Omtrent 80 ansatte måtte dokumentere arbeidstiden sin etter at butikkjeden de arbeidet for gikk konkurs. Tidsregistreringene var lagret i et eksternt system og var avgjørende for at konkursboet kunne utbetale riktig lønn. De ansatte og konkursboet ba derfor om innsyn i opplysningene.
Leverandøren av systemet avslo innsynsbegjæringene. Årsaken var at leverandøren, på grunn av sin rolle som databehandler, ikke kunne innvilge slike begjæringer. Samtidig påpekte leverandøren at konkursen medførte at det ikke lenger fantes en behandlingsansvarlig.
Datatilsynet konkluderte med at leverandøren faktisk var behandlingsansvarlig og derfor hadde plikt til å svare på begjæringene. Systemet var utformet på en slik måte at leverandøren fortsatte å behandle opplysningene til tross for konkursen. Samtidig hadde leverandøren truffet en rekke vesentlige beslutninger om opplysningene. Disse omfattet behandlingsformål, tilgangsrettigheter og lagringstider. Leverandøren ble senere ilagt en bot på 250 000 kr.
iuno mener
Med denne avgjørelsen understreker Datatilsynet at det alltid må være en behandlingsansvarlig. Dette betyr at det ikke kan oppstå en situasjon hvor det finnes en databehandler uten at det også finnes en behandlingsansvarlig. Samtidig kan det være vanskelig å vurdere hvordan en slik problemstilling skal håndteres ved konkurs.
iuno anbefaler at virksomheter vurdereralle mulige scenarier når de inngår databehandleravtaler. Dette inkluderer også ansvarsfordelingen ved konkurs. Her bør ikke fokuset bare være på konkurs hos den behandlingsansvarlige. Det bør også vurderes hva som skjer med opplysningene dersom databehandleren går konkurs – skal de slettes eller tilbakeleveres?
[Datatilsynets avgjørelse i sak nr. 20/02911-20 av 16. januar 2026]