Reguleringsmyndigheten for energi (RME) svarte 30. september på Datatilsynets brev av 30. august. I brevet ba Datatilsynet RME redegjøre for nettselskapenes praksis med å kreve lege- eller psykologerklæring som vilkår for fritak fra automatiske strømmålere (AMS), jf. avregningsforskriften § 4-1 andre ledd bokstav b. Nettselskapene hevder at helseattest er den eneste gyldige juridiske dokumentasjonen for å få fritak.
Datatilsynet vurderer imidlertid dette kravet som inngripende, og mener nettselskapene ikke har rettslig grunnlag for å behandle slike sensitive helseopplysninger. Til tross for dette fastholder RME i sitt svar at praksisen er i tråd med gjeldende forvaltningspraksis – og at det ikke er aktuelt å endre standpunkt.
RMEs avvisende holdning har skapt reaksjoner, og det er grunn til å tro at svaret vil vekke debatt internt i Datatilsynet – særlig med tanke på opplevelsen av at RME ser bort fra personvernhensyn og annen relevant lovgivning.
Les RME sitt svarbrev av 30. september [HER].
Datatilsynets brev til RME av 30. august finner du [HER].
Datatilsynets brev til nettselskapene fra 16. desember 2020 ligger [HER].
Alle svarene fra nettselskapene er samlet [HER].
RME regulerer nettselskapene, som har monopol på levering av nettjenester, og RMEs oppgave er å sørge for at bransjen overholder regelverket.
Det er både oppsiktsvekkende og frustrerende at Reguleringsmyndigheten for energi (RME), ved seksjonsleder Mari Holen Christensen og jurist Catharina Hovind, har valgt å svare Datatilsynet i en så arrogant og avvisende tone. At de uten forbehold setter sine navn på et slikt svarbrev, er i seg selv bemerkelsesverdig.
Ordlyden i brevet utstråler en holdning der NVE synes å sette sin egen forvaltningspraksis over gjeldende lovverk – som om egne vurderinger alene skal veie tyngre enn juridisk dokumenterte rettsregler. Brevet fremstår som en bekreftelse på at NVE bygger sin praksis på synsing heller enn lovhjemler, og at de anser egne tolkninger som rettsgrunnlag også uten eksplisitt støtte i loven. Når NVE-RME selv omtaler sine svar som “etter beste evne”, vitner det om en urovekkende mangel på juridisk presisjon i forvaltningsarbeidet.
Særlig graverende er uttalelsen fra jurist Catharina Hovind, som hevder at NVEs forvaltningspraksis i seg selv utgjør tilstrekkelig rettsgrunnlag under personvernforordningen (GDPR) for å kreve helseattester. Det er et alvorlig avvik fra grunnleggende forvaltningsrett og personvernlovgivning, spesielt all den tid NVE ikke er forvaltningsmyndighet for personopplysningsloven eller GDPR – dette er Datatilsynets mandat.
Nettselskapene har mottatt et tydelig og alvorlig signal fra Datatilsynet om at deres behandling av helseopplysninger ikke har tilstrekkelig rettsgrunnlag, verken etter artikkel 6 nr. 1 eller artikkel 9 nr. 2 i GDPR. Likevel fortsetter RME å forsvare denne praksisen, som i realiteten undergraver det personvernet GDPR skal sikre. Det fremstår som et systematisk svikt i forståelsen av hva en rettslig forpliktelse faktisk innebærer.
Dette reiser alvorlige spørsmål om energibransjens evne – og vilje – til å etterleve grunnleggende personvernregler. Forbrukerne utsettes for en praksis som i beste fall er juridisk tvilsom og i verste fall bevisst ulovlig, alt for å få innvilget et lovlig fritak fra AMS-ordningen i henhold til avregningsforskriften § 4-1 bokstav b.
For at nettselskapene skal kunne behandle helseopplysninger må de ha særskilt hjemmel i forskriften. Det må stå i klartekst i hjemmelen at det er en plikt, som f.eks. førerkortforskriften vedlegg 1 § 4. Helseattest. Nettselskapene kan ikke dokumentere behandlingsgrunnlaget med den rettslige plikten ifølge svarene til Datatilsynets brev 16.12.2020. Dette bekrefter RME siden de har svart det samme.
Datatilsynet og behandlingsgrunnlag - Nødvendig for å oppfylle en rettslig plikt.
NVE synes å definere egne meninger som både forvaltningspraksis og rettskildefaktor. Men uansett hvor mange vedtak NVE fatter basert på denne praksisen, kan det ikke rettferdiggjøre en praksis som bryter med annen gjeldende lovgivning – i dette tilfellet personopplysningsloven. Når praksisen strider mot overordnet lovverk, er den per definisjon ulovlig.
Det NVE i realiteten hevder, er at så lenge de vedtar noe ofte nok, blir det automatisk lovlig. Det er en oppsiktsvekkende påstand – og et rettssyn som underminerer både maktfordelingen mellom myndigheter og rettssikkerheten for individet.
Forbrukere som ønsker fritak fra AMS, står i dag overfor et regelverk der avgjørende kriterier ikke er nedfelt i verken lover eller forskrifter, men i NVEs egne tolkninger. Hvordan skal en vanlig borger forstå sin rettsstilling når kravene er basert på uoffisielle meninger fremfor eksplisitt rettsgrunnlag? Dette skaper rettsusikkerhet og uthuler borgernes rettsvern.
Dersom NVE virkelig mente at det skulle kreves legeerklæring for fritak fra AMS, hvorfor ble dette ikke tydeliggjort i forskriftsteksten til avregningsforskriften § 4-1 andre ledd bokstav b? Svaret kan synes åpenbart: Et slikt krav ville kommet i direkte konflikt med personopplysningsloven og personvernforordningen (GDPR), som Datatilsynet forvalter. Det er ikke hjemmel for å behandle slike helseopplysninger uten klar rettslig forpliktelse – noe nettselskapene og RME åpenbart ikke har dokumentert.
Det er alvorlig når en reguleringsmyndighet som NVE viser en så grunnleggende misforståelse av hva som utgjør rettslig forankret praksis. Forvaltningen er bundet av lov, ikke av egne oppfatninger. Å hevde at forvaltningspraksis i seg selv skaper rett, uten hjemmel i lov, er både prinsipielt og juridisk uholdbart.
Det er å håpe at Datatilsynet tar sitt ansvar på alvor og fatter et vedtak som pålegger RME og nettselskapene et overtredelsesgebyr av betydelig størrelse. Alvoret i personvernbruddene som er begått, tilsier at en streng reaksjon er både nødvendig og riktig.
Ifølge personvernforordningen (GDPR) artikkel 83 punkt 6, kan overtredelsesgebyr ilegges med inntil 20 millioner euro – eller opptil 4 % av foretakets globale årlige omsetning i foregående regnskapsår – avhengig av hvilket beløp som er høyest. Denne rammen gir et klart signal om hvor alvorlig regelverket vurderer slike brudd.
Forbrukere som har vært utsatt for ulovlig behandling av helseopplysninger i forbindelse med AMS-fritak, bør vurdere å kreve erstatning dersom Datatilsynet fatter et endelig vedtak med overtredelsesgebyr. Det følger av artikkel 82 i GDPR at enhver som har lidd materiell eller ikke-materiell skade som følge av en overtredelse, har rett til erstatning fra den behandlingsansvarlige eller databehandleren. Lenke til nyheter.
Datatilsynets vedtak kan påklages til Personvernnemnda, men bør i første omgang danne grunnlag for ansvarliggjøring av både nettselskapene og deres tilsynsmyndighet. Dette reiser også spørsmål om hvorvidt NVE-direktør Kjetil Lund, som øverste leder for behandlingsansvarlig myndighet, har gjort en reell vurdering av de potensielt omfattende konsekvensene bruddene på personvernforordningen kan medføre – både økonomisk og institusjonelt.
I lys av sakens alvor bør dette være en vekker – ikke bare for nettselskapene, men for hele energibransjen og de offentlige organene som har ansvar for lovmessig og rettferdig forvaltning.
Datatilsynet fattet vedtak den 30. mars 2022 i denne saken. RME ble hørt
Datatilsynet har vurdert fritaket opp allmennhetens interesse, men har ikke fått med seg at strømmåleren står i en privat el-installasjon. Ditt private strømforbruk er dine private personopplysninger. Hvordan kan noe som er installert i et privat hjem være av allmenhetens interesse? Det private hjemmet er beskyttet etter Grunnlovens § 102 som sier at alle har rett til respekt for kommunikasjonen sin.
Datatilsynet har ikke fått med seg at nettselskapet har en plikt til å installere AMS. Det står ingen plasser at kunden har plikt til å ta imot.
Datatilsynet har hengt seg opp i dokumenterbar ulempe som går under personvernforordningen art. 6 så lenge det ikke er helseopplysninger. Art. 9 nr. 1 sier at det er forbudt å behandle helseopplysninger om man ikke har et unntak etter art. 9 nr. 2.
RME har heller ikke vurdert de berørte private interesser etter Energiloven § 1-2.(Formål).
Avslutningen av saken hos Datatilsynet er påklaget. Ams.monster vil komme med et eget innlegg som vil vise at Datatilsynet har vurdert saken på feil grunnlag.