[vpsFree.cz: community-list] vpsFree.cz a GDPR
Timothy Hobbs
timothy at hobbs.cz
Thu Feb 1 00:12:28 CET 2018
Já teď koukám na stanovy https://vpsfree.cz/download/stanovy_vpsfree.pdf
a nevidím kde je napsáno, že "všechní informační zařízení jejíž použití
poskytovává VPSFree a na které se zpracovává data jsou v EU".
On 01/31/2018 08:12 AM, zd nex wrote:
> Ahojte,
>
> také si tu směrnici vykládám tak, že každý člen musí za data na VPS
> zodpovídat sám (mít pověřenou osobu, která s tím pracuje + papír, že
> je o tom seznámená.) Co se týče dat na VPSFree, tak tam půjde primárně
> o to, jestli stačí to co je ve stanovách - či jestli nějak bude také
> potřeba tedy domluvit (sepsat smlouvu) mezi členem(jeho daty) a
> vpsfree nějak odděleně, nebo bude pouze stačit, aby to bylo ve
> stanovách - že jsou zde admini a následně jednotlivý členové co
> pracují s VPS(kteří jsou zodpovědní za data)? Tzn tím pádem, by nemělo
> být nutné nic měnit, kromě té specifikace - kdo a jaký má přístup k
> VPS a jakou zodpovědnost (plnou).
>
> --
> S pozdravem,
>
> Zdeněk Dlauhý
>
> Email:support at pripravto.cz <mailto:support at pripravto.cz>
> Mobil: +420 702 549 370
> Web: www.pripravto.cz <http://www.pripravto.cz>
>
> Dne 31. ledna 2018 6:21 Petr Juhaňák <petr at juhanak.cz
> <mailto:petr at juhanak.cz>> napsal(a):
>
> Je to tak jak rika Jirka.
>
> VpsFree si udela samo datovy audit z hlediska osobnich udaju ktere
> eviduje o clenech a sepise si na papir kde a v jakem rozsahu jsou
> a hlavne zadokumentuje jaka opatreni uz ma (procesy a technicka
> nastaveni) aby to vypadalo jako rizena prace s riziky. Pak pravni
> dokumenty typu informovane souhlasy.
>
> To same si udelaji clenove ale v jinem ramci, uz na urovni jejich
> provozovane technologie php eshopy a podobne a zase seznam
> opatreni, proces kdyz nekdo odvola souhlas se zpracovanim, seznam
> opatreni.
>
> To jsou veci ktere si kazdy muze pripravit uz ted.
>
> Predstava, ze vpdfree je tu od toho aby zajistila soulad s gdpr je
> mylna. To si musi zajistit kazdy clen sam, tj. nemluvim o
> technickem svete.
>
>
>
> S pozdravem
> Petr Juhaňák
>
> petr at juhanak.cz <mailto:petr at juhanak.cz> | +420 739 639 132
> <tel:+420%20739%20639%20132>
>
>
> -------- Původní zpráva --------
> Od: Jindřich Sadílek <jindrich.sadilek at gmail.com
> <mailto:jindrich.sadilek at gmail.com>>
> Datum: 31.01.18 1:41 (GMT+01:00)
> Komu: community-list at lists.vpsfree.cz
> <mailto:community-list at lists.vpsfree.cz>
> Předmět: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR
>
> Jedna věc je, co si musí pořešit VPSfree jako organizace, zcela
> jiná pak jendotliví správci vlastních žiletek.
>
> Provozujete nějaký jednoduchý eshop, máte uživatelské registrace a
> pošlete semtam email, natož považovatelný za reklamní? Jste v tom
> až po uši...
>
>
> Dne St, 31. leden 2018 v 00:30 h uživatel Jirka Bourek napsal:
>> Problém je, že tohle všechno řeší technické věci, které udělat chceš,
>> ale neřeší to chybějící papíry, které potřebuješ pro úřad.
>>
>> Jasně, v oboru "no tak nám procesory trochu leakujou paměť, hlavně že
>> jsem náhodou včas prodal akcie" nějakou skutečnou ochranu
>> osobních údajů
>> v podstatě řešit nejde. Jenže to úředníky z EU nezajímá - ti
>> vymysleli
>> směrnici na ochranu osobních údajů, takže se osobní údaje chrání tak,
>> jak nařizuje směrnice. Až přijde kontrola, argumentace "dyť je to
>> nesmysl!" nic nezachrání.
>>
>> Takže správce potřebuje se zpracovatelem mít smlouvu nebo jiný právní
>> akt. Pokud je právním aktem - dostatečným pro úřad - členství v
>> vpsfree,
>> tak je asi všechno v poho.
>> (http://www.privacy-regulation.eu/cs/28.htm
>> <http://www.privacy-regulation.eu/cs/28.htm>)
>> Pokud ne, tak je problém.
>>
>> Jinak teda
>>
>> > Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi, jakou ma
>> zodpovednost, best practices v ohledu bezpecnosti davno sleduje.
>>
>> Co když to neví, nebo na to dlabe? :-)
>>
>>
>> Pavel Snajdr wrote:
>>
>> Stejne jako oskenovat, co ti tam bezi a dostat se ti tam bez
>> zvednuti my pohodlny zadele, obzvlast pokud jedes nejakou
>> PHPkovinu a data, ktery by bylo potreba chranit, jsou primo v
>> DB, kam ty PHP spagety vidi.
>>
>> A co ted s tim, vypneme to vsehno? ;)
>>
>> Chci tim rict, ze panikrit IMHO neni na miste a kdyz se nad
>> tim clovek zamysli, zasifrovat vsechno taky neni reseni.
>>
>> Jinak ja jsem za GDPR rad, mam vymluvu, proc si sebou budu
>> nosit klicenku s trhavinou na flashkach, mame vymluvu, proc
>> plosne nasadit sifrovani, proc se nam nepujde dostat do racku
>> neautorizovane, aniz by to neodmazlo klice a neshodilo vsehno
>> chraneny (tj. abys nam fakt nechtel otevrit ten rack).
>>
>> Ne ze by GDPR neco resilo, ale dava van super vymluvu, jak
>> muzem nase systemy postupne posouvat vic smerem plausible
>> deniability, tj. soukromi je level jedna, level nuda, ale co
>> nam to umozni je ochranit i adminy pred tim, aby vedeli, co
>> clen bezi.
>>
>> Neumel jsem si bez GDPR predstavit, jak zvysovat zabezpeceni
>> bez toho, aby to vypadalo, jako kdyz se chystame hostovat
>> tunu detskyho porna a lokalni pobocku CIA. Jenom to nebude
>> vsehno hned - a nektery levely zabezpeceni na sharovanym
>> hardwaru ani nepujde udelat.
>>
>> Chci:
>>
>> - sifrovani v ZoL
>> - aby clen mel moznost klic per dataset neulozit, ale zadat
>> si ho sam pres bezpecny kanal (ssh/https api call)
>> - monitoring otevreni racku co bez nahlaseni predem donuti
>> masiny smazat klice z RAM
>>
>> Ale tohle je furt malo, pokud admini nemaji vedet, co clen
>> bezi. Ani fullvirt ani se sifrovanou RAM na AMD nam nepomuze,
>> takze resim, jak zahostovat single board desky pro cleny,
>> kteri chteji mit moznost nejcitlivejsi data mit fakt soukrome.
>>
>> Ve finale:
>>
>> - budes mit moznost data na VPS sifrovat svymi hesly, ktera
>> se u nas nebudou ukladat (prusvih je, ze my nemame jak
>> dokazat, ze jsme to nikde neulozili)
>>
>> - pri neautorizovanym pristupu do racku se klice smaznou, to
>> samy pri rebootu/resetu a je pak na tobe zvazit, jestli je OK
>> data uz odemknout
>>
>> - budes mit moznost nejcitlivejsi data vysoupnout vedle po
>> siti na svuj dedikovanej systemek kalibru ARM Cortex A53, do
>> budoucna RISC-V
>>
>> Problem nastava, kdyz s adminkem pujde do datacentra nekdo
>> sebedulezitejsi, nez GDRP byrokrat s kulometem u palice, pak
>> admin nema moznost ani nejak kliknout smazani klicu, nebo
>> aspon nejakej counter na webu ve smyslu kanarka, ktery bude
>> pocitat pocet podobnych incidentu.
>>
>> Shared computing ma svoje limity, bohuzel, jestli sledujes,
>> kam tim mirim.
>>
>> GDPR podle mne vyzaduje nutne jenom nejaky papirovani, ale do
>> budoucna nam dava zaminku jit na to vic z husta, co se
>> soukromi tyce.
>>
>> Muze nam pak nekdo nadavat, ze delame hosting detskyho porna
>> a teroristum, kdyz mame racky obehnany pomalu ziletkovym
>> dratem? Nemuze, at si stezuje v Bruselu.
>>
>> Za mne dobry, ale nebude to hned. A v prvni vlne bude hlavne
>> to papirovani. V druhy vlne se musime zbavit nedostacujiciho
>> OpenVZ, vpsAdminOS ma podstatne lip ovladatelnejsi
>> bezpecnostni politiku - a je odspoda nahoru cely podepsany a
>> verifikovatelny.
>>
>> /snajpa
>>
>> On 30 Jan 2018, at 23:41, Jaroslav Skrivan
>> <skrivy at skrivy.net <mailto:skrivy at skrivy.net>> wrote:
>>
>> Jenom moje osobni zkusenost - odnest si cizi disky z
>> datacentra neni zas takovy problem, jak se na prvni
>> pohled muze zdat.
>> From: Pavel Snajdr
>> Sent: 1/30/2018 10:49 PM
>> To: vpsFree.cz Community list
>> Subject: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR
>>
>> Ahoj,
>>
>> GDPR je, pokud to dobre chapu, totalni nesmysl, z kteryho
>> jsou vsichni vyjukani uplne, ale naprosto totalne zbytecne.
>>
>> Podivej se, co bezime za procesory.
>>
>> Jak ma nekdo neco v takovym stavu vubec industry-wide za
>> neco rucit?
>>
>> Za mne je GDPR o tom a pouze o tom, ze musime podepsat
>> papir s lidmi, co maji admin pristupy, aby acknuli
>> oficialne svoji zodpovednost.
>>
>> V seznamu clenu uz ted mame jenom nejnutnejsi udaje
>> (podle posledni zkusenosti s PCR a PSR jim k identifikaci
>> ani to nemusi stacit...).
>>
>> Ve stanovach mame zakotvenou ochranu dat clenu uz od zacatku.
>>
>> Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi,
>> jakou ma zodpovednost, best practices v ohledu
>> bezpecnosti davno sleduje.
>>
>> A kdyz si nekdo mysli, ze Vsechno Zasifrovat(tm) to
>> vyresi, tak se rovnou zeptam - a borci, jak se k tomu asi
>> programy na ty masine dostanou? Hint: stejne musi byt
>> data odemcena pri behu. A ze se k nim neco dostane za
>> behu je mnoooohem pravdepodobnejsi, nez ze nam z
>> hlidanyho datacentra nekdo ukradne disky a vycte si neco
>> offline.
>>
>> Tedy, muj nazor je, ze vubec neni potreba panikarit a
>> natoz se uchylovat k reseni stylem ‘radsi to na vpsFree
>> nedam vubec’. To ty servery muzeme rovnou vypnout totiz -
>> a cely to zabalit s tim, ze jsme se nechali prevalcovat
>> byrokratama.
>>
>> /snajpa
>> (Pavel Snajdr)
>> (Predseda vpsFree.cz)
>> (+420 720 107 791 <tel:+420%20720%20107%20791>)
>>
>> On 30 Jan 2018, at 22:10, Lukáš Jelínek - AIKEN
>> <lukas at aiken.cz <mailto:lukas at aiken.cz>> wrote:
>>
>> Ahoj,
>>
>> pokud si vzpomínám, tak něco podobného už se řešilo
>> na valné hromadě
>> (byť ještě nebylo nařízení GDPR). A situace je v
>> podstatě taková, že to
>> asi příliš řešit nelze, protože by to pro spolek
>> znamenalo velkou
>> administrativní zátěž a značný nárůst nákladů.
>>
>> Čili asi nejčistším řešením v tuto chvíli je,
>> nevyužívat servery
>> vpsFree.cz k ukládání osobních údajů - přinejmenším
>> do doby, než se
>> všechny záležitosti vyřeší (a než vůbec vznikne
>> nějaký závazný výklad
>> různých ustanovení směrnice).
>>
>> Lukáš Jelínek
>>
>>
>>
>> Ahoj ve spolek!
>>
>> Datum 25.5.2018, kdy nám vstupuje v účinnost GDPR
>> se pomalu ale jistě
>> blíží. Bohužel jsem byl, ač neprávník do této
>> problematiky trochu
>> zatlačen a byly na mě již vzneseny dotazy
>> týkající se GDPR a vpsFree.
>>
>> Myslím, si, že je nás více, kteří na VPS máme
>> uloženy nějaké ty osobní
>> údaje (adresy, emaily, apod.) a skoro všichni
>> máme nějaký ten
>> webserver, kde se logují IP adresy, které jsou
>> rovněž považovány za
>> osobní údaje. Díky tomu jsme z pohledu GDPR
>> považování za správce
>> osobních údajů. Podle článku 4 GDPR se
>> zpracovaním osobních údajů
>> rozumí také ukládání osobních údajů. Z toho
>> plyne, že jakýkoliv
>> poskytovatel cloudových služeb, hostingu, VPS,
>> atd. je vůči správci v
>> postavení zpracovatele osobních údajů. Článek 28
>> GDPR potom řeší vztah
>> zpracovatele a správce, kde mj. požaduje nějaký
>> smluvní vztah mezi
>> nimi. Když to převedu na protředí vpsFree tak
>> členové jsou v podstatě
>> správci osobních údajů a vpsFree je zpracovatelem
>> osobních údajů.
>>
>> Můj dotaz zní, zda a jak bylo nebo bude GDPR
>> řešeno na úrovní vpsFree?
>> V podstatě asi jde o to, aby bylo v případě
>> kontroly z UOOÚ možno
>> něčím nebo nějak prokázat, že vpsFree je v
>> souladu s GDPR a taky
>> garantuje, že data nebudou uložena mimo EU.
>> Věřím, že v našich řadách
>> jsou kompetentnější členové v této věci jako já a
>> tak bých rád otevřel
>> diskusi.
>>
>> Honza.
>>
>>
>> _________________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> <mailto:Community-list at lists.vpsfree.cz>
>> http://lists.vpsfree.cz/listinfo/community-list
>> <http://lists.vpsfree.cz/listinfo/community-list>
>>
>>
>> _________________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> <mailto:Community-list at lists.vpsfree.cz>
>> http://lists.vpsfree.cz/listinfo/community-list
>> <http://lists.vpsfree.cz/listinfo/community-list>
>> _________________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> <mailto:Community-list at lists.vpsfree.cz>
>> http://lists.vpsfree.cz/listinfo/community-list
>> <http://lists.vpsfree.cz/listinfo/community-list>
>>
>>
>>
>>
>> _________________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> <mailto:Community-list at lists.vpsfree.cz>
>> http://lists.vpsfree.cz/listinfo/community-list
>> <http://lists.vpsfree.cz/listinfo/community-list>
>>
>> _________________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> <mailto:Community-list at lists.vpsfree.cz>
>> http://lists.vpsfree.cz/listinfo/community-list
>> <http://lists.vpsfree.cz/listinfo/community-list>
>
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> <mailto:Community-list at lists.vpsfree.cz>
> http://lists.vpsfree.cz/listinfo/community-list
> <http://lists.vpsfree.cz/listinfo/community-list>
>
>
>
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20180201/a184af1c/attachment-0001.html>
More information about the Community-list
mailing list