Omkring 146 interne brugere hos Salling Group har i en periode haft direkte adgang til kunders personoplysninger samt brugernavne og adgangskoder.
Det skriver Datatilsynet i en ny afgørelse, der giver supermarked-giganten alvorlig kritik med på vejen.
Siden 2021 har Salling Group haft et monitoreringsværktøj til registrering af hændelser og events, som eksempelvis logins.
En menneskelig fejl forårsagede dog, at kunders password kom ind i systemet ukrypterede til frit skue for de interne brugere.
"Hvis denne adgang blev udnyttet, ville der kunne skaffes adgang til navn, adresse, mailadresse, telefonnummer og eventuelle maskerede betalingskortoplysninger og købshistorik for et antal af Salling Groups kunder," skriver Datatilsynet i sin afgørelse.
Datatilsynet giver ikke bare Salling Group alvorlig kritik med på vejen, men supplerer også afgørelsen med et påbud om at underrette de kunder, hvis password har været opbevaret ukrypterede i loggen.
Detail-giganten har fået en deadline til 1. august i år til at gøre dette.
