Er nettselskapene i ferd med å bli nervøse etter brevet fra Datatilsynet?

Datatilsynet har mottatt en rekke klager fra kunder som reagerer på nettselskapenes absolutte krav om legeattest for å få fritak fra installasjon av AMS-målere. Spørsmålet mange nå stiller seg er om Datatilsynet vil tørre å ilegge nettselskapene overtredelsesgebyr for brudd på personopplysningsloven. Man kan bare håpe at de tar affære, gitt alvoret i at nettselskapene har hentet inn helseopplysninger fra sluttbrukere uten rettslig grunnlag.

Brevet fra Datatilsynet, datert 16. desember 2020, ble sendt til følgende nettselskaper: Elvia, Agder Energi Nett, BKK Nett, Glitre Energi Nett, Haugaland Kraft Nett, Lyse Elnett, Norgesnett, Skagerak Nett, Tensio TS og Troms Kraft Nett. Svarene fra enkelte av selskapene kan du lese her.

Nettselskapene har samlet inn helseopplysninger – som legeerklæringer – uten å ha nødvendig behandlingsgrunnlag i henhold til personvernforordningen artikkel 6 nr. 1. Dette gjelder også sensitive personopplysninger, regulert av artikkel 9 nr. 2, som eksplisitt forbyr behandling av helseopplysninger uten gyldig unntak.

Datatilsynet har publisert informasjon om virksomheters plikter, som kan leses via deres nettsider.

Ifølge NVE-rapport 24-2019 har nettselskapene systematisk og ulovlig innhentet over 7200 legeattester uten hjemmel i lov. Tallene ble sist oppdatert i januar 2019, og det er grunn til å tro at omfanget er betydelig større i dag. En oppdatert rapport fra NVE er blitt utsatt – kanskje fordi den vil bekrefte den omfattende og urettmessige praksisen i bransjen?

Bør NVE få passet påskrevet?

Man kan håpe at Datatilsynet nå retter et kritisk blikk også mot NVE (Norges vassdrags- og energidirektorat). NVE har i sin forvaltningspraksis utformet retningslinjer som ikke bare mangler forankring i lovverket, men som i enkelte tilfeller ser ut til å stå i direkte strid med det. Det er alvorlig at en tilsynsmyndighet – som skal sikre lovlig drift – gir føringer som kan tolkes som oppfordringer til lovbrudd. Eksempler på slike brev fra NVE finnes og illustrerer denne praksisen.

Samtidig må det understrekes at nettselskapene er private aktører, og som sådan har de et selvstendig ansvar for å følge gjeldende lovverk – uavhengig av hvilke signaler de får fra NVE eller RME. Likevel ser vi at mange nettselskaper velger å lytte utelukkende til NVE, selv når dette innebærer lovbrudd.

Flere kunder har gjort nettselskapene oppmerksomme på at det er straffbart å innhente helseopplysninger uten lovlig behandlingsgrunnlag. Til tross for dette fortsetter mange av selskapene praksisen. Blant de mest fremtredende lovbryterne finner vi Elvia (tidligere Hafslund Nett og Eidsiva Nett), fulgt av Agder Energi Nett, Skagerak Nett og Glitre Energi Nett. Men dette gjelder ikke bare disse – de fleste nettselskaper, med unntak av Vokks Nett, krever legeattest for fritak fra AMS.

Et eksempel på villedende kommunikasjon kommer fra Skagerak Nett, som i sin korrespondanse hevder at de ikke stiller krav om legeattest, men at kunden har “rett” til å levere en for å få fritak. Dette er i praksis et indirekte krav. En slik omskriving av virkeligheten skaper uklarhet og undergraver kundens rettigheter.

Kan nettselskapene vente seg millionbøter fra Datatilsynet?

Datatilsynet har nylig gitt Innovasjon Norge et overtredelsesgebyr på én million kroner for manglende behandlingsgrunnlag i henhold til personvernforordningen artikkel 6 og 9. Saken gjaldt fire ulovlige kredittvurderinger av en enkeltperson og dennes enkeltpersonforetak – uten rettslig hjemmel. Les mer om saken hos Datatilsynet.

Denne boten fremstår som liten sammenlignet med de potensielle konsekvensene nettselskapene nå står overfor. Over 120 selskaper har krevd legeerklæring fra kunder som ønsker fritak fra AMS-målere – uten å ha lovlig grunnlag for å behandle slike sensitive helseopplysninger. Hvis Datatilsynet anvender samme prinsipper som i saken mot Innovasjon Norge, kan dette bli svært kostbart for nettselskapene.

Nettselskapene har nå svart på Datatilsynets brev. Mange av dem forsøker å skyve ansvaret over på NVE og dets forvaltningspraksis – et forsvar som neppe vil holde, da private aktører har et selvstendig ansvar for å følge lovverket. Dette er samme holdning de har vist overfor kundene: unnvikende, bortforklarende og til tider direkte villedende.

Her er noen av svarene som er sendt Datatilsynet:

• Agder Energi Nett: Har tråkket kraftig feil i sin redegjørelse om krav til legeerklæring.

• Elvia: Har besvart Datatilsynets krav om forklaring vedrørende behandling av helseopplysninger.

• Glitre Energi Nett: Har redegjort for ulovlig innsamling av legeattester.

• Skagerak Nett: Forklarer sin praksis rundt helseopplysninger i forbindelse med AMS-fritak.

Dersom ditt nettselskap har krevd legeerklæring, kan du sende en klage til Datatilsynet. Skjemaet finner du her.

I et intervju med digi.no bekrefter juridisk direktør i Datatilsynet, Jørgen Skorstad, at det er flere pågående saker der det vil bli varslet gebyrer "vesentlig høyere enn vi har sett i Norge til nå." Han understreker at de ikke kan uttale seg i detalj før sakene er ferdigbehandlet og vedtakene sendt ut.

Les mer i artikkelen hos digi.no: Fikk Norges høyeste GDPR-bot: Nå varsler Datatilsynet vesentlig høyere bøter i mer alvorlige saker.