[vpsFree.cz: community-list] vpsFree.cz a GDPR
Slávek Banko
slavek.banko at axis.cz
Thu Feb 1 03:30:06 CET 2018
Vůbec ne dělat, jako že na ně nevidíte. Právě naopak. Musí se deklarovat,
kdo a proč může k jakým datům přistupovat - jako třeba, že správci mohou
přistupovat do všech datasetů, protože to prostě potřebují k naplňování
činnosti sdružení.
Ohledně toho, jestli každý musí vyslepičit, co kde má, si teprve budu
pročítat, všechno to co poslal Honza. Ale zatím stále doufám, že když
sdružení bude někde (patrně v Provozním řádu) deklarovat, co požaduje
doložit GDPR, tak by snad nemusela být řešena s každým individuální
smlouva. Když správci už teď k jednotlivým datasetům přistupují jako k
důvěrným datům. Je zabezpečeno, že (vyjma správců) si každý úřaduje jen
ve svém datasetu. Zálohy a jejich mazání si také může každý obsluhovat po
svém. Data jsou uchovávána v EU. Na každém konkrétním členovi je, aby si
už on sám řešil doložení důvodů co a proč zpracovává a jak to ukládá.
--
Slávek
On Thursday 01 of February 2018 01:28:33 Pavel Snajdr wrote:
> Jo, tohle by slo presne tam, cca tak, jak rikas.
>
> Jako pani, to fakt GDPR resi ochranu dat tim, ze vsem naokolo vykeca,
> kde ty data jsou a pak jakoze proti podpisu mame delat, ze na ne
> nevidime?
>
> Nechapu to.
>
> Neni pro nas lepsi vubec nevedet, jestli tam neco takovyho vubec je a
> za soukrome proste povazovat cokoliv z datasetu clena, kterehokoliv?
>
> Komu pomuze, ze nam presne vyslepici a jeste podepise, kde ta data ma?
>
> /snajpa
>
> On 2018-02-01 01:22, Slávek Banko wrote:
> > Ve Stanovách je odkazován Provozní řád, který je schvalovaný Radou.
> >
> > Pokud by navrhované prohlášení typu "všechní informační zařízení
> > jejíž použití poskytovává VPSFree a na které se zpracovává data jsou
> > v EU" a další pravidla související s GDPR mohl podchytit Provozní
> > řád, pak by možná mohl by být tím společným dokumentem závazným pro
> > všechny?
> >
> > --
> > Slávek
> >
> > On Thursday 01 of February 2018 00:12:28 Timothy Hobbs wrote:
> >> Já teď koukám na stanovy
> >> https://vpsfree.cz/download/stanovy_vpsfree.pdf a nevidím kde je
> >> napsáno, že "všechní informační zařízení jejíž použití poskytovává
> >> VPSFree a na které se zpracovává data jsou v EU".
> >>
> >> On 01/31/2018 08:12 AM, zd nex wrote:
> >> > Ahojte,
> >> >
> >> > také si tu směrnici vykládám tak, že každý člen musí za data na
> >> > VPS zodpovídat sám (mít pověřenou osobu, která s tím pracuje +
> >> > papír, že je o tom seznámená.) Co se týče dat na VPSFree, tak tam
> >> > půjde primárně o to, jestli stačí to co je ve stanovách - či
> >> > jestli nějak bude také potřeba tedy domluvit (sepsat smlouvu) mezi
> >> > členem(jeho daty) a vpsfree nějak odděleně, nebo bude pouze
> >> > stačit, aby to bylo ve stanovách - že jsou zde admini a následně
> >> > jednotlivý členové co pracují s VPS(kteří jsou zodpovědní za
> >> > data)? Tzn tím pádem, by nemělo být nutné nic měnit, kromě té
> >> > specifikace - kdo a jaký má přístup k VPS a jakou zodpovědnost
> >> > (plnou).
> >> >
> >> > --
> >> > S pozdravem,
> >> >
> >> > Zdeněk Dlauhý
> >> >
> >> > Email:support at pripravto.cz <mailto:support at pripravto.cz>
> >> > Mobil: +420 702 549 370
> >> > Web: www.pripravto.cz <http://www.pripravto.cz>
> >> >
> >> > Dne 31. ledna 2018 6:21 Petr Juhaňák <petr at juhanak.cz
> >> > <mailto:petr at juhanak.cz>> napsal(a):
> >> >
> >> > Je to tak jak rika Jirka.
> >> >
> >> > VpsFree si udela samo datovy audit z hlediska osobnich udaju
> >> > ktere eviduje o clenech a sepise si na papir kde a v jakem rozsahu
> >> > jsou a hlavne zadokumentuje jaka opatreni uz ma (procesy a
> >> > technicka nastaveni) aby to vypadalo jako rizena prace s riziky.
> >> > Pak pravni dokumenty typu informovane souhlasy.
> >> >
> >> > To same si udelaji clenove ale v jinem ramci, uz na urovni
> >> > jejich provozovane technologie php eshopy a podobne a zase seznam
> >> > opatreni, proces kdyz nekdo odvola souhlas se zpracovanim, seznam
> >> > opatreni.
> >> >
> >> > To jsou veci ktere si kazdy muze pripravit uz ted.
> >> >
> >> > Predstava, ze vpdfree je tu od toho aby zajistila soulad s
> >> > gdpr je mylna. To si musi zajistit kazdy clen sam, tj. nemluvim o
> >> > technickem svete.
> >> >
> >> >
> >> >
> >> > S pozdravem
> >> > Petr Juhaňák
> >> >
> >> > petr at juhanak.cz <mailto:petr at juhanak.cz> | +420 739 639 132
> >> > <tel:+420%20739%20639%20132>
> >> >
> >> >
> >> > -------- Původní zpráva --------
> >> > Od: Jindřich Sadílek <jindrich.sadilek at gmail.com
> >> > <mailto:jindrich.sadilek at gmail.com>>
> >> > Datum: 31.01.18 1:41 (GMT+01:00)
> >> > Komu: community-list at lists.vpsfree.cz
> >> > <mailto:community-list at lists.vpsfree.cz>
> >> > Předmět: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR
> >> >
> >> > Jedna věc je, co si musí pořešit VPSfree jako organizace,
> >> > zcela jiná pak jendotliví správci vlastních žiletek.
> >> >
> >> > Provozujete nějaký jednoduchý eshop, máte uživatelské
> >> > registrace a pošlete semtam email, natož považovatelný za
> >> > reklamní? Jste v tom až po uši...
> >> >
> >> > Dne St, 31. leden 2018 v 00:30 h uživatel Jirka Bourek napsal:
> >> >> Problém je, že tohle všechno řeší technické věci, které
> >> >> udělat chceš, ale neřeší to chybějící papíry, které potřebuješ
> >> >> pro úřad.
> >> >>
> >> >> Jasně, v oboru "no tak nám procesory trochu leakujou paměť,
> >> >> hlavně že jsem náhodou včas prodal akcie" nějakou skutečnou
> >> >> ochranu osobních údajů
> >> >> v podstatě řešit nejde. Jenže to úředníky z EU nezajímá - ti
> >> >> vymysleli
> >> >> směrnici na ochranu osobních údajů, takže se osobní údaje
> >> >> chrání tak, jak nařizuje směrnice. Až přijde kontrola,
> >> >> argumentace "dyť je to nesmysl!" nic nezachrání.
> >> >>
> >> >> Takže správce potřebuje se zpracovatelem mít smlouvu nebo
> >> >> jiný právní akt. Pokud je právním aktem - dostatečným pro úřad -
> >> >> členství v vpsfree,
> >> >> tak je asi všechno v poho.
> >> >> (http://www.privacy-regulation.eu/cs/28.htm
> >> >> <http://www.privacy-regulation.eu/cs/28.htm>)
> >> >> Pokud ne, tak je problém.
> >> >>
> >> >> Jinak teda
> >> >>
> >> >> > Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi, jakou
> >> >> > ma
> >> >>
> >> >> zodpovednost, best practices v ohledu bezpecnosti davno
> >> >> sleduje.
> >> >>
> >> >> Co když to neví, nebo na to dlabe? :-)
> >> >>
> >> >>
> >> >> Pavel Snajdr wrote:
> >> >>
> >> >> Stejne jako oskenovat, co ti tam bezi a dostat se ti tam
> >> >> bez zvednuti my pohodlny zadele, obzvlast pokud jedes nejakou
> >> >> PHPkovinu a data, ktery by bylo potreba chranit, jsou primo v DB,
> >> >> kam ty PHP spagety vidi.
> >> >>
> >> >> A co ted s tim, vypneme to vsehno? ;)
> >> >>
> >> >> Chci tim rict, ze panikrit IMHO neni na miste a kdyz se
> >> >> nad tim clovek zamysli, zasifrovat vsechno taky neni reseni.
> >> >>
> >> >> Jinak ja jsem za GDPR rad, mam vymluvu, proc si sebou
> >> >> budu nosit klicenku s trhavinou na flashkach, mame vymluvu, proc
> >> >> plosne nasadit sifrovani, proc se nam nepujde dostat do racku
> >> >> neautorizovane, aniz by to neodmazlo klice a neshodilo vsehno
> >> >> chraneny (tj. abys nam fakt nechtel otevrit ten rack).
> >> >>
> >> >> Ne ze by GDPR neco resilo, ale dava van super vymluvu,
> >> >> jak muzem nase systemy postupne posouvat vic smerem plausible
> >> >> deniability, tj. soukromi je level jedna, level nuda, ale co nam
> >> >> to umozni je ochranit i adminy pred tim, aby vedeli, co clen
> >> >> bezi.
> >> >>
> >> >> Neumel jsem si bez GDPR predstavit, jak zvysovat
> >> >> zabezpeceni bez toho, aby to vypadalo, jako kdyz se chystame
> >> >> hostovat tunu detskyho porna a lokalni pobocku CIA. Jenom to
> >> >> nebude vsehno hned - a nektery levely zabezpeceni na sharovanym
> >> >> hardwaru ani nepujde udelat.
> >> >>
> >> >> Chci:
> >> >>
> >> >> - sifrovani v ZoL
> >> >> - aby clen mel moznost klic per dataset neulozit, ale
> >> >> zadat si ho sam pres bezpecny kanal (ssh/https api call) -
> >> >> monitoring otevreni racku co bez nahlaseni predem donuti masiny
> >> >> smazat klice z RAM
> >> >>
> >> >> Ale tohle je furt malo, pokud admini nemaji vedet, co
> >> >> clen bezi. Ani fullvirt ani se sifrovanou RAM na AMD nam
> >> >> nepomuze, takze resim, jak zahostovat single board desky pro
> >> >> cleny, kteri chteji mit moznost nejcitlivejsi data mit fakt
> >> >> soukrome.
> >> >>
> >> >> Ve finale:
> >> >>
> >> >> - budes mit moznost data na VPS sifrovat svymi hesly,
> >> >> ktera se u nas nebudou ukladat (prusvih je, ze my nemame jak
> >> >> dokazat, ze jsme to nikde neulozili)
> >> >>
> >> >> - pri neautorizovanym pristupu do racku se klice smaznou,
> >> >> to samy pri rebootu/resetu a je pak na tobe zvazit, jestli je OK
> >> >> data uz odemknout
> >> >>
> >> >> - budes mit moznost nejcitlivejsi data vysoupnout vedle
> >> >> po siti na svuj dedikovanej systemek kalibru ARM Cortex A53, do
> >> >> budoucna RISC-V
> >> >>
> >> >> Problem nastava, kdyz s adminkem pujde do datacentra
> >> >> nekdo sebedulezitejsi, nez GDRP byrokrat s kulometem u palice,
> >> >> pak admin nema moznost ani nejak kliknout smazani klicu, nebo
> >> >> aspon nejakej counter na webu ve smyslu kanarka, ktery bude
> >> >> pocitat pocet podobnych incidentu.
> >> >>
> >> >> Shared computing ma svoje limity, bohuzel, jestli
> >> >> sledujes, kam tim mirim.
> >> >>
> >> >> GDPR podle mne vyzaduje nutne jenom nejaky papirovani,
> >> >> ale do budoucna nam dava zaminku jit na to vic z husta, co se
> >> >> soukromi tyce.
> >> >>
> >> >> Muze nam pak nekdo nadavat, ze delame hosting detskyho
> >> >> porna a teroristum, kdyz mame racky obehnany pomalu ziletkovym
> >> >> dratem? Nemuze, at si stezuje v Bruselu.
> >> >>
> >> >> Za mne dobry, ale nebude to hned. A v prvni vlne bude
> >> >> hlavne to papirovani. V druhy vlne se musime zbavit
> >> >> nedostacujiciho OpenVZ, vpsAdminOS ma podstatne lip
> >> >> ovladatelnejsi bezpecnostni politiku - a je odspoda nahoru cely
> >> >> podepsany a verifikovatelny.
> >> >>
> >> >> /snajpa
> >> >>
> >> >> On 30 Jan 2018, at 23:41, Jaroslav Skrivan
> >> >> <skrivy at skrivy.net <mailto:skrivy at skrivy.net>> wrote:
> >> >>
> >> >> Jenom moje osobni zkusenost - odnest si cizi disky z
> >> >> datacentra neni zas takovy problem, jak se na prvni
> >> >> pohled muze zdat.
> >> >> From: Pavel Snajdr
> >> >> Sent: 1/30/2018 10:49 PM
> >> >> To: vpsFree.cz Community list
> >> >> Subject: Re: [vpsFree.cz: community-list] vpsFree.cz
> >> >> a GDPR
> >> >>
> >> >> Ahoj,
> >> >>
> >> >> GDPR je, pokud to dobre chapu, totalni nesmysl, z
> >> >> kteryho jsou vsichni vyjukani uplne, ale naprosto totalne
> >> >> zbytecne.
> >> >>
> >> >> Podivej se, co bezime za procesory.
> >> >>
> >> >> Jak ma nekdo neco v takovym stavu vubec industry-wide
> >> >> za neco rucit?
> >> >>
> >> >> Za mne je GDPR o tom a pouze o tom, ze musime
> >> >> podepsat papir s lidmi, co maji admin pristupy, aby acknuli
> >> >> oficialne svoji zodpovednost.
> >> >>
> >> >> V seznamu clenu uz ted mame jenom nejnutnejsi udaje
> >> >> (podle posledni zkusenosti s PCR a PSR jim k
> >> >> identifikaci ani to nemusi stacit...).
> >> >>
> >> >> Ve stanovach mame zakotvenou ochranu dat clenu uz od
> >> >> zacatku.
> >> >>
> >> >> Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi,
> >> >> jakou ma zodpovednost, best practices v ohledu
> >> >> bezpecnosti davno sleduje.
> >> >>
> >> >> A kdyz si nekdo mysli, ze Vsechno Zasifrovat(tm) to
> >> >> vyresi, tak se rovnou zeptam - a borci, jak se k tomu
> >> >> asi programy na ty masine dostanou? Hint: stejne musi byt data
> >> >> odemcena pri behu. A ze se k nim neco dostane za behu je
> >> >> mnoooohem pravdepodobnejsi, nez ze nam z hlidanyho datacentra
> >> >> nekdo ukradne disky a vycte si neco offline.
> >> >>
> >> >> Tedy, muj nazor je, ze vubec neni potreba panikarit a
> >> >> natoz se uchylovat k reseni stylem ‘radsi to na
> >> >> vpsFree nedam vubec’. To ty servery muzeme rovnou vypnout totiz -
> >> >> a cely to zabalit s tim, ze jsme se nechali prevalcovat
> >> >> byrokratama.
> >> >>
> >> >> /snajpa
> >> >> (Pavel Snajdr)
> >> >> (Predseda vpsFree.cz)
> >> >> (+420 720 107 791 <tel:+420%20720%20107%20791>)
> >> >>
> >> >> On 30 Jan 2018, at 22:10, Lukáš Jelínek - AIKEN
> >> >> <lukas at aiken.cz <mailto:lukas at aiken.cz>> wrote:
> >> >>
> >> >> Ahoj,
> >> >>
> >> >> pokud si vzpomínám, tak něco podobného už se
> >> >> řešilo na valné hromadě
> >> >> (byť ještě nebylo nařízení GDPR). A situace je v
> >> >> podstatě taková, že to
> >> >> asi příliš řešit nelze, protože by to pro spolek
> >> >> znamenalo velkou
> >> >> administrativní zátěž a značný nárůst nákladů.
> >> >>
> >> >> Čili asi nejčistším řešením v tuto chvíli je,
> >> >> nevyužívat servery
> >> >> vpsFree.cz k ukládání osobních údajů -
> >> >> přinejmenším do doby, než se
> >> >> všechny záležitosti vyřeší (a než vůbec vznikne
> >> >> nějaký závazný výklad
> >> >> různých ustanovení směrnice).
> >> >>
> >> >> Lukáš Jelínek
> >> >>
> >> >>
> >> >>
> >> >> Ahoj ve spolek!
> >> >>
> >> >> Datum 25.5.2018, kdy nám vstupuje v účinnost
> >> >> GDPR se pomalu ale jistě
> >> >> blíží. Bohužel jsem byl, ač neprávník do této
> >> >> problematiky trochu
> >> >> zatlačen a byly na mě již vzneseny dotazy
> >> >> týkající se GDPR a vpsFree.
> >> >>
> >> >> Myslím, si, že je nás více, kteří na VPS máme
> >> >> uloženy nějaké ty osobní
> >> >> údaje (adresy, emaily, apod.) a skoro všichni
> >> >> máme nějaký ten
> >> >> webserver, kde se logují IP adresy, které
> >> >> jsou rovněž považovány za
> >> >> osobní údaje. Díky tomu jsme z pohledu GDPR
> >> >> považování za správce
> >> >> osobních údajů. Podle článku 4 GDPR se
> >> >> zpracovaním osobních údajů
> >> >> rozumí také ukládání osobních údajů. Z toho
> >> >> plyne, že jakýkoliv
> >> >> poskytovatel cloudových služeb, hostingu,
> >> >> VPS, atd. je vůči správci v
> >> >> postavení zpracovatele osobních údajů. Článek
> >> >> 28 GDPR potom řeší vztah
> >> >> zpracovatele a správce, kde mj. požaduje
> >> >> nějaký smluvní vztah mezi
> >> >> nimi. Když to převedu na protředí vpsFree tak
> >> >> členové jsou v podstatě
> >> >> správci osobních údajů a vpsFree je
> >> >> zpracovatelem osobních údajů.
> >> >>
> >> >> Můj dotaz zní, zda a jak bylo nebo bude GDPR
> >> >> řešeno na úrovní vpsFree?
> >> >> V podstatě asi jde o to, aby bylo v případě
> >> >> kontroly z UOOÚ možno
> >> >> něčím nebo nějak prokázat, že vpsFree je v
> >> >> souladu s GDPR a taky
> >> >> garantuje, že data nebudou uložena mimo EU.
> >> >> Věřím, že v našich řadách
> >> >> jsou kompetentnější členové v této věci jako
> >> >> já a tak bých rád otevřel
> >> >> diskusi.
> >> >>
> >> >> Honza.
More information about the Community-list
mailing list