Také jsem za společné řešení, které by to upravovalo globálně.

Jinak například:

* vnější webserver - určitě logování ip adres

* aplikace s registrací (eshop/webová aplikace) - hodně informací o přístupech+ip / obvykle zápis akcí a v db osobní údaje

* služba pro chat či posílání dat - asi se může považovat za aplikaci

* mail server - obvykle hodně přesné logování ip/uživatele i přímo v emailu / adresy uživatelů

* webhosting člena pro jiné firmy - zde se to začne více komplikovat zanořením

* pak samo sebou ssh (kde se zapisují také přístupy ip) - doufám, že boti nebudou mít v budoucnu také ochranu soukromí (ale pokud předpokládáme, že se přihlašují jen zaměstnanci, či spolupracovníci, tak tam snad nic takové nehraje roli)

Předpokládám, že členové logují někdy na úrovni firewallu či proxy a to je tedy další level. Takže obecně by se mělo asi říci, že všechny data ve VPS vyžadují ochranu soukromí.

Mimo můžete někdo zkusit vysvětlit jak je to s tou IP adresou a tím že je to osobní údaj?

Pokud má někdo i údaje potřebné k účetnictví, tak ty jsou myslím vyloučené, jelikož jejich vyžadování upravuje jiný zákon, je to tak?

Mimo to není náhodou požadavek na logování ip adres a spojení přímo daný nějakým zákonem o telekomunikaci, pro zpětné dohledání? nebo to se týká jen větších datacenter/poskytovatelů?
Vlastně ani nevím jak moc je toto nové nařízení vlastně tak důležité, když je tu facebook (a jiné) který je plný osobních údajů.

Trochu offtopic (řešíte někdo GDPR spolu s analytics/hotjar/piwik a jiné?)

--
S pozdravem,

Zdeněk Dlauhý

Email:support@pripravto.cz
Mobil: +420 702 549 370
Web: www.pripravto.cz

Dne 2. února 2018 1:03 Pavel Snajdr <snajpa@snajpa.net> napsal(a):

On 2018-02-02 00:19, Jirka Bourek wrote:

Jestli to nepujde udelat bez papiru, poplatku a pravniku, tak silne zvazuju se presunout mimo EU nadobro.

Zcela chápu, ale pak spousta členů bude muset odejít, protože z GDPR
AFAIK vyplývá i povinnost mít data v EU.

Pokud EU zacina vymyslet pravidla prohibitivni pro moje fungovani v jejim ramci, nastava pro mne pomalu cas zvazovat odchod mimo EU. To neprehanim, uvazuju nad tim uz nejakou dobu a pri tom, jak se tu blyska na lepsi casy, co se svobody tyce, po vsech strankach, mam celkovou chut se tu na to vykaslat.

Až vymyslíš, KAM odejít, aby to nebylo horší, tak dej vědět :-)

Jo, je videt, ze uz mne kousek znas :D

No, a tak - hlavni je, se z toho neposr*ti, ze. Baleni a vybirani destinace pro jednosmernou letenku muzu na chvili jeste odlozit, pokud se jsme schopni dohodnout na tom,
ze budeme hledat nejakou vlastni cestu, jak tyhle vymysly implementovat a ze budeme vzdycky hledet to implementovat s co nejmensim dopadem na cleny. Velmi by se mi libilo, kdyby vpsFree mohla byt takova trochu oaza normalnosti. Kde se soukromi respektuje a ne si na nej jenom hrajeme.

Treba s tim logovanim - kde je nejaka ochrana soukromi, pokud zacneme logovat spojeni pres routery?

Jsem toho nazoru, ze auditovatelnost by mela byt na aplikacnim levelu tam, kde je potreba - a pak by mela taky prikladat do audit logu patricne metadata, na ktere vidi jenom ta aplikace sama. Jako treba, ktery konkretni uzivatel to spojeni udelal a jake pouzil klice, IP adresy a porty z netflow jsou nedostatecne.

Nebo tedka podepisovani papiru vyjmenovavajici, jake udaje si nas clen chrani, to preci vytvari dalsi velmi citlivou databazi (at uz papirove, nebo na pocitaci), ktera je automaticky velmi vysoko v DOWANT listu, pokud chci nejakou organizaci pwnout... Takhle tedy ne. Plausible deniability is the key here. Nechci vedet, co kdo u nas bezi. Pro mne je to vsechno apriori citlive.

Mate nekdo kontakt na rozumny pravniky? Kdyz uz to budem resit...

Zaroven teda, jaky jsou vsechny situace, ktery potrebujeme vystihnout?

Mame tu eshopisty, webhostery, ruzne webove aplikace; koho dalsiho bychom meli zahrnout, kdyz budem nejako stavet reseni pro vsechny?

Nejaky rozpocet na rozumneho pravnika by asi byl (otazka je, kolik konkretne - jestli to bude vic, nez nejakych 100k, tak se to da ).

Rozhodne nechci nikam do chainu pridavat nejakou autogramiadu, musime to vymyslet bez ni.

Ale muzeme ten chain-of-GDPR-trust vymyslet napric az do konce.

Hledame tedy nekoho, kdo nam pomuze prorazit nejakou nasi vlastni GDPR implementaci.

Dik predem za tipy :)

/snajpa

_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list

_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list