[vpsFree.cz: community-list] vpsFree.cz a GDPR
Pavel Snajdr
snajpa at snajpa.net
Thu Feb 1 01:28:33 CET 2018
Jo, tohle by slo presne tam, cca tak, jak rikas.
Jako pani, to fakt GDPR resi ochranu dat tim, ze vsem naokolo vykeca,
kde ty data jsou a pak jakoze proti podpisu mame delat, ze na ne
nevidime?
Nechapu to.
Neni pro nas lepsi vubec nevedet, jestli tam neco takovyho vubec je a za
soukrome proste povazovat cokoliv z datasetu clena, kterehokoliv?
Komu pomuze, ze nam presne vyslepici a jeste podepise, kde ta data ma?
/snajpa
On 2018-02-01 01:22, Slávek Banko wrote:
> Ve Stanovách je odkazován Provozní řád, který je schvalovaný Radou.
>
> Pokud by navrhované prohlášení typu "všechní informační zařízení jejíž
> použití poskytovává VPSFree a na které se zpracovává data jsou v EU" a
> další pravidla související s GDPR mohl podchytit Provozní řád, pak by
> možná mohl by být tím společným dokumentem závazným pro všechny?
>
> --
> Slávek
>
> On Thursday 01 of February 2018 00:12:28 Timothy Hobbs wrote:
>> Já teď koukám na stanovy
>> https://vpsfree.cz/download/stanovy_vpsfree.pdf a nevidím kde je
>> napsáno, že "všechní informační zařízení jejíž použití poskytovává
>> VPSFree a na které se zpracovává data jsou v EU".
>>
>> On 01/31/2018 08:12 AM, zd nex wrote:
>> > Ahojte,
>> >
>> > také si tu směrnici vykládám tak, že každý člen musí za data na VPS
>> > zodpovídat sám (mít pověřenou osobu, která s tím pracuje + papír, že
>> > je o tom seznámená.) Co se týče dat na VPSFree, tak tam půjde
>> > primárně o to, jestli stačí to co je ve stanovách - či jestli nějak
>> > bude také potřeba tedy domluvit (sepsat smlouvu) mezi členem(jeho
>> > daty) a vpsfree nějak odděleně, nebo bude pouze stačit, aby to bylo
>> > ve stanovách - že jsou zde admini a následně jednotlivý členové co
>> > pracují s VPS(kteří jsou zodpovědní za data)? Tzn tím pádem, by
>> > nemělo být nutné nic měnit, kromě té specifikace - kdo a jaký má
>> > přístup k VPS a jakou zodpovědnost (plnou).
>> >
>> > --
>> > S pozdravem,
>> >
>> > Zdeněk Dlauhý
>> >
>> > Email:support at pripravto.cz <mailto:support at pripravto.cz>
>> > Mobil: +420 702 549 370
>> > Web: www.pripravto.cz <http://www.pripravto.cz>
>> >
>> > Dne 31. ledna 2018 6:21 Petr Juhaňák <petr at juhanak.cz
>> > <mailto:petr at juhanak.cz>> napsal(a):
>> >
>> > Je to tak jak rika Jirka.
>> >
>> > VpsFree si udela samo datovy audit z hlediska osobnich udaju
>> > ktere eviduje o clenech a sepise si na papir kde a v jakem rozsahu
>> > jsou a hlavne zadokumentuje jaka opatreni uz ma (procesy a technicka
>> > nastaveni) aby to vypadalo jako rizena prace s riziky. Pak pravni
>> > dokumenty typu informovane souhlasy.
>> >
>> > To same si udelaji clenove ale v jinem ramci, uz na urovni jejich
>> > provozovane technologie php eshopy a podobne a zase seznam
>> > opatreni, proces kdyz nekdo odvola souhlas se zpracovanim, seznam
>> > opatreni.
>> >
>> > To jsou veci ktere si kazdy muze pripravit uz ted.
>> >
>> > Predstava, ze vpdfree je tu od toho aby zajistila soulad s gdpr
>> > je mylna. To si musi zajistit kazdy clen sam, tj. nemluvim o
>> > technickem svete.
>> >
>> >
>> >
>> > S pozdravem
>> > Petr Juhaňák
>> >
>> > petr at juhanak.cz <mailto:petr at juhanak.cz> | +420 739 639 132
>> > <tel:+420%20739%20639%20132>
>> >
>> >
>> > -------- Původní zpráva --------
>> > Od: Jindřich Sadílek <jindrich.sadilek at gmail.com
>> > <mailto:jindrich.sadilek at gmail.com>>
>> > Datum: 31.01.18 1:41 (GMT+01:00)
>> > Komu: community-list at lists.vpsfree.cz
>> > <mailto:community-list at lists.vpsfree.cz>
>> > Předmět: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR
>> >
>> > Jedna věc je, co si musí pořešit VPSfree jako organizace, zcela
>> > jiná pak jendotliví správci vlastních žiletek.
>> >
>> > Provozujete nějaký jednoduchý eshop, máte uživatelské registrace
>> > a pošlete semtam email, natož považovatelný za reklamní? Jste v tom
>> > až po uši...
>> >
>> > Dne St, 31. leden 2018 v 00:30 h uživatel Jirka Bourek napsal:
>> >> Problém je, že tohle všechno řeší technické věci, které udělat
>> >> chceš, ale neřeší to chybějící papíry, které potřebuješ pro úřad.
>> >>
>> >> Jasně, v oboru "no tak nám procesory trochu leakujou paměť,
>> >> hlavně že jsem náhodou včas prodal akcie" nějakou skutečnou ochranu
>> >> osobních údajů
>> >> v podstatě řešit nejde. Jenže to úředníky z EU nezajímá - ti
>> >> vymysleli
>> >> směrnici na ochranu osobních údajů, takže se osobní údaje chrání
>> >> tak, jak nařizuje směrnice. Až přijde kontrola, argumentace "dyť je
>> >> to nesmysl!" nic nezachrání.
>> >>
>> >> Takže správce potřebuje se zpracovatelem mít smlouvu nebo jiný
>> >> právní akt. Pokud je právním aktem - dostatečným pro úřad - členství
>> >> v vpsfree,
>> >> tak je asi všechno v poho.
>> >> (http://www.privacy-regulation.eu/cs/28.htm
>> >> <http://www.privacy-regulation.eu/cs/28.htm>)
>> >> Pokud ne, tak je problém.
>> >>
>> >> Jinak teda
>> >>
>> >> > Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi, jakou ma
>> >>
>> >> zodpovednost, best practices v ohledu bezpecnosti davno sleduje.
>> >>
>> >> Co když to neví, nebo na to dlabe? :-)
>> >>
>> >>
>> >> Pavel Snajdr wrote:
>> >>
>> >> Stejne jako oskenovat, co ti tam bezi a dostat se ti tam bez
>> >> zvednuti my pohodlny zadele, obzvlast pokud jedes nejakou
>> >> PHPkovinu a data, ktery by bylo potreba chranit, jsou primo
>> >> v DB, kam ty PHP spagety vidi.
>> >>
>> >> A co ted s tim, vypneme to vsehno? ;)
>> >>
>> >> Chci tim rict, ze panikrit IMHO neni na miste a kdyz se nad
>> >> tim clovek zamysli, zasifrovat vsechno taky neni reseni.
>> >>
>> >> Jinak ja jsem za GDPR rad, mam vymluvu, proc si sebou budu
>> >> nosit klicenku s trhavinou na flashkach, mame vymluvu, proc
>> >> plosne nasadit sifrovani, proc se nam nepujde dostat do
>> >> racku neautorizovane, aniz by to neodmazlo klice a neshodilo vsehno
>> >> chraneny (tj. abys nam fakt nechtel otevrit ten rack).
>> >>
>> >> Ne ze by GDPR neco resilo, ale dava van super vymluvu, jak
>> >> muzem nase systemy postupne posouvat vic smerem plausible
>> >> deniability, tj. soukromi je level jedna, level nuda, ale co
>> >> nam to umozni je ochranit i adminy pred tim, aby vedeli, co
>> >> clen bezi.
>> >>
>> >> Neumel jsem si bez GDPR predstavit, jak zvysovat zabezpeceni
>> >> bez toho, aby to vypadalo, jako kdyz se chystame hostovat
>> >> tunu detskyho porna a lokalni pobocku CIA. Jenom to nebude
>> >> vsehno hned - a nektery levely zabezpeceni na sharovanym
>> >> hardwaru ani nepujde udelat.
>> >>
>> >> Chci:
>> >>
>> >> - sifrovani v ZoL
>> >> - aby clen mel moznost klic per dataset neulozit, ale zadat
>> >> si ho sam pres bezpecny kanal (ssh/https api call)
>> >> - monitoring otevreni racku co bez nahlaseni predem donuti
>> >> masiny smazat klice z RAM
>> >>
>> >> Ale tohle je furt malo, pokud admini nemaji vedet, co clen
>> >> bezi. Ani fullvirt ani se sifrovanou RAM na AMD nam
>> >> nepomuze, takze resim, jak zahostovat single board desky pro cleny,
>> >> kteri chteji mit moznost nejcitlivejsi data mit fakt soukrome.
>> >>
>> >> Ve finale:
>> >>
>> >> - budes mit moznost data na VPS sifrovat svymi hesly, ktera
>> >> se u nas nebudou ukladat (prusvih je, ze my nemame jak
>> >> dokazat, ze jsme to nikde neulozili)
>> >>
>> >> - pri neautorizovanym pristupu do racku se klice smaznou, to
>> >> samy pri rebootu/resetu a je pak na tobe zvazit, jestli je
>> >> OK data uz odemknout
>> >>
>> >> - budes mit moznost nejcitlivejsi data vysoupnout vedle po
>> >> siti na svuj dedikovanej systemek kalibru ARM Cortex A53, do
>> >> budoucna RISC-V
>> >>
>> >> Problem nastava, kdyz s adminkem pujde do datacentra nekdo
>> >> sebedulezitejsi, nez GDRP byrokrat s kulometem u palice, pak
>> >> admin nema moznost ani nejak kliknout smazani klicu, nebo
>> >> aspon nejakej counter na webu ve smyslu kanarka, ktery bude
>> >> pocitat pocet podobnych incidentu.
>> >>
>> >> Shared computing ma svoje limity, bohuzel, jestli sledujes,
>> >> kam tim mirim.
>> >>
>> >> GDPR podle mne vyzaduje nutne jenom nejaky papirovani, ale
>> >> do budoucna nam dava zaminku jit na to vic z husta, co se soukromi
>> >> tyce.
>> >>
>> >> Muze nam pak nekdo nadavat, ze delame hosting detskyho porna
>> >> a teroristum, kdyz mame racky obehnany pomalu ziletkovym
>> >> dratem? Nemuze, at si stezuje v Bruselu.
>> >>
>> >> Za mne dobry, ale nebude to hned. A v prvni vlne bude hlavne
>> >> to papirovani. V druhy vlne se musime zbavit nedostacujiciho
>> >> OpenVZ, vpsAdminOS ma podstatne lip ovladatelnejsi
>> >> bezpecnostni politiku - a je odspoda nahoru cely podepsany a
>> >> verifikovatelny.
>> >>
>> >> /snajpa
>> >>
>> >> On 30 Jan 2018, at 23:41, Jaroslav Skrivan
>> >> <skrivy at skrivy.net <mailto:skrivy at skrivy.net>> wrote:
>> >>
>> >> Jenom moje osobni zkusenost - odnest si cizi disky z
>> >> datacentra neni zas takovy problem, jak se na prvni
>> >> pohled muze zdat.
>> >> From: Pavel Snajdr
>> >> Sent: 1/30/2018 10:49 PM
>> >> To: vpsFree.cz Community list
>> >> Subject: Re: [vpsFree.cz: community-list] vpsFree.cz a
>> >> GDPR
>> >>
>> >> Ahoj,
>> >>
>> >> GDPR je, pokud to dobre chapu, totalni nesmysl, z
>> >> kteryho jsou vsichni vyjukani uplne, ale naprosto totalne zbytecne.
>> >>
>> >> Podivej se, co bezime za procesory.
>> >>
>> >> Jak ma nekdo neco v takovym stavu vubec industry-wide za
>> >> neco rucit?
>> >>
>> >> Za mne je GDPR o tom a pouze o tom, ze musime podepsat
>> >> papir s lidmi, co maji admin pristupy, aby acknuli
>> >> oficialne svoji zodpovednost.
>> >>
>> >> V seznamu clenu uz ted mame jenom nejnutnejsi udaje
>> >> (podle posledni zkusenosti s PCR a PSR jim k
>> >> identifikaci ani to nemusi stacit...).
>> >>
>> >> Ve stanovach mame zakotvenou ochranu dat clenu uz od
>> >> zacatku.
>> >>
>> >> Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi,
>> >> jakou ma zodpovednost, best practices v ohledu
>> >> bezpecnosti davno sleduje.
>> >>
>> >> A kdyz si nekdo mysli, ze Vsechno Zasifrovat(tm) to
>> >> vyresi, tak se rovnou zeptam - a borci, jak se k tomu
>> >> asi programy na ty masine dostanou? Hint: stejne musi byt data
>> >> odemcena pri behu. A ze se k nim neco dostane za behu je mnoooohem
>> >> pravdepodobnejsi, nez ze nam z hlidanyho datacentra nekdo ukradne
>> >> disky a vycte si neco offline.
>> >>
>> >> Tedy, muj nazor je, ze vubec neni potreba panikarit a
>> >> natoz se uchylovat k reseni stylem ‘radsi to na vpsFree
>> >> nedam vubec’. To ty servery muzeme rovnou vypnout totiz
>> >> - a cely to zabalit s tim, ze jsme se nechali prevalcovat
>> >> byrokratama.
>> >>
>> >> /snajpa
>> >> (Pavel Snajdr)
>> >> (Predseda vpsFree.cz)
>> >> (+420 720 107 791 <tel:+420%20720%20107%20791>)
>> >>
>> >> On 30 Jan 2018, at 22:10, Lukáš Jelínek - AIKEN
>> >> <lukas at aiken.cz <mailto:lukas at aiken.cz>> wrote:
>> >>
>> >> Ahoj,
>> >>
>> >> pokud si vzpomínám, tak něco podobného už se řešilo
>> >> na valné hromadě
>> >> (byť ještě nebylo nařízení GDPR). A situace je v
>> >> podstatě taková, že to
>> >> asi příliš řešit nelze, protože by to pro spolek
>> >> znamenalo velkou
>> >> administrativní zátěž a značný nárůst nákladů.
>> >>
>> >> Čili asi nejčistším řešením v tuto chvíli je,
>> >> nevyužívat servery
>> >> vpsFree.cz k ukládání osobních údajů - přinejmenším
>> >> do doby, než se
>> >> všechny záležitosti vyřeší (a než vůbec vznikne
>> >> nějaký závazný výklad
>> >> různých ustanovení směrnice).
>> >>
>> >> Lukáš Jelínek
>> >>
>> >>
>> >>
>> >> Ahoj ve spolek!
>> >>
>> >> Datum 25.5.2018, kdy nám vstupuje v účinnost
>> >> GDPR se pomalu ale jistě
>> >> blíží. Bohužel jsem byl, ač neprávník do této
>> >> problematiky trochu
>> >> zatlačen a byly na mě již vzneseny dotazy
>> >> týkající se GDPR a vpsFree.
>> >>
>> >> Myslím, si, že je nás více, kteří na VPS máme
>> >> uloženy nějaké ty osobní
>> >> údaje (adresy, emaily, apod.) a skoro všichni
>> >> máme nějaký ten
>> >> webserver, kde se logují IP adresy, které jsou
>> >> rovněž považovány za
>> >> osobní údaje. Díky tomu jsme z pohledu GDPR
>> >> považování za správce
>> >> osobních údajů. Podle článku 4 GDPR se
>> >> zpracovaním osobních údajů
>> >> rozumí také ukládání osobních údajů. Z toho
>> >> plyne, že jakýkoliv
>> >> poskytovatel cloudových služeb, hostingu, VPS,
>> >> atd. je vůči správci v
>> >> postavení zpracovatele osobních údajů. Článek 28
>> >> GDPR potom řeší vztah
>> >> zpracovatele a správce, kde mj. požaduje nějaký
>> >> smluvní vztah mezi
>> >> nimi. Když to převedu na protředí vpsFree tak
>> >> členové jsou v podstatě
>> >> správci osobních údajů a vpsFree je
>> >> zpracovatelem osobních údajů.
>> >>
>> >> Můj dotaz zní, zda a jak bylo nebo bude GDPR
>> >> řešeno na úrovní vpsFree?
>> >> V podstatě asi jde o to, aby bylo v případě
>> >> kontroly z UOOÚ možno
>> >> něčím nebo nějak prokázat, že vpsFree je v
>> >> souladu s GDPR a taky
>> >> garantuje, že data nebudou uložena mimo EU.
>> >> Věřím, že v našich řadách
>> >> jsou kompetentnější členové v této věci jako já
>> >> a tak bých rád otevřel
>> >> diskusi.
>> >>
>> >> Honza.
>> >>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
More information about the Community-list
mailing list