[vpsFree.cz: community-list] vpsFree.cz a GDPR
Ivan Moucha
minowara at gmail.com
Wed Jan 31 21:45:25 CET 2018
Ahoj,
Vezmu to jen v rychlosti (zkusenosti z moji schuzky s nasima korporatnima
pravnikama):
- narizeni zna jen dva duvody zpracovani osobnich dat a to zakony duvod a
nebo marketingovy souhlas (popsano v regulaci)
- v marketingovem souhlasu musi byt spousta sra*cek navic, oproti stavajici
101
- primarni spravce (ten kdo ma ta data) musi vystavit memorandum o tom jak
s datama pracuje, nakalada, zpracovava a jake firmy se toho ucasni (klidne
i kdyz to bude 1000 firem a musi tento seznam udrzovat aktualni) a musi mit
uzavrene smlouvy/memoranda s kazdym kdo je v tom retezci (muj klient jako
spravce se mnou jako zpracovatelem a pak ja s vpsFree jako s poskytovatelem
sluzby, protoze je to zpracovatel pro me (je to vps, ne metal), ale vpsFree
uz nemusi mit tuto smlouvu s Mastrama, protoze nazpracovavaji data vpsFree
(tady snad nekecam, neznam vztah mezi vF a M))
- z pohledu regulace je zodpovednost na primarnim spravci a musi delat vse
co mu narizuje regulace (v tom narizeni je to dost jasne popsane)
- obecny uvod je pak zde:
https://www.uoou.cz/zakladni-prirucka-k-gdpr/ds-4744/archiv=0&p1=3938
- clanek ktery se vztahuje na kazdeho clena ai na vpsFree ktery
spravuje/zpracovava tato data: http://www.privacy-regulation.eu/cs/28.htm
- presumce neviny tady neexistuje, spravce i poskytovatel dokladaji
dozorujicimu organu ze splnuji regule
- komercni/nekomercni subjekt nehraje zadny vyznam, 20M € jako maximalni
sazba v tomto pripade
Takze vpsFree nemusi uzavirat smlouvu s clenama, clen musi uzavrit smlouvu
z vpsFree (muze to mit i jiny format, proaktivni memorandum od vpsFree
ktere bude splnovat nalezitosti regulace se da chapat jako smluvni zavazek
a zaplacenim clenskeho pozadavku i vyjadrenim souhlasu/uzavrenim smlouvy).
Snad sem to alespon trosku objasnil
Ivan
st 31. 1. 2018 v 21:14 odesílatel Stepan Liska <stepan at comlinks.cz> napsal:
> Ahoj,
>
> jestli tomu rozumím dobře, tak je to vlastně obráceně než jsme si dosud
> mysleli? Tj. sdružení by mělo dokazovat, že má smlouvu se svými členy, že
> oni jsou GDPR-compliant a ne naopak?
>
> Z toho mi tak trochu plyne, že když mám na VPS nainstalovaný ISPConfig a v
> něm pár webů svých klientů, tak bych měl mít také já s nimi smlouvu, že
> jejich weby jsou GDPR-compliant? Tzn. já jsem zodpovědný za své zákazníky
> co u mě provozují a sdružení je zodpovědné za to, že jeho členové jsou
> zodpovědní? A tzn. musí existovat transitivní uzávěr smluv o
> GDPR-compliancy na kohokoliv kdo se otře o servery vpsFree? Ufff.
>
> BTW - jak se dá dokázat, že něco neporušuji? To je přece prolomení
> principu presumpce neviny, není-liž pravda? Není to napadnutelné přes
> listinu základních práv a svobod? Nebo přes ústavu? Rozumíte tomu někdo?
>
> Díky,
> Š.
>
> Dne 31.1.2018 v 20:46 Ing. Jan Dvořák napsal(a):
>
> Ahoj!
>
> IMHO to co je ve stanovách rozhodně stačit nebude. Nechci teď řešit
> členskou evidenci, apod. To je další věc k řešení, ale teď začnu trochu ze
> široka. Poskytování VPS je služba IaaS (infrastruktura jako služba).
> vpsFree, jako ten kdo tuto službu poskytuje je dle GDPR zpracovatelem
> osobních údajů. To jestli má přístup k osobním údajům členů na VPS nebo ne
> není rozhodující. Pokud vpsFree nebude mít smluvní ujednání se správci
> (členy) tak může být považován přímo za správce sám. Toto vše je novinka
> GDPR. Doposud se na tyto zpracovatele legislativa v oblasti osobních údajů
> nevztahovala nebo se dala obejít.
>
> Takže vpsFree má IMHO dvě možnosti. Buď jasně deklaruje, že poskytnutá VPS
> jsou pouze pro osobní potřebu a zakáže členům zpracovávat na VPS jakékoliv
> osobní údaje. Tím pádem nebude muset řešit žádné GDPR, což ale bude
> znamenat odchod členů, na které se GDPR vztahuje. Nebo bude muset s každým
> členem, který bude na VPS zpracovávat osobní údaje uzavřít zpracovatelskou
> smlouvu. GDPR poměrně jasně stanovuje co taková smlouva má obsahovat a tak
> jen heslovitě:
> - předmět a trvání zpracování
> - povaha a účel zpracování
> - typ osobních údajů a kategorii subjektů údajů
> - povinnosti a práva správce
> - povinnosti zpracovatele (zpracování osobní údajů jen na základě
> dokumentovaných pokynů správce, zajistit důvěrnost, přijmout vhodná
> bezpečnostní opatření)
> Co z toho by se vztahovalo na smlouvu mezi vpsFree a členem, to je otázka
> na právníka. Dokázal bych si představit, že členové s takovou smlouvou by
> mohli mít třeba o něco vyšší členský poplatek, aby se pokryly vícenáklady
>
> Termín účinnosti se pomalu ale jistě blíží. Ve firmách se provádí různé
> audity a je třeba aby vpsFree co nejdříve jasně deklarovalo jak se ke GDPR
> postaví, aby Ti členové, kterých se to týká (bohužel jsem to i já) se mohli
> zařídit.
>
> Tento problém budou řešit všichni poskytovatelé hostingu, VPS, cloudových
> služeb. V ČR je situace zatím tristní, zatím toto nikdo neřešil, jedině
> FORPSI, co jsem viděl se k tomu zatím nějak postavili. Co jsem tak sondoval
> v zahraničí tak úplně připraveny jsou jen ti největší (Microsoft, Amazon,
> apod.) a ti menší se postupně připravují. Nicméně ke změnám v Service
> Agreementech v souvislosti s GDPR určitě bude docházet.
>
> Je třeba si taky říct, že s GDPR také přichází jedna zásadní změna.
> Doposud porušení zákona správcem musel prokazovat úřad, ale s GDPR je to
> naopak. Správce je ten, který musí prokazovat, že nic neporušil.
>
> A malá poznámka na závěr, jak zaznělo na jednom semináři. Největším
> rizikem GDPR není vlastní nařízení, úřady, kontroly, pokuty apod. Největším
> rizikem jsou lidé. Díky mediální masáži a bublině se může objevit spoustu
> trollů, kteří díky GDPR dostanou do ruky jednoduchou možnost škodit.
>
> Honza.
>
>
> Dne 31.1.2018 v 08:12 zd nex napsal(a):
>
> Ahojte,
>
> také si tu směrnici vykládám tak, že každý člen musí za data na VPS
> zodpovídat sám (mít pověřenou osobu, která s tím pracuje + papír, že je o
> tom seznámená.) Co se týče dat na VPSFree, tak tam půjde primárně o to,
> jestli stačí to co je ve stanovách - či jestli nějak bude také potřeba tedy
> domluvit (sepsat smlouvu) mezi členem(jeho daty) a vpsfree nějak odděleně,
> nebo bude pouze stačit, aby to bylo ve stanovách - že jsou zde admini a
> následně jednotlivý členové co pracují s VPS(kteří jsou zodpovědní za
> data)? Tzn tím pádem, by nemělo být nutné nic měnit, kromě té specifikace -
> kdo a jaký má přístup k VPS a jakou zodpovědnost (plnou).
>
> --
> S pozdravem,
>
> Zdeněk Dlauhý
>
> Email:support at pripravto.cz <mailto:support at pripravto.cz>
> <support at pripravto.cz>
> Mobil: +420 702 549 370
> Web: www.pripravto.cz <http://www.pripravto.cz> <http://www.pripravto.cz>
>
> Dne 31. ledna 2018 6:21 Petr Juhaňák <petr at juhanak.cz
> <mailto:petr at juhanak.cz> <petr at juhanak.cz>> napsal(a):
>
> Je to tak jak rika Jirka.
>
> VpsFree si udela samo datovy audit z hlediska osobnich udaju ktere
> eviduje o clenech a sepise si na papir kde a v jakem rozsahu jsou a
> hlavne zadokumentuje jaka opatreni uz ma (procesy a technicka
> nastaveni) aby to vypadalo jako rizena prace s riziky. Pak pravni
> dokumenty typu informovane souhlasy.
>
> To same si udelaji clenove ale v jinem ramci, uz na urovni jejich
> provozovane technologie php eshopy a podobne a zase seznam opatreni,
> proces kdyz nekdo odvola souhlas se zpracovanim, seznam opatreni.
>
> To jsou veci ktere si kazdy muze pripravit uz ted.
>
> Predstava, ze vpdfree je tu od toho aby zajistila soulad s gdpr je
> mylna. To si musi zajistit kazdy clen sam, tj. nemluvim o technickem
> svete.
>
>
>
> S pozdravem
> Petr Juhaňák
>
> petr at juhanak.cz <mailto:petr at juhanak.cz> <petr at juhanak.cz> | +420 739
> 639 132
> <tel:+420%20739%20639%20132>
>
>
> -------- Původní zpráva --------
> Od: Jindřich Sadílek <jindrich.sadilek at gmail.com
> <mailto:jindrich.sadilek at gmail.com> <jindrich.sadilek at gmail.com>>
> Datum: 31.01.18 1:41 (GMT+01:00)
> Komu: community-list at lists.vpsfree.cz
> <mailto:community-list at lists.vpsfree.cz>
> <community-list at lists.vpsfree.cz>
> Předmět: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR
>
> Jedna věc je, co si musí pořešit VPSfree jako organizace, zcela jiná
> pak jendotliví správci vlastních žiletek.
>
> Provozujete nějaký jednoduchý eshop, máte uživatelské registrace a
> pošlete semtam email, natož považovatelný za reklamní? Jste v tom až
> po uši...
>
>
> Dne St, 31. leden 2018 v 00:30 h uživatel Jirka Bourek napsal:
>
> Problém je, že tohle všechno řeší technické věci, které udělat chceš,
> ale neřeší to chybějící papíry, které potřebuješ pro úřad.
>
> Jasně, v oboru "no tak nám procesory trochu leakujou paměť, hlavně že
> jsem náhodou včas prodal akcie" nějakou skutečnou ochranu osobních
> údajů
> v podstatě řešit nejde. Jenže to úředníky z EU nezajímá - ti vymysleli
> směrnici na ochranu osobních údajů, takže se osobní údaje chrání tak,
> jak nařizuje směrnice. Až přijde kontrola, argumentace "dyť je to
> nesmysl!" nic nezachrání.
>
> Takže správce potřebuje se zpracovatelem mít smlouvu nebo jiný právní
> akt. Pokud je právním aktem - dostatečným pro úřad - členství v
> vpsfree,
> tak je asi všechno v poho.
> (http://www.privacy-regulation.eu/cs/28.htm
> <http://www.privacy-regulation.eu/cs/28.htm>
> <http://www.privacy-regulation.eu/cs/28.htm>)
> Pokud ne, tak je problém.
>
> Jinak teda
>
> > Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi, jakou ma
> zodpovednost, best practices v ohledu bezpecnosti davno sleduje.
>
> Co když to neví, nebo na to dlabe? :-)
>
>
> Pavel Snajdr wrote:
>
> Stejne jako oskenovat, co ti tam bezi a dostat se ti tam bez
> zvednuti my pohodlny zadele, obzvlast pokud jedes nejakou
> PHPkovinu a data, ktery by bylo potreba chranit, jsou primo v
> DB, kam ty PHP spagety vidi.
>
> A co ted s tim, vypneme to vsehno? ;)
>
> Chci tim rict, ze panikrit IMHO neni na miste a kdyz se nad
> tim clovek zamysli, zasifrovat vsechno taky neni reseni.
>
> Jinak ja jsem za GDPR rad, mam vymluvu, proc si sebou budu
> nosit klicenku s trhavinou na flashkach, mame vymluvu, proc
> plosne nasadit sifrovani, proc se nam nepujde dostat do racku
> neautorizovane, aniz by to neodmazlo klice a neshodilo vsehno
> chraneny (tj. abys nam fakt nechtel otevrit ten rack).
>
> Ne ze by GDPR neco resilo, ale dava van super vymluvu, jak
> muzem nase systemy postupne posouvat vic smerem plausible
> deniability, tj. soukromi je level jedna, level nuda, ale co
> nam to umozni je ochranit i adminy pred tim, aby vedeli, co
> clen bezi.
>
> Neumel jsem si bez GDPR predstavit, jak zvysovat zabezpeceni
> bez toho, aby to vypadalo, jako kdyz se chystame hostovat tunu
> detskyho porna a lokalni pobocku CIA. Jenom to nebude vsehno
> hned - a nektery levely zabezpeceni na sharovanym hardwaru ani
> nepujde udelat.
>
> Chci:
>
> - sifrovani v ZoL
> - aby clen mel moznost klic per dataset neulozit, ale zadat si
> ho sam pres bezpecny kanal (ssh/https api call)
> - monitoring otevreni racku co bez nahlaseni predem donuti
> masiny smazat klice z RAM
>
> Ale tohle je furt malo, pokud admini nemaji vedet, co clen
> bezi. Ani fullvirt ani se sifrovanou RAM na AMD nam nepomuze,
> takze resim, jak zahostovat single board desky pro cleny,
> kteri chteji mit moznost nejcitlivejsi data mit fakt soukrome.
>
> Ve finale:
>
> - budes mit moznost data na VPS sifrovat svymi hesly, ktera se
> u nas nebudou ukladat (prusvih je, ze my nemame jak dokazat,
> ze jsme to nikde neulozili)
>
> - pri neautorizovanym pristupu do racku se klice smaznou, to
> samy pri rebootu/resetu a je pak na tobe zvazit, jestli je OK
> data uz odemknout
>
> - budes mit moznost nejcitlivejsi data vysoupnout vedle po
> siti na svuj dedikovanej systemek kalibru ARM Cortex A53, do
> budoucna RISC-V
>
> Problem nastava, kdyz s adminkem pujde do datacentra nekdo
> sebedulezitejsi, nez GDRP byrokrat s kulometem u palice, pak
> admin nema moznost ani nejak kliknout smazani klicu, nebo
> aspon nejakej counter na webu ve smyslu kanarka, ktery bude
> pocitat pocet podobnych incidentu.
>
> Shared computing ma svoje limity, bohuzel, jestli sledujes,
> kam tim mirim.
>
> GDPR podle mne vyzaduje nutne jenom nejaky papirovani, ale do
> budoucna nam dava zaminku jit na to vic z husta, co se
> soukromi tyce.
>
> Muze nam pak nekdo nadavat, ze delame hosting detskyho porna a
> teroristum, kdyz mame racky obehnany pomalu ziletkovym dratem?
> Nemuze, at si stezuje v Bruselu.
>
> Za mne dobry, ale nebude to hned. A v prvni vlne bude hlavne
> to papirovani. V druhy vlne se musime zbavit nedostacujiciho
> OpenVZ, vpsAdminOS ma podstatne lip ovladatelnejsi
> bezpecnostni politiku - a je odspoda nahoru cely podepsany a
> verifikovatelny.
>
> /snajpa
>
> On 30 Jan 2018, at 23:41, Jaroslav Skrivan
> <skrivy at skrivy.net <mailto:skrivy at skrivy.net>
> <skrivy at skrivy.net>> wrote:
>
> Jenom moje osobni zkusenost - odnest si cizi disky z
> datacentra neni zas takovy problem, jak se na prvni pohled
> muze zdat.
> From: Pavel Snajdr
> Sent: 1/30/2018 10:49 PM
> To: vpsFree.cz Community list
> Subject: Re: [vpsFree.cz: community-list] vpsFree.cz a GDPR
>
> Ahoj,
>
> GDPR je, pokud to dobre chapu, totalni nesmysl, z kteryho
> jsou vsichni vyjukani uplne, ale naprosto totalne zbytecne.
>
> Podivej se, co bezime za procesory.
>
> Jak ma nekdo neco v takovym stavu vubec industry-wide za
> neco rucit?
>
> Za mne je GDPR o tom a pouze o tom, ze musime podepsat
> papir s lidmi, co maji admin pristupy, aby acknuli
> oficialne svoji zodpovednost.
>
> V seznamu clenu uz ted mame jenom nejnutnejsi udaje (podle
> posledni zkusenosti s PCR a PSR jim k identifikaci ani to
> nemusi stacit...).
>
> Ve stanovach mame zakotvenou ochranu dat clenu uz od zacatku.
>
> Ja v tom vidim mnoho povyku pro nic, ajtak, ktery vi,
> jakou ma zodpovednost, best practices v ohledu bezpecnosti
> davno sleduje.
>
> A kdyz si nekdo mysli, ze Vsechno Zasifrovat(tm) to
> vyresi, tak se rovnou zeptam - a borci, jak se k tomu asi
> programy na ty masine dostanou? Hint: stejne musi byt data
> odemcena pri behu. A ze se k nim neco dostane za behu je
> mnoooohem pravdepodobnejsi, nez ze nam z hlidanyho
> datacentra nekdo ukradne disky a vycte si neco offline.
>
> Tedy, muj nazor je, ze vubec neni potreba panikarit a
> natoz se uchylovat k reseni stylem ‘radsi to na vpsFree
> nedam vubec’. To ty servery muzeme rovnou vypnout totiz -
> a cely to zabalit s tim, ze jsme se nechali prevalcovat
> byrokratama.
>
> /snajpa
> (Pavel Snajdr)
> (Predseda vpsFree.cz)
> (+420 720 107 791 <tel:+420%20720%20107%20791>)
>
> On 30 Jan 2018, at 22:10, Lukáš Jelínek - AIKEN
> <lukas at aiken.cz <mailto:lukas at aiken.cz> <lukas at aiken.cz>>
> wrote:
>
> Ahoj,
>
> pokud si vzpomínám, tak něco podobného už se řešilo na
> valné hromadě
> (byť ještě nebylo nařízení GDPR). A situace je v
> podstatě taková, že to
> asi příliš řešit nelze, protože by to pro spolek
> znamenalo velkou
> administrativní zátěž a značný nárůst nákladů.
>
> Čili asi nejčistším řešením v tuto chvíli je,
> nevyužívat servery
> vpsFree.cz k ukládání osobních údajů - přinejmenším do
> doby, než se
> všechny záležitosti vyřeší (a než vůbec vznikne nějaký
> závazný výklad
> různých ustanovení směrnice).
>
> Lukáš Jelínek
>
>
>
> Ahoj ve spolek!
>
> Datum 25.5.2018, kdy nám vstupuje v účinnost GDPR
> se pomalu ale jistě
> blíží. Bohužel jsem byl, ač neprávník do této
> problematiky trochu
> zatlačen a byly na mě již vzneseny dotazy týkající
> se GDPR a vpsFree.
>
> Myslím, si, že je nás více, kteří na VPS máme
> uloženy nějaké ty osobní
> údaje (adresy, emaily, apod.) a skoro všichni máme
> nějaký ten
> webserver, kde se logují IP adresy, které jsou
> rovněž považovány za
> osobní údaje. Díky tomu jsme z pohledu GDPR
> považování za správce
> osobních údajů. Podle článku 4 GDPR se zpracovaním
> osobních údajů
> rozumí také ukládání osobních údajů. Z toho plyne,
> že jakýkoliv
> poskytovatel cloudových služeb, hostingu, VPS,
> atd. je vůči správci v
> postavení zpracovatele osobních údajů. Článek 28
> GDPR potom řeší vztah
> zpracovatele a správce, kde mj. požaduje nějaký
> smluvní vztah mezi
> nimi. Když to převedu na protředí vpsFree tak
> členové jsou v podstatě
> správci osobních údajů a vpsFree je zpracovatelem
> osobních údajů.
>
> Můj dotaz zní, zda a jak bylo nebo bude GDPR
> řešeno na úrovní vpsFree?
> V podstatě asi jde o to, aby bylo v případě
> kontroly z UOOÚ možno
> něčím nebo nějak prokázat, že vpsFree je v souladu
> s GDPR a taky
> garantuje, že data nebudou uložena mimo EU. Věřím,
> že v našich řadách
> jsou kompetentnější členové v této věci jako já a
> tak bých rád otevřel
> diskusi.
>
> Honza.
>
>
> _________________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> <mailto:Community-list at lists.vpsfree.cz>
> <Community-list at lists.vpsfree.cz>
> http://lists.vpsfree.cz/listinfo/community-list
> <http://lists.vpsfree.cz/listinfo/community-list>
> <http://lists.vpsfree.cz/listinfo/community-list>
>
>
> _________________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> <mailto:Community-list at lists.vpsfree.cz>
> <Community-list at lists.vpsfree.cz>
> http://lists.vpsfree.cz/listinfo/community-list
> <http://lists.vpsfree.cz/listinfo/community-list>
> <http://lists.vpsfree.cz/listinfo/community-list>
> _________________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> <mailto:Community-list at lists.vpsfree.cz>
> <Community-list at lists.vpsfree.cz>
> http://lists.vpsfree.cz/listinfo/community-list
> <http://lists.vpsfree.cz/listinfo/community-list>
> <http://lists.vpsfree.cz/listinfo/community-list>
>
>
>
>
> _________________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> <mailto:Community-list at lists.vpsfree.cz>
> <Community-list at lists.vpsfree.cz>
> http://lists.vpsfree.cz/listinfo/community-list
> <http://lists.vpsfree.cz/listinfo/community-list>
> <http://lists.vpsfree.cz/listinfo/community-list>
>
> _________________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> <mailto:Community-list at lists.vpsfree.cz>
> <Community-list at lists.vpsfree.cz>
> http://lists.vpsfree.cz/listinfo/community-list
> <http://lists.vpsfree.cz/listinfo/community-list>
> <http://lists.vpsfree.cz/listinfo/community-list>
>
>
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> <mailto:Community-list at lists.vpsfree.cz> <Community-list at lists.vpsfree.cz>
> http://lists.vpsfree.cz/listinfo/community-list
> <http://lists.vpsfree.cz/listinfo/community-list>
> <http://lists.vpsfree.cz/listinfo/community-list>
>
>
>
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
>
>
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20180131/32b39564/attachment-0001.html>
More information about the Community-list
mailing list