Personvernnemndas vedtak 28. april 2020 (Mari Bø Haugstad, Bjørnar Borvik, Gisle Hannemyr, Hans Marius Graasvold, Hans Marius Tessem, Ellen Økland Blinkenberg, Audhild Gregoriusdotter Rotevatn)
Saken gjelder klage fra A på Datatilsynets vedtak 29. april 2019 om å avslutte behandlingen av en sak uten å gi pålegg.
Sakens bakgrunn
B kontaktet Datatilsynet 12. november 2018 på vegne av sin da 95-årige mor, A, og ba om bistand til å få informasjon fra Midt-Telemark Energi AS i henhold til EUs personvernforordning.
A mente hun hadde fått mangelfull informasjon fra Midt-Telemark Energi i forbindelse med innføringen av avanserte måle- og styringssystemer (AMS), omtalt som smarte strømmålere. Norske nettselskap ble pålagt å installere smarte strømmålere i alle målepunkt i sitt konsesjonsområde innen 1. januar 2019, jf. forskrift om kraftomsetning og nettjenester § 4-5 (for-1999-03-11-301). Reglene om smarte strømmålere skal blant annet bidra til korrekt avregning, nødvendig informasjon til styring av eget strømforbruk og økt mulighet for nettselskapet til å effektivisere driften av nettet, jf. forskriften § 1-1.
Forut for henvendelsen til Datatilsynet stilte A følgende spørsmål til Midt-Telemark Energi:
«1. Det er klart at de nye målerne registrerer mer enn "kun hvor mye strøm" som brukes, jf. brevet tidligere i sommer. Måleren monteres innenfor grensen mellom netteier og kundens anlegg. Kunden "eier" dataene i måleren. Hvilke sensorer/data finnes i måleren?
2. EU har stilt opp forholdsmessige funksjonskrav til målere samt begrensninger som følge av GDPR – har måleren grensesnitt som gjør at kunden kan kople til eget utstyr for å lese av verdiene og priser/tariffer?
3. Gis kunden lokal tilgang til å avlese alle verdier/data i måleren over grensesnittet (lokal kopi av data)?
4. Hvordan plasserer målerne dere monterer seg i forhold til de 10 funksjonskrav og sikkerhet/personvern i BAT-dokumentet?
5. Hvordan følger dere opp prinsippet om dataminimering (GDPR), jf. pkt. 10.1.10.3, 10.1.10.4, 10.1.11.1 og 10.1.11.2 i BAT-dokumentet? Hva skal rapporteres til Datatilsynet - f.eks. manglende etterlevelse?
6. De nye målerne har bryterfunksjon som introduserer en ekstra feilkilde mht. leveranse av strøm – økt sårbarhet. BAT-dokumentet viser at det er sikkerhetsutfordringer mht. denne funksjonen. Bryter kan aktiveres lokalt av måler (iht. programmering eller utilsiktet som følge av en feil i måler) eller bryter kan fjernstyres (med mulighet for hacking) for f.eks. å regulere en situasjon med rasjonering. Måleren vil i enkelte husholdninger være i bruk sammen med medisinskutstyr/hjemmebehandling av pasienter. Hvordan ivaretar dere sikkerheten(/helsa) til slike kunder? Hvordan tenkes det mht. å slå av bryteren når det, ukjent for dere, kan ligge person med hjemmedialysemaskin ol. i boenheten?
7. Andre som skal inn i hjemmene til folk insisterer på at eier må være til stede selv eller med fullmektig. Sending av nøkler i posten kan sette eier og/eller den som skal inn i vanskeligheter (sending av nøkler vil forsikringsselskaper kunne anse som (grovt) uaktsomt). Hvilke vurderinger er gjort mht. å sikre kundes personvern, privat-/familieliv og hjem (samt forebygge mulige vanskeligheter for deres ansatte/ underleverandører etter at de har vært alene i hjemmet til en kunde) før dere foreslår denne løsningen?
8. ...hvordan forholder dere dere når det blir registrert ting i boenhet (f.eks. målinger, bilder) - lagring/sletting/ arkivering/ innsyn? Du skriver om taushetsplikt - er den absolutt? Eller er det slik at deres folk i visse situasjoner gir ut informasjon på forespørsel eller har varslingsplikt og at det evt. bør informeres om når dere opplyser om taushetsplikt?
9. Dere er heleid av kommunene der dere har monopol på å ha/drive distribusjonsnett og er pålagt å skille kraftsalg og nettdrift. Er nettdriften å anse som et offentlig organ eller er det ikke det?»
Midt-Telemark Energi besvarte ovennevnte spørsmål i e-post 21. september 2018:
«1. Vi oppgir ikke detaljerte tekniske data om måleren eller annet it/teknisk nettselskapet eier, av bla hensyn til ivaretakelse av sikkerhet. Viser til svar på spørsmål nr. 2 for utdypende informasjon.
2. Måleren er bygd etter kravspesifikasjon som ivaretar personopplysningsloven inkl. GDPR. Nettselskapet har egen, fysisk separert inngang som kommuniserer kun med oss. Kommunikasjonen er kryptert og ingen andre enn nettselskapet har tilgang til denne. I tillegg har måleren en egen HAN - port (Home Area Network) der du som kunde kan kople til eget utstyr for å lese av verdiene og priser/tariffer, evt. andre produkter eks. smarthusløsninger. Nettselskapet har ingen tilgang til denne inngangen, det er du som kunde som bestemmer hvem du vil gi tilgang.
3. Vedlegger beskrivelse (også sendt ved vår forrige epostutveksling) som viser hvor du lokalt, dvs. i displayet på måleren, kan lese avlese relevante data som tariff, forbruk, historikk, osv. Denne informasjonen om måleren blir utlevert av installatør i forbindelse med installasjon av måler.
4. Målerne plasseres slik at de ivaretar kravene til norsk lovgivning, inkl. brannlovgivning, elsikkerhetslovgivning og personopplysningsloven inkl. GDPR.
5. Vi forholder oss til alle kravene i personopplysningsloven/GDPR gjennom vårt internkontrollsystem, inkl. krav til minimering, avviksrapportering og varsling. Vedlagte personvernerklæring punkt 4 beskriver hvilke personopplysninger vi samler inn. Dette er opplysninger vi må ha for å kunne identifisere korrekt kunde på våre anlegg slik at leveranse, kundebehandling, fakturering og innkreving av utestående kan gjennomføres. Dette er et minimum, som vi har for alle våre nettkunder, og vi behandler ikke andre personopplysninger for våre kunder enn dette. Det er selvsagt helt frivillig å gi fra seg disse personopplysningene til oss, men vi får ikke levert strøm dersom vi ikke har tilgang til informasjonen. Det er Forskrift om måling, avregning, fakturering av nettjenester og elektrisk energi, nettselskapenes nøytralitet mv som definerer hvilke opplysninger som skal registreres ved opprettelse av nettleieavtale. Vedrørende avvik forholder vi oss til personvernforordningens artikkel 4 nr. 12. Gjør oppmerksom på at vi ved målerbytte ikke har behov for, eller innhenter personopplysninger, da dette allerede er informasjon vi har, se ytterligere informasjon under svar på spørsmål 7.
6. Vi forholder oss til de krav NVE stiller til ivaretakelse av forsyningssikkerhet. Når det gjelder sikkerhet er dette i all hovedsak knyttet til bestemmelsene i beredskapsforskriften. Når det gjelder AMS-måleren har vi også gjennomført risikoanalyse i forhold til bryterfunksjonen og vurdert bla. datainnbrudd slik du påpeker kan være en hendelse. I forhold til dette er det innført sikringstiltak. Vi har døgnberedskap for å håndtere hendelser som kan ramme vår forsyning til kundene.
7. Vedlagte personvernerklæring hentet fra vår hjemmeside beskriver i all hovedsak det du spør om. Ved installasjon av ny målere har vi hverken behov for, eller samler inn, ytterligere personopplysninger enn det vi allerede har, og har lov til å ha om våre kunder. Gjør oppmerksom på at alle våre kunder den gang de inngikk nettleieavtale med oss fikk informasjon om vår registrering av personopplysning og forhold til taushetsplikt (Se vedlegg: Nettleieavtale hhv §§ 3 og 15).Det vi har behov for, er å komme inn til sikringsskapet der måleren er plassert. Hjemmelen for dette er § 6 i standard tilknytningsavtale. Alle våre kunder fikk den informasjonen den gang de inngikk nettleieavtale med oss (Se vedlegg: Tilknytningsvilkår). Gjør for ordens skyld oppmerksom på at vi kun tar bilde av selve måleren vår som står i sikringsskap, til bruk for verifikasjon av målerskifte, det er altså ingen bilder av personer eller omgivelser som kan brukes til identifikasjon av personer. Viser til vedlagte personvernerklæring pkt. 4 som beskriver hva vi har lov til å samle inn og behandle av personopplysninger, og punkt 7 som omhandler utlevering av personopplysninger.
8. Nettselskapet er ikke et offentlig organ»
Datatilsynet vurderte saken og kom til at Midt-Telemark Energi hadde gitt A den informasjonen A hadde krav på og at informasjonsplikten etter personvernforordningen artikkel 12-14 var oppfylt. Tilsynet fant ikke grunn til å gjøre ytterligere undersøkelser, jf. personvernforordningen artikkel 57 nr. 1 bokstav f, og avsluttet saken 29. april 2019.
A ba tilsynet om en utfyllende begrunnelse for vedtaket i e-post 14. mai og 29. juli 2019. Datatilsynet besvarte henvendelsen i brev til A 15. august 2019 og opplyste at tilsynet er i dialog med energibransjen om tilpasninger til personvernforordningen, og at det derfor ikke anses som hensiktsmessig å starte en kontrollsak nå. NHO/Energi Norge har søkt om godkjenning av atferdsnorm for energibransjen, jf. personvernforordningen artikkel 40 og 41, men denne søknaden var ikke ferdig saksbehandlet hos Datatilsynet på dette tidspunktet. Tilsynet har avventet saksbehandling av dette inntil det kom på plass retningslinjer for atferdsnormer fra Personvernrådet i EU (European Data Protection Board), og disse ble vedtatt like før sommeren. Videre opplyser Datatilsynet at det på et senere tidspunkt kan være aktuelt å gjennomføre kontroll i energibransjen for å se om personvernforordningens krav blir tilfredsstilt og om de følger eventuelt godkjente atferdsnormer.
A framsatte rettidig klage på Datatilsynets vedtak 28. august 2019. Datatilsynet vurderte klagen, men fant ikke grunnlag for å endre sitt vedtak. Saken ble oversendt til Personvernnemnda ved Datatilsynets brev 29. januar 2020. Partene ble orientert om saken i brev fra nemnda, og fikk anledning til å komme med eventuelle kommentarer. A har gitt sine kommentarer i e-post til nemnda 10. februar 2020. Midt-Telemark Energi har ikke inngitt noen merknader, men har, på nemndas anmodning, oversendt kopi av standard nettleieavtale og standard tilknytningsvilkår ved e-post 4. mars 2020.
Saken ble behandlet i nemndas møte 28. april 2020. Personvernnemnda hadde følgende sammensetning: Mari Bø Haugstad (leder), Bjørnar Borvik (nestleder), Gisle Hannemyr, Hans Marius Graasvold, Hans Marius Tessem, Ellen Økland Blinkenberg og Audhild Gregoriusdotter Rotevatn. Nemndas sekretær, Anette Klem Funderud var også tilstede.
A sitt syn på saken i korte trekk
Midt-Telemark Energi har gitt mangelfullt svar om strømmålerens funksjonalitet, hva som blir registrert osv.
Personvernforordningen gir «den registrerte» rettigheter - nettselskapenes informasjon er nå holdt på et så generelt nivå at «den registrerte» ikke får den informasjonen en skal ha i henhold til personvernforordningen. Behandlingen som foregår hos nettselskap er på det nærmeste hemmelig og «ingen» vet hva som skjer av automatisk behandling i en AMS-måler.
Midt-Telemark Energi har ikke opprettet eget personvernombud. Det framstår som krevende å begrunne at Midt-Telemark Energi med innføringen av smarte strømmålere ikke foretar systematisk monitorering, i stor skala, når forbruksmåling (timeintervall) er nødvendig. De har også geografisk monopol i flere kommuner.
Nemnda bes nå om å avklare om Midt-Telemark Energi har oppfylt sine plikter etter personvernforordningen, eventuelt gi Midt-Telemark Energi slikt pålegg:
1. å legge fram informasjon, jf., forordningens fortalepunkt 39
2. vurdere personvernkonsekvenser (DPIA)
3. spesifisere behandlingsaktiviteter med lovlig grunnlag etter personvernforordningen artikkel 6 nr. 1 og oppgi hvilke personopplysninger som benyttes ved den enkelte behandlingsaktivitet, samt gi informasjon som beskrevet i artikkel 13 og 14
4. gjøre informasjon som lagring/registrering i AMS-målere tilgjengelig for innsyn via HAN-porten - inkludert hva den registrerte betaler for kraft-/nettleie (i sanntid)
5. gjøre all informasjon tilgjengelig på ett sted
6. hva som er lovlig behandlingsgrunnlag for behandlingsaktivitetene installasjon og seinere drift av AMS-måler, samt hvilken rett en fysisk person, som kunde, har til å reservere seg mot installasjon når grunnleggende rettigheter/friheter og forordningen ikke overholdes
7. om det er en grunnleggende rett for den registrerte å bli likebehandlet, jf. artikkel 1 nr. 2
8. om behandlingsansvarlige må ha tiltak som gjør det mulig for en klager å få prøvd sin sak hos klageorgan før behandlingen det klages på gjennomføres og uten at klager sanksjoneres før klage er ferdigbehandlet (rettferdighet)
Datatilsynets vurdering
Etter artikkel 77 i forordningen kan den registrerte bare klage til Datatilsynet dersom den registrerte anser at behandlingen av personopplysninger som gjelder vedkommende er i strid med forordningen. Dette vil også ha betydning i forhold til forordningens artikkel 57 som angir hvilke oppgaver Datatilsynet har.
Tilsynet har i sin saksbehandling gjennomgått den e-postutvekslingen som har funnet sted mellom klager og Midt-Telemark Energi. I tillegg har klager fått utfyllende informasjon gjennom nettleieavtalen og personvernerklæringen til virksomheten. Datatilsynet har vurdert denne informasjonen opp mot de krav som stilles i personvernforordningen artikkel 12-13, og finner at klager har fått slik informasjon som personvernforordningen pålegger virksomheten å gi ut. Nedenfor vil vi gi en vurdering av de lovpålagte krav som personvernforordningen artikkel 13 stiller.
Datatilsynet anser at krav på informasjon knyttet til artikkel 13 nr. 1 bokstav a) til f) er tilfredsstillende gitt i personvernerklæringen, se https://www.mtenergi.no/personvern. I tillegg er det gitt utfyllende informasjon i standard tilknytningsavtale og standard nettleieavtale (se her §§ 3 og 15), og i e-postkorrespondansen fra Midt-Telemark Energi til klager. Klager har stilt flere spørsmål som faller delvis eller helt utenfor de rettighetene til informasjon som vedkommende har etter personvernforordningen artikkel 13. Bl.a. gjelder dette spørsmål 2, 4 og 6.
Når det gjelder klagers anførsel om at Midt-Telemark Energi må ha personvernombud, så er Datatilsynet av den oppfatning at klager ikke har klagerett. Plikten til å føre protokoll etter artikkel 30 er rettet til behandlingsansvarlige og databehandlere, og den gir heller ingen individuelle rettigheter med eventuell klagerett for de registrerte.
Datatilsynet er av den oppfatning at dette er en vurdering Midt-Telemark Energi selv må ta stilling til, og at de gjennom kopi av dette brev har fått en klar oppfordring til å vurdere dette. Ifølge personvernforordningen artikkel 30 nr. 1, er hovedregelen at den behandlingsansvarlige har plikt til å føre protokoll. Enkelte unntak er oppstilt i artikkel 30 nr. 5. Dersom vi gjennom tilsyn eller kontroll finner at en behandlingsansvarlig virksomhet som er forpliktet til å føre protokoll, ikke har slik lovpålagt protokoll, vil vi vurdere hvilket tiltak, jf. personvernforordningen artikkel 58, vi eventuelt anser hensiktsmessig for å sikre etterlevelse av regelverket. Eventuell oppfølging vil uansett være rettet mot selskapet som pliktsubjekt, og klager anses ikke å være en part i en slik kontrollsak.
Midt-Telemark Energi må vurdere og ta stilling til om selskapet er forpliktet til å føre protokoll etter personvernforordningen artikkel 30. Vi anser at Midt-Telemark Energi er tilstrekkelig orientert om denne rettslige forpliktelsen, og at selskapet har fått en klar oppfordring om å vurdere dette. Det samme gjelder en vurdering av personvernkonsekvensene (DPIA), jf. personvernforordningen artikkel 35.
Datatilsynet har vurdert saken på nytt etter at klagen er mottatt og har kommet til at det ikke er hensiktsmessig å gjøre videre undersøkelser, jf. personvernforordningen artikkel 57 nr. 1, bokstav f).
Personvernnemndas vurdering
Klagen gjelder Datatilsynets avgjørelse om å avslutte saken uten å gi pålegg eller foreta ytterligere undersøkelser vedrørende den informasjonen Midt-Telemark Energi gir til sine kunder om behandling av personopplysninger som følge av innføringen av smarte strømmålere (AMS).
Personvernnemnda har gjennomgått informasjonen A har fått i e-postutvekslingen mellom A og Midt-Telemark Energi og informasjonen A har fått gjennom nettleieavtalen, tilknytningsavtalen og Midt-Telemark Energis personvernerklæring, sistnevnte publisert på selskapets nettsted. Nemnda har merket seg at det blant annet i nettleieavtalen § 3 informeres om hvilke personopplysninger nettselskapet kan kreve av den registrerte, og i § 15 informeres det om nettselskapets taushetsplikt. I tilknytningsavtalen § 6 informeres det om målepunkt. I selskapets personvernerklæring punkt 4 er det angitt hvilke personopplysninger Midt-Telemark Energi behandler og hvor de hentes fra, og i punkt 7 gis det informasjon om nettselskapets utlevering av personopplysninger. I likhet med tilsynet legger nemnda til grunn at A har fått slik informasjon som personvernforordningen pålegger den behandlingsansvarlige å gi, jf. artikkel 12 «Klar og tydelig informasjon, kommunikasjon og nærmere regler om utøvelse av den registrertes rettigheter», artikkel 13 «Informasjon som skal gis ved innsamling av personopplysninger fra den registrerte» og artikkel 14 «Informasjon som skal gis dersom personopplysninger ikke er blitt samlet inn fra den registrerte». Nemnda kan ikke se at det på bakgrunn av den informasjonen som foreligger, er forhold som tilsier at det er behov for ytterligere undersøkelser.
Datatilsynets oppgaver følger av personvernforordningen artikkel 57. Ifølge bestemmelsen nr. 1 bokstav a skal Datatilsynet blant annet «føre tilsyn med og håndheve anvendelsen av denne forordning».
Datatilsynet har altså en plikt til å behandle klager som kommer inn til tilsynet, og som gjelder manglende etterlevelse av forordningen. Undersøkelsesplikten gjelder «i den grad det er hensiktsmessig». I dette ligger at tilsynet i noen grad selv har myndighet til å vurdere hvilke undersøkelser som er hensiktsmessig. At Datatilsynet har en viss frihet til å avgjøre hvor omfattende undersøkelser den enkelte sak krever, er også tidligere lagt til grunn av nemnda. I PVN-2017-09 uttales følgende:
«Personvernnemnda legger til grunn at Datatilsynet som tilsynsmyndighet etter personopplysningsloven, har anledning til å foreta en viss prioritering av saker i form av at ikke alle henvendelser behandles like grundig. En slik prioritering forutsetter at Datatilsynet i det aktuelle tilfellet har oppfylt sin utrednings- og informasjonsplikt slik at saken er tilstrekkelig opplyst, jf. forvaltningsloven § 17, samt at tilsynets skjønnsutøvelse med hensyn til hvor grundig de vurderer lovligheten av den aktuelle behandlingen av personopplysninger framstår forsvarlig. Ved denne forsvarlighetsvurderingen vil personvernhensyn være sentralt jf. lovens formål i § 1.»
Etter nemndas vurdering har Datatilsynet foretatt tilstrekkelige undersøkelser før de har konkludert med at Midt-Telemark Energi har gitt den informasjonen som personvernforordningen gir anvisning på. Tilsynet har dermed oppfylt sine forpliktelser etter forordningen artikkel 57. Det var ingen grunn for tilsynet til å gjøre nærmere undersøkelser overfor Midt-Telemark Energi. Datatilsynet har i brev 15. august 2019 også gitt A informasjon om tilsynets dialog med energibransjen om utvikling av atferdsnormer, jf. personvernforordningen kapittel IV, avsnitt 5 og at tilsynet ikke ser det som hensiktsmessig på nåværende tidspunkt å starte en mer omfattende kontrollsak. Slike vurderinger og prioriteringer tilligger det Datatilsynet, som tilsynsmyndighet, å foreta.
Datatilsynet har oppfylt sin utrednings- og informasjonsplikt slik at saken er tilstrekkelig opplyst, jf. forvaltningsloven § 17. Datatilsynets avgjørelse om å avslutte saken 29. april 2019 uten å foreta nærmere undersøkelser og gi pålegg er etter nemndas vurdering forsvarlig og innenfor lovens rammer.
A har bedt nemnda om å avklare flere generelle spørsmål knyttet til nettselskaper og deres behandling av personopplysninger, eventuelt gi Midt-Telemark Energi pålegg som sikrer etterlevelsen av personvernforordningen. Nemnda behandler klager på Datatilsynets vedtak, jf. personopplysningsloven § 22 andre ledd, og gir ikke generelle uttalelser om hvordan personopplysningsloven eller personvernforordningen er å forstå, jf. nemndas sak PVN-2020-01 der nemnda la tilsvarende betraktninger til grunn.
A får etter dette ikke medhold i sin klage.
Vedtaket er enstemmig.
Vedtak
Datatilsynets vedtak om å avslutte saken uten å gi pålegg opprettholdes.
Oslo, 28. april 2020
Mari Bø Haugstad
Leder