[vpsFree.cz: community-list] vpsFree.cz a GDPR
Ivan Moucha
minowara at gmail.com
Wed Jan 31 21:12:29 CET 2018
Ahoj,
Jen v rychlostu, musím souhlasit s Honzou, z korporátu mám úplně stejné
poznatky. Poskytovatel infrastruktury, v případě že to nabízí jako službu,
spadá pod GDPR jako zpracovatel (zjednodušeně řečeno).
Vzhledem k tomu že u sebe hostuji i pár nesoukromých věcí, tak se mě GDPR
týká také. Při studiu problematiky pro IaaS/SaaS sem pak vycházel z tohoto:
https://cispe.cloud/wp-content/uploads/2017/06/Code-of-Conduct-27-January-2017-corrected-march-20.pdf
.
Doporučuji si to minimálně v rychlosti přečíst/proletět, i když je to v
angličtině.
Snad to alespoň někomu pomůže
Ivan
st 31. 1. 2018 v 20:47 odesílatel Ing. Jan Dvořák <jan.dvorak at dvorak-sw.com>
napsal:
> Ahoj!
>
> IMHO to co je ve stanovách rozhodně stačit nebude. Nechci teď řešit
> členskou evidenci, apod. To je další věc k řešení, ale teď začnu trochu
> ze široka. Poskytování VPS je služba IaaS (infrastruktura jako služba).
> vpsFree, jako ten kdo tuto službu poskytuje je dle GDPR zpracovatelem
> osobních údajů. To jestli má přístup k osobním údajům členů na VPS nebo
> ne není rozhodující. Pokud vpsFree nebude mít smluvní ujednání se
> správci (členy) tak může být považován přímo za správce sám. Toto vše je
> novinka GDPR. Doposud se na tyto zpracovatele legislativa v oblasti
> osobních údajů nevztahovala nebo se dala obejít.
>
> Takže vpsFree má IMHO dvě možnosti. Buď jasně deklaruje, že poskytnutá
> VPS jsou pouze pro osobní potřebu a zakáže členům zpracovávat na VPS
> jakékoliv osobní údaje. Tím pádem nebude muset řešit žádné GDPR, což ale
> bude znamenat odchod členů, na které se GDPR vztahuje. Nebo bude muset s
> každým členem, který bude na VPS zpracovávat osobní údaje uzavřít
> zpracovatelskou smlouvu. GDPR poměrně jasně stanovuje co taková smlouva
> má obsahovat a tak jen heslovitě:
> - předmět a trvání zpracování
> - povaha a účel zpracování
> - typ osobních údajů a kategorii subjektů údajů
> - povinnosti a práva správce
> - povinnosti zpracovatele (zpracování osobní údajů jen na základě
> dokumentovaných pokynů správce, zajistit důvěrnost, přijmout vhodná
> bezpečnostní opatření)
> Co z toho by se vztahovalo na smlouvu mezi vpsFree a členem, to je
> otázka na právníka. Dokázal bych si představit, že členové s takovou
> smlouvou by mohli mít třeba o něco vyšší členský poplatek, aby se
> pokryly vícenáklady
>
> Termín účinnosti se pomalu ale jistě blíží. Ve firmách se provádí různé
> audity a je třeba aby vpsFree co nejdříve jasně deklarovalo jak se ke
> GDPR postaví, aby Ti členové, kterých se to týká (bohužel jsem to i já)
> se mohli zařídit.
>
> Tento problém budou řešit všichni poskytovatelé hostingu, VPS,
> cloudových služeb. V ČR je situace zatím tristní, zatím toto nikdo
> neřešil, jedině FORPSI, co jsem viděl se k tomu zatím nějak postavili.
> Co jsem tak sondoval v zahraničí tak úplně připraveny jsou jen ti
> největší (Microsoft, Amazon, apod.) a ti menší se postupně připravují.
> Nicméně ke změnám v Service Agreementech v souvislosti s GDPR určitě
> bude docházet.
>
> Je třeba si taky říct, že s GDPR také přichází jedna zásadní změna.
> Doposud porušení zákona správcem musel prokazovat úřad, ale s GDPR je to
> naopak. Správce je ten, který musí prokazovat, že nic neporušil.
>
> A malá poznámka na závěr, jak zaznělo na jednom semináři. Největším
> rizikem GDPR není vlastní nařízení, úřady, kontroly, pokuty apod.
> Největším rizikem jsou lidé. Díky mediální masáži a bublině se může
> objevit spoustu trollů, kteří díky GDPR dostanou do ruky jednoduchou
> možnost škodit.
>
> Honza.
>
>
> Dne 31.1.2018 v 08:12 zd nex napsal(a):
> > Ahojte,
> >
> > také si tu směrnici vykládám tak, že každý člen musí za data na VPS
> > zodpovídat sám (mít pověřenou osobu, která s tím pracuje + papír, že je
> > o tom seznámená.) Co se týče dat na VPSFree, tak tam půjde primárně o
> > to, jestli stačí to co je ve stanovách - či jestli nějak bude také
> > potřeba tedy domluvit (sepsat smlouvu) mezi členem(jeho daty) a vpsfree
> > nějak odděleně, nebo bude pouze stačit, aby to bylo ve stanovách - že
> > jsou zde admini a následně jednotlivý členové co pracují s VPS(kteří
> > jsou zodpovědní za data)? Tzn tím pádem, by nemělo být nutné nic měnit,
> > kromě té specifikace - kdo a jaký má přístup k VPS a jakou zodpovědnost
> > (plnou).
> >
> > --
> > S pozdravem,
> >
> > Zdeněk Dlauhý
> >
> > Email:support at pripravto.cz <mailto:support at pripravto.cz>
> > Mobil: +420 702 549 370
> > Web: www.pripravto.cz <http://www.pripravto.cz>
> >
> > Dne 31. ledna 2018 6:21 Petr Juhaňák <petr at juhanak.cz
> > <mailto:petr at juhanak.cz>> napsal(a):
> >
> > Je to tak jak rika Jirka.
> >
> > VpsFree si udela samo datovy audit z hlediska osobnich udaju ktere
> > eviduje o clenech a sepise si na papir kde a v jakem rozsahu jsou a
> > hlavne zadokumentuje jaka opatreni uz ma (procesy a technicka
> > nastaveni) aby to vypadalo jako rizena prace s riziky. Pak pravni
> > dokumenty typu informovane souhlasy.
> >
> > To same si udelaji clenove ale v jinem ramci, uz na urovni jejich
> > provozovane technologie php eshopy a podobne a zase seznam opatreni,
> > proces kdyz nekdo odvola souhlas se zpracovanim, seznam opatreni.
> >
> > To jsou veci ktere si kazdy muze pripravit uz ted.
> >
> > Predstava, ze vpdfree je tu od toho aby zajistila soulad s gdpr je
> > mylna. To si musi zajistit kazdy clen sam, tj. nemluvim o technickem
> > svete.
> >
> >
> >
> > S pozdravem
> > Petr Juhaňák
> >
> > petr at juhanak.cz <mailto:petr at juhanak.cz> | +420 739 639 132
> > <tel:+420%20739%20639%20132>
> >
> >
> > -------- Původní zpráva --------
> > Od: Jindřich Sadílek <jindrich.sadilek at gmail.com
> > <mailto:jindrich.sadilek at gmail.com>>
> > Datum: 31.01.18 1:41 (GMT+01:00)
> > Komu: community-list at lists.vpsfree.cz
> > <mailto:community-list at lists.vpsfree.cz>
> > Předmět: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR
> >
> > Jedna věc je, co si musí pořešit VPSfree jako organizace, zcela jiná
> > pak jendotliví správci vlastních žiletek.
> >
> > Provozujete nějaký jednoduchý eshop, máte uživatelské registrace a
> > pošlete semtam email, natož považovatelný za reklamní? Jste v tom až
> > po uši...
> >
> >
> > Dne St, 31. leden 2018 v 00:30 h uživatel Jirka Bourek napsal:
> >> Problém je, že tohle všechno řeší technické věci, které udělat
> chceš,
> >> ale neřeší to chybějící papíry, které potřebuješ pro úřad.
> >>
> >> Jasně, v oboru "no tak nám procesory trochu leakujou paměť, hlavně
> že
> >> jsem náhodou včas prodal akcie" nějakou skutečnou ochranu osobních
> >> údajů
> >> v podstatě řešit nejde. Jenže to úředníky z EU nezajímá - ti
> vymysleli
> >> směrnici na ochranu osobních údajů, takže se osobní údaje chrání
> tak,
> >> jak nařizuje směrnice. Až přijde kontrola, argumentace "dyť je to
> >> nesmysl!" nic nezachrání.
> >>
> >> Takže správce potřebuje se zpracovatelem mít smlouvu nebo jiný
> právní
> >> akt. Pokud je právním aktem - dostatečným pro úřad - členství v
> >> vpsfree,
> >> tak je asi všechno v poho.
> >> (http://www.privacy-regulation.eu/cs/28.htm
> >> <http://www.privacy-regulation.eu/cs/28.htm>)
> >> Pokud ne, tak je problém.
> >>
> >> Jinak teda
> >>
> >> > Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi, jakou ma
> >> zodpovednost, best practices v ohledu bezpecnosti davno sleduje.
> >>
> >> Co když to neví, nebo na to dlabe? :-)
> >>
> >>
> >> Pavel Snajdr wrote:
> >>
> >> Stejne jako oskenovat, co ti tam bezi a dostat se ti tam bez
> >> zvednuti my pohodlny zadele, obzvlast pokud jedes nejakou
> >> PHPkovinu a data, ktery by bylo potreba chranit, jsou primo v
> >> DB, kam ty PHP spagety vidi.
> >>
> >> A co ted s tim, vypneme to vsehno? ;)
> >>
> >> Chci tim rict, ze panikrit IMHO neni na miste a kdyz se nad
> >> tim clovek zamysli, zasifrovat vsechno taky neni reseni.
> >>
> >> Jinak ja jsem za GDPR rad, mam vymluvu, proc si sebou budu
> >> nosit klicenku s trhavinou na flashkach, mame vymluvu, proc
> >> plosne nasadit sifrovani, proc se nam nepujde dostat do racku
> >> neautorizovane, aniz by to neodmazlo klice a neshodilo vsehno
> >> chraneny (tj. abys nam fakt nechtel otevrit ten rack).
> >>
> >> Ne ze by GDPR neco resilo, ale dava van super vymluvu, jak
> >> muzem nase systemy postupne posouvat vic smerem plausible
> >> deniability, tj. soukromi je level jedna, level nuda, ale co
> >> nam to umozni je ochranit i adminy pred tim, aby vedeli, co
> >> clen bezi.
> >>
> >> Neumel jsem si bez GDPR predstavit, jak zvysovat zabezpeceni
> >> bez toho, aby to vypadalo, jako kdyz se chystame hostovat tunu
> >> detskyho porna a lokalni pobocku CIA. Jenom to nebude vsehno
> >> hned - a nektery levely zabezpeceni na sharovanym hardwaru ani
> >> nepujde udelat.
> >>
> >> Chci:
> >>
> >> - sifrovani v ZoL
> >> - aby clen mel moznost klic per dataset neulozit, ale zadat si
> >> ho sam pres bezpecny kanal (ssh/https api call)
> >> - monitoring otevreni racku co bez nahlaseni predem donuti
> >> masiny smazat klice z RAM
> >>
> >> Ale tohle je furt malo, pokud admini nemaji vedet, co clen
> >> bezi. Ani fullvirt ani se sifrovanou RAM na AMD nam nepomuze,
> >> takze resim, jak zahostovat single board desky pro cleny,
> >> kteri chteji mit moznost nejcitlivejsi data mit fakt soukrome.
> >>
> >> Ve finale:
> >>
> >> - budes mit moznost data na VPS sifrovat svymi hesly, ktera se
> >> u nas nebudou ukladat (prusvih je, ze my nemame jak dokazat,
> >> ze jsme to nikde neulozili)
> >>
> >> - pri neautorizovanym pristupu do racku se klice smaznou, to
> >> samy pri rebootu/resetu a je pak na tobe zvazit, jestli je OK
> >> data uz odemknout
> >>
> >> - budes mit moznost nejcitlivejsi data vysoupnout vedle po
> >> siti na svuj dedikovanej systemek kalibru ARM Cortex A53, do
> >> budoucna RISC-V
> >>
> >> Problem nastava, kdyz s adminkem pujde do datacentra nekdo
> >> sebedulezitejsi, nez GDRP byrokrat s kulometem u palice, pak
> >> admin nema moznost ani nejak kliknout smazani klicu, nebo
> >> aspon nejakej counter na webu ve smyslu kanarka, ktery bude
> >> pocitat pocet podobnych incidentu.
> >>
> >> Shared computing ma svoje limity, bohuzel, jestli sledujes,
> >> kam tim mirim.
> >>
> >> GDPR podle mne vyzaduje nutne jenom nejaky papirovani, ale do
> >> budoucna nam dava zaminku jit na to vic z husta, co se
> >> soukromi tyce.
> >>
> >> Muze nam pak nekdo nadavat, ze delame hosting detskyho porna a
> >> teroristum, kdyz mame racky obehnany pomalu ziletkovym dratem?
> >> Nemuze, at si stezuje v Bruselu.
> >>
> >> Za mne dobry, ale nebude to hned. A v prvni vlne bude hlavne
> >> to papirovani. V druhy vlne se musime zbavit nedostacujiciho
> >> OpenVZ, vpsAdminOS ma podstatne lip ovladatelnejsi
> >> bezpecnostni politiku - a je odspoda nahoru cely podepsany a
> >> verifikovatelny.
> >>
> >> /snajpa
> >>
> >> On 30 Jan 2018, at 23:41, Jaroslav Skrivan
> >> <skrivy at skrivy.net <mailto:skrivy at skrivy.net>> wrote:
> >>
> >> Jenom moje osobni zkusenost - odnest si cizi disky z
> >> datacentra neni zas takovy problem, jak se na prvni pohled
> >> muze zdat.
> >> From: Pavel Snajdr
> >> Sent: 1/30/2018 10:49 PM
> >> To: vpsFree.cz Community list
> >> Subject: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR
> >>
> >> Ahoj,
> >>
> >> GDPR je, pokud to dobre chapu, totalni nesmysl, z kteryho
> >> jsou vsichni vyjukani uplne, ale naprosto totalne zbytecne.
> >>
> >> Podivej se, co bezime za procesory.
> >>
> >> Jak ma nekdo neco v takovym stavu vubec industry-wide za
> >> neco rucit?
> >>
> >> Za mne je GDPR o tom a pouze o tom, ze musime podepsat
> >> papir s lidmi, co maji admin pristupy, aby acknuli
> >> oficialne svoji zodpovednost.
> >>
> >> V seznamu clenu uz ted mame jenom nejnutnejsi udaje (podle
> >> posledni zkusenosti s PCR a PSR jim k identifikaci ani to
> >> nemusi stacit...).
> >>
> >> Ve stanovach mame zakotvenou ochranu dat clenu uz od
> zacatku.
> >>
> >> Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi,
> >> jakou ma zodpovednost, best practices v ohledu bezpecnosti
> >> davno sleduje.
> >>
> >> A kdyz si nekdo mysli, ze Vsechno Zasifrovat(tm) to
> >> vyresi, tak se rovnou zeptam - a borci, jak se k tomu asi
> >> programy na ty masine dostanou? Hint: stejne musi byt data
> >> odemcena pri behu. A ze se k nim neco dostane za behu je
> >> mnoooohem pravdepodobnejsi, nez ze nam z hlidanyho
> >> datacentra nekdo ukradne disky a vycte si neco offline.
> >>
> >> Tedy, muj nazor je, ze vubec neni potreba panikarit a
> >> natoz se uchylovat k reseni stylem ‘radsi to na vpsFree
> >> nedam vubec’. To ty servery muzeme rovnou vypnout totiz -
> >> a cely to zabalit s tim, ze jsme se nechali prevalcovat
> >> byrokratama.
> >>
> >> /snajpa
> >> (Pavel Snajdr)
> >> (Predseda vpsFree.cz)
> >> (+420 720 107 791 <tel:+420%20720%20107%20791>)
> >>
> >> On 30 Jan 2018, at 22:10, Lukáš Jelínek - AIKEN
> >> <lukas at aiken.cz <mailto:lukas at aiken.cz>> wrote:
> >>
> >> Ahoj,
> >>
> >> pokud si vzpomínám, tak něco podobného už se řešilo na
> >> valné hromadě
> >> (byť ještě nebylo nařízení GDPR). A situace je v
> >> podstatě taková, že to
> >> asi příliš řešit nelze, protože by to pro spolek
> >> znamenalo velkou
> >> administrativní zátěž a značný nárůst nákladů.
> >>
> >> Čili asi nejčistším řešením v tuto chvíli je,
> >> nevyužívat servery
> >> vpsFree.cz k ukládání osobních údajů - přinejmenším do
> >> doby, než se
> >> všechny záležitosti vyřeší (a než vůbec vznikne nějaký
> >> závazný výklad
> >> různých ustanovení směrnice).
> >>
> >> Lukáš Jelínek
> >>
> >>
> >>
> >> Ahoj ve spolek!
> >>
> >> Datum 25.5.2018, kdy nám vstupuje v účinnost GDPR
> >> se pomalu ale jistě
> >> blíží. Bohužel jsem byl, ač neprávník do této
> >> problematiky trochu
> >> zatlačen a byly na mě již vzneseny dotazy týkající
> >> se GDPR a vpsFree.
> >>
> >> Myslím, si, že je nás více, kteří na VPS máme
> >> uloženy nějaké ty osobní
> >> údaje (adresy, emaily, apod.) a skoro všichni máme
> >> nějaký ten
> >> webserver, kde se logují IP adresy, které jsou
> >> rovněž považovány za
> >> osobní údaje. Díky tomu jsme z pohledu GDPR
> >> považování za správce
> >> osobních údajů. Podle článku 4 GDPR se zpracovaním
> >> osobních údajů
> >> rozumí také ukládání osobních údajů. Z toho plyne,
> >> že jakýkoliv
> >> poskytovatel cloudových služeb, hostingu, VPS,
> >> atd. je vůči správci v
> >> postavení zpracovatele osobních údajů. Článek 28
> >> GDPR potom řeší vztah
> >> zpracovatele a správce, kde mj. požaduje nějaký
> >> smluvní vztah mezi
> >> nimi. Když to převedu na protředí vpsFree tak
> >> členové jsou v podstatě
> >> správci osobních údajů a vpsFree je zpracovatelem
> >> osobních údajů.
> >>
> >> Můj dotaz zní, zda a jak bylo nebo bude GDPR
> >> řešeno na úrovní vpsFree?
> >> V podstatě asi jde o to, aby bylo v případě
> >> kontroly z UOOÚ možno
> >> něčím nebo nějak prokázat, že vpsFree je v souladu
> >> s GDPR a taky
> >> garantuje, že data nebudou uložena mimo EU. Věřím,
> >> že v našich řadách
> >> jsou kompetentnější členové v této věci jako já a
> >> tak bých rád otevřel
> >> diskusi.
> >>
> >> Honza.
> >>
> >>
> >> _________________________________________________
> >> Community-list mailing list
> >> Community-list at lists.vpsfree.cz
> >> <mailto:Community-list at lists.vpsfree.cz>
> >> http://lists.vpsfree.cz/listinfo/community-list
> >> <http://lists.vpsfree.cz/listinfo/community-list>
> >>
> >>
> >> _________________________________________________
> >> Community-list mailing list
> >> Community-list at lists.vpsfree.cz
> >> <mailto:Community-list at lists.vpsfree.cz>
> >> http://lists.vpsfree.cz/listinfo/community-list
> >> <http://lists.vpsfree.cz/listinfo/community-list>
> >> _________________________________________________
> >> Community-list mailing list
> >> Community-list at lists.vpsfree.cz
> >> <mailto:Community-list at lists.vpsfree.cz>
> >> http://lists.vpsfree.cz/listinfo/community-list
> >> <http://lists.vpsfree.cz/listinfo/community-list>
> >>
> >>
> >>
> >>
> >> _________________________________________________
> >> Community-list mailing list
> >> Community-list at lists.vpsfree.cz
> >> <mailto:Community-list at lists.vpsfree.cz>
> >> http://lists.vpsfree.cz/listinfo/community-list
> >> <http://lists.vpsfree.cz/listinfo/community-list>
> >>
> >> _________________________________________________
> >> Community-list mailing list
> >> Community-list at lists.vpsfree.cz
> >> <mailto:Community-list at lists.vpsfree.cz>
> >> http://lists.vpsfree.cz/listinfo/community-list
> >> <http://lists.vpsfree.cz/listinfo/community-list>
> >
> >
> > _______________________________________________
> > Community-list mailing list
> > Community-list at lists.vpsfree.cz <mailto:
> Community-list at lists.vpsfree.cz>
> > http://lists.vpsfree.cz/listinfo/community-list
> > <http://lists.vpsfree.cz/listinfo/community-list>
> >
> >
> >
> >
> > _______________________________________________
> > Community-list mailing list
> > Community-list at lists.vpsfree.cz
> > http://lists.vpsfree.cz/listinfo/community-list
> >
>
>
> --
> Ing. Jan Dvorak
> ****************************************
> Ing. Jan Dvorak
> Fischerova 690/23
> 779 00 Olomouc, Nove Sady
> Czech Republic
> ****************************************
> Tel: +420-603 444 240
> E-mail: jan.dvorak at dvorak-sw.com
> Web: http://www.dvorak-sw.com
> ****************************************
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20180131/456a9a51/attachment-0001.html>
More information about the Community-list
mailing list