Jen tak mimochodem, informace o místě zpracování osobních údajů pokud se liší od sídla se uvádí při registraci na ÚOOÚ už dnes, takže minimálně uřadu jsi to sdělit musel. :)
Honza.
Dne 2018-02-01 07:53, Petr Juhaňák napsal:
Cau, ja jako spravce dat na "moji vps" nemam povinost nekomu rikat kde ty data jsou (jen v jakem rozsahu je zpracovavam a k cemu).
Pokud by tyto informace chtel videt nejaky dozorovy organ, tak pak se s nim o tom budu bavit.
Samozrejme ze pro svoji interni potrebu to na lejstro dam, abych to v pripade potreby mohl dolozit.
Jako clen VpsFree se potrebuji ujistit, ze mi moji Vpsku administruji radne a prijmou opatreni (neco) a budu se muset oprit o nejaky pravni dokument.
Z hlediska VPSFree je to dle meho soudu tak, ze poskytuje pouze technicke nastroje a administruje ty systemy a bude se snazit byt v souladu aby clenove neodesly. Kdyz to prezenu, pokud by clenove meli prazdne vpsky, jak by priprava na gdpr vypadala?
S pozdravem Petr Juhaňák
petr@juhanak.cz | +420 739 639 132
-------- Původní zpráva -------- Od: Pavel Snajdr snajpa@snajpa.net Datum: 01.02.18 1:28 (GMT+01:00) Komu: "vpsFree.cz Community list" community-list@lists.vpsfree.cz Předmět: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR
Jo, tohle by slo presne tam, cca tak, jak rikas.
Jako pani, to fakt GDPR resi ochranu dat tim, ze vsem naokolo vykeca, kde ty data jsou a pak jakoze proti podpisu mame delat, ze na ne nevidime?
Nechapu to.
Neni pro nas lepsi vubec nevedet, jestli tam neco takovyho vubec je a za soukrome proste povazovat cokoliv z datasetu clena, kterehokoliv?
Komu pomuze, ze nam presne vyslepici a jeste podepise, kde ta data ma?
/snajpa
On 2018-02-01 01:22, Slávek Banko wrote:
Ve Stanovách je odkazován Provozní řád, který je schvalovaný
Radou.
Pokud by navrhované prohlášení typu "všechní informační
zařízení jejíž
použití poskytovává VPSFree a na které se zpracovává data
jsou v EU" a
další pravidla související s GDPR mohl podchytit Provozní
řád, pak by
možná mohl by být tím společným dokumentem závazným pro
všechny?
-- Slávek
On Thursday 01 of February 2018 00:12:28 Timothy Hobbs wrote:
Já teď koukám na stanovy https://vpsfree.cz/download/stanovy_vpsfree.pdf a nevidím kde je napsáno, že "všechní informační zařízení jejíž použití
poskytovává
VPSFree a na které se zpracovává data jsou v EU".
On 01/31/2018 08:12 AM, zd nex wrote:
Ahojte,
také si tu směrnici vykládám tak, že každý člen musí za
data na VPS
zodpovídat sám (mít pověřenou osobu, která s tím pracuje +
papír, že
je o tom seznámená.) Co se týče dat na VPSFree, tak tam
půjde
primárně o to, jestli stačí to co je ve stanovách - či
jestli nějak
bude také potřeba tedy domluvit (sepsat smlouvu) mezi
členem(jeho
daty) a vpsfree nějak odděleně, nebo bude pouze stačit, aby
to bylo
ve stanovách - že jsou zde admini a následně jednotlivý
členové co
pracují s VPS(kteří jsou zodpovědní za data)? Tzn tím
pádem, by
nemělo být nutné nic měnit, kromě té specifikace - kdo a
jaký má
přístup k VPS a jakou zodpovědnost (plnou).
-- S pozdravem,
Zdeněk Dlauhý
Email:support@pripravto.cz mailto:support@pripravto.cz Mobil: +420 702 549 370 Web: www.pripravto.cz http://www.pripravto.cz
Dne 31. ledna 2018 6:21 Petr Juhaňák <petr@juhanak.cz mailto:petr@juhanak.cz> napsal(a):
Je to tak jak rika Jirka. VpsFree si udela samo datovy audit z hlediska osobnich udajuktere eviduje o clenech a sepise si na papir kde a v jakem
rozsahu
jsou a hlavne zadokumentuje jaka opatreni uz ma (procesy a
technicka
nastaveni) aby to vypadalo jako rizena prace s riziky. Pak pravni dokumenty typu informovane souhlasy.
To same si udelaji clenove ale v jinem ramci, uz na urovnijejich
provozovane technologie php eshopy a podobne a zase seznam opatreni, proces kdyz nekdo odvola souhlas se zpracovanim,seznam
opatreni. To jsou veci ktere si kazdy muze pripravit uz ted. Predstava, ze vpdfree je tu od toho aby zajistila soulad sgdpr
je mylna. To si musi zajistit kazdy clen sam, tj. nemluvim o technickem svete.
S pozdravem Petr Juhaňák petr@juhanak.cz <mailto:petr@juhanak.cz> | +420 739 639 132 <tel:+420%20739%20639%20132> -------- Původní zpráva -------- Od: Jindřich Sadílek <jindrich.sadilek@gmail.com <mailto:jindrich.sadilek@gmail.com>> Datum: 31.01.18 1:41 (GMT+01:00) Komu: community-list@lists.vpsfree.cz <mailto:community-list@lists.vpsfree.cz> Předmět: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR Jedna věc je, co si musí pořešit VPSfree jako organizace,zcela
jiná pak jendotliví správci vlastních žiletek. Provozujete nějaký jednoduchý eshop, máte uživatelskéregistrace
a pošlete semtam email, natož považovatelný za reklamní?
Jste v tom
až po uši...
Dne St, 31. leden 2018 v 00:30 h uživatel Jirka Boureknapsal:
Problém je, že tohle všechno řeší technické věci,které udělat
chceš, ale neřeší to chybějící papíry, které
potřebuješ pro úřad.
Jasně, v oboru "no tak nám procesory trochu leakujoupaměť,
hlavně že jsem náhodou včas prodal akcie" nějakou
skutečnou ochranu
osobních údajů v podstatě řešit nejde. Jenže to úředníky z EU
nezajímá - ti
vymysleli směrnici na ochranu osobních údajů, takže se osobníúdaje chrání
tak, jak nařizuje směrnice. Až přijde kontrola, argumentace
"dyť je
to nesmysl!" nic nezachrání.
Takže správce potřebuje se zpracovatelem mít smlouvunebo jiný
právní akt. Pokud je právním aktem - dostatečným pro
úřad - členství
v vpsfree, tak je asi všechno v poho. (http://www.privacy-regulation.eu/cs/28.htm http://www.privacy-regulation.eu/cs/28.htm) Pokud ne, tak je problém.
Jinak teda > Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi,jakou ma
zodpovednost, best practices v ohledu bezpecnosti davnosleduje.
Co když to neví, nebo na to dlabe? :-) Pavel Snajdr wrote: Stejne jako oskenovat, co ti tam bezi a dostat se ti tambez
zvednuti my pohodlny zadele, obzvlast pokud jedesnejakou
PHPkovinu a data, ktery by bylo potreba chranit, jsouprimo
v DB, kam ty PHP spagety vidi.
A co ted s tim, vypneme to vsehno? ;) Chci tim rict, ze panikrit IMHO neni na miste a kdyz senad
tim clovek zamysli, zasifrovat vsechno taky neni reseni. Jinak ja jsem za GDPR rad, mam vymluvu, proc si seboubudu
nosit klicenku s trhavinou na flashkach, mame vymluvu,proc
plosne nasadit sifrovani, proc se nam nepujde dostat doracku neautorizovane, aniz by to neodmazlo klice a neshodilo
vsehno
chraneny (tj. abys nam fakt nechtel otevrit ten rack).
Ne ze by GDPR neco resilo, ale dava van super vymluvu,jak
muzem nase systemy postupne posouvat vic smeremplausible
deniability, tj. soukromi je level jedna, level nuda,ale co
nam to umozni je ochranit i adminy pred tim, aby vedeli,co
clen bezi. Neumel jsem si bez GDPR predstavit, jak zvysovatzabezpeceni
bez toho, aby to vypadalo, jako kdyz se chystamehostovat
tunu detskyho porna a lokalni pobocku CIA. Jenom tonebude
vsehno hned - a nektery levely zabezpeceni na sharovanym hardwaru ani nepujde udelat. Chci: - sifrovani v ZoL - aby clen mel moznost klic per dataset neulozit, alezadat
si ho sam pres bezpecny kanal (ssh/https api call) - monitoring otevreni racku co bez nahlaseni predemdonuti
masiny smazat klice z RAM Ale tohle je furt malo, pokud admini nemaji vedet, coclen
bezi. Ani fullvirt ani se sifrovanou RAM na AMD namnepomuze, takze resim, jak zahostovat single board desky pro
cleny,
kteri chteji mit moznost nejcitlivejsi data mit fakt soukrome.
Ve finale: - budes mit moznost data na VPS sifrovat svymi hesly,ktera
se u nas nebudou ukladat (prusvih je, ze my nemame jak dokazat, ze jsme to nikde neulozili) - pri neautorizovanym pristupu do racku se klicesmaznou, to
samy pri rebootu/resetu a je pak na tobe zvazit, jestlije
OK data uz odemknout
- budes mit moznost nejcitlivejsi data vysoupnout vedlepo
siti na svuj dedikovanej systemek kalibru ARM CortexA53, do
budoucna RISC-V Problem nastava, kdyz s adminkem pujde do datacentranekdo
sebedulezitejsi, nez GDRP byrokrat s kulometem u palice,pak
admin nema moznost ani nejak kliknout smazani klicu,nebo
aspon nejakej counter na webu ve smyslu kanarka, kterybude
pocitat pocet podobnych incidentu. Shared computing ma svoje limity, bohuzel, jestlisledujes,
kam tim mirim. GDPR podle mne vyzaduje nutne jenom nejaky papirovani,ale
do budoucna nam dava zaminku jit na to vic z husta, co se
soukromi
tyce.
Muze nam pak nekdo nadavat, ze delame hosting detskyhoporna
a teroristum, kdyz mame racky obehnany pomalu ziletkovym dratem? Nemuze, at si stezuje v Bruselu. Za mne dobry, ale nebude to hned. A v prvni vlne budehlavne
to papirovani. V druhy vlne se musime zbavitnedostacujiciho
OpenVZ, vpsAdminOS ma podstatne lip ovladatelnejsi bezpecnostni politiku - a je odspoda nahoru celypodepsany a
verifikovatelny. /snajpa On 30 Jan 2018, at 23:41, Jaroslav Skrivan <skrivy@skrivy.net <mailto:skrivy@skrivy.net>>wrote:
Jenom moje osobni zkusenost - odnest si cizi disky z datacentra neni zas takovy problem, jak se na prvni pohled muze zdat. From: Pavel Snajdr Sent: 1/30/2018 10:49 PM To: vpsFree.cz Community list Subject: Re: [vpsFree.cz: community-list] vpsFree.cza
GDPR
Ahoj, GDPR je, pokud to dobre chapu, totalni nesmysl, zkteryho jsou vsichni vyjukani uplne, ale naprosto totalne
zbytecne.
Podivej se, co bezime za procesory. Jak ma nekdo neco v takovym stavu vubecindustry-wide za
neco rucit? Za mne je GDPR o tom a pouze o tom, ze musimepodepsat
papir s lidmi, co maji admin pristupy, aby acknuli oficialne svoji zodpovednost. V seznamu clenu uz ted mame jenom nejnutnejsi udaje (podle posledni zkusenosti s PCR a PSR jim kidentifikaci ani to nemusi stacit...).
Ve stanovach mame zakotvenou ochranu dat clenu uz odzacatku.
Ja v tom vidim mnoho povyku pro nic, ajtak, kteryvi,
jakou ma zodpovednost, best practices v ohledu bezpecnosti davno sleduje. A kdyz si nekdo mysli, ze Vsechno Zasifrovat(tm) to vyresi, tak se rovnou zeptam - a borci, jak se ktomu
asi programy na ty masine dostanou? Hint: stejne musi byt data odemcena pri behu. A ze se k nim neco dostane za behu je
mnoooohem
pravdepodobnejsi, nez ze nam z hlidanyho datacentra nekdo
ukradne
disky a vycte si neco offline.
Tedy, muj nazor je, ze vubec neni potreba panikarita
natoz se uchylovat k reseni stylem ‘radsi to navpsFree
nedam vubec’. To ty servery muzeme rovnou vypnouttotiz
- a cely to zabalit s tim, ze jsme se nechali prevalcovat
byrokratama.
/snajpa (Pavel Snajdr) (Predseda vpsFree.cz) (+420 720 107 791 <tel:+420%20720%20107%20791>) On 30 Jan 2018, at 22:10, Lukáš Jelínek -AIKEN
<lukas@aiken.cz <mailto:lukas@aiken.cz>> wrote: Ahoj, pokud si vzpomínám, tak něco podobného užse řešilo
na valné hromadě (byť ještě nebylo nařízení GDPR). Asituace je v
podstatě taková, že to asi příliš řešit nelze, protože by to prospolek
znamenalo velkou administrativní zátěž a značný nárůstnákladů.
Čili asi nejčistším řešením v tutochvíli je,
nevyužívat servery vpsFree.cz k ukládání osobních údajů -přinejmenším
do doby, než se všechny záležitosti vyřeší (a než vůbecvznikne
nějaký závazný výklad různých ustanovení směrnice). Lukáš Jelínek Ahoj ve spolek! Datum 25.5.2018, kdy nám vstupuje vúčinnost
GDPR se pomalu ale jistě blíží. Bohužel jsem byl, ač neprávník
do této
problematiky trochu zatlačen a byly na mě již vzneseny dotazy týkající se GDPR a vpsFree. Myslím, si, že je nás více, kteří naVPS máme
uloženy nějaké ty osobní údaje (adresy, emaily, apod.) a skorovšichni
máme nějaký ten webserver, kde se logují IP adresy, kteréjsou
rovněž považovány za osobní údaje. Díky tomu jsme z pohleduGDPR
považování za správce osobních údajů. Podle článku 4 GDPR se zpracovaním osobních údajů rozumí také ukládání osobních údajů.Z toho
plyne, že jakýkoliv poskytovatel cloudových služeb, hostingu,VPS,
atd. je vůči správci v postavení zpracovatele osobních údajů.Článek 28
GDPR potom řeší vztah zpracovatele a správce, kde mj. požadujenějaký
smluvní vztah mezi nimi. Když to převedu na protředívpsFree tak
členové jsou v podstatě správci osobních údajů a vpsFree jezpracovatelem osobních údajů.
Můj dotaz zní, zda a jak bylo nebo budeGDPR
řešeno na úrovní vpsFree? V podstatě asi jde o to, aby bylo vpřípadě
kontroly z UOOÚ možno něčím nebo nějak prokázat, že vpsFreeje v
souladu s GDPR a taky garantuje, že data nebudou uložena mimoEU.
Věřím, že v našich řadách jsou kompetentnější členové v tétověci jako já
a tak bých rád otevřel diskusi.
Honza.
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list