná bezpečnostní opatření)
Co z toho by se vztahovalo na smlouvu mezi vpsFree a členem, to je otázka na právníka. Dokázal bych si představit, že členové s takovou smlouvou by mohli mít třeba o něco vyšší členský poplatek, aby se pokryly vícenáklady

Termín účinnosti se pomalu ale jistě blíží. Ve firmách se provádí různé audity a je třeba aby vpsFree co nejdříve jasně deklarovalo jak se ke GDPR postaví, aby Ti členové, kterých se to týká (bohužel jsem to i já) se mohli zařídit.

Tento problém budou řešit všichni poskytovatelé hostingu, VPS, cloudových služeb. V ČR je situace zatím tristní, zatím toto nikdo neřešil, jedině FORPSI, co jsem viděl se k tomu zatím nějak postavili. Co jsem tak sondoval v zahraničí tak úplně připraveny jsou jen ti největší (Microsoft, Amazon, apod.) a ti menší se postupně připravují. Nicméně ke změnám v Service Agreementech v souvislosti s GDPR určitě bude docházet.

Je třeba si taky říct, že s GDPR také přichází jedna zásadní změna. Doposud porušení zákona správcem musel prokazovat úřad, ale s GDPR je to naopak. Správce je ten, který musí prokazovat, že nic neporušil.

A malá poznámka na závěr, jak zaznělo na jednom semináři. Největším rizikem GDPR není vlastní nařízení, úřady, kontroly, pokuty apod. Největším rizikem jsou lidé. Díky mediální masáži a bublině se může objevit spoustu trollů, kteří díky GDPR dostanou do ruky jednoduchou možnost škodit.

Honza.


Dne 31.1.2018 v 08:12 zd nex napsal(a):
Ahojte,

také si tu směrnici vykládám tak, že každý člen musí za data na VPS zodpovídat sám (mít pověřenou osobu, která s tím pracuje + papír, že je o tom seznámená.) Co se týče dat na VPSFree, tak tam půjde primárně o to, jestli stačí to co je ve stanovách - či jestli nějak bude také potřeba tedy domluvit (sepsat smlouvu) mezi členem(jeho daty) a vpsfree nějak odděleně, nebo bude pouze stačit, aby to bylo ve stanovách - že jsou zde admini a následně jednotlivý členové co pracují s VPS(kteří jsou zodpovědní za data)? Tzn tím pádem, by nemělo být nutné nic měnit, kromě té specifikace - kdo a jaký má přístup k VPS a jakou zodpovědnost (plnou).

-- 
S pozdravem,

Zdeněk Dlauhý

Email:support@pripravto.cz <mailto:support@pripravto.cz>
Mobil: +420 702 549 370
Web: www.pripravto.cz <http://www.pripravto.cz>

Dne 31. ledna 2018 6:21 Petr Juhaňák <petr@juhanak.cz <mailto:petr@juhanak.cz>> napsal(a):

    Je to tak jak rika Jirka.

    VpsFree si udela samo datovy audit z hlediska osobnich udaju ktere
    eviduje o clenech a sepise si na papir kde a v jakem rozsahu jsou a
    hlavne zadokumentuje jaka opatreni uz ma (procesy a technicka
    nastaveni) aby to vypadalo jako rizena prace s riziky. Pak pravni
    dokumenty typu informovane souhlasy.

    To same si udelaji clenove ale v jinem ramci, uz na urovni jejich
    provozovane technologie php eshopy a podobne a zase seznam opatreni,
    proces kdyz nekdo odvola souhlas se zpracovanim, seznam opatreni.

    To jsou veci ktere si kazdy muze pripravit uz ted.

    Predstava, ze vpdfree je tu od toho aby zajistila soulad s gdpr je
    mylna. To si musi zajistit kazdy clen sam, tj. nemluvim o technickem
    svete.



    S pozdravem
    Petr Juhaňák

    petr@juhanak.cz <mailto:petr@juhanak.cz> | +420 739 639 132
    <tel:+420%20739%20639%20132>


    -------- Původní zpráva --------
    Od: Jindřich Sadílek <jindrich.sadilek@gmail.com
    <mailto:jindrich.sadilek@gmail.com>>
    Datum: 31.01.18 1:41 (GMT+01:00)
    Komu: community-list@lists.vpsfree.cz
    <mailto:community-list@lists.vpsfree.cz>
    Předmět: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR

    Jedna věc je, co si musí pořešit VPSfree jako organizace, zcela jiná
    pak jendotliví správci vlastních žiletek.

    Provozujete nějaký jednoduchý eshop, máte uživatelské registrace a
    pošlete semtam email, natož považovatelný za reklamní? Jste v tom až
    po uši...


    Dne St, 31. leden 2018 v 00:30 h uživatel Jirka Bourek napsal:
    Problém je, že tohle všechno řeší technické věci, které udělat chceš,
    ale neřeší to chybějící papíry, které potřebuješ pro úřad.

    Jasně, v oboru "no tak nám procesory trochu leakujou paměť, hlavně že
    jsem náhodou včas prodal akcie" nějakou skutečnou ochranu osobních
    údajů
    v podstatě řešit nejde. Jenže to úředníky z EU nezajímá - ti vymysleli
    směrnici na ochranu osobních údajů, takže se osobní údaje chrání tak,
    jak nařizuje směrnice. Až přijde kontrola, argumentace "dyť je to
    nesmysl!" nic nezachrání.

    Takže správce potřebuje se zpracovatelem mít smlouvu nebo jiný právní
    akt. Pokud je právním aktem - dostatečným pro úřad - členství v
    vpsfree,
    tak je asi všechno v poho.
    (http://www.privacy-regulation.eu/cs/28.htm
    <http://www.privacy-regulation.eu/cs/28.htm>)
    Pokud ne, tak je problém.

    Jinak teda

    > Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi, jakou ma
    zodpovednost, best practices v ohledu bezpecnosti davno sleduje.

    Co když to neví, nebo na to dlabe? :-)


    Pavel Snajdr wrote:

        Stejne jako oskenovat, co ti tam bezi a dostat se ti tam bez
        zvednuti my pohodlny zadele, obzvlast pokud jedes nejakou
        PHPkovinu a data, ktery by bylo potreba chranit, jsou primo v
        DB, kam ty PHP spagety vidi.

        A co ted s tim, vypneme to vsehno? ;)

        Chci tim rict, ze panikrit IMHO neni na miste a kdyz se nad
        tim clovek zamysli, zasifrovat vsechno taky neni reseni.

        Jinak ja jsem za GDPR rad, mam vymluvu, proc si sebou budu
        nosit klicenku s trhavinou na flashkach, mame vymluvu, proc
        plosne nasadit sifrovani, proc se nam nepujde dostat do racku
        neautorizovane, aniz by to neodmazlo klice a neshodilo vsehno
        chraneny (tj. abys nam fakt nechtel otevrit ten rack).

        Ne ze by GDPR neco resilo, ale dava van super vymluvu, jak
        muzem nase systemy postupne posouvat vic smerem plausible
        deniability, tj. soukromi je level jedna, level nuda, ale co
        nam to umozni je ochranit i adminy pred tim, aby vedeli, co
        clen bezi.

        Neumel jsem si bez GDPR predstavit, jak zvysovat zabezpeceni
        bez toho, aby to vypadalo, jako kdyz se chystame hostovat tunu
        detskyho porna a lokalni pobocku CIA. Jenom to nebude vsehno
        hned - a nektery levely zabezpeceni na sharovanym hardwaru ani
        nepujde udelat.

        Chci:

        - sifrovani v ZoL
        - aby clen mel moznost klic per dataset neulozit, ale zadat si
        ho sam pres bezpecny kanal (ssh/https api call)
        - monitoring otevreni racku co bez nahlaseni predem donuti
        masiny smazat klice z RAM

        Ale tohle je furt malo, pokud admini nemaji vedet, co clen
        bezi. Ani fullvirt ani se sifrovanou RAM na AMD nam nepomuze,
        takze resim, jak zahostovat single board desky pro cleny,
        kteri chteji mit moznost nejcitlivejsi data mit fakt soukrome.

        Ve finale:

        - budes mit moznost data na VPS sifrovat svymi hesly, ktera se
        u nas nebudou ukladat (prusvih je, ze my nemame jak dokazat,
        ze jsme to nikde neulozili)

        - pri neautorizovanym pristupu do racku se klice smaznou, to
        samy pri rebootu/resetu a je pak na tobe zvazit, jestli je OK
        data uz odemknout

        - budes mit moznost nejcitlivejsi data vysoupnout vedle po
        siti na svuj dedikovanej systemek kalibru ARM Cortex A53, do
        budoucna RISC-V

        Problem nastava, kdyz s adminkem pujde do datacentra nekdo
        sebedulezitejsi, nez GDRP byrokrat s kulometem u palice, pak
        admin nema moznost ani nejak kliknout smazani klicu, nebo
        aspon nejakej counter na webu ve smyslu kanarka, ktery bude
        pocitat pocet podobnych incidentu.

        Shared computing ma svoje limity, bohuzel, jestli sledujes,
        kam tim mirim.

        GDPR podle mne vyzaduje nutne jenom nejaky papirovani, ale do
        budoucna nam dava zaminku jit na to vic z husta, co se
        soukromi tyce.

        Muze nam pak nekdo nadavat, ze delame hosting detskyho porna a
        teroristum, kdyz mame racky obehnany pomalu ziletkovym dratem?
        Nemuze, at si stezuje v Bruselu.

        Za mne dobry, ale nebude to hned. A v prvni vlne bude hlavne
        to papirovani. V druhy vlne se musime zbavit nedostacujiciho
        OpenVZ, vpsAdminOS ma podstatne lip ovladatelnejsi
        bezpecnostni politiku - a je odspoda nahoru cely podepsany a
        verifikovatelny.

        /snajpa

            On 30 Jan 2018, at 23:41, Jaroslav Skrivan
            <skrivy@skrivy.net <mailto:skrivy@skrivy.net>> wrote:

            Jenom moje osobni zkusenost - odnest si cizi disky z
            datacentra neni zas takovy problem, jak se na prvni pohled
            muze zdat.
            From: Pavel Snajdr
            Sent: ‎1/‎30/‎2018 10:49 PM
            To: vpsFree.cz Community list
            Subject: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR

            Ahoj,

            GDPR je, pokud to dobre chapu, totalni nesmysl, z kteryho
            jsou vsichni vyjukani uplne, ale naprosto totalne zbytecne.

            Podivej se, co bezime za procesory.

            Jak ma nekdo neco v takovym stavu vubec industry-wide za
            neco rucit?

            Za mne je GDPR o tom a pouze o tom, ze musime podepsat
            papir s lidmi, co maji admin pristupy, aby acknuli
            oficialne svoji zodpovednost.

            V seznamu clenu uz ted mame jenom nejnutnejsi udaje (podle
            posledni zkusenosti s PCR a PSR jim k identifikaci ani to
            nemusi stacit...).

            Ve stanovach mame zakotvenou ochranu dat clenu uz od zacatku.

            Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi,
            jakou ma zodpovednost, best practices v ohledu bezpecnosti
            davno sleduje.

            A kdyz si nekdo mysli, ze Vsechno Zasifrovat(tm) to
            vyresi, tak se rovnou zeptam - a borci, jak se k tomu asi
            programy na ty masine dostanou? Hint: stejne musi byt data
            odemcena pri behu. A ze se k nim neco dostane za behu je
            mnoooohem pravdepodobnejsi, nez ze nam z hlidanyho
            datacentra nekdo ukradne disky a vycte si neco offline.

            Tedy, muj nazor je, ze vubec neni potreba panikarit a
            natoz se uchylovat k reseni stylem ‘radsi to na vpsFree
            nedam vubec’. To ty servery muzeme rovnou vypnout totiz -
            a cely to zabalit s tim, ze jsme se nechali prevalcovat
            byrokratama.

            /snajpa
            (Pavel Snajdr)
            (Predseda vpsFree.cz)
            (+420 720 107 791 <tel:+420%20720%20107%20791>)

                On 30 Jan 2018, at 22:10, Lukáš Jelínek - AIKEN
                <lukas@aiken.cz <mailto:lukas@aiken.cz>> wrote:

                Ahoj,

                pokud si vzpomínám, tak něco podobného už se řešilo na
                valné hromadě
                (byť ještě nebylo nařízení GDPR). A situace je v
                podstatě taková, že to
                asi příliš řešit nelze, protože by to pro spolek
                znamenalo velkou
                administrativní zátěž a značný nárůst nákladů.

                Čili asi nejčistším řešením v tuto chvíli je,
                nevyužívat servery
                vpsFree.cz k ukládání osobních údajů - přinejmenším do
                doby, než se
                všechny záležitosti vyřeší (a než vůbec vznikne nějaký
                závazný výklad
                různých ustanovení směrnice).

                Lukáš Jelínek



                    Ahoj ve spolek!

                    Datum 25.5.2018, kdy nám vstupuje v účinnost GDPR
                    se pomalu ale jistě
                    blíží. Bohužel jsem byl, ač neprávník do této
                    problematiky trochu
                    zatlačen a byly na mě již vzneseny dotazy týkající
                    se GDPR a vpsFree.

                    Myslím, si, že je nás více, kteří na VPS máme
                    uloženy nějaké ty osobní
                    údaje (adresy, emaily, apod.) a skoro všichni máme
                    nějaký ten
                    webserver, kde se logují IP adresy, které jsou
                    rovněž považovány za
                    osobní údaje. Díky tomu jsme z pohledu GDPR
                    považování za správce
                    osobních údajů. Podle článku 4 GDPR se zpracovaním
                    osobních údajů
                    rozumí také ukládání osobních údajů. Z toho plyne,
                    že jakýkoliv
                    poskytovatel cloudových služeb, hostingu, VPS,
                    atd. je vůči správci v
                    postavení zpracovatele osobních údajů. Článek 28
                    GDPR potom řeší vztah
                    zpracovatele a správce, kde mj. požaduje nějaký
                    smluvní vztah mezi
                    nimi. Když to převedu na protředí vpsFree tak
                    členové jsou v podstatě
                    správci osobních údajů a vpsFree je zpracovatelem
                    osobních údajů.

                    Můj dotaz zní, zda a jak bylo nebo bude GDPR
                    řešeno na úrovní vpsFree?
                    V podstatě asi jde o to, aby bylo v případě
                    kontroly z UOOÚ možno
                    něčím nebo nějak prokázat, že vpsFree je v souladu
                    s GDPR a taky
                    garantuje, že data nebudou uložena mimo EU. Věřím,
                    že v našich řadách
                    jsou kompetentnější členové v této věci jako já a
                    tak bých rád otevřel
                    diskusi.

                    Honza.


                _________________________________________________
                Community-list mailing list
                Community-list@lists.vpsfree.cz
                <mailto:Community-list@lists.vpsfree.cz>
                http://lists.vpsfree.cz/listinfo/community-list
                <http://lists.vpsfree.cz/listinfo/community-list>


            _________________________________________________
            Community-list mailing list
            Community-list@lists.vpsfree.cz
            <mailto:Community-list@lists.vpsfree.cz>
            http://lists.vpsfree.cz/listinfo/community-list
            <http://lists.vpsfree.cz/listinfo/community-list>
            _________________________________________________
            Community-list mailing list
            Community-list@lists.vpsfree.cz
            <mailto:Community-list@lists.vpsfree.cz>
            http://lists.vpsfree.cz/listinfo/community-list
            <http://lists.vpsfree.cz/listinfo/community-list>




        _________________________________________________
        Community-list mailing list
        Community-list@lists.vpsfree.cz
        <mailto:Community-list@lists.vpsfree.cz>
        http://lists.vpsfree.cz/listinfo/community-list
        <http://lists.vpsfree.cz/listinfo/community-list>

    _________________________________________________
    Community-list mailing list
    Community-list@lists.vpsfree.cz
    <mailto:Community-list@lists.vpsfree.cz>
    http://lists.vpsfree.cz/listinfo/community-list
    <http://lists.vpsfree.cz/listinfo/community-list>


    _______________________________________________
    Community-list mailing list
    Community-list@lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz>
    http://lists.vpsfree.cz/listinfo/community-list
    <http://lists.vpsfree.cz/listinfo/community-list>




_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list