Konkursboets behandling av personopplysninger – hvordan håndtere it-leverandører som holder igjen nødvendige opplysninger
Den 16. januar 2026 ila Datatilsynet selskapet Timegrip AS («Timegrip») overtredelsesgebyr for brudd på personvernforordningen (GDPR). Selskapet leverer blant annet programvareløsninger for bemanning og tidsregistrering.
Sakens bakgrunn var en klage til tilsynet fra ansatt («Klageren») i selskapet Enklere Liv Retail AS («Enklere Liv»). Selskapet drev butikkjeden med navnet ‘Enklere Liv’, frem til det gikk konkurs. Klageren meldte et lønnskrav i Enklere Liv Retail AS, dets konkursbo («Boet») og ba om innsyn i timelistene hos Timegrip for å dokumentere lønnskravet, slik Klageren er pålagt etter lønnsgarantiloven og lønnsgarantiforskriften.
Illustrasjon: Colourbox.com
IT-leverandøren Timegrip nektet Klageren innsyn i timelistene med den begrunnelse at det ikke lenger eksisterte en behandlingsansvarlig etter at Enklere Liv hadde gått konkurs. Timegrip mente videre at databehandleravtalen med Enklere Liv hadde opphørt og at selskapet uten denne ikke hadde lov til å gi Klageren innsyn i opplysningene.
Datatilsynet vurderte saken slik at Timegrip ble ny behandlingsansvarlig for Klagerens personopplysninger og at selskapet derfor ikke kunne høres med at det ikke lenger fantes en behandlingsansvarlig etter konkursen. Tilsynet konkluderte deretter med at Timegrip ikke hadde adgang til å nekte Klageren innsyn, og ila selskapet et gebyr på 250 000 kr.
Saken reiser interessante spørsmål om hva som skjer med behandlingsansvaret etter GDPR og eierskap til informasjon og personopplysninger i konkurs. I denne artikkelen ser vi nærmere på hvordan Datatilsynet vurderte saken, og hvordan saken kunne vært løst uten å måtte gå veien om tilsynet. Kunne saken for eksempel vært løst ved at behandlingsansvaret for timelistene gikk over fra Enklere Liv til Boet ved konkursåpningen, slik at Timegrip fortsatt måtte anses som databehandler etter konkursen?
1. It-leverandøren nektet å gi fra seg timelister
Timegrip var leverandør av timeføringssystemet som Enklere Liv brukte i sine butikker og behandlet personopplysninger om de ansatte på Enklere Livs vegne. Etter konkursen søkte Klageren Boet om dekning av lønn for utført arbeid, og Boet ba vedkommende på bakgrunn av dette om dokumentasjon for det utførte arbeidet. Boet hadde på egenhånd forsøkt å få ut slik dokumentasjon fra Timegrip, uten hell. Timegrip hadde i den forbindelse vist til at det ikke lenger fantes en behandlingsansvarlig, hvilket i seg selv utelukket utlevering, i tillegg til at de ikke kunne utlevere timelistene uten at de utestående fordringene Timegrip hadde mot konkursskyldneren ble dekket. Boet oppfordret derfor Klageren til å be om innsyn i timelistene med grunnlag i personvernforordningen artikkel 15, og derigjennom få ut nødvendig dokumentasjon for lønnskravet.
Klageren fremmet innsynskravet, men fikk avslag av IT-leverandøren. Timegrip begrunnet avslaget med at selskapet ikke var forpliktet til å gi Boet tilgang til timelistene vederlagsfritt, og viste i den sammenheng til en avgjørelse fra Namsfogden i Oslo i en tvist mellom Timegrip og Boet. Selskapet begrunnet også avslaget med at IT-leverandøren heller ikke var forpliktet til å gi Klageren innsyn etter GDPR, fordi databehandleravtalen med Enklere Liv opphørte samtidig som konkursåpningen. Timegrip pekte på at Boet kunne inngå en ny databehandleravtale, og i så tilfelle kunne Timegrip med betaling etterkomme innsynskravene ved å utlevere rådataene, men ikke ferdige timelister til Boet. Timegrip ba også Klageren om å rette innsynskravet mot Boet i stedet, slik at Boet kunne vurdere å tre inn i eller inngå ny databehandleravtale med Timegrip.
2. Fra databehandler til behandlingsansvarlig
Kort oppsummert var Datatilsynet uenig i Timegrips forståelse av den rettslige situasjonen. Tilsynet uttalte at systematikken i GDPR ikke åpner for at det kun eksisterer en databehandler uten en behandlingsansvarlig. Slik databehandlerbegrepet er definert i GDPR forutsettes det at en databehandler alltid behandler personopplysninger på vegne av en behandlingsansvarlig. I tråd med dette utgangpunktet slås det fast i artikkel 28 (10) at når databehandleren handler uten instruks, eller utenfor rammene av databehandleravtalen, så vil databehandleren selv bli behandlingsansvarlig for den behandlingen. Dette gjelder for eksempel der databehandlere fortsetter behandlingen etter at databehandleravtalen er avsluttet.
Videre peker tilsynet på at «behandlingsansvarlig» er et funksjonelt begrep med henvisning til rettspraksis fra EU-domstolen. Det vil si at hvem som er behandlingsansvarlig ikke avgjøres utfra for eksempel avtaleforhold, men utfra hvem som faktisk utøver kontroll og bestemmer formålet og midlene for behandlingen av personopplysninger.
Slik situasjonen var i denne saken, var det Timegrip som hadde kontroll over opplysningene. På denne bakgrunn konkluderte tilsynet med at Timegrip var blitt behandlingsansvarlig for Klagerens personopplysninger. Derfor kunne, og skulle Klageren rette innsynskravet mot Timegrip og Klageren hadde også rett til å få innsyn i timelistene sine.
Saken endte med at Klageren fikk godkjent kravet i Boet og under den statlige lønnsgarantiordningen. Klageren hadde dermed ikke lenger behov for opplysningene fra Timegrip. Timegrip slettet også opplysningene etter hvert. Derfor kom det ikke noe pålegg fra tilsynet om å utlevere opplysningene, men kun et gebyr for brudd på innsynsretten.
3. KonkursBoet som mulig behandlingsansvarlig
3.1 En annen løsning
Selv om Timegrip-saken endte med at Klageren fikk dekket sitt lønnskrav under den statlige lønnsgarantiordningen, reiser saken interessante problemstillinger knyttet til hva som skjer med personopplysninger hos en leverandør når et selskap går konkurs og leverandøren ikke utleverer opplysningene til konkursboet.
I denne saken konkluderte tilsynet med at Timegrip som databehandler fikk ny status som behandlingsansvarlig, i hovedsak fordi det at Timegrip nå satt på personopplysningene og nektet å overlevere de til Boet gjorde at Boet ikke lenger hadde den kontrollen over opplysningene som tilsynet sier at kreves for å være behandlingsansvarlig.
Man kan likevel stille spørsmål om Boet kunne eller burde vært ansett som behandlingsansvarlig og leverandøren som databehandler, som følge av konkursåpningen. Det som må avklares er om mangelen på kontroll, som skyldes leverandørens handlinger, er nok til å flytte behandlingsansvaret fra konkursboet til leverandøren?
3.2 Det funksjonelle behandlingsansvaret og leverandørens faktiske kontroll
Ved konkurs opphører ikke de ansattes arbeidsforhold automatisk: konkursboet må aktivt ta stilling arbeidsforholdene/-kontraktene, herunder om de skal sies opp. Som regel sies de ansatte opp umiddelbart. Det hører til sjeldenhetene at boene viderefører ansettelsesforholdene.
Der konkursboet terminerer arbeidsforholdene, altså melder ikke-inntreden i arbeidskontraktene, vil utestående lønn før konkurs og lønn i en begrenset periode etter konkurs kunne dekkes under den statlige lønnsgarantiordningen. Videreføres ansettelsesforholdene eller inngår konkursboet nye arbeidsavtaler med de ansatte, vil den ansattes lønnskrav i denne forbindelse få status som massekrav og bli utbetalt direkte fra konkursboet.
Det følger av Personvernnemndas praksis at det er bostyrer for konkursboet som er behandlingsansvarlig for behandling av personopplysninger i forbindelse med bobehandlingen, se PVN-2024-11.
Spørsmålet om behandlingsansvar beror ifølge EU-domstolens rettspraksis og det europeiske personvernrådets (EDPB) retningslinjer på en funksjonell vurdering av hvem som faktisk bestemmer formål og midler med behandlingen. I Timegrip-saken bygger tilsynet på dette, og konkluderer basert på at det var Timegrip som hadde faktisk og teknisk kontroll over timelistene og bestemte om utlevering skulle skje.
Vurderingen harmonerer med EU-domstolens uttalelser om at hvem som bestemmer «essensielle midler» ved behandlingen av personopplysninger kan være avgjørende for hvem som er behandlingsansvarlig. EDPB presiserer i sine retningslinjer om behandlingsansvarlig og databehandler at slike midler blant annet kan omfatte tilgang, lagring og varighet, se EDPB Guidelines 07/2020 on the concepts of controller and processor. Dersom leverandøren ensidig fastsetter hvem som får tilgang, eller hvor lenge data blir lagret, vil dette kunne trekke i retning av at leverandøren ikke lenger opptrer på vegne av en annen, men for egne formål eller etter egne beslutninger.
3.3 PVN-2024-11 og konkursboets behandlingsansvar ved bobehandling
Samtidig er det relevant at Personvernnemnda i PVN-2024-11 legger til grunn at bostyrer for konkursboet er behandlingsansvarlig for behandling av personopplysninger «i forbindelse med bobehandlingen». Avgjørelsen gir støtte for at konkursboet som utgangspunkt er den aktøren som skal identifiseres som behandlingsansvarlig når personopplysninger behandles for å løse konkursboets oppgaver, for eksempel å behandle lønnskrav fra ansatte.
Overført til Timegrip-saken kan timelister forstås som opplysninger konkursboet trenger for å kunne behandle og kontrollere lønnskrav, og dermed som opplysninger som typisk inngår i bobehandlingen. Dersom konkursboet anses som behandlingsansvarlig for denne behandlingsaktiviteten, blir spørsmålet hvordan dette slår ut når personopplysningene er plassert hos en IT-leverandør som tidligere var databehandler for konkursskyldner.
3.4 Kan leverandørens handlinger i seg selv «flytte» behandlingsansvaret?
Datatilsynet legger som nevnt til grunn at Boet ikke kunne bestemme over opplysningene fordi Timegrip ikke godtok Boets instrukser uten betaling, og at Timegrip derfor hadde reell kontroll. Dette reiser et viktig spørsmål: dersom konkursboet normalt er behandlingsansvarlig for personopplysninger i bobehandlingen, kan da en leverandørs ensidige beslutning om å stanse tilgang være tilstrekkelig til å frata konkursboet behandlingsansvar?
EDPB legger til grunn at behandlingsansvar ikke nødvendigvis forutsetter fysisk besittelse av data, men knytter seg til bestemmelse av formål og essensielle midler for behandlingen av opplysninger. Timegrip var en leverandør til virksomheten som Boet hadde ansvar for, og behandlet personopplysninger om ansatte som stammet fra butikkvirksomheten som nå falt under Boets ansvar. Uten denne virksomheten hadde ikke Timegrip sittet på opplysningene.
Har man ved å flytte behandlingsansvaret i praksis «belønnet» en leverandør som nektet å utlevere personopplysninger til konkursboet om sin tidligere kunde? Eller var det slik at Datatilsynet ikke så plasseringen av behandlingsansvaret hos IT-leverandøren som en belønning, men heller tildeling av en rekke forpliktelser? Dette er interessante spørsmål, som det hadde vært nyttig om tilsynet hadde vurdert ytterligere.
3.5 Boets krav på tilgang til timelistene
Dersom Boet ble ansett som behandlingsansvarlig, blir neste spørsmål om Timegrip fortsatt måtte anses som databehandler. Og kunne Boet da kunne brukt artikkel 28 i GDPR som rettslig mekanisme for å få utlevert timelistene? Datatilsynet understreket i vedtaket at GDPR ikke åpner for at det en databehandler kan eksistere alene uten en behandlingsansvarlig. Det må finnes en behandlingsansvarlig som kan instruere når den andre hevder å være databehandler.
Timegrip mente at databehandleravtalen opphørte ved konkursåpningen, og at Boet derfor måtte inngå en ny databehandleravtale for å få tilgang, mot betaling. Datatilsynet er tydelig på at betalingsspørsmålet er avtalerettslig og ikke regulert i GDPR, og at dette ikke kan begrunne avslag på krav om innsyn. Uttalelsen gir likevel ikke et svar på om Boet kunne kreve timelistene uten å måtte be de ansatte være mellomledd og bruke innsynsretten. Spørsmålet om Boet hadde krav på personopplysningene etter GDPR er i utgangspunktet helt adskilt fra om leverandøren kunne kreve betaling for utleveringen.
Artikkel 28 (3) gir oss to spor som kan være relevante. For det første følger det av artikkel 28 (3) bokstav e at databehandler skal bistå behandlingsansvarlig med å etterkomme begjæringer om registrertes rettigheter, herunder innsyn etter artikkel 15, se GDPR artikkel 28 (3) bokstav e. For det andre følger det av artikkel 28 (3) bokstav g at databehandler ved opphør av tjenestene skal slette eller tilbakelevere alle personopplysninger til behandlingsansvarlig, etter dennes valg, med mindre det foreligger lagringsplikt. Datatilsynet viser til at avtalen mellom Enklere Liv og Timegrip inneholdt en tilbakeleveringsklausul ved opphør.
Spørsmålet blir dermed om Boet kunne utøvd behandlingsansvaret overfor leverandøren etter konkursåpningen, slik at Boet enten
kunne instruert leverandøren til å bistå i den praktiske håndteringen av dokumentasjonen, eller
kunne krevd timelistene tilbakelevert ved virksomhetens opphør (altså ved konkursåpningen),
og deretter behandlet lønnskravene basert på materialet i Boets egen kontroll, uten å betale IT-leverandøren.
3.6 Boets krav på timelistene som alternativ til innsynsveien
Kjernen i Timegrip-saken er at Boet trengte timelistene for å behandle de ansattes lønnskrav, men manglet faktisk tilgang til opplysningene fordi de befant seg hos en leverandør som nektet å utlevere dem uten at utestående krav ble betalt.
Dersom Boet kan være behandlingsansvarlig selv om leverandøren nektet å utlevere personopplysningene, blir Timegrip en leverandør som behandler timelistene på vegne av Boet, og som derfor må forholde seg til Boets instruksjoner innenfor rammen av artikkel 28. Det gir en mer forutsigbar situasjon for både bostyrer og de ansatte. Dette sammenlignet med dersom leverandøren gjennom teknisk sperre og avvisning av Boets instruksjoner i praksis ender med å bli behandlingsansvarlig for den videre behandlingen.
Datatilsynet legger imidlertid til grunn at Boet i den konkrete situasjonen rent faktisk ikke kunne bestemme over opplysningene fordi Timegrip ikke godtok Boets instrukser uten betaling, og at det derfor var Timegrip som hadde reell kontroll. Det står derfor igjen som et åpent spørsmål om det er rettslig og praktisk rom for at Boet kan «ta tilbake» instruksjonskompetansen overfor leverandøren ved konkurs, eller om leverandørens faktiske kontroll gjør at man i praksis presses over i en situasjon der leverandøren plutselig blir behandlingsansvarlig. Å motta behandlingsansvaret er nok heller ikke en optimal løsning for en IT-virksomhet som har innrettet seg for å oppfylle databehandlers plikter og ikke de mer omfattende pliktene til en behandlingsansvarlig.
Det fremstår også som en uforutsigbar løsning for både Boet og ansatte dersom leverandørens kommersielle interesser i praksis gjør de ansattes innsynsrett til et nødvendig verktøy for å få frem dokumentasjon som konkursboet trenger for å behandle lønnskrav. Tilsynet understreker at betalingsspørsmålet er avtalerettslig og ikke regulert i GDPR, og at dette ikke kan begrunne avslag på krav om innsyn fra de registrerte. Konkursboets behov for å få utlevert timelister bør i utgangspunktet kunne håndteres som et spørsmål om konkursboets tilgang til data på vegne av de registrerte, snarere enn at tidligere ansatte må være henvist til å be om innsyn for å dokumentere krav konkursboet selv plikter å behandle. Da ville man unngått en tilfeldig plassering av behandlingsansvaret. For IT-leverandøren burde ikke ulempen være større enn ved å håndtere en rekke individuelle krav om innsyn fra ansatte.
Ett ytterligere grunnlag for et konkursbos rett på (vederlagsfritt) innsyn, kan være å anse konkursboet for å handle på vegne av de registrerte, som disses fullmektig eller representant.
4. Veien videre
Spørsmål om behandlingsansvar i konkurs og tilgang til personopplysninger fra leverandører har stor praktisk betydning, og direkte betydning for hvordan ansatte i praksis kan dokumentere lønnskrav som konkursboet skal behandle. Datatilsynets løsning bygger på en konkret vurdering av hvilken kontroll Boet faktisk kunne utøve, og la avgjørende vekt på at leverandørens harde linje om å ikke utlevere opplysningene gjorde at kontrollen over formål og essensielle midler hadde gått over til leverandøren. Konsekvensen ble at leverandøren ble behandlingsansvarlig når den i praksis satt med styringen over tilgang og utlevering.
Samtidig finnes det enkelte rettslige utgangspunkter i Personvernnemndas praksis som sier at konkursboet normalt er behandlingsansvarlig for personopplysninger som behandles i forbindelse med bobehandlingen, noe som kan tale for at konkursboet i større grad burde kunne opptre som «mottaker» av opplysninger hos leverandører for å behandle ansattes krav. I tillegg åpner EU-domstolens rettspraksis og EDPBs retningslinjer for at en part kan være behandlingsansvarlig selv når den ikke har tilgang til personopplysningene.
Spørsmål om behandlingsansvar i konkurs og tilgang til personopplysninger fra leverandører har stor praktisk betydning, og direkte betydning for hvordan ansatte i praksis kan dokumentere lønnskrav som konkursboet skal behandle.
Saken etterlater derfor et åpent spørsmål om at det bør være et tydeligere rettslig grunnlag for at konkursboene kan kreve utlevert informasjon direkte fra leverandører, enten gjennom en videreføring eller «overføring» av instruksjonskompetanse etter artikkel 28, gjennom mekanismene om bistand og tilbakelevering i artikkel 28 (3) eller som de ansattes representant. Dersom konkursboet ikke kan krev innsyn, kan konsekvensen bli at tidligere ansatte i realiteten må bruke innsynsretten etter artikkel 15 som et nødvendig mellomledd for å skaffe dokumentasjon konkursboet trenger, noe som både kan være lite effektivt og bidra til uforutsigbarhet i konkursbehandlingen. Trolig vil også ressurssvake ansatte i større grad kunne lide.
