Nektet å gi ut person­opplysninger. Får bot på kvart million kroner

Timegrip AS ville ikke gi 80 ansatte innsyn i egne timelister etter butikk-konkurs. – Brudd på innsynsretten, slår Datatilsynet fast. 

Enklere Liv-kjeden gikk konkurs i 2020. Det skulle bli vanskelig for ansatte å få ut timelistene sine fra leverandørselskapet Timegrip.
Silje Rognsvåg
Silje Rognsvåg journalist, kode24
Publisert


I 2020 gikk butikkjeden Enklere Liv konkurs. For å kunne betale ut lønn til 80 ansatte, måtte konkursboet vite antall arbeidstimer per ansatt. 

De kontaktet da Timegrip, som leverte timeføringssystemet butikkjeden brukte. 

Men Timegrip nektet å utlevere timelistene vederlagsfritt til boet. 

De krevde å først få dekket de utestående fordringene sine, ifølge Datatilsynets oppsummering om saken. 

– IKKE lov til å utlevere noen persondata

Timegrip nektet også å utlevere timelisten da de ansatte selv søkte om innsyn i egne timelister. 

Selskapet mente at databehandleravtalen om IT-tjenester med butikkjeden opphørte samtidig som konkursåpningen, og at det ikke var noen behandlingsansvarlig  igjen i Enklere Liv å forholde seg til. 

«Timegrip har ingen selvstendig råderett over dataene og har IKKE lov til å utlevere noen persondata fra sine tjenester til NOEN (selv ikke til de registrerte (deg/ dere) andre enn (...)», skrev selskapet i avslagsbrevet til de ansatte. 

Hva er en databehandleravtale?

  • Ifølge EUs personvernforordning (GDPR) skal en databehandleravtale sikre at personopplysninger blir behandlet etter regelverket.
  • Avtalen inngås mellom en behandlingsansvarlig virksomhet, her i utgangspunktet Enklere Liv, og en databehandler, som behandler personopplysninger på oppdrag fra førstnevnte, her Timegrip. 

    • Kilde: Datatilsynet

Ville uansett ikke gi ut timelister

Dersom det skulle oppstå en ny avtale med konkursboet, ville de forsatt ikke gi ut ferdige timelister, men rådata. 

«Alt annet enn rådata som måtte bli utlevert ville medført at Timegrip prosesserte persondata på vegne av de registrerte. Det har Timegrip ingen selvstendig rett til og kan sette oss i den situasjon at vi blir Behandlingsansvarlig på et selvstendig grunnlag», skrev selskapet videre.  

Bot på 250.000 kroner

En ansatt tok saken videre til Datatilsynet i juni 2020, som etter flere års saksbehandling nå har landet på følgende konklusjon: 

– Dette var et brudd på innsynsretten. 

Derfor får Timegrip en bot på 250.000 kroner.

Tilsynet understreker at alle har rett til innsyn i egne personopplysninger. 

– Det er en grunnleggende rettighet i personvernregelverket. I dette tilfellet hadde innsynsretten mye å si, siden det var snakk om 80 ansatte som ikke hadde fått lønn for arbeidet sitt.

Timegrip ble selv behandlingsansvarlig

– Timegrip var klar over at de var i en sårbar situasjon og avhengige av timelistene for å dokumentere lønnskravene sine, fortsetter tilsynet.

Datatilsynet slår fast at Timegrip selv ble behandlingsansvarlig og ikke kunne avslå å gi innsyn. 

Slik definerer de «behandlingsansvarlig»: den som reelt sett utøver kontroll over personopplysningene og som angir formålene og midlene med behandlingen.

kode24 har sendt spørsmål til Timegrip om de godtar boten og om informasjonen nå er sendt ut til de ansatte. Vi har foreløpig ikke fått svar. 

Oppfordrer andre til å avtale ansvar

Datatilsynet oppfordrer andre virksomheter til å tenke gjennom og avtale ansvarsforhold rundt personopplysninger ved konkurser på forhånd. 

– Dette kan med fordel inntas i databehandleravtalen.

Det siste året ble det meldt 3585 brudd på personvern i Norge, ifølge en fersk rapport fra det internasjonale advokatfirmaet DLA Piper.

I Europa er det en økning på 22 prosent flere meldte brudd det siste året, og europeiske tilsynsmyndigheter har gitt GDPR-bøter for 1,2 milliarder euro. 

innsyn datatilsynet artikkel arbeidsliv gdpr timegrip sikkerhet personvern
Powered by Labrador CMS