De internationale kledingketen Uniqlo heeft van de Spaanse privacytoezichthouder wegens een datalek met de salarisgegevens van honderden medewerkers een AVG-boete van 270.000 euro gekregen. Een medewerker mailde in juli 2022 de HR-afdeling met een verzoek om zijn salarisgegevens. De medewerker ontving vervolgens een pdf-bestand met zijn naam, burgerservicenummer, identificatienummer, bankrekeningnummer en salarisgegevens van de maand, alsmede deze informatie van 446 andere medewerkers die onbedoeld was toegevoegd.

Vorig jaar april diende de medewerker een klacht in bij de Spaanse privacytoezichthouder AEPD. Volgens Uniqlo was het datalek het gevolg van een menselijke fout door een HR-medewerker. Daarnaast werd het datalek niet gerapporteerd door de verantwoordelijke medewerker. Het bedrijf kwam pas achter het datalek nadat het over de klacht was ingelicht. Vorig jaar mei werden alle getroffen medewerkers over datalek geïnformeerd.

De Spaanse privacytoezichthouder deed onderzoek naar het datalek en ontdekte dat Uniqlo geen privacyonderzoek of risicoanalyse naar de salarisadministratie had uitgevoerd. Daarnaast waren er geen organisatorische en technische maatregelen genomen om de salarisgegevens van medewerkers tegen ongeautoriseerde toegang te beschermen. Vanwege de inadequate beveiligingsmaatregelen en het daaruit volgende datalek kwam de AEPD uit op een boete van in totaal 450.000 euro.

Bij dergelijke boetes biedt Spaanse wetgeving bedrijven en organisaties de mogelijkheid om korting te krijgen als men verantwoordelijkheid neemt en de voorgestelde boete betaalt. Elke optie verlaagt de boete met twintig procent. Door zowel de fout te erkennen als de verlaagde boete te betalen kwam de boete voor Uniqlo uiteindelijk uit op 270.000 euro (pdf).