LOGG INN
MIN SIDE
LOGG UT
BLI ABONNENT

Nektet innsyn i timeføring – fikk 250.000 i bot fra Datatilsynet

Datatilsynet har ilagt Timegrip AS et overtredelsesgebyr på 250 000 kr. Bakgrunnen er at ansatte i Enklere Liv ikke fikk innsyn i sine egne opplysninger om timeføring da butikkjeden gikk konkurs i 2020.

Timeføringssystemet ble avgjørende da ansatte måtte dokumentere krav på ubetalt lønn etter konkurs. Nå har Datatilsynet ilagt systemleverandøren bot på en kvart million kroner, fordi de nektet å hjelpe de ansatte.
Redaksjonen Økonomi24
Publisert

Da butikkjeden Enklere Liv gikk konkurs og de ansatte trengte å dokumenter timelistene sine, hadde selskapet Timegrip vært databehandler for kjeden frem til konkursen. De nektet imidlertid å gi disse dataene til hverken konkursboet eller de ansatte.

Datatilsynet oppgir i en pressemelding tirsdag at alle har rett til innsyn i egne personopplysninger, og at dette er en grunnleggende rettighet i personvernregelverket. I dette tilfellet hadde innsynsretten mye å si, siden 80 ansatte ikke hadde fått lønn for arbeidet sitt.

Datatilsynet legger til grunn at Timegrip hadde innrettet seg på en sånn måte at det bare var de som bestemte over personopplysningene. Dermed ble de i praksis også behandlingsansvarlig. Videre fantes det ikke et gyldig grunnlag for å avslå innsynskravet fra de ansatte. Derfor konkluderte Datatilsynet med at dette var et brudd på innsynsretten, og ila selskapet et overtredelsesgebyr på 250.000 kroner.

Sakens bakgrunn

Saken begynte med en klage til Datatilsynet. Klager var ansatt i en butikkjede som brukte Timegrip som leverandør av timeføringssystem for de ansatte. Timegrip behandlet derfor opplysninger om de ansattes inn- og utstemplinger på vegne av butikkjeden. Da butikkjeden gikk konkurs, måtte klager dokumentere kravet sitt om ubetalt lønn overfor konkursboet. Klager ba derfor Timegrip om en kopi av timeføringen sin for perioden han ikke hadde fått lønn for.

Timegrip ville ikke gi opplysningene hverken til konkursboet eller til klager. Selskapet mente at det ikke lenger fantes en behandlingsansvarlig da butikkjeden gikk konkurs. Av den grunn mente selskapet videre at det ikke kunne gi personopplysningene til konkursboet – med mindre konkursboet betalte Timegrip.

Det er den behandlingsansvarlige som har plikt til å gi innsyn til registrerte personer. Ovenfor klager sa Timegrip at fordi selskapet bare var en databehandler, så hadde ikke selskapet noen plikt til å gi klager en kopi av timeføringen hans. 

Timegrip mente også at selskapet ikke hadde rett til å gi klager en kopi fordi en databehandler bare kan behandle personopplysninger med grunnlag i en instruks fra den behandlingsansvarlige. Siden den behandlingsansvarlige butikkjeden hadde gått konkurs, påstod Timegrip at det ikke var noen som kunne gi Timegrip en slik instruks.

Datatilsynets vurdering

I vedtaket har Datatilsynet slått fast at det alltid skal finnes en som er ansvarlig for behandlingen av personopplysninger. Det skal ikke være mulig at det oppstår en situasjon hvor det bare finnes en databehandler og ingen behandlingsansvarlige.

I vurderingen av hvem som var behandlingsansvarlig, la Datatilsynet til grunn at vi måtte se på de faktiske omstendighetene i saken. Timegrip fortsatte å lagre opplysningene om klagers inn- og utstemplinger og hadde gjentatte ganger nektet konkursboet tilgang til disse personopplysningene. 

I tillegg var det Timegrip som fattet beslutninger om essensielle aspekter ved behandlingen, som hva opplysningene kunne brukes til, lagringstid og hvem som kunne få tilgang til personopplysningene. Det var med andre ord klart at det var Timegrip som utøvde den reelle kontrollen med personopplysningene.

Siden Timegrip var å anse som behandlingsansvarlig og ikke hadde grunnlag til å avslå forespørselen om innsyn, konkluderte Datatilsynet med at Timegrip brøt personvernforordningen artikkel 15 nr. 1 og 3.

Datatilsynet mente at det var riktig å ilegge overtredelsesgebyr som følge av bruddet. I den forbindelse la vi vekt på Timegrip avslo innsynsforespørsler fra 80 ulike enkeltpersoner, og at Timegrip var klar over at de var i en sårbar situasjon og avhengige av timelistene for å dokumentere lønnskravene sine. Det var også skjerpende at overtredelsen ble begått forsettlig. Samtidig forelå det også noen formildende omstendigheter, blant annet at situasjonen var uoversiktlig for Timegrip.

Lurt å regulere i avtalen

Denne saken viser at konkurssituasjoner kan føre til uklare ansvarsforhold. Virksomheter kan forholde seg til behandlingsansvaret ved konkurs på ulike måter. For eksempel kan det tenkes at konkursboet fikk råderett til å bestemme over personopplysningene.

Det kan være lurt for virksomheter å tenke gjennom og avtale på forhånd hvordan de ønsker å innrette seg ved konkurser. Dette kan med fordel inntas i databehandleravtalen.

Uansett er behandlingsansvarlig et funksjonelt begrep. Det vil si at den behandlingsansvarlige er den som reelt sett utøver kontroll over personopplysningene og som angir formålene og midlene med behandlingen. Den avtalte ansvarsordningen på papir er av underordnet betydning dersom de faktiske forholdene avviker fra dette.

nyheter
Powered by Labrador CMS