Datatilsynet konstaterar att nätoperatören Radius Elnet A/S:s behandling av personuppgifter har skett inom ramen för dataskyddsförordningen (GDPR) och de nationella specialreglerna som anpassar tillämpningen av dataskyddsförordningen.
Av beslutet framgår att Datatilsynet fattat ett beslut i ett ärende där ett antal medborgare klagat över Radius behandling av personuppgifter, eftersom företaget samlat in personuppgifter om de klagandes elförbrukning i kWh varje timme genom att fjärravlästa elmätare och rapporterat informationen till den så kallade datahubben.
De uppgifter som Radius samlar in är elförbrukning per timme mätt i kWh, som skickas till företaget var sjätte timme. Dessutom samlar Radius in information från elmätaren av mer teknisk karaktär. Detta gäller till exempel om det saknas spänning på mätaren, dvs. om det finns en avbruten anslutning i elnätet med resultatet att Radius inte kan etablera kontakt med mätaren, om en över-/underspänning eller ett 0-fel har upptäckts på mätaren, eller om eventuella felmeddelanden på mätaren. Vid exempelvis felmeddelanden kan Radius ta fram en rapport från mätaren med tekniska värden, effektbelastning, upptäckta störningar etc. för att åtgärda eventuella fel i elförsörjningen.
De klagande har i allmänhet hävdat att Radius insamling av information om elförbrukning etc. är oproportionerlig, eftersom företaget samlar in mer information än vad som är nödvändigt för ändamålet. Dessutom uppfyller behandlingen inte tillräckligt kraven på inbyggt dataskydd och dataskydd som standard. Enligt de klagande finns det ett mer integritetsvänligt sätt att samla in den nödvändiga informationen. Behandlingsverksamheten strider därför enligt de klagande mot artiklarna 5.1 (c) och 25.1 GDPR.
I sitt beslut konstaterar Datatilsynet att det framgår tydligt och klart av den rättsliga grunden för Radius att företaget som nätoperatör måste samla in information om elförbrukning etc. varje timme och rapportera informationen till Energinet, och att detta måste ske på ett visst sätt. Vidare betonar Datatilsynet att insamlingen av information om elförbrukning m.m. i syfte att säkerställa försörjningstrygghet samt kvalitet och kapacitet i elnätet är en integrerad del av skyldigheten att tillhandahålla nödvändig transportkapacitet och ge tillgång till transport av el i elförsörjningsnätet samt att säkerställa den tekniska kvaliteten på det nät som Radius omfattas av i egenskap av nätoperatör.
I detta sammanhang noterar Datatilsynet att information om elförbrukning m.m. som utgångspunkt inte i sig utgör särskilda kategorier av personuppgifter som omfattas av artikel 9 GDPR. I utvalda fall och under vissa omständigheter kan personuppgifter betraktas som känsliga personuppgifter, även om uppgifterna normalt sett inte bör betraktas som känsliga. Detta gäller bland annat om uppgifterna genom intellektuell reflektion, till exempel deduktion, kan avslöja känslig information om en person. Detta kan till exempel vara fallet när en persons namn, som i sig inte är en känslig personuppgift, förekommer i en förteckning över patienter som är inlagda på en onkologisk avdelning. Datatilsynet anser dock att så inte är fallet om det krävs komplicerade analyser eller liknande för att få fram känsliga personuppgifter, till exempel information om religiös tro från information om elförbrukning etc. om sådana analyser inte faktiskt utförs som en del av den aktuella behandlingen.
När det gäller frågan om inbyggt dataskydd (Privacy by Design) och dataskydd som standard (Privacy by Default) konstaterar Datatilsynet att ändamålen och medlen för behandlingen av personuppgifter i fråga, dvs. insamlingen av information om elförbrukning etc. på timbasis för avräknings- och systemdriftsändamål, under alla omständigheter fastställts senast i december 2017, när Energinet införde den så kallade flexavräkningen, enligt vilken nätoperatörerna, inklusive Radius, har varit skyldiga att samla in och rapportera information om elförbrukning etc. till datahubben. Detta var således en behandlingsverksamhet som inleddes före den 25 maj 2018, varför artikel 25.1 GDPR inte var tillämplig på behandlingsverksamheten. Det faktum att elmätare (fortfarande) har ersatts av elkunder under perioden 25 maj 2018 – 31 december 2020 kan enligt Datatilsynet uppfattning inte leda till ett annat resultat.
När det gäller frågan om proportionalitet konstaterar Datatilsynet efter en övergripande bedömning att det inte fanns någon grund för att konstatera att den behandling som Radius utförde på grundval av den ovannämnda rättsliga skyldigheten enligt lagen om elförsörjning m.m. stred mot proportionalitetsprincipen i artikel 5.1 (c) GDPR. Datatilsynet betonar särskilt att det framgår tydligt och specifikt av lagstiftningen att nätbolagen, inklusive Radius, är skyldiga att kontrollera att den information som rapporteras till datahubben är korrekt, och att denna kontroll kräver tillgång till de specifika mätvärden som samlas in varje timme.
Vidare konstaterar Datatilsynet att det inte finns någon grund för att åsidosätta bedömningen att det är nödvändigt att kontrollera de enskilda mätvärdena, vilket föreskrivs i lagstiftningen, och att det inte finns någon grund för att konstatera att det finns andra, mindre ingripande sätt att behandla uppgifterna i fråga, med tanke på det eftersträvade syftet.
Slutligen konstaterar Datatilsynet att den metod som de klagande föreslagit – enligt de klagandes egen information – inte är lämplig för att kontrollera de enskilda mätvärdena, och att metoden endast gör det möjligt att månadsvis kontrollera riktigheten av aggregerade mätvärden.