Zdravím,

souhlasím s Vámi. Problém tady je mj. i ten, že ČR od roku 2016 do teď nebyla schopna přijmout prováděcí (adaptační) zákon ke GDPR. To znamená, že stále není úplně jasné jak se bude postupovat v těch asi 50 bodech, které EU svěřila jednotlivým státům. Údajně by mohlo dojít i k situaci, že by nebylo úplně jasné, kterým zákonem se řídit od vstupu GDPR v platnost.

Nejsem právník vím jen, že toto je trochu blocker i v naší korporaci. Takže doufejme, že se nebude kecat, ale makat a budeme tu mít jasný zákon co nejdříve.

S pozdravem František Komárek

Dne 31. ledna 2018 8:12 zd nex zdnexnet@gmail.com napsal(a):

Ahojte,

také si tu směrnici vykládám tak, že každý člen musí za data na VPS zodpovídat sám (mít pověřenou osobu, která s tím pracuje + papír, že je o tom seznámená.) Co se týče dat na VPSFree, tak tam půjde primárně o to, jestli stačí to co je ve stanovách - či jestli nějak bude také potřeba tedy domluvit (sepsat smlouvu) mezi členem(jeho daty) a vpsfree nějak odděleně, nebo bude pouze stačit, aby to bylo ve stanovách - že jsou zde admini a následně jednotlivý členové co pracují s VPS(kteří jsou zodpovědní za data)? Tzn tím pádem, by nemělo být nutné nic měnit, kromě té specifikace - kdo a jaký má přístup k VPS a jakou zodpovědnost (plnou).

-- S pozdravem,

Zdeněk Dlauhý

Email:support@pripravto.cz Mobil: +420 702 549 370 <+420%20702%20549%20370> Web: www.pripravto.cz

Dne 31. ledna 2018 6:21 Petr Juhaňák petr@juhanak.cz napsal(a):

Je to tak jak rika Jirka.

...

VpsFree si udela samo datovy audit z hlediska osobnich udaju ktere eviduje o clenech a sepise si na papir kde a v jakem rozsahu jsou a hlavne zadokumentuje jaka opatreni uz ma (procesy a technicka nastaveni) aby to vypadalo jako rizena prace s riziky. Pak pravni dokumenty typu informovane souhlasy.

To same si udelaji clenove ale v jinem ramci, uz na urovni jejich provozovane technologie php eshopy a podobne a zase seznam opatreni, proces kdyz nekdo odvola souhlas se zpracovanim, seznam opatreni.

To jsou veci ktere si kazdy muze pripravit uz ted.

Predstava, ze vpdfree je tu od toho aby zajistila soulad s gdpr je mylna. To si musi zajistit kazdy clen sam, tj. nemluvim o technickem svete.

S pozdravem Petr Juhaňák

petr@juhanak.cz | +420 739 639 132 <+420%20739%20639%20132>

-------- Původní zpráva -------- Od: Jindřich Sadílek jindrich.sadilek@gmail.com Datum: 31.01.18 1:41 (GMT+01:00) Komu: community-list@lists.vpsfree.cz Předmět: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR

Jedna věc je, co si musí pořešit VPSfree jako organizace, zcela jiná pak jendotliví správci vlastních žiletek.

Provozujete nějaký jednoduchý eshop, máte uživatelské registrace a pošlete semtam email, natož považovatelný za reklamní? Jste v tom až po uši...

Dne St, 31. leden 2018 v 00:30 h uživatel Jirka Bourek napsal:

Problém je, že tohle všechno řeší technické věci, které udělat chceš, ale neřeší to chybějící papíry, které potřebuješ pro úřad.

Jasně, v oboru "no tak nám procesory trochu leakujou paměť, hlavně že jsem náhodou včas prodal akcie" nějakou skutečnou ochranu osobních údajů v podstatě řešit nejde. Jenže to úředníky z EU nezajímá - ti vymysleli směrnici na ochranu osobních údajů, takže se osobní údaje chrání tak, jak nařizuje směrnice. Až přijde kontrola, argumentace "dyť je to nesmysl!" nic nezachrání.

Takže správce potřebuje se zpracovatelem mít smlouvu nebo jiný právní akt. Pokud je právním aktem - dostatečným pro úřad - členství v vpsfree, tak je asi všechno v poho. (http://www.privacy-regulation.eu/cs/28.htm) Pokud ne, tak je problém.

Jinak teda

...

Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi, jakou ma

zodpovednost, best practices v ohledu bezpecnosti davno sleduje.

Co když to neví, nebo na to dlabe? :-)

Pavel Snajdr wrote:

Stejne jako oskenovat, co ti tam bezi a dostat se ti tam bez zvednuti my pohodlny zadele, obzvlast pokud jedes nejakou PHPkovinu a data, ktery by bylo potreba chranit, jsou primo v DB, kam ty PHP spagety vidi.

A co ted s tim, vypneme to vsehno? ;)

Chci tim rict, ze panikrit IMHO neni na miste a kdyz se nad tim clovek zamysli, zasifrovat vsechno taky neni reseni.

Jinak ja jsem za GDPR rad, mam vymluvu, proc si sebou budu nosit klicenku s trhavinou na flashkach, mame vymluvu, proc plosne nasadit sifrovani, proc se nam nepujde dostat do racku neautorizovane, aniz by to neodmazlo klice a neshodilo vsehno chraneny (tj. abys nam fakt nechtel otevrit ten rack).

Ne ze by GDPR neco resilo, ale dava van super vymluvu, jak muzem nase systemy postupne posouvat vic smerem plausible deniability, tj. soukromi je level jedna, level nuda, ale co nam to umozni je ochranit i adminy pred tim, aby vedeli, co clen bezi.

Neumel jsem si bez GDPR predstavit, jak zvysovat zabezpeceni bez toho, aby to vypadalo, jako kdyz se chystame hostovat tunu detskyho porna a lokalni pobocku CIA. Jenom to nebude vsehno hned - a nektery levely zabezpeceni na sharovanym hardwaru ani nepujde udelat.

Chci:

• sifrovani v ZoL
• aby clen mel moznost klic per dataset neulozit, ale zadat si ho sam

pres bezpecny kanal (ssh/https api call)

• monitoring otevreni racku co bez nahlaseni predem donuti masiny smazat

klice z RAM

Ale tohle je furt malo, pokud admini nemaji vedet, co clen bezi. Ani fullvirt ani se sifrovanou RAM na AMD nam nepomuze, takze resim, jak zahostovat single board desky pro cleny, kteri chteji mit moznost nejcitlivejsi data mit fakt soukrome.

Ve finale:

• budes mit moznost data na VPS sifrovat svymi hesly, ktera se u nas

nebudou ukladat (prusvih je, ze my nemame jak dokazat, ze jsme to nikde neulozili)

• pri neautorizovanym pristupu do racku se klice smaznou, to samy pri

rebootu/resetu a je pak na tobe zvazit, jestli je OK data uz odemknout

• budes mit moznost nejcitlivejsi data vysoupnout vedle po siti na svuj

dedikovanej systemek kalibru ARM Cortex A53, do budoucna RISC-V

Problem nastava, kdyz s adminkem pujde do datacentra nekdo sebedulezitejsi, nez GDRP byrokrat s kulometem u palice, pak admin nema moznost ani nejak kliknout smazani klicu, nebo aspon nejakej counter na webu ve smyslu kanarka, ktery bude pocitat pocet podobnych incidentu.

Shared computing ma svoje limity, bohuzel, jestli sledujes, kam tim mirim.

GDPR podle mne vyzaduje nutne jenom nejaky papirovani, ale do budoucna nam dava zaminku jit na to vic z husta, co se soukromi tyce.

Muze nam pak nekdo nadavat, ze delame hosting detskyho porna a teroristum, kdyz mame racky obehnany pomalu ziletkovym dratem? Nemuze, at si stezuje v Bruselu.

Za mne dobry, ale nebude to hned. A v prvni vlne bude hlavne to papirovani. V druhy vlne se musime zbavit nedostacujiciho OpenVZ, vpsAdminOS ma podstatne lip ovladatelnejsi bezpecnostni politiku - a je odspoda nahoru cely podepsany a verifikovatelny.

/snajpa

On 30 Jan 2018, at 23:41, Jaroslav Skrivan skrivy@skrivy.net wrote:

Jenom moje osobni zkusenost - odnest si cizi disky z datacentra neni zas takovy problem, jak se na prvni pohled muze zdat. From: Pavel Snajdr Sent: ‎1/‎30/‎2018 10:49 PM To: vpsFree.cz Community list Subject: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR

Ahoj,

GDPR je, pokud to dobre chapu, totalni nesmysl, z kteryho jsou vsichni vyjukani uplne, ale naprosto totalne zbytecne.

Podivej se, co bezime za procesory.

Jak ma nekdo neco v takovym stavu vubec industry-wide za neco rucit?

Za mne je GDPR o tom a pouze o tom, ze musime podepsat papir s lidmi, co maji admin pristupy, aby acknuli oficialne svoji zodpovednost.

V seznamu clenu uz ted mame jenom nejnutnejsi udaje (podle posledni zkusenosti s PCR a PSR jim k identifikaci ani to nemusi stacit...).

Ve stanovach mame zakotvenou ochranu dat clenu uz od zacatku.

Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi, jakou ma zodpovednost, best practices v ohledu bezpecnosti davno sleduje.

A kdyz si nekdo mysli, ze Vsechno Zasifrovat(tm) to vyresi, tak se rovnou zeptam - a borci, jak se k tomu asi programy na ty masine dostanou? Hint: stejne musi byt data odemcena pri behu. A ze se k nim neco dostane za behu je mnoooohem pravdepodobnejsi, nez ze nam z hlidanyho datacentra nekdo ukradne disky a vycte si neco offline.

Tedy, muj nazor je, ze vubec neni potreba panikarit a natoz se uchylovat k reseni stylem ‘radsi to na vpsFree nedam vubec’. To ty servery muzeme rovnou vypnout totiz - a cely to zabalit s tim, ze jsme se nechali prevalcovat byrokratama.

/snajpa (Pavel Snajdr) (Predseda vpsFree.cz) (+420 720 107 791 <+420%20720%20107%20791>)

On 30 Jan 2018, at 22:10, Lukáš Jelínek - AIKEN lukas@aiken.cz wrote:

Ahoj,

pokud si vzpomínám, tak něco podobného už se řešilo na valné hromadě (byť ještě nebylo nařízení GDPR). A situace je v podstatě taková, že to asi příliš řešit nelze, protože by to pro spolek znamenalo velkou administrativní zátěž a značný nárůst nákladů.

Čili asi nejčistším řešením v tuto chvíli je, nevyužívat servery vpsFree.cz k ukládání osobních údajů - přinejmenším do doby, než se všechny záležitosti vyřeší (a než vůbec vznikne nějaký závazný výklad různých ustanovení směrnice).

Lukáš Jelínek

Ahoj ve spolek!

Datum 25.5.2018, kdy nám vstupuje v účinnost GDPR se pomalu ale jistě blíží. Bohužel jsem byl, ač neprávník do této problematiky trochu zatlačen a byly na mě již vzneseny dotazy týkající se GDPR a vpsFree.

Myslím, si, že je nás více, kteří na VPS máme uloženy nějaké ty osobní údaje (adresy, emaily, apod.) a skoro všichni máme nějaký ten webserver, kde se logují IP adresy, které jsou rovněž považovány za osobní údaje. Díky tomu jsme z pohledu GDPR považování za správce osobních údajů. Podle článku 4 GDPR se zpracovaním osobních údajů rozumí také ukládání osobních údajů. Z toho plyne, že jakýkoliv poskytovatel cloudových služeb, hostingu, VPS, atd. je vůči správci v postavení zpracovatele osobních údajů. Článek 28 GDPR potom řeší vztah zpracovatele a správce, kde mj. požaduje nějaký smluvní vztah mezi nimi. Když to převedu na protředí vpsFree tak členové jsou v podstatě správci osobních údajů a vpsFree je zpracovatelem osobních údajů.

Můj dotaz zní, zda a jak bylo nebo bude GDPR řešeno na úrovní vpsFree? V podstatě asi jde o to, aby bylo v případě kontroly z UOOÚ možno něčím nebo nějak prokázat, že vpsFree je v souladu s GDPR a taky garantuje, že data nebudou uložena mimo EU. Věřím, že v našich řadách jsou kompetentnější členové v této věci jako já a tak bých rád otevřel diskusi.

Honza.

*_______________________________________________* Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

*_______________________________________________* Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list *_______________________________________________* Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

*_______________________________________________* Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

*_______________________________________________* Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

Ahoj,

Jen v rychlostu, musím souhlasit s Honzou, z korporátu mám úplně stejné poznatky. Poskytovatel infrastruktury, v případě že to nabízí jako službu, spadá pod GDPR jako zpracovatel (zjednodušeně řečeno).

Vzhledem k tomu že u sebe hostuji i pár nesoukromých věcí, tak se mě GDPR týká také. Při studiu problematiky pro IaaS/SaaS sem pak vycházel z tohoto: https://cispe.cloud/wp-content/uploads/2017/06/Code-of-Conduct-27-January-20... .

Doporučuji si to minimálně v rychlosti přečíst/proletět, i když je to v angličtině.

Snad to alespoň někomu pomůže

Ivan

st 31. 1. 2018 v 20:47 odesílatel Ing. Jan Dvořák jan.dvorak@dvorak-sw.com napsal:

Ahoj!

IMHO to co je ve stanovách rozhodně stačit nebude. Nechci teď řešit členskou evidenci, apod. To je další věc k řešení, ale teď začnu trochu ze široka. Poskytování VPS je služba IaaS (infrastruktura jako služba). vpsFree, jako ten kdo tuto službu poskytuje je dle GDPR zpracovatelem osobních údajů. To jestli má přístup k osobním údajům členů na VPS nebo ne není rozhodující. Pokud vpsFree nebude mít smluvní ujednání se správci (členy) tak může být považován přímo za správce sám. Toto vše je novinka GDPR. Doposud se na tyto zpracovatele legislativa v oblasti osobních údajů nevztahovala nebo se dala obejít.

Takže vpsFree má IMHO dvě možnosti. Buď jasně deklaruje, že poskytnutá VPS jsou pouze pro osobní potřebu a zakáže členům zpracovávat na VPS jakékoliv osobní údaje. Tím pádem nebude muset řešit žádné GDPR, což ale bude znamenat odchod členů, na které se GDPR vztahuje. Nebo bude muset s každým členem, který bude na VPS zpracovávat osobní údaje uzavřít zpracovatelskou smlouvu. GDPR poměrně jasně stanovuje co taková smlouva má obsahovat a tak jen heslovitě:

• předmět a trvání zpracování
• povaha a účel zpracování
• typ osobních údajů a kategorii subjektů údajů
• povinnosti a práva správce
• povinnosti zpracovatele (zpracování osobní údajů jen na základě

dokumentovaných pokynů správce, zajistit důvěrnost, přijmout vhodná bezpečnostní opatření) Co z toho by se vztahovalo na smlouvu mezi vpsFree a členem, to je otázka na právníka. Dokázal bych si představit, že členové s takovou smlouvou by mohli mít třeba o něco vyšší členský poplatek, aby se pokryly vícenáklady

Termín účinnosti se pomalu ale jistě blíží. Ve firmách se provádí různé audity a je třeba aby vpsFree co nejdříve jasně deklarovalo jak se ke GDPR postaví, aby Ti členové, kterých se to týká (bohužel jsem to i já) se mohli zařídit.

Tento problém budou řešit všichni poskytovatelé hostingu, VPS, cloudových služeb. V ČR je situace zatím tristní, zatím toto nikdo neřešil, jedině FORPSI, co jsem viděl se k tomu zatím nějak postavili. Co jsem tak sondoval v zahraničí tak úplně připraveny jsou jen ti největší (Microsoft, Amazon, apod.) a ti menší se postupně připravují. Nicméně ke změnám v Service Agreementech v souvislosti s GDPR určitě bude docházet.

Je třeba si taky říct, že s GDPR také přichází jedna zásadní změna. Doposud porušení zákona správcem musel prokazovat úřad, ale s GDPR je to naopak. Správce je ten, který musí prokazovat, že nic neporušil.

A malá poznámka na závěr, jak zaznělo na jednom semináři. Největším rizikem GDPR není vlastní nařízení, úřady, kontroly, pokuty apod. Největším rizikem jsou lidé. Díky mediální masáži a bublině se může objevit spoustu trollů, kteří díky GDPR dostanou do ruky jednoduchou možnost škodit.

Honza.

Dne 31.1.2018 v 08:12 zd nex napsal(a):

...

Ahojte,

také si tu směrnici vykládám tak, že každý člen musí za data na VPS zodpovídat sám (mít pověřenou osobu, která s tím pracuje + papír, že je o tom seznámená.) Co se týče dat na VPSFree, tak tam půjde primárně o to, jestli stačí to co je ve stanovách - či jestli nějak bude také potřeba tedy domluvit (sepsat smlouvu) mezi členem(jeho daty) a vpsfree nějak odděleně, nebo bude pouze stačit, aby to bylo ve stanovách - že jsou zde admini a následně jednotlivý členové co pracují s VPS(kteří jsou zodpovědní za data)? Tzn tím pádem, by nemělo být nutné nic měnit, kromě té specifikace - kdo a jaký má přístup k VPS a jakou zodpovědnost (plnou).

-- S pozdravem,

Zdeněk Dlauhý

Email:support@pripravto.cz mailto:support@pripravto.cz Mobil: +420 702 549 370 Web: www.pripravto.cz http://www.pripravto.cz

Dne 31. ledna 2018 6:21 Petr Juhaňák <petr@juhanak.cz mailto:petr@juhanak.cz> napsal(a):

Je to tak jak rika Jirka.

VpsFree si udela samo datovy audit z hlediska osobnich udaju ktere
eviduje o clenech a sepise si na papir kde a v jakem rozsahu jsou a
hlavne zadokumentuje jaka opatreni uz ma (procesy a technicka
nastaveni) aby to vypadalo jako rizena prace s riziky. Pak pravni
dokumenty typu informovane souhlasy.

To same si udelaji clenove ale v jinem ramci, uz na urovni jejich
provozovane technologie php eshopy a podobne a zase seznam opatreni,
proces kdyz nekdo odvola souhlas se zpracovanim, seznam opatreni.

To jsou veci ktere si kazdy muze pripravit uz ted.

Predstava, ze vpdfree je tu od toho aby zajistila soulad s gdpr je
mylna. To si musi zajistit kazdy clen sam, tj. nemluvim o technickem
svete.



S pozdravem
Petr Juhaňák

petr@juhanak.cz <mailto:petr@juhanak.cz> | +420 739 639 132
<tel:+420%20739%20639%20132>


-------- Původní zpráva --------
Od: Jindřich Sadílek <jindrich.sadilek@gmail.com
<mailto:jindrich.sadilek@gmail.com>>
Datum: 31.01.18 1:41 (GMT+01:00)
Komu: community-list@lists.vpsfree.cz
<mailto:community-list@lists.vpsfree.cz>
Předmět: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR

Jedna věc je, co si musí pořešit VPSfree jako organizace, zcela jiná
pak jendotliví správci vlastních žiletek.

Provozujete nějaký jednoduchý eshop, máte uživatelské registrace a
pošlete semtam email, natož považovatelný za reklamní? Jste v tom až
po uši...


Dne St, 31. leden 2018 v 00:30 h uživatel Jirka Bourek napsal:

...

Problém je, že tohle všechno řeší technické věci, které udělat

chceš,

...

...

ale neřeší to chybějící papíry, které potřebuješ pro úřad.

Jasně, v oboru "no tak nám procesory trochu leakujou paměť, hlavně

že

...

...

jsem náhodou včas prodal akcie" nějakou skutečnou ochranu osobních
údajů
v podstatě řešit nejde. Jenže to úředníky z EU nezajímá - ti

vymysleli

...

...

směrnici na ochranu osobních údajů, takže se osobní údaje chrání

tak,

...

...

jak nařizuje směrnice. Až přijde kontrola, argumentace "dyť je to
nesmysl!" nic nezachrání.

Takže správce potřebuje se zpracovatelem mít smlouvu nebo jiný

právní

...

...

akt. Pokud je právním aktem - dostatečným pro úřad - členství v
vpsfree,
tak je asi všechno v poho.
(http://www.privacy-regulation.eu/cs/28.htm
<http://www.privacy-regulation.eu/cs/28.htm>)
Pokud ne, tak je problém.

Jinak teda

> Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi, jakou ma
zodpovednost, best practices v ohledu bezpecnosti davno sleduje.

Co když to neví, nebo na to dlabe? :-)


Pavel Snajdr wrote:

    Stejne jako oskenovat, co ti tam bezi a dostat se ti tam bez
    zvednuti my pohodlny zadele, obzvlast pokud jedes nejakou
    PHPkovinu a data, ktery by bylo potreba chranit, jsou primo v
    DB, kam ty PHP spagety vidi.

    A co ted s tim, vypneme to vsehno? ;)

    Chci tim rict, ze panikrit IMHO neni na miste a kdyz se nad
    tim clovek zamysli, zasifrovat vsechno taky neni reseni.

    Jinak ja jsem za GDPR rad, mam vymluvu, proc si sebou budu
    nosit klicenku s trhavinou na flashkach, mame vymluvu, proc
    plosne nasadit sifrovani, proc se nam nepujde dostat do racku
    neautorizovane, aniz by to neodmazlo klice a neshodilo vsehno
    chraneny (tj. abys nam fakt nechtel otevrit ten rack).

    Ne ze by GDPR neco resilo, ale dava van super vymluvu, jak
    muzem nase systemy postupne posouvat vic smerem plausible
    deniability, tj. soukromi je level jedna, level nuda, ale co
    nam to umozni je ochranit i adminy pred tim, aby vedeli, co
    clen bezi.

    Neumel jsem si bez GDPR predstavit, jak zvysovat zabezpeceni
    bez toho, aby to vypadalo, jako kdyz se chystame hostovat tunu
    detskyho porna a lokalni pobocku CIA. Jenom to nebude vsehno
    hned - a nektery levely zabezpeceni na sharovanym hardwaru ani
    nepujde udelat.

    Chci:

    - sifrovani v ZoL
    - aby clen mel moznost klic per dataset neulozit, ale zadat si
    ho sam pres bezpecny kanal (ssh/https api call)
    - monitoring otevreni racku co bez nahlaseni predem donuti
    masiny smazat klice z RAM

    Ale tohle je furt malo, pokud admini nemaji vedet, co clen
    bezi. Ani fullvirt ani se sifrovanou RAM na AMD nam nepomuze,
    takze resim, jak zahostovat single board desky pro cleny,
    kteri chteji mit moznost nejcitlivejsi data mit fakt soukrome.

    Ve finale:

    - budes mit moznost data na VPS sifrovat svymi hesly, ktera se
    u nas nebudou ukladat (prusvih je, ze my nemame jak dokazat,
    ze jsme to nikde neulozili)

    - pri neautorizovanym pristupu do racku se klice smaznou, to
    samy pri rebootu/resetu a je pak na tobe zvazit, jestli je OK
    data uz odemknout

    - budes mit moznost nejcitlivejsi data vysoupnout vedle po
    siti na svuj dedikovanej systemek kalibru ARM Cortex A53, do
    budoucna RISC-V

    Problem nastava, kdyz s adminkem pujde do datacentra nekdo
    sebedulezitejsi, nez GDRP byrokrat s kulometem u palice, pak
    admin nema moznost ani nejak kliknout smazani klicu, nebo
    aspon nejakej counter na webu ve smyslu kanarka, ktery bude
    pocitat pocet podobnych incidentu.

    Shared computing ma svoje limity, bohuzel, jestli sledujes,
    kam tim mirim.

    GDPR podle mne vyzaduje nutne jenom nejaky papirovani, ale do
    budoucna nam dava zaminku jit na to vic z husta, co se
    soukromi tyce.

    Muze nam pak nekdo nadavat, ze delame hosting detskyho porna a
    teroristum, kdyz mame racky obehnany pomalu ziletkovym dratem?
    Nemuze, at si stezuje v Bruselu.

    Za mne dobry, ale nebude to hned. A v prvni vlne bude hlavne
    to papirovani. V druhy vlne se musime zbavit nedostacujiciho
    OpenVZ, vpsAdminOS ma podstatne lip ovladatelnejsi
    bezpecnostni politiku - a je odspoda nahoru cely podepsany a
    verifikovatelny.

    /snajpa

        On 30 Jan 2018, at 23:41, Jaroslav Skrivan
        <skrivy@skrivy.net <mailto:skrivy@skrivy.net>> wrote:

        Jenom moje osobni zkusenost - odnest si cizi disky z
        datacentra neni zas takovy problem, jak se na prvni pohled
        muze zdat.
        From: Pavel Snajdr
        Sent: ‎1/‎30/‎2018 10:49 PM
        To: vpsFree.cz Community list
        Subject: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR

        Ahoj,

        GDPR je, pokud to dobre chapu, totalni nesmysl, z kteryho
        jsou vsichni vyjukani uplne, ale naprosto totalne zbytecne.

        Podivej se, co bezime za procesory.

        Jak ma nekdo neco v takovym stavu vubec industry-wide za
        neco rucit?

        Za mne je GDPR o tom a pouze o tom, ze musime podepsat
        papir s lidmi, co maji admin pristupy, aby acknuli
        oficialne svoji zodpovednost.

        V seznamu clenu uz ted mame jenom nejnutnejsi udaje (podle
        posledni zkusenosti s PCR a PSR jim k identifikaci ani to
        nemusi stacit...).

        Ve stanovach mame zakotvenou ochranu dat clenu uz od

zacatku.

...

...

        Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi,
        jakou ma zodpovednost, best practices v ohledu bezpecnosti
        davno sleduje.

        A kdyz si nekdo mysli, ze Vsechno Zasifrovat(tm) to
        vyresi, tak se rovnou zeptam - a borci, jak se k tomu asi
        programy na ty masine dostanou? Hint: stejne musi byt data
        odemcena pri behu. A ze se k nim neco dostane za behu je
        mnoooohem pravdepodobnejsi, nez ze nam z hlidanyho
        datacentra nekdo ukradne disky a vycte si neco offline.

        Tedy, muj nazor je, ze vubec neni potreba panikarit a
        natoz se uchylovat k reseni stylem ‘radsi to na vpsFree
        nedam vubec’. To ty servery muzeme rovnou vypnout totiz -
        a cely to zabalit s tim, ze jsme se nechali prevalcovat
        byrokratama.

        /snajpa
        (Pavel Snajdr)
        (Predseda vpsFree.cz)
        (+420 720 107 791 <tel:+420%20720%20107%20791>)

            On 30 Jan 2018, at 22:10, Lukáš Jelínek - AIKEN
            <lukas@aiken.cz <mailto:lukas@aiken.cz>> wrote:

            Ahoj,

            pokud si vzpomínám, tak něco podobného už se řešilo na
            valné hromadě
            (byť ještě nebylo nařízení GDPR). A situace je v
            podstatě taková, že to
            asi příliš řešit nelze, protože by to pro spolek
            znamenalo velkou
            administrativní zátěž a značný nárůst nákladů.

            Čili asi nejčistším řešením v tuto chvíli je,
            nevyužívat servery
            vpsFree.cz k ukládání osobních údajů - přinejmenším do
            doby, než se
            všechny záležitosti vyřeší (a než vůbec vznikne nějaký
            závazný výklad
            různých ustanovení směrnice).

            Lukáš Jelínek



                Ahoj ve spolek!

                Datum 25.5.2018, kdy nám vstupuje v účinnost GDPR
                se pomalu ale jistě
                blíží. Bohužel jsem byl, ač neprávník do této
                problematiky trochu
                zatlačen a byly na mě již vzneseny dotazy týkající
                se GDPR a vpsFree.

                Myslím, si, že je nás více, kteří na VPS máme
                uloženy nějaké ty osobní
                údaje (adresy, emaily, apod.) a skoro všichni máme
                nějaký ten
                webserver, kde se logují IP adresy, které jsou
                rovněž považovány za
                osobní údaje. Díky tomu jsme z pohledu GDPR
                považování za správce
                osobních údajů. Podle článku 4 GDPR se zpracovaním
                osobních údajů
                rozumí také ukládání osobních údajů. Z toho plyne,
                že jakýkoliv
                poskytovatel cloudových služeb, hostingu, VPS,
                atd. je vůči správci v
                postavení zpracovatele osobních údajů. Článek 28
                GDPR potom řeší vztah
                zpracovatele a správce, kde mj. požaduje nějaký
                smluvní vztah mezi
                nimi. Když to převedu na protředí vpsFree tak
                členové jsou v podstatě
                správci osobních údajů a vpsFree je zpracovatelem
                osobních údajů.

                Můj dotaz zní, zda a jak bylo nebo bude GDPR
                řešeno na úrovní vpsFree?
                V podstatě asi jde o to, aby bylo v případě
                kontroly z UOOÚ možno
                něčím nebo nějak prokázat, že vpsFree je v souladu
                s GDPR a taky
                garantuje, že data nebudou uložena mimo EU. Věřím,
                že v našich řadách
                jsou kompetentnější členové v této věci jako já a
                tak bých rád otevřel
                diskusi.

                Honza.


            _________________________________________________
            Community-list mailing list
            Community-list@lists.vpsfree.cz
            <mailto:Community-list@lists.vpsfree.cz>
            http://lists.vpsfree.cz/listinfo/community-list
            <http://lists.vpsfree.cz/listinfo/community-list>


        _________________________________________________
        Community-list mailing list
        Community-list@lists.vpsfree.cz
        <mailto:Community-list@lists.vpsfree.cz>
        http://lists.vpsfree.cz/listinfo/community-list
        <http://lists.vpsfree.cz/listinfo/community-list>
        _________________________________________________
        Community-list mailing list
        Community-list@lists.vpsfree.cz
        <mailto:Community-list@lists.vpsfree.cz>
        http://lists.vpsfree.cz/listinfo/community-list
        <http://lists.vpsfree.cz/listinfo/community-list>




    _________________________________________________
    Community-list mailing list
    Community-list@lists.vpsfree.cz
    <mailto:Community-list@lists.vpsfree.cz>
    http://lists.vpsfree.cz/listinfo/community-list
    <http://lists.vpsfree.cz/listinfo/community-list>

_________________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
<mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list
<http://lists.vpsfree.cz/listinfo/community-list>

_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz <mailto:

Community-list@lists.vpsfree.cz>

...

http://lists.vpsfree.cz/listinfo/community-list
<http://lists.vpsfree.cz/listinfo/community-list>

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

-- Ing. Jan Dvorak

---

Ing. Jan Dvorak Fischerova 690/23 779 00 Olomouc, Nove Sady Czech Republic

---

Tel: +420-603 444 240 E-mail: jan.dvorak@dvorak-sw.com Web: http://www.dvorak-sw.com

---

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

Ahoj!

Nestavěl bych to tak, že spolek by měl dokazovat. Může dojít k takovéto situaci. Někdo hackne VPS na vpsFree, a uniknou osobní údaje. Majitel hacknutého VPS má do 72 hodin povinnost nahlásit bezpečnostní incident na UOOÚ. Může dojít k šetření a v rámci něj se zjistí, že majitel VPS nemá zpracovatelskou smlouvu se spolkem. Případná pokuta jde za majitelem VPS ale úřad může jít i na spolek na základě čeho jsou zpracovávány na jeho infrastruktuře osobní údaje. Na základě ničeho? V tom případě je spolek správce a má problém a případnou pokutu může dostat i on. Tím teda neříkám, že v reálu to musí nastat nutně takhle.

Honza.

Dne 31.1.2018 v 21:13 Stepan Liska napsal(a):

Ahoj,

jestli tomu rozumím dobře, tak je to vlastně obráceně než jsme si dosud mysleli? Tj. sdružení by mělo dokazovat, že má smlouvu se svými členy, že oni jsou GDPR-compliant a ne naopak?

Z toho mi tak trochu plyne, že když mám na VPS nainstalovaný ISPConfig a v něm pár webů svých klientů, tak bych měl mít také já s nimi smlouvu, že jejich weby jsou GDPR-compliant? Tzn. já jsem zodpovědný za své zákazníky co u mě provozují a sdružení je zodpovědné za to, že jeho členové jsou zodpovědní? A tzn. musí existovat transitivní uzávěr smluv o GDPR-compliancy na kohokoliv kdo se otře o servery vpsFree? Ufff.

BTW - jak se dá dokázat, že něco neporušuji? To je přece prolomení principu presumpce neviny, není-liž pravda? Není to napadnutelné přes listinu základních práv a svobod? Nebo přes ústavu? Rozumíte tomu někdo?

Díky, Š. Dne 31.1.2018 v 20:46 Ing. Jan Dvořák napsal(a):

...

Ahoj!

IMHO to co je ve stanovách rozhodně stačit nebude. Nechci teď řešit členskou evidenci, apod. To je další věc k řešení, ale teď začnu trochu ze široka. Poskytování VPS je služba IaaS (infrastruktura jako služba). vpsFree, jako ten kdo tuto službu poskytuje je dle GDPR zpracovatelem osobních údajů. To jestli má přístup k osobním údajům členů na VPS nebo ne není rozhodující. Pokud vpsFree nebude mít smluvní ujednání se správci (členy) tak může být považován přímo za správce sám. Toto vše je novinka GDPR. Doposud se na tyto zpracovatele legislativa v oblasti osobních údajů nevztahovala nebo se dala obejít.

Takže vpsFree má IMHO dvě možnosti. Buď jasně deklaruje, že poskytnutá VPS jsou pouze pro osobní potřebu a zakáže členům zpracovávat na VPS jakékoliv osobní údaje. Tím pádem nebude muset řešit žádné GDPR, což ale bude znamenat odchod členů, na které se GDPR vztahuje. Nebo bude muset s každým členem, který bude na VPS zpracovávat osobní údaje uzavřít zpracovatelskou smlouvu. GDPR poměrně jasně stanovuje co taková smlouva má obsahovat a tak jen heslovitě:

• předmět a trvání zpracování
• povaha a účel zpracování
• typ osobních údajů a kategorii subjektů údajů
• povinnosti a práva správce
• povinnosti zpracovatele (zpracování osobní údajů jen na základě

dokumentovaných pokynů správce, zajistit důvěrnost, přijmout vhodná bezpečnostní opatření) Co z toho by se vztahovalo na smlouvu mezi vpsFree a členem, to je otázka na právníka. Dokázal bych si představit, že členové s takovou smlouvou by mohli mít třeba o něco vyšší členský poplatek, aby se pokryly vícenáklady

Termín účinnosti se pomalu ale jistě blíží. Ve firmách se provádí různé audity a je třeba aby vpsFree co nejdříve jasně deklarovalo jak se ke GDPR postaví, aby Ti členové, kterých se to týká (bohužel jsem to i já) se mohli zařídit.

Tento problém budou řešit všichni poskytovatelé hostingu, VPS, cloudových služeb. V ČR je situace zatím tristní, zatím toto nikdo neřešil, jedině FORPSI, co jsem viděl se k tomu zatím nějak postavili. Co jsem tak sondoval v zahraničí tak úplně připraveny jsou jen ti největší (Microsoft, Amazon, apod.) a ti menší se postupně připravují. Nicméně ke změnám v Service Agreementech v souvislosti s GDPR určitě bude docházet.

Je třeba si taky říct, že s GDPR také přichází jedna zásadní změna. Doposud porušení zákona správcem musel prokazovat úřad, ale s GDPR je to naopak. Správce je ten, který musí prokazovat, že nic neporušil.

A malá poznámka na závěr, jak zaznělo na jednom semináři. Největším rizikem GDPR není vlastní nařízení, úřady, kontroly, pokuty apod. Největším rizikem jsou lidé. Díky mediální masáži a bublině se může objevit spoustu trollů, kteří díky GDPR dostanou do ruky jednoduchou možnost škodit.

Honza.

Dne 31.1.2018 v 08:12 zd nex napsal(a):

...

Ahojte,

také si tu směrnici vykládám tak, že každý člen musí za data na VPS zodpovídat sám (mít pověřenou osobu, která s tím pracuje + papír, že je o tom seznámená.) Co se týče dat na VPSFree, tak tam půjde primárně o to, jestli stačí to co je ve stanovách - či jestli nějak bude také potřeba tedy domluvit (sepsat smlouvu) mezi členem(jeho daty) a vpsfree nějak odděleně, nebo bude pouze stačit, aby to bylo ve stanovách - že jsou zde admini a následně jednotlivý členové co pracují s VPS(kteří jsou zodpovědní za data)? Tzn tím pádem, by nemělo být nutné nic měnit, kromě té specifikace - kdo a jaký má přístup k VPS a jakou zodpovědnost (plnou).

-- S pozdravem,

Zdeněk Dlauhý

Email:support@pripravto.cz mailto:support@pripravto.cz Mobil: +420 702 549 370 Web: www.pripravto.cz http://www.pripravto.cz

Dne 31. ledna 2018 6:21 Petr Juhaňák <petr@juhanak.cz mailto:petr@juhanak.cz> napsal(a):

Je to tak jak rika Jirka.

VpsFree si udela samo datovy audit z hlediska osobnich udaju ktere     eviduje o clenech a sepise si na papir kde a v jakem rozsahu jsou a     hlavne zadokumentuje jaka opatreni uz ma (procesy a technicka     nastaveni) aby to vypadalo jako rizena prace s riziky. Pak pravni     dokumenty typu informovane souhlasy.

To same si udelaji clenove ale v jinem ramci, uz na urovni jejich     provozovane technologie php eshopy a podobne a zase seznam opatreni,     proces kdyz nekdo odvola souhlas se zpracovanim, seznam opatreni.

To jsou veci ktere si kazdy muze pripravit uz ted.

Predstava, ze vpdfree je tu od toho aby zajistila soulad s gdpr je     mylna. To si musi zajistit kazdy clen sam, tj. nemluvim o technickem     svete.

S pozdravem     Petr Juhaňák

petr@juhanak.cz mailto:petr@juhanak.cz | +420 739 639 132     tel:+420%20739%20639%20132

-------- Původní zpráva --------     Od: Jindřich Sadílek <jindrich.sadilek@gmail.com mailto:jindrich.sadilek@gmail.com>     Datum: 31.01.18 1:41 (GMT+01:00)     Komu: community-list@lists.vpsfree.cz mailto:community-list@lists.vpsfree.cz     Předmět: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR

Jedna věc je, co si musí pořešit VPSfree jako organizace, zcela jiná     pak jendotliví správci vlastních žiletek.

Provozujete nějaký jednoduchý eshop, máte uživatelské registrace a     pošlete semtam email, natož považovatelný za reklamní? Jste v tom až     po uši...

Dne St, 31. leden 2018 v 00:30 h uživatel Jirka Bourek napsal:

...

Problém je, že tohle všechno řeší technické věci, které udělat chceš,     ale neřeší to chybějící papíry, které potřebuješ pro úřad.

Jasně, v oboru "no tak nám procesory trochu leakujou paměť, hlavně že     jsem náhodou včas prodal akcie" nějakou skutečnou ochranu osobních     údajů     v podstatě řešit nejde. Jenže to úředníky z EU nezajímá - ti vymysleli     směrnici na ochranu osobních údajů, takže se osobní údaje chrání tak,     jak nařizuje směrnice. Až přijde kontrola, argumentace "dyť je to     nesmysl!" nic nezachrání.

Takže správce potřebuje se zpracovatelem mít smlouvu nebo jiný právní     akt. Pokud je právním aktem - dostatečným pro úřad - členství v     vpsfree,     tak je asi všechno v poho.     (http://www.privacy-regulation.eu/cs/28.htm http://www.privacy-regulation.eu/cs/28.htm)     Pokud ne, tak je problém.

Jinak teda

> Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi, jakou ma     zodpovednost, best practices v ohledu bezpecnosti davno sleduje.

Co když to neví, nebo na to dlabe? :-)

Pavel Snajdr wrote:

Stejne jako oskenovat, co ti tam bezi a dostat se ti tam bez         zvednuti my pohodlny zadele, obzvlast pokud jedes nejakou         PHPkovinu a data, ktery by bylo potreba chranit, jsou primo v         DB, kam ty PHP spagety vidi.

A co ted s tim, vypneme to vsehno? ;)

Chci tim rict, ze panikrit IMHO neni na miste a kdyz se nad         tim clovek zamysli, zasifrovat vsechno taky neni reseni.

Jinak ja jsem za GDPR rad, mam vymluvu, proc si sebou budu         nosit klicenku s trhavinou na flashkach, mame vymluvu, proc         plosne nasadit sifrovani, proc se nam nepujde dostat do racku         neautorizovane, aniz by to neodmazlo klice a neshodilo vsehno         chraneny (tj. abys nam fakt nechtel otevrit ten rack).

Ne ze by GDPR neco resilo, ale dava van super vymluvu, jak         muzem nase systemy postupne posouvat vic smerem plausible         deniability, tj. soukromi je level jedna, level nuda, ale co         nam to umozni je ochranit i adminy pred tim, aby vedeli, co         clen bezi.

Neumel jsem si bez GDPR predstavit, jak zvysovat zabezpeceni         bez toho, aby to vypadalo, jako kdyz se chystame hostovat tunu         detskyho porna a lokalni pobocku CIA. Jenom to nebude vsehno         hned - a nektery levely zabezpeceni na sharovanym hardwaru ani         nepujde udelat.

Chci:

- sifrovani v ZoL         - aby clen mel moznost klic per dataset neulozit, ale zadat si         ho sam pres bezpecny kanal (ssh/https api call)         - monitoring otevreni racku co bez nahlaseni predem donuti         masiny smazat klice z RAM

Ale tohle je furt malo, pokud admini nemaji vedet, co clen         bezi. Ani fullvirt ani se sifrovanou RAM na AMD nam nepomuze,         takze resim, jak zahostovat single board desky pro cleny,         kteri chteji mit moznost nejcitlivejsi data mit fakt soukrome.

Ve finale:

- budes mit moznost data na VPS sifrovat svymi hesly, ktera se         u nas nebudou ukladat (prusvih je, ze my nemame jak dokazat,         ze jsme to nikde neulozili)

- pri neautorizovanym pristupu do racku se klice smaznou, to         samy pri rebootu/resetu a je pak na tobe zvazit, jestli je OK         data uz odemknout

- budes mit moznost nejcitlivejsi data vysoupnout vedle po         siti na svuj dedikovanej systemek kalibru ARM Cortex A53, do         budoucna RISC-V

Problem nastava, kdyz s adminkem pujde do datacentra nekdo         sebedulezitejsi, nez GDRP byrokrat s kulometem u palice, pak         admin nema moznost ani nejak kliknout smazani klicu, nebo         aspon nejakej counter na webu ve smyslu kanarka, ktery bude         pocitat pocet podobnych incidentu.

Shared computing ma svoje limity, bohuzel, jestli sledujes,         kam tim mirim.

GDPR podle mne vyzaduje nutne jenom nejaky papirovani, ale do         budoucna nam dava zaminku jit na to vic z husta, co se         soukromi tyce.

Muze nam pak nekdo nadavat, ze delame hosting detskyho porna a         teroristum, kdyz mame racky obehnany pomalu ziletkovym dratem?         Nemuze, at si stezuje v Bruselu.

Za mne dobry, ale nebude to hned. A v prvni vlne bude hlavne         to papirovani. V druhy vlne se musime zbavit nedostacujiciho         OpenVZ, vpsAdminOS ma podstatne lip ovladatelnejsi         bezpecnostni politiku - a je odspoda nahoru cely podepsany a         verifikovatelny.

/snajpa

On 30 Jan 2018, at 23:41, Jaroslav Skrivan             <skrivy@skrivy.net mailto:skrivy@skrivy.net> wrote:

Jenom moje osobni zkusenost - odnest si cizi disky z             datacentra neni zas takovy problem, jak se na prvni pohled             muze zdat.             From: Pavel Snajdr             Sent: ‎1/‎30/‎2018 10:49 PM             To: vpsFree.cz Community list             Subject: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR

Ahoj,

GDPR je, pokud to dobre chapu, totalni nesmysl, z kteryho             jsou vsichni vyjukani uplne, ale naprosto totalne zbytecne.

Podivej se, co bezime za procesory.

Jak ma nekdo neco v takovym stavu vubec industry-wide za             neco rucit?

Za mne je GDPR o tom a pouze o tom, ze musime podepsat             papir s lidmi, co maji admin pristupy, aby acknuli             oficialne svoji zodpovednost.

V seznamu clenu uz ted mame jenom nejnutnejsi udaje (podle             posledni zkusenosti s PCR a PSR jim k identifikaci ani to             nemusi stacit...).

Ve stanovach mame zakotvenou ochranu dat clenu uz od zacatku.

Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi,             jakou ma zodpovednost, best practices v ohledu bezpecnosti             davno sleduje.

A kdyz si nekdo mysli, ze Vsechno Zasifrovat(tm) to             vyresi, tak se rovnou zeptam - a borci, jak se k tomu asi             programy na ty masine dostanou? Hint: stejne musi byt data             odemcena pri behu. A ze se k nim neco dostane za behu je             mnoooohem pravdepodobnejsi, nez ze nam z hlidanyho             datacentra nekdo ukradne disky a vycte si neco offline.

Tedy, muj nazor je, ze vubec neni potreba panikarit a             natoz se uchylovat k reseni stylem ‘radsi to na vpsFree             nedam vubec’. To ty servery muzeme rovnou vypnout totiz -             a cely to zabalit s tim, ze jsme se nechali prevalcovat             byrokratama.

/snajpa             (Pavel Snajdr)             (Predseda vpsFree.cz)             (+420 720 107 791 tel:+420%20720%20107%20791)

On 30 Jan 2018, at 22:10, Lukáš Jelínek - AIKEN                 <lukas@aiken.cz mailto:lukas@aiken.cz> wrote:

Ahoj,

pokud si vzpomínám, tak něco podobného už se řešilo na                 valné hromadě                 (byť ještě nebylo nařízení GDPR). A situace je v                 podstatě taková, že to                 asi příliš řešit nelze, protože by to pro spolek                 znamenalo velkou                 administrativní zátěž a značný nárůst nákladů.

Čili asi nejčistším řešením v tuto chvíli je,                 nevyužívat servery                 vpsFree.cz k ukládání osobních údajů - přinejmenším do                 doby, než se                 všechny záležitosti vyřeší (a než vůbec vznikne nějaký                 závazný výklad                 různých ustanovení směrnice).

Lukáš Jelínek

Ahoj ve spolek!

Datum 25.5.2018, kdy nám vstupuje v účinnost GDPR                     se pomalu ale jistě                     blíží. Bohužel jsem byl, ač neprávník do této                     problematiky trochu                     zatlačen a byly na mě již vzneseny dotazy týkající                     se GDPR a vpsFree.

Myslím, si, že je nás více, kteří na VPS máme                     uloženy nějaké ty osobní                     údaje (adresy, emaily, apod.) a skoro všichni máme                     nějaký ten                     webserver, kde se logují IP adresy, které jsou                     rovněž považovány za                     osobní údaje. Díky tomu jsme z pohledu GDPR                     považování za správce                     osobních údajů. Podle článku 4 GDPR se zpracovaním                     osobních údajů                     rozumí také ukládání osobních údajů. Z toho plyne,                     že jakýkoliv                     poskytovatel cloudových služeb, hostingu, VPS,                     atd. je vůči správci v                     postavení zpracovatele osobních údajů. Článek 28                     GDPR potom řeší vztah                     zpracovatele a správce, kde mj. požaduje nějaký                     smluvní vztah mezi                     nimi. Když to převedu na protředí vpsFree tak                     členové jsou v podstatě                     správci osobních údajů a vpsFree je zpracovatelem                     osobních údajů.

Můj dotaz zní, zda a jak bylo nebo bude GDPR                     řešeno na úrovní vpsFree?                     V podstatě asi jde o to, aby bylo v případě                     kontroly z UOOÚ možno                     něčím nebo nějak prokázat, že vpsFree je v souladu                     s GDPR a taky                     garantuje, že data nebudou uložena mimo EU. Věřím,                     že v našich řadách                     jsou kompetentnější členové v této věci jako já a                     tak bých rád otevřel                     diskusi.

Honza.

---

Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list http://lists.vpsfree.cz/listinfo/community-list

_________________________________________________             Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list http://lists.vpsfree.cz/listinfo/community-list             _________________________________________________             Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list http://lists.vpsfree.cz/listinfo/community-list

_________________________________________________         Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list http://lists.vpsfree.cz/listinfo/community-list

_________________________________________________     Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list http://lists.vpsfree.cz/listinfo/community-list

_______________________________________________     Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list http://lists.vpsfree.cz/listinfo/community-list

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

Ahoj,

Vezmu to jen v rychlosti (zkusenosti z moji schuzky s nasima korporatnima pravnikama): - narizeni zna jen dva duvody zpracovani osobnich dat a to zakony duvod a nebo marketingovy souhlas (popsano v regulaci) - v marketingovem souhlasu musi byt spousta sra*cek navic, oproti stavajici 101 - primarni spravce (ten kdo ma ta data) musi vystavit memorandum o tom jak s datama pracuje, nakalada, zpracovava a jake firmy se toho ucasni (klidne i kdyz to bude 1000 firem a musi tento seznam udrzovat aktualni) a musi mit uzavrene smlouvy/memoranda s kazdym kdo je v tom retezci (muj klient jako spravce se mnou jako zpracovatelem a pak ja s vpsFree jako s poskytovatelem sluzby, protoze je to zpracovatel pro me (je to vps, ne metal), ale vpsFree uz nemusi mit tuto smlouvu s Mastrama, protoze nazpracovavaji data vpsFree (tady snad nekecam, neznam vztah mezi vF a M)) - z pohledu regulace je zodpovednost na primarnim spravci a musi delat vse co mu narizuje regulace (v tom narizeni je to dost jasne popsane) - obecny uvod je pak zde: https://www.uoou.cz/zakladni-prirucka-k-gdpr/ds-4744/archiv=0&p1=3938 - clanek ktery se vztahuje na kazdeho clena ai na vpsFree ktery spravuje/zpracovava tato data: http://www.privacy-regulation.eu/cs/28.htm - presumce neviny tady neexistuje, spravce i poskytovatel dokladaji dozorujicimu organu ze splnuji regule - komercni/nekomercni subjekt nehraje zadny vyznam, 20M € jako maximalni sazba v tomto pripade

Takze vpsFree nemusi uzavirat smlouvu s clenama, clen musi uzavrit smlouvu z vpsFree (muze to mit i jiny format, proaktivni memorandum od vpsFree ktere bude splnovat nalezitosti regulace se da chapat jako smluvni zavazek a zaplacenim clenskeho pozadavku i vyjadrenim souhlasu/uzavrenim smlouvy).

Snad sem to alespon trosku objasnil

Ivan

st 31. 1. 2018 v 21:14 odesílatel Stepan Liska stepan@comlinks.cz napsal:

Ahoj,

jestli tomu rozumím dobře, tak je to vlastně obráceně než jsme si dosud mysleli? Tj. sdružení by mělo dokazovat, že má smlouvu se svými členy, že oni jsou GDPR-compliant a ne naopak?

Z toho mi tak trochu plyne, že když mám na VPS nainstalovaný ISPConfig a v něm pár webů svých klientů, tak bych měl mít také já s nimi smlouvu, že jejich weby jsou GDPR-compliant? Tzn. já jsem zodpovědný za své zákazníky co u mě provozují a sdružení je zodpovědné za to, že jeho členové jsou zodpovědní? A tzn. musí existovat transitivní uzávěr smluv o GDPR-compliancy na kohokoliv kdo se otře o servery vpsFree? Ufff.

BTW - jak se dá dokázat, že něco neporušuji? To je přece prolomení principu presumpce neviny, není-liž pravda? Není to napadnutelné přes listinu základních práv a svobod? Nebo přes ústavu? Rozumíte tomu někdo?

Díky, Š.

Dne 31.1.2018 v 20:46 Ing. Jan Dvořák napsal(a):

Ahoj!

IMHO to co je ve stanovách rozhodně stačit nebude. Nechci teď řešit členskou evidenci, apod. To je další věc k řešení, ale teď začnu trochu ze široka. Poskytování VPS je služba IaaS (infrastruktura jako služba). vpsFree, jako ten kdo tuto službu poskytuje je dle GDPR zpracovatelem osobních údajů. To jestli má přístup k osobním údajům členů na VPS nebo ne není rozhodující. Pokud vpsFree nebude mít smluvní ujednání se správci (členy) tak může být považován přímo za správce sám. Toto vše je novinka GDPR. Doposud se na tyto zpracovatele legislativa v oblasti osobních údajů nevztahovala nebo se dala obejít.

Takže vpsFree má IMHO dvě možnosti. Buď jasně deklaruje, že poskytnutá VPS jsou pouze pro osobní potřebu a zakáže členům zpracovávat na VPS jakékoliv osobní údaje. Tím pádem nebude muset řešit žádné GDPR, což ale bude znamenat odchod členů, na které se GDPR vztahuje. Nebo bude muset s každým členem, který bude na VPS zpracovávat osobní údaje uzavřít zpracovatelskou smlouvu. GDPR poměrně jasně stanovuje co taková smlouva má obsahovat a tak jen heslovitě:

• předmět a trvání zpracování
• povaha a účel zpracování
• typ osobních údajů a kategorii subjektů údajů
• povinnosti a práva správce
• povinnosti zpracovatele (zpracování osobní údajů jen na základě

dokumentovaných pokynů správce, zajistit důvěrnost, přijmout vhodná bezpečnostní opatření) Co z toho by se vztahovalo na smlouvu mezi vpsFree a členem, to je otázka na právníka. Dokázal bych si představit, že členové s takovou smlouvou by mohli mít třeba o něco vyšší členský poplatek, aby se pokryly vícenáklady

Termín účinnosti se pomalu ale jistě blíží. Ve firmách se provádí různé audity a je třeba aby vpsFree co nejdříve jasně deklarovalo jak se ke GDPR postaví, aby Ti členové, kterých se to týká (bohužel jsem to i já) se mohli zařídit.

Tento problém budou řešit všichni poskytovatelé hostingu, VPS, cloudových služeb. V ČR je situace zatím tristní, zatím toto nikdo neřešil, jedině FORPSI, co jsem viděl se k tomu zatím nějak postavili. Co jsem tak sondoval v zahraničí tak úplně připraveny jsou jen ti největší (Microsoft, Amazon, apod.) a ti menší se postupně připravují. Nicméně ke změnám v Service Agreementech v souvislosti s GDPR určitě bude docházet.

Je třeba si taky říct, že s GDPR také přichází jedna zásadní změna. Doposud porušení zákona správcem musel prokazovat úřad, ale s GDPR je to naopak. Správce je ten, který musí prokazovat, že nic neporušil.

A malá poznámka na závěr, jak zaznělo na jednom semináři. Největším rizikem GDPR není vlastní nařízení, úřady, kontroly, pokuty apod. Největším rizikem jsou lidé. Díky mediální masáži a bublině se může objevit spoustu trollů, kteří díky GDPR dostanou do ruky jednoduchou možnost škodit.

Honza.

Dne 31.1.2018 v 08:12 zd nex napsal(a):

Ahojte,

také si tu směrnici vykládám tak, že každý člen musí za data na VPS zodpovídat sám (mít pověřenou osobu, která s tím pracuje + papír, že je o tom seznámená.) Co se týče dat na VPSFree, tak tam půjde primárně o to, jestli stačí to co je ve stanovách - či jestli nějak bude také potřeba tedy domluvit (sepsat smlouvu) mezi členem(jeho daty) a vpsfree nějak odděleně, nebo bude pouze stačit, aby to bylo ve stanovách - že jsou zde admini a následně jednotlivý členové co pracují s VPS(kteří jsou zodpovědní za data)? Tzn tím pádem, by nemělo být nutné nic měnit, kromě té specifikace - kdo a jaký má přístup k VPS a jakou zodpovědnost (plnou).

-- S pozdravem,

Zdeněk Dlauhý

Email:support@pripravto.cz mailto:support@pripravto.cz support@pripravto.cz Mobil: +420 702 549 370 Web: www.pripravto.cz http://www.pripravto.cz http://www.pripravto.cz

Dne 31. ledna 2018 6:21 Petr Juhaňák <petr@juhanak.cz mailto:petr@juhanak.cz petr@juhanak.cz> napsal(a):

Je to tak jak rika Jirka.

VpsFree si udela samo datovy audit z hlediska osobnich udaju ktere
eviduje o clenech a sepise si na papir kde a v jakem rozsahu jsou a
hlavne zadokumentuje jaka opatreni uz ma (procesy a technicka
nastaveni) aby to vypadalo jako rizena prace s riziky. Pak pravni
dokumenty typu informovane souhlasy.

To same si udelaji clenove ale v jinem ramci, uz na urovni jejich
provozovane technologie php eshopy a podobne a zase seznam opatreni,
proces kdyz nekdo odvola souhlas se zpracovanim, seznam opatreni.

To jsou veci ktere si kazdy muze pripravit uz ted.

Predstava, ze vpdfree je tu od toho aby zajistila soulad s gdpr je
mylna. To si musi zajistit kazdy clen sam, tj. nemluvim o technickem
svete.



S pozdravem
Petr Juhaňák

petr@juhanak.cz <mailto:petr@juhanak.cz> <petr@juhanak.cz> | +420 739

639 132 tel:+420%20739%20639%20132

-------- Původní zpráva --------
Od: Jindřich Sadílek <jindrich.sadilek@gmail.com
<mailto:jindrich.sadilek@gmail.com> <jindrich.sadilek@gmail.com>>
Datum: 31.01.18 1:41 (GMT+01:00)
Komu: community-list@lists.vpsfree.cz
<mailto:community-list@lists.vpsfree.cz>

community-list@lists.vpsfree.cz Předmět: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR

Jedna věc je, co si musí pořešit VPSfree jako organizace, zcela jiná
pak jendotliví správci vlastních žiletek.

Provozujete nějaký jednoduchý eshop, máte uživatelské registrace a
pošlete semtam email, natož považovatelný za reklamní? Jste v tom až
po uši...


Dne St, 31. leden 2018 v 00:30 h uživatel Jirka Bourek napsal:

Problém je, že tohle všechno řeší technické věci, které udělat chceš,
ale neřeší to chybějící papíry, které potřebuješ pro úřad.

Jasně, v oboru "no tak nám procesory trochu leakujou paměť, hlavně že
jsem náhodou včas prodal akcie" nějakou skutečnou ochranu osobních
údajů
v podstatě řešit nejde. Jenže to úředníky z EU nezajímá - ti vymysleli
směrnici na ochranu osobních údajů, takže se osobní údaje chrání tak,
jak nařizuje směrnice. Až přijde kontrola, argumentace "dyť je to
nesmysl!" nic nezachrání.

Takže správce potřebuje se zpracovatelem mít smlouvu nebo jiný právní
akt. Pokud je právním aktem - dostatečným pro úřad - členství v
vpsfree,
tak je asi všechno v poho.
(http://www.privacy-regulation.eu/cs/28.htm
<http://www.privacy-regulation.eu/cs/28.htm>

http://www.privacy-regulation.eu/cs/28.htm) Pokud ne, tak je problém.

Jinak teda

> Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi, jakou ma
zodpovednost, best practices v ohledu bezpecnosti davno sleduje.

Co když to neví, nebo na to dlabe? :-)


Pavel Snajdr wrote:

    Stejne jako oskenovat, co ti tam bezi a dostat se ti tam bez
    zvednuti my pohodlny zadele, obzvlast pokud jedes nejakou
    PHPkovinu a data, ktery by bylo potreba chranit, jsou primo v
    DB, kam ty PHP spagety vidi.

    A co ted s tim, vypneme to vsehno? ;)

    Chci tim rict, ze panikrit IMHO neni na miste a kdyz se nad
    tim clovek zamysli, zasifrovat vsechno taky neni reseni.

    Jinak ja jsem za GDPR rad, mam vymluvu, proc si sebou budu
    nosit klicenku s trhavinou na flashkach, mame vymluvu, proc
    plosne nasadit sifrovani, proc se nam nepujde dostat do racku
    neautorizovane, aniz by to neodmazlo klice a neshodilo vsehno
    chraneny (tj. abys nam fakt nechtel otevrit ten rack).

    Ne ze by GDPR neco resilo, ale dava van super vymluvu, jak
    muzem nase systemy postupne posouvat vic smerem plausible
    deniability, tj. soukromi je level jedna, level nuda, ale co
    nam to umozni je ochranit i adminy pred tim, aby vedeli, co
    clen bezi.

    Neumel jsem si bez GDPR predstavit, jak zvysovat zabezpeceni
    bez toho, aby to vypadalo, jako kdyz se chystame hostovat tunu
    detskyho porna a lokalni pobocku CIA. Jenom to nebude vsehno
    hned - a nektery levely zabezpeceni na sharovanym hardwaru ani
    nepujde udelat.

    Chci:

    - sifrovani v ZoL
    - aby clen mel moznost klic per dataset neulozit, ale zadat si
    ho sam pres bezpecny kanal (ssh/https api call)
    - monitoring otevreni racku co bez nahlaseni predem donuti
    masiny smazat klice z RAM

    Ale tohle je furt malo, pokud admini nemaji vedet, co clen
    bezi. Ani fullvirt ani se sifrovanou RAM na AMD nam nepomuze,
    takze resim, jak zahostovat single board desky pro cleny,
    kteri chteji mit moznost nejcitlivejsi data mit fakt soukrome.

    Ve finale:

    - budes mit moznost data na VPS sifrovat svymi hesly, ktera se
    u nas nebudou ukladat (prusvih je, ze my nemame jak dokazat,
    ze jsme to nikde neulozili)

    - pri neautorizovanym pristupu do racku se klice smaznou, to
    samy pri rebootu/resetu a je pak na tobe zvazit, jestli je OK
    data uz odemknout

    - budes mit moznost nejcitlivejsi data vysoupnout vedle po
    siti na svuj dedikovanej systemek kalibru ARM Cortex A53, do
    budoucna RISC-V

    Problem nastava, kdyz s adminkem pujde do datacentra nekdo
    sebedulezitejsi, nez GDRP byrokrat s kulometem u palice, pak
    admin nema moznost ani nejak kliknout smazani klicu, nebo
    aspon nejakej counter na webu ve smyslu kanarka, ktery bude
    pocitat pocet podobnych incidentu.

    Shared computing ma svoje limity, bohuzel, jestli sledujes,
    kam tim mirim.

    GDPR podle mne vyzaduje nutne jenom nejaky papirovani, ale do
    budoucna nam dava zaminku jit na to vic z husta, co se
    soukromi tyce.

    Muze nam pak nekdo nadavat, ze delame hosting detskyho porna a
    teroristum, kdyz mame racky obehnany pomalu ziletkovym dratem?
    Nemuze, at si stezuje v Bruselu.

    Za mne dobry, ale nebude to hned. A v prvni vlne bude hlavne
    to papirovani. V druhy vlne se musime zbavit nedostacujiciho
    OpenVZ, vpsAdminOS ma podstatne lip ovladatelnejsi
    bezpecnostni politiku - a je odspoda nahoru cely podepsany a
    verifikovatelny.

    /snajpa

        On 30 Jan 2018, at 23:41, Jaroslav Skrivan
        <skrivy@skrivy.net <mailto:skrivy@skrivy.net>

skrivy@skrivy.net> wrote:

        Jenom moje osobni zkusenost - odnest si cizi disky z
        datacentra neni zas takovy problem, jak se na prvni pohled
        muze zdat.
        From: Pavel Snajdr
        Sent: ‎1/‎30/‎2018 10:49 PM
        To: vpsFree.cz Community list
        Subject: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR

        Ahoj,

        GDPR je, pokud to dobre chapu, totalni nesmysl, z kteryho
        jsou vsichni vyjukani uplne, ale naprosto totalne zbytecne.

        Podivej se, co bezime za procesory.

        Jak ma nekdo neco v takovym stavu vubec industry-wide za
        neco rucit?

        Za mne je GDPR o tom a pouze o tom, ze musime podepsat
        papir s lidmi, co maji admin pristupy, aby acknuli
        oficialne svoji zodpovednost.

        V seznamu clenu uz ted mame jenom nejnutnejsi udaje (podle
        posledni zkusenosti s PCR a PSR jim k identifikaci ani to
        nemusi stacit...).

        Ve stanovach mame zakotvenou ochranu dat clenu uz od zacatku.

        Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi,
        jakou ma zodpovednost, best practices v ohledu bezpecnosti
        davno sleduje.

        A kdyz si nekdo mysli, ze Vsechno Zasifrovat(tm) to
        vyresi, tak se rovnou zeptam - a borci, jak se k tomu asi
        programy na ty masine dostanou? Hint: stejne musi byt data
        odemcena pri behu. A ze se k nim neco dostane za behu je
        mnoooohem pravdepodobnejsi, nez ze nam z hlidanyho
        datacentra nekdo ukradne disky a vycte si neco offline.

        Tedy, muj nazor je, ze vubec neni potreba panikarit a
        natoz se uchylovat k reseni stylem ‘radsi to na vpsFree
        nedam vubec’. To ty servery muzeme rovnou vypnout totiz -
        a cely to zabalit s tim, ze jsme se nechali prevalcovat
        byrokratama.

        /snajpa
        (Pavel Snajdr)
        (Predseda vpsFree.cz)
        (+420 720 107 791 <tel:+420%20720%20107%20791>)

            On 30 Jan 2018, at 22:10, Lukáš Jelínek - AIKEN
            <lukas@aiken.cz <mailto:lukas@aiken.cz> <lukas@aiken.cz>>

wrote:

            Ahoj,

            pokud si vzpomínám, tak něco podobného už se řešilo na
            valné hromadě
            (byť ještě nebylo nařízení GDPR). A situace je v
            podstatě taková, že to
            asi příliš řešit nelze, protože by to pro spolek
            znamenalo velkou
            administrativní zátěž a značný nárůst nákladů.

            Čili asi nejčistším řešením v tuto chvíli je,
            nevyužívat servery
            vpsFree.cz k ukládání osobních údajů - přinejmenším do
            doby, než se
            všechny záležitosti vyřeší (a než vůbec vznikne nějaký
            závazný výklad
            různých ustanovení směrnice).

            Lukáš Jelínek



                Ahoj ve spolek!

                Datum 25.5.2018, kdy nám vstupuje v účinnost GDPR
                se pomalu ale jistě
                blíží. Bohužel jsem byl, ač neprávník do této
                problematiky trochu
                zatlačen a byly na mě již vzneseny dotazy týkající
                se GDPR a vpsFree.

                Myslím, si, že je nás více, kteří na VPS máme
                uloženy nějaké ty osobní
                údaje (adresy, emaily, apod.) a skoro všichni máme
                nějaký ten
                webserver, kde se logují IP adresy, které jsou
                rovněž považovány za
                osobní údaje. Díky tomu jsme z pohledu GDPR
                považování za správce
                osobních údajů. Podle článku 4 GDPR se zpracovaním
                osobních údajů
                rozumí také ukládání osobních údajů. Z toho plyne,
                že jakýkoliv
                poskytovatel cloudových služeb, hostingu, VPS,
                atd. je vůči správci v
                postavení zpracovatele osobních údajů. Článek 28
                GDPR potom řeší vztah
                zpracovatele a správce, kde mj. požaduje nějaký
                smluvní vztah mezi
                nimi. Když to převedu na protředí vpsFree tak
                členové jsou v podstatě
                správci osobních údajů a vpsFree je zpracovatelem
                osobních údajů.

                Můj dotaz zní, zda a jak bylo nebo bude GDPR
                řešeno na úrovní vpsFree?
                V podstatě asi jde o to, aby bylo v případě
                kontroly z UOOÚ možno
                něčím nebo nějak prokázat, že vpsFree je v souladu
                s GDPR a taky
                garantuje, že data nebudou uložena mimo EU. Věřím,
                že v našich řadách
                jsou kompetentnější členové v této věci jako já a
                tak bých rád otevřel
                diskusi.

                Honza.


            _________________________________________________
            Community-list mailing list
            Community-list@lists.vpsfree.cz
            <mailto:Community-list@lists.vpsfree.cz>

Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list http://lists.vpsfree.cz/listinfo/community-list http://lists.vpsfree.cz/listinfo/community-list

        _________________________________________________
        Community-list mailing list
        Community-list@lists.vpsfree.cz
        <mailto:Community-list@lists.vpsfree.cz>

Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list http://lists.vpsfree.cz/listinfo/community-list http://lists.vpsfree.cz/listinfo/community-list _________________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list http://lists.vpsfree.cz/listinfo/community-list http://lists.vpsfree.cz/listinfo/community-list

    _________________________________________________
    Community-list mailing list
    Community-list@lists.vpsfree.cz
    <mailto:Community-list@lists.vpsfree.cz>

Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list http://lists.vpsfree.cz/listinfo/community-list http://lists.vpsfree.cz/listinfo/community-list

_________________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
<mailto:Community-list@lists.vpsfree.cz>

Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list http://lists.vpsfree.cz/listinfo/community-list http://lists.vpsfree.cz/listinfo/community-list

_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz

mailto:Community-list@lists.vpsfree.cz Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list http://lists.vpsfree.cz/listinfo/community-list http://lists.vpsfree.cz/listinfo/community-list

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

Jak to tady sleduji, tak mi připadá, že tu stále uniká jedna věc, kterou považuji za podstatnou:

Servery jsou společným majetkem sdružení. My všichni dohromady tvoříme toto sdružení. Takže si vlastně my sami "naše VPS" provozujeme na "našem hardware". Proto mi připadá jako nesmysl, abychom coby členové sdružení uzavírali nějakou samostatnou smlouvu se sdružením, že si my sami ve své VPS na svém vlastním hardware budeme zpracovávat osobní údaje. To bychom v podstatě uzavírali smlouvu sami se sebou...

Něco jiného je, když člen sdružení bude ve své VPS zpracovávat osobní údaje ať už pro své vlastní účely a nebo pro třetí stranu. To už je pak jeho starost, aby měl podchycené za jakým účelem a na základě čeho tyto údaje zpracovává.

Proto se domnívám, že pro sdružení by mělo být dostačující, když bude vypracovaná interní směrnice, která bude podchycovat jednak zpracovávání evidence členů, zaměstnanců, správců... zkrátka údajů zpracovávaných sdružením jako takovým. Dále pravidla stanovující, kdo jak může nakládat s jakými daty uloženými na "našem hardware". A zároveň také pravidla, jak se mají členové správně chovat při zpracovávání osobních údajů ve svých VPS == že má každý jednotlivě povinnost udržovat si to v souladu s GDPR.

Jaký je váš názor?

Doufám, že to je jak píše Lukáš. Kdyby to bylo jak píše Slávek, tak bychom byli v háji. To bychom stoprocentně všichni ručili za všechny a bylo by nemožné splnit požadavky GDPR.

Š. **  Dne 31.1.2018 v 23:16 Lukáš Jelínek - AIKEN napsal(a):

Spolek je samostatnou právnickou osobou, nezávislou na členech. Hospodaří samostatně, se svým majetkem, členové neručí za jeho závazky. Z hlediska GDPR je situace úplně stejná, jako kdyby se jednalo o dodavatelskou firmu. Musí existovat právní titul, o který se opře vztah člena jakožto správce osobních údajů a spolku jakožto zpracovatele. Může to být smlouva, ale i jiný právně závazný dokument (např. stanovy).

...

Jak to tady sleduji, tak mi připadá, že tu stále uniká jedna věc, kterou považuji za podstatnou:

Servery jsou společným majetkem sdružení. My všichni dohromady tvoříme toto sdružení. Takže si vlastně my sami "naše VPS" provozujeme na "našem hardware". Proto mi připadá jako nesmysl, abychom coby členové sdružení uzavírali nějakou samostatnou smlouvu se sdružením, že si my sami ve své VPS na svém vlastním hardware budeme zpracovávat osobní údaje. To bychom v podstatě uzavírali smlouvu sami se sebou...

Něco jiného je, když člen sdružení bude ve své VPS zpracovávat osobní údaje ať už pro své vlastní účely a nebo pro třetí stranu. To už je pak jeho starost, aby měl podchycené za jakým účelem a na základě čeho tyto údaje zpracovává.

Proto se domnívám, že pro sdružení by mělo být dostačující, když bude vypracovaná interní směrnice, která bude podchycovat jednak zpracovávání evidence členů, zaměstnanců, správců... zkrátka údajů zpracovávaných sdružením jako takovým. Dále pravidla stanovující, kdo jak může nakládat s jakými daty uloženými na "našem hardware". A zároveň také pravidla, jak se mají členové správně chovat při zpracovávání osobních údajů ve svých VPS == že má každý jednotlivě povinnost udržovat si to v souladu s GDPR.

Jaký je váš názor?

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

Neřekl bych, že se až tak lišíme - já uváděl jako onen závazný dokument směrnici (která by byla jednotná pro všechny), Lukáš uvádí stanovy (opět by byly jednotné pro všechny) a nebo jednotlivé smlouvy, Honza uvádí jednotlivé smlouvy.

Rozdíl vidím ve složitosti realizace, jestli by bylo možné vytvořit jeden společný závazný dokument, který by nevyžadoval změnu stanov == směrnici (nestudoval jsem, zda nějaký takový dokument lze schválit v souladu se stanovami), nebo jestli by bylo možné mít jako jeden společný závazný dokument stanovy (kdy by se patrně musely stanovy upravit a schválit), a nebo jestli by se musely řešit jako závazné dokumenty samostatné smlouvy s každým jednotlivým členem.

Ahoj!

Pokusím se odpovědět, ale nejsem právník, ale laik, který do toho byl namočen proti své vůli :)

Osobně si myslím, že nejlepší by byla individuální smlouva s každým členem, která se může odvolávat na stanovy a provozní řády, takže by nemusela být dlouhá. Důvodem je, že v té smlouvě by mělo být konkrétně specifikováno jaká osobní data se budou zpracovávat a jejich kategorie. Možná to jde nějak napsat obecně ale to je otázka na právníka. Ale je i v zájmu spolku vědět, zda a kde na VPS jsou zpracovávana osobní data. Náležitosti zpracovatelské smlouvy jsou v článku 28 odst. 3 GDPR cituji:

3. Zpracování zpracovatelem se řídí smlouvou nebo jiným právním aktem podle práva Unie nebo členského státu, které zavazují zpracovatele vůči správci a v nichž je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce. Tato smlouva nebo jiný právní akt zejména stanoví, že zpracovatel: a) zpracovává osobní údaje pouze na základě doložených pokynů správce, včetně v otázkách předání osobních údajů do třetí země nebo mezinárodní organizaci, pokud mu toto zpracování již neukládají právo Unie nebo členského státu, které se na správce vztahuje; v takovém případě zpracovatel správce informuje o tomto právním požadavku před zpracováním, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu; b) zajišťuje, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti; c) přijme všechna opatření požadovaná podle článku 32; d) dodržuje podmínky pro zapojení dalšího zpracovatele uvedené v odstavcích 2 a 4; e) zohledňuje povahu zpracování, je správci nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů stanovených v kapitole III; f) je správci nápomocen při zajišťování souladu s povinnostmi podle článků 32 až 36, a to při zohlednění povahy zpracování a informací, jež má zpracovatel k dispozici; g) v souladu s rozhodnutím správce všechny osobní údaje buď vymaže, nebo je vrátí správci po ukončení poskytování služeb spojených se zpracováním, a vymaže existující kopie, pokud právo Unie nebo členského státu nepožaduje uložení daných osobních údajů; h) poskytne správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v tomto článku, a umožní audity, včetně inspekcí, prováděné správcem nebo jiným auditorem, kterého správce pověřil, a k těmto auditům přispěje. Pokud jde o první pododstavec písm. h), informuje zpracovatel neprodleně správce v případě, že podle jeho názoru určitý pokyn porušuje toto nařízení nebo jiné předpisy Unie nebo členského státu týkající se ochrany údajů.

Konec citátu

V podstatě jde o obecné věci co kdo kdy a jak. Je tu ještě jedna věc, která nebyla zmíněna.V té smlouvě by se mělo garantovat, že data nebudou umístěna mimo EU.

FORPSI to vyřešilo přihlášením se ke kodexu CISPE, jinak info k tomu zde https://www.forpsicloud.cz/ochrana-dat-v-eu.aspx

Jiný názor než "IMHO" ti řekne pouze právník co se tím zabývá. Toto fakt nelze řešit na koleně pokud nejsi malý e-shopík s 10 objednávkami.

Ještě malá technická, pokud někdo na VPS má weby svých klientů tak analogicky je vůdči nim je taky v postavení zpracovatele a mělo by to být s nimi smluvně ošetřeno.

Honza.

Dne 31.1.2018 v 21:15 Pavel Snajdr napsal(a):

Cauko Honzo,

diky za obsahlou odpoved.

Co mi neni jasny:

musime mit explicitni smlouvu s kazdym clenem, pokud rada spolku proste vyda potreba narizeni/opatreni v ramci soucasnych organizacnich radu spolku?

Tj. proste to bude platit pro vsechny cleny naprosto stejne, ze:

• data jsou na specifikovanych mistech viz dokumentace infrastruktury na

wiki

• k datum maji pristup specifikovane osoby viz dokumentace na wiki
• k datum ma potencialne, ale ne primo ani vyslovne pristup subdodavatel

(Master Internet)

• lidi s pristupem k datum maji pridanou motivaci neskodit pomoci nejake

hmotne zodpovednosti/NDA, kde se specifikuje, za co a proc maji zodpovednost (root access, vpsAdmin-level access).

A vymalovano, plus minus par drobnosti - tak si to jednoduse predstavuju.

Nebo to neni tak jednoduche?

Pokud ne, proc?

Jak konkretne to poresilo FORPSI?

A jinak, kdyby prislo tvrde na tvrde, za co, pekne prosim, muzeme dostat pokutu zrovna my, transparentni organizace, pokud:

• seznam lidi, co maji pristupy, mame uz daavno verejny
• umisteni dat - je verejne od zacatku
• pouzite technologie jsou publikovane od zacatku
• primo ve stanovach mame, ze o citlivych datech ma rada i kontrolni

komise zachovavat mlcenlivost

V cem konkretne nejsme pripraveni, kdyz se teda budem bavit o nejake dokazatelnosti toho, ze nejsme pripraveni, pripadne u soudu?

Za co muzem dostat pokutu, kdyz rizika mame takhle jasne popsana davno, kazdy je (doufam) chape (jako kde jsou masiny, kdo ma pristup, co to znamena bezet na sdilenem HW... co to znamena bezet ve sdilenem datacentrum). Vzdyt to pisem vsude od zacatku, jak co delame.

Prosim, moc pekne prosim, lidi, dejte mi proti tomu neco konkretnejsiho nez "IMHO" nazory motivovane strachem z byrokratu. Nepodelal jsem se zatim z financniho uradu, nepodelam se na svoji zodpovednost ani z GDPR, jenom musim vedet absolutne presne, s cim mam tu cest, abych si to "na svoji hubu" umel obhajit.

Ucetniho jsem pro vpsFree taky hledal podle toho, aby stal za nami, ze to co delame, proste *NENI* podnikani a stojim si za tim a stat budu u soudu, pokud na to nekdy prijde.

Obdobny pristup bych rad praktikoval ohledne GDPR, prosim linkujte relevantni info, proc to neni, jak si myslim, proc si myslim kraviny. Tedy, idealni endgame je ne, ze se nas zpracovani nijak netyka, ale ze co delame, je dostatecne transparentni a je dostatecne dohledatelna zodpovednost uz ted, aniz by bylo v podstate potreba cokoliv menit.

Diky moc za feedback ;)

/snajpa

On 2018-01-31 20:46, Ing. Jan Dvořák wrote:

...

Ahoj!

IMHO to co je ve stanovách rozhodně stačit nebude. Nechci teď řešit členskou evidenci, apod. To je další věc k řešení, ale teď začnu trochu ze široka. Poskytování VPS je služba IaaS (infrastruktura jako služba). vpsFree, jako ten kdo tuto službu poskytuje je dle GDPR zpracovatelem osobních údajů. To jestli má přístup k osobním údajům členů na VPS nebo ne není rozhodující. Pokud vpsFree nebude mít smluvní ujednání se správci (členy) tak může být považován přímo za správce sám. Toto vše je novinka GDPR. Doposud se na tyto zpracovatele legislativa v oblasti osobních údajů nevztahovala nebo se dala obejít.

Takže vpsFree má IMHO dvě možnosti. Buď jasně deklaruje, že poskytnutá VPS jsou pouze pro osobní potřebu a zakáže členům zpracovávat na VPS jakékoliv osobní údaje. Tím pádem nebude muset řešit žádné GDPR, což ale bude znamenat odchod členů, na které se GDPR vztahuje. Nebo bude muset s každým členem, který bude na VPS zpracovávat osobní údaje uzavřít zpracovatelskou smlouvu. GDPR poměrně jasně stanovuje co taková smlouva má obsahovat a tak jen heslovitě:

• předmět a trvání zpracování
• povaha a účel zpracování
• typ osobních údajů a kategorii subjektů údajů
• povinnosti a práva správce
• povinnosti zpracovatele (zpracování osobní údajů jen na základě

dokumentovaných pokynů správce, zajistit důvěrnost, přijmout vhodná bezpečnostní opatření) Co z toho by se vztahovalo na smlouvu mezi vpsFree a členem, to je otázka na právníka. Dokázal bych si představit, že členové s takovou smlouvou by mohli mít třeba o něco vyšší členský poplatek, aby se pokryly vícenáklady

Termín účinnosti se pomalu ale jistě blíží. Ve firmách se provádí různé audity a je třeba aby vpsFree co nejdříve jasně deklarovalo jak se ke GDPR postaví, aby Ti členové, kterých se to týká (bohužel jsem to i já) se mohli zařídit.

Tento problém budou řešit všichni poskytovatelé hostingu, VPS, cloudových služeb. V ČR je situace zatím tristní, zatím toto nikdo neřešil, jedině FORPSI, co jsem viděl se k tomu zatím nějak postavili. Co jsem tak sondoval v zahraničí tak úplně připraveny jsou jen ti největší (Microsoft, Amazon, apod.) a ti menší se postupně připravují. Nicméně ke změnám v Service Agreementech v souvislosti s GDPR určitě bude docházet.

Je třeba si taky říct, že s GDPR také přichází jedna zásadní změna. Doposud porušení zákona správcem musel prokazovat úřad, ale s GDPR je to naopak. Správce je ten, který musí prokazovat, že nic neporušil.

A malá poznámka na závěr, jak zaznělo na jednom semináři. Největším rizikem GDPR není vlastní nařízení, úřady, kontroly, pokuty apod. Největším rizikem jsou lidé. Díky mediální masáži a bublině se může objevit spoustu trollů, kteří díky GDPR dostanou do ruky jednoduchou možnost škodit.

Honza.

Dne 31.1.2018 v 08:12 zd nex napsal(a):

...

Ahojte,

také si tu směrnici vykládám tak, že každý člen musí za data na VPS zodpovídat sám (mít pověřenou osobu, která s tím pracuje + papír, že je o tom seznámená.) Co se týče dat na VPSFree, tak tam půjde primárně o to, jestli stačí to co je ve stanovách - či jestli nějak bude také potřeba tedy domluvit (sepsat smlouvu) mezi členem(jeho daty) a vpsfree nějak odděleně, nebo bude pouze stačit, aby to bylo ve stanovách - že jsou zde admini a následně jednotlivý členové co pracují s VPS(kteří jsou zodpovědní za data)? Tzn tím pádem, by nemělo být nutné nic měnit, kromě té specifikace - kdo a jaký má přístup k VPS a jakou zodpovědnost (plnou).

-- S pozdravem,

Zdeněk Dlauhý

Email:support@pripravto.cz mailto:support@pripravto.cz Mobil: +420 702 549 370 Web: www.pripravto.cz http://www.pripravto.cz

Dne 31. ledna 2018 6:21 Petr Juhaňák <petr@juhanak.cz mailto:petr@juhanak.cz> napsal(a):

Je to tak jak rika Jirka.

VpsFree si udela samo datovy audit z hlediska osobnich udaju ktere     eviduje o clenech a sepise si na papir kde a v jakem rozsahu jsou a     hlavne zadokumentuje jaka opatreni uz ma (procesy a technicka     nastaveni) aby to vypadalo jako rizena prace s riziky. Pak pravni     dokumenty typu informovane souhlasy.

To same si udelaji clenove ale v jinem ramci, uz na urovni jejich     provozovane technologie php eshopy a podobne a zase seznam opatreni,     proces kdyz nekdo odvola souhlas se zpracovanim, seznam opatreni.

To jsou veci ktere si kazdy muze pripravit uz ted.

Predstava, ze vpdfree je tu od toho aby zajistila soulad s gdpr je     mylna. To si musi zajistit kazdy clen sam, tj. nemluvim o technickem     svete.

S pozdravem     Petr Juhaňák

petr@juhanak.cz mailto:petr@juhanak.cz | +420 739 639 132     tel:+420%20739%20639%20132

-------- Původní zpráva --------     Od: Jindřich Sadílek <jindrich.sadilek@gmail.com     mailto:jindrich.sadilek@gmail.com>     Datum: 31.01.18 1:41 (GMT+01:00)     Komu: community-list@lists.vpsfree.cz     mailto:community-list@lists.vpsfree.cz     Předmět: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR

Jedna věc je, co si musí pořešit VPSfree jako organizace, zcela jiná     pak jendotliví správci vlastních žiletek.

Provozujete nějaký jednoduchý eshop, máte uživatelské registrace a     pošlete semtam email, natož považovatelný za reklamní? Jste v tom až     po uši...

Dne St, 31. leden 2018 v 00:30 h uživatel Jirka Bourek napsal:

...

Problém je, že tohle všechno řeší technické věci, které udělat chceš,     ale neřeší to chybějící papíry, které potřebuješ pro úřad.

Jasně, v oboru "no tak nám procesory trochu leakujou paměť, hlavně že     jsem náhodou včas prodal akcie" nějakou skutečnou ochranu osobních     údajů     v podstatě řešit nejde. Jenže to úředníky z EU nezajímá - ti vymysleli     směrnici na ochranu osobních údajů, takže se osobní údaje chrání tak,     jak nařizuje směrnice. Až přijde kontrola, argumentace "dyť je to     nesmysl!" nic nezachrání.

Takže správce potřebuje se zpracovatelem mít smlouvu nebo jiný právní     akt. Pokud je právním aktem - dostatečným pro úřad - členství v     vpsfree,     tak je asi všechno v poho.     (http://www.privacy-regulation.eu/cs/28.htm     http://www.privacy-regulation.eu/cs/28.htm)     Pokud ne, tak je problém.

Jinak teda

> Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi, jakou ma     zodpovednost, best practices v ohledu bezpecnosti davno sleduje.

Co když to neví, nebo na to dlabe? :-)

Pavel Snajdr wrote:

Stejne jako oskenovat, co ti tam bezi a dostat se ti tam bez         zvednuti my pohodlny zadele, obzvlast pokud jedes nejakou         PHPkovinu a data, ktery by bylo potreba chranit, jsou primo v         DB, kam ty PHP spagety vidi.

A co ted s tim, vypneme to vsehno? ;)

Chci tim rict, ze panikrit IMHO neni na miste a kdyz se nad         tim clovek zamysli, zasifrovat vsechno taky neni reseni.

Jinak ja jsem za GDPR rad, mam vymluvu, proc si sebou budu         nosit klicenku s trhavinou na flashkach, mame vymluvu, proc         plosne nasadit sifrovani, proc se nam nepujde dostat do racku         neautorizovane, aniz by to neodmazlo klice a neshodilo vsehno         chraneny (tj. abys nam fakt nechtel otevrit ten rack).

Ne ze by GDPR neco resilo, ale dava van super vymluvu, jak         muzem nase systemy postupne posouvat vic smerem plausible         deniability, tj. soukromi je level jedna, level nuda, ale co         nam to umozni je ochranit i adminy pred tim, aby vedeli, co         clen bezi.

Neumel jsem si bez GDPR predstavit, jak zvysovat zabezpeceni         bez toho, aby to vypadalo, jako kdyz se chystame hostovat tunu         detskyho porna a lokalni pobocku CIA. Jenom to nebude vsehno         hned - a nektery levely zabezpeceni na sharovanym hardwaru ani         nepujde udelat.

Chci:

- sifrovani v ZoL         - aby clen mel moznost klic per dataset neulozit, ale zadat si         ho sam pres bezpecny kanal (ssh/https api call)         - monitoring otevreni racku co bez nahlaseni predem donuti         masiny smazat klice z RAM

Ale tohle je furt malo, pokud admini nemaji vedet, co clen         bezi. Ani fullvirt ani se sifrovanou RAM na AMD nam nepomuze,         takze resim, jak zahostovat single board desky pro cleny,         kteri chteji mit moznost nejcitlivejsi data mit fakt soukrome.

Ve finale:

- budes mit moznost data na VPS sifrovat svymi hesly, ktera se         u nas nebudou ukladat (prusvih je, ze my nemame jak dokazat,         ze jsme to nikde neulozili)

- pri neautorizovanym pristupu do racku se klice smaznou, to         samy pri rebootu/resetu a je pak na tobe zvazit, jestli je OK         data uz odemknout

- budes mit moznost nejcitlivejsi data vysoupnout vedle po         siti na svuj dedikovanej systemek kalibru ARM Cortex A53, do         budoucna RISC-V

Problem nastava, kdyz s adminkem pujde do datacentra nekdo         sebedulezitejsi, nez GDRP byrokrat s kulometem u palice, pak         admin nema moznost ani nejak kliknout smazani klicu, nebo         aspon nejakej counter na webu ve smyslu kanarka, ktery bude         pocitat pocet podobnych incidentu.

Shared computing ma svoje limity, bohuzel, jestli sledujes,         kam tim mirim.

GDPR podle mne vyzaduje nutne jenom nejaky papirovani, ale do         budoucna nam dava zaminku jit na to vic z husta, co se         soukromi tyce.

Muze nam pak nekdo nadavat, ze delame hosting detskyho porna a         teroristum, kdyz mame racky obehnany pomalu ziletkovym dratem?         Nemuze, at si stezuje v Bruselu.

Za mne dobry, ale nebude to hned. A v prvni vlne bude hlavne         to papirovani. V druhy vlne se musime zbavit nedostacujiciho         OpenVZ, vpsAdminOS ma podstatne lip ovladatelnejsi         bezpecnostni politiku - a je odspoda nahoru cely podepsany a         verifikovatelny.

/snajpa

On 30 Jan 2018, at 23:41, Jaroslav Skrivan             <skrivy@skrivy.net mailto:skrivy@skrivy.net> wrote:

Jenom moje osobni zkusenost - odnest si cizi disky z             datacentra neni zas takovy problem, jak se na prvni pohled             muze zdat.             From: Pavel Snajdr             Sent: ‎1/‎30/‎2018 10:49 PM             To: vpsFree.cz Community list             Subject: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR

Ahoj,

GDPR je, pokud to dobre chapu, totalni nesmysl, z kteryho             jsou vsichni vyjukani uplne, ale naprosto totalne zbytecne.

Podivej se, co bezime za procesory.

Jak ma nekdo neco v takovym stavu vubec industry-wide za             neco rucit?

Za mne je GDPR o tom a pouze o tom, ze musime podepsat             papir s lidmi, co maji admin pristupy, aby acknuli             oficialne svoji zodpovednost.

V seznamu clenu uz ted mame jenom nejnutnejsi udaje (podle             posledni zkusenosti s PCR a PSR jim k identifikaci ani to             nemusi stacit...).

Ve stanovach mame zakotvenou ochranu dat clenu uz od zacatku.

Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi,             jakou ma zodpovednost, best practices v ohledu bezpecnosti             davno sleduje.

A kdyz si nekdo mysli, ze Vsechno Zasifrovat(tm) to             vyresi, tak se rovnou zeptam - a borci, jak se k tomu asi             programy na ty masine dostanou? Hint: stejne musi byt data             odemcena pri behu. A ze se k nim neco dostane za behu je             mnoooohem pravdepodobnejsi, nez ze nam z hlidanyho             datacentra nekdo ukradne disky a vycte si neco offline.

Tedy, muj nazor je, ze vubec neni potreba panikarit a             natoz se uchylovat k reseni stylem ‘radsi to na vpsFree             nedam vubec’. To ty servery muzeme rovnou vypnout totiz -             a cely to zabalit s tim, ze jsme se nechali prevalcovat             byrokratama.

/snajpa             (Pavel Snajdr)             (Predseda vpsFree.cz)             (+420 720 107 791 tel:+420%20720%20107%20791)

On 30 Jan 2018, at 22:10, Lukáš Jelínek - AIKEN                 <lukas@aiken.cz mailto:lukas@aiken.cz> wrote:

Ahoj,

pokud si vzpomínám, tak něco podobného už se řešilo na                 valné hromadě                 (byť ještě nebylo nařízení GDPR). A situace je v                 podstatě taková, že to                 asi příliš řešit nelze, protože by to pro spolek                 znamenalo velkou                 administrativní zátěž a značný nárůst nákladů.

Čili asi nejčistším řešením v tuto chvíli je,                 nevyužívat servery                 vpsFree.cz k ukládání osobních údajů - přinejmenším do                 doby, než se                 všechny záležitosti vyřeší (a než vůbec vznikne nějaký                 závazný výklad                 různých ustanovení směrnice).

Lukáš Jelínek

Ahoj ve spolek!

Datum 25.5.2018, kdy nám vstupuje v účinnost GDPR                     se pomalu ale jistě                     blíží. Bohužel jsem byl, ač neprávník do této                     problematiky trochu                     zatlačen a byly na mě již vzneseny dotazy týkající                     se GDPR a vpsFree.

Myslím, si, že je nás více, kteří na VPS máme                     uloženy nějaké ty osobní                     údaje (adresy, emaily, apod.) a skoro všichni máme                     nějaký ten                     webserver, kde se logují IP adresy, které jsou                     rovněž považovány za                     osobní údaje. Díky tomu jsme z pohledu GDPR                     považování za správce                     osobních údajů. Podle článku 4 GDPR se zpracovaním                     osobních údajů                     rozumí také ukládání osobních údajů. Z toho plyne,                     že jakýkoliv                     poskytovatel cloudových služeb, hostingu, VPS,                     atd. je vůči správci v                     postavení zpracovatele osobních údajů. Článek 28                     GDPR potom řeší vztah                     zpracovatele a správce, kde mj. požaduje nějaký                     smluvní vztah mezi                     nimi. Když to převedu na protředí vpsFree tak                     členové jsou v podstatě                     správci osobních údajů a vpsFree je zpracovatelem                     osobních údajů.

Můj dotaz zní, zda a jak bylo nebo bude GDPR                     řešeno na úrovní vpsFree?                     V podstatě asi jde o to, aby bylo v případě                     kontroly z UOOÚ možno                     něčím nebo nějak prokázat, že vpsFree je v souladu                     s GDPR a taky                     garantuje, že data nebudou uložena mimo EU. Věřím,                     že v našich řadách                     jsou kompetentnější členové v této věci jako já a                     tak bých rád otevřel                     diskusi.

Honza.

_________________________________________________                 Community-list mailing list                 Community-list@lists.vpsfree.cz                 mailto:Community-list@lists.vpsfree.cz                 http://lists.vpsfree.cz/listinfo/community-list                 http://lists.vpsfree.cz/listinfo/community-list

_________________________________________________             Community-list mailing list             Community-list@lists.vpsfree.cz             mailto:Community-list@lists.vpsfree.cz             http://lists.vpsfree.cz/listinfo/community-list             http://lists.vpsfree.cz/listinfo/community-list             _________________________________________________             Community-list mailing list             Community-list@lists.vpsfree.cz             mailto:Community-list@lists.vpsfree.cz             http://lists.vpsfree.cz/listinfo/community-list             http://lists.vpsfree.cz/listinfo/community-list

_________________________________________________         Community-list mailing list         Community-list@lists.vpsfree.cz         mailto:Community-list@lists.vpsfree.cz         http://lists.vpsfree.cz/listinfo/community-list         http://lists.vpsfree.cz/listinfo/community-list

_________________________________________________     Community-list mailing list     Community-list@lists.vpsfree.cz     mailto:Community-list@lists.vpsfree.cz     http://lists.vpsfree.cz/listinfo/community-list     http://lists.vpsfree.cz/listinfo/community-list

_______________________________________________     Community-list mailing list     Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz     http://lists.vpsfree.cz/listinfo/community-list     http://lists.vpsfree.cz/listinfo/community-list

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

-- Ing. Jan Dvorak

---

Ing. Jan Dvorak Fischerova 690/23 779 00 Olomouc, Nove Sady Czech Republic

---

Tel: +420-603 444 240 E-mail: jan.dvorak@dvorak-sw.com Web: http://www.dvorak-sw.com

---

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

Ahoj,

taky bych se přikláněl v této možnosti řešení. Pokud by byl problém s financemi tak bych navrhoval se nějakým způsobem na právní služby složit. Upřímně, nerad ale opravdu velmi nerad bych se dostal do situace, kdybych byl nucen migrovat jinam jenom kvůli tomuto.

Honza.

Dne 2018-02-01 10:19, Lapčík Miroslav napsal:

Ahoj,

nebylo by vhodnější, abychom jako sdružení kontaktovali právníka, který by nám připravil potřebné dokumenty pro sdružení vč. vzoru pro jednotlivé členy? Předpokládám, že cca 90% členů bude mít stejné dokumenty tzn. zpracovává "podobný" typ dat pro "podobné"účely.

Sdružení by mělo dokumenty po právní stránce v pořádku, využití a úprava vzoru  už by bylo na zodpovědnost každého člena.

Možná by se to dalo uhradit jednorázovým poplatkem na GDPR od každého člena?

Budeme to muset řešit téměř všichni, tak si myslím, že by mohlo být výhodnější to řešit společně, ale netuším zda je to vůbec takhle možné.

---

Mirek

Dne 31.1.2018 v 21:15 Pavel Snajdr napsal(a):

...

Cauko Honzo,

diky za obsahlou odpoved.

Co mi neni jasny:

musime mit explicitni smlouvu s kazdym clenem, pokud rada spolku proste vyda potreba narizeni/opatreni v ramci soucasnych organizacnich radu spolku?

Tj. proste to bude platit pro vsechny cleny naprosto stejne, ze:

• data jsou na specifikovanych mistech viz dokumentace infrastruktury

na wiki

• k datum maji pristup specifikovane osoby viz dokumentace na wiki
• k datum ma potencialne, ale ne primo ani vyslovne pristup

subdodavatel (Master Internet)

• lidi s pristupem k datum maji pridanou motivaci neskodit pomoci

nejake hmotne zodpovednosti/NDA, kde se specifikuje, za co a proc maji zodpovednost (root access, vpsAdmin-level access).

A vymalovano, plus minus par drobnosti - tak si to jednoduse predstavuju.

Nebo to neni tak jednoduche?

Pokud ne, proc?

Jak konkretne to poresilo FORPSI?

A jinak, kdyby prislo tvrde na tvrde, za co, pekne prosim, muzeme dostat pokutu zrovna my, transparentni organizace, pokud:

• seznam lidi, co maji pristupy, mame uz daavno verejny
• umisteni dat - je verejne od zacatku
• pouzite technologie jsou publikovane od zacatku
• primo ve stanovach mame, ze o citlivych datech ma rada i kontrolni

komise zachovavat mlcenlivost

V cem konkretne nejsme pripraveni, kdyz se teda budem bavit o nejake dokazatelnosti toho, ze nejsme pripraveni, pripadne u soudu?

Za co muzem dostat pokutu, kdyz rizika mame takhle jasne popsana davno, kazdy je (doufam) chape (jako kde jsou masiny, kdo ma pristup, co to znamena bezet na sdilenem HW... co to znamena bezet ve sdilenem datacentrum). Vzdyt to pisem vsude od zacatku, jak co delame.

Prosim, moc pekne prosim, lidi, dejte mi proti tomu neco konkretnejsiho nez "IMHO" nazory motivovane strachem z byrokratu. Nepodelal jsem se zatim z financniho uradu, nepodelam se na svoji zodpovednost ani z GDPR, jenom musim vedet absolutne presne, s cim mam tu cest, abych si to "na svoji hubu" umel obhajit.

Ucetniho jsem pro vpsFree taky hledal podle toho, aby stal za nami, ze to co delame, proste *NENI* podnikani a stojim si za tim a stat budu u soudu, pokud na to nekdy prijde.

Obdobny pristup bych rad praktikoval ohledne GDPR, prosim linkujte relevantni info, proc to neni, jak si myslim, proc si myslim kraviny. Tedy, idealni endgame je ne, ze se nas zpracovani nijak netyka, ale ze co delame, je dostatecne transparentni a je dostatecne dohledatelna zodpovednost uz ted, aniz by bylo v podstate potreba cokoliv menit.

Diky moc za feedback ;)

/snajpa

On 2018-01-31 20:46, Ing. Jan Dvořák wrote:

...

Ahoj!

IMHO to co je ve stanovách rozhodně stačit nebude. Nechci teď řešit členskou evidenci, apod. To je další věc k řešení, ale teď začnu trochu ze široka. Poskytování VPS je služba IaaS (infrastruktura jako služba). vpsFree, jako ten kdo tuto službu poskytuje je dle GDPR zpracovatelem osobních údajů. To jestli má přístup k osobním údajům členů na VPS nebo ne není rozhodující. Pokud vpsFree nebude mít smluvní ujednání se správci (členy) tak může být považován přímo za správce sám. Toto vše je novinka GDPR. Doposud se na tyto zpracovatele legislativa v oblasti osobních údajů nevztahovala nebo se dala obejít.

Takže vpsFree má IMHO dvě možnosti. Buď jasně deklaruje, že poskytnutá VPS jsou pouze pro osobní potřebu a zakáže členům zpracovávat na VPS jakékoliv osobní údaje. Tím pádem nebude muset řešit žádné GDPR, což ale bude znamenat odchod členů, na které se GDPR vztahuje. Nebo bude muset s každým členem, který bude na VPS zpracovávat osobní údaje uzavřít zpracovatelskou smlouvu. GDPR poměrně jasně stanovuje co taková smlouva má obsahovat a tak jen heslovitě:

• předmět a trvání zpracování
• povaha a účel zpracování
• typ osobních údajů a kategorii subjektů údajů
• povinnosti a práva správce
• povinnosti zpracovatele (zpracování osobní údajů jen na základě

dokumentovaných pokynů správce, zajistit důvěrnost, přijmout vhodná bezpečnostní opatření) Co z toho by se vztahovalo na smlouvu mezi vpsFree a členem, to je otázka na právníka. Dokázal bych si představit, že členové s takovou smlouvou by mohli mít třeba o něco vyšší členský poplatek, aby se pokryly vícenáklady

Termín účinnosti se pomalu ale jistě blíží. Ve firmách se provádí různé audity a je třeba aby vpsFree co nejdříve jasně deklarovalo jak se ke GDPR postaví, aby Ti členové, kterých se to týká (bohužel jsem to i já) se mohli zařídit.

Tento problém budou řešit všichni poskytovatelé hostingu, VPS, cloudových služeb. V ČR je situace zatím tristní, zatím toto nikdo neřešil, jedině FORPSI, co jsem viděl se k tomu zatím nějak postavili. Co jsem tak sondoval v zahraničí tak úplně připraveny jsou jen ti největší (Microsoft, Amazon, apod.) a ti menší se postupně připravují. Nicméně ke změnám v Service Agreementech v souvislosti s GDPR určitě bude docházet.

Je třeba si taky říct, že s GDPR také přichází jedna zásadní změna. Doposud porušení zákona správcem musel prokazovat úřad, ale s GDPR je to naopak. Správce je ten, který musí prokazovat, že nic neporušil.

A malá poznámka na závěr, jak zaznělo na jednom semináři. Největším rizikem GDPR není vlastní nařízení, úřady, kontroly, pokuty apod. Největším rizikem jsou lidé. Díky mediální masáži a bublině se může objevit spoustu trollů, kteří díky GDPR dostanou do ruky jednoduchou možnost škodit.

Honza.

Dne 31.1.2018 v 08:12 zd nex napsal(a):

...

Ahojte,

také si tu směrnici vykládám tak, že každý člen musí za data na VPS zodpovídat sám (mít pověřenou osobu, která s tím pracuje + papír, že je o tom seznámená.) Co se týče dat na VPSFree, tak tam půjde primárně o to, jestli stačí to co je ve stanovách - či jestli nějak bude také potřeba tedy domluvit (sepsat smlouvu) mezi členem(jeho daty) a vpsfree nějak odděleně, nebo bude pouze stačit, aby to bylo ve stanovách - že jsou zde admini a následně jednotlivý členové co pracují s VPS(kteří jsou zodpovědní za data)? Tzn tím pádem, by nemělo být nutné nic měnit, kromě té specifikace - kdo a jaký má přístup k VPS a jakou zodpovědnost (plnou).

-- S pozdravem,

Zdeněk Dlauhý

Email:support@pripravto.cz mailto:support@pripravto.cz Mobil: +420 702 549 370 Web: www.pripravto.cz http://www.pripravto.cz

Dne 31. ledna 2018 6:21 Petr Juhaňák <petr@juhanak.cz mailto:petr@juhanak.cz> napsal(a):

Je to tak jak rika Jirka.

VpsFree si udela samo datovy audit z hlediska osobnich udaju ktere     eviduje o clenech a sepise si na papir kde a v jakem rozsahu jsou a     hlavne zadokumentuje jaka opatreni uz ma (procesy a technicka     nastaveni) aby to vypadalo jako rizena prace s riziky. Pak pravni     dokumenty typu informovane souhlasy.

To same si udelaji clenove ale v jinem ramci, uz na urovni jejich     provozovane technologie php eshopy a podobne a zase seznam opatreni,     proces kdyz nekdo odvola souhlas se zpracovanim, seznam opatreni.

To jsou veci ktere si kazdy muze pripravit uz ted.

Predstava, ze vpdfree je tu od toho aby zajistila soulad s gdpr je     mylna. To si musi zajistit kazdy clen sam, tj. nemluvim o technickem     svete.

S pozdravem     Petr Juhaňák

petr@juhanak.cz mailto:petr@juhanak.cz | +420 739 639 132     tel:+420%20739%20639%20132

-------- Původní zpráva --------     Od: Jindřich Sadílek <jindrich.sadilek@gmail.com     mailto:jindrich.sadilek@gmail.com>     Datum: 31.01.18 1:41 (GMT+01:00)     Komu: community-list@lists.vpsfree.cz     mailto:community-list@lists.vpsfree.cz     Předmět: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR

Jedna věc je, co si musí pořešit VPSfree jako organizace, zcela jiná     pak jendotliví správci vlastních žiletek.

Provozujete nějaký jednoduchý eshop, máte uživatelské registrace a     pošlete semtam email, natož považovatelný za reklamní? Jste v tom až     po uši...

Dne St, 31. leden 2018 v 00:30 h uživatel Jirka Bourek napsal:

...

Problém je, že tohle všechno řeší technické věci, které udělat chceš,     ale neřeší to chybějící papíry, které potřebuješ pro úřad.

Jasně, v oboru "no tak nám procesory trochu leakujou paměť, hlavně že     jsem náhodou včas prodal akcie" nějakou skutečnou ochranu osobních     údajů     v podstatě řešit nejde. Jenže to úředníky z EU nezajímá - ti vymysleli     směrnici na ochranu osobních údajů, takže se osobní údaje chrání tak,     jak nařizuje směrnice. Až přijde kontrola, argumentace "dyť je to     nesmysl!" nic nezachrání.

Takže správce potřebuje se zpracovatelem mít smlouvu nebo jiný právní     akt. Pokud je právním aktem - dostatečným pro úřad - členství v     vpsfree,     tak je asi všechno v poho.     (http://www.privacy-regulation.eu/cs/28.htm     http://www.privacy-regulation.eu/cs/28.htm)     Pokud ne, tak je problém.

Jinak teda

> Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi, jakou ma     zodpovednost, best practices v ohledu bezpecnosti davno sleduje.

Co když to neví, nebo na to dlabe? :-)

Pavel Snajdr wrote:

Stejne jako oskenovat, co ti tam bezi a dostat se ti tam bez         zvednuti my pohodlny zadele, obzvlast pokud jedes nejakou         PHPkovinu a data, ktery by bylo potreba chranit, jsou primo v         DB, kam ty PHP spagety vidi.

A co ted s tim, vypneme to vsehno? ;)

Chci tim rict, ze panikrit IMHO neni na miste a kdyz se nad         tim clovek zamysli, zasifrovat vsechno taky neni reseni.

Jinak ja jsem za GDPR rad, mam vymluvu, proc si sebou budu         nosit klicenku s trhavinou na flashkach, mame vymluvu, proc         plosne nasadit sifrovani, proc se nam nepujde dostat do racku         neautorizovane, aniz by to neodmazlo klice a neshodilo vsehno         chraneny (tj. abys nam fakt nechtel otevrit ten rack).

Ne ze by GDPR neco resilo, ale dava van super vymluvu, jak         muzem nase systemy postupne posouvat vic smerem plausible         deniability, tj. soukromi je level jedna, level nuda, ale co         nam to umozni je ochranit i adminy pred tim, aby vedeli, co         clen bezi.

Neumel jsem si bez GDPR predstavit, jak zvysovat zabezpeceni         bez toho, aby to vypadalo, jako kdyz se chystame hostovat tunu         detskyho porna a lokalni pobocku CIA. Jenom to nebude vsehno         hned - a nektery levely zabezpeceni na sharovanym hardwaru ani         nepujde udelat.

Chci:

- sifrovani v ZoL         - aby clen mel moznost klic per dataset neulozit, ale zadat si         ho sam pres bezpecny kanal (ssh/https api call)         - monitoring otevreni racku co bez nahlaseni predem donuti         masiny smazat klice z RAM

Ale tohle je furt malo, pokud admini nemaji vedet, co clen         bezi. Ani fullvirt ani se sifrovanou RAM na AMD nam nepomuze,         takze resim, jak zahostovat single board desky pro cleny,         kteri chteji mit moznost nejcitlivejsi data mit fakt soukrome.

Ve finale:

- budes mit moznost data na VPS sifrovat svymi hesly, ktera se         u nas nebudou ukladat (prusvih je, ze my nemame jak dokazat,         ze jsme to nikde neulozili)

- pri neautorizovanym pristupu do racku se klice smaznou, to         samy pri rebootu/resetu a je pak na tobe zvazit, jestli je OK         data uz odemknout

- budes mit moznost nejcitlivejsi data vysoupnout vedle po         siti na svuj dedikovanej systemek kalibru ARM Cortex A53, do         budoucna RISC-V

Problem nastava, kdyz s adminkem pujde do datacentra nekdo         sebedulezitejsi, nez GDRP byrokrat s kulometem u palice, pak         admin nema moznost ani nejak kliknout smazani klicu, nebo         aspon nejakej counter na webu ve smyslu kanarka, ktery bude         pocitat pocet podobnych incidentu.

Shared computing ma svoje limity, bohuzel, jestli sledujes,         kam tim mirim.

GDPR podle mne vyzaduje nutne jenom nejaky papirovani, ale do         budoucna nam dava zaminku jit na to vic z husta, co se         soukromi tyce.

Muze nam pak nekdo nadavat, ze delame hosting detskyho porna a         teroristum, kdyz mame racky obehnany pomalu ziletkovym dratem?         Nemuze, at si stezuje v Bruselu.

Za mne dobry, ale nebude to hned. A v prvni vlne bude hlavne         to papirovani. V druhy vlne se musime zbavit nedostacujiciho         OpenVZ, vpsAdminOS ma podstatne lip ovladatelnejsi         bezpecnostni politiku - a je odspoda nahoru cely podepsany a         verifikovatelny.

/snajpa

On 30 Jan 2018, at 23:41, Jaroslav Skrivan             <skrivy@skrivy.net mailto:skrivy@skrivy.net> wrote:

Jenom moje osobni zkusenost - odnest si cizi disky z             datacentra neni zas takovy problem, jak se na prvni pohled             muze zdat.             From: Pavel Snajdr             Sent: ‎1/‎30/‎2018 10:49 PM             To: vpsFree.cz Community list             Subject: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR

Ahoj,

GDPR je, pokud to dobre chapu, totalni nesmysl, z kteryho             jsou vsichni vyjukani uplne, ale naprosto totalne zbytecne.

Podivej se, co bezime za procesory.

Jak ma nekdo neco v takovym stavu vubec industry-wide za             neco rucit?

Za mne je GDPR o tom a pouze o tom, ze musime podepsat             papir s lidmi, co maji admin pristupy, aby acknuli             oficialne svoji zodpovednost.

V seznamu clenu uz ted mame jenom nejnutnejsi udaje (podle             posledni zkusenosti s PCR a PSR jim k identifikaci ani to             nemusi stacit...).

Ve stanovach mame zakotvenou ochranu dat clenu uz od zacatku.

Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi,             jakou ma zodpovednost, best practices v ohledu bezpecnosti             davno sleduje.

A kdyz si nekdo mysli, ze Vsechno Zasifrovat(tm) to             vyresi, tak se rovnou zeptam - a borci, jak se k tomu asi             programy na ty masine dostanou? Hint: stejne musi byt data             odemcena pri behu. A ze se k nim neco dostane za behu je             mnoooohem pravdepodobnejsi, nez ze nam z hlidanyho             datacentra nekdo ukradne disky a vycte si neco offline.

Tedy, muj nazor je, ze vubec neni potreba panikarit a             natoz se uchylovat k reseni stylem ‘radsi to na vpsFree             nedam vubec’. To ty servery muzeme rovnou vypnout totiz

a cely to zabalit s tim, ze jsme se nechali prevalcovat             byrokratama.

/snajpa             (Pavel Snajdr)             (Predseda vpsFree.cz)             (+420 720 107 791 tel:+420%20720%20107%20791)

On 30 Jan 2018, at 22:10, Lukáš Jelínek - AIKEN                 <lukas@aiken.cz mailto:lukas@aiken.cz> wrote:

Ahoj,

pokud si vzpomínám, tak něco podobného už se řešilo na                 valné hromadě                 (byť ještě nebylo nařízení GDPR). A situace je v                 podstatě taková, že to                 asi příliš řešit nelze, protože by to pro spolek                 znamenalo velkou                 administrativní zátěž a značný nárůst nákladů.

Čili asi nejčistším řešením v tuto chvíli je,                 nevyužívat servery                 vpsFree.cz k ukládání osobních údajů - přinejmenším do                 doby, než se                 všechny záležitosti vyřeší (a než vůbec vznikne nějaký                 závazný výklad                 různých ustanovení směrnice).

Lukáš Jelínek

Ahoj ve spolek!

Datum 25.5.2018, kdy nám vstupuje v účinnost GDPR                     se pomalu ale jistě                     blíží. Bohužel jsem byl, ač neprávník do této                     problematiky trochu                     zatlačen a byly na mě již vzneseny dotazy týkající                     se GDPR a vpsFree.

Myslím, si, že je nás více, kteří na VPS máme                     uloženy nějaké ty osobní                     údaje (adresy, emaily, apod.) a skoro všichni máme                     nějaký ten                     webserver, kde se logují IP adresy, které jsou                     rovněž považovány za                     osobní údaje. Díky tomu jsme z pohledu GDPR                     považování za správce                     osobních údajů. Podle článku 4 GDPR se zpracovaním                     osobních údajů                     rozumí také ukládání osobních údajů. Z toho plyne,                     že jakýkoliv                     poskytovatel cloudových služeb, hostingu, VPS,                     atd. je vůči správci v                     postavení zpracovatele osobních údajů. Článek 28                     GDPR potom řeší vztah                     zpracovatele a správce, kde mj. požaduje nějaký                     smluvní vztah mezi                     nimi. Když to převedu na protředí vpsFree tak                     členové jsou v podstatě                     správci osobních údajů a vpsFree je zpracovatelem                     osobních údajů.

Můj dotaz zní, zda a jak bylo nebo bude GDPR                     řešeno na úrovní vpsFree?                     V podstatě asi jde o to, aby bylo v případě                     kontroly z UOOÚ možno                     něčím nebo nějak prokázat, že vpsFree je v souladu                     s GDPR a taky                     garantuje, že data nebudou uložena mimo EU. Věřím,                     že v našich řadách                     jsou kompetentnější členové v této věci jako já a                     tak bých rád otevřel                     diskusi.

Honza.

_________________________________________________                 Community-list mailing list                 Community-list@lists.vpsfree.cz                 mailto:Community-list@lists.vpsfree.cz                 http://lists.vpsfree.cz/listinfo/community-list                 http://lists.vpsfree.cz/listinfo/community-list

_________________________________________________             Community-list mailing list             Community-list@lists.vpsfree.cz             mailto:Community-list@lists.vpsfree.cz             http://lists.vpsfree.cz/listinfo/community-list             http://lists.vpsfree.cz/listinfo/community-list             _________________________________________________             Community-list mailing list             Community-list@lists.vpsfree.cz             mailto:Community-list@lists.vpsfree.cz             http://lists.vpsfree.cz/listinfo/community-list             http://lists.vpsfree.cz/listinfo/community-list

_________________________________________________         Community-list mailing list         Community-list@lists.vpsfree.cz         mailto:Community-list@lists.vpsfree.cz         http://lists.vpsfree.cz/listinfo/community-list         http://lists.vpsfree.cz/listinfo/community-list

_________________________________________________     Community-list mailing list     Community-list@lists.vpsfree.cz     mailto:Community-list@lists.vpsfree.cz     http://lists.vpsfree.cz/listinfo/community-list     http://lists.vpsfree.cz/listinfo/community-list

_______________________________________________     Community-list mailing list     Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz     http://lists.vpsfree.cz/listinfo/community-list     http://lists.vpsfree.cz/listinfo/community-list

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

-- Ing. Jan Dvorak

---

Ing. Jan Dvorak Fischerova 690/23 779 00 Olomouc, Nove Sady Czech Republic

---

Tel: +420-603 444 240 E-mail: jan.dvorak@dvorak-sw.com Web: http://www.dvorak-sw.com

---

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

Mam tak trochu (hodne) pocit, ze se vsichni priposrate drzite konkretnich formulaci, ale o nich to preci neni.

O cem je podstata GDPR?

Ano, spravne, o ochrane soukromi.

O cem je vpsFree?

Mit kousek soukromi na stabilnim bode v Internetu.

Takze?

Jak rikam, jsem ochotny hajit u soudu, ze delame pro soukromi, co muzeme uz od zacatku; od kdy se bere litera zakona u soudu doslovne? Od nikdy. Vzdy se resi ucel daneho zakona - a pokud nase chovani uz davno podtatne veci zahrnuje (tj informace o umisteni, pravo na smazani atd atd) - za co mas SKUTECNE muze nekdo popptahovat?

Ok, muze dupat na konkretnostech GDPR, kde evidentne vpsFree pojede po sve vlastni ose a ne podle ostatnich, tak fajn.

Ale ma sanci uspet pri odvolani, kdyz pujdeme k jadru veci? Nema. Znova: Jaky je smysl GDPR? A jaky je smysl existnce vpsFree?

A ze o tom nemame konkretni papir s kazdym konkretnim clenem, tak co jako ma bejt?

Kdyby clen nechtel aby jeho soukromi bylo u nas respektovani, clenem by proste nebyl. Stanovy a rady spolku jsou zavazne tim, ze jsi clenem.

Nevidim ani 0.1mm prostoru pro potrebu dalsich 350ti podpisu, zas to pratele neprehanejte, prosim.

/snajpa (Pavel Snajdr) (Predseda vpsFree.cz) (+420 720 107 791)

On 1 Feb 2018, at 22:54, Pavel Snajdr snajpa@snajpa.net wrote:

My ale podepisovat s nikym nic individualne nebudeme. Musi stacit obecna podoba.

Zadny poplatky navic.

Zadnej papir navic.

Jsme soukromi respektujici organizace a mame to v DNA od zacatku.

Jestli to nepujde udelat bez papiru, poplatku a pravniku, tak silne zvazuju se presunout mimo EU nadobro.

Uvedomte si, ze vpsFree delam tak nejlip, jak ho zvladnu delat pro sebe, pro vsechny.

Pokud EU zacina vymyslet pravidla prohibitivni pro moje fungovani v jejim ramci, nastava pro mne pomalu cas zvazovat odchod mimo EU. To neprehanim, uvazuju nad tim uz nejakou dobu a pri tom, jak se tu blyska na lepsi casy, co se svobody tyce, po vsech strankach, mam celkovou chut se tu na to vykaslat.

Pokud nejlepsi misto pro hosting pro mne osobne uz nebude v EU, tak ani nikomu nemuzu doporucit v EU hostovat a tim padem nemuzu delat vpsFree v EU, bylo by to pokrytecke.

A vy vsichni, co v EU takhle zustanete a nechate si komplikovat podnikani do ty miry, zese na to vykaslete a nechate se prevalcovat monopolama, si to tu pak uzijte.

Ja se pratele povazuji za svodobneho cloveka a ohybat zada pred byrokratem nehodlam.

Stejne jak se povedlo udelat vpsFree, vyhnout se vsem mechanismum znechucujici cinnost aktivnim lidem (papirovani, dane, tlak na zisky, tlak od statu a jeho instituci), tak se nam musi povest hacknout GDPR.

Zadne podepisovani papiru s kazdym druhym nebude, to neskaluje.

/snajpa (Pavel Snajdr) (Predseda vpsFree.cz) (+420 720 107 791)

...

On 1 Feb 2018, at 10:19, Lapčík Miroslav lapcik.m@centrum.cz wrote:

Ahoj,

nebylo by vhodnější, abychom jako sdružení kontaktovali právníka, který by nám připravil potřebné dokumenty pro sdružení vč. vzoru pro jednotlivé členy? Předpokládám, že cca 90% členů bude mít stejné dokumenty tzn. zpracovává "podobný" typ dat pro "podobné"účely.

Sdružení by mělo dokumenty po právní stránce v pořádku, využití a úprava vzoru už by bylo na zodpovědnost každého člena.

Možná by se to dalo uhradit jednorázovým poplatkem na GDPR od každého člena?

Budeme to muset řešit téměř všichni, tak si myslím, že by mohlo být výhodnější to řešit společně, ale netuším zda je to vůbec takhle možné.

---

Mirek

Dne 31.1.2018 v 21:15 Pavel Snajdr napsal(a):

...

Cauko Honzo,

diky za obsahlou odpoved.

Co mi neni jasny:

musime mit explicitni smlouvu s kazdym clenem, pokud rada spolku proste vyda potreba narizeni/opatreni v ramci soucasnych organizacnich radu spolku?

Tj. proste to bude platit pro vsechny cleny naprosto stejne, ze:

• data jsou na specifikovanych mistech viz dokumentace infrastruktury

na wiki

• k datum maji pristup specifikovane osoby viz dokumentace na wiki
• k datum ma potencialne, ale ne primo ani vyslovne pristup

subdodavatel (Master Internet)

• lidi s pristupem k datum maji pridanou motivaci neskodit pomoci

nejake hmotne zodpovednosti/NDA, kde se specifikuje, za co a proc maji zodpovednost (root access, vpsAdmin-level access).

A vymalovano, plus minus par drobnosti - tak si to jednoduse predstavuju.

Nebo to neni tak jednoduche?

Pokud ne, proc?

Jak konkretne to poresilo FORPSI?

A jinak, kdyby prislo tvrde na tvrde, za co, pekne prosim, muzeme dostat pokutu zrovna my, transparentni organizace, pokud:

• seznam lidi, co maji pristupy, mame uz daavno verejny
• umisteni dat - je verejne od zacatku
• pouzite technologie jsou publikovane od zacatku
• primo ve stanovach mame, ze o citlivych datech ma rada i kontrolni

komise zachovavat mlcenlivost

V cem konkretne nejsme pripraveni, kdyz se teda budem bavit o nejake dokazatelnosti toho, ze nejsme pripraveni, pripadne u soudu?

Za co muzem dostat pokutu, kdyz rizika mame takhle jasne popsana davno, kazdy je (doufam) chape (jako kde jsou masiny, kdo ma pristup, co to znamena bezet na sdilenem HW... co to znamena bezet ve sdilenem datacentrum). Vzdyt to pisem vsude od zacatku, jak co delame.

Prosim, moc pekne prosim, lidi, dejte mi proti tomu neco konkretnejsiho nez "IMHO" nazory motivovane strachem z byrokratu. Nepodelal jsem se zatim z financniho uradu, nepodelam se na svoji zodpovednost ani z GDPR, jenom musim vedet absolutne presne, s cim mam tu cest, abych si to "na svoji hubu" umel obhajit.

Ucetniho jsem pro vpsFree taky hledal podle toho, aby stal za nami, ze to co delame, proste *NENI* podnikani a stojim si za tim a stat budu u soudu, pokud na to nekdy prijde.

Obdobny pristup bych rad praktikoval ohledne GDPR, prosim linkujte relevantni info, proc to neni, jak si myslim, proc si myslim kraviny. Tedy, idealni endgame je ne, ze se nas zpracovani nijak netyka, ale ze co delame, je dostatecne transparentni a je dostatecne dohledatelna zodpovednost uz ted, aniz by bylo v podstate potreba cokoliv menit.

Diky moc za feedback ;)

/snajpa

...

On 2018-01-31 20:46, Ing. Jan Dvořák wrote: Ahoj!

IMHO to co je ve stanovách rozhodně stačit nebude. Nechci teď řešit členskou evidenci, apod. To je další věc k řešení, ale teď začnu trochu ze široka. Poskytování VPS je služba IaaS (infrastruktura jako služba). vpsFree, jako ten kdo tuto službu poskytuje je dle GDPR zpracovatelem osobních údajů. To jestli má přístup k osobním údajům členů na VPS nebo ne není rozhodující. Pokud vpsFree nebude mít smluvní ujednání se správci (členy) tak může být považován přímo za správce sám. Toto vše je novinka GDPR. Doposud se na tyto zpracovatele legislativa v oblasti osobních údajů nevztahovala nebo se dala obejít.

Takže vpsFree má IMHO dvě možnosti. Buď jasně deklaruje, že poskytnutá VPS jsou pouze pro osobní potřebu a zakáže členům zpracovávat na VPS jakékoliv osobní údaje. Tím pádem nebude muset řešit žádné GDPR, což ale bude znamenat odchod členů, na které se GDPR vztahuje. Nebo bude muset s každým členem, který bude na VPS zpracovávat osobní údaje uzavřít zpracovatelskou smlouvu. GDPR poměrně jasně stanovuje co taková smlouva má obsahovat a tak jen heslovitě:

• předmět a trvání zpracování
• povaha a účel zpracování
• typ osobních údajů a kategorii subjektů údajů
• povinnosti a práva správce
• povinnosti zpracovatele (zpracování osobní údajů jen na základě

dokumentovaných pokynů správce, zajistit důvěrnost, přijmout vhodná bezpečnostní opatření) Co z toho by se vztahovalo na smlouvu mezi vpsFree a členem, to je otázka na právníka. Dokázal bych si představit, že členové s takovou smlouvou by mohli mít třeba o něco vyšší členský poplatek, aby se pokryly vícenáklady

Termín účinnosti se pomalu ale jistě blíží. Ve firmách se provádí různé audity a je třeba aby vpsFree co nejdříve jasně deklarovalo jak se ke GDPR postaví, aby Ti členové, kterých se to týká (bohužel jsem to i já) se mohli zařídit.

Tento problém budou řešit všichni poskytovatelé hostingu, VPS, cloudových služeb. V ČR je situace zatím tristní, zatím toto nikdo neřešil, jedině FORPSI, co jsem viděl se k tomu zatím nějak postavili. Co jsem tak sondoval v zahraničí tak úplně připraveny jsou jen ti největší (Microsoft, Amazon, apod.) a ti menší se postupně připravují. Nicméně ke změnám v Service Agreementech v souvislosti s GDPR určitě bude docházet.

Je třeba si taky říct, že s GDPR také přichází jedna zásadní změna. Doposud porušení zákona správcem musel prokazovat úřad, ale s GDPR je to naopak. Správce je ten, který musí prokazovat, že nic neporušil.

A malá poznámka na závěr, jak zaznělo na jednom semináři. Největším rizikem GDPR není vlastní nařízení, úřady, kontroly, pokuty apod. Největším rizikem jsou lidé. Díky mediální masáži a bublině se může objevit spoustu trollů, kteří díky GDPR dostanou do ruky jednoduchou možnost škodit.

Honza.

Dne 31.1.2018 v 08:12 zd nex napsal(a):

...

Ahojte,

také si tu směrnici vykládám tak, že každý člen musí za data na VPS zodpovídat sám (mít pověřenou osobu, která s tím pracuje + papír, že je o tom seznámená.) Co se týče dat na VPSFree, tak tam půjde primárně o to, jestli stačí to co je ve stanovách - či jestli nějak bude také potřeba tedy domluvit (sepsat smlouvu) mezi členem(jeho daty) a vpsfree nějak odděleně, nebo bude pouze stačit, aby to bylo ve stanovách - že jsou zde admini a následně jednotlivý členové co pracují s VPS(kteří jsou zodpovědní za data)? Tzn tím pádem, by nemělo být nutné nic měnit, kromě té specifikace - kdo a jaký má přístup k VPS a jakou zodpovědnost (plnou).

-- S pozdravem,

Zdeněk Dlauhý

Email:support@pripravto.cz mailto:support@pripravto.cz Mobil: +420 702 549 370 Web: www.pripravto.cz http://www.pripravto.cz

Dne 31. ledna 2018 6:21 Petr Juhaňák <petr@juhanak.cz mailto:petr@juhanak.cz> napsal(a):

Je to tak jak rika Jirka.

VpsFree si udela samo datovy audit z hlediska osobnich udaju ktere eviduje o clenech a sepise si na papir kde a v jakem rozsahu jsou a hlavne zadokumentuje jaka opatreni uz ma (procesy a technicka nastaveni) aby to vypadalo jako rizena prace s riziky. Pak pravni dokumenty typu informovane souhlasy.

To same si udelaji clenove ale v jinem ramci, uz na urovni jejich provozovane technologie php eshopy a podobne a zase seznam opatreni, proces kdyz nekdo odvola souhlas se zpracovanim, seznam opatreni.

To jsou veci ktere si kazdy muze pripravit uz ted.

Predstava, ze vpdfree je tu od toho aby zajistila soulad s gdpr je mylna. To si musi zajistit kazdy clen sam, tj. nemluvim o technickem svete.

S pozdravem Petr Juhaňák

petr@juhanak.cz mailto:petr@juhanak.cz | +420 739 639 132 tel:+420%20739%20639%20132

-------- Původní zpráva -------- Od: Jindřich Sadílek <jindrich.sadilek@gmail.com mailto:jindrich.sadilek@gmail.com> Datum: 31.01.18 1:41 (GMT+01:00) Komu: community-list@lists.vpsfree.cz mailto:community-list@lists.vpsfree.cz Předmět: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR

Jedna věc je, co si musí pořešit VPSfree jako organizace, zcela jiná pak jendotliví správci vlastních žiletek.

Provozujete nějaký jednoduchý eshop, máte uživatelské registrace a pošlete semtam email, natož považovatelný za reklamní? Jste v tom až po uši...

Dne St, 31. leden 2018 v 00:30 h uživatel Jirka Bourek napsal:

...

Problém je, že tohle všechno řeší technické věci, které udělat chceš, ale neřeší to chybějící papíry, které potřebuješ pro úřad.

Jasně, v oboru "no tak nám procesory trochu leakujou paměť, hlavně že jsem náhodou včas prodal akcie" nějakou skutečnou ochranu osobních údajů v podstatě řešit nejde. Jenže to úředníky z EU nezajímá - ti vymysleli směrnici na ochranu osobních údajů, takže se osobní údaje chrání tak, jak nařizuje směrnice. Až přijde kontrola, argumentace "dyť je to nesmysl!" nic nezachrání.

Takže správce potřebuje se zpracovatelem mít smlouvu nebo jiný právní akt. Pokud je právním aktem - dostatečným pro úřad - členství v vpsfree, tak je asi všechno v poho. (http://www.privacy-regulation.eu/cs/28.htm http://www.privacy-regulation.eu/cs/28.htm) Pokud ne, tak je problém.

Jinak teda

> Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi, jakou ma zodpovednost, best practices v ohledu bezpecnosti davno sleduje.

Co když to neví, nebo na to dlabe? :-)

Pavel Snajdr wrote:

   Stejne jako oskenovat, co ti tam bezi a dostat se ti tam bez
   zvednuti my pohodlny zadele, obzvlast pokud jedes nejakou
   PHPkovinu a data, ktery by bylo potreba chranit, jsou primo v
   DB, kam ty PHP spagety vidi.

   A co ted s tim, vypneme to vsehno? ;)

   Chci tim rict, ze panikrit IMHO neni na miste a kdyz se nad
   tim clovek zamysli, zasifrovat vsechno taky neni reseni.

   Jinak ja jsem za GDPR rad, mam vymluvu, proc si sebou budu
   nosit klicenku s trhavinou na flashkach, mame vymluvu, proc
   plosne nasadit sifrovani, proc se nam nepujde dostat do racku
   neautorizovane, aniz by to neodmazlo klice a neshodilo vsehno
   chraneny (tj. abys nam fakt nechtel otevrit ten rack).

   Ne ze by GDPR neco resilo, ale dava van super vymluvu, jak
   muzem nase systemy postupne posouvat vic smerem plausible
   deniability, tj. soukromi je level jedna, level nuda, ale co
   nam to umozni je ochranit i adminy pred tim, aby vedeli, co
   clen bezi.

   Neumel jsem si bez GDPR predstavit, jak zvysovat zabezpeceni
   bez toho, aby to vypadalo, jako kdyz se chystame hostovat tunu
   detskyho porna a lokalni pobocku CIA. Jenom to nebude vsehno
   hned - a nektery levely zabezpeceni na sharovanym hardwaru ani
   nepujde udelat.

   Chci:

   - sifrovani v ZoL
   - aby clen mel moznost klic per dataset neulozit, ale zadat si
   ho sam pres bezpecny kanal (ssh/https api call)
   - monitoring otevreni racku co bez nahlaseni predem donuti
   masiny smazat klice z RAM

   Ale tohle je furt malo, pokud admini nemaji vedet, co clen
   bezi. Ani fullvirt ani se sifrovanou RAM na AMD nam nepomuze,
   takze resim, jak zahostovat single board desky pro cleny,
   kteri chteji mit moznost nejcitlivejsi data mit fakt soukrome.

   Ve finale:

   - budes mit moznost data na VPS sifrovat svymi hesly, ktera se
   u nas nebudou ukladat (prusvih je, ze my nemame jak dokazat,
   ze jsme to nikde neulozili)

   - pri neautorizovanym pristupu do racku se klice smaznou, to
   samy pri rebootu/resetu a je pak na tobe zvazit, jestli je OK
   data uz odemknout

   - budes mit moznost nejcitlivejsi data vysoupnout vedle po
   siti na svuj dedikovanej systemek kalibru ARM Cortex A53, do
   budoucna RISC-V

   Problem nastava, kdyz s adminkem pujde do datacentra nekdo
   sebedulezitejsi, nez GDRP byrokrat s kulometem u palice, pak
   admin nema moznost ani nejak kliknout smazani klicu, nebo
   aspon nejakej counter na webu ve smyslu kanarka, ktery bude
   pocitat pocet podobnych incidentu.

   Shared computing ma svoje limity, bohuzel, jestli sledujes,
   kam tim mirim.

   GDPR podle mne vyzaduje nutne jenom nejaky papirovani, ale do
   budoucna nam dava zaminku jit na to vic z husta, co se
   soukromi tyce.

   Muze nam pak nekdo nadavat, ze delame hosting detskyho porna a
   teroristum, kdyz mame racky obehnany pomalu ziletkovym dratem?
   Nemuze, at si stezuje v Bruselu.

   Za mne dobry, ale nebude to hned. A v prvni vlne bude hlavne
   to papirovani. V druhy vlne se musime zbavit nedostacujiciho
   OpenVZ, vpsAdminOS ma podstatne lip ovladatelnejsi
   bezpecnostni politiku - a je odspoda nahoru cely podepsany a
   verifikovatelny.

   /snajpa

       On 30 Jan 2018, at 23:41, Jaroslav Skrivan
       <skrivy@skrivy.net <mailto:skrivy@skrivy.net>> wrote:

       Jenom moje osobni zkusenost - odnest si cizi disky z
       datacentra neni zas takovy problem, jak se na prvni pohled
       muze zdat.
       From: Pavel Snajdr
       Sent: ‎1/‎30/‎2018 10:49 PM
       To: vpsFree.cz Community list
       Subject: Re: [vpsFree.cz: community-list] vpsFree.cz a

GDPR

       Ahoj,

       GDPR je, pokud to dobre chapu, totalni nesmysl, z kteryho
       jsou vsichni vyjukani uplne, ale naprosto totalne

zbytecne.

       Podivej se, co bezime za procesory.

       Jak ma nekdo neco v takovym stavu vubec industry-wide za
       neco rucit?

       Za mne je GDPR o tom a pouze o tom, ze musime podepsat
       papir s lidmi, co maji admin pristupy, aby acknuli
       oficialne svoji zodpovednost.

       V seznamu clenu uz ted mame jenom nejnutnejsi udaje (podle
       posledni zkusenosti s PCR a PSR jim k identifikaci ani to
       nemusi stacit...).

       Ve stanovach mame zakotvenou ochranu dat clenu uz od

zacatku.

       Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi,
       jakou ma zodpovednost, best practices v ohledu bezpecnosti
       davno sleduje.

       A kdyz si nekdo mysli, ze Vsechno Zasifrovat(tm) to
       vyresi, tak se rovnou zeptam - a borci, jak se k tomu asi
       programy na ty masine dostanou? Hint: stejne musi byt data
       odemcena pri behu. A ze se k nim neco dostane za behu je
       mnoooohem pravdepodobnejsi, nez ze nam z hlidanyho
       datacentra nekdo ukradne disky a vycte si neco offline.

       Tedy, muj nazor je, ze vubec neni potreba panikarit a
       natoz se uchylovat k reseni stylem ‘radsi to na vpsFree
       nedam vubec’. To ty servery muzeme rovnou vypnout totiz -
       a cely to zabalit s tim, ze jsme se nechali prevalcovat
       byrokratama.

       /snajpa
       (Pavel Snajdr)
       (Predseda vpsFree.cz)
       (+420 720 107 791 <tel:+420%20720%20107%20791>)

           On 30 Jan 2018, at 22:10, Lukáš Jelínek - AIKEN
           <lukas@aiken.cz <mailto:lukas@aiken.cz>> wrote:

           Ahoj,

           pokud si vzpomínám, tak něco podobného už se řešilo na
           valné hromadě
           (byť ještě nebylo nařízení GDPR). A situace je v
           podstatě taková, že to
           asi příliš řešit nelze, protože by to pro spolek
           znamenalo velkou
           administrativní zátěž a značný nárůst nákladů.

           Čili asi nejčistším řešením v tuto chvíli je,
           nevyužívat servery
           vpsFree.cz k ukládání osobních údajů - přinejmenším do
           doby, než se
           všechny záležitosti vyřeší (a než vůbec vznikne nějaký
           závazný výklad
           různých ustanovení směrnice).

           Lukáš Jelínek



               Ahoj ve spolek!

               Datum 25.5.2018, kdy nám vstupuje v účinnost GDPR
               se pomalu ale jistě
               blíží. Bohužel jsem byl, ač neprávník do této
               problematiky trochu
               zatlačen a byly na mě již vzneseny dotazy týkající
               se GDPR a vpsFree.

               Myslím, si, že je nás více, kteří na VPS máme
               uloženy nějaké ty osobní
               údaje (adresy, emaily, apod.) a skoro všichni máme
               nějaký ten
               webserver, kde se logují IP adresy, které jsou
               rovněž považovány za
               osobní údaje. Díky tomu jsme z pohledu GDPR
               považování za správce
               osobních údajů. Podle článku 4 GDPR se zpracovaním
               osobních údajů
               rozumí také ukládání osobních údajů. Z toho plyne,
               že jakýkoliv
               poskytovatel cloudových služeb, hostingu, VPS,
               atd. je vůči správci v
               postavení zpracovatele osobních údajů. Článek 28
               GDPR potom řeší vztah
               zpracovatele a správce, kde mj. požaduje nějaký
               smluvní vztah mezi
               nimi. Když to převedu na protředí vpsFree tak
               členové jsou v podstatě
               správci osobních údajů a vpsFree je zpracovatelem
               osobních údajů.

               Můj dotaz zní, zda a jak bylo nebo bude GDPR
               řešeno na úrovní vpsFree?
               V podstatě asi jde o to, aby bylo v případě
               kontroly z UOOÚ možno
               něčím nebo nějak prokázat, že vpsFree je v souladu
               s GDPR a taky
               garantuje, že data nebudou uložena mimo EU. Věřím,
               že v našich řadách
               jsou kompetentnější členové v této věci jako já a
               tak bých rád otevřel
               diskusi.

               Honza.


           _________________________________________________
           Community-list mailing list
           Community-list@lists.vpsfree.cz
           <mailto:Community-list@lists.vpsfree.cz>
           http://lists.vpsfree.cz/listinfo/community-list
           <http://lists.vpsfree.cz/listinfo/community-list>


       _________________________________________________
       Community-list mailing list
       Community-list@lists.vpsfree.cz
       <mailto:Community-list@lists.vpsfree.cz>
       http://lists.vpsfree.cz/listinfo/community-list
       <http://lists.vpsfree.cz/listinfo/community-list>
       _________________________________________________
       Community-list mailing list
       Community-list@lists.vpsfree.cz
       <mailto:Community-list@lists.vpsfree.cz>
       http://lists.vpsfree.cz/listinfo/community-list
       <http://lists.vpsfree.cz/listinfo/community-list>




   _________________________________________________
   Community-list mailing list
   Community-list@lists.vpsfree.cz
   <mailto:Community-list@lists.vpsfree.cz>
   http://lists.vpsfree.cz/listinfo/community-list
   <http://lists.vpsfree.cz/listinfo/community-list>

---

Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list http://lists.vpsfree.cz/listinfo/community-list

---

Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list http://lists.vpsfree.cz/listinfo/community-list

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

-- Ing. Jan Dvorak

---

Ing. Jan Dvorak Fischerova 690/23 779 00 Olomouc, Nove Sady Czech Republic

---

Tel: +420-603 444 240 E-mail: jan.dvorak@dvorak-sw.com Web: http://www.dvorak-sw.com

---

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

Tady bohužel nejde o hájení vpsFree.cz u soudu. Protože ty problémy nedopadnou ani tak na spolek, jako na jednotlivé členy. A otázka je, kdo z členů bude chtít jít do rizika, že dostane likvidační pokutu.

Mam tak trochu (hodne) pocit, ze se vsichni priposrate drzite konkretnich formulaci, ale o nich to preci neni.

O cem je podstata GDPR?

Ano, spravne, o ochrane soukromi.

O cem je vpsFree?

Mit kousek soukromi na stabilnim bode v Internetu.

Takze?

Jak rikam, jsem ochotny hajit u soudu, ze delame pro soukromi, co muzeme uz od zacatku; od kdy se bere litera zakona u soudu doslovne? Od nikdy. Vzdy se resi ucel daneho zakona - a pokud nase chovani uz davno podtatne veci zahrnuje (tj informace o umisteni, pravo na smazani atd atd) - za co mas SKUTECNE muze nekdo popptahovat?

Ok, muze dupat na konkretnostech GDPR, kde evidentne vpsFree pojede po sve vlastni ose a ne podle ostatnich, tak fajn.

Ale ma sanci uspet pri odvolani, kdyz pujdeme k jadru veci? Nema. Znova: Jaky je smysl GDPR? A jaky je smysl existnce vpsFree?

A ze o tom nemame konkretni papir s kazdym konkretnim clenem, tak co jako ma bejt?

Kdyby clen nechtel aby jeho soukromi bylo u nas respektovani, clenem by proste nebyl. Stanovy a rady spolku jsou zavazne tim, ze jsi clenem.

Nevidim ani 0.1mm prostoru pro potrebu dalsich 350ti podpisu, zas to pratele neprehanejte, prosim.

/snajpa (Pavel Snajdr) (Predseda vpsFree.cz) (+420 720 107 791)

...

On 1 Feb 2018, at 22:54, Pavel Snajdr snajpa@snajpa.net wrote:

My ale podepisovat s nikym nic individualne nebudeme. Musi stacit obecna podoba.

Zadny poplatky navic.

Zadnej papir navic.

Jsme soukromi respektujici organizace a mame to v DNA od zacatku.

Jestli to nepujde udelat bez papiru, poplatku a pravniku, tak silne zvazuju se presunout mimo EU nadobro.

Uvedomte si, ze vpsFree delam tak nejlip, jak ho zvladnu delat pro sebe, pro vsechny.

Pokud EU zacina vymyslet pravidla prohibitivni pro moje fungovani v jejim ramci, nastava pro mne pomalu cas zvazovat odchod mimo EU. To neprehanim, uvazuju nad tim uz nejakou dobu a pri tom, jak se tu blyska na lepsi casy, co se svobody tyce, po vsech strankach, mam celkovou chut se tu na to vykaslat.

Pokud nejlepsi misto pro hosting pro mne osobne uz nebude v EU, tak ani nikomu nemuzu doporucit v EU hostovat a tim padem nemuzu delat vpsFree v EU, bylo by to pokrytecke.

A vy vsichni, co v EU takhle zustanete a nechate si komplikovat podnikani do ty miry, zese na to vykaslete a nechate se prevalcovat monopolama, si to tu pak uzijte.

Ja se pratele povazuji za svodobneho cloveka a ohybat zada pred byrokratem nehodlam.

Stejne jak se povedlo udelat vpsFree, vyhnout se vsem mechanismum znechucujici cinnost aktivnim lidem (papirovani, dane, tlak na zisky, tlak od statu a jeho instituci), tak se nam musi povest hacknout GDPR.

Zadne podepisovani papiru s kazdym druhym nebude, to neskaluje.

/snajpa (Pavel Snajdr) (Predseda vpsFree.cz) (+420 720 107 791)

...

On 1 Feb 2018, at 10:19, Lapčík Miroslav lapcik.m@centrum.cz wrote:

Ahoj,

nebylo by vhodnější, abychom jako sdružení kontaktovali právníka, který by nám připravil potřebné dokumenty pro sdružení vč. vzoru pro jednotlivé členy? Předpokládám, že cca 90% členů bude mít stejné dokumenty tzn. zpracovává "podobný" typ dat pro "podobné"účely.

Sdružení by mělo dokumenty po právní stránce v pořádku, využití a úprava vzoru už by bylo na zodpovědnost každého člena.

Možná by se to dalo uhradit jednorázovým poplatkem na GDPR od každého člena?

Budeme to muset řešit téměř všichni, tak si myslím, že by mohlo být výhodnější to řešit společně, ale netuším zda je to vůbec takhle možné.

---

Mirek

Dne 31.1.2018 v 21:15 Pavel Snajdr napsal(a):

...

Cauko Honzo,

diky za obsahlou odpoved.

Co mi neni jasny:

musime mit explicitni smlouvu s kazdym clenem, pokud rada spolku proste vyda potreba narizeni/opatreni v ramci soucasnych organizacnich radu spolku?

Tj. proste to bude platit pro vsechny cleny naprosto stejne, ze:

• data jsou na specifikovanych mistech viz dokumentace infrastruktury

na wiki

• k datum maji pristup specifikovane osoby viz dokumentace na wiki
• k datum ma potencialne, ale ne primo ani vyslovne pristup

subdodavatel (Master Internet)

• lidi s pristupem k datum maji pridanou motivaci neskodit pomoci

nejake hmotne zodpovednosti/NDA, kde se specifikuje, za co a proc maji zodpovednost (root access, vpsAdmin-level access).

A vymalovano, plus minus par drobnosti - tak si to jednoduse predstavuju.

Nebo to neni tak jednoduche?

Pokud ne, proc?

Jak konkretne to poresilo FORPSI?

A jinak, kdyby prislo tvrde na tvrde, za co, pekne prosim, muzeme dostat pokutu zrovna my, transparentni organizace, pokud:

• seznam lidi, co maji pristupy, mame uz daavno verejny
• umisteni dat - je verejne od zacatku
• pouzite technologie jsou publikovane od zacatku
• primo ve stanovach mame, ze o citlivych datech ma rada i kontrolni

komise zachovavat mlcenlivost

V cem konkretne nejsme pripraveni, kdyz se teda budem bavit o nejake dokazatelnosti toho, ze nejsme pripraveni, pripadne u soudu?

Za co muzem dostat pokutu, kdyz rizika mame takhle jasne popsana davno, kazdy je (doufam) chape (jako kde jsou masiny, kdo ma pristup, co to znamena bezet na sdilenem HW... co to znamena bezet ve sdilenem datacentrum). Vzdyt to pisem vsude od zacatku, jak co delame.

Prosim, moc pekne prosim, lidi, dejte mi proti tomu neco konkretnejsiho nez "IMHO" nazory motivovane strachem z byrokratu. Nepodelal jsem se zatim z financniho uradu, nepodelam se na svoji zodpovednost ani z GDPR, jenom musim vedet absolutne presne, s cim mam tu cest, abych si to "na svoji hubu" umel obhajit.

Ucetniho jsem pro vpsFree taky hledal podle toho, aby stal za nami, ze to co delame, proste *NENI* podnikani a stojim si za tim a stat budu u soudu, pokud na to nekdy prijde.

Obdobny pristup bych rad praktikoval ohledne GDPR, prosim linkujte relevantni info, proc to neni, jak si myslim, proc si myslim kraviny. Tedy, idealni endgame je ne, ze se nas zpracovani nijak netyka, ale ze co delame, je dostatecne transparentni a je dostatecne dohledatelna zodpovednost uz ted, aniz by bylo v podstate potreba cokoliv menit.

Diky moc za feedback ;)

/snajpa

...

On 2018-01-31 20:46, Ing. Jan Dvořák wrote: Ahoj!

IMHO to co je ve stanovách rozhodně stačit nebude. Nechci teď řešit členskou evidenci, apod. To je další věc k řešení, ale teď začnu trochu ze široka. Poskytování VPS je služba IaaS (infrastruktura jako služba). vpsFree, jako ten kdo tuto službu poskytuje je dle GDPR zpracovatelem osobních údajů. To jestli má přístup k osobním údajům členů na VPS nebo ne není rozhodující. Pokud vpsFree nebude mít smluvní ujednání se správci (členy) tak může být považován přímo za správce sám. Toto vše je novinka GDPR. Doposud se na tyto zpracovatele legislativa v oblasti osobních údajů nevztahovala nebo se dala obejít.

Takže vpsFree má IMHO dvě možnosti. Buď jasně deklaruje, že poskytnutá VPS jsou pouze pro osobní potřebu a zakáže členům zpracovávat na VPS jakékoliv osobní údaje. Tím pádem nebude muset řešit žádné GDPR, což ale bude znamenat odchod členů, na které se GDPR vztahuje. Nebo bude muset s každým členem, který bude na VPS zpracovávat osobní údaje uzavřít zpracovatelskou smlouvu. GDPR poměrně jasně stanovuje co taková smlouva má obsahovat a tak jen heslovitě:

• předmět a trvání zpracování
• povaha a účel zpracování
• typ osobních údajů a kategorii subjektů údajů
• povinnosti a práva správce
• povinnosti zpracovatele (zpracování osobní údajů jen na základě

dokumentovaných pokynů správce, zajistit důvěrnost, přijmout vhodná bezpečnostní opatření) Co z toho by se vztahovalo na smlouvu mezi vpsFree a členem, to je otázka na právníka. Dokázal bych si představit, že členové s takovou smlouvou by mohli mít třeba o něco vyšší členský poplatek, aby se pokryly vícenáklady

Termín účinnosti se pomalu ale jistě blíží. Ve firmách se provádí různé audity a je třeba aby vpsFree co nejdříve jasně deklarovalo jak se ke GDPR postaví, aby Ti členové, kterých se to týká (bohužel jsem to i já) se mohli zařídit.

Tento problém budou řešit všichni poskytovatelé hostingu, VPS, cloudových služeb. V ČR je situace zatím tristní, zatím toto nikdo neřešil, jedině FORPSI, co jsem viděl se k tomu zatím nějak postavili. Co jsem tak sondoval v zahraničí tak úplně připraveny jsou jen ti největší (Microsoft, Amazon, apod.) a ti menší se postupně připravují. Nicméně ke změnám v Service Agreementech v souvislosti s GDPR určitě bude docházet.

Je třeba si taky říct, že s GDPR také přichází jedna zásadní změna. Doposud porušení zákona správcem musel prokazovat úřad, ale s GDPR je to naopak. Správce je ten, který musí prokazovat, že nic neporušil.

A malá poznámka na závěr, jak zaznělo na jednom semináři. Největším rizikem GDPR není vlastní nařízení, úřady, kontroly, pokuty apod. Největším rizikem jsou lidé. Díky mediální masáži a bublině se může objevit spoustu trollů, kteří díky GDPR dostanou do ruky jednoduchou možnost škodit.

Honza.

Dne 31.1.2018 v 08:12 zd nex napsal(a):

...

Ahojte,

také si tu směrnici vykládám tak, že každý člen musí za data na VPS zodpovídat sám (mít pověřenou osobu, která s tím pracuje + papír, že je o tom seznámená.) Co se týče dat na VPSFree, tak tam půjde primárně o to, jestli stačí to co je ve stanovách - či jestli nějak bude také potřeba tedy domluvit (sepsat smlouvu) mezi členem(jeho daty) a vpsfree nějak odděleně, nebo bude pouze stačit, aby to bylo ve stanovách - že jsou zde admini a následně jednotlivý členové co pracují s VPS(kteří jsou zodpovědní za data)? Tzn tím pádem, by nemělo být nutné nic měnit, kromě té specifikace - kdo a jaký má přístup k VPS a jakou zodpovědnost (plnou).

-- S pozdravem,

Zdeněk Dlauhý

Email:support@pripravto.cz mailto:support@pripravto.cz Mobil: +420 702 549 370 Web: www.pripravto.cz http://www.pripravto.cz

Dne 31. ledna 2018 6:21 Petr Juhaňák <petr@juhanak.cz mailto:petr@juhanak.cz> napsal(a):

Je to tak jak rika Jirka.

VpsFree si udela samo datovy audit z hlediska osobnich udaju ktere eviduje o clenech a sepise si na papir kde a v jakem rozsahu jsou a hlavne zadokumentuje jaka opatreni uz ma (procesy a technicka nastaveni) aby to vypadalo jako rizena prace s riziky. Pak pravni dokumenty typu informovane souhlasy.

To same si udelaji clenove ale v jinem ramci, uz na urovni jejich provozovane technologie php eshopy a podobne a zase seznam opatreni, proces kdyz nekdo odvola souhlas se zpracovanim, seznam opatreni.

To jsou veci ktere si kazdy muze pripravit uz ted.

Predstava, ze vpdfree je tu od toho aby zajistila soulad s gdpr je mylna. To si musi zajistit kazdy clen sam, tj. nemluvim o technickem svete.

S pozdravem Petr Juhaňák

petr@juhanak.cz mailto:petr@juhanak.cz | +420 739 639 132 tel:+420%20739%20639%20132

-------- Původní zpráva -------- Od: Jindřich Sadílek <jindrich.sadilek@gmail.com mailto:jindrich.sadilek@gmail.com> Datum: 31.01.18 1:41 (GMT+01:00) Komu: community-list@lists.vpsfree.cz mailto:community-list@lists.vpsfree.cz Předmět: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR

Jedna věc je, co si musí pořešit VPSfree jako organizace, zcela jiná pak jendotliví správci vlastních žiletek.

Provozujete nějaký jednoduchý eshop, máte uživatelské registrace a pošlete semtam email, natož považovatelný za reklamní? Jste v tom až po uši...

Dne St, 31. leden 2018 v 00:30 h uživatel Jirka Bourek napsal: > Problém je, že tohle všechno řeší technické věci, které udělat > chceš, > ale neřeší to chybějící papíry, které potřebuješ pro úřad. > > Jasně, v oboru "no tak nám procesory trochu leakujou paměť, > hlavně že > jsem náhodou včas prodal akcie" nějakou skutečnou ochranu osobních > údajů > v podstatě řešit nejde. Jenže to úředníky z EU nezajímá - ti > vymysleli > směrnici na ochranu osobních údajů, takže se osobní údaje > chrání tak, > jak nařizuje směrnice. Až přijde kontrola, argumentace "dyť je to > nesmysl!" nic nezachrání. > > Takže správce potřebuje se zpracovatelem mít smlouvu nebo jiný > právní > akt. Pokud je právním aktem - dostatečným pro úřad - členství v > vpsfree, > tak je asi všechno v poho. > (http://www.privacy-regulation.eu/cs/28.htm > http://www.privacy-regulation.eu/cs/28.htm) > Pokud ne, tak je problém. > > Jinak teda > >> Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi, jakou ma > zodpovednost, best practices v ohledu bezpecnosti davno sleduje. > > Co když to neví, nebo na to dlabe? :-) > > > Pavel Snajdr wrote: > > Stejne jako oskenovat, co ti tam bezi a dostat se ti tam bez > zvednuti my pohodlny zadele, obzvlast pokud jedes nejakou > PHPkovinu a data, ktery by bylo potreba chranit, jsou primo v > DB, kam ty PHP spagety vidi. > > A co ted s tim, vypneme to vsehno? ;) > > Chci tim rict, ze panikrit IMHO neni na miste a kdyz se nad > tim clovek zamysli, zasifrovat vsechno taky neni reseni. > > Jinak ja jsem za GDPR rad, mam vymluvu, proc si sebou budu > nosit klicenku s trhavinou na flashkach, mame vymluvu, proc > plosne nasadit sifrovani, proc se nam nepujde dostat do racku > neautorizovane, aniz by to neodmazlo klice a neshodilo vsehno > chraneny (tj. abys nam fakt nechtel otevrit ten rack). > > Ne ze by GDPR neco resilo, ale dava van super vymluvu, jak > muzem nase systemy postupne posouvat vic smerem plausible > deniability, tj. soukromi je level jedna, level nuda, ale co > nam to umozni je ochranit i adminy pred tim, aby vedeli, co > clen bezi. > > Neumel jsem si bez GDPR predstavit, jak zvysovat zabezpeceni > bez toho, aby to vypadalo, jako kdyz se chystame hostovat tunu > detskyho porna a lokalni pobocku CIA. Jenom to nebude vsehno > hned - a nektery levely zabezpeceni na sharovanym hardwaru ani > nepujde udelat. > > Chci: > > - sifrovani v ZoL > - aby clen mel moznost klic per dataset neulozit, ale zadat si > ho sam pres bezpecny kanal (ssh/https api call) > - monitoring otevreni racku co bez nahlaseni predem donuti > masiny smazat klice z RAM > > Ale tohle je furt malo, pokud admini nemaji vedet, co clen > bezi. Ani fullvirt ani se sifrovanou RAM na AMD nam nepomuze, > takze resim, jak zahostovat single board desky pro cleny, > kteri chteji mit moznost nejcitlivejsi data mit fakt soukrome. > > Ve finale: > > - budes mit moznost data na VPS sifrovat svymi hesly, ktera se > u nas nebudou ukladat (prusvih je, ze my nemame jak dokazat, > ze jsme to nikde neulozili) > > - pri neautorizovanym pristupu do racku se klice smaznou, to > samy pri rebootu/resetu a je pak na tobe zvazit, jestli je OK > data uz odemknout > > - budes mit moznost nejcitlivejsi data vysoupnout vedle po > siti na svuj dedikovanej systemek kalibru ARM Cortex A53, do > budoucna RISC-V > > Problem nastava, kdyz s adminkem pujde do datacentra nekdo > sebedulezitejsi, nez GDRP byrokrat s kulometem u palice, pak > admin nema moznost ani nejak kliknout smazani klicu, nebo > aspon nejakej counter na webu ve smyslu kanarka, ktery bude > pocitat pocet podobnych incidentu. > > Shared computing ma svoje limity, bohuzel, jestli sledujes, > kam tim mirim. > > GDPR podle mne vyzaduje nutne jenom nejaky papirovani, ale do > budoucna nam dava zaminku jit na to vic z husta, co se > soukromi tyce. > > Muze nam pak nekdo nadavat, ze delame hosting detskyho porna a > teroristum, kdyz mame racky obehnany pomalu ziletkovym dratem? > Nemuze, at si stezuje v Bruselu. > > Za mne dobry, ale nebude to hned. A v prvni vlne bude hlavne > to papirovani. V druhy vlne se musime zbavit nedostacujiciho > OpenVZ, vpsAdminOS ma podstatne lip ovladatelnejsi > bezpecnostni politiku - a je odspoda nahoru cely podepsany a > verifikovatelny. > > /snajpa > > On 30 Jan 2018, at 23:41, Jaroslav Skrivan > <skrivy@skrivy.net mailto:skrivy@skrivy.net> wrote: > > Jenom moje osobni zkusenost - odnest si cizi disky z > datacentra neni zas takovy problem, jak se na prvni pohled > muze zdat. > From: Pavel Snajdr > Sent: ‎1/‎30/‎2018 10:49 PM > To: vpsFree.cz Community list > Subject: Re: [vpsFree.cz: community-list] vpsFree.cz a > GDPR > > Ahoj, > > GDPR je, pokud to dobre chapu, totalni nesmysl, z kteryho > jsou vsichni vyjukani uplne, ale naprosto totalne > zbytecne. > > Podivej se, co bezime za procesory. > > Jak ma nekdo neco v takovym stavu vubec industry-wide za > neco rucit? > > Za mne je GDPR o tom a pouze o tom, ze musime podepsat > papir s lidmi, co maji admin pristupy, aby acknuli > oficialne svoji zodpovednost. > > V seznamu clenu uz ted mame jenom nejnutnejsi udaje (podle > posledni zkusenosti s PCR a PSR jim k identifikaci ani to > nemusi stacit...). > > Ve stanovach mame zakotvenou ochranu dat clenu uz od > zacatku. > > Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi, > jakou ma zodpovednost, best practices v ohledu bezpecnosti > davno sleduje. > > A kdyz si nekdo mysli, ze Vsechno Zasifrovat(tm) to > vyresi, tak se rovnou zeptam - a borci, jak se k tomu asi > programy na ty masine dostanou? Hint: stejne musi byt data > odemcena pri behu. A ze se k nim neco dostane za behu je > mnoooohem pravdepodobnejsi, nez ze nam z hlidanyho > datacentra nekdo ukradne disky a vycte si neco offline. > > Tedy, muj nazor je, ze vubec neni potreba panikarit a > natoz se uchylovat k reseni stylem ‘radsi to na vpsFree > nedam vubec’. To ty servery muzeme rovnou vypnout totiz - > a cely to zabalit s tim, ze jsme se nechali prevalcovat > byrokratama. > > /snajpa > (Pavel Snajdr) > (Predseda vpsFree.cz) > (+420 720 107 791 tel:+420%20720%20107%20791) > > On 30 Jan 2018, at 22:10, Lukáš Jelínek - AIKEN > <lukas@aiken.cz mailto:lukas@aiken.cz> wrote: > > Ahoj, > > pokud si vzpomínám, tak něco podobného už se řešilo na > valné hromadě > (byť ještě nebylo nařízení GDPR). A situace je v > podstatě taková, že to > asi příliš řešit nelze, protože by to pro spolek > znamenalo velkou > administrativní zátěž a značný nárůst nákladů. > > Čili asi nejčistším řešením v tuto chvíli je, > nevyužívat servery > vpsFree.cz k ukládání osobních údajů - přinejmenším do > doby, než se > všechny záležitosti vyřeší (a než vůbec vznikne nějaký > závazný výklad > různých ustanovení směrnice). > > Lukáš Jelínek > > > > Ahoj ve spolek! > > Datum 25.5.2018, kdy nám vstupuje v účinnost GDPR > se pomalu ale jistě > blíží. Bohužel jsem byl, ač neprávník do této > problematiky trochu > zatlačen a byly na mě již vzneseny dotazy týkající > se GDPR a vpsFree. > > Myslím, si, že je nás více, kteří na VPS máme > uloženy nějaké ty osobní > údaje (adresy, emaily, apod.) a skoro všichni máme > nějaký ten > webserver, kde se logují IP adresy, které jsou > rovněž považovány za > osobní údaje. Díky tomu jsme z pohledu GDPR > považování za správce > osobních údajů. Podle článku 4 GDPR se zpracovaním > osobních údajů > rozumí také ukládání osobních údajů. Z toho plyne, > že jakýkoliv > poskytovatel cloudových služeb, hostingu, VPS, > atd. je vůči správci v > postavení zpracovatele osobních údajů. Článek 28 > GDPR potom řeší vztah > zpracovatele a správce, kde mj. požaduje nějaký > smluvní vztah mezi > nimi. Když to převedu na protředí vpsFree tak > členové jsou v podstatě > správci osobních údajů a vpsFree je zpracovatelem > osobních údajů. > > Můj dotaz zní, zda a jak bylo nebo bude GDPR > řešeno na úrovní vpsFree? > V podstatě asi jde o to, aby bylo v případě > kontroly z UOOÚ možno > něčím nebo nějak prokázat, že vpsFree je v souladu > s GDPR a taky > garantuje, že data nebudou uložena mimo EU. Věřím, > že v našich řadách > jsou kompetentnější členové v této věci jako já a > tak bých rád otevřel > diskusi. > > Honza. > > > _________________________________________________ > Community-list mailing list > Community-list@lists.vpsfree.cz > mailto:Community-list@lists.vpsfree.cz > http://lists.vpsfree.cz/listinfo/community-list > http://lists.vpsfree.cz/listinfo/community-list > > > _________________________________________________ > Community-list mailing list > Community-list@lists.vpsfree.cz > mailto:Community-list@lists.vpsfree.cz > http://lists.vpsfree.cz/listinfo/community-list > http://lists.vpsfree.cz/listinfo/community-list > _________________________________________________ > Community-list mailing list > Community-list@lists.vpsfree.cz > mailto:Community-list@lists.vpsfree.cz > http://lists.vpsfree.cz/listinfo/community-list > http://lists.vpsfree.cz/listinfo/community-list > > > > > _________________________________________________ > Community-list mailing list > Community-list@lists.vpsfree.cz > mailto:Community-list@lists.vpsfree.cz > http://lists.vpsfree.cz/listinfo/community-list > http://lists.vpsfree.cz/listinfo/community-list > > _________________________________________________ > Community-list mailing list > Community-list@lists.vpsfree.cz > mailto:Community-list@lists.vpsfree.cz > http://lists.vpsfree.cz/listinfo/community-list > http://lists.vpsfree.cz/listinfo/community-list

---

Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list http://lists.vpsfree.cz/listinfo/community-list

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

-- Ing. Jan Dvorak

---

Ing. Jan Dvorak Fischerova 690/23 779 00 Olomouc, Nove Sady Czech Republic

---

Tel: +420-603 444 240 E-mail: jan.dvorak@dvorak-sw.com Web: http://www.dvorak-sw.com

---

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

On 2018-02-02 00:19, Jirka Bourek wrote:

...

Jestli to nepujde udelat bez papiru, poplatku a pravniku, tak silne zvazuju se presunout mimo EU nadobro.

Zcela chápu, ale pak spousta členů bude muset odejít, protože z GDPR AFAIK vyplývá i povinnost mít data v EU.

...

Pokud EU zacina vymyslet pravidla prohibitivni pro moje fungovani v jejim ramci, nastava pro mne pomalu cas zvazovat odchod mimo EU. To neprehanim, uvazuju nad tim uz nejakou dobu a pri tom, jak se tu blyska na lepsi casy, co se svobody tyce, po vsech strankach, mam celkovou chut se tu na to vykaslat.

Až vymyslíš, KAM odejít, aby to nebylo horší, tak dej vědět :-)

Jo, je videt, ze uz mne kousek znas :D

No, a tak - hlavni je, se z toho neposr*ti, ze. Baleni a vybirani destinace pro jednosmernou letenku muzu na chvili jeste odlozit, pokud se jsme schopni dohodnout na tom, ze budeme hledat nejakou vlastni cestu, jak tyhle vymysly implementovat a ze budeme vzdycky hledet to implementovat s co nejmensim dopadem na cleny. Velmi by se mi libilo, kdyby vpsFree mohla byt takova trochu oaza normalnosti. Kde se soukromi respektuje a ne si na nej jenom hrajeme.

Treba s tim logovanim - kde je nejaka ochrana soukromi, pokud zacneme logovat spojeni pres routery?

Jsem toho nazoru, ze auditovatelnost by mela byt na aplikacnim levelu tam, kde je potreba - a pak by mela taky prikladat do audit logu patricne metadata, na ktere vidi jenom ta aplikace sama. Jako treba, ktery konkretni uzivatel to spojeni udelal a jake pouzil klice, IP adresy a porty z netflow jsou nedostatecne.

Nebo tedka podepisovani papiru vyjmenovavajici, jake udaje si nas clen chrani, to preci vytvari dalsi velmi citlivou databazi (at uz papirove, nebo na pocitaci), ktera je automaticky velmi vysoko v DOWANT listu, pokud chci nejakou organizaci pwnout... Takhle tedy ne. Plausible deniability is the key here. Nechci vedet, co kdo u nas bezi. Pro mne je to vsechno apriori citlive.

Mate nekdo kontakt na rozumny pravniky? Kdyz uz to budem resit...

Zaroven teda, jaky jsou vsechny situace, ktery potrebujeme vystihnout?

Mame tu eshopisty, webhostery, ruzne webove aplikace; koho dalsiho bychom meli zahrnout, kdyz budem nejako stavet reseni pro vsechny?

Nejaky rozpocet na rozumneho pravnika by asi byl (otazka je, kolik konkretne - jestli to bude vic, nez nejakych 100k, tak se to da ).

Rozhodne nechci nikam do chainu pridavat nejakou autogramiadu, musime to vymyslet bez ni.

Ale muzeme ten chain-of-GDPR-trust vymyslet napric az do konce.

Hledame tedy nekoho, kdo nam pomuze prorazit nejakou nasi vlastni GDPR implementaci.

Dik predem za tipy :)

/snajpa

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

Nejsem právník, berte s rezervou: Osobní údaj je takový údaj, který umožňuje identifikovat osobu - buď přímo, nebo ve spojení s nějakým jiným údajem.

Příklad - Jarda Novák z Prahy 4, bytem ulice Něcovpražčtyřská 123 - jednoznačně identifikuje osobu.

Příklad - počítač s IP adresou 1.2.3.4 se přihlásil do SSH honeypotu účtem root a heslem toor a pokusil se nahrát tam nějaký perlovský skript - neidentifikuje žádnou osobu, není osobní údaj.

To mezi tím je - podle mě - šedá zóna. Když budu mít v access logu údaj, že z IP adresy 4.3.2.1 se stáhl tenhle seznam obrázků a stránka s URL /hrnec/ , tak to jako osobní údaj moc nevypadá. Až do doby, než se někam do databáze zaloguje, že Jarda Novák si z IP adresy 4.3.2.1 objednal hrnec, protože tahle informace spojuje Jardu Nováka s jeho IP adresou.

Údaj o IP v té databázi je nejspíš osobní, ale je osobní údaj i to, co je v logu? (Za předpokladu, že třeba log webserveru mám já, databázi provozuju taky já, ale patří klientovi.)

No a najednou možná máte logy plné osobních údajů. Což je samozřejmě problém, protože máte taky povinnost je vymazat v případě, že si někdo řekne, což je blbé, protože ty záznamy včetně IP adresy v nich máte proto, aby bylo podle čeho identifikovat, kdo kde dělá bordel.

Já bych to shrnul tak, že to, na čem bude nejvíc záležet, je, co si myslí úřad - nutnost mít logy včetně IP adres pro zpětnou analýzu je zajímat nebude, zaíjmat je bude jenom to, jestli je váš pohled na to, co je osobní údaj, shodný s jejich.

Pokud se ten pohled neshoduje, moc se neděje, pokud na vás nepřijdou.

Když na vás přijdou, nezbude vám nic jiného, než se odvolávat a soudit a doufat...

On 2.2.2018 07:47, zd nex wrote:

Také jsem za společné řešení, které by to upravovalo globálně.

Jinak například:

• vnější webserver - určitě logování ip adres
• aplikace s registrací (eshop/webová aplikace) - hodně informací o

přístupech+ip / obvykle zápis akcí a v db osobní údaje

• služba pro chat či posílání dat - asi se může považovat za aplikaci
• mail server - obvykle hodně přesné logování ip/uživatele i přímo v emailu

/ adresy uživatelů

• webhosting člena pro jiné firmy - zde se to začne více komplikovat

zanořením

• pak samo sebou ssh (kde se zapisují také přístupy ip) - doufám, že boti

nebudou mít v budoucnu také ochranu soukromí (ale pokud předpokládáme, že se přihlašují jen zaměstnanci, či spolupracovníci, tak tam snad nic takové nehraje roli)

Předpokládám, že členové logují někdy na úrovni firewallu či proxy a to je tedy další level. Takže obecně by se mělo asi říci, že všechny data ve VPS vyžadují ochranu soukromí.

Mimo můžete někdo zkusit vysvětlit jak je to s tou IP adresou a tím že je to osobní údaj? Pokud má někdo i údaje potřebné k účetnictví, tak ty jsou myslím vyloučené, jelikož jejich vyžadování upravuje jiný zákon, je to tak? Mimo to není náhodou požadavek na logování ip adres a spojení přímo daný nějakým zákonem o telekomunikaci, pro zpětné dohledání? nebo to se týká jen větších datacenter/poskytovatelů? Vlastně ani nevím jak moc je toto nové nařízení vlastně tak důležité, když je tu facebook (a jiné) který je plný osobních údajů.

Trochu offtopic (řešíte někdo GDPR spolu s analytics/hotjar/piwik a jiné?)

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

Dobrý, akorát bez odkazů na příslušné předpisy je to podle mě jenom hezky vybarvené plácnutí do webu.

Krom toho zatímco na povinnost uchovávat faktury zákon je, na povinnost uchovávat logy zákon není (nebo už ho obnovili poté, co ho ÚS zrušil?) A neřeší to situaci, kdy bych ten log chtěl mít dýl (nebo naopak kratší dobu.)

On 2.2.2018 10:50, Matěj Koudelka wrote:

...

No a najednou možná máte logy plné osobních údajů. Což je samozřejmě problém, protože máte taky povinnost je vymazat v případě, že si někdo řekne, což je blbé, protože ty záznamy včetně IP adresy v nich máte proto, aby bylo podle čeho identifikovat, kdo kde dělá bordel.

Osobní údaj je třeba i faktura za ten Jardův hrnec. To samozřejmě taky mazat nemůžeme. Zeptáme se Evy ;)

https://www.gdpr.cz/blog/je-pravo-na-vymaz-absolutnim-pravem-pokud-zakaznik-...

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

sorry, nečtu po sobě ;) když uživatelské jméno je email a je obsažený v url

Ahoj,

tady není žádná právní nejistota. To že je IP adresa považována za osobní údaj je dáno judikátem Evropského soudního dvora. Toto je jedna z mála věcí, která je jasná.

Honza.

Dne 2018-02-02 13:03, Jirka Bourek napsal:

Což já bych IP adresu taky považoval za anonymní údaj - zejména v době, kdy jednu IP sdílí několik lidí a u IPv6 (když už je) nemám šanci poznat, kdo je u toho ISP kdo. Jenže úřad může mít jiný názor (třeba že IP adresa je v mém logu osobní údaj, protože u ISP je zalogováno, kdo ji v tu dobu používal) a soudy ještě jiný.

Myslím, že se tomuhle stavu říká právní nejistota (spojená s naprostým odtržením toho, kdo předpis psal, od oboru, kterého se týká). Bohužel je to čím dál tím běžnější jev a přechod od nejistoty k výkladu (u soudu) může pro nějakého nešťastníka znamenat velké až likvidační náklady.

On 2.2.2018 12:54, Matěj Koudelka wrote:

...

...

Dobrý, akorát bez odkazů na příslušné předpisy je to podle mě jenom hezky vybarvené plácnutí do webu.

Tak já jsem taky jenom plácnul do webu.

...

Krom toho zatímco na povinnost uchovávat faktury zákon je, na povinnost uchovávat logy zákon není (nebo už ho obnovili poté, co ho ÚS zrušil?) A neřeší to situaci, kdy bych ten log chtěl mít dýl (nebo naopak kratší dobu.)

Pokud se bavíme o logách webserveru, tak co tam máme abychom to mohli spárovat s konkrétní osobou? IP adresu a případně v url uživatelské jméno. Pokud vymažeme uživatele ze systému, jeho uživatelské jméno už nebude existovat tudíž nebude spárovatelné s konkrétní osobou a osobně bych takový údaj považoval za anonymní. Problém asi trochu nastává, když uživatelské jméno je IP adresa a je obsažené v url... to se ale doufám moc často nepraktikuje.

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

Ahoj,

to je jednoduche a na otazku "kam to dat" pravnika fakt nepotrebujeme ;)

Mame tri rady, ktere to muzou upravovat, aniz bychom menili stanovy:

- provozni - organizacni - financni

Tohle spada pod provozni/organizacni rady, uplne v pohode to tam pujde vyformulovat.

Otazkou jsou spis konkretni formulace, ale na ty mame jeste nejakou chvili, takze myslim neni duvod panikarit s "musel bych odejit". Ze si z toho (obrazne receno) "nesedam na zadek" (tj. nechytam se za hlavu v nejvyssim stupni paniky), neznamena, ze mam nezajem to resit (a prodlouzene teda ze by vpsFree GDPR neresilo). Mne spis prijde maximalne usmevne, ze u organizace, kterou jsme zalozili prave kvuli respektu vuci cloveku, co chce nekde hostovat, vubec je prostor pro nejakou takovouhle paniku. Vsak kdo je na GDPR pripravenejsi?

Pro nas to znamena par drobnych uprav.

A hele, ad diskuze s tim hashovanim IP adres v logach - to je taky strasna tragikomedie, protoze:

a] jednak ty logy jsou normalne potreba k zajisteni provozu serveru (bez logu se tezko da neco opravovat) b] druhak jsou ty logy serveru lokalni a nejsou vystavovane ven (a kdo ma citelne logy navenek nejak, ma vetsi problem, nez unik par cisel z tech logu, protoze dava recept, jak tu masinu naplno vyhakovat, takze nejakych par cislicek...)

Za sebe (osobni pohled a osobni zodpovednost) muzu rict, ze odmazavat IP adresy z logu nehodlam, uz ted musim resit, aby mi ty logy zustaly privatni, zadna zmena situace proto nenastala.

Ja vnimam GDPR hlavne tak, ze musime ne-arogantne zformulovat do tech radu nas postoj tak, aby bylo videt, ze jsme nic moc menit nemuseli, o soukromi nam slo vzdycky a z narizeni ze si nedelame holubnik, nybrz ho bereme vazne (ale rozhodne ne "papezsteji nez papez", tedy do puntiku a jeste nad plan - to tedy ne).

Jsem v kontaktu s nekolika lidmi (dik za diskuzi a kontakty), dam vedet, jakmile bude progress.

(Kdybyste mel nekdo jeste dalsi kontakty na nekoho relevantniho, zabyvajicim se GDPR okolo hostingu, klidne posunte prosim).

/snajpa

On 2018-02-14 11:20, Ing. Jan Dvořák wrote:

Ahoj,

tak jsem oslovil s dotazem na GDPR několik poskyovatelů hostingových a cloudových služeb u nás i v zahraničí a ve většině případů mi bylo řečeno neco ve smyslu, že vztah zákazník (správce osobních údajů) a poskytovatel (zpracovatel osobních údajů) bude řešen ve smluvních podmínkách nebo dodatkem ke smluvním podmínkám, jako to má řešeno třeba OVH zde https://ovhcloud.com/legal/data-privacy-addendum

Nabízí se otázka na jak toto ošetřit v podmínkách vpsFree jelikož nejsme standardní firma se smluvními podmínkami ale spolek se stanovami, což by měl zodpovědět právník. Z pozice člena potřebuji nějaký právně závazný dokument, který upravuje vztah s vpsFree coby zpracovatelem, v souladu s GDPR a který, nebo odkaz na něj si budu moct založit do dokumentace ke GDPR a v případě kontroly se ním prokázat dozorovému orgánu. Nic víc. Fakt bych nerad byl nucen od vpsFree odejít kvůli tomuhle.

Honza.

Dne 2018-02-02 13:50, Ing. Jan Dvořák napsal:

...

Ahoj,

tady není žádná právní nejistota. To že je IP adresa považována za osobní údaj je dáno judikátem Evropského soudního dvora. Toto je jedna z mála věcí, která je jasná.

Honza.

Dne 2018-02-02 13:03, Jirka Bourek napsal:

...

Což já bych IP adresu taky považoval za anonymní údaj - zejména v době, kdy jednu IP sdílí několik lidí a u IPv6 (když už je) nemám šanci poznat, kdo je u toho ISP kdo. Jenže úřad může mít jiný názor (třeba že IP adresa je v mém logu osobní údaj, protože u ISP je zalogováno, kdo ji v tu dobu používal) a soudy ještě jiný.

Myslím, že se tomuhle stavu říká právní nejistota (spojená s naprostým odtržením toho, kdo předpis psal, od oboru, kterého se týká). Bohužel je to čím dál tím běžnější jev a přechod od nejistoty k výkladu (u soudu) může pro nějakého nešťastníka znamenat velké až likvidační náklady.

On 2.2.2018 12:54, Matěj Koudelka wrote:

...

...

Dobrý, akorát bez odkazů na příslušné předpisy je to podle mě jenom hezky vybarvené plácnutí do webu.

Tak já jsem taky jenom plácnul do webu.

...

Krom toho zatímco na povinnost uchovávat faktury zákon je, na povinnost uchovávat logy zákon není (nebo už ho obnovili poté, co ho ÚS zrušil?) A neřeší to situaci, kdy bych ten log chtěl mít dýl (nebo naopak kratší dobu.)

Pokud se bavíme o logách webserveru, tak co tam máme abychom to mohli spárovat s konkrétní osobou? IP adresu a případně v url uživatelské jméno. Pokud vymažeme uživatele ze systému, jeho uživatelské jméno už nebude existovat tudíž nebude spárovatelné s konkrétní osobou a osobně bych takový údaj považoval za anonymní. Problém asi trochu nastává, když uživatelské jméno je IP adresa a je obsažené v url... to se ale doufám moc často nepraktikuje.

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

-- Ing. Jan Dvorak

---

Ing. Jan Dvorak Fischerova 690/23 779 00 Olomouc, Nove Sady Czech Republic

---

Tel: +420 603 444 240 E-mail: jan.dvorak@dvorak-sw.com Web: http://www.dvorak-sw.com

---

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

On 2018-02-14 13:28, Jirka Bourek wrote:

S těmi logy, ono to podle mě nebude tak, že "hashuju IP adresy, tak nemusím řešit únik logů", ale naopak je to opatření pro případ, že logy jsou privátní, ale přesto uniknou.

Protože když tam budou IP adresy, tak je to únik osobních údajů, zatímco když tam budou hashe, tak ne (až na ten detail ohledně velikosti prostoru IPv4 adres, ale to by mohlo projít.)

Kdyz tam nebudou IP adresy:

- jak vyresis technicky problem s nejakou konkretni ISP siti? - co dodas, pokud po tobe PCR bude chtit v dukaznim rizeni (ci jak tomu rikaji) logy, kdyz pres v komentarich na tvem osobnim blogu dojde ke spachani trestneho cinu?

Nejak mi to bez tech IP adres neprijde moc realne, stejne je budou IMHO vsichni dal sbirat.

IMHO pak smysl GDPR a podobnych reguli je spis pak v tom, nastavit nejake postupy, ne? Nemusi se to pak hlasit nejakemu narodnimu CIRTu?

Pokuty bych cekal az kdyz clovek tohle cele odignoruje a nedodrzi postup vubec zadny (minimalne dokud se neujasni, co vlastne je spatne konkretni trestatelne chovani, kteremu timhle regulovanim chceme predchazet).

/snajpa

On 14.2.2018 12:54, Pavel Snajdr wrote:

...

Ahoj,

to je jednoduche a na otazku "kam to dat" pravnika fakt nepotrebujeme ;)

Mame tri rady, ktere to muzou upravovat, aniz bychom menili stanovy:

• provozni
• organizacni
• financni

Tohle spada pod provozni/organizacni rady, uplne v pohode to tam pujde vyformulovat.

Otazkou jsou spis konkretni formulace, ale na ty mame jeste nejakou chvili, takze myslim neni duvod panikarit s "musel bych odejit". Ze si z toho (obrazne receno) "nesedam na zadek" (tj. nechytam se za hlavu v nejvyssim stupni paniky), neznamena, ze mam nezajem to resit (a prodlouzene teda ze by vpsFree GDPR neresilo). Mne spis prijde maximalne usmevne, ze u organizace, kterou jsme zalozili prave kvuli respektu vuci cloveku, co chce nekde hostovat, vubec je prostor pro nejakou takovouhle paniku. Vsak kdo je na GDPR pripravenejsi?

Pro nas to znamena par drobnych uprav.

A hele, ad diskuze s tim hashovanim IP adres v logach - to je taky strasna tragikomedie, protoze:

a] jednak ty logy jsou normalne potreba k zajisteni provozu serveru (bez logu se tezko da neco opravovat) b] druhak jsou ty logy serveru lokalni a nejsou vystavovane ven (a kdo ma citelne logy navenek nejak, ma vetsi problem, nez unik par cisel z tech logu, protoze dava recept, jak tu masinu naplno vyhakovat, takze nejakych par cislicek...)

Za sebe (osobni pohled a osobni zodpovednost) muzu rict, ze odmazavat IP adresy z logu nehodlam, uz ted musim resit, aby mi ty logy zustaly privatni, zadna zmena situace proto nenastala.

Ja vnimam GDPR hlavne tak, ze musime ne-arogantne zformulovat do tech radu nas postoj tak, aby bylo videt, ze jsme nic moc menit nemuseli, o soukromi nam slo vzdycky a z narizeni ze si nedelame holubnik, nybrz ho bereme vazne (ale rozhodne ne "papezsteji nez papez", tedy do puntiku a jeste nad plan - to tedy ne).

Jsem v kontaktu s nekolika lidmi (dik za diskuzi a kontakty), dam vedet, jakmile bude progress.

(Kdybyste mel nekdo jeste dalsi kontakty na nekoho relevantniho, zabyvajicim se GDPR okolo hostingu, klidne posunte prosim).

/snajpa

On 2018-02-14 11:20, Ing. Jan Dvořák wrote:

...

Ahoj,

tak jsem oslovil s dotazem na GDPR několik poskyovatelů hostingových a cloudových služeb u nás i v zahraničí a ve většině případů mi bylo řečeno neco ve smyslu, že vztah zákazník (správce osobních údajů) a poskytovatel (zpracovatel osobních údajů) bude řešen ve smluvních podmínkách nebo dodatkem ke smluvním podmínkám, jako to má řešeno třeba OVH zde https://ovhcloud.com/legal/data-privacy-addendum

Nabízí se otázka na jak toto ošetřit v podmínkách vpsFree jelikož nejsme standardní firma se smluvními podmínkami ale spolek se stanovami, což by měl zodpovědět právník. Z pozice člena potřebuji nějaký právně závazný dokument, který upravuje vztah s vpsFree coby zpracovatelem, v souladu s GDPR a který, nebo odkaz na něj si budu moct založit do dokumentace ke GDPR a v případě kontroly se ním prokázat dozorovému orgánu. Nic víc. Fakt bych nerad byl nucen od vpsFree odejít kvůli tomuhle.

Honza.

Dne 2018-02-02 13:50, Ing. Jan Dvořák napsal:

...

Ahoj,

tady není žádná právní nejistota. To že je IP adresa považována za osobní údaj je dáno judikátem Evropského soudního dvora. Toto je jedna z mála věcí, která je jasná.

Honza.

Dne 2018-02-02 13:03, Jirka Bourek napsal:

...

Což já bych IP adresu taky považoval za anonymní údaj - zejména v době, kdy jednu IP sdílí několik lidí a u IPv6 (když už je) nemám šanci poznat, kdo je u toho ISP kdo. Jenže úřad může mít jiný názor (třeba že IP adresa je v mém logu osobní údaj, protože u ISP je zalogováno, kdo ji v tu dobu používal) a soudy ještě jiný.

Myslím, že se tomuhle stavu říká právní nejistota (spojená s naprostým odtržením toho, kdo předpis psal, od oboru, kterého se týká). Bohužel je to čím dál tím běžnější jev a přechod od nejistoty k výkladu (u soudu) může pro nějakého nešťastníka znamenat velké až likvidační náklady.

On 2.2.2018 12:54, Matěj Koudelka wrote:

...

> > Dobrý, akorát bez odkazů na příslušné předpisy je to podle mě > jenom hezky > vybarvené plácnutí do webu. >

Tak já jsem taky jenom plácnul do webu.

> Krom toho zatímco na povinnost uchovávat faktury zákon je, na > povinnost > uchovávat logy zákon není (nebo už ho obnovili poté, co ho ÚS > zrušil?) A > neřeší to situaci, kdy bych ten log chtěl mít dýl (nebo naopak > kratší dobu.)

Pokud se bavíme o logách webserveru, tak co tam máme abychom to mohli spárovat s konkrétní osobou? IP adresu a případně v url uživatelské jméno. Pokud vymažeme uživatele ze systému, jeho uživatelské jméno už nebude existovat tudíž nebude spárovatelné s konkrétní osobou a osobně bych takový údaj považoval za anonymní. Problém asi trochu nastává, když uživatelské jméno je IP adresa a je obsažené v url... to se ale doufám moc často nepraktikuje.

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

-- Ing. Jan Dvorak

---

Ing. Jan Dvorak Fischerova 690/23 779 00 Olomouc, Nove Sady Czech Republic

---

Tel: +420 603 444 240 E-mail: jan.dvorak@dvorak-sw.com Web: http://www.dvorak-sw.com

---

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

Dle toho co jsem si o GDPR přečetl, tak IP adresa je osobní údaj - a tak to prostě nově je. Předpokládám, že s tím v tuto chvíli nejde nic dělat, do té doby dokud to nějaký soud/nějaká vyšší instance nějak nenapadne.

Dne 2. února 2018 13:50 Matěj Koudelka matej@hxpro.cz napsal(a):

Dne 2. února 2018 13:03 Jirka Bourek vpsfree-list@keroub.cz napsal(a):

...

Což já bych IP adresu taky považoval za anonymní údaj - zejména v době, kdy jednu IP sdílí několik lidí a u IPv6 (když už je) nemám šanci poznat, kdo je u toho ISP kdo. Jenže úřad může mít jiný názor (třeba že IP adresa je v mém logu osobní údaj, protože u ISP je zalogováno, kdo ji v tu dobu používal) a soudy ještě jiný.

...

Myslím, že se tomuhle stavu říká právní nejistota (spojená s naprostým odtržením toho, kdo předpis psal, od oboru, kterého se týká). Bohužel je to čím dál tím běžnější jev a přechod od nejistoty k výkladu (u soudu) může pro nějakého nešťastníka znamenat velké až likvidační náklady.

ISP spáruje maximálně zařízení s IP adresou, nikoliv osobu. Navíc ISP není povinné tobě jakožto provozovateli nějaké pochybné stránky dávat takové informace, takže ty to nespáruješ a tudíž to nemůžeš ani vymazat. Jestli by se nějaký soud po tomhle chtěl vozit, tak už bude hodně zoufalej.

-- *Matěj Koudelka* +420 604 266 933 <+420%20604%20266%20933>

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

Jako když mám Frantu Vopršálka s IP 1.2.3.4, tak je to osobní údaj, to je jasné... ale když mám IP 1.2.3.4 navštívil stránku example.com/favicon.ico tak je to taky osobní údaj?

Jako určitě je to citlivý údaj, protože někdo jiný si to může spárovat na základě nějakých jeho dalších informací, takže zveřejňovat by se to asi nemělo, že... ale přece nebudu zjišťovat, které IP adresy patří Frantovy, když po mě bude chtít abych smazal jeho osobní údaje. Pro mě prostě nejsou spárované s jeho osobou, tudíž pro mě osobní nejsou a nic mazat nehodlám. To aby byl každej ITák i právník, omluvte terminilogii, jsem jen ITák.

Pavle dej vědět až budeš zdrhat mimo EU, asi se přidám.

Dne 2. února 2018 14:26 Ondrej.Flidr Ondrej.Flidr@seznam.cz napsal(a):

Tohle je prave ta zasadni otazka - pokud je podle GDPR IP adresa osobni udaj uzivatele tak ji smazat z logu, zaloh apod. musis. A nikoho nezajima ze ji nemas jak sparovat, to jsi si mel zajistit. Defakto pujde o to ze veskery data, ktery muzou bejt osobnim udajem musime mit sparovatelny s konkretni osobou a smazatelny.

OK, no takže chcete-li vstoupit na můj web, ukažte občanku.. super. To je fakt absurdistán tady toto. Si asi budu muset najít čas si to nařízení přečíst. Neexistuje nějakej opensource od NSA, který by uměl takové informace získávat a evidovat?

Dne 2. února 2018 15:01 Vladimír Kobzev Vladimir.Kobzev@seznam.cz napsal(a):

Ahoj! Pracuju v korporatu a taky se u nas resi GDPR IP adresy. Nove budeme misto IP adres logovat jejich hash, tzn. pokud bude potreba v lozich sparovat akce z 1 IP adresy pujde to pres ten hash, ale zaroven nebude moznost zjistit o jakou IP adresu jde. Vlada

To je první co mě napadlo, ale je tomu skutečně tak, že když něco zahashuju, že už to není osobním údajem? Zahashovaná hesla tedy taky nejsou osobním údajem?

Dne 2. února 2018 15:13 Stepan Liska stepan@comlinks.cz napsal(a):

Je to IMHO furt osobní údaj, ale udělal jsi něco pro jeho ochranu před zneužitím. A to se počítá. Š.

Pokud se dostane neoprávněná osoba k mým logům na serveru, mám asi větší problém než to zda jsou IP adresy zahashované ;)

No nevim, jak se to bude hashovat? Takové SHA256 dává 32 bytů dlouhé hashe, což při 2^32 adresního prostoru IPv4 dá 128GB celkem - málo to není, ale furt mi to přijde jako něco, k čemu si dekódovací tabulku udělám doma na koleni. To pak "nebude možnost zjistit, o jakou adresu jde", padá

On 2.2.2018 15:06, Ondrej.Flidr wrote:

Tohle je docela zajímavej hack. Dá se to použít na dohledávání informací a přitom to bude neosobní údaj. Akorát bude problém pokud mě zajímá právě ta IP (např. ji chci zablokovat na firewallu), ale to se dá řešit krátkodobým uchováním mapy IP -> hash.

OF

---------- Původní e-mail ---------- Od: Vladimír Kobzev Vladimir.Kobzev@seznam.cz Komu: vpsFree.cz Community list community-list@lists.vpsfree.cz Datum: 2. 2. 2018 15:01:53 Předmět: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR "Ahoj! Pracuju v korporatu a taky se u nas resi GDPR IP adresy. Nove budeme misto IP adres logovat jejich hash, tzn. pokud bude potreba v lozich sparovat akce z 1 IP adresy pujde to pres ten hash, ale zaroven nebude moznost zjistit o jakou IP adresu jde. Vlada ---------- Původní e-mail ---------- Od: Ondrej.Flidr Ondrej.Flidr@seznam.cz Komu: vpsFree.cz Community list community-list@lists.vpsfree.cz Datum: 2. 2. 2018 14:27:53 Předmět: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR "Tohle je prave ta zasadni otazka - pokud je podle GDPR IP adresa osobni udaj uzivatele tak ji smazat z logu, zaloh apod. musis. A nikoho nezajima ze ji nemas jak sparovat, to jsi si mel zajistit. Defakto pujde o to ze veskery data, ktery muzou bejt osobnim udajem musime mit sparovatelny s konkretni osobou a smazatelny.

---------- Původní e-mail ---------- Od: Matěj Koudelka matej@hxpro.cz Komu: vpsFree.cz Community list community-list@lists.vpsfree.cz Datum: 2. 2. 2018 14:24:24 Předmět: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR "

"

Jako když mám Frantu Vopršálka s IP 1.2.3.4, tak je to osobní údaj, to je jasné... ale když mám IP 1.2.3.4 navštívil stránku example.com/favicon.ico (http://example.com/favicon.ico) tak je to taky osobní údaj?

""

"

Jako určitě je to citlivý údaj, protože někdo jiný si to může spárovat na základě nějakých jeho dalších informací, takže zveřejňovat by se to asi nemělo, že... ale přece nebudu zjišťovat, které IP adresy patří Frantovy, když po mě bude chtít abych smazal jeho osobní údaje. Pro mě prostě nejsou spárované s jeho osobou, tudíž pro mě osobní nejsou a nic mazat nehodlám. To aby byl každej ITák i právník, omluvte terminilogii, jsem jen ITák.

Pavle dej vědět až budeš zdrhat mimo EU, asi se přidám.

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list "_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list "_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list "

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

Mixujete dvě věci dohromady. Účelem GDPR je zejména OCHRANA soukromí. Tzn. že subjekt je povinen chránit zneužitelné údaje před zneužitím. To že někdo může požádat o smazání osobních údajů je věc jiná a související jen těmi údaji. Vysvětloval nám právník, že když požádá osoba o informaci co o něm vedu, tak mi musí předat svojí identifikaci. Pokud mi dá RČ, tak mu musím vypsat všechno co mám spojené s jeho RČ. Když mi předá IP adresu, tak musím vše co mám s jeho IP adresou. Když požádá o výmaz - zase musí zadat nějakou identitu co chce aby se nad ní ta operace udělala. Co je důležité je, že ten kdo data schraňuje, tak je zodpovědný hlavně za to, že se nedostanou k někomu dalšímu a pokud ano, tak že to včas ohlásí a že si bude vědom, co za údaje mohlo uniknout.

IP adresa je právě zneužitelná, pokud ve spojení s dalšími údaji může na člověka něco bonznout. Máš třeba log webu, a nevíš kdo pod IP adresou něco dělal, ale když to spojíš třeba s logem mailserveru, tak už víš email a když to pak spojíš i s databází eshopu, tak už můžeš o dotyčném vědět všechno a můžeš si ho pak trasovat kudy chodí. Ono to asi bylo původně myšleno zejména jako ochrana jednotlivců před zvůlí velkých korporací typu google a hlavně státních orgánů, které mají velkou moc, protože si mohou soudně vyžádat leccos Takový orgán si potom vyžádá data od ISP, od tebe, co hostuješ stránky s informacemi jak se vyhnou daním a už zakleknou na všechny návštěvníky stránek.

Mimochodem docela sranda je, že když jsme se ptali právníka jak ověříte, že když někdo požádá o zaslání nebo výmaz informací Franty Nováka RĆ 123456789012, jak zjistíte, že ten dotyčný je k tomu oprávněn (tj. že to fakt je Franta Novák tohoto RČ?). Protože takto může dojít k největšímu možnému úniku informací - v podstatě ze zákona musím poskytnout veškeré informace (kompletní výpis), ale nemám vůbec žádnou zákonnou možnost ověřit identitu. Co když mi takto uniknou informace?

Š.   Dne 2.2.2018 v 14:23 Matěj Koudelka napsal(a):

Jako když mám Frantu Vopršálka s IP 1.2.3.4, tak je to osobní
údaj, to je jasné... ale když mám IP 1.2.3.4 navštívil stránku
example.com/favicon.ico <http://example.com/favicon.ico> tak je to
taky osobní údaj? 

 

Jako určitě je to citlivý údaj, protože někdo jiný si to může spárovat na základě nějakých jeho dalších informací, takže zveřejňovat by se to asi nemělo, že... ale přece nebudu zjišťovat, které IP adresy patří Frantovy, když po mě bude chtít abych smazal jeho osobní údaje. Pro mě prostě nejsou spárované s jeho osobou, tudíž pro mě osobní nejsou a nic mazat nehodlám. To aby byl každej ITák i právník, omluvte terminilogii, jsem jen ITák.

Pavle dej vědět až budeš zdrhat mimo EU, asi se přidám.

_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

Ahoj (znovu a lepe tentokrat do listu misto snajpova emailu),

pravniku je vsude dost problem je ze musi sam rozumet tomu co po nem budeme chtit a tady uz z vlastni zkusenosti vim, ze to neni vubec snadny ukol... Ono totiz u pravniku je dost casto silny pocit ze pokud to napisou hodne slozite tak = nikdo tomu nerozumi = nemusi tomu rozumet sam = nikdo to nebude resit (i za cenu uvedeni naprostych technickych nesmyslu). Takze pokud nekdo kvalitniho pro tenhle ucel zna (a nebere 5k za hodinu) tak si tak rad vezmu kontakt.

K tomu podepisovani -> pokud se nepletu tak ceske pravo umoznuje uzavirat smlouvy ustne, telefonicky a snad i emailem takze pokud bude nejaky papir, ktery budeme ztvrzovat ustni / jakoukoli jinou dohodou tak za me proc ne. Sice u toho GDPR se to nejak nedoporucuje ale to se tyka spis konkretniho zpracovani osobnich udaju pro marketing.

Zaverem si myslim, ze pokud bude vpsfree hrat jednomyslne to co psal snajpa tj. bezpecnost hraje prim v kazdem pripade a jen to nejaky advokat co vi co bude psat hezky zavaze maslickou tak bych se taky moc nebal. Minimalne zatim budou kontroly jen na udani protoze tech co to maji kontrolovat je jako safranu to zaprve a zadruhe tomu budou rozumet asi jako zbytek lidi... Ja zastavam nazor ze dokud v necem nerozhodne soud tak si kazdej v GDPR muze vytvaret co chce :)).

Hezky den

Jirka

On 2.2.2018 01:03, Pavel Snajdr wrote:

On 2018-02-02 00:19, Jirka Bourek wrote:

...

...

Jestli to nepujde udelat bez papiru, poplatku a pravniku, tak silne zvazuju se presunout mimo EU nadobro.

Zcela chápu, ale pak spousta členů bude muset odejít, protože z GDPR AFAIK vyplývá i povinnost mít data v EU.

...

Pokud EU zacina vymyslet pravidla prohibitivni pro moje fungovani v jejim ramci, nastava pro mne pomalu cas zvazovat odchod mimo EU. To neprehanim, uvazuju nad tim uz nejakou dobu a pri tom, jak se tu blyska na lepsi casy, co se svobody tyce, po vsech strankach, mam celkovou chut se tu na to vykaslat.

Až vymyslíš, KAM odejít, aby to nebylo horší, tak dej vědět :-)

Jo, je videt, ze uz mne kousek znas :D

No, a tak - hlavni je, se z toho neposr*ti, ze. Baleni a vybirani destinace pro jednosmernou letenku muzu na chvili jeste odlozit, pokud se jsme schopni dohodnout na tom, ze budeme hledat nejakou vlastni cestu, jak tyhle vymysly implementovat a ze budeme vzdycky hledet to implementovat s co nejmensim dopadem na cleny. Velmi by se mi libilo, kdyby vpsFree mohla byt takova trochu oaza normalnosti. Kde se soukromi respektuje a ne si na nej jenom hrajeme.

Treba s tim logovanim - kde je nejaka ochrana soukromi, pokud zacneme logovat spojeni pres routery?

Jsem toho nazoru, ze auditovatelnost by mela byt na aplikacnim levelu tam, kde je potreba - a pak by mela taky prikladat do audit logu patricne metadata, na ktere vidi jenom ta aplikace sama. Jako treba, ktery konkretni uzivatel to spojeni udelal a jake pouzil klice, IP adresy a porty z netflow jsou nedostatecne.

Nebo tedka podepisovani papiru vyjmenovavajici, jake udaje si nas clen chrani, to preci vytvari dalsi velmi citlivou databazi (at uz papirove, nebo na pocitaci), ktera je automaticky velmi vysoko v DOWANT listu, pokud chci nejakou organizaci pwnout... Takhle tedy ne. Plausible deniability is the key here. Nechci vedet, co kdo u nas bezi. Pro mne je to vsechno apriori citlive.

Mate nekdo kontakt na rozumny pravniky? Kdyz uz to budem resit...

Zaroven teda, jaky jsou vsechny situace, ktery potrebujeme vystihnout?

Mame tu eshopisty, webhostery, ruzne webove aplikace; koho dalsiho bychom meli zahrnout, kdyz budem nejako stavet reseni pro vsechny?

Nejaky rozpocet na rozumneho pravnika by asi byl (otazka je, kolik konkretne - jestli to bude vic, nez nejakych 100k, tak se to da ).

Rozhodne nechci nikam do chainu pridavat nejakou autogramiadu, musime to vymyslet bez ni.

Ale muzeme ten chain-of-GDPR-trust vymyslet napric az do konce.

Hledame tedy nekoho, kdo nam pomuze prorazit nejakou nasi vlastni GDPR implementaci.

Dik predem za tipy :)

/snajpa

...

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

On 1.2.2018 22:54, Pavel Snajdr wrote:

Jestli to nepujde udelat bez papiru, poplatku a pravniku, tak silne zvazuju se presunout mimo EU nadobro.

+ jeste nezpracovavat data obcanu EU

/p

Pokud jde o to, čí data _spravuješ_, tak pokud budeš mimo EU jurisdikci, tak ti skutečně může bejt jedno, čí jsou to data. Akorát je problém, proč je spravuješ - pokud je to třeba kvůli eshopu, který provozuješ, tak se sice vyhneš GDPR, ale zase budeš mít složitější v EU prodávat svoje zboží.

Pokud jde o to, čí data _zpracováváš_ - to je případ vpsfree - tak tě skutečně nemusí trápit, čí data to jsou, pokud jsi mimo EU jurisdikci. Problém je v tom, že pokud nějaký člen _spravuje_ osobní data, tak si je k tobě (k vpsfree) nebude moct dát - ne bez hromady papírování, která mu (členovi) dovolí "vyvézt" osobní data mimo EU.

Pavel Snajdr wrote:

On 2018-02-03 10:00, Pavel Slama wrote:

...

On 1.2.2018 22:54, Pavel Snajdr wrote:

...

Jestli to nepujde udelat bez papiru, poplatku a pravniku, tak silne zvazuju se presunout mimo EU nadobro.

• jeste nezpracovavat data obcanu EU

To je jedno, ne? Kdyz budu mimo EU jurisdikci, tak mne to v takovym pripade trapit nemusi, koho data zpracovavam, ci to chapu blbe?

Horsi to maji ti, co v EU zustanou, zejo.

(ale ne ze bych se nekam pakoval, ono kdyby clovek chtel vypadnout mimo EU a mimo "zapad", vzit to s tou svobodou poradne z gruntu, tak se asi velmi rychle zaradim mezi posuky kalibru McAfee a podobne, tj. nejaka rozvojova zeme a vlastni malou armadu... :D).

/snajpa

...

/p

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

No... tak, nikdo nic nevi, vsichni se jenom dohaduji a dokud neni dodefinovana legislativa u nas (at uz zakonodarci, nebo pravdepodobneji soudy), tak se to moc nezmeni.

Stejne jako na ucetnictvi mame Dana Horada, ktery ma pristup "to si u financaku vyargumentuju" a muze si to dovolit, protoze ma v oblasti dani prehled (byvaly auditor), hledam nekoho, kdo ma prehled v oblasti ochrany soukromi a kdo ma cele GDPR nastudovane zhora-dola dopredu a pozpatku, a je schopny davat nazory stylu "to bych si uhadal(a)".

Ta dama, kterou jste tu zminovali, je takoveho kalibru?

/snajpa

On 2018-02-03 21:43, Pavel Snajdr wrote:

On 2018-02-03 20:57, Jirka Bourek wrote:

...

Pokud jde o to, čí data _spravuješ_, tak pokud budeš mimo EU jurisdikci, tak ti skutečně může bejt jedno, čí jsou to data. Akorát je problém, proč je spravuješ - pokud je to třeba kvůli eshopu, který provozuješ, tak se sice vyhneš GDPR, ale zase budeš mít složitější v EU prodávat svoje zboží.

Pokud jde o to, čí data _zpracováváš_ - to je případ vpsfree - tak tě skutečně nemusí trápit, čí data to jsou, pokud jsi mimo EU jurisdikci. Problém je v tom, že pokud nějaký člen _spravuje_ osobní data, tak si je k tobě (k vpsfree) nebude moct dát - ne bez hromady papírování, která mu (členovi) dovolí "vyvézt" osobní data mimo EU.

Jo, na druhou stranu, kdyz ti nejde denni teplota pod 20C, vsechno, co potrebujes, si vypestujes a jeste si privydelas poskytovanim wifinek sousedum nekde na nejakych ostrovech, koho trapi data v cloudech a celej rychlej styl zivota zapadniho sveta? :))

Maximalne lokalni policko na lokalni zalohu Internetu (serialy a tak).

Pak by vpsFree.eu musel prevzit nekdo jinej, ja budu moct tak na dalku akorat delat chytryho.

Ale celkove to neni moc viable varianta, pro seychellesFree tam ani nebude dost velka clenska zakladna, aby to bylo zajimavy, takze nejakej Uruguay, nebo pak nevim. Kazdopadne i kdybych moc chtel, mam sotva na letenky :D

Otazkou tedy zustava, jak muzeme implementovat GDPR a *zaroven* plausible deniability. Nechci existovat na megabitu-dvou nekde, kam neni free shipping komponent na vsechno-mozny z Aliexpressu :))) *facepalm*

/snajpa

...

Pavel Snajdr wrote:

...

On 2018-02-03 10:00, Pavel Slama wrote:

...

On 1.2.2018 22:54, Pavel Snajdr wrote:

...

Jestli to nepujde udelat bez papiru, poplatku a pravniku, tak silne zvazuju se presunout mimo EU nadobro.

• jeste nezpracovavat data obcanu EU

To je jedno, ne? Kdyz budu mimo EU jurisdikci, tak mne to v takovym pripade trapit nemusi, koho data zpracovavam, ci to chapu blbe?

Horsi to maji ti, co v EU zustanou, zejo.

(ale ne ze bych se nekam pakoval, ono kdyby clovek chtel vypadnout mimo EU a mimo "zapad", vzit to s tou svobodou poradne z gruntu, tak se asi velmi rychle zaradim mezi posuky kalibru McAfee a podobne, tj. nejaka rozvojova zeme a vlastni malou armadu... :D).

/snajpa

...

/p

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

Já teď koukám na stanovy https://vpsfree.cz/download/stanovy_vpsfree.pdf a nevidím kde je napsáno, že "všechní informační zařízení jejíž použití poskytovává VPSFree a na které se zpracovává data jsou v EU".

On 01/31/2018 08:12 AM, zd nex wrote:

Ahojte,

také si tu směrnici vykládám tak, že každý člen musí za data na VPS zodpovídat sám (mít pověřenou osobu, která s tím pracuje + papír, že je o tom seznámená.) Co se týče dat na VPSFree, tak tam půjde primárně o to, jestli stačí to co je ve stanovách - či jestli nějak bude také potřeba tedy domluvit (sepsat smlouvu) mezi členem(jeho daty) a vpsfree nějak odděleně, nebo bude pouze stačit, aby to bylo ve stanovách - že jsou zde admini a následně jednotlivý členové co pracují s VPS(kteří jsou zodpovědní za data)? Tzn tím pádem, by nemělo být nutné nic měnit, kromě té specifikace - kdo a jaký má přístup k VPS a jakou zodpovědnost (plnou).

-- S pozdravem,

Zdeněk Dlauhý

Email:support@pripravto.cz mailto:support@pripravto.cz Mobil: +420 702 549 370 Web: www.pripravto.cz http://www.pripravto.cz

Dne 31. ledna 2018 6:21 Petr Juhaňák <petr@juhanak.cz mailto:petr@juhanak.cz> napsal(a):

Je to tak jak rika Jirka.

VpsFree si udela samo datovy audit z hlediska osobnich udaju ktere
eviduje o clenech a sepise si na papir kde a v jakem rozsahu jsou
a hlavne zadokumentuje jaka opatreni uz ma (procesy a technicka
nastaveni) aby to vypadalo jako rizena prace s riziky. Pak pravni
dokumenty typu informovane souhlasy.

To same si udelaji clenove ale v jinem ramci, uz na urovni jejich
provozovane technologie php eshopy a podobne a zase seznam
opatreni, proces kdyz nekdo odvola souhlas se zpracovanim, seznam
opatreni.

To jsou veci ktere si kazdy muze pripravit uz ted.

Predstava, ze vpdfree je tu od toho aby zajistila soulad s gdpr je
mylna. To si musi zajistit kazdy clen sam, tj. nemluvim o
technickem svete.



S pozdravem
Petr Juhaňák

petr@juhanak.cz <mailto:petr@juhanak.cz> | +420 739 639 132
<tel:+420%20739%20639%20132>


-------- Původní zpráva --------
Od: Jindřich Sadílek <jindrich.sadilek@gmail.com
<mailto:jindrich.sadilek@gmail.com>>
Datum: 31.01.18 1:41 (GMT+01:00)
Komu: community-list@lists.vpsfree.cz
<mailto:community-list@lists.vpsfree.cz>
Předmět: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR

Jedna věc je, co si musí pořešit VPSfree jako organizace, zcela
jiná pak jendotliví správci vlastních žiletek.

Provozujete nějaký jednoduchý eshop, máte uživatelské registrace a
pošlete semtam email, natož považovatelný za reklamní? Jste v tom
až po uši...


Dne St, 31. leden 2018 v 00:30 h uživatel Jirka Bourek napsal:

...

Problém je, že tohle všechno řeší technické věci, které udělat chceš,
ale neřeší to chybějící papíry, které potřebuješ pro úřad.

Jasně, v oboru "no tak nám procesory trochu leakujou paměť, hlavně že
jsem náhodou včas prodal akcie" nějakou skutečnou ochranu
osobních údajů
v podstatě řešit nejde. Jenže to úředníky z EU nezajímá - ti
vymysleli
směrnici na ochranu osobních údajů, takže se osobní údaje chrání tak,
jak nařizuje směrnice. Až přijde kontrola, argumentace "dyť je to
nesmysl!" nic nezachrání.

Takže správce potřebuje se zpracovatelem mít smlouvu nebo jiný právní
akt. Pokud je právním aktem - dostatečným pro úřad - členství v
vpsfree,
tak je asi všechno v poho.
(http://www.privacy-regulation.eu/cs/28.htm
<http://www.privacy-regulation.eu/cs/28.htm>)
Pokud ne, tak je problém.

Jinak teda

> Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi, jakou ma
zodpovednost, best practices v ohledu bezpecnosti davno sleduje.

Co když to neví, nebo na to dlabe? :-)


Pavel Snajdr wrote:

    Stejne jako oskenovat, co ti tam bezi a dostat se ti tam bez
    zvednuti my pohodlny zadele, obzvlast pokud jedes nejakou
    PHPkovinu a data, ktery by bylo potreba chranit, jsou primo v
    DB, kam ty PHP spagety vidi.

    A co ted s tim, vypneme to vsehno? ;)

    Chci tim rict, ze panikrit IMHO neni na miste a kdyz se nad
    tim clovek zamysli, zasifrovat vsechno taky neni reseni.

    Jinak ja jsem za GDPR rad, mam vymluvu, proc si sebou budu
    nosit klicenku s trhavinou na flashkach, mame vymluvu, proc
    plosne nasadit sifrovani, proc se nam nepujde dostat do racku
    neautorizovane, aniz by to neodmazlo klice a neshodilo vsehno
    chraneny (tj. abys nam fakt nechtel otevrit ten rack).

    Ne ze by GDPR neco resilo, ale dava van super vymluvu, jak
    muzem nase systemy postupne posouvat vic smerem plausible
    deniability, tj. soukromi je level jedna, level nuda, ale co
    nam to umozni je ochranit i adminy pred tim, aby vedeli, co
    clen bezi.

    Neumel jsem si bez GDPR predstavit, jak zvysovat zabezpeceni
    bez toho, aby to vypadalo, jako kdyz se chystame hostovat
    tunu detskyho porna a lokalni pobocku CIA. Jenom to nebude
    vsehno hned - a nektery levely zabezpeceni na sharovanym
    hardwaru ani nepujde udelat.

    Chci:

    - sifrovani v ZoL
    - aby clen mel moznost klic per dataset neulozit, ale zadat
    si ho sam pres bezpecny kanal (ssh/https api call)
    - monitoring otevreni racku co bez nahlaseni predem donuti
    masiny smazat klice z RAM

    Ale tohle je furt malo, pokud admini nemaji vedet, co clen
    bezi. Ani fullvirt ani se sifrovanou RAM na AMD nam nepomuze,
    takze resim, jak zahostovat single board desky pro cleny,
    kteri chteji mit moznost nejcitlivejsi data mit fakt soukrome.

    Ve finale:

    - budes mit moznost data na VPS sifrovat svymi hesly, ktera
    se u nas nebudou ukladat (prusvih je, ze my nemame jak
    dokazat, ze jsme to nikde neulozili)

    - pri neautorizovanym pristupu do racku se klice smaznou, to
    samy pri rebootu/resetu a je pak na tobe zvazit, jestli je OK
    data uz odemknout

    - budes mit moznost nejcitlivejsi data vysoupnout vedle po
    siti na svuj dedikovanej systemek kalibru ARM Cortex A53, do
    budoucna RISC-V

    Problem nastava, kdyz s adminkem pujde do datacentra nekdo
    sebedulezitejsi, nez GDRP byrokrat s kulometem u palice, pak
    admin nema moznost ani nejak kliknout smazani klicu, nebo
    aspon nejakej counter na webu ve smyslu kanarka, ktery bude
    pocitat pocet podobnych incidentu.

    Shared computing ma svoje limity, bohuzel, jestli sledujes,
    kam tim mirim.

    GDPR podle mne vyzaduje nutne jenom nejaky papirovani, ale do
    budoucna nam dava zaminku jit na to vic z husta, co se
    soukromi tyce.

    Muze nam pak nekdo nadavat, ze delame hosting detskyho porna
    a teroristum, kdyz mame racky obehnany pomalu ziletkovym
    dratem? Nemuze, at si stezuje v Bruselu.

    Za mne dobry, ale nebude to hned. A v prvni vlne bude hlavne
    to papirovani. V druhy vlne se musime zbavit nedostacujiciho
    OpenVZ, vpsAdminOS ma podstatne lip ovladatelnejsi
    bezpecnostni politiku - a je odspoda nahoru cely podepsany a
    verifikovatelny.

    /snajpa

        On 30 Jan 2018, at 23:41, Jaroslav Skrivan
        <skrivy@skrivy.net <mailto:skrivy@skrivy.net>> wrote:

        Jenom moje osobni zkusenost - odnest si cizi disky z
        datacentra neni zas takovy problem, jak se na prvni
        pohled muze zdat.
        From: Pavel Snajdr
        Sent: ‎1/‎30/‎2018 10:49 PM
        To: vpsFree.cz Community list
        Subject: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR

        Ahoj,

        GDPR je, pokud to dobre chapu, totalni nesmysl, z kteryho
        jsou vsichni vyjukani uplne, ale naprosto totalne zbytecne.

        Podivej se, co bezime za procesory.

        Jak ma nekdo neco v takovym stavu vubec industry-wide za
        neco rucit?

        Za mne je GDPR o tom a pouze o tom, ze musime podepsat
        papir s lidmi, co maji admin pristupy, aby acknuli
        oficialne svoji zodpovednost.

        V seznamu clenu uz ted mame jenom nejnutnejsi udaje
        (podle posledni zkusenosti s PCR a PSR jim k identifikaci
        ani to nemusi stacit...).

        Ve stanovach mame zakotvenou ochranu dat clenu uz od zacatku.

        Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi,
        jakou ma zodpovednost, best practices v ohledu
        bezpecnosti davno sleduje.

        A kdyz si nekdo mysli, ze Vsechno Zasifrovat(tm) to
        vyresi, tak se rovnou zeptam - a borci, jak se k tomu asi
        programy na ty masine dostanou? Hint: stejne musi byt
        data odemcena pri behu. A ze se k nim neco dostane za
        behu je mnoooohem pravdepodobnejsi, nez ze nam z
        hlidanyho datacentra nekdo ukradne disky a vycte si neco
        offline.

        Tedy, muj nazor je, ze vubec neni potreba panikarit a
        natoz se uchylovat k reseni stylem ‘radsi to na vpsFree
        nedam vubec’. To ty servery muzeme rovnou vypnout totiz -
        a cely to zabalit s tim, ze jsme se nechali prevalcovat
        byrokratama.

        /snajpa
        (Pavel Snajdr)
        (Predseda vpsFree.cz)
        (+420 720 107 791 <tel:+420%20720%20107%20791>)

            On 30 Jan 2018, at 22:10, Lukáš Jelínek - AIKEN
            <lukas@aiken.cz <mailto:lukas@aiken.cz>> wrote:

            Ahoj,

            pokud si vzpomínám, tak něco podobného už se řešilo
            na valné hromadě
            (byť ještě nebylo nařízení GDPR). A situace je v
            podstatě taková, že to
            asi příliš řešit nelze, protože by to pro spolek
            znamenalo velkou
            administrativní zátěž a značný nárůst nákladů.

            Čili asi nejčistším řešením v tuto chvíli je,
            nevyužívat servery
            vpsFree.cz k ukládání osobních údajů - přinejmenším
            do doby, než se
            všechny záležitosti vyřeší (a než vůbec vznikne
            nějaký závazný výklad
            různých ustanovení směrnice).

            Lukáš Jelínek



                Ahoj ve spolek!

                Datum 25.5.2018, kdy nám vstupuje v účinnost GDPR
                se pomalu ale jistě
                blíží. Bohužel jsem byl, ač neprávník do této
                problematiky trochu
                zatlačen a byly na mě již vzneseny dotazy
                týkající se GDPR a vpsFree.

                Myslím, si, že je nás více, kteří na VPS máme
                uloženy nějaké ty osobní
                údaje (adresy, emaily, apod.) a skoro všichni
                máme nějaký ten
                webserver, kde se logují IP adresy, které jsou
                rovněž považovány za
                osobní údaje. Díky tomu jsme z pohledu GDPR
                považování za správce
                osobních údajů. Podle článku 4 GDPR se
                zpracovaním osobních údajů
                rozumí také ukládání osobních údajů. Z toho
                plyne, že jakýkoliv
                poskytovatel cloudových služeb, hostingu, VPS,
                atd. je vůči správci v
                postavení zpracovatele osobních údajů. Článek 28
                GDPR potom řeší vztah
                zpracovatele a správce, kde mj. požaduje nějaký
                smluvní vztah mezi
                nimi. Když to převedu na protředí vpsFree tak
                členové jsou v podstatě
                správci osobních údajů a vpsFree je zpracovatelem
                osobních údajů.

                Můj dotaz zní, zda a jak bylo nebo bude GDPR
                řešeno na úrovní vpsFree?
                V podstatě asi jde o to, aby bylo v případě
                kontroly z UOOÚ možno
                něčím nebo nějak prokázat, že vpsFree je v
                souladu s GDPR a taky
                garantuje, že data nebudou uložena mimo EU.
                Věřím, že v našich řadách
                jsou kompetentnější členové v této věci jako já a
                tak bých rád otevřel
                diskusi.

                Honza.


            _________________________________________________
            Community-list mailing list
            Community-list@lists.vpsfree.cz
            <mailto:Community-list@lists.vpsfree.cz>
            http://lists.vpsfree.cz/listinfo/community-list
            <http://lists.vpsfree.cz/listinfo/community-list>


        _________________________________________________
        Community-list mailing list
        Community-list@lists.vpsfree.cz
        <mailto:Community-list@lists.vpsfree.cz>
        http://lists.vpsfree.cz/listinfo/community-list
        <http://lists.vpsfree.cz/listinfo/community-list>
        _________________________________________________
        Community-list mailing list
        Community-list@lists.vpsfree.cz
        <mailto:Community-list@lists.vpsfree.cz>
        http://lists.vpsfree.cz/listinfo/community-list
        <http://lists.vpsfree.cz/listinfo/community-list>




    _________________________________________________
    Community-list mailing list
    Community-list@lists.vpsfree.cz
    <mailto:Community-list@lists.vpsfree.cz>
    http://lists.vpsfree.cz/listinfo/community-list
    <http://lists.vpsfree.cz/listinfo/community-list>

_________________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
<mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list
<http://lists.vpsfree.cz/listinfo/community-list>

_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
<mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list
<http://lists.vpsfree.cz/listinfo/community-list>

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

Jo, tohle by slo presne tam, cca tak, jak rikas.

Jako pani, to fakt GDPR resi ochranu dat tim, ze vsem naokolo vykeca, kde ty data jsou a pak jakoze proti podpisu mame delat, ze na ne nevidime?

Nechapu to.

Neni pro nas lepsi vubec nevedet, jestli tam neco takovyho vubec je a za soukrome proste povazovat cokoliv z datasetu clena, kterehokoliv?

Komu pomuze, ze nam presne vyslepici a jeste podepise, kde ta data ma?

/snajpa

On 2018-02-01 01:22, Slávek Banko wrote:

Ve Stanovách je odkazován Provozní řád, který je schvalovaný Radou.

Pokud by navrhované prohlášení typu "všechní informační zařízení jejíž použití poskytovává VPSFree a na které se zpracovává data jsou v EU" a další pravidla související s GDPR mohl podchytit Provozní řád, pak by možná mohl by být tím společným dokumentem závazným pro všechny?

-- Slávek

On Thursday 01 of February 2018 00:12:28 Timothy Hobbs wrote:

...

Já teď koukám na stanovy https://vpsfree.cz/download/stanovy_vpsfree.pdf a nevidím kde je napsáno, že "všechní informační zařízení jejíž použití poskytovává VPSFree a na které se zpracovává data jsou v EU".

On 01/31/2018 08:12 AM, zd nex wrote:

...

Ahojte,

také si tu směrnici vykládám tak, že každý člen musí za data na VPS zodpovídat sám (mít pověřenou osobu, která s tím pracuje + papír, že je o tom seznámená.) Co se týče dat na VPSFree, tak tam půjde primárně o to, jestli stačí to co je ve stanovách - či jestli nějak bude také potřeba tedy domluvit (sepsat smlouvu) mezi členem(jeho daty) a vpsfree nějak odděleně, nebo bude pouze stačit, aby to bylo ve stanovách - že jsou zde admini a následně jednotlivý členové co pracují s VPS(kteří jsou zodpovědní za data)? Tzn tím pádem, by nemělo být nutné nic měnit, kromě té specifikace - kdo a jaký má přístup k VPS a jakou zodpovědnost (plnou).

-- S pozdravem,

Zdeněk Dlauhý

Email:support@pripravto.cz mailto:support@pripravto.cz Mobil: +420 702 549 370 Web: www.pripravto.cz http://www.pripravto.cz

Dne 31. ledna 2018 6:21 Petr Juhaňák <petr@juhanak.cz mailto:petr@juhanak.cz> napsal(a):

Je to tak jak rika Jirka.

VpsFree si udela samo datovy audit z hlediska osobnich udaju

ktere eviduje o clenech a sepise si na papir kde a v jakem rozsahu jsou a hlavne zadokumentuje jaka opatreni uz ma (procesy a technicka nastaveni) aby to vypadalo jako rizena prace s riziky. Pak pravni dokumenty typu informovane souhlasy.

To same si udelaji clenove ale v jinem ramci, uz na urovni jejich
provozovane technologie php eshopy a podobne a zase seznam
opatreni, proces kdyz nekdo odvola souhlas se zpracovanim, seznam
opatreni.

To jsou veci ktere si kazdy muze pripravit uz ted.

Predstava, ze vpdfree je tu od toho aby zajistila soulad s gdpr

je mylna. To si musi zajistit kazdy clen sam, tj. nemluvim o technickem svete.

S pozdravem
Petr Juhaňák

petr@juhanak.cz <mailto:petr@juhanak.cz> | +420 739 639 132
<tel:+420%20739%20639%20132>


-------- Původní zpráva --------
Od: Jindřich Sadílek <jindrich.sadilek@gmail.com
<mailto:jindrich.sadilek@gmail.com>>
Datum: 31.01.18 1:41 (GMT+01:00)
Komu: community-list@lists.vpsfree.cz
<mailto:community-list@lists.vpsfree.cz>
Předmět: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR

Jedna věc je, co si musí pořešit VPSfree jako organizace, zcela
jiná pak jendotliví správci vlastních žiletek.

Provozujete nějaký jednoduchý eshop, máte uživatelské registrace

a pošlete semtam email, natož považovatelný za reklamní? Jste v tom až po uši...

Dne St, 31. leden 2018 v 00:30 h uživatel Jirka Bourek napsal:

...

Problém je, že tohle všechno řeší technické věci, které udělat

chceš, ale neřeší to chybějící papíry, které potřebuješ pro úřad.

Jasně, v oboru "no tak nám procesory trochu leakujou paměť,

hlavně že jsem náhodou včas prodal akcie" nějakou skutečnou ochranu osobních údajů v podstatě řešit nejde. Jenže to úředníky z EU nezajímá - ti vymysleli směrnici na ochranu osobních údajů, takže se osobní údaje chrání tak, jak nařizuje směrnice. Až přijde kontrola, argumentace "dyť je to nesmysl!" nic nezachrání.

Takže správce potřebuje se zpracovatelem mít smlouvu nebo jiný

právní akt. Pokud je právním aktem - dostatečným pro úřad - členství v vpsfree, tak je asi všechno v poho. (http://www.privacy-regulation.eu/cs/28.htm http://www.privacy-regulation.eu/cs/28.htm) Pokud ne, tak je problém.

Jinak teda

> Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi, jakou ma

zodpovednost, best practices v ohledu bezpecnosti davno sleduje.

Co když to neví, nebo na to dlabe? :-)


Pavel Snajdr wrote:

    Stejne jako oskenovat, co ti tam bezi a dostat se ti tam bez
    zvednuti my pohodlny zadele, obzvlast pokud jedes nejakou
    PHPkovinu a data, ktery by bylo potreba chranit, jsou primo

v DB, kam ty PHP spagety vidi.

    A co ted s tim, vypneme to vsehno? ;)

    Chci tim rict, ze panikrit IMHO neni na miste a kdyz se nad
    tim clovek zamysli, zasifrovat vsechno taky neni reseni.

    Jinak ja jsem za GDPR rad, mam vymluvu, proc si sebou budu
    nosit klicenku s trhavinou na flashkach, mame vymluvu, proc
    plosne nasadit sifrovani, proc se nam nepujde dostat do

racku neautorizovane, aniz by to neodmazlo klice a neshodilo vsehno chraneny (tj. abys nam fakt nechtel otevrit ten rack).

    Ne ze by GDPR neco resilo, ale dava van super vymluvu, jak
    muzem nase systemy postupne posouvat vic smerem plausible
    deniability, tj. soukromi je level jedna, level nuda, ale co
    nam to umozni je ochranit i adminy pred tim, aby vedeli, co
    clen bezi.

    Neumel jsem si bez GDPR predstavit, jak zvysovat zabezpeceni
    bez toho, aby to vypadalo, jako kdyz se chystame hostovat
    tunu detskyho porna a lokalni pobocku CIA. Jenom to nebude
    vsehno hned - a nektery levely zabezpeceni na sharovanym
    hardwaru ani nepujde udelat.

    Chci:

    - sifrovani v ZoL
    - aby clen mel moznost klic per dataset neulozit, ale zadat
    si ho sam pres bezpecny kanal (ssh/https api call)
    - monitoring otevreni racku co bez nahlaseni predem donuti
    masiny smazat klice z RAM

    Ale tohle je furt malo, pokud admini nemaji vedet, co clen
    bezi. Ani fullvirt ani se sifrovanou RAM na AMD nam

nepomuze, takze resim, jak zahostovat single board desky pro cleny, kteri chteji mit moznost nejcitlivejsi data mit fakt soukrome.

    Ve finale:

    - budes mit moznost data na VPS sifrovat svymi hesly, ktera
    se u nas nebudou ukladat (prusvih je, ze my nemame jak
    dokazat, ze jsme to nikde neulozili)

    - pri neautorizovanym pristupu do racku se klice smaznou, to
    samy pri rebootu/resetu a je pak na tobe zvazit, jestli je

OK data uz odemknout

    - budes mit moznost nejcitlivejsi data vysoupnout vedle po
    siti na svuj dedikovanej systemek kalibru ARM Cortex A53, do
    budoucna RISC-V

    Problem nastava, kdyz s adminkem pujde do datacentra nekdo
    sebedulezitejsi, nez GDRP byrokrat s kulometem u palice, pak
    admin nema moznost ani nejak kliknout smazani klicu, nebo
    aspon nejakej counter na webu ve smyslu kanarka, ktery bude
    pocitat pocet podobnych incidentu.

    Shared computing ma svoje limity, bohuzel, jestli sledujes,
    kam tim mirim.

    GDPR podle mne vyzaduje nutne jenom nejaky papirovani, ale

do budoucna nam dava zaminku jit na to vic z husta, co se soukromi tyce.

    Muze nam pak nekdo nadavat, ze delame hosting detskyho porna
    a teroristum, kdyz mame racky obehnany pomalu ziletkovym
    dratem? Nemuze, at si stezuje v Bruselu.

    Za mne dobry, ale nebude to hned. A v prvni vlne bude hlavne
    to papirovani. V druhy vlne se musime zbavit nedostacujiciho
    OpenVZ, vpsAdminOS ma podstatne lip ovladatelnejsi
    bezpecnostni politiku - a je odspoda nahoru cely podepsany a
    verifikovatelny.

    /snajpa

        On 30 Jan 2018, at 23:41, Jaroslav Skrivan
        <skrivy@skrivy.net <mailto:skrivy@skrivy.net>> wrote:

        Jenom moje osobni zkusenost - odnest si cizi disky z
        datacentra neni zas takovy problem, jak se na prvni
        pohled muze zdat.
        From: Pavel Snajdr
        Sent: ‎1/‎30/‎2018 10:49 PM
        To: vpsFree.cz Community list
        Subject: Re: [vpsFree.cz: community-list] vpsFree.cz a

GDPR

        Ahoj,

        GDPR je, pokud to dobre chapu, totalni nesmysl, z

kteryho jsou vsichni vyjukani uplne, ale naprosto totalne zbytecne.

        Podivej se, co bezime za procesory.

        Jak ma nekdo neco v takovym stavu vubec industry-wide za
        neco rucit?

        Za mne je GDPR o tom a pouze o tom, ze musime podepsat
        papir s lidmi, co maji admin pristupy, aby acknuli
        oficialne svoji zodpovednost.

        V seznamu clenu uz ted mame jenom nejnutnejsi udaje
        (podle posledni zkusenosti s PCR a PSR jim k

identifikaci ani to nemusi stacit...).

        Ve stanovach mame zakotvenou ochranu dat clenu uz od

zacatku.

        Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi,
        jakou ma zodpovednost, best practices v ohledu
        bezpecnosti davno sleduje.

        A kdyz si nekdo mysli, ze Vsechno Zasifrovat(tm) to
        vyresi, tak se rovnou zeptam - a borci, jak se k tomu

asi programy na ty masine dostanou? Hint: stejne musi byt data odemcena pri behu. A ze se k nim neco dostane za behu je mnoooohem pravdepodobnejsi, nez ze nam z hlidanyho datacentra nekdo ukradne disky a vycte si neco offline.

        Tedy, muj nazor je, ze vubec neni potreba panikarit a
        natoz se uchylovat k reseni stylem ‘radsi to na vpsFree
        nedam vubec’. To ty servery muzeme rovnou vypnout totiz

• a cely to zabalit s tim, ze jsme se nechali prevalcovat

byrokratama.

        /snajpa
        (Pavel Snajdr)
        (Predseda vpsFree.cz)
        (+420 720 107 791 <tel:+420%20720%20107%20791>)

            On 30 Jan 2018, at 22:10, Lukáš Jelínek - AIKEN
            <lukas@aiken.cz <mailto:lukas@aiken.cz>> wrote:

            Ahoj,

            pokud si vzpomínám, tak něco podobného už se řešilo
            na valné hromadě
            (byť ještě nebylo nařízení GDPR). A situace je v
            podstatě taková, že to
            asi příliš řešit nelze, protože by to pro spolek
            znamenalo velkou
            administrativní zátěž a značný nárůst nákladů.

            Čili asi nejčistším řešením v tuto chvíli je,
            nevyužívat servery
            vpsFree.cz k ukládání osobních údajů - přinejmenším
            do doby, než se
            všechny záležitosti vyřeší (a než vůbec vznikne
            nějaký závazný výklad
            různých ustanovení směrnice).

            Lukáš Jelínek



                Ahoj ve spolek!

                Datum 25.5.2018, kdy nám vstupuje v účinnost

GDPR se pomalu ale jistě blíží. Bohužel jsem byl, ač neprávník do této problematiky trochu zatlačen a byly na mě již vzneseny dotazy týkající se GDPR a vpsFree.

                Myslím, si, že je nás více, kteří na VPS máme
                uloženy nějaké ty osobní
                údaje (adresy, emaily, apod.) a skoro všichni
                máme nějaký ten
                webserver, kde se logují IP adresy, které jsou
                rovněž považovány za
                osobní údaje. Díky tomu jsme z pohledu GDPR
                považování za správce
                osobních údajů. Podle článku 4 GDPR se
                zpracovaním osobních údajů
                rozumí také ukládání osobních údajů. Z toho
                plyne, že jakýkoliv
                poskytovatel cloudových služeb, hostingu, VPS,
                atd. je vůči správci v
                postavení zpracovatele osobních údajů. Článek 28
                GDPR potom řeší vztah
                zpracovatele a správce, kde mj. požaduje nějaký
                smluvní vztah mezi
                nimi. Když to převedu na protředí vpsFree tak
                členové jsou v podstatě
                správci osobních údajů a vpsFree je

zpracovatelem osobních údajů.

                Můj dotaz zní, zda a jak bylo nebo bude GDPR
                řešeno na úrovní vpsFree?
                V podstatě asi jde o to, aby bylo v případě
                kontroly z UOOÚ možno
                něčím nebo nějak prokázat, že vpsFree je v
                souladu s GDPR a taky
                garantuje, že data nebudou uložena mimo EU.
                Věřím, že v našich řadách
                jsou kompetentnější členové v této věci jako já

a tak bých rád otevřel diskusi.

                Honza.

---

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list