Amendă administrativă în valoare de 270 000 euro aplicată de către Autoritatea Spaniolă pentru Protecția Datelor companiei UNIQLO EUROPE, LTD pentru încălcarea articolului 5.1(f) și 32 din GDPR
Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenda administrativă în valoare de 270 000 euro aplicată de către Autoritatea Spaniolă pentru Protecția Datelor companiei UNIQLO EUROPE, LTD pentru încălcarea articolului 5 Principii legate de prelucrarea datelor cu caracter personal și 32 Securitatea prelucrării din GDPR.
Reclamantul din acest caz, al cărui contract de muncă fusese reziliat, a solicitat acces la informațiile privind salariul său pentru luna iulie 2022. Urmare a solicitării, operatorul a transmis reclamantului un e-mail care conținea un document PDF atașat cu salariul său și cel al altor 446 de lucrători din cadrul companiei.
Documentația din dosar oferă indicii clare că UNIQLO a încălcat articolul 5.1.f) din GDPR, prin faptul că nu a garantat în mod corespunzător confidențialitatea și integritatea datelor cu caracter personal ale angajaților săi, care au fost aduse la cunoștința unei părți terțe neautorizate. Această obligație de confidențialitate și integritate trebuie înțeleasă ca având drept scop de a preveni scurgerile de date care nu sunt consimțite de subiectul de date.
Totodată, au fost încălcate prevederile articolului 32 alineatul (1) din GDPR, din cauza neadoptării măsurilor tehnice și organizatorice adecvate. UNIQLO EUROPE, LTD justifică o serie de măsuri tehnice și organizatorice pentru a asigura securitatea și confidențialitatea sistemelor sale informaționale. Aceste măsuri, însă, nu au fost adecvate pentru a evita faptele care fac obiectul plângerii. Au fost furnizate o serie de măsuri adoptate ulterior, cum ar fi permiterea accesului foștilor angajați la salariile lor pentru o perioadă de 60 de zile de la încetarea contractului sau revizuirea procesului de salarizare de către departamentul de resurse umane, precum și reproiectarea protocoalelor interne ale respectivului departament. Aceste măsuri nu pot fi luate în considerare în scopul evaluării responsabilității companiei pentru acest incident.
În acest context, Autoritatea Spaniolă pentru Protecția Datelor a impus companiei UNIQLO EUROPE, LTD o amendă totală de 450 000 de euro pentru încălcarea prevederilor legale menționate supra, care a fost redusă la 270 000 de euro, în baza prevederilor legislației naționale, care permit o reducere a cuantumului amenzii atunci când un operator achită voluntar amenda și își recunoaște responsabilitatea pentru încălcare.
CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și de a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt conforme legislației în vigoare.