1 Feb
2018
1 Feb
'18
7:12 a.m.
Jen tak mimochodem, informace o místě zpracování osobních údajů pokud se
liší od sídla se uvádí při registraci na ÚOOÚ už dnes, takže minimálně
uřadu jsi to sdělit musel. :)
Honza.
Dne 2018-02-01 07:53, Petr Juhaňák napsal:
Cau, ja jako spravce dat na "moji vps" nemam
povinost nekomu rikat kde
ty data jsou (jen v jakem rozsahu je zpracovavam a k cemu).
Pokud by tyto informace chtel videt nejaky dozorovy organ, tak pak se
s nim o tom budu bavit.
Samozrejme ze pro svoji interni potrebu to na lejstro dam, abych to v
pripade potreby mohl dolozit.
Jako clen VpsFree se potrebuji ujistit, ze mi moji Vpsku administruji
radne a prijmou opatreni (neco) a budu se muset oprit o nejaky pravni
dokument.
Z hlediska VPSFree je to dle meho soudu tak, ze poskytuje pouze
technicke nastroje a administruje ty systemy a bude se snazit byt v
souladu aby clenove neodesly. Kdyz to prezenu, pokud by clenove meli
prazdne vpsky, jak by priprava na gdpr vypadala?
S pozdravem
Petr Juhaňák
petr(a)juhanak.cz | +420 739 639 132
-------- Původní zpráva --------
Od: Pavel Snajdr <snajpa(a)snajpa.net>
Datum: 01.02.18 1:28 (GMT+01:00)
Komu: "vpsFree.cz Community list" <community-list(a)lists.vpsfree.cz>
Předmět: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR
Jo, tohle by slo presne tam, cca tak, jak rikas.
Jako pani, to fakt GDPR resi ochranu dat tim, ze vsem naokolo vykeca,
kde ty data jsou a pak jakoze proti podpisu mame delat, ze na ne
nevidime?
Nechapu to.
Neni pro nas lepsi vubec nevedet, jestli tam neco takovyho vubec je a
za
soukrome proste povazovat cokoliv z datasetu clena, kterehokoliv?
Komu pomuze, ze nam presne vyslepici a jeste podepise, kde ta data ma?
/snajpa
On 2018-02-01 01:22, Slávek Banko wrote:
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
--
Ing. Jan Dvorak
****************************************
Ing. Jan Dvorak
Fischerova 690/23
779 00 Olomouc, Nove Sady
Czech Republic
****************************************
Tel: +420 603 444 240
E-mail: jan.dvorak(a)dvorak-sw.com
Web: http://www.dvorak-sw.com
****************************************
Ve Stanovách je odkazován Provozní řád, který je
schvalovaný
Radou.
Pokud by navrhované prohlášení typu "všechní informační
zařízení jejíž
použití poskytovává VPSFree a na které se
zpracovává data
jsou v EU" a
další pravidla související s GDPR mohl podchytit
Provozní
řád, pak by
možná mohl by být tím společným dokumentem
závazným pro
všechny?
--
Slávek
On Thursday 01 of February 2018 00:12:28 Timothy Hobbs wrote:
> Já teď koukám na stanovy
> https://vpsfree.cz/download/stanovy_vpsfree.pdf a nevidím kde je
> napsáno, že "všechní informační zařízení jejíž použití
poskytovává
> VPSFree a na které se zpracovává data jsou v
EU".
>
> On 01/31/2018 08:12 AM, zd nex wrote:
> > Ahojte,
> >
> > také si tu směrnici vykládám tak, že každý člen musí za
data na VPS
> > zodpovídat sám (mít pověřenou osobu,
která s tím pracuje +
papír, že
> > je o tom seznámená.) Co se týče dat na
VPSFree, tak tam
půjde
> > primárně o to, jestli stačí to co je ve
stanovách - či
jestli nějak
> > bude také potřeba tedy domluvit (sepsat
smlouvu) mezi
členem(jeho
> > daty) a vpsfree nějak odděleně, nebo
bude pouze stačit, aby
to bylo
> > ve stanovách - že jsou zde admini a
následně jednotlivý
členové co
> > pracují s VPS(kteří jsou zodpovědní za
data)? Tzn tím
pádem, by
> > nemělo být nutné nic měnit, kromě té
specifikace - kdo a
jaký má
> > přístup k VPS a jakou zodpovědnost
(plnou).
> >
> > --
> > S pozdravem,
> >
> > Zdeněk Dlauhý
> >
> > Email:support@pripravto.cz <mailto:support@pripravto.cz>
> > Mobil: +420 702 549 370
> > Web: www.pripravto.cz <http://www.pripravto.cz>
> >
> > Dne 31. ledna 2018 6:21 Petr Juhaňák <petr(a)juhanak.cz
> > <mailto:petr@juhanak.cz>> napsal(a):
> >
> > Je to tak jak rika Jirka.
> >
> > VpsFree si udela samo datovy audit z hlediska osobnich udaju
> > ktere eviduje o clenech a sepise si na papir kde a v jakem
rozsahu
> > jsou a hlavne zadokumentuje jaka
opatreni uz ma (procesy a
technicka
> > nastaveni) aby to vypadalo jako rizena
prace s riziky. Pak pravni
> > dokumenty typu informovane souhlasy.
> >
> > To same si udelaji clenove ale v jinem ramci, uz na urovni
jejich
> > provozovane technologie php eshopy a
podobne a zase seznam
> > opatreni, proces kdyz nekdo odvola souhlas se zpracovanim,
seznam
> > opatreni.
> >
> > To jsou veci ktere si kazdy muze pripravit uz ted.
> >
> > Predstava, ze vpdfree je tu od toho aby zajistila soulad s
gdpr
> > je mylna. To si musi zajistit kazdy clen
sam, tj. nemluvim o
> > technickem svete.
> >
> >
> >
> > S pozdravem
> > Petr Juhaňák
> >
> > petr(a)juhanak.cz <mailto:petr@juhanak.cz> | +420 739 639 132
> > <tel:+420%20739%20639%20132>
> >
> >
> > -------- Původní zpráva --------
> > Od: Jindřich Sadílek <jindrich.sadilek(a)gmail.com
> > <mailto:jindrich.sadilek@gmail.com>>
> > Datum: 31.01.18 1:41 (GMT+01:00)
> > Komu: community-list(a)lists.vpsfree.cz
> > <mailto:community-list@lists.vpsfree.cz>
> > Předmět: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR
> >
> > Jedna věc je, co si musí pořešit VPSfree jako organizace,
zcela
> > jiná pak jendotliví správci
vlastních žiletek.
> >
> > Provozujete nějaký jednoduchý eshop, máte uživatelské
registrace
> > a pošlete semtam email, natož
považovatelný za reklamní?
Jste v tom
> > až po uši...
> >
> > Dne St, 31. leden 2018 v 00:30 h uživatel Jirka Bourek
napsal:
> >> Problém je, že tohle všechno
řeší technické věci,
které udělat
> >> chceš, ale neřeší to chybějící
papíry, které
potřebuješ pro úřad.
> >>
> >> Jasně, v oboru "no tak nám procesory trochu leakujou
paměť,
> >> hlavně že jsem náhodou včas prodal
akcie" nějakou
skutečnou ochranu
> >> osobních údajů
> >> v podstatě řešit nejde. Jenže to úředníky z EU
nezajímá - ti
> >> vymysleli
> >> směrnici na ochranu osobních údajů, takže se osobní
údaje chrání
> >> tak, jak nařizuje směrnice. Až
přijde kontrola, argumentace
"dyť je
> >> to nesmysl!" nic nezachrání.
> >>
> >> Takže správce potřebuje se zpracovatelem mít smlouvu
nebo jiný
> >> právní akt. Pokud je právním aktem -
dostatečným pro
úřad - členství
> >> v vpsfree,
> >> tak je asi všechno v poho.
> >> (http://www.privacy-regulation.eu/cs/28.htm
> >> <http://www.privacy-regulation.eu/cs/28.htm>)
> >> Pokud ne, tak je problém.
> >>
> >> Jinak teda
> >>
> >> > Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi,
jakou
ma
> >>
> >> zodpovednost, best practices v ohledu bezpecnosti davno
sleduje.
> >>
> >> Co když to neví, nebo na to dlabe? :-)
> >>
> >>
> >> Pavel Snajdr wrote:
> >>
> >> Stejne jako oskenovat, co ti tam bezi a dostat se ti tam
bez
> >> zvednuti my pohodlny zadele,
obzvlast pokud jedes
nejakou
> >> PHPkovinu a data, ktery by
bylo potreba chranit, jsou
primo
> >> v DB, kam ty PHP spagety vidi.
> >>
> >> A co ted s tim, vypneme to vsehno? ;)
> >>
> >> Chci tim rict, ze panikrit IMHO neni na miste a kdyz se
nad
> >> tim clovek zamysli,
zasifrovat vsechno taky neni reseni.
> >>
> >> Jinak ja jsem za GDPR rad, mam vymluvu, proc si sebou
budu
> >> nosit klicenku s trhavinou
na flashkach, mame vymluvu,
proc
> >> plosne nasadit sifrovani,
proc se nam nepujde dostat do
> >> racku neautorizovane, aniz by to neodmazlo klice a neshodilo
vsehno
> >> chraneny (tj. abys nam fakt nechtel
otevrit ten rack).
> >>
> >> Ne ze by GDPR neco resilo, ale dava van super vymluvu,
jak
> >> muzem nase systemy postupne
posouvat vic smerem
plausible
> >> deniability, tj. soukromi je
level jedna, level nuda,
ale co
> >> nam to umozni je ochranit i
adminy pred tim, aby vedeli,
co
> >> clen bezi.
> >>
> >> Neumel jsem si bez GDPR predstavit, jak zvysovat
zabezpeceni
> >> bez toho, aby to vypadalo,
jako kdyz se chystame
hostovat
> >> tunu detskyho porna a
lokalni pobocku CIA. Jenom to
nebude
> >> vsehno hned - a nektery
levely zabezpeceni na sharovanym
> >> hardwaru ani nepujde udelat.
> >>
> >> Chci:
> >>
> >> - sifrovani v ZoL
> >> - aby clen mel moznost klic per dataset neulozit, ale
zadat
> >> si ho sam pres bezpecny
kanal (ssh/https api call)
> >> - monitoring otevreni racku co bez nahlaseni predem
donuti
> >> masiny smazat klice z RAM
> >>
> >> Ale tohle je furt malo, pokud admini nemaji vedet, co
clen
> >> bezi. Ani fullvirt ani se
sifrovanou RAM na AMD nam
> >> nepomuze, takze resim, jak zahostovat single board desky pro
cleny,
> >> kteri chteji mit moznost
nejcitlivejsi data mit fakt soukrome.
> >>
> >> Ve finale:
> >>
> >> - budes mit moznost data na VPS sifrovat svymi hesly,
ktera
> >> se u nas nebudou ukladat
(prusvih je, ze my nemame jak
> >> dokazat, ze jsme to nikde neulozili)
> >>
> >> - pri neautorizovanym pristupu do racku se klice
smaznou, to
> >> samy pri rebootu/resetu a je
pak na tobe zvazit, jestli
je
> >> OK data uz odemknout
> >>
> >> - budes mit moznost nejcitlivejsi data vysoupnout vedle
po
> >> siti na svuj dedikovanej
systemek kalibru ARM Cortex
A53, do
> >> budoucna RISC-V
> >>
> >> Problem nastava, kdyz s adminkem pujde do datacentra
nekdo
> >> sebedulezitejsi, nez GDRP
byrokrat s kulometem u palice,
pak
> >> admin nema moznost ani nejak
kliknout smazani klicu,
nebo
> >> aspon nejakej counter na
webu ve smyslu kanarka, ktery
bude
> >> pocitat pocet podobnych
incidentu.
> >>
> >> Shared computing ma svoje limity, bohuzel, jestli
sledujes,
> >> kam tim mirim.
> >>
> >> GDPR podle mne vyzaduje nutne jenom nejaky papirovani,
ale
> >> do budoucna nam dava zaminku jit na
to vic z husta, co se
soukromi
> >> tyce.
> >>
> >> Muze nam pak nekdo nadavat, ze delame hosting detskyho
porna
> >> a teroristum, kdyz mame
racky obehnany pomalu ziletkovym
> >> dratem? Nemuze, at si stezuje v Bruselu.
> >>
> >> Za mne dobry, ale nebude to hned. A v prvni vlne bude
hlavne
> >> to papirovani. V druhy vlne
se musime zbavit
nedostacujiciho
> >> OpenVZ, vpsAdminOS ma
podstatne lip ovladatelnejsi
> >> bezpecnostni politiku - a je odspoda nahoru cely
podepsany a
> >> verifikovatelny.
> >>
> >> /snajpa
> >>
> >> On 30 Jan 2018, at 23:41, Jaroslav Skrivan
> >> <skrivy(a)skrivy.net <mailto:skrivy@skrivy.net>>
wrote:
> >>
> >> Jenom moje osobni zkusenost - odnest si cizi disky z
> >> datacentra neni zas takovy problem, jak se na prvni
> >> pohled muze zdat.
> >> From: Pavel Snajdr
> >> Sent: 1/30/2018 10:49 PM
> >> To: vpsFree.cz Community list
> >> Subject: Re: [vpsFree.cz: community-list] vpsFree.cz
a
> >> GDPR
> >>
> >> Ahoj,
> >>
> >> GDPR je, pokud to dobre chapu, totalni nesmysl, z
> >> kteryho jsou vsichni vyjukani uplne, ale naprosto totalne
zbytecne.
> >>
> >> Podivej se, co bezime za procesory.
> >>
> >> Jak ma nekdo neco v takovym stavu vubec
industry-wide za
> >> neco rucit?
> >>
> >> Za mne je GDPR o tom a pouze o tom, ze musime
podepsat
> >> papir s lidmi, co maji
admin pristupy, aby acknuli
> >> oficialne svoji zodpovednost.
> >>
> >> V seznamu clenu uz ted mame jenom nejnutnejsi udaje
> >> (podle posledni zkusenosti s PCR a PSR jim k
> >> identifikaci ani to nemusi stacit...).
> >>
> >> Ve stanovach mame zakotvenou ochranu dat clenu uz od
> >> zacatku.
> >>
> >> Ja v tom vidim mnoho povyku pro nic, ajtak, ktery
vi,
> >> jakou ma zodpovednost,
best practices v ohledu
> >> bezpecnosti davno sleduje.
> >>
> >> A kdyz si nekdo mysli, ze Vsechno Zasifrovat(tm) to
> >> vyresi, tak se rovnou zeptam - a borci, jak se k
tomu
> >> asi programy na ty masine dostanou?
Hint: stejne musi byt data
> >> odemcena pri behu. A ze se k nim neco dostane za behu je
mnoooohem
> >> pravdepodobnejsi, nez ze nam z
hlidanyho datacentra nekdo
ukradne
> >> disky a vycte si neco offline.
> >>
> >> Tedy, muj nazor je, ze vubec neni potreba panikarit
a
> >> natoz se uchylovat k
reseni stylem ‘radsi to na
vpsFree
> >> nedam vubec’. To ty
servery muzeme rovnou vypnout
totiz
> >> - a cely to zabalit s tim, ze jsme
se nechali prevalcovat
> >> byrokratama.
> >>
> >> /snajpa
> >> (Pavel Snajdr)
> >> (Predseda vpsFree.cz)
> >> (+420 720 107 791 <tel:+420%20720%20107%20791>)
> >>
> >> On 30 Jan 2018, at 22:10, Lukáš Jelínek -
AIKEN
> >> <lukas(a)aiken.cz
<mailto:lukas@aiken.cz>> wrote:
> >>
> >> Ahoj,
> >>
> >> pokud si vzpomínám, tak něco podobného už
se řešilo
> >> na valné hromadě
> >> (byť ještě nebylo nařízení GDPR). A
situace je v
> >> podstatě taková, že
to
> >> asi příliš řešit nelze, protože by to pro
spolek
> >> znamenalo velkou
> >> administrativní zátěž a značný nárůst
nákladů.
> >>
> >> Čili asi nejčistším řešením v tuto
chvíli je,
> >> nevyužívat servery
> >> vpsFree.cz k ukládání osobních údajů -
přinejmenším
> >> do doby, než se
> >> všechny záležitosti vyřeší (a než vůbec
vznikne
> >> nějaký závazný
výklad
> >> různých ustanovení směrnice).
> >>
> >> Lukáš Jelínek
> >>
> >>
> >>
> >> Ahoj ve spolek!
> >>
> >> Datum 25.5.2018, kdy nám vstupuje v
účinnost
> >> GDPR se pomalu ale jistě
> >> blíží. Bohužel jsem byl, ač neprávník
do této
> >> problematiky
trochu
> >> zatlačen a byly na mě již vzneseny dotazy
> >> týkající se GDPR a vpsFree.
> >>
> >> Myslím, si, že je nás více, kteří na
VPS máme
> >> uloženy nějaké
ty osobní
> >> údaje (adresy, emaily, apod.) a skoro
všichni
> >> máme nějaký ten
> >> webserver, kde se logují IP adresy, které
jsou
> >> rovněž
považovány za
> >> osobní údaje. Díky tomu jsme z pohledu
GDPR
> >> považování za
správce
> >> osobních údajů. Podle článku 4 GDPR se
> >> zpracovaním osobních údajů
> >> rozumí také ukládání osobních údajů.
Z toho
> >> plyne, že
jakýkoliv
> >> poskytovatel cloudových služeb, hostingu,
VPS,
> >> atd. je vůči
správci v
> >> postavení zpracovatele osobních údajů.
Článek 28
> >> GDPR potom řeší
vztah
> >> zpracovatele a správce, kde mj. požaduje
nějaký
> >> smluvní vztah
mezi
> >> nimi. Když to převedu na protředí
vpsFree tak
> >> členové jsou v
podstatě
> >> správci osobních údajů a vpsFree je
> >> zpracovatelem osobních údajů.
> >>
> >> Můj dotaz zní, zda a jak bylo nebo bude
GDPR
> >> řešeno na úrovní
vpsFree?
> >> V podstatě asi jde o to, aby bylo v
případě
> >> kontroly z UOOÚ
možno
> >> něčím nebo nějak prokázat, že vpsFree
je v
> >> souladu s GDPR a
taky
> >> garantuje, že data nebudou uložena mimo
EU.
> >> Věřím, že v
našich řadách
> >> jsou kompetentnější členové v této
věci jako já
>>
a tak bých rád otevřel
>> diskusi.
>>
>> Honza.
>>
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list