最终决定日期:2024 年 8 月 12 日
控制者:UNIQLO EUROPE, LTD.(西班牙分公司)
案件背景
本案投诉人因被解雇,要求查看其 2022 年 7 月的工资单。在回应请求时, UNIQLO 的数据管理方误将包含其工资单和 446 名其他员工工资信息的 PDF 文件通过电子邮件发送给投诉人。
调查过程
调查结果显示, UNIQLO 违反了GDPR第 5.1.f 条规定,未能有效确保员工数据的机密性和完整性,导致数据泄露给未经授权的第三方。根据 GDPR 的要求,数据的机密性和完整性应旨在防止未经数据主体同意的数据泄露。
此外, UNIQLO 还违反了 GDPR第 32.1 条的规定,未能采取合适的技术和组织措施来保障数据安全。
UNIQLO 声称其采取了一些技术和管理措施来保护信息系统的安全,但这些措施显然不足以防止本次事件的发生。在事发后, UNIQLO 采取了一些补救措施,如:允许离职员工在合同终止后 60 天内访问工资单、人力资源部门重新审查工资流程,以及重新设计相关内部流程。然而,这些事后措施不能作为衡量其在事件中责任的依据。
尽管此次数据泄露涉及到员工的疏忽操作,但 UNIQLO 仍需承担责任。西班牙最高法院的判例已明确,企业需为员工因疏忽而导致的违反数据保护规定的行为承担责任。
最终裁定
西班牙数据保护机构 AEPD 因此次违规事件对 UNIQLO 处以 45 万欧元的罚款。然而,根据西班牙法律,如果企业自愿缴纳罚款并承认其责任,则可将罚款金额减至 27 万欧元。
扫二维码联系专业客服
