Datatilsynet anser att det finns skäl att framföra allvarlig kritik mot att Salling Group A/S behandling av personuppgifter inte har skett i enlighet med reglerna i dataskyddsförordningen (GDPR).
Av beslutet framgår att Salling Group använder en gemensam inloggning, genom en Salling Group-profil, så att användarnamn och lösenord kan användas på alla de tjänster där Salling Group-profilen ger tillgång, inklusive Føtex, Bilkas, Nettos, Sallings och Carl Juniors hemsidor.
Under 2021 implementerade Salling Group ett övervakningsverktyg för att registrera incidenter och händelser, inklusive inloggningar, på koncernens webbplatser. På grund av ett mänskligt fel krypterades inte kundernas lösenord innan de lagrades i systemets loggfil när kunderna loggade in på webbplatsen hjem.foetex.dk. Som ett resultat av detta fick upp till 146 interna användare i Salling Group teknisk tillgång att läsa både användarnamn och lösenord för ett antal kunder som hade loggat in på hemsidan. Om tillgången användes skulle det vara möjligt att få tillgång till namn, adress, mailadress, telefonnummer samt eventuella maskerade betalkortsuppgifter och köphistorik för ett antal av Salling Groups kunder.
Datatilsynet anser att personuppgifter i form av lösenord ska behandlas på ett sätt som säkerställer tillräcklig säkerhet för de aktuella personuppgifterna, inklusive skydd mot obehörig åtkomst och behandling. Lösenord ska därför alltid lagras i oåterkalleligt krypterad form och på ett sätt som säkerställer att dessa inte är omedelbart läsbara och att det inte går att återskapa lösenordet i ett läsbart format. Att lagra lösenord i ett läsbart format i en loggfil uppfyller inte enligt Datatilsynets uppfattning kraven i artikel 32.1 GDPR.
Datatilsynet anser att lösenord som kan läsas eller lagras i klartext kan bli föremål för missbruk. Dessutom anser Datatilsynet att det är ett känt riskscenario att komprometterandet av handelsplattformar och loggningsinformation på dessa ofta görs till föremål för externa attacker eller att intern åtkomst används omotiverat. Det är därför Datatilsynets bedömning att denna risk för de registrerade är relativt hög.
Datatilsynet anser att kravet på adekvat säkerhet normalt kommer att innebära att det i system med konfidentiell information om ett stort antal användare måste ställas högre krav på den personuppgiftsansvariges noggrannhet med att säkerställa att det inte finns någon obehörig åtkomst till personuppgifter, att ett förfarande genomförs för regelbunden testning, bedömning och utvärdering av effektiviteten av de tekniska och organisatoriska åtgärderna för att säkerställa behandlingssäkerheten och att den personuppgiftsansvarige säkerställer att uppgifter om registrerade, inklusive konfidentiell information, kommer inte till obehöriga personers kännedom.
Utifrån ovanstående finner Datatilsynet att Salling Group, genom att samla in och lagra kunders lösenord i loggen för företagets övervakningsverktyg utan att dessa är krypterade, inte har vidtagit lämpliga organisatoriska och tekniska åtgärder för att säkerställa en säkerhetsnivå som passar de risker som finns i företagets behandling av personuppgifter.
Datatilsynet finner därför att det finns skäl att framföra allvarlig kritik mot att Salling Groups behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32.1 GPDR.
Datatilsynet ger även Salling Group i uppdrag att före den 1 augusti 2022 meddela de kunder vars lösenord har lagrats okrypterat i loggen för övervakningsverktyget och därmed varit tillgängliga för upp till 146 av Salling Groups anställda.