Saken gjelder et tilfelle der en butikkjede gikk konkurs og de ansatte trengte å dokumentere hvilke timer de hadde jobbet. Selskapet Timegrip hadde vært databehandler for butikkjeden frem til konkursen, og satt på disse dataene. De ville imidlertid ikke gi dataene til hverken konkursboet eller de ansatte selv.

Alle har rett til innsyn i egne personopplysninger. Det er en grunnleggende rettighet i personvernregelverket. I dette tilfellet hadde innsynsretten mye å si, siden det var snakk om 80 ansatte som ikke hadde fått lønn for arbeidet sitt.

Datatilsynet legger til grunn at Timegrip hadde innrettet seg på en slik måte at det bare var de som bestemte over personopplysningene. Dermed ble Timegrip i praksis også behandlingsansvarlig. Videre fantes det ikke et gyldig grunnlag for å avslå innsynskravet fra de ansatte. Datatilsynet mener derfor dette var et brudd på innsynsretten og er grunnen til at selskapet fikk et overtredelsesgebyr.

Bakgrunn

Saken begynte med en klage til Datatilsynet. Klageren var ansatt i en butikkjede som brukte Timegrip som leverandør av timeføringssystem for de ansatte. Timegrip behandlet derfor opplysninger om de ansattes inn- og utstemplinger på vegne av butikkjeden. Da butikkjeden gikk konkurs, måtte klageren dokumentere kravet sitt om ubetalt lønn overfor konkursboet. Klageren ba derfor Timegrip om en kopi av timeføringen sin for perioden han ikke hadde fått lønn for.

Timegrip ville hverken gi opplysningene til konkursboet eller klager. Selskapet mente at det ikke lenger fantes en behandlingsansvarlig da butikkjeden gikk konkurs. Av den grunn mente selskapet videre at det ikke kunne gi personopplysningene til konkursboet – med mindre konkursboet betalte Timegrip.

Det er den behandlingsansvarlige som har plikt til å gi innsyn til registrerte personer. Ovenfor klageren sa Timegrip at fordi selskapet bare var en databehandler, hadde ikke selskapet noen plikt til å gi klageren en kopi av timeføringen . Timegrip mente også at selskapet ikke hadde rett til å gi klageren en kopi fordi en databehandler bare kan behandle personopplysninger med grunnlag i en instruks fra den behandlingsansvarlige. Siden den behandlingsansvarlige butikkjeden hadde gått konkurs, påstod Timegrip at det ikke var noen som kunne gi dem en slik instruks.

Vår vurdering

I vedtaket har vi slått fast at det alltid skal finnes en som er ansvarlig for behandlingen av personopplysninger. Det skal ikke være mulig at det oppstår en situasjon hvor det bare finnes en databehandler og ingen behandlingsansvarlig.

I vurderingen av hvem som var behandlingsansvarlig, la vi til grunn at vi måtte se på de faktiske omstendighetene i saken. Timegrip fortsatte å lagre opplysningene om klagerens inn- og utstemplinger og hadde gjentatte ganger nektet konkursboet tilgang til disse personopplysningene. I tillegg var det Timegrip som fattet beslutninger om essensielle aspekter ved behandlingen, slik som hva opplysningene kunne brukes til, lagringstid og hvem som kunne få tilgang til personopplysningene. Det var med andre ord klart at det var Timegrip som utøvde den reelle kontrollen med personopplysningene.

Siden Timegrip var å anse som behandlingsansvarlig og ikke hadde grunnlag til å avslå forespørselen om innsyn, konkluderte Datatilsynet med at Timegrip brøt personvernforordningen artikkel 15 nr. 1 og 3.

Datatilsynet mente at det var riktig å ilegge overtredelsesgebyr som følge av bruddet. I den forbindelse la vi vekt på Timegrip avslo innsynsforespørsler fra 80 ulike enkeltpersoner, og at Timegrip var klar over at de var i en sårbar situasjon og avhengige av timelistene for å dokumentere lønnskravene sine. Det var også skjerpende at overtredelsen ble begått forsettlig. Samtidig forelå det også noen formildende omstendigheter, blant annet at situasjonen var uoversiktlig for Timegrip.

Lurt å regulere i avtalen

Denne saken viser at konkurssituasjoner kan føre til uklare ansvarsforhold. Virksomheter kan forholde seg til behandlingsansvaret ved konkurs på ulike måter. For eksempel kan det tenkes at konkursboet fikk råderett til å bestemme over personopplysningene.

Det kan være lurt for virksomheter å tenke gjennom og avtale på forhånd hvordan de ønsker å innrette seg ved konkurser. Dette kan med fordel inntas i databehandleravtalen.

Uansett er behandlingsansvarlig et funksjonelt begrep. Det vil si at den behandlingsansvarlige er den som reelt sett utøver kontroll over personopplysningene og som angir formålene og midlene med behandlingen. Den avtalte ansvarsordningen på papir er av underordnet betydning dersom de faktiske forholdene avviker fra dette.

Last ned

Vedtak om ileggelse av overtredelsesgebyr til Timegrip AS (pdf).