Datatilsynet har afgjort, at Radius Elnet A/S lovligt behandler og indberetter timebaserede elforbrugsdata til Energinet. Behandlingen sker som led i netvirksomhedens lovbundne opgaver og er forenelig med databeskyttelsesforordningen samt nationale tilpasningsregler. Afgørelsen, truffet med inddragelse af Datarådet, adresserer tre hovedspørgsmål: behandlingsgrundlaget, kravet om indbygget databeskyttelse og proportionalitet.
Retsgrundlag og formål
Datatilsynet fastslog, at Radius’ indsamling af timeværdier og indberetning til Energinets DataHub til brug for afregning, systemdrift og forsyningssikkerhed hviler på en retlig forpligtelse. Dermed er behandlingsgrundlaget GDPR art. 6, stk. 1, litra c, understøttet af elforsyningslovens regler, som pålægger netvirksomheder at indsamle og kontrollere måledata.
Tilsynet præciserede samtidig, at elforbrugsdata normalt ikke udgør særlige kategorier efter GDPR art. 9. Kun hvor en enkel slutning direkte afslører følsomme forhold, kan klassifikationen ændres; komplekse analyser, der ikke indgår i behandlingen, gør ikke i sig selv oplysningerne følsomme.
Design og standardindstillinger
Reglerne om databeskyttelse gennem design og standardindstillinger i GDPR art. 25, stk. 1, fandt ikke anvendelse. Formål og hjælpemidler var fastlagt senest ved idriftsættelsen af flexafregning i december 2017, dvs. før forordningens anvendelsestidspunkt.
Efter tilsynets vurdering ændres dette ikke af, at elmålere fortsat blev udskiftet efterfølgende. Den oprindelige behandlingsaktivitet var allerede iværksat, og senere tekniske udrulninger omfattes derfor ikke af artikel 25, stk. 1.
Proportionalitet og nødvendighed
Datatilsynet fandt ikke grundlag for at tilsidesætte proportionalitets- og dataminimeringskravet i GDPR art. 5, stk. 1, litra c. Lovgivningen kræver kontrol af rigtigheden af de indberettede måleværdier, og dette forudsætter adgang til individuelle timeværdier.
Forslag fra klagerne om kontrol baseret på aggregerede månedsdata blev anset for utilstrækkelige i forhold til formålet. Myndigheden lagde derfor til grund, at der ikke forelå mindre indgribende, egnede alternativer. Hele afgørelsen kan læses på Datatilsynets hjemmeside: Du kan læse selve afgørelsen her.
