[vpsFree.cz: community-list] vpsFree.cz a GDPR

Pavel Snajdr snajpa at snajpa.net
Thu Feb 1 01:28:33 CET 2018


Jo, tohle by slo presne tam, cca tak, jak rikas.

Jako pani, to fakt GDPR resi ochranu dat tim, ze vsem naokolo vykeca, 
kde ty data jsou a pak jakoze proti podpisu mame delat, ze na ne 
nevidime?

Nechapu to.

Neni pro nas lepsi vubec nevedet, jestli tam neco takovyho vubec je a za 
soukrome proste povazovat cokoliv z datasetu clena, kterehokoliv?

Komu pomuze, ze nam presne vyslepici a jeste podepise, kde ta data ma?

/snajpa

On 2018-02-01 01:22, Slávek Banko wrote:
> Ve Stanovách je odkazován Provozní řád, který je schvalovaný Radou.
> 
> Pokud by navrhované prohlášení typu "všechní informační zařízení jejíž
> použití poskytovává VPSFree a na které se zpracovává data jsou v EU" a
> další pravidla související s GDPR mohl podchytit Provozní řád, pak by
> možná mohl by být tím společným dokumentem závazným pro všechny?
> 
> --
> Slávek
> 
> On Thursday 01 of February 2018 00:12:28 Timothy Hobbs wrote:
>> Já teď koukám na stanovy
>> https://vpsfree.cz/download/stanovy_vpsfree.pdf a nevidím kde je
>> napsáno, že "všechní informační zařízení jejíž použití poskytovává
>> VPSFree a na které se zpracovává data jsou v EU".
>> 
>> On 01/31/2018 08:12 AM, zd nex wrote:
>> > Ahojte,
>> >
>> > také si tu směrnici vykládám tak, že každý člen musí za data na VPS
>> > zodpovídat sám (mít pověřenou osobu, která s tím pracuje + papír, že
>> > je o tom seznámená.) Co se týče dat na VPSFree, tak tam půjde
>> > primárně o to, jestli stačí to co je ve stanovách - či jestli nějak
>> > bude také potřeba tedy domluvit (sepsat smlouvu) mezi členem(jeho
>> > daty) a vpsfree nějak odděleně, nebo bude pouze stačit, aby to bylo
>> > ve stanovách - že jsou zde admini a následně jednotlivý členové co
>> > pracují s VPS(kteří jsou zodpovědní za data)? Tzn tím pádem, by
>> > nemělo být nutné nic měnit, kromě té specifikace - kdo a jaký má
>> > přístup k VPS a jakou zodpovědnost (plnou).
>> >
>> > --
>> > S pozdravem,
>> >
>> > Zdeněk Dlauhý
>> >
>> > Email:support at pripravto.cz <mailto:support at pripravto.cz>
>> > Mobil: +420 702 549 370
>> > Web: www.pripravto.cz <http://www.pripravto.cz>
>> >
>> > Dne 31. ledna 2018 6:21 Petr Juhaňák <petr at juhanak.cz
>> > <mailto:petr at juhanak.cz>> napsal(a):
>> >
>> >     Je to tak jak rika Jirka.
>> >
>> >     VpsFree si udela samo datovy audit z hlediska osobnich udaju
>> > ktere eviduje o clenech a sepise si na papir kde a v jakem rozsahu
>> > jsou a hlavne zadokumentuje jaka opatreni uz ma (procesy a technicka
>> > nastaveni) aby to vypadalo jako rizena prace s riziky. Pak pravni
>> > dokumenty typu informovane souhlasy.
>> >
>> >     To same si udelaji clenove ale v jinem ramci, uz na urovni jejich
>> >     provozovane technologie php eshopy a podobne a zase seznam
>> >     opatreni, proces kdyz nekdo odvola souhlas se zpracovanim, seznam
>> >     opatreni.
>> >
>> >     To jsou veci ktere si kazdy muze pripravit uz ted.
>> >
>> >     Predstava, ze vpdfree je tu od toho aby zajistila soulad s gdpr
>> > je mylna. To si musi zajistit kazdy clen sam, tj. nemluvim o
>> > technickem svete.
>> >
>> >
>> >
>> >     S pozdravem
>> >     Petr Juhaňák
>> >
>> >     petr at juhanak.cz <mailto:petr at juhanak.cz> | +420 739 639 132
>> >     <tel:+420%20739%20639%20132>
>> >
>> >
>> >     -------- Původní zpráva --------
>> >     Od: Jindřich Sadílek <jindrich.sadilek at gmail.com
>> >     <mailto:jindrich.sadilek at gmail.com>>
>> >     Datum: 31.01.18 1:41 (GMT+01:00)
>> >     Komu: community-list at lists.vpsfree.cz
>> >     <mailto:community-list at lists.vpsfree.cz>
>> >     Předmět: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR
>> >
>> >     Jedna věc je, co si musí pořešit VPSfree jako organizace, zcela
>> >     jiná pak jendotliví správci vlastních žiletek.
>> >
>> >     Provozujete nějaký jednoduchý eshop, máte uživatelské registrace
>> > a pošlete semtam email, natož považovatelný za reklamní? Jste v tom
>> > až po uši...
>> >
>> >     Dne St, 31. leden 2018 v 00:30 h uživatel Jirka Bourek napsal:
>> >>     Problém je, že tohle všechno řeší technické věci, které udělat
>> >> chceš, ale neřeší to chybějící papíry, které potřebuješ pro úřad.
>> >>
>> >>     Jasně, v oboru "no tak nám procesory trochu leakujou paměť,
>> >> hlavně že jsem náhodou včas prodal akcie" nějakou skutečnou ochranu
>> >> osobních údajů
>> >>     v podstatě řešit nejde. Jenže to úředníky z EU nezajímá - ti
>> >>     vymysleli
>> >>     směrnici na ochranu osobních údajů, takže se osobní údaje chrání
>> >> tak, jak nařizuje směrnice. Až přijde kontrola, argumentace "dyť je
>> >> to nesmysl!" nic nezachrání.
>> >>
>> >>     Takže správce potřebuje se zpracovatelem mít smlouvu nebo jiný
>> >> právní akt. Pokud je právním aktem - dostatečným pro úřad - členství
>> >> v vpsfree,
>> >>     tak je asi všechno v poho.
>> >>     (http://www.privacy-regulation.eu/cs/28.htm
>> >>     <http://www.privacy-regulation.eu/cs/28.htm>)
>> >>     Pokud ne, tak je problém.
>> >>
>> >>     Jinak teda
>> >>
>> >>     > Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi, jakou ma
>> >>
>> >>     zodpovednost, best practices v ohledu bezpecnosti davno sleduje.
>> >>
>> >>     Co když to neví, nebo na to dlabe? :-)
>> >>
>> >>
>> >>     Pavel Snajdr wrote:
>> >>
>> >>         Stejne jako oskenovat, co ti tam bezi a dostat se ti tam bez
>> >>         zvednuti my pohodlny zadele, obzvlast pokud jedes nejakou
>> >>         PHPkovinu a data, ktery by bylo potreba chranit, jsou primo
>> >> v DB, kam ty PHP spagety vidi.
>> >>
>> >>         A co ted s tim, vypneme to vsehno? ;)
>> >>
>> >>         Chci tim rict, ze panikrit IMHO neni na miste a kdyz se nad
>> >>         tim clovek zamysli, zasifrovat vsechno taky neni reseni.
>> >>
>> >>         Jinak ja jsem za GDPR rad, mam vymluvu, proc si sebou budu
>> >>         nosit klicenku s trhavinou na flashkach, mame vymluvu, proc
>> >>         plosne nasadit sifrovani, proc se nam nepujde dostat do
>> >> racku neautorizovane, aniz by to neodmazlo klice a neshodilo vsehno
>> >> chraneny (tj. abys nam fakt nechtel otevrit ten rack).
>> >>
>> >>         Ne ze by GDPR neco resilo, ale dava van super vymluvu, jak
>> >>         muzem nase systemy postupne posouvat vic smerem plausible
>> >>         deniability, tj. soukromi je level jedna, level nuda, ale co
>> >>         nam to umozni je ochranit i adminy pred tim, aby vedeli, co
>> >>         clen bezi.
>> >>
>> >>         Neumel jsem si bez GDPR predstavit, jak zvysovat zabezpeceni
>> >>         bez toho, aby to vypadalo, jako kdyz se chystame hostovat
>> >>         tunu detskyho porna a lokalni pobocku CIA. Jenom to nebude
>> >>         vsehno hned - a nektery levely zabezpeceni na sharovanym
>> >>         hardwaru ani nepujde udelat.
>> >>
>> >>         Chci:
>> >>
>> >>         - sifrovani v ZoL
>> >>         - aby clen mel moznost klic per dataset neulozit, ale zadat
>> >>         si ho sam pres bezpecny kanal (ssh/https api call)
>> >>         - monitoring otevreni racku co bez nahlaseni predem donuti
>> >>         masiny smazat klice z RAM
>> >>
>> >>         Ale tohle je furt malo, pokud admini nemaji vedet, co clen
>> >>         bezi. Ani fullvirt ani se sifrovanou RAM na AMD nam
>> >> nepomuze, takze resim, jak zahostovat single board desky pro cleny,
>> >> kteri chteji mit moznost nejcitlivejsi data mit fakt soukrome.
>> >>
>> >>         Ve finale:
>> >>
>> >>         - budes mit moznost data na VPS sifrovat svymi hesly, ktera
>> >>         se u nas nebudou ukladat (prusvih je, ze my nemame jak
>> >>         dokazat, ze jsme to nikde neulozili)
>> >>
>> >>         - pri neautorizovanym pristupu do racku se klice smaznou, to
>> >>         samy pri rebootu/resetu a je pak na tobe zvazit, jestli je
>> >> OK data uz odemknout
>> >>
>> >>         - budes mit moznost nejcitlivejsi data vysoupnout vedle po
>> >>         siti na svuj dedikovanej systemek kalibru ARM Cortex A53, do
>> >>         budoucna RISC-V
>> >>
>> >>         Problem nastava, kdyz s adminkem pujde do datacentra nekdo
>> >>         sebedulezitejsi, nez GDRP byrokrat s kulometem u palice, pak
>> >>         admin nema moznost ani nejak kliknout smazani klicu, nebo
>> >>         aspon nejakej counter na webu ve smyslu kanarka, ktery bude
>> >>         pocitat pocet podobnych incidentu.
>> >>
>> >>         Shared computing ma svoje limity, bohuzel, jestli sledujes,
>> >>         kam tim mirim.
>> >>
>> >>         GDPR podle mne vyzaduje nutne jenom nejaky papirovani, ale
>> >> do budoucna nam dava zaminku jit na to vic z husta, co se soukromi
>> >> tyce.
>> >>
>> >>         Muze nam pak nekdo nadavat, ze delame hosting detskyho porna
>> >>         a teroristum, kdyz mame racky obehnany pomalu ziletkovym
>> >>         dratem? Nemuze, at si stezuje v Bruselu.
>> >>
>> >>         Za mne dobry, ale nebude to hned. A v prvni vlne bude hlavne
>> >>         to papirovani. V druhy vlne se musime zbavit nedostacujiciho
>> >>         OpenVZ, vpsAdminOS ma podstatne lip ovladatelnejsi
>> >>         bezpecnostni politiku - a je odspoda nahoru cely podepsany a
>> >>         verifikovatelny.
>> >>
>> >>         /snajpa
>> >>
>> >>             On 30 Jan 2018, at 23:41, Jaroslav Skrivan
>> >>             <skrivy at skrivy.net <mailto:skrivy at skrivy.net>> wrote:
>> >>
>> >>             Jenom moje osobni zkusenost - odnest si cizi disky z
>> >>             datacentra neni zas takovy problem, jak se na prvni
>> >>             pohled muze zdat.
>> >>             From: Pavel Snajdr
>> >>             Sent: ‎1/‎30/‎2018 10:49 PM
>> >>             To: vpsFree.cz Community list
>> >>             Subject: Re: [vpsFree.cz: community-list] vpsFree.cz a
>> >> GDPR
>> >>
>> >>             Ahoj,
>> >>
>> >>             GDPR je, pokud to dobre chapu, totalni nesmysl, z
>> >> kteryho jsou vsichni vyjukani uplne, ale naprosto totalne zbytecne.
>> >>
>> >>             Podivej se, co bezime za procesory.
>> >>
>> >>             Jak ma nekdo neco v takovym stavu vubec industry-wide za
>> >>             neco rucit?
>> >>
>> >>             Za mne je GDPR o tom a pouze o tom, ze musime podepsat
>> >>             papir s lidmi, co maji admin pristupy, aby acknuli
>> >>             oficialne svoji zodpovednost.
>> >>
>> >>             V seznamu clenu uz ted mame jenom nejnutnejsi udaje
>> >>             (podle posledni zkusenosti s PCR a PSR jim k
>> >> identifikaci ani to nemusi stacit...).
>> >>
>> >>             Ve stanovach mame zakotvenou ochranu dat clenu uz od
>> >> zacatku.
>> >>
>> >>             Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi,
>> >>             jakou ma zodpovednost, best practices v ohledu
>> >>             bezpecnosti davno sleduje.
>> >>
>> >>             A kdyz si nekdo mysli, ze Vsechno Zasifrovat(tm) to
>> >>             vyresi, tak se rovnou zeptam - a borci, jak se k tomu
>> >> asi programy na ty masine dostanou? Hint: stejne musi byt data
>> >> odemcena pri behu. A ze se k nim neco dostane za behu je mnoooohem
>> >> pravdepodobnejsi, nez ze nam z hlidanyho datacentra nekdo ukradne
>> >> disky a vycte si neco offline.
>> >>
>> >>             Tedy, muj nazor je, ze vubec neni potreba panikarit a
>> >>             natoz se uchylovat k reseni stylem ‘radsi to na vpsFree
>> >>             nedam vubec’. To ty servery muzeme rovnou vypnout totiz
>> >> - a cely to zabalit s tim, ze jsme se nechali prevalcovat
>> >> byrokratama.
>> >>
>> >>             /snajpa
>> >>             (Pavel Snajdr)
>> >>             (Predseda vpsFree.cz)
>> >>             (+420 720 107 791 <tel:+420%20720%20107%20791>)
>> >>
>> >>                 On 30 Jan 2018, at 22:10, Lukáš Jelínek - AIKEN
>> >>                 <lukas at aiken.cz <mailto:lukas at aiken.cz>> wrote:
>> >>
>> >>                 Ahoj,
>> >>
>> >>                 pokud si vzpomínám, tak něco podobného už se řešilo
>> >>                 na valné hromadě
>> >>                 (byť ještě nebylo nařízení GDPR). A situace je v
>> >>                 podstatě taková, že to
>> >>                 asi příliš řešit nelze, protože by to pro spolek
>> >>                 znamenalo velkou
>> >>                 administrativní zátěž a značný nárůst nákladů.
>> >>
>> >>                 Čili asi nejčistším řešením v tuto chvíli je,
>> >>                 nevyužívat servery
>> >>                 vpsFree.cz k ukládání osobních údajů - přinejmenším
>> >>                 do doby, než se
>> >>                 všechny záležitosti vyřeší (a než vůbec vznikne
>> >>                 nějaký závazný výklad
>> >>                 různých ustanovení směrnice).
>> >>
>> >>                 Lukáš Jelínek
>> >>
>> >>
>> >>
>> >>                     Ahoj ve spolek!
>> >>
>> >>                     Datum 25.5.2018, kdy nám vstupuje v účinnost
>> >> GDPR se pomalu ale jistě
>> >>                     blíží. Bohužel jsem byl, ač neprávník do této
>> >>                     problematiky trochu
>> >>                     zatlačen a byly na mě již vzneseny dotazy
>> >>                     týkající se GDPR a vpsFree.
>> >>
>> >>                     Myslím, si, že je nás více, kteří na VPS máme
>> >>                     uloženy nějaké ty osobní
>> >>                     údaje (adresy, emaily, apod.) a skoro všichni
>> >>                     máme nějaký ten
>> >>                     webserver, kde se logují IP adresy, které jsou
>> >>                     rovněž považovány za
>> >>                     osobní údaje. Díky tomu jsme z pohledu GDPR
>> >>                     považování za správce
>> >>                     osobních údajů. Podle článku 4 GDPR se
>> >>                     zpracovaním osobních údajů
>> >>                     rozumí také ukládání osobních údajů. Z toho
>> >>                     plyne, že jakýkoliv
>> >>                     poskytovatel cloudových služeb, hostingu, VPS,
>> >>                     atd. je vůči správci v
>> >>                     postavení zpracovatele osobních údajů. Článek 28
>> >>                     GDPR potom řeší vztah
>> >>                     zpracovatele a správce, kde mj. požaduje nějaký
>> >>                     smluvní vztah mezi
>> >>                     nimi. Když to převedu na protředí vpsFree tak
>> >>                     členové jsou v podstatě
>> >>                     správci osobních údajů a vpsFree je
>> >> zpracovatelem osobních údajů.
>> >>
>> >>                     Můj dotaz zní, zda a jak bylo nebo bude GDPR
>> >>                     řešeno na úrovní vpsFree?
>> >>                     V podstatě asi jde o to, aby bylo v případě
>> >>                     kontroly z UOOÚ možno
>> >>                     něčím nebo nějak prokázat, že vpsFree je v
>> >>                     souladu s GDPR a taky
>> >>                     garantuje, že data nebudou uložena mimo EU.
>> >>                     Věřím, že v našich řadách
>> >>                     jsou kompetentnější členové v této věci jako já
>> >> a tak bých rád otevřel
>> >>                     diskusi.
>> >>
>> >>                     Honza.
>> >>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list


More information about the Community-list mailing list