[vpsFree.cz: community-list] vpsFree.cz a GDPR
Ing. Jan Dvořák
jan.dvorak at dvorak-sw.com
Thu Feb 1 08:12:41 CET 2018
Jen tak mimochodem, informace o místě zpracování osobních údajů pokud se
liší od sídla se uvádí při registraci na ÚOOÚ už dnes, takže minimálně
uřadu jsi to sdělit musel. :)
Honza.
Dne 2018-02-01 07:53, Petr Juhaňák napsal:
> Cau, ja jako spravce dat na "moji vps" nemam povinost nekomu rikat kde
> ty data jsou (jen v jakem rozsahu je zpracovavam a k cemu).
>
> Pokud by tyto informace chtel videt nejaky dozorovy organ, tak pak se
> s nim o tom budu bavit.
>
> Samozrejme ze pro svoji interni potrebu to na lejstro dam, abych to v
> pripade potreby mohl dolozit.
>
> Jako clen VpsFree se potrebuji ujistit, ze mi moji Vpsku administruji
> radne a prijmou opatreni (neco) a budu se muset oprit o nejaky pravni
> dokument.
>
> Z hlediska VPSFree je to dle meho soudu tak, ze poskytuje pouze
> technicke nastroje a administruje ty systemy a bude se snazit byt v
> souladu aby clenove neodesly. Kdyz to prezenu, pokud by clenove meli
> prazdne vpsky, jak by priprava na gdpr vypadala?
>
> S pozdravem
> Petr Juhaňák
>
> petr at juhanak.cz | +420 739 639 132
>
> -------- Původní zpráva --------
> Od: Pavel Snajdr <snajpa at snajpa.net>
> Datum: 01.02.18 1:28 (GMT+01:00)
> Komu: "vpsFree.cz Community list" <community-list at lists.vpsfree.cz>
> Předmět: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR
>
> Jo, tohle by slo presne tam, cca tak, jak rikas.
>
> Jako pani, to fakt GDPR resi ochranu dat tim, ze vsem naokolo vykeca,
> kde ty data jsou a pak jakoze proti podpisu mame delat, ze na ne
> nevidime?
>
> Nechapu to.
>
> Neni pro nas lepsi vubec nevedet, jestli tam neco takovyho vubec je a
> za
> soukrome proste povazovat cokoliv z datasetu clena, kterehokoliv?
>
> Komu pomuze, ze nam presne vyslepici a jeste podepise, kde ta data ma?
>
> /snajpa
>
> On 2018-02-01 01:22, Slávek Banko wrote:
>> Ve Stanovách je odkazován Provozní řád, který je schvalovaný
> Radou.
>>
>> Pokud by navrhované prohlášení typu "všechní informační
> zařízení jejíž
>> použití poskytovává VPSFree a na které se zpracovává data
> jsou v EU" a
>> další pravidla související s GDPR mohl podchytit Provozní
> řád, pak by
>> možná mohl by být tím společným dokumentem závazným pro
> všechny?
>>
>> --
>> Slávek
>>
>> On Thursday 01 of February 2018 00:12:28 Timothy Hobbs wrote:
>>> Já teď koukám na stanovy
>>> https://vpsfree.cz/download/stanovy_vpsfree.pdf a nevidím kde je
>>> napsáno, že "všechní informační zařízení jejíž použití
> poskytovává
>>> VPSFree a na které se zpracovává data jsou v EU".
>>>
>>> On 01/31/2018 08:12 AM, zd nex wrote:
>>> > Ahojte,
>>> >
>>> > také si tu směrnici vykládám tak, že každý člen musí za
> data na VPS
>>> > zodpovídat sám (mít pověřenou osobu, která s tím pracuje +
> papír, že
>>> > je o tom seznámená.) Co se týče dat na VPSFree, tak tam
> půjde
>>> > primárně o to, jestli stačí to co je ve stanovách - či
> jestli nějak
>>> > bude také potřeba tedy domluvit (sepsat smlouvu) mezi
> členem(jeho
>>> > daty) a vpsfree nějak odděleně, nebo bude pouze stačit, aby
> to bylo
>>> > ve stanovách - že jsou zde admini a následně jednotlivý
> členové co
>>> > pracují s VPS(kteří jsou zodpovědní za data)? Tzn tím
> pádem, by
>>> > nemělo být nutné nic měnit, kromě té specifikace - kdo a
> jaký má
>>> > přístup k VPS a jakou zodpovědnost (plnou).
>>> >
>>> > --
>>> > S pozdravem,
>>> >
>>> > Zdeněk Dlauhý
>>> >
>>> > Email:support at pripravto.cz <mailto:support at pripravto.cz>
>>> > Mobil: +420 702 549 370
>>> > Web: www.pripravto.cz <http://www.pripravto.cz>
>>> >
>>> > Dne 31. ledna 2018 6:21 Petr Juhaňák <petr at juhanak.cz
>>> > <mailto:petr at juhanak.cz>> napsal(a):
>>> >
>>> > Je to tak jak rika Jirka.
>>> >
>>> > VpsFree si udela samo datovy audit z hlediska osobnich udaju
>>> > ktere eviduje o clenech a sepise si na papir kde a v jakem
> rozsahu
>>> > jsou a hlavne zadokumentuje jaka opatreni uz ma (procesy a
> technicka
>>> > nastaveni) aby to vypadalo jako rizena prace s riziky. Pak pravni
>>> > dokumenty typu informovane souhlasy.
>>> >
>>> > To same si udelaji clenove ale v jinem ramci, uz na urovni
> jejich
>>> > provozovane technologie php eshopy a podobne a zase seznam
>>> > opatreni, proces kdyz nekdo odvola souhlas se zpracovanim,
> seznam
>>> > opatreni.
>>> >
>>> > To jsou veci ktere si kazdy muze pripravit uz ted.
>>> >
>>> > Predstava, ze vpdfree je tu od toho aby zajistila soulad s
> gdpr
>>> > je mylna. To si musi zajistit kazdy clen sam, tj. nemluvim o
>>> > technickem svete.
>>> >
>>> >
>>> >
>>> > S pozdravem
>>> > Petr Juhaňák
>>> >
>>> > petr at juhanak.cz <mailto:petr at juhanak.cz> | +420 739 639 132
>>> > <tel:+420%20739%20639%20132>
>>> >
>>> >
>>> > -------- Původní zpráva --------
>>> > Od: Jindřich Sadílek <jindrich.sadilek at gmail.com
>>> > <mailto:jindrich.sadilek at gmail.com>>
>>> > Datum: 31.01.18 1:41 (GMT+01:00)
>>> > Komu: community-list at lists.vpsfree.cz
>>> > <mailto:community-list at lists.vpsfree.cz>
>>> > Předmět: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR
>>> >
>>> > Jedna věc je, co si musí pořešit VPSfree jako organizace,
> zcela
>>> > jiná pak jendotliví správci vlastních žiletek.
>>> >
>>> > Provozujete nějaký jednoduchý eshop, máte uživatelské
> registrace
>>> > a pošlete semtam email, natož považovatelný za reklamní?
> Jste v tom
>>> > až po uši...
>>> >
>>> > Dne St, 31. leden 2018 v 00:30 h uživatel Jirka Bourek
> napsal:
>>> >> Problém je, že tohle všechno řeší technické věci,
> které udělat
>>> >> chceš, ale neřeší to chybějící papíry, které
> potřebuješ pro úřad.
>>> >>
>>> >> Jasně, v oboru "no tak nám procesory trochu leakujou
> paměť,
>>> >> hlavně že jsem náhodou včas prodal akcie" nějakou
> skutečnou ochranu
>>> >> osobních údajů
>>> >> v podstatě řešit nejde. Jenže to úředníky z EU
> nezajímá - ti
>>> >> vymysleli
>>> >> směrnici na ochranu osobních údajů, takže se osobní
> údaje chrání
>>> >> tak, jak nařizuje směrnice. Až přijde kontrola, argumentace
> "dyť je
>>> >> to nesmysl!" nic nezachrání.
>>> >>
>>> >> Takže správce potřebuje se zpracovatelem mít smlouvu
> nebo jiný
>>> >> právní akt. Pokud je právním aktem - dostatečným pro
> úřad - členství
>>> >> v vpsfree,
>>> >> tak je asi všechno v poho.
>>> >> (http://www.privacy-regulation.eu/cs/28.htm
>>> >> <http://www.privacy-regulation.eu/cs/28.htm>)
>>> >> Pokud ne, tak je problém.
>>> >>
>>> >> Jinak teda
>>> >>
>>> >> > Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi,
> jakou ma
>>> >>
>>> >> zodpovednost, best practices v ohledu bezpecnosti davno
> sleduje.
>>> >>
>>> >> Co když to neví, nebo na to dlabe? :-)
>>> >>
>>> >>
>>> >> Pavel Snajdr wrote:
>>> >>
>>> >> Stejne jako oskenovat, co ti tam bezi a dostat se ti tam
> bez
>>> >> zvednuti my pohodlny zadele, obzvlast pokud jedes
> nejakou
>>> >> PHPkovinu a data, ktery by bylo potreba chranit, jsou
> primo
>>> >> v DB, kam ty PHP spagety vidi.
>>> >>
>>> >> A co ted s tim, vypneme to vsehno? ;)
>>> >>
>>> >> Chci tim rict, ze panikrit IMHO neni na miste a kdyz se
> nad
>>> >> tim clovek zamysli, zasifrovat vsechno taky neni reseni.
>>> >>
>>> >> Jinak ja jsem za GDPR rad, mam vymluvu, proc si sebou
> budu
>>> >> nosit klicenku s trhavinou na flashkach, mame vymluvu,
> proc
>>> >> plosne nasadit sifrovani, proc se nam nepujde dostat do
>>> >> racku neautorizovane, aniz by to neodmazlo klice a neshodilo
> vsehno
>>> >> chraneny (tj. abys nam fakt nechtel otevrit ten rack).
>>> >>
>>> >> Ne ze by GDPR neco resilo, ale dava van super vymluvu,
> jak
>>> >> muzem nase systemy postupne posouvat vic smerem
> plausible
>>> >> deniability, tj. soukromi je level jedna, level nuda,
> ale co
>>> >> nam to umozni je ochranit i adminy pred tim, aby vedeli,
> co
>>> >> clen bezi.
>>> >>
>>> >> Neumel jsem si bez GDPR predstavit, jak zvysovat
> zabezpeceni
>>> >> bez toho, aby to vypadalo, jako kdyz se chystame
> hostovat
>>> >> tunu detskyho porna a lokalni pobocku CIA. Jenom to
> nebude
>>> >> vsehno hned - a nektery levely zabezpeceni na sharovanym
>>> >> hardwaru ani nepujde udelat.
>>> >>
>>> >> Chci:
>>> >>
>>> >> - sifrovani v ZoL
>>> >> - aby clen mel moznost klic per dataset neulozit, ale
> zadat
>>> >> si ho sam pres bezpecny kanal (ssh/https api call)
>>> >> - monitoring otevreni racku co bez nahlaseni predem
> donuti
>>> >> masiny smazat klice z RAM
>>> >>
>>> >> Ale tohle je furt malo, pokud admini nemaji vedet, co
> clen
>>> >> bezi. Ani fullvirt ani se sifrovanou RAM na AMD nam
>>> >> nepomuze, takze resim, jak zahostovat single board desky pro
> cleny,
>>> >> kteri chteji mit moznost nejcitlivejsi data mit fakt soukrome.
>>> >>
>>> >> Ve finale:
>>> >>
>>> >> - budes mit moznost data na VPS sifrovat svymi hesly,
> ktera
>>> >> se u nas nebudou ukladat (prusvih je, ze my nemame jak
>>> >> dokazat, ze jsme to nikde neulozili)
>>> >>
>>> >> - pri neautorizovanym pristupu do racku se klice
> smaznou, to
>>> >> samy pri rebootu/resetu a je pak na tobe zvazit, jestli
> je
>>> >> OK data uz odemknout
>>> >>
>>> >> - budes mit moznost nejcitlivejsi data vysoupnout vedle
> po
>>> >> siti na svuj dedikovanej systemek kalibru ARM Cortex
> A53, do
>>> >> budoucna RISC-V
>>> >>
>>> >> Problem nastava, kdyz s adminkem pujde do datacentra
> nekdo
>>> >> sebedulezitejsi, nez GDRP byrokrat s kulometem u palice,
> pak
>>> >> admin nema moznost ani nejak kliknout smazani klicu,
> nebo
>>> >> aspon nejakej counter na webu ve smyslu kanarka, ktery
> bude
>>> >> pocitat pocet podobnych incidentu.
>>> >>
>>> >> Shared computing ma svoje limity, bohuzel, jestli
> sledujes,
>>> >> kam tim mirim.
>>> >>
>>> >> GDPR podle mne vyzaduje nutne jenom nejaky papirovani,
> ale
>>> >> do budoucna nam dava zaminku jit na to vic z husta, co se
> soukromi
>>> >> tyce.
>>> >>
>>> >> Muze nam pak nekdo nadavat, ze delame hosting detskyho
> porna
>>> >> a teroristum, kdyz mame racky obehnany pomalu ziletkovym
>>> >> dratem? Nemuze, at si stezuje v Bruselu.
>>> >>
>>> >> Za mne dobry, ale nebude to hned. A v prvni vlne bude
> hlavne
>>> >> to papirovani. V druhy vlne se musime zbavit
> nedostacujiciho
>>> >> OpenVZ, vpsAdminOS ma podstatne lip ovladatelnejsi
>>> >> bezpecnostni politiku - a je odspoda nahoru cely
> podepsany a
>>> >> verifikovatelny.
>>> >>
>>> >> /snajpa
>>> >>
>>> >> On 30 Jan 2018, at 23:41, Jaroslav Skrivan
>>> >> <skrivy at skrivy.net <mailto:skrivy at skrivy.net>>
> wrote:
>>> >>
>>> >> Jenom moje osobni zkusenost - odnest si cizi disky z
>>> >> datacentra neni zas takovy problem, jak se na prvni
>>> >> pohled muze zdat.
>>> >> From: Pavel Snajdr
>>> >> Sent: 1/30/2018 10:49 PM
>>> >> To: vpsFree.cz Community list
>>> >> Subject: Re: [vpsFree.cz: community-list] vpsFree.cz
> a
>>> >> GDPR
>>> >>
>>> >> Ahoj,
>>> >>
>>> >> GDPR je, pokud to dobre chapu, totalni nesmysl, z
>>> >> kteryho jsou vsichni vyjukani uplne, ale naprosto totalne
> zbytecne.
>>> >>
>>> >> Podivej se, co bezime za procesory.
>>> >>
>>> >> Jak ma nekdo neco v takovym stavu vubec
> industry-wide za
>>> >> neco rucit?
>>> >>
>>> >> Za mne je GDPR o tom a pouze o tom, ze musime
> podepsat
>>> >> papir s lidmi, co maji admin pristupy, aby acknuli
>>> >> oficialne svoji zodpovednost.
>>> >>
>>> >> V seznamu clenu uz ted mame jenom nejnutnejsi udaje
>>> >> (podle posledni zkusenosti s PCR a PSR jim k
>>> >> identifikaci ani to nemusi stacit...).
>>> >>
>>> >> Ve stanovach mame zakotvenou ochranu dat clenu uz od
>>> >> zacatku.
>>> >>
>>> >> Ja v tom vidim mnoho povyku pro nic, ajtak, ktery
> vi,
>>> >> jakou ma zodpovednost, best practices v ohledu
>>> >> bezpecnosti davno sleduje.
>>> >>
>>> >> A kdyz si nekdo mysli, ze Vsechno Zasifrovat(tm) to
>>> >> vyresi, tak se rovnou zeptam - a borci, jak se k
> tomu
>>> >> asi programy na ty masine dostanou? Hint: stejne musi byt data
>>> >> odemcena pri behu. A ze se k nim neco dostane za behu je
> mnoooohem
>>> >> pravdepodobnejsi, nez ze nam z hlidanyho datacentra nekdo
> ukradne
>>> >> disky a vycte si neco offline.
>>> >>
>>> >> Tedy, muj nazor je, ze vubec neni potreba panikarit
> a
>>> >> natoz se uchylovat k reseni stylem ‘radsi to na
> vpsFree
>>> >> nedam vubec’. To ty servery muzeme rovnou vypnout
> totiz
>>> >> - a cely to zabalit s tim, ze jsme se nechali prevalcovat
>>> >> byrokratama.
>>> >>
>>> >> /snajpa
>>> >> (Pavel Snajdr)
>>> >> (Predseda vpsFree.cz)
>>> >> (+420 720 107 791 <tel:+420%20720%20107%20791>)
>>> >>
>>> >> On 30 Jan 2018, at 22:10, Lukáš Jelínek -
> AIKEN
>>> >> <lukas at aiken.cz <mailto:lukas at aiken.cz>> wrote:
>>> >>
>>> >> Ahoj,
>>> >>
>>> >> pokud si vzpomínám, tak něco podobného už
> se řešilo
>>> >> na valné hromadě
>>> >> (byť ještě nebylo nařízení GDPR). A
> situace je v
>>> >> podstatě taková, že to
>>> >> asi příliš řešit nelze, protože by to pro
> spolek
>>> >> znamenalo velkou
>>> >> administrativní zátěž a značný nárůst
> nákladů.
>>> >>
>>> >> Čili asi nejčistším řešením v tuto
> chvíli je,
>>> >> nevyužívat servery
>>> >> vpsFree.cz k ukládání osobních údajů -
> přinejmenším
>>> >> do doby, než se
>>> >> všechny záležitosti vyřeší (a než vůbec
> vznikne
>>> >> nějaký závazný výklad
>>> >> různých ustanovení směrnice).
>>> >>
>>> >> Lukáš Jelínek
>>> >>
>>> >>
>>> >>
>>> >> Ahoj ve spolek!
>>> >>
>>> >> Datum 25.5.2018, kdy nám vstupuje v
> účinnost
>>> >> GDPR se pomalu ale jistě
>>> >> blíží. Bohužel jsem byl, ač neprávník
> do této
>>> >> problematiky trochu
>>> >> zatlačen a byly na mě již vzneseny dotazy
>>> >> týkající se GDPR a vpsFree.
>>> >>
>>> >> Myslím, si, že je nás více, kteří na
> VPS máme
>>> >> uloženy nějaké ty osobní
>>> >> údaje (adresy, emaily, apod.) a skoro
> všichni
>>> >> máme nějaký ten
>>> >> webserver, kde se logují IP adresy, které
> jsou
>>> >> rovněž považovány za
>>> >> osobní údaje. Díky tomu jsme z pohledu
> GDPR
>>> >> považování za správce
>>> >> osobních údajů. Podle článku 4 GDPR se
>>> >> zpracovaním osobních údajů
>>> >> rozumí také ukládání osobních údajů.
> Z toho
>>> >> plyne, že jakýkoliv
>>> >> poskytovatel cloudových služeb, hostingu,
> VPS,
>>> >> atd. je vůči správci v
>>> >> postavení zpracovatele osobních údajů.
> Článek 28
>>> >> GDPR potom řeší vztah
>>> >> zpracovatele a správce, kde mj. požaduje
> nějaký
>>> >> smluvní vztah mezi
>>> >> nimi. Když to převedu na protředí
> vpsFree tak
>>> >> členové jsou v podstatě
>>> >> správci osobních údajů a vpsFree je
>>> >> zpracovatelem osobních údajů.
>>> >>
>>> >> Můj dotaz zní, zda a jak bylo nebo bude
> GDPR
>>> >> řešeno na úrovní vpsFree?
>>> >> V podstatě asi jde o to, aby bylo v
> případě
>>> >> kontroly z UOOÚ možno
>>> >> něčím nebo nějak prokázat, že vpsFree
> je v
>>> >> souladu s GDPR a taky
>>> >> garantuje, že data nebudou uložena mimo
> EU.
>>> >> Věřím, že v našich řadách
>>> >> jsou kompetentnější členové v této
> věci jako já
>>> >> a tak bých rád otevřel
>>> >> diskusi.
>>> >>
>>> >> Honza.
>>> >>
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
--
Ing. Jan Dvorak
****************************************
Ing. Jan Dvorak
Fischerova 690/23
779 00 Olomouc, Nove Sady
Czech Republic
****************************************
Tel: +420 603 444 240
E-mail: jan.dvorak at dvorak-sw.com
Web: http://www.dvorak-sw.com
****************************************
More information about the Community-list
mailing list