Také jsem za společné řešení, které by to upravovalo globálně.
Jinak například:
* vnější webserver - určitě logování ip adres
* aplikace s registrací (eshop/webová aplikace) - hodně informací o
přístupech+ip / obvykle zápis akcí a v db osobní údaje
* služba pro chat či posílání dat - asi se může považovat za aplikaci
* mail server - obvykle hodně přesné logování ip/uživatele i přímo v emailu
/ adresy uživatelů
* webhosting člena pro jiné firmy - zde se to začne více komplikovat
zanořením
* pak samo sebou ssh (kde se zapisují také přístupy ip) - doufám, že boti
nebudou mít v budoucnu také ochranu soukromí (ale pokud předpokládáme, že
se přihlašují jen zaměstnanci, či spolupracovníci, tak tam snad nic takové
nehraje roli)
Předpokládám, že členové logují někdy na úrovni firewallu či proxy a to je
tedy další level. Takže obecně by se mělo asi říci, že všechny data ve VPS
vyžadují ochranu soukromí.
Mimo můžete někdo zkusit vysvětlit jak je to s tou IP adresou a tím že je
to osobní údaj?
Pokud má někdo i údaje potřebné k účetnictví, tak ty jsou myslím vyloučené,
jelikož jejich vyžadování upravuje jiný zákon, je to tak?
Mimo to není náhodou požadavek na logování ip adres a spojení přímo daný
nějakým zákonem o telekomunikaci, pro zpětné dohledání? nebo to se týká jen
větších datacenter/poskytovatelů?
Vlastně ani nevím jak moc je toto nové nařízení vlastně tak důležité, když
je tu facebook (a jiné) který je plný osobních údajů.
Trochu offtopic (řešíte někdo GDPR spolu s analytics/hotjar/piwik a jiné?)
--
S pozdravem,
Zdeněk Dlauhý
Email:support@pripravto.cz
Mobil: +420 702 549 370
Web:
Dne 2. února 2018 1:03 Pavel Snajdr <snajpa(a)snajpa.net> napsal(a):
On 2018-02-02 00:19, Jirka Bourek wrote:
Jestli to nepujde udelat bez papiru, poplatku a
pravniku, tak silne
zvazuju se presunout mimo EU nadobro.
Zcela chápu, ale pak spousta členů bude muset odejít, protože z GDPR
AFAIK vyplývá i povinnost mít data v EU.
Pokud EU zacina vymyslet pravidla prohibitivni pro moje fungovani v jejim
ramci, nastava pro mne pomalu cas zvazovat odchod
mimo EU. To neprehanim,
uvazuju nad tim uz nejakou dobu a pri tom, jak se tu blyska na lepsi casy,
co se svobody tyce, po vsech strankach, mam celkovou chut se tu na to
vykaslat.
Až vymyslíš, KAM odejít, aby to nebylo horší, tak dej vědět :-)
Jo, je videt, ze uz mne kousek znas :D
No, a tak - hlavni je, se z toho neposr*ti, ze. Baleni a vybirani
destinace pro jednosmernou letenku muzu na chvili jeste odlozit, pokud se
jsme schopni dohodnout na tom,
ze budeme hledat nejakou vlastni cestu, jak tyhle vymysly implementovat a
ze budeme vzdycky hledet to implementovat s co nejmensim dopadem na cleny.
Velmi by se mi libilo, kdyby vpsFree mohla byt takova trochu oaza
normalnosti. Kde se soukromi respektuje a ne si na nej jenom hrajeme.
Treba s tim logovanim - kde je nejaka ochrana soukromi, pokud zacneme
logovat spojeni pres routery?
Jsem toho nazoru, ze auditovatelnost by mela byt na aplikacnim levelu tam,
kde je potreba - a pak by mela taky prikladat do audit logu patricne
metadata, na ktere vidi jenom ta aplikace sama. Jako treba, ktery konkretni
uzivatel to spojeni udelal a jake pouzil klice, IP adresy a porty z netflow
jsou nedostatecne.
Nebo tedka podepisovani papiru vyjmenovavajici, jake udaje si nas clen
chrani, to preci vytvari dalsi velmi citlivou databazi (at uz papirove,
nebo na pocitaci), ktera je automaticky velmi vysoko v DOWANT listu, pokud
chci nejakou organizaci pwnout... Takhle tedy ne. Plausible deniability is
the key here. Nechci vedet, co kdo u nas bezi. Pro mne je to vsechno
apriori citlive.
Mate nekdo kontakt na rozumny pravniky? Kdyz uz to budem resit...
Zaroven teda, jaky jsou vsechny situace, ktery potrebujeme vystihnout?
Mame tu eshopisty, webhostery, ruzne webove aplikace; koho dalsiho bychom
meli zahrnout, kdyz budem nejako stavet reseni pro vsechny?
Nejaky rozpocet na rozumneho pravnika by asi byl (otazka je, kolik
konkretne - jestli to bude vic, nez nejakych 100k, tak se to da ).
Rozhodne nechci nikam do chainu pridavat nejakou autogramiadu, musime to
vymyslet bez ni.
Ale muzeme ten chain-of-GDPR-trust vymyslet napric az do konce.
Hledame tedy nekoho, kdo nam pomuze prorazit nejakou nasi vlastni GDPR
implementaci.
Dik predem za tipy :)
/snajpa
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list