2024 年 8 月 12 日
西班牙数据保护机构 (AEPD) 在诉讼编号 PS/00238/2024 中发布了其决定,根据投诉,对 UNIQLO EUROPE LTD(UNIQLO)西班牙分公司因违反《通用数据保护条例》(GDPR)处以 450,000 欧元罚款,随后将罚款金额减至 270,000 欧元。
西班牙数据保护机构在 8 月 12 日的罚款通知中表示,这一不当行为源于 Uniqulo 西班牙分公司的一名人力资源代表错误地将近 450 名现任和前任员工的工资信息发送给了一名要求提供工资单副本的员工。
在该公司承认违规后,西班牙数据保护机构对罚款进行了 20% 的折扣,最初的罚款为 360,000 欧元(394,000 美元)。该公司最终违反了 GDPR 第 5、32 和 83 条。
AEPD 调查结果
AEPD 认为,UNIQLO与未经授权的第三方共享其员工个人数据,未能充分保证其个人数据的机密性和完整性,似乎违反了《GDPR》第 5(1)(f) 条。
此外,AEPD 发现,所提供的文件违反了 GDPR 第 32 条,因为未能采取适当的技术和组织措施,导致未经授权的第三方访问员工的个人数据。
特别是,AEPD 指出,所采取的措施必须与处理过程中涉及的风险相适应,并且UNIQLO有责任做出决策,有效实施适当的技术和组织措施,以保证与风险相适应的安全级别,确保数据的机密性,恢复数据的可用性,并在发生物理或技术事故时防止对数据的访问。
最后,AEPD 确认,员工在管理员工工资单方面的疏忽行为并不能免除UNIQLO的责任。
结果
鉴于上述情况,AEPD 命令优衣库采取技术和组织措施,保证其员工个人数据的安全,并处以初步罚款:
因违反《GDPR》第 5(1)(f) 条,罚款 30 万欧元;以及
因违反《GDPR》第 32 条,罚款 150,000 欧元。
由于UNIQLO自愿缴纳罚款并承认责任,罚款总额随后减至27万欧元。