[vpsFree.cz: community-list] vpsFree.cz a GDPR
František Komárek
frantisek.komarek at gmail.com
Wed Jan 31 09:38:24 CET 2018
Zdravím,
souhlasím s Vámi. Problém tady je mj. i ten, že ČR od roku 2016 do teď
nebyla schopna přijmout prováděcí (adaptační) zákon ke GDPR. To znamená, že
stále není úplně jasné jak se bude postupovat v těch asi 50 bodech, které
EU svěřila jednotlivým státům. Údajně by mohlo dojít i k situaci, že by
nebylo úplně jasné, kterým zákonem se řídit od vstupu GDPR v platnost.
Nejsem právník vím jen, že toto je trochu blocker i v naší korporaci.
Takže doufejme, že se nebude kecat, ale makat a budeme tu mít jasný zákon
co nejdříve.
S pozdravem
František Komárek
Dne 31. ledna 2018 8:12 zd nex <zdnexnet at gmail.com> napsal(a):
> Ahojte,
>
> také si tu směrnici vykládám tak, že každý člen musí za data na VPS
> zodpovídat sám (mít pověřenou osobu, která s tím pracuje + papír, že je o
> tom seznámená.) Co se týče dat na VPSFree, tak tam půjde primárně o to,
> jestli stačí to co je ve stanovách - či jestli nějak bude také potřeba tedy
> domluvit (sepsat smlouvu) mezi členem(jeho daty) a vpsfree nějak odděleně,
> nebo bude pouze stačit, aby to bylo ve stanovách - že jsou zde admini a
> následně jednotlivý členové co pracují s VPS(kteří jsou zodpovědní za
> data)? Tzn tím pádem, by nemělo být nutné nic měnit, kromě té specifikace -
> kdo a jaký má přístup k VPS a jakou zodpovědnost (plnou).
>
> --
> S pozdravem,
>
> Zdeněk Dlauhý
>
> Email:support at pripravto.cz
> Mobil: +420 702 549 370 <+420%20702%20549%20370>
> Web: www.pripravto.cz
>
> Dne 31. ledna 2018 6:21 Petr Juhaňák <petr at juhanak.cz> napsal(a):
>
> Je to tak jak rika Jirka.
>>
>> VpsFree si udela samo datovy audit z hlediska osobnich udaju ktere
>> eviduje o clenech a sepise si na papir kde a v jakem rozsahu jsou a hlavne
>> zadokumentuje jaka opatreni uz ma (procesy a technicka nastaveni) aby to
>> vypadalo jako rizena prace s riziky. Pak pravni dokumenty typu informovane
>> souhlasy.
>>
>> To same si udelaji clenove ale v jinem ramci, uz na urovni jejich
>> provozovane technologie php eshopy a podobne a zase seznam opatreni, proces
>> kdyz nekdo odvola souhlas se zpracovanim, seznam opatreni.
>>
>> To jsou veci ktere si kazdy muze pripravit uz ted.
>>
>> Predstava, ze vpdfree je tu od toho aby zajistila soulad s gdpr je mylna.
>> To si musi zajistit kazdy clen sam, tj. nemluvim o technickem svete.
>>
>>
>>
>> S pozdravem
>> Petr Juhaňák
>>
>> petr at juhanak.cz | +420 739 639 132 <+420%20739%20639%20132>
>>
>>
>> -------- Původní zpráva --------
>> Od: Jindřich Sadílek <jindrich.sadilek at gmail.com>
>> Datum: 31.01.18 1:41 (GMT+01:00)
>> Komu: community-list at lists.vpsfree.cz
>> Předmět: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR
>>
>> Jedna věc je, co si musí pořešit VPSfree jako organizace, zcela jiná pak
>> jendotliví správci vlastních žiletek.
>>
>> Provozujete nějaký jednoduchý eshop, máte uživatelské registrace a
>> pošlete semtam email, natož považovatelný za reklamní? Jste v tom až po
>> uši...
>>
>>
>> Dne St, 31. leden 2018 v 00:30 h uživatel Jirka Bourek napsal:
>>
>> Problém je, že tohle všechno řeší technické věci, které udělat chceš,
>> ale neřeší to chybějící papíry, které potřebuješ pro úřad.
>>
>> Jasně, v oboru "no tak nám procesory trochu leakujou paměť, hlavně že
>> jsem náhodou včas prodal akcie" nějakou skutečnou ochranu osobních údajů
>> v podstatě řešit nejde. Jenže to úředníky z EU nezajímá - ti vymysleli
>> směrnici na ochranu osobních údajů, takže se osobní údaje chrání tak,
>> jak nařizuje směrnice. Až přijde kontrola, argumentace "dyť je to
>> nesmysl!" nic nezachrání.
>>
>> Takže správce potřebuje se zpracovatelem mít smlouvu nebo jiný právní
>> akt. Pokud je právním aktem - dostatečným pro úřad - členství v vpsfree,
>> tak je asi všechno v poho. (http://www.privacy-regulation.eu/cs/28.htm)
>> Pokud ne, tak je problém.
>>
>> Jinak teda
>>
>> > Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi, jakou ma
>> zodpovednost, best practices v ohledu bezpecnosti davno sleduje.
>>
>> Co když to neví, nebo na to dlabe? :-)
>>
>>
>> Pavel Snajdr wrote:
>>
>> Stejne jako oskenovat, co ti tam bezi a dostat se ti tam bez zvednuti my
>> pohodlny zadele, obzvlast pokud jedes nejakou PHPkovinu a data, ktery by
>> bylo potreba chranit, jsou primo v DB, kam ty PHP spagety vidi.
>>
>> A co ted s tim, vypneme to vsehno? ;)
>>
>> Chci tim rict, ze panikrit IMHO neni na miste a kdyz se nad tim clovek
>> zamysli, zasifrovat vsechno taky neni reseni.
>>
>> Jinak ja jsem za GDPR rad, mam vymluvu, proc si sebou budu nosit klicenku
>> s trhavinou na flashkach, mame vymluvu, proc plosne nasadit sifrovani, proc
>> se nam nepujde dostat do racku neautorizovane, aniz by to neodmazlo klice a
>> neshodilo vsehno chraneny (tj. abys nam fakt nechtel otevrit ten rack).
>>
>> Ne ze by GDPR neco resilo, ale dava van super vymluvu, jak muzem nase
>> systemy postupne posouvat vic smerem plausible deniability, tj. soukromi je
>> level jedna, level nuda, ale co nam to umozni je ochranit i adminy pred
>> tim, aby vedeli, co clen bezi.
>>
>> Neumel jsem si bez GDPR predstavit, jak zvysovat zabezpeceni bez toho,
>> aby to vypadalo, jako kdyz se chystame hostovat tunu detskyho porna a
>> lokalni pobocku CIA. Jenom to nebude vsehno hned - a nektery levely
>> zabezpeceni na sharovanym hardwaru ani nepujde udelat.
>>
>> Chci:
>>
>> - sifrovani v ZoL
>> - aby clen mel moznost klic per dataset neulozit, ale zadat si ho sam
>> pres bezpecny kanal (ssh/https api call)
>> - monitoring otevreni racku co bez nahlaseni predem donuti masiny smazat
>> klice z RAM
>>
>> Ale tohle je furt malo, pokud admini nemaji vedet, co clen bezi. Ani
>> fullvirt ani se sifrovanou RAM na AMD nam nepomuze, takze resim, jak
>> zahostovat single board desky pro cleny, kteri chteji mit moznost
>> nejcitlivejsi data mit fakt soukrome.
>>
>> Ve finale:
>>
>> - budes mit moznost data na VPS sifrovat svymi hesly, ktera se u nas
>> nebudou ukladat (prusvih je, ze my nemame jak dokazat, ze jsme to nikde
>> neulozili)
>>
>> - pri neautorizovanym pristupu do racku se klice smaznou, to samy pri
>> rebootu/resetu a je pak na tobe zvazit, jestli je OK data uz odemknout
>>
>> - budes mit moznost nejcitlivejsi data vysoupnout vedle po siti na svuj
>> dedikovanej systemek kalibru ARM Cortex A53, do budoucna RISC-V
>>
>> Problem nastava, kdyz s adminkem pujde do datacentra nekdo
>> sebedulezitejsi, nez GDRP byrokrat s kulometem u palice, pak admin nema
>> moznost ani nejak kliknout smazani klicu, nebo aspon nejakej counter na
>> webu ve smyslu kanarka, ktery bude pocitat pocet podobnych incidentu.
>>
>> Shared computing ma svoje limity, bohuzel, jestli sledujes, kam tim mirim.
>>
>> GDPR podle mne vyzaduje nutne jenom nejaky papirovani, ale do budoucna
>> nam dava zaminku jit na to vic z husta, co se soukromi tyce.
>>
>> Muze nam pak nekdo nadavat, ze delame hosting detskyho porna a
>> teroristum, kdyz mame racky obehnany pomalu ziletkovym dratem? Nemuze, at
>> si stezuje v Bruselu.
>>
>> Za mne dobry, ale nebude to hned. A v prvni vlne bude hlavne to
>> papirovani. V druhy vlne se musime zbavit nedostacujiciho OpenVZ,
>> vpsAdminOS ma podstatne lip ovladatelnejsi bezpecnostni politiku - a je
>> odspoda nahoru cely podepsany a verifikovatelny.
>>
>> /snajpa
>>
>> On 30 Jan 2018, at 23:41, Jaroslav Skrivan <skrivy at skrivy.net> wrote:
>>
>> Jenom moje osobni zkusenost - odnest si cizi disky z datacentra neni zas
>> takovy problem, jak se na prvni pohled muze zdat.
>> From: Pavel Snajdr
>> Sent: 1/30/2018 10:49 PM
>> To: vpsFree.cz Community list
>> Subject: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR
>>
>> Ahoj,
>>
>> GDPR je, pokud to dobre chapu, totalni nesmysl, z kteryho jsou vsichni
>> vyjukani uplne, ale naprosto totalne zbytecne.
>>
>> Podivej se, co bezime za procesory.
>>
>> Jak ma nekdo neco v takovym stavu vubec industry-wide za neco rucit?
>>
>> Za mne je GDPR o tom a pouze o tom, ze musime podepsat papir s lidmi, co
>> maji admin pristupy, aby acknuli oficialne svoji zodpovednost.
>>
>> V seznamu clenu uz ted mame jenom nejnutnejsi udaje (podle posledni
>> zkusenosti s PCR a PSR jim k identifikaci ani to nemusi stacit...).
>>
>> Ve stanovach mame zakotvenou ochranu dat clenu uz od zacatku.
>>
>> Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi, jakou ma
>> zodpovednost, best practices v ohledu bezpecnosti davno sleduje.
>>
>> A kdyz si nekdo mysli, ze Vsechno Zasifrovat(tm) to vyresi, tak se rovnou
>> zeptam - a borci, jak se k tomu asi programy na ty masine dostanou? Hint:
>> stejne musi byt data odemcena pri behu. A ze se k nim neco dostane za behu
>> je mnoooohem pravdepodobnejsi, nez ze nam z hlidanyho datacentra nekdo
>> ukradne disky a vycte si neco offline.
>>
>> Tedy, muj nazor je, ze vubec neni potreba panikarit a natoz se uchylovat
>> k reseni stylem ‘radsi to na vpsFree nedam vubec’. To ty servery muzeme
>> rovnou vypnout totiz - a cely to zabalit s tim, ze jsme se nechali
>> prevalcovat byrokratama.
>>
>> /snajpa
>> (Pavel Snajdr)
>> (Predseda vpsFree.cz)
>> (+420 720 107 791 <+420%20720%20107%20791>)
>>
>> On 30 Jan 2018, at 22:10, Lukáš Jelínek - AIKEN <lukas at aiken.cz> wrote:
>>
>> Ahoj,
>>
>> pokud si vzpomínám, tak něco podobného už se řešilo na valné hromadě
>> (byť ještě nebylo nařízení GDPR). A situace je v podstatě taková, že to
>> asi příliš řešit nelze, protože by to pro spolek znamenalo velkou
>> administrativní zátěž a značný nárůst nákladů.
>>
>> Čili asi nejčistším řešením v tuto chvíli je, nevyužívat servery
>> vpsFree.cz k ukládání osobních údajů - přinejmenším do doby, než se
>> všechny záležitosti vyřeší (a než vůbec vznikne nějaký závazný výklad
>> různých ustanovení směrnice).
>>
>> Lukáš Jelínek
>>
>>
>>
>> Ahoj ve spolek!
>>
>> Datum 25.5.2018, kdy nám vstupuje v účinnost GDPR se pomalu ale jistě
>> blíží. Bohužel jsem byl, ač neprávník do této problematiky trochu
>> zatlačen a byly na mě již vzneseny dotazy týkající se GDPR a vpsFree.
>>
>> Myslím, si, že je nás více, kteří na VPS máme uloženy nějaké ty osobní
>> údaje (adresy, emaily, apod.) a skoro všichni máme nějaký ten
>> webserver, kde se logují IP adresy, které jsou rovněž považovány za
>> osobní údaje. Díky tomu jsme z pohledu GDPR považování za správce
>> osobních údajů. Podle článku 4 GDPR se zpracovaním osobních údajů
>> rozumí také ukládání osobních údajů. Z toho plyne, že jakýkoliv
>> poskytovatel cloudových služeb, hostingu, VPS, atd. je vůči správci v
>> postavení zpracovatele osobních údajů. Článek 28 GDPR potom řeší vztah
>> zpracovatele a správce, kde mj. požaduje nějaký smluvní vztah mezi
>> nimi. Když to převedu na protředí vpsFree tak členové jsou v podstatě
>> správci osobních údajů a vpsFree je zpracovatelem osobních údajů.
>>
>> Můj dotaz zní, zda a jak bylo nebo bude GDPR řešeno na úrovní vpsFree?
>> V podstatě asi jde o to, aby bylo v případě kontroly z UOOÚ možno
>> něčím nebo nějak prokázat, že vpsFree je v souladu s GDPR a taky
>> garantuje, že data nebudou uložena mimo EU. Věřím, že v našich řadách
>> jsou kompetentnější členové v této věci jako já a tak bých rád otevřel
>> diskusi.
>>
>> Honza.
>>
>>
>> *_______________________________________________*
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
>>
>>
>> *_______________________________________________*
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
>> *_______________________________________________*
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
>>
>>
>>
>>
>> *_______________________________________________*
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
>>
>> *_______________________________________________*
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
>>
>>
>>
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
>>
>>
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20180131/400384e6/attachment-0001.html>
More information about the Community-list
mailing list