17/5/2024
Incydent zdarzył się w firmie z branży gastronomicznej. Był prawidłowo zgłoszony. Firma miała analizy ryzyka i instrukcje, a pendrive miał się zgubić na terenie zakładu. UODO mimo wymierzył dość surową karę.
Nie gub dysków USB!
W Polsce każdego dnia dochodzi do incydentów, w których wyciekają dane osobowe Pana, Pani i Twoje też. Ale naprawdę rzadko są tak ogromne i dotkliwe wycieki jak ten z ALABu albo ten z Medily. Najczęściej zdarzają się incydenty raczej przyziemne – zgubienie pendrive’a lub dokumentacji papierowej, która dotyczyła kilkunastu lub zaledwie kilku osób. Wielu przedsiębiorców słysząc o tym pokiwa głową i powie “no tak, to się zdarza, ale przecież nie dostaniesz za to bardzo wysokiej kary“. O tym jak błędne jest takie myślenie świadczy decyzja Urzędu Ochrony Danych Osobowych z dnia 29 kwietnia 2024 r (DKN.5131.29.2023). Decyzja ta dotyczy firmy Res-Gastro M. Gaweł Sp. k., która dostała karę w wysokości 238 345 zł właśnie za zgubienie pendrive’a.
Incydent zgłoszony, nawet papiery na to były
Firma Res-Gastro sama (!) zgłosiła zgubienie nośnika do UODO. Na nośniku znajdowały się:
- niezaszyfrowane pliki z danymi osobowymi jednego pracownika (imię, nazwisko, pesel, adres zamieszkania, obywatelstwo, data urodzenia, dane paszportu, numeru telefonu, adres e-mail, zdjęcie pracownika i dane dotyczące zarobków;
- zaszyfrowane pliki z danymi finansowymi.
Ależ to pech! Ogólnie szyfrowali dane, ale coś poszło nie tak… Nie pomogło, że firma sama zgłosiła incydent, że przekazała do UODO dokumenty — instrukcje dla pracowników, potwierdzenie przeprowadzenia monitoringu procedur z zakresu RODO, rejestr, kopię maila z informacjami o zabezpieczeniach nośników i analizę ryzyka. Nie pomogło pokazanie, że obowiązki RODO traktuje się w tej firmie poważnie. Prezes UODO postanowił wszcząć postępowanie w tej sprawie i zażądał od firmy dodatkowych informacji. Spytał m.in. czy oprócz ogólnej instrukcji wdrożono w firmie konkretną procedurę szyfrowania oraz czy pracownik posiadał zgodę na skopiowanie tych danych.
Administrator odpowiedział, że owszem — instrukcja była, upoważnienie było, zgoda była. W kolejnych wyjaśnieniach administrator dodał, że pendrive nie został zgubiony w miejscu publicznym lecz na terenie zakładu pracy, w części, do której dostęp mają wyłącznie pracownicy. Wydaje się, że to nie jest sprawa na 240 tys. kary. UODO przeanalizował przekazane dokumenty i doszedł do wniosku, że np. analiza ryzyka w ogóle nie przewidywała możliwości wystąpienia zdarzenia polegającego na zagubieniu zewnętrznego nośnika danych przez pracownika (choć przewidziano możliwość włamania). Z tego płynie pierwsza nauczka. Analiza powinna naprawdę analizować ryzyko, a nie tylko być. UODO miał też zastrzeżenia co do “instrukcji szyfrowania”.
Dostęp do filmiku to za mało…
Administrator (…) przygotował odrębną instrukcję objaśniającą, w jaki sposób szyfrować pliki na pendrive oraz jakiego programu do tego celu użyć i przekazał link, pod którym można zapoznać się z ww. instrukcją (sporządzoną w formie filmu instruktażowego). Przedmiotowy film instruktażowy wyjaśnia, w jaki sposób, za pomocą programu (…) zaszyfrować prezentowane w materiale pliki z danymi. Biorąc pod uwagę zastosowaną przez Administratora formę (film instruktażowy) (…) ie jest możliwe dokonanie jego rzetelnej oceny pod kątem skuteczności i realnie pozyskanej wiedzy i umiejętności pracowników w omawianym zakresie (brak następczych czynności sprawdzających zapoznanie się pracowników Administratora z materiałem).
Dlatego UODO uznał, że administrator de facto “przerzucił na swoich pracowników wdrożenie środków bezpieczeństwa w postaci szyfrowania zewnętrznych nośników“. Nie wystarczy kazać pracownikom stosować się do procedur. Trzeba się upewnić, że je znają i potrafią stosować. UODO powołał się przy tym na na wyrok WSA w Warszawie z dnia 15 lutego 2022 roku (sygn. akt II SA/Wa 3309/21) w którym stwierdzono, że “pracownik może nie posiadać w tym zakresie odpowiedniej wiedzy“, a także że “pracownik nie może zastąpić administratora w wykonywaniu jego obowiązków“.
Nie mierzono, nie sprawdzano, nie oceniano
UODO nie miał też pewności czy pendrive rzeczywiście zgubił się na terenie firmy. Przyjęto tak jedynie na podstawie wyjaśnień pracownika, a potem przy sprzątaniu i dodatkowych poszukiwaniach nikt tego nośnika nie odnalazł. Należy założyć, że mógł być wyniesiony na zewnątrz. Nie każdy pracownik miał upoważnienie do przetwarzania danych więc pendrive i tak mógł wpaść w ręce osoby niepowołanej. Zdaniem UODO firma nie dopełniła obowiązku regularnego mierzenia, testowania i oceniania skuteczności zastosowanych środków bezpieczeństwa. Nie chodzi tylko o to, aby napisać procedurę, która stwierdza jak ma być. Trzeba te procedury przeglądać i sprawdzać czy działają. Grupa pracowników, której mogła dotyczyć ta sprawa była stosunkowo wąska. Zdaniem UODO można było zrobić więcej.
Nie jest to to pierwszy raz, gdy widzimy stosunkowo wysoką karę UODO za zgubienie danych tylko jednej osoby, natomiast do tej pory takie kary w większości dotyczyły niezgłoszenia incydentu (kara dla Esselmann Technika Pojazdowa to dobry przykład). W tym przypadku zgłoszenie było, upoważnienia były, instrukcje były, analizy były. Ta decyzja może być uznana za sygnał, że choć “RODO lubi papier” to po incydencie może się okazać, że same papiery nie wystarczą…
Co robić, jak żyć?
Sprawdźcie swoje analizy ryzyka. Czy przewidują zgubienie dokumentów. Zweryfikujcie też, czy Wasi pracownicy, którzy mają dostęp do danych osobowych zostali odpowiednio przeszkoleni (a ich wiedza z tego zakresu została zweryfikowana) — jeśli nie, to dajcie znać na 12-44-202-44 lub szkolenia@niebezpiecznik.pl — możemy Wam udostępnić odpowiednią platformę, na której Wasi pracownicy przerobią szkolenie dot. ochrony danych osobowych (w tym ich zabezpieczania przed wyciekiem i szyfrowania) a potem będą musieli tę wiedzę potwierdzić w teście. Będzie dowód na to, że szkoliliście a wiedza została przekazana skutecznie.
A jeśli nie lubicie elearningu i wolicie, żebyśmy zrobili pierwszy życiu Waszej firmy wykład o RODO na którym nie uśniecie, to rzućcie okiem tutaj — bo właśnie ruszamy w Polskę i możemy do Was z tym wykładem podjechać.
Weź udział z kolegami w jednym z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te krótkie szkolenia! Niektóre z nich są darmowe. Wszystkie to praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy.
To ja mam chyba trudne pytanie. Po co administrator danych ma cokolwiek zgłaszać, skoro i tak płaci się ćwierć miliona?
Żeby się nie zrobił milion?
@Admin – ale zes wymyslil odpowiedz ;) To moze dawajmy kary wielomilionowe po to, zeby oplacalo sie dostac kary w setkach tysiecy? :)
Pitu pitu. Pójdą do sądu i albo sąd każe UOKIK przeanalizować to jeszcze raz z głową, albo w ogóle anulują tę karę. W ogóle świetna lekcja dla januszy biznesu – skoro zgłaszasz, wdrażasz procesy z należytą w Twojej opinii starannością, a i tak kara zwala z nóg, to może lepiej w ogóle nie zgłaszać incydentów?
Kara nie była za zgubienie, tylko niewłaściwe procedury i analizę ryzyka.
I nie wystarczy, że Swojej opinii dochowujesz należytej staranności, bo możesz mieć za niskie wymagania co do tej staranności.
Taka kara na zachętę dla innych, żeby zgłaszali uczciwie i rzetelnie incydenty :/
W praktyce to bardzo zła reakcja PUODO, godna raczej poprzednika :) Administrator przeprowadził analizę ryzyka, ale miał w niej braki. PUODO powinien wezwać administratora do jej uzupełnienia a ostatecznie powinien odstąpić od kary biorąc pod uwagę dobrą postawę administratora (sam się zgłosił). Teraz już nikt się sam nie zgłosi.
To jest kpina. Pomijam już sam fakt, że nacisk na „ochronę danych” akcentowany jest w złym miejscu, to mamy niesamowitą nierówność w traktowaniu podmiotów. Policjant gubi notes z danymi osobowymi – nic się nie stało. Policja używa nieszyfrowanej transmisji do komunikacji, gdzie podają dane osobowe w czasie interwencji – nic się nie stało. Serwis Administracji Państwowej udostępnia dane osobowe – takie są przepisy. No ale jak będzie można „wykazać się” wlepiając horendalną karę to w urzędzie orgazm. Sprawa później trafi do sądu, gdzie będzie przepychana, odracza i zwracana do ponownego rozpatrzenia przez następne 10 lat. Oczywiście za ten cyrk zapłacimy my – podatnicy. PS. Najsmieszniejsze jest to, że wprowadzenie RODO, poza nową gałęzią biznesu, nie zmieniło dosłownie nic. UODO jest totalnie nieskuteczny jeśli chodzi o respektowanie prawa pod kontem nielegalnego wykorzystywania rejestrów danych osobowych i prowadzenia na ich podstawie nielegalnych akcji marketingowych. Jedyne czym się chce wykazać to tego typu akcje, z których płynie jedna smutna lekcja – nie zgłaszaj incydentów. Jeśli nie zgłosisz masz szanse uniknąć kary, jeśli zgłosisz, mimo wcześniejszych starań, jest ona pewna.
Że już nie wspomnę o pewnym owocowym sklepie, który za “zgubienie” danych osobowych (wśród których znajdowały się nawet skany dowodów osobistych) 2,2 mln swoich klientów, dostał raptem 3 mln zł kary (czyli nieco ponad 1 zł za łeb) od której się odwołał, wygrał, wskutek czego UODO jeszcze musiało zapłacić 65 tys. kosztów sądowych.
Na początku tego roku została nałożona kolejna kara (3,8 mln, czyli po niecałe 2 zł za łeb), ale co dzieje się w tej sprawie chyba nie wiadomo…
Nie znam szczegółów, bo może w wyniku zgubienia/kradzieży tych danych doszło do jakiejś poważnej straty dla tej osoby poszkodowanej (kradzież tożsamości, wyłudzenie kredytu itp.). Ale na podstawie tego co zostało przedstawione, UODO zadziałało trochę tak jak robi to US, szukało pretekstu aby “dowalić” firmie.
“może w wyniku zgubienia/kradzieży tych danych doszło do jakiejś poważnej straty dla tej osoby poszkodowanej (kradzież tożsamości, wyłudzenie kredytu itp.)”
Wśród zgubionych danych były dane paszportu, czyli prawie na pewno nie był to Polak, tylko… a, nie będę sugerował narodowości, ale chyba łatwo się domyślić o jaką może chodzić;]
W jaki sposób w ogóle skalkulowano te karę? Jak zgubienie danych 1 osoby może być wycenione na 240 tys.? Kto w ogóle odpowiada za te bzdurę?!
Czyli szyfrowanie Pendraka trzeba powierzyć programowi Veracrypt albo modułowi Bitlocker, żeby szyfrowane były całe partycje, a nie same pliki.
Nihil Novi Sub Sole, tylko jak panią Kasię z HR czy panią Basię z księgowości nauczyć szyfrowania Veracrypt?
xD
Albo stosować obrożę na kłódkę, do przytwierdzenia Pendraka, żeby był stale podłączony do użyszkodnika, w sposób skutecznie utrudniający zgubienie.
xD
Pozdro
A jaka byłaby “właściwa” analiza ryzyka?
Może niech UODO opublikuje wzorcową? Np. z wyliczanką w stylu:
a) zgubienie pena:
– na terenie firmy,
– w domu,
– w samochodzie służbowym,
– w samochodzie niesłużbowym,
– w MakDonaldzie,
– w KejEfSi.
– …
b) wpadnięcie pena do kibla:
– w firmie,
– poza firmą.
c) zjedzenie pendrive-a przez:
– kota,
– psa,
– chomika,
– kapibarę,
– …
Będzie tak jak na maturze, że lepiej napisać więcej niż mniej, bo większa szansa, że trafi się w klucz odpowiedzi.
Zniszczyli ideę. Żeby choć 1% “zysków” UODO poszedł na służby, które mają przeciwdziałać przestępczości z wykorzystaniem nielegalnie pozyskanych danych. Tymczasem oni się dobrze bawią, pewnie jeszcze dostając premie od skuteczności i tyle.
Na szkoleniu z RODO dowiedziałem się, że “ustawodawca europejski specjalnie nie uszczegółowił dobrych praktyk, pozostawiając to do oceny administratora sieci” – tyle, że potem przychodzi kontrola i ma inne zdanie od admina… Dowiedziałem się też, że od lat jest torpedowany projekt “Kodeksu dobrych praktyk RODO dla małych i średnich przedsiębiorstw” – właśnie po to, by te przedsiębiorstwa nie mogły się powoływać na kodeks, gdy kontrola ma inne zdanie… :-))))
Zadam do tego pytania:
1) na jakiej podstawie przetwarzano dane paszportu, gdy pracownik miał PESEL?
2) Na jakiej podstawie przetwarzano biometryczne zdjęcie pracownika?
Myślę, że to dobra kara. Taką samą powinni dostać lekarze montujący (lub pozwalający na zamontowanie) kamery w ich gabinecie zabiegowym, oraz ci którzy nie wynoszą smartfona z gabinetu na czas wywiadu medycznego.
Szkoda tylko, że UODO nic nie robi, gdy już żadania na stronie zawierają zbyt wiele danych. Np. strony wielu uczelni, żadania pracodawców zawierające nawet pytanie o nazwisko rodowe matki…
Na takiej “znafco”, że MUSI być podany dowód tożsamości, na podstawie której tą tożsamość ustalono i mniemam, że to był pewnie Ukrainiec (dlatego paszport), któremu PiS nadał PESEL, ale na szczęście nie nadał obywatelstwa i dowodu osobistego. Na takiej podstawie zdjęcia, że było w paszporcie i na podstawie ogólnie znanej “wiarygodności” dokumentów z Ukrainy (dyplom nawigatora i ukończenie wyższej szkoły morskiej w Odessie zeszłego lata kosztował 3600$…) każdy woli Ukraińca identyfikować po zdjęciu a nie po dokumencie z Ukrainy… Moje koleżanka jest dyrektorką technikum – gdy PiS wprowadził uznawanie dyplomów i uprawnień z Ukrainy bez nostryfikacji, po pierwszej klasie jej ukraińscy uczniowie wrócili z wakacji z Ukrainy z maturami i oświadczyli, że nie zamierzają marnować następnych 4 lat na chodzenie do technikum… Wystarczy za odpowiedź?
Józefie, właśnie popełniłeś podstawowy błąd. Możliwość spojrzenia na czyjś dowód osobisty lub paszport nie daje ci prawa do spisywania z niego dodatkowych danych. Wymyślając taki powód i spisując te dane złamałeś przepisy RODO.
Dowód wolno ci w takiej sytuacji tylko obejrzeć i na tym kończy się przetwarzanie danych z niego.
Co zaś do reszty też nie masz racji. Jeżeli ukrainiec ma PESEL, to nie możesz gromadzić numeru paszportu ani numeru dowodu. Ukraińcom bez problemu wydają polskie dokumenty tożsamości – możesz więc nie identyfikować go po paszporcie, ale po dowodzie osobistym i nie masz prawa do zachowywania kopii tego zdjęcia. Jest to nadmierne przetwarzanie danych osobowych.
@Valkyria – ale rozumiesz, że mógł nie mieć DO?
@Valkyria – czy przeczytałeś tekst? Kara nie była za brak podstaw do przetwarzania danych.
@WsX, przecież kara jest za cały incydent. W tym przypadku za zgubienie określonego zbioru danych, który i tak został zebrany bezprawnie (PESEL + paszport / PESEL + numer dowodu, biometria). Nie łudź się, że UODO nie zauważył, że biometria i numery dokumentów zostały zebranie bezpodstawnie (zgoda pracownika nigdy nie jest dobrowolna).
Tą karę (i każdą inną od UODO) należy rozpatrywać w całości, a nie za sam incydent zgubienia / upublicznienia. To jest suma za wszystko, czego doszukał się UODO, a nie musiał wcale tego nazywać nadmiernym. wystarczy, że wylistował (a zrobił to, skoro wiemy co było na tym pendrajwie).
Brawo UODO, że po 3 latach w końcu zaczęliście się budzić z amoku.
@Valkyria, pracodawca musi przetwarzać numer dowodu/paszportu pracownika choćby po to, żeby móc go zgłosić do ZUS. Na formularzu ZUS-ZUA należy wpisać rodzaj dokumentu i jego numer i serię, a PESEL tylko wtedy, gdy został nadany.
@Yakhub, nie jest to prawda. Te pola są opcjonalne i są wypełniane w ZUS ZUA tylko gdy pracownik nie posiada numeru PESEL. Zawsze pozostawiam je puste i jakoś ZUS mnie nie nie ściga za to, że takie pozostają. Co więcej daty urodzenia i pola płci też nie wypełniam i problemów nie ma (płeć i data urodzenia zawarte są w PESELu).
Dla mnie z tego jest oczywisty wniosek. Urząd pokazał, że nie wolno nic zgłaszać, póki nie jest się szczelnym, co jest praktycznie niemożliwe, bo ludzie nie są idealni i pomimo procedur oraz profesjonalizmu popełniają błędy. Wystarczy spojrzeć na lotnictwo, gdzie za błędy płaci się życiem swoim i pasażerów i… dlaczego tam funkcjonuje Safety Kulture? Czyli należy zatajać i utrudniać dojście do prawdy, a w ostateczności – chyba lepiej zacząć kombinować, jak za starych lat…
Nie będę polemizował z osobami usprawiedliwiającymi urzędników. Mówię tu o ludzkiej naturze i nienaiwnym założeniu, że nie ma ludzi idealnych.
Problem z nadmiarowym drążeniem danych, takich jak biometryczne wizerunki i numer dowodu/paszportu/książeczki wojskowej w przypadku osób posiadających PESEL oraz nazwisk rodowych matki jest tak stary, że powinien w końcu zostać skutecznie wykorzeniony. UODO postąpił bardzo dobrze, skoro pracodawca d©ążył dane pracownika.
Poradników o niezbieraniu powyższych danych jest pełno w sieci za darmo. Nawet to nie trafia do zakutych łbów haerowców.
Rozumiem że kara idzie do pokrzywdzonego a nie do urzędu?
Mnie rozbawiło stanowisko UODO, że administrator de facto “przerzucił na swoich pracowników wdrożenie środków bezpieczeństwa”. Przecież tak samo przerzucają odpowiedzialność na firmy zamiast stworzyć wzorcowy schemat bezpieczeństwa.
Kary za wyciek danych niekoniecznie muszą być wysokie. Wysokie kary powinny być przede wszystkim za nielegalne wykorzystanie danych osobowych. Gdyby bank udzielający kredytu na wycieknięte dane był surowo karany (sprzedawca i koniecznie zarząd banku, oraz wyłudzający) wówczas nie opłacało się używać cudzycj danych i wycieki byłyby mniej groźne.
Amen. Ale żeby się wzięli też za szpiegusie (smartfony i inny szmelc od Apple i Google). Tamtędy płynie jeszcze więcej danych niż na formularzach.
1. Jaki szyfr jest zgodny ze standardami UODO?
2. Czy należy zgłaszać incydent polegający na zagubieniu zaszyfrowanego urządzenia?
Polecam PKI (ElGamal, Rabin, RSA) z odpowiednim kluczem czyli 2048+ kbit długości.
I nie tyle zgodny z RODO, ale uniemożliwiający zapoznanie się z treścią danych w dobie superkomputerów – te są wynajmowane przez firmy, dostarczana jest AI itp. Więc nie należy brać czasu łamania szyfru na własnym komputerze, ale na takim, który jest obecnie dostępny za pieniądze (chodzi o całe klastry).
No i należy się upewniać że kopia zapasowa jest cała zaszyfrowana a nie cała poza jednym plikiem.
BTW. Tak jak wyżej opisałam powinny być szyfrowane dane medyczne. Niestety najczęściej nie są w ogóle szyfrowane (poza stosowaniem https, które jest jak pokazuje praktyka – słabym szyfrowaniem jedynie na etapie przesyłu a nie składowania).
Incydenty przestaną być zgłaszane po takich karach i będzie miało to dokładnie przeciwny skutek do zamierzonego. Ludzie będą ukrywać różne incydenty i naruszenia bezpieczeństwa i wcale się im nie dziwię.
Skoro państwo chce mieć w to jakiś wgląd aby reagować na zagrożenia to karanie kogoś chyba do tego nie prowadzi. Może zamiast kary wykonać analizę problemu wydać rozsądne i wykonalne zalecenia (nie jakieś wyssane z palca tomy bzdetów) a potem upewnić się, że firma wdroży rozwiązania wskazane przez urząd. Dopiero kiedy problem się powtarza a zalecenia nie są stosowane można myśleć o jakiejś formie dodatkowej motywacji.
Co za bzdury, a za podpalanie smieci to ile? Czy to czasem nie jest pisowski intereses na koniec ?
Taka kara zachęca innych przetwarzających dane do zatajania takich incydentów. Dla urzędu ważniejsza jest jak widać maksymalizacja wpływów z kar a nie maksymalizacja stosowania RODO.
Powinni poczekać ze zgłoszeniem tak długo aż znajdą tego rzekomo zagubionego pendrivea – albo mogli zgłosić kradzież. Jak nie znaleźli zgubionego to może wcale nie był zgubiony tylko nadal wpięty w jakimś starym nazistowskim magazynie do jakiegoś włączonego komputera w skrzyni archeologicznej.
Promocja usług cloudowych w Polsce weszła na inny poziom xD Gwoli wyjaśnienia, za wyciek danych z serwisu typu Dropbox odpowiada Dropbox, a nie przedsiębiorca i nie ma możliwości zgubienia pendrive’a, u niektórych (jak nie u wszystkich, nie rozeznawałem się w temacie) szyfrowanie at-rest jest w standardzie, szyfrowanie in-transit na pewno jest. I to kosztuje 20 zł miesięcznie, a nie, że się ryzykuje karami po ćwierć bani
no i widać w KOGO jest wymierzone te całe RODO. w małego. małego. bo dużemu mogą nafiukać. co z ALab? ile milionów kary dostali? ile setek milionów dostaną.
wniosek -NIC mafii nie zgłaszać bo to ‘państwo’ to organizacja mafijna. bo prawdziwe państwo dba o Obywatela a to coś dba o swoje żarło a dużych , swojaków karami nie ruszy
Całe to RODO to jest biznes wymyślony przez prawników do czesania biznesu. Nikogo przed niczym nie zabezpiecza, ale stado doradców czesze grubą kasę. Co jakiś czas walną taką grubszą aferę żeby towarzystwo postraszyć i biznes się kręci. Jednocześnie zarabiają firmy ubezpieczeniowe które sprzedają “cyberpolisy” mające uchronić przed odpowiedzialnością za incydenty. Rozumiem troskę o prywatność, ale coś tu poszło za daleko…
No to poszedł w świat sygnał żeby przed zgłaszaniem jakiegokolwiek incydentu najpierw 100 razy zastanowić się czy nie da się tego zatuszować
A to kara nie nie zależy od tego, kogo karzemy?
https://gfplegal.pl/blog/2023/02/22/nowa-kara-pieniezna-nalozona-przez-puodo/
Wtedy też było “UODO jednak zauważa, że zgodnie z obowiązującymi u administratora dokumentami, obowiązek zabezpieczenia nośników spoczywa na użytkownikach. Zdaniem UODO takie podejście jest niewłaściwe.”
:)
przepisy jak zawsze oderwane od rzeczywistości. Jak się czyta o takich przypadkach to ręce opadają.
Jestem pewien, że firma pluje sobie w brodę, że w ogóle zgłosiła ten incydent :)