Čtu si ten
dokument co poslal odkaz Ivan a myslím, že jsem tě špatně
pochopil. Je to skutečně směrem od člena ke sdružení a ne naopak.
Je tam hodně informací a trochu se v tom ztrácím, ale zatím např.
podle tohoto:
CISPs have no control over what content
the customer chooses to upload to the
service (including whether or not it includes personal data).
CISPs have no role in
the decision-making as to whether or not the customer uses the
cloud
infrastructure service for processing personal data, for what
purpose and if/how it is
protected. Accordingly, CISPs are not able to ascertain whether
there may be a
lawful basis for the processing. As such, their responsibility
is limited to (a)
complying with the customer's instructions as provided for or
reflected in the
Service Agreement and (b) providing information about the
service in accordance
with Section 5 (Transparency Requirements) of the Code.
mi přijde, že by mělo stačit, pokud bude mít vpsFree nějaký
veřejný dokument, něco jako obchodní podmínky a v tom bude nějak
na hromadě specifikováno v podstatě to o čem mluví Snajpa. Akorát
se obávám, že bude muset skutečně existovat písemná smlouva (tedy
podle toho co jsem zatím přečetl to chápu tak, že může být
elektronicky - s platným el. podpisem) každého člena (který je
controller - nevím jak se to u nás překládá - pořizovatel??) se
sdružením, které je vlastně processor (asi zpracovatel???) a mělo
by tam být specifikováno, že sdružení bude dělat s daty jen to co
poručí controller (což chápu tak, že když napíšu na commandline
"rm -rf /" tak jsem zadal příkaz "znič data" atp.) a nic jiného a
bude tam odkaz na nějaké veřejné specifikace kde bude popsáno to
co už tady psal Snajpa. A mělo by to stačit. Ostatní pytloviny už
by měly být v režii jednoho každého člena co je zároveň
controller.
Š.
Dne 31.1.2018 v 21:23 Ing. Jan Dvořák
napsal(a):
Ahoj!
Nestavěl bych to tak, že spolek by měl dokazovat. Může dojít k
takovéto situaci. Někdo hackne VPS na vpsFree, a uniknou osobní
údaje. Majitel hacknutého VPS má do 72 hodin povinnost nahlásit
bezpečnostní incident na UOOÚ. Může dojít k šetření a v rámci něj
se zjistí, že majitel VPS nemá zpracovatelskou smlouvu se spolkem.
Případná pokuta jde za majitelem VPS ale úřad může jít i na spolek
na základě čeho jsou zpracovávány na jeho infrastruktuře osobní
údaje. Na základě ničeho? V tom případě je spolek správce a má
problém a případnou pokutu může dostat i on. Tím teda neříkám, že
v reálu to musí nastat nutně takhle.
Honza.
Dne 31.1.2018 v 21:13 Stepan Liska napsal(a):
Ahoj,
jestli tomu rozumím dobře, tak je to vlastně obráceně než jsme
si dosud mysleli? Tj. sdružení by mělo dokazovat, že má smlouvu
se svými členy, že oni jsou GDPR-compliant a ne naopak?
Z toho mi tak trochu plyne, že když mám na VPS nainstalovaný
ISPConfig a v něm pár webů svých klientů, tak bych měl mít také
já s nimi smlouvu, že jejich weby jsou GDPR-compliant? Tzn. já
jsem zodpovědný za své zákazníky co u mě provozují a sdružení je
zodpovědné za to, že jeho členové jsou zodpovědní? A tzn. musí
existovat transitivní uzávěr smluv o GDPR-compliancy na
kohokoliv kdo se otře o servery vpsFree? Ufff.
BTW - jak se dá dokázat, že něco neporušuji? To je přece
prolomení principu presumpce neviny, není-liž pravda? Není to
napadnutelné přes listinu základních práv a svobod? Nebo přes
ústavu? Rozumíte tomu někdo?
Díky,
Š.
Dne 31.1.2018 v 20:46 Ing. Jan Dvořák napsal(a):
Ahoj!
IMHO to co je ve stanovách rozhodně stačit nebude. Nechci teď
řešit členskou evidenci, apod. To je další věc k řešení, ale
teď začnu trochu ze široka. Poskytování VPS je služba IaaS
(infrastruktura jako služba). vpsFree, jako ten kdo tuto
službu poskytuje je dle GDPR zpracovatelem osobních údajů. To
jestli má přístup k osobním údajům členů na VPS nebo ne není
rozhodující. Pokud vpsFree nebude mít smluvní ujednání se
správci (členy) tak může být považován přímo za správce sám.
Toto vše je novinka GDPR. Doposud se na tyto zpracovatele
legislativa v oblasti osobních údajů nevztahovala nebo se dala
obejít.
Takže vpsFree má IMHO dvě možnosti. Buď jasně deklaruje, že
poskytnutá VPS jsou pouze pro osobní potřebu a zakáže členům
zpracovávat na VPS jakékoliv osobní údaje. Tím pádem nebude
muset řešit žádné GDPR, což ale bude znamenat odchod členů, na
které se GDPR vztahuje. Nebo bude muset s každým členem, který
bude na VPS zpracovávat osobní údaje uzavřít zpracovatelskou
smlouvu. GDPR poměrně jasně stanovuje co taková smlouva má
obsahovat a tak jen heslovitě:
- předmět a trvání zpracování
- povaha a účel zpracování
- typ osobních údajů a kategorii subjektů údajů
- povinnosti a práva správce
- povinnosti zpracovatele (zpracování osobní údajů jen na
základě dokumentovaných pokynů správce, zajistit důvěrnost,
přijmout vhodná bezpečnostní opatření)
Co z toho by se vztahovalo na smlouvu mezi vpsFree a členem,
to je otázka na právníka. Dokázal bych si představit, že
členové s takovou smlouvou by mohli mít třeba o něco vyšší
členský poplatek, aby se pokryly vícenáklady
Termín účinnosti se pomalu ale jistě blíží. Ve firmách se
provádí různé audity a je třeba aby vpsFree co nejdříve jasně
deklarovalo jak se ke GDPR postaví, aby Ti členové, kterých se
to týká (bohužel jsem to i já) se mohli zařídit.
Tento problém budou řešit všichni poskytovatelé hostingu, VPS,
cloudových služeb. V ČR je situace zatím tristní, zatím toto
nikdo neřešil, jedině FORPSI, co jsem viděl se k tomu zatím
nějak postavili. Co jsem tak sondoval v zahraničí tak úplně
připraveny jsou jen ti největší (Microsoft, Amazon, apod.) a
ti menší se postupně připravují. Nicméně ke změnám v Service
Agreementech v souvislosti s GDPR určitě bude docházet.
Je třeba si taky říct, že s GDPR také přichází jedna zásadní
změna. Doposud porušení zákona správcem musel prokazovat úřad,
ale s GDPR je to naopak. Správce je ten, který musí
prokazovat, že nic neporušil.
A malá poznámka na závěr, jak zaznělo na jednom semináři.
Největším rizikem GDPR není vlastní nařízení, úřady, kontroly,
pokuty apod. Největším rizikem jsou lidé. Díky mediální masáži
a bublině se může objevit spoustu trollů, kteří díky GDPR
dostanou do ruky jednoduchou možnost škodit.
Honza.
Dne 31.1.2018 v 08:12 zd nex napsal(a):
Ahojte,
také si tu směrnici vykládám tak, že každý člen musí za data
na VPS zodpovídat sám (mít pověřenou osobu, která s tím
pracuje + papír, že je o tom seznámená.) Co se týče dat na
VPSFree, tak tam půjde primárně o to, jestli stačí to co je
ve stanovách - či jestli nějak bude také potřeba tedy
domluvit (sepsat smlouvu) mezi členem(jeho daty) a vpsfree
nějak odděleně, nebo bude pouze stačit, aby to bylo ve
stanovách - že jsou zde admini a následně jednotlivý členové
co pracují s VPS(kteří jsou zodpovědní za data)? Tzn tím
pádem, by nemělo být nutné nic měnit, kromě té specifikace -
kdo a jaký má přístup k VPS a jakou zodpovědnost (plnou).
--
S pozdravem,
Zdeněk Dlauhý
Email:support@pripravto.cz
<mailto:support@pripravto.cz>
Mobil: +420 702 549 370
Web: www.pripravto.cz <http://www.pripravto.cz>
Dne 31. ledna 2018 6:21 Petr Juhaňák <petr@juhanak.cz
<mailto:petr@juhanak.cz>> napsal(a):
Je to tak jak rika Jirka.
VpsFree si udela samo datovy audit z hlediska osobnich
udaju ktere
eviduje o clenech a sepise si na papir kde a v jakem
rozsahu jsou a
hlavne zadokumentuje jaka opatreni uz ma (procesy a
technicka
nastaveni) aby to vypadalo jako rizena prace s riziky.
Pak pravni
dokumenty typu informovane souhlasy.
To same si udelaji clenove ale v jinem ramci, uz na
urovni jejich
provozovane technologie php eshopy a podobne a zase
seznam opatreni,
proces kdyz nekdo odvola souhlas se zpracovanim, seznam
opatreni.
To jsou veci ktere si kazdy muze pripravit uz ted.
Predstava, ze vpdfree je tu od toho aby zajistila soulad
s gdpr je
mylna. To si musi zajistit kazdy clen sam, tj. nemluvim
o technickem
svete.
S pozdravem
Petr Juhaňák
petr@juhanak.cz <mailto:petr@juhanak.cz> | +420 739
639 132
<tel:+420%20739%20639%20132>
-------- Původní zpráva --------
Od: Jindřich Sadílek <jindrich.sadilek@gmail.com
<mailto:jindrich.sadilek@gmail.com>>
Datum: 31.01.18 1:41 (GMT+01:00)
Komu: community-list@lists.vpsfree.cz
<mailto:community-list@lists.vpsfree.cz>
Předmět: Re: [vpsFree.cz: community-list] vpsFree.cz a
GDPR
Jedna věc je, co si musí pořešit VPSfree jako
organizace, zcela jiná
pak jendotliví správci vlastních žiletek.
Provozujete nějaký jednoduchý eshop, máte uživatelské
registrace a
pošlete semtam email, natož považovatelný za reklamní?
Jste v tom až
po uši...
Dne St, 31. leden 2018 v 00:30 h uživatel Jirka Bourek
napsal:
Problém je, že tohle všechno
řeší technické věci, které udělat chceš,
ale neřeší to chybějící papíry, které potřebuješ pro
úřad.
Jasně, v oboru "no tak nám procesory trochu leakujou
paměť, hlavně že
jsem náhodou včas prodal akcie" nějakou skutečnou
ochranu osobních
údajů
v podstatě řešit nejde. Jenže to úředníky z EU
nezajímá - ti vymysleli
směrnici na ochranu osobních údajů, takže se osobní
údaje chrání tak,
jak nařizuje směrnice. Až přijde kontrola, argumentace
"dyť je to
nesmysl!" nic nezachrání.
Takže správce potřebuje se zpracovatelem mít smlouvu
nebo jiný právní
akt. Pokud je právním aktem - dostatečným pro úřad -
členství v
vpsfree,
tak je asi všechno v poho.
(http://www.privacy-regulation.eu/cs/28.htm
<http://www.privacy-regulation.eu/cs/28.htm>)
Pokud ne, tak je problém.
Jinak teda
> Ja v tom vidim mnoho povyku pro nic, ajtak, ktery
vi, jakou ma
zodpovednost, best practices v ohledu bezpecnosti
davno sleduje.
Co když to neví, nebo na to dlabe? :-)
Pavel Snajdr wrote:
Stejne jako oskenovat, co ti tam bezi a dostat se
ti tam bez
zvednuti my pohodlny zadele, obzvlast pokud jedes
nejakou
PHPkovinu a data, ktery by bylo potreba chranit,
jsou primo v
DB, kam ty PHP spagety vidi.
A co ted s tim, vypneme to vsehno? ;)
Chci tim rict, ze panikrit IMHO neni na miste a
kdyz se nad
tim clovek zamysli, zasifrovat vsechno taky neni
reseni.
Jinak ja jsem za GDPR rad, mam vymluvu, proc si
sebou budu
nosit klicenku s trhavinou na flashkach, mame
vymluvu, proc
plosne nasadit sifrovani, proc se nam nepujde
dostat do racku
neautorizovane, aniz by to neodmazlo klice a
neshodilo vsehno
chraneny (tj. abys nam fakt nechtel otevrit ten
rack).
Ne ze by GDPR neco resilo, ale dava van super
vymluvu, jak
muzem nase systemy postupne posouvat vic smerem
plausible
deniability, tj. soukromi je level jedna, level
nuda, ale co
nam to umozni je ochranit i adminy pred tim, aby
vedeli, co
clen bezi.
Neumel jsem si bez GDPR predstavit, jak zvysovat
zabezpeceni
bez toho, aby to vypadalo, jako kdyz se chystame
hostovat tunu
detskyho porna a lokalni pobocku CIA. Jenom to
nebude vsehno
hned - a nektery levely zabezpeceni na sharovanym
hardwaru ani
nepujde udelat.
Chci:
- sifrovani v ZoL
- aby clen mel moznost klic per dataset neulozit,
ale zadat si
ho sam pres bezpecny kanal (ssh/https api call)
- monitoring otevreni racku co bez nahlaseni
predem donuti
masiny smazat klice z RAM
Ale tohle je furt malo, pokud admini nemaji vedet,
co clen
bezi. Ani fullvirt ani se sifrovanou RAM na AMD
nam nepomuze,
takze resim, jak zahostovat single board desky pro
cleny,
kteri chteji mit moznost nejcitlivejsi data mit
fakt soukrome.
Ve finale:
- budes mit moznost data na VPS sifrovat svymi
hesly, ktera se
u nas nebudou ukladat (prusvih je, ze my nemame
jak dokazat,
ze jsme to nikde neulozili)
- pri neautorizovanym pristupu do racku se klice
smaznou, to
samy pri rebootu/resetu a je pak na tobe zvazit,
jestli je OK
data uz odemknout
- budes mit moznost nejcitlivejsi data vysoupnout
vedle po
siti na svuj dedikovanej systemek kalibru ARM
Cortex A53, do
budoucna RISC-V
Problem nastava, kdyz s adminkem pujde do
datacentra nekdo
sebedulezitejsi, nez GDRP byrokrat s kulometem u
palice, pak
admin nema moznost ani nejak kliknout smazani
klicu, nebo
aspon nejakej counter na webu ve smyslu kanarka,
ktery bude
pocitat pocet podobnych incidentu.
Shared computing ma svoje limity, bohuzel, jestli
sledujes,
kam tim mirim.
GDPR podle mne vyzaduje nutne jenom nejaky
papirovani, ale do
budoucna nam dava zaminku jit na to vic z husta,
co se
soukromi tyce.
Muze nam pak nekdo nadavat, ze delame hosting
detskyho porna a
teroristum, kdyz mame racky obehnany pomalu
ziletkovym dratem?
Nemuze, at si stezuje v Bruselu.
Za mne dobry, ale nebude to hned. A v prvni vlne
bude hlavne
to papirovani. V druhy vlne se musime zbavit
nedostacujiciho
OpenVZ, vpsAdminOS ma podstatne lip ovladatelnejsi
bezpecnostni politiku - a je odspoda nahoru cely
podepsany a
verifikovatelny.
/snajpa
On 30 Jan 2018, at 23:41, Jaroslav Skrivan
<skrivy@skrivy.net
<mailto:skrivy@skrivy.net>> wrote:
Jenom moje osobni zkusenost - odnest si cizi
disky z
datacentra neni zas takovy problem, jak se na
prvni pohled
muze zdat.
From: Pavel Snajdr
Sent: 1/30/2018 10:49 PM
To: vpsFree.cz Community list
Subject: Re: [vpsFree.cz: community-list]
vpsFree.cz a GDPR
Ahoj,
GDPR je, pokud to dobre chapu, totalni
nesmysl, z kteryho
jsou vsichni vyjukani uplne, ale naprosto
totalne zbytecne.
Podivej se, co bezime za procesory.
Jak ma nekdo neco v takovym stavu vubec
industry-wide za
neco rucit?
Za mne je GDPR o tom a pouze o tom, ze musime
podepsat
papir s lidmi, co maji admin pristupy, aby
acknuli
oficialne svoji zodpovednost.
V seznamu clenu uz ted mame jenom nejnutnejsi
udaje (podle
posledni zkusenosti s PCR a PSR jim k
identifikaci ani to
nemusi stacit...).
Ve stanovach mame zakotvenou ochranu dat clenu
uz od zacatku.
Ja v tom vidim mnoho povyku pro nic, ajtak,
ktery vi,
jakou ma zodpovednost, best practices v ohledu
bezpecnosti
davno sleduje.
A kdyz si nekdo mysli, ze Vsechno
Zasifrovat(tm) to
vyresi, tak se rovnou zeptam - a borci, jak se
k tomu asi
programy na ty masine dostanou? Hint: stejne
musi byt data
odemcena pri behu. A ze se k nim neco dostane
za behu je
mnoooohem pravdepodobnejsi, nez ze nam z
hlidanyho
datacentra nekdo ukradne disky a vycte si neco
offline.
Tedy, muj nazor je, ze vubec neni potreba
panikarit a
natoz se uchylovat k reseni stylem ‘radsi to
na vpsFree
nedam vubec’. To ty servery muzeme rovnou
vypnout totiz -
a cely to zabalit s tim, ze jsme se nechali
prevalcovat
byrokratama.
/snajpa
(Pavel Snajdr)
(Predseda vpsFree.cz)
(+420 720 107 791
<tel:+420%20720%20107%20791>)
On 30 Jan 2018, at 22:10, Lukáš Jelínek -
AIKEN
<lukas@aiken.cz
<mailto:lukas@aiken.cz>> wrote:
Ahoj,
pokud si vzpomínám, tak něco podobného už
se řešilo na
valné hromadě
(byť ještě nebylo nařízení GDPR). A
situace je v
podstatě taková, že to
asi příliš řešit nelze, protože by to pro
spolek
znamenalo velkou
administrativní zátěž a značný nárůst
nákladů.
Čili asi nejčistším řešením v tuto chvíli
je,
nevyužívat servery
vpsFree.cz k ukládání osobních údajů -
přinejmenším do
doby, než se
všechny záležitosti vyřeší (a než vůbec
vznikne nějaký
závazný výklad
různých ustanovení směrnice).
Lukáš Jelínek
Ahoj ve spolek!
Datum 25.5.2018, kdy nám vstupuje v
účinnost GDPR
se pomalu ale jistě
blíží. Bohužel jsem byl, ač neprávník
do této
problematiky trochu
zatlačen a byly na mě již vzneseny
dotazy týkající
se GDPR a vpsFree.
Myslím, si, že je nás více, kteří na
VPS máme
uloženy nějaké ty osobní
údaje (adresy, emaily, apod.) a skoro
všichni máme
nějaký ten
webserver, kde se logují IP adresy,
které jsou
rovněž považovány za
osobní údaje. Díky tomu jsme z pohledu
GDPR
považování za správce
osobních údajů. Podle článku 4 GDPR se
zpracovaním
osobních údajů
rozumí také ukládání osobních údajů. Z
toho plyne,
že jakýkoliv
poskytovatel cloudových služeb,
hostingu, VPS,
atd. je vůči správci v
postavení zpracovatele osobních údajů.
Článek 28
GDPR potom řeší vztah
zpracovatele a správce, kde mj.
požaduje nějaký
smluvní vztah mezi
nimi. Když to převedu na protředí
vpsFree tak
členové jsou v podstatě
správci osobních údajů a vpsFree je
zpracovatelem
osobních údajů.
Můj dotaz zní, zda a jak bylo nebo
bude GDPR
řešeno na úrovní vpsFree?
V podstatě asi jde o to, aby bylo v
případě
kontroly z UOOÚ možno
něčím nebo nějak prokázat, že vpsFree
je v souladu
s GDPR a taky
garantuje, že data nebudou uložena
mimo EU. Věřím,
že v našich řadách
jsou kompetentnější členové v této
věci jako já a
tak bých rád otevřel
diskusi.
Honza.
_________________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
<mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list
<http://lists.vpsfree.cz/listinfo/community-list>
_________________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
<mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list
<http://lists.vpsfree.cz/listinfo/community-list>
_________________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
<mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list
<http://lists.vpsfree.cz/listinfo/community-list>
_________________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
<mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list
<http://lists.vpsfree.cz/listinfo/community-list>
_________________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
<mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list
<http://lists.vpsfree.cz/listinfo/community-list>
_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
<mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list
<http://lists.vpsfree.cz/listinfo/community-list>
_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list