På baggrund af en klage over Radius' fjernaflæsning af elmålere har Datatilsynet vurderet, at behandlingen af personoplysninger er sket inden for rammerne af databeskyttelsesforordningen og nationale særregler.
Datatilsynet har truffet afgørelse i en sag, hvor en række borgere klagede over Radius Elnet A/S’ behandling af personoplysninger, idet virksomheden via fjernaflæste elmålere indsamler personoplysninger om klagernes elforbrug i kWh på timebasis og herefter indberetter oplysningerne til Energinet.
Radius er en netvirksomhed, dvs. en virksomhed, der driver distributionsnet til el i Danmark. I denne forbindelse indsamler Radius forbrugsdata hos elkunder, herunder klagerne, via fjernaflæste elmålere.
Datatilsynet fandt i sin afgørelse, at Radius’ behandling af personoplysningerne var sket inden for rammerne af databeskyttelsesforordningen og de nationale særregler, der tilpasser anvendelsen af forordningen. Sagen har været behandlet i Datarådet.
Datatilsynet fandt overordnet:
at Radius’ behandling af personoplysninger med henblik på (i) afregning og (ii) at sikre forsyningssikkerheden samt tilstrækkelig kvalitet og kapacitet i elnettet er nødvendig for at overholde en retlig forpligtelse, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra c,
at databeskyttelsesforordningens artikel 25, stk. 1, ikke finder anvendelse på den omhandlede behandlingsaktivitet, idet aktiviteten blev iværksat inden den 25. maj 2018, hvor forordningen fandt anvendelse, og
at der ikke var grundlag for at fastslå, at de behandlingsaktiviteter, som Radius foretager på baggrund af sin retlige forpligtelse, var i strid med proportionalitetsprincippet i databeskyttelsesforordningens artikel 5, stk. 1, litra c.
Ad 1) Datatilsynet lagde vægt på, at det fremgår klart og præcist af det lovgrundlag, som Radius som netvirksomhed er underlagt, at Radius som netvirksomhed skal indsamle oplysninger om elforbrug mv. på timebasis og indberette oplysningerne til Energinet, og at det skal ske på en nærmere angiven måde. Endvidere lagde Datatilsynet vægt på, at indsamling af oplysninger om elforbrug mv. med henblik på at sikre forsyningssikkerheden samt kvalitet og kapacitet i elnettet indgår som en integreret del af forpligtelsen om at stille fornøden transportkapacitet til rådighed og give adgang til transport af elektricitet i elforsyningsnettet, samt at sikre den tekniske kvalitet i nettet, som Radius er underlagt som netvirksomhed. I den forbindelse bemærkede Datatilsynet, at oplysninger om elforbrug mv. som udgangspunkt ikke i sig selv udgør særlige kategorier af personoplysninger omfattet af databeskyttelsesforordningens artikel 9. I udvalgte tilfælde og under visse omstændigheder kan personoplysninger anses som følsomme personoplysninger, selvom oplysningerne almindeligvis ikke skal anses som følsomme. Det gælder bl.a., hvis oplysningerne via en intellektuel refleksion, fx deduktion, kan afsløre følsomme oplysninger om en person. Det kan eksempelvis være tilfældet, hvor en persons navn, der ikke i selv er en følsom personoplysning, fremgår af en oversigt over patienter, der er indlagt på onkologisk afdeling. Det er dog – efter Datatilsynets opfattelse – ikke tilfældet, hvis det forudsætter gennemførelse af komplekse analyser eller lign. for at udlede følsomme personoplysninger, fx oplysninger om religiøs overbevisning ud fra oplysninger om elforbrug mv., hvis sådanne analyser mv. ikke faktisk gennemføres som led i den pågældende behandlingsaktivitet.
Ad 2) Med hensyn til spørgsmålet om databeskyttelse gennem design og gennem standardindstillinger vurderede Datatilsynet, at formålene med og hjælpemidlerne til den omhandlede behandling af personoplysninger, dvs. indsamling af oplysninger om elforbrug mv. på timebasis til brug afregnings- og systemdriftsformål, under alle omstændigheder senest var blevet fastlagt i december 2017, hvor den såkaldte flexafregning blev idriftsat af Energinet, hvorefter netvirksomhederne, herunder Radius, har været forpligtet til at indsamle og indberette de oplysninger om elforbrug mv. til datahubben. Der var dermed tale om en behandlingsaktivitet, der blev iværksat inden den 25. maj 2018, hvorfor databeskyttelsesforordningens artikel 25, stk. 1, ikke fandt anvendelse på behandlingsaktiviteten. Den omstændighed, at der (fortsat) er sket udskiftning af elmålere hos elkunder i perioden 25. maj 2018 til den 31. december 2020 kunne efter Datatilsynets opfattelse ikke føre til et andet resultat.
Ad 3) For så vidt angår spørgsmålet om proportionalitet fandt Datatilsynet efter en samlet vurdering, at der ikke var grundlag for at fastslå, at de behandlingsaktiviteter, som Radius foretager på baggrund af den nævnte retlige forpligtelse efter elforsyningsloven mv., var i strid med proportionalitetsprincippet i databeskyttelsesforordningens artikel 5, stk. 1, litra c. Datatilsynet lagde navnlig vægt på, at det fremgår klart og specifikt af lovgivningen, at netvirksomhederne, herunder Radius, er forpligtet til at kontrollere rigtigheden af de oplysninger, der indberettes til datahubben, og at denne kontrol forudsætter adgang til de konkrete måleværdier, der indsamles på timebasis. Endvidere fandt Datatilsynet, at der ikke var grundlag for at tilsidesætte vurderingen af, at det er nødvendigt at kontrollere de individuelle måleværdier, som forudsat i lovgivningen, og at der ikke var grundlag for at fastslå, at der fandtes andre, mindre indgribende måder at behandle de omhandlede oplysninger, henset til det mål som forfølges. Datatilsynet lagde endelig lagt vægt på, at den af klagerne foreslåede metode – efter klagernes egne oplysninger – ikke var egnet til at kontrollere de individuelle måleværdier, og at metoden alene gjorde det muligt at kontrollere rigtigheden af aggregerede måleværdier på månedsbasis.
Vil du vide mere? Du kan læse selve afgørelsen her.
Kilde: datatilsynet.dk
Comments