Klage over Radius' fjernaflæsning af elmålere

Dato: 10-02-2023

På baggrund af en klage over Radius' fjernaflæsning af elmålere har Datatilsynet vurderet, at behandlingen af personoplysninger er sket inden for rammerne af databeskyttelsesforordningen og nationale særregler.

Journalnummer: 2021-31-5478

Resume

Datatilsynet har truffet afgørelse i en sag, hvor en række borgere klagede over Radius Elnet A/S’ behandling af personoplysninger, idet virksomheden via fjernaflæste elmålere indsamler personoplysninger om klagernes elforbrug i kWh på timebasis og herefter indberetter oplysningerne til Energinet.

Radius er en netvirksomhed, dvs. en virksomhed, der driver distributionsnet til el i Danmark. I denne forbindelse indsamler Radius forbrugsdata hos elkunder, herunder klagerne, via fjernaflæste elmålere.

Datatilsynet fandt i sin afgørelse, at Radius’ behandling af personoplysningerne var sket inden for rammerne af databeskyttelsesforordningen og de nationale særregler, der tilpasser anvendelsen af forordningen. Sagen har været behandlet i Datarådet.

Datatilsynet fandt overordnet:

  1. at Radius’ behandling af personoplysninger med henblik på (i) afregning og (ii) at sikre forsyningssikkerheden samt tilstrækkelig kvalitet og kapacitet i elnettet er nødvendig for at overholde en retlig forpligtelse, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra c,
  2. at databeskyttelsesforordningens artikel 25, stk. 1, ikke finder anvendelse på den omhandlede behandlingsaktivitet, idet aktiviteten blev iværksat inden den 25. maj 2018, hvor forordningen fandt anvendelse, og
  3. at der ikke var grundlag for at fastslå, at de behandlingsaktiviteter, som Radius foretager på baggrund af sin retlige forpligtelse, var i strid med proportionalitetsprincippet i databeskyttelsesforordningens artikel 5, stk. 1, litra c.

Ad 1)

Datatilsynet lagde vægt på, at det fremgår klart og præcist af det lovgrundlag, som Radius som netvirksomhed er underlagt, at Radius som netvirksomhed skal indsamle oplysninger om elforbrug mv. på timebasis og indberette oplysningerne til Energinet, og at det skal ske på en nærmere angiven måde. Endvidere lagde Datatilsynet vægt på, at indsamling af oplysninger om elforbrug mv. med henblik på at sikre forsyningssikkerheden samt kvalitet og kapacitet i elnettet indgår som en integreret del af forpligtelsen om at stille fornøden transportkapacitet til rådighed og give adgang til transport af elektricitet i elforsyningsnettet, samt at sikre den tekniske kvalitet i nettet, som Radius er underlagt som netvirksomhed.

I den forbindelse bemærkede Datatilsynet, at oplysninger om elforbrug mv. som udgangspunkt ikke i sig selv udgør særlige kategorier af personoplysninger omfattet af databeskyttelsesforordningens artikel 9.

I udvalgte tilfælde og under visse omstændigheder kan personoplysninger anses som følsomme personoplysninger, selvom oplysningerne almindeligvis ikke skal anses som følsomme. Det gælder bl.a., hvis oplysningerne via en intellektuel refleksion, fx deduktion, kan afsløre følsomme oplysninger om en person.  Det kan eksempelvis være tilfældet, hvor en persons navn, der ikke i selv er en følsom personoplysning, fremgår af en oversigt over patienter, der er indlagt på onkologisk afdeling.

Det er dog – efter Datatilsynets opfattelse – ikke tilfældet, hvis det forudsætter gennemførelse af komplekse analyser eller lign. for at udlede følsomme personoplysninger, fx oplysninger om religiøs overbevisning ud fra oplysninger om elforbrug mv., hvis sådanne analyser mv. ikke faktisk gennemføres som led i den pågældende behandlingsaktivitet.

Ad 2)

Med hensyn til spørgsmålet om databeskyttelse gennem design og gennem standardindstillinger vurderede Datatilsynet, at formålene med og hjælpemidlerne til den omhandlede behandling af personoplysninger, dvs. indsamling af oplysninger om elforbrug mv. på timebasis til brug afregnings- og systemdriftsformål, under alle omstændigheder senest var blevet fastlagt i december 2017, hvor den såkaldte flexafregning blev idriftsat af Energinet, hvorefter netvirksomhederne, herunder Radius, har været forpligtet til at indsamle og indberette de oplysninger om elforbrug mv. til datahubben.

Der var dermed tale om en behandlingsaktivitet, der blev iværksat inden den 25. maj 2018, hvorfor databeskyttelsesforordningens artikel 25, stk. 1, ikke fandt anvendelse på behandlingsaktiviteten. Den omstændighed, at der (fortsat) er sket udskiftning af elmålere hos elkunder i perioden 25. maj 2018 til den 31. december 2020 kunne efter Datatilsynets opfattelse ikke føre til et andet resultat.

Ad 3)

For så vidt angår spørgsmålet om proportionalitet fandt Datatilsynet efter en samlet vurdering, at der ikke var grundlag for at fastslå, at de behandlingsaktiviteter, som Radius foretager på baggrund af den nævnte retlige forpligtelse efter elforsyningsloven mv., var i strid med proportionalitetsprincippet i databeskyttelsesforordningens artikel 5, stk. 1, litra c.

Datatilsynet lagde navnlig vægt på, at det fremgår klart og specifikt af lovgivningen, at netvirksomhederne, herunder Radius, er forpligtet til at kontrollere rigtigheden af de oplysninger, der indberettes til datahubben, og at denne kontrol forudsætter adgang til de konkrete måleværdier, der indsamles på timebasis.

Endvidere fandt Datatilsynet, at der ikke var grundlag for at tilsidesætte vurderingen af, at det er nødvendigt at kontrollere de individuelle måleværdier, som forudsat i lovgivningen, og at der ikke var grundlag for at fastslå, at der fandtes andre, mindre indgribende måder at behandle de omhandlede oplysninger, henset til det mål som forfølges.

Datatilsynet lagde endelig lagt vægt på, at den af klagerne foreslåede metode – efter klagernes egne oplysninger – ikke var egnet til at kontrollere de individuelle måleværdier, og at metoden alene gjorde det muligt at kontrollere rigtigheden af aggregerede måleværdier på månedsbasis.

Afgørelse

Datatilsynet vender hermed tilbage i sagen, hvor [klagerne] den 26. august 2021 har klaget over Radius Elnet A/S’ (herefter Radius) behandling af personoplysninger, idet virksomheden via fjernaflæste elmålere indsamler personoplysninger om klagernes elforbrug i kWh på timebasis og indberetter oplysningerne til den såkaldte datahub.

Sagen har været behandlet i Datarådet.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at Radius’ behandling af personoplysninger er sket inden for rammerne af databeskyttelsesforordningen og de nationale særregler[1], der tilpasser anvendelsen af databeskyttelsesforordningen.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Radius er en netvirksomhed, dvs. en virksomhed, der driver distributionsnet til el i Danmark. I denne forbindelse indsamler Radius forbrugsdata hos elkunder, herunder klagerne, via fjernaflæste elmålere.

Oplysningerne, som Radius indsamler, er elforbrug på timebasis målt i kWh, som sendes til virksomheden hver 6. time. Derudover indsamler Radius oplysninger fra elmåleren af en mere teknisk karakter. Det drejer sig om:

  • hvorvidt der mangler spænding på måleren, dvs. at der er en afbrudt forbindelse i elnettet med den følge, at Radius ikke kan opnå kontakt til måleren,
  • hvorvidt der er registreret over-/underspænding eller en 0-fejl på måleren, dvs. hvis spændingskvaliteten ikke er, som den skal være,
  • eventuelle fejlmeddelelser på måleren.

Disse oplysninger indsamles også hver 6. time.

I forbindelse med fejlmeddelelser mv. kan Radius trække en rapport fra måleren med de tekniske værdier, effektbelastningen, registrerede forstyrrelser mv. for at udbedre eventuelle fejl i elforsyningen.

2.1. Radius’ bemærkninger

Radius har overordnet anført, at virksomheden indsamler klagernes personoplysninger via fjernaflæste elmålere for at overholde sine forpligtelser over for energimarkedet og for at sørge for en sikker og effektiv drift af elnettet. Radius er forpligtet til at indsamle oplysninger om elforbrug og overføre disse til den såkaldte datahub. Forpligtelsen følger af elforsyningsloven og Energinets[2] markedsforskrifter, der er udstedt på baggrund af elforsyningsloven. Oplysningerne bruges til afregning af forbrug og balancering af elmarkedet.

Derudover har Radius anført, at virksomheden behandler personoplysninger relateret til tekniske forhold med henblik på at sikre en ordentlig spændingskvalitet, forsyningssikkerhed og tilstrækkelig kapacitet gennem planlægning, drift og vedligeholdelse af distributionsnettet i det område, som Radius har bevilling til at drive netvirksomhed i.

Radius har anført, at behandlingen af personoplysningerne således sker som følge af de retlige forpligtelser, som virksomheden er underlagt efter elforsyningsloven og regler udstedt i medfør heraf, og dermed sker på baggrund af databeskyttelsesforordningens artikel 6, stk. 1, litra c.

Med hensyn til de nærmere retlige forpligtelser, som Radius er underlagt, har virksomheden henvist til elforsyningslovens § 22:

§ 22. En netvirksomhed skal

  1. opretholde den tekniske kvalitet i nettet,
  2. måle den elektricitet, der transporteres igennem virksomhedens net, og den elektricitet, der leveres til elkunder eller aftages fra elproducenter inden for netvirksomhedens netområde, […]

Stk. 3. Netvirksomheden indberetter oplysninger vedrørende virksomhedens aftagenumre til datahubben. Indberetningen skal ske i henhold til forskrifter udstedt af Energinet om forbrug af elektricitet, tarifoplysninger og andre oplysninger af betydning for elhandelsvirksomhedernes fakturering, jf. § 72 b, stk. 1. Netvirksomheden varsler ændringer i priser og vilkår via datahubben. […]

Stk. 5. Energi-, forsynings- og klimaministeren kan fastsætte regler om gennemførelsen af bestemmelserne i stk. 1, nr. 1-6, og stk. 2 og 3, herunder om måling af elektricitet, om opgaver og mål for de energibesparelser, som virksomhederne samlet eller enkeltvis skal sikre bliver opnået, om dokumentation, indberetning og verifikation, om afholdelse af nærmere angivne fællesomkostninger og om varsling af ændringer i priser og vilkår via datahubben. Energi-, forsynings- og klimaministeren kan fastsætte regler om, at visse energibesparelsesaktiviteter, jf. stk. 1, nr. 5, skal ske efter udbud, og regler for udbuddets afholdelse og for virksomhedernes finansiering af de udbudte opgaver. […]”

Bemyndigelsen i elforsyningslovens § 22, stk. 5, er blevet benyttet til at fastsætte bekendtgørelse nr. 75 af 25. januar 2019 om fjernaflæste elmålere og måling af elektricitet i slutforbruget. Heraf fremgår bl.a. følgende:

§ 2. Netvirksomhederne skal sikre, at der inden den 31. december 2020 er idriftsat fjernaflæste elmålere hos alle slutbrugere.

Stk. 2. Fjernaflæste elmålere skal opfylde kravene i §§ 4-7, jf. dog § 11. […]

§ 4. En fjernaflæst elmåler skal kunne

  1. registrere aftag og levering af elektricitet i det kollektive elforsyningsnet særskilt og med en registrering hvert 15. minut eller med kortere intervaller,
  2. ændre indstillinger for registreringsfrekvensen via et fjernaflæsningssystem, og
  3. lagre målte data til brug for forbrugsafregning.

Stk. 2. Målersystemet skal kunne registrere forsyningsafbrud hos forbrugeren og på forespørgsel fra netvirksomheden overføre afbrudsdata. […]

§ 5. En fjernaflæst elmåler skal være i stand til at videreformidle målte data om aftag og levering af elektricitet for de enkelte tidsserier til netvirksomheden og en ekstern enhed. Den fjernaflæste elmåler skal som minimum kunne bringes til at vise akkumulerede værdier for aftag og levering af elektricitet samt den aktuelle elektriske effekt.

§ 6. Intervallet for overførsel af målte data til netvirksomheden skal kunne justeres og tilpasses selskabernes afregnings- og faktureringsrutiner i henhold til forskrifter udstedt af Energinet.

Stk. 2. Målte data skal til enhver tid kunne indhentes fra den fjernaflæste elmåler af netvirksomheden.”

Bekendtgørelsen indeholder derudover en forpligtelse for netvirksomhederne til at indsende de målte forbrugsdata til datahubben:

§ 8. Netvirksomhederne indsender timemålte forbrugsdata til datahubben fra de af netvirksomhedernes slutbrugere, hvor der er idriftsat fjernaflæste elmålere, når der i forskrifter udstedt af Energinet er indført en model for timeafregning af alle slutbrugere.”

Radius har endvidere anført, at Energinet siden december 2017 har været klar til at modtage timemålinger og afregne på baggrund heraf (såkaldt flexafregning). Det har muliggjort en gradvis indfasning for netvirksomheder, og siden 1. januar 2021 har det været en forpligtelse for netvirksomheder, at alle slutbrugere timemåles og -afregnes i elmarkedet. Det er dermed ikke i overensstemmelse med lovgivningen at måle forbruget på andre måder end ved timemålinger. Såvel forbrug som produktion, som sendes fra eller til elnettet fra forbrugere og producenter, bliver opgjort time for time og afregnet time for time i elmarkedet via datahubben. Det er hele elmarkedet, der afregnes på timeniveau, dvs. såvel netydelsen, elhandelydelsen, og Energinets balancering af markedet. Timedataene er derfor afgørende for hele elmarkedets opbygning, afregning og balancering.

Endvidere har Radius henvist til, at virksomheden efter elforsyningslovens § 22, stk. 3, er forpligtet til at indberette oplysninger om bl.a. elforbrug til datahubben i henhold til forskrifter udstedt af Energinet.

Energinet fastsætter de mere detaljerede målerkrav, som netvirksomhederne skal leve op til, herunder at virksomhederne skal validere de indhentede data, og hvornår oplysningerne skal indsendes til datahubben. Det følger af § 8 i bekendtgørelse nr. 1067 af 28. maj 2021 om systemansvarlig virksomhed og anvendelse af eltransmissionsnettet mv., der er udstedt i medfør af bl.a. lovbekendtgørelse nr. 1161 af 5. august 2022 om Energinet.

Energinets målerkrav følger bl.a. af Energinets markedsforskrift D.1. Af § 11, stk. 1, i forskriften følger, at netvirksomheder skal levere målerværdierne på målepunkter senest på 5. arbejdsdag efter det målte døgn:

”Netvirksomheden skal hjemtage 15/60-værdier på samtlige flexafregnede målepunkter i eget netområde i perioden 1. arbejdsdag efter driftsdøgnet til 5. arbejdsdag kl. 21.00 efter driftsdøgnet.”

Endvidere har netvirksomhederne en pligt til at kontrollere rigtigheden af data, hvilket følger af § 2 i markedsforskriften:

§ 2. Netvirksomheden er måleansvarlig for alle målepunkter i sit netområde, der direkte eller indirekte indgår i afregningen med elleverandør, balanceansvarlig, netvirksomhed og/eller Energinet. Det er derved netvirksomhedens pligt at:

  1. målinger bliver foretaget og hjemtaget, alternativt estimeret
  2. kontrollere rigtigheden af målingerne
  3. fremsende målinger pr. målepunkt til DataHub
  4. kontrollere rigtigheden af måledata i DataHub
  5. garantere fortrolighed og diskretion omkring måledata

Stk. 2. Netvirksomheden skal mindst én gang månedligt kontrollere, om de måledata, der ligger i DataHub indtil 3 år tilbage, er identiske med dem, der ligger i netvirksomhedens egne systemer.

Stk. 3. Kontrol af måledata skal som minimum foretages på følgende måde, jf. dog § 30:

  1. Der skal månedligt udtages en tilfældig stikprøve på månedssummer for 15/60-målinger for mindst 400 målepunkter indtil 3 år tilbage, uanset mængden af data for pågældende netvirksomhed.
  2. Hvis hele stikprøven er fejlfri, foretages der ikke yderligere. Hvis der derimod er den mindste inkonsistens, tjekkes månedssummer for samtlige data i de to databaser 3 år tilbage, idet netvirksomheden genfremsender alle data, der ikke er identiske.

 Stk. 4. Netvirksomheden kan alternativt springe stikprøvekontrollen over og i alle tilfælde tjekke samtlige data hver måned, jf. stk. 3, nr. 2.”

Radius har anført, at virksomheden som netvirksomhed således har en retlig forpligtelse til at indsamle timemålinger fra elmålere og indsende disse til datahubben.

Dataene og de tekniske alarmer, som Radius indsamler, er derudover nødvendige for en sikker og fremtidssikret drift af elnettet. Radius har pligt til at sørge for den tekniske kvalitet i elnettet, jf. elforsyningslovens § 22, stk. 1, nr. 1, og har hertil brug for oplysninger om kapacitet, belastning, elkvalitet og fejl i elnettet og måleren.

Endelig har Radius anført, at virksomheden ikke kan overholde sine retlige forpligtelser i elforsyningsloven samt bekendtgørelser og forskrifter udstedt i medfør heraf ved at indsamle personoplysninger om elforbrug på anden vis. Radius skal som netvirksomhed indsamle og indsende målerdata til datahubben i overensstemmelse med forskrifter fastsat af Energinet for at opretholde sin bevilling til at drive netvirksomhed, og Radius kan ikke overholde disse forpligtelser uden adgang til konkrete målinger.

2.2. Klagernes bemærkninger

Klagerne har overordnet anført, at Radius’ indsamling af oplysninger om elforbrug mv. er disproportional, idet virksomheden indsamler yderligere oplysninger end det, der er nødvendigt til formålet. Derudover lever behandlingsaktiviteten ikke i fornødent omfang op til kravene om databeskyttelse gennem design og gennem standardindstillinger. Der findes ifølge klagerne en mere privatlivsfremmende måde at indsamle de nødvendige oplysninger på.

Behandlingsaktiviteten sker dermed ifølge klagerne i strid med databeskyttelsesforordningens artikel 5, stk. 1, litra c, og artikel 25, stk. 1.

Klagerne har foreslået en alternativ måde, hvorpå Radius kan indsamle de nødvendige elforbrugsoplysninger i overensstemmelse med såvel elforsyningsloven mv. og databeskyttelsesreglerne. Det er klagernes opfattelse, at den foreslåede fremgangsmåde – modsat den nuværende – vil være i overensstemmelse med reglerne om proportionalitet og databeskyttelse gennem design og standardindstillinger.

Fremgangsmåden består overordnet i, at de fjernaflæste elmålere skal sende oplysninger om forbrug af el og transport af el i såvel kWh som kroner og ører til datahubben på en sådan måde, at oplysningerne alene kan aflæses af elmåleren og elkunden. Det skal ske ved, at oplysningerne krypteres i elmåleren og sendes krypteret til datahubben. Elkunden kan tilgå oplysningerne i datahubben via en krypteringsnøgle, som eksempelvis fremgår fysisk af elmåleren. På den måde vil kunden fortsat have adgang til sit timebaserede forbrug.

Prisberegning skal ske ved, at alle gældende priser fra elhandelsvirksomhederne sendes til den enkelte elmåler en til fire gange i timen. Det vil gøre måleren i stand til at udregne den samlede pris på selve elmåleren. Med hensyn til den konkrete timepris, som afhænger af elkundens konkrete aftale med elleverandøren, vil prisberegning ske ved, at måleren via kommunikation med datahubben fastlægger, hvilken elhandelsvirksomhed elkunden har en aftale med, og hvilken af de aktuelle priser måleren derfor skal lægge til grund for beregningen.

Måleren kan herefter beregne og indsende følgende målepunkter for den forgangne måned til datahubben:

  • det samlede elforbrug (målt i såvel kWh som i kroner og ører)
  • den totale indkøbspris og salgspris fra elleverandøren
  • den totale indkøbspris og salgspris fra netvirksomheden
  • den totale produktion og salgspris for producent (fx i tilfælde af solceller)

Modsat de timebaserede forbrugsoplysninger vil netvirksomheden og elhandelsvirksomheden dermed kun have adgang til de månedsbaserede forbrugsoplysninger via datahubben. Disse oplysninger kan benyttes til kontrol og fakturering.

Endelig skal netvirksomheden som led i denne fremgangsmåde opsætte elmålere på gade- eller opgangsniveau. Disse målere vil gøre virksomheden i stand til at indsamle oplysninger om elforbrug på et aggregeret niveau for flere husstande, hvorved det ikke er muligt at udskille elforbruget for den enkelte husstand. Disse oplysninger kan benyttes til balancering, kapacitetsplanlægning og kontrol.

Indsamling af oplysninger af mere teknisk karakter såsom manglende spænding på elmåleren, over-/underspænding eller en 0-fejl på måleren, samt andre fejlmeddelelser kan indsamles på samme måde, som det allerede sker i dag.

Efter klagernes opfattelse kan Radius som netvirksomhed ved denne fremgangsmåde fortsat indsamle måleroplysninger i overensstemmelse med de forpligtelser, der følger af elforsyningsloven, målerbekendtgørelsen mv. Det vil dog være nødvendigt at tilpasse enkelte bestemmelser i Energinets Markedsforskrift D.1, da netvirksomheden ikke vil være i stand til at kontrollere rigtigheden af data på timeniveau, men alene på månedsniveau.                                                                        

Klagerne har derudover anført, at oplysninger om elforbrug mv. er særligt beskyttelsesværdige oplysninger og har henvist til, at det er muligt at udlede oplysninger om religion ud fra elforbruget på bestemte dage, fx på juleaften, under sabbatten og under ramadan. Det skyldes, at strømforbruget på sådanne dage vil være genkendeligt anderledes end på hverdage.[3]

Endelig har klagerne generelt henvist til afhandlingen ”Retlige rammer for anvendelse af fjernaflæste elmålere i lyset af retten til respekt for privatliv og beskyttelse af personoplysninger” af Lisa Hjerrild ved SDU, juni 2021. Afhandlingen behandler den problemstilling, der efter klagernes opfattelse er forbundet med den nuværende fremgangsmåde og henviser bl.a. til en udtalelse fra Den Europæiske Tilsynsførende (”EDPS”) fra 2012[4]. Udtalelsen er afgivet i forbindelse med en høring af EDPS i forbindelse med EU-Kommissionens vedtagelse af Kommissionens henstilling af 9. marts 2012 om forberedelserne af indførelsen af intelligente målersystemer (2012/148/EU) og omtaler en række privatlivsfremmende metoder, der bør overvejes med henblik på at sikre princippet om dataminimering.

3. Relevante retsregler

3.1. Elforsyningsloven og regler udstedt i medfør heraf

3.1.1. Udrulningen af fjernaflæste elmålere

I 2013 blev energi-, forsynings- og klimaministeren ved lov nr. 642 af 12. juni 2013 om ændring af bl.a. lov om elforsyning bemyndiget til at fastsætte regler om udskiftning eller opgradering af eksisterende elmålere til fjernaflæste målere. Bemyndigelsesbestemmelsen fik følgende ordlyd:

§ 20, stk. 2. Energi-, forsynings- og klimaministeren kan efter forelæggelse for et af Folketinget nedsat udvalg fastsætte regler om udskiftning eller opgradering af eksisterende elmålere til fjernaflæste målere.”

Af de specielle bemærkninger til bestemmelsen[5] fremgår følgende:

”Med den foreslåede nye bestemmelse i stk. 2, får klima- energi- og bygningsministeren mulighed for at fastsætte regler, der sikrer, at der udrulles fjernaflæste elmålere til hele landet. Forpligtelsen vil blive pålagt [netvirksomhederne]. Hjemlen giver mulighed for, at ministeren kan fastsætte regler om såvel udskiftning som opgradering af eksisterende målere. Ministeren vil ligeledes kunne fastsætte bestemmelser om tidshorisonten for udskiftningens eller opgraderingens gennemførelse. Efter forslaget skal reglerne forinden forelægges et af Folketinget nedsat udvalg til godkendelse.

Der er ikke truffet endelig beslutning om en hel eller delvis udrulning af fjernaflæste målere og i givet fald inden for hvilken tidshorisont. Såfremt der træffes en sådan beslutning, vil der være behov for klare regler for investeringen og tidshorisonten for dens gennemførelse. Såfremt der træffes beslutning om generel udrulning af fjernaflæste målere, vil det være nyttigt, at der med kort varsel kan etableres det nødvendige grundlag for udstedelse af et pålæg til netvirksomhederne. Dette sikres med den foreslåede bestemmelse.”

Klima-, energi- og forsyningsministeren udstedte – efter forelæggelse for Klima-, Energi- og Forsyningsudvalget – den 3. december 2013 bekendtgørelse nr. 1358 om fjernaflæste elmålere og måling af elektricitet i slutforbruget (”målerbekendtgørelsen”).

Det fremgår af § 2, stk. 1, i den dagældende bekendtgørelse, at fjernaflæste elmålere skal være idriftsat hos alle slutbrugere inden 31. december 2020. Af § 4, stk. 1, fremgår, at disse målere skal kunne registrere aftag og levering af elektricitet i det kollektive elforsyningsnet særskilt og med en registrering hvert 15. minut eller kortere intervaller.

Af § 8, stk. 1, i den dagældende bekendtgørelse fremgår, at netvirksomhederne indsender timemålte forbrugsdata til datahubben fra de af netvirksomhedernes slutbrugere, hvor der er idriftsat fjernaflæste elmålere, når der i forskrifter udstedt af Energinet er indført en model for timeafregning af alle slutbrugere.

Bekendtgørelsen er siden blevet ophævet ved ikrafttrædelsen af bekendtgørelse nr. 75 af 25. januar 2019 om fjernaflæste elmålere og måling af elektricitet i slutforbruget.

3.1.2. Måling af elektricitet mv.

Af elforsyningslovens § 20, stk. 1, nr. 1-4, fremgår følgende:

”Transmissions- og netvirksomheder skal sikre en tilstrækkelig og effektiv transport af elektricitet med tilhørende ydelser, herunder

  1. vedligeholde, om- og udbygge forsyningsnettet i forsyningsområdet i fornødent omfang,
  2. tilslutte leverandører og købere af elektricitet til det kollektive elforsyningsnet,
  3. stille fornøden transportkapacitet til rådighed og give adgang til transport af elektricitet i elforsyningsnettet og
  4. måle levering og aftag af elektricitet i nettet, jf. dog § 22, stk. 1, nr. 2.”

Endvidere fremgår af forarbejderne til § 20, stk. 1, nr. 4, i elforsyningsloven[6] følgende:

”Det fremgår af § 20, stk. 1, nr. 4, i lov om elforsyning, at det påhviler transmissions- og netvirksomheder at sikre en tilstrækkelig og effektiv transport af elektricitet med tilhørende ydelser og herunder bl.a. måle levering og aftag af elektricitet i nettet. Bestemmelsen gælder for elektricitet på alle spændingsniveauer, jf. de specielle bemærkninger til § 20 i forslag til lov om elforsyning jf. Folketingstidende 1998-1999, tillæg A side 5851.”

Af de specielle bemærkninger til § 20 i forslag til lov om elforsyning, jf. Folketingstidende 1998-99, tillæg A, s. 5899, fremgår herudover følgende:

”Bevillingshavere er forpligtet til at sikre en tilstrækkelig og effektiv transport af elektricitet gennem nettet og opretholde en forsvarlig og effektiv drift gennem vedligeholdelse samt udbygning af netinfrastrukturen inden for forsyningsområdet, herunder tilslutte producenter og forbrugere på de fastsatte vilkår. Nødvendig om- eller nybygning af transmissionsnettet skal ske i samarbejde med den systemansvarlige virksomhed og i overensstemmelse med planlægningen for transmissionsnet, jf. herom § 28, stk. 3, nr. 7 og 8.

Bevillingshavere har pligt til at foretage målinger på levering og aftag af elektricitet i nettet på alle spændingsniveauer. Målingerne skal kunne opfylde de krav, den systemansvarlige virksomhed måtte have fastsat efter bestemmelsen i § 28, stk. 3, nr. 10, til måling og indsamling af data.”

Det følger endvidere af elforsyningslovens § 22, stk. 1, at en netvirksomhed skal opretholde den tekniske kvalitet i nettet, jf. bestemmelsens nr. 1, samt måle den elektricitet, der transporteres igennem virksomhedens net, og den elektricitet, der leveres til elkunder eller aftages fra elproducenter inden for netvirksomhedens netområde, jf. bestemmelsens nr. 2.

Af forarbejderne til § 22, stk. 1, nr. 2, i elforsyningsloven[7] fremgår derudover følgende:

”Måling af elektricitet hos en elforbruger danner grundlag for en korrekt afregning af den pågældende elforbrugers forbrug af elektricitet. Korrekt måling og afregning af den forbrugte elektricitet indgår som integrerede dele af andre aktiviteter som f.eks. etablering og afvikling af installationer, montering af målere, herunder service af målere (udskiftning og kontrol af dem), aflæsning af målere, indberetning til datahub af stamdata, måleværdier og priser, opkrævning af energisparebidrag, besvarelse af kundehenvendelser vedrørende tekniske spørgsmål samt afregning af forbrug over for elforbrugerens elhandelsvirksomhed, herunder servicering af elhandelsvirksomheden ved bl.a. afbrydelser, genåbning og klagesager. Ansvar for varetagelse af alle disse aktiviteter følger den virksomhed, der har måleransvaret.”

Endvidere følger det af elforsyningslovens § 22, stk. 3, at netvirksomheden indberetter oplysninger vedrørende virksomhedens aftagenumre til datahubben. Indberetningen skal ske i henhold til forskrifter udstedt af Energinet om forbrug af elektricitet, tarifoplysninger og andre oplysninger af betydning for elhandelsvirksomhedernes fakturering.

Derudover fremgår det af elforsyningslovens § 22, stk. 5, at energi-, forsynings- og klimaministeren kan fastsætte regler om gennemførelsen af bestemmelserne i stk. 1, nr. 1-6, og stk. 2 og 3, herunder om måling af elektricitet mv.

Elforsyningslovens § 28, stk. 1, indeholder Energinets opgavevaretagelse efter elforsyningsloven. Efter § 28, stk. 1, skal Energinet bl.a. udarbejde forskrifter for netvirksomhedernes målinger, jf. § 28, stk. 1, nr. 12, samt udarbejde forskrifter, som er nødvendige for elmarkedets funktion, herunder forskrifter om aktørernes pligter og rettigheder, jf. § 28, stk. 1, nr. 13.

Endelig bemyndiges klima-, energi- og forsyningsministeren i medfør af elforsyningslovens § 28, stk. 2, til at fastsætte nærmere regler om indholdet og udførelsen af de opgaver, som påhviler Energinet efter lovens § 28, stk. 1.

Klima-, energi- og forsyningsministeren har i medfør af elforsyningsloven udstedt en række bekendtgørelser.

Bekendtgørelse nr. 75 af 25. januar 2019 om fjernaflæste elmålere og måling af elektricitet i slutforbruget (”målerbekendtgørelsen”)[8] er udstedt i medfør af bl.a. elforsyningslovens § 22, stk. 5.

Af målerbekendtgørelsens § 8, stk. 1, fremgår, at netvirksomhederne indsender timemålte forbrugsdata til datahubben fra de af netvirksomhedernes slutbrugere, hvor der er idriftsat fjernaflæste elmålere, når der i forskrifter udstedt af Energinet er indført en model for timeafregning af alle slutbrugere.

Bekendtgørelse nr. 1067 af 28. maj 2021 om systemansvarlig virksomhed og anvendelse af eltransmissionsnettet (”systemansvarsbekendtgørelsen”) er udstedt i medfør af bl.a. elforsyningslovens § 28, stk. 2.

Af § 8 i bekendtgørelsen fremgår følgende:

”Energinet skal efter drøftelse med net-, transmissions- og elhandelsvirksomheder udarbejde måleforskrifter til afregnings- og systemdriftsformål, som er nødvendige for varetagelsen af Energinets opgaver. Måleforskrifterne skal indeholde krav til net- og transmissionsvirksomhedernes målinger af forbrug, produktion og eludveksling, herunder krav til:

  1. omfanget af de målinger, som selskaberne skal foretage, herunder i hvilken grad elforbrug skal måles,
  2. nøjagtigheden af de enkelte målinger, og
  3. formidlingen af målinger til berørte parter, herunder inden for hvilke tidsfrister målingerne skal videreformidles”

Energinet har i medfør af bl.a. systemansvarsbekendtgørelsens § 8, stk. 1, udstedt Markedsforskrift D.1: Afregningsmåling og afregningsgrundlag.

Af forskriftens § 11 fremgår bl.a. følgende:

”Netvirksomheden skal hjemtage 15/60-værdier[9] på samtlige flexafregnede målepunkter i eget netområde i perioden 1. arbejdsdag efter driftsdøgnet til 5. arbejdsdag kl. 21.00 efter driftsdøgnet.”

Endvidere har netvirksomheder efter forskriftens kapitel 2 en pligt til at kontrollere rigtigheden af de oplysninger, som virksomheden indberetter til Energinet. Af kapitlet fremgår følgende:

Kapitel 2 – Generelle regler for måling

§ 2. Netvirksomheden er måleansvarlig for alle målepunkter i sit netområde, der direkte eller indirekte indgår i afregningen med elleverandør, balanceansvarlig, netvirksomhed og/eller Energinet. Det er derved netvirksomhedens pligt at:

  1. målinger bliver foretaget og hjemtaget, alternativt estimeret
  2. kontrollere rigtigheden af målingerne
  3. fremsende målinger pr. målepunkt til DataHub
  4. kontrollere rigtigheden af måledata i DataHub
  5. garantere fortrolighed og diskretion omkring måledata

Stk. 2. Netvirksomheden skal mindst én gang månedligt kontrollere, om de måledata, der ligger i DataHub indtil 3 år tilbage, er identiske med dem, der ligger i netvirksomhedens egne systemer.

Stk. 3. Kontrol af måledata skal som minimum foretages på følgende måde, jf. dog § 30:

  1. Der skal månedligt udtages en tilfældig stikprøve på månedssummer for 15/60-målinger for mindst 400 målepunkter indtil 3 år tilbage, uanset mængden af data for pågældende netvirksomhed.
  2. Hvis hele stikprøven er fejlfri, foretages der ikke yderligere. Hvis der derimod er den mindste inkonsistens, tjekkes månedssummer for samtlige data i de to databaser 3 år tilbage, idet netvirksomheden genfremsender alle data, der ikke er identiske.

Stk. 4. Netvirksomheden kan alternativt springe stikprøvekontrollen over og i alle tilfælde

tjekke samtlige data hver måned, jf. stk. 3, nr. 2.

§ 3. Måledata pr. målepunkt skal altid være positive, uanset hvilken type målepunkt måledata indsendes på.

§ 4. Elleverandøren skal kontakte netvirksomheden eller DataHub, hvis elleverandøren konstaterer fejl og/eller værdier, der afviger fra det forventede i måledata pr. målepunkt.

Stk. 2. Ved inkonsistens mellem måledata pr. målepunkt og sum pr. elleverandør jf. §§ 34,

35 og 37, skal elleverandøren kontakte Energinet eller netvirksomheden.

Stk. 3. Balanceansvarlig skal kontakte Energinet, hvis denne konstaterer inkonsistens mellem summer pr. [elleverandør] og balanceansvarlig jf. §§ 34, 35 og 37.

Stk. 4. Netvirksomheden skal indsende korrigerede data til DataHub, hvis netvirksomheden konstaterer fejl i de fremsendte måledata pr. målepunkt. Ved inkonsistens mellem målepunkt pr. målepunkt og sum pr. netområde jf. §§ 34, 35 og 37, skal netvirksomheden kontakte Energinet.

Stk. 5. Det er ikke tilladt at fremsende korrigerede tidsserier sammen med ikke-korrigerede

tidsserier. Dog kan netvirksomheden i tidsrummet fra 3. arbejdsdag efter driftsdøgnet kl. 10.00 til 5. arbejdsdag efter [driftsdøgnet] kl. 21.00 fremsende samtlige tidsserier, hvis første fremsendelse har været fejlagtig.

Generelle regler for 15/60-målinger

§ 5. Ved modtagelse af 15/60-værdier kontrollerer DataHub de modtagne data.

Stk. 2. Konstaterer Energinet fejl og mangler ved kontrollen jf. stk. 1, sender DataHub en

negativ kvittering til netvirksomheden med angivelse af fejlen.

Stk. 3. DataHub kontrollerer, om de modtagne 15/60-værdier pr. målepunkt er en korrektion af en tidligere modtaget værdi. I så fald gøres følgende:

  1. Den modtagne 15/60-værdi gemmes i DataHub inklusiv statuskoden for om det er en målt, estimeret eller manglende 15/60-værdi. Desuden registreres i DataHub, om der er tale om en korrigeret 15/60-værdi.
  2. Den korrigerede 15/60-værdi pr. målepunkt og beregnede 15/60-værdier inklusiv statuskoden for korrigeret 15/60-værdi videresendes til elleverandøren indenfor 1 time. Netvirksomhedens statuskode fremsendes derimod ikke.

§ 6. Afregningsmålinger skal være tidstro. Netvirksomheden må ikke udjævne tidligere målefejl på senere registrerede 15/60-værdier.

Stk. 2. Netvirksomheden skal på produktionsanlæg med måleromregningsfaktor op- eller nedskalere de rå 15/60-værdier med en veldefineret fast proportional faktor (som ikke varierer over tid) inden måleværdierne videredistribueres til DataHub af hensyn til registrering af produktion, jf. Energinets forskrift I. Tilsvarende kan forekomme på forbrugssiden efter aftale mellem kunde og netvirksomhed.

Stk. 3. 15/60-værdier distribueres som kWh med op til tre decimaler.

§ 7. For virtuelle målepunkter, der er baseret på flere fysiske målere, skal netvirksomheden oprette childmålepunkter og indsende 15/60-værdier på samtlige child målepunkter til DataHub.”

3.2. Databeskyttelsesforordningen

3.1.1. Retsgrundlag

Efter databeskyttelsesforordningens artikel 6 kan behandling af personoplysninger bl.a. ske, hvis behandlingen er nødvendig for at overholde en retlig forpligtelse, der påhviler den dataansvarlige.

Af præambelbetragtning nr. 41 til databeskyttelsesforordningen fremgår nærmere om kravene til den ”retlige forpligtelse”, som artikel 6, stk. 1, litra c, vedrører. Heraf fremgår følgende:

”Når [databeskyttelsesforordningen] henviser til et retsgrundlag eller en lovgivningsmæssig foranstaltning, kræver det ikke nødvendigvis en lov, der er vedtaget af et parlament, med forbehold for krav i henhold til den forfatningsmæssige orden i den pågældende medlemsstat. Et sådant retsgrundlag eller en sådan lovgivningsmæssig foranstaltning bør imidlertid være klar(t) og præcis(t), og anvendelse heraf bør være forudsigelig for personer, der er omfattet af dets/dens anvendelsesområde, jf. retspraksis fra Den Europæiske Unions Domstol (»Domstolen«) og Den Europæiske Menneskerettighedsdomstol.”

Af præambelbetragtning nr. 45 til databeskyttelsesforordningen fremgår endvidere følgende:

”Hvis behandling foretages i overensstemmelse med en retlig forpligtelse, som påhviler den dataansvarlige, eller hvis behandling er nødvendig for at udføre en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, bør behandlingen have retsgrundlag i EU-retten eller medlemsstaternes nationale ret. Denne forordning indebærer ikke, at der kræves en specifik lov til hver enkelt behandling. Det kan være tilstrækkeligt med en lov som grundlag for adskillige databehandlingsaktiviteter, som baseres på en retlig forpligtelse, som påhviler den dataansvarlige, eller hvis behandling er nødvendig for at udføre en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse.”

Af Justitsministeriets betænkning nr. 1565/2017 om databeskyttelsesforordningen, s. 117, fremgår herudover følgende om det tidligere gældende databeskyttelsesdirektivs artikel 7, stk. 1, litra c, der var implementeret ved persondatalovens § 6, stk. 1, nr. 3, og som efter ordlyden svarer til databeskyttelsesforordningens artikel 6, stk. 1, litra c:

”Registerudvalget har i betænkning nr. 1345 udtalt, at udtrykket retlig forpligtelse efter en ren ordlydsfortolkning dækker over enhver form for retlig forpligtelse. Udvalget anfører endvidere, at uanset dette, kan det næppe antages, at udtrykket skal forstås således, at det omfatter alle former for retlige forpligtelser.

Det følger af bemærkningerne til persondataloven, at udtrykket retlig forpligtelse omfatter forpligtelser, der følger af lovgivningen eller af administrative forskrifter, der er fastsat i medfør heraf. Omfattet af udtrykket er endvidere forpligtelser, der følger af internationale regler, herunder EU-retlige regler. Ligesom forpligtelser, der følger af en domstolsafgørelse eller af en afgørelse, der er truffet af en administrativ myndighed, også er omfattet.”

Det fremgår således af præambelbetragtningerne og betænkning nr. 1565/2017, at en retlig forpligtelse i henhold til databeskyttelsesforordningens artikel 6, stk. 1, litra c, ikke nødvendigvis skal være en lov. Det kan også være retlige forpligtelser, der fremgår af regler udstedt i medfør af lov, fx bekendtgørelser og andre administrative forskrifter mv.

Det fremgår endvidere af præambelbetragtningerne og betænkning nr. 1565/2017, at den retlige forpligtelse bør være klar og præcis, ligesom den bør være forudsigelig for personer, der er omfattet af dens anvendelsesområde.

3.1.2. Databeskyttelse gennem design og gennem standardindstillinger

Behandling af personoplysninger skal – i tillæg til at være baseret på et retligt grundlag i databeskyttelsesforordningens artikel 6 – leve op til de øvrige krav i databeskyttelsesforordningen.

Det omfatter bl.a. databeskyttelsesforordningens artikel 25, der fastsætter reglerne om databeskyttelse gennem design og gennem standardindstillinger, samt forordningens artikel 5, som indeholder en række generelle principper for behandling af personoplysninger, herunder princippet om dataminimering i artikel 5, stk. 1, litra c.

Det fremgår af databeskyttelsesforordningens artikel 25, at den dataansvarlige både på tidspunktet for fastlæggelse af midlerne til behandling og på tidspunktet for selve behandlingen skal gennemføre passende tekniske og organisatoriske foranstaltninger, som er designet med henblik på effektiv implementering af databeskyttelsesprincipper, såsom dataminimering, og med henblik på integrering af de fornødne garantier i behandlingen for at opfylde kravene i denne forordning og beskytte de registreredes rettigheder.

Det skal ske under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, som behandlingen indebærer.

Med andre ord vedrører databeskyttelse gennem design og gennem standardindstillinger helt overordnet, hvordan den dataansvarlige skal indrette sig teknisk og organisatorisk for at opnå effektiv implementering af databeskyttelsesprincipper og integrere de fornødne garantier i behandlingen for at opfylde kravene i databeskyttelsesforordningen og beskytte de registreredes rettigheder.

Af Justitsministeriets betænkning nr. 1565/2017, s. 418, fremgår følgende om bestemmelsen:

”Artikel 25, stk. 1, må antages at indebære en pligt for den dataansvarlige til at inddrage tiltag, der konkret fremmer en effektiv implementering af forordningens databeskyttelsesprincipper i artikel 5 og dens øvrige regler.

Dermed skal den dataansvarlige overveje og håndtere, hvordan databeskyttelse generelt, dvs. alle forordningens bestemmelser, kan efterleves med konkrete foranstaltninger i design af it-systemer, såsom deres tekniske indretning og brugergrænseflade, samt ved indretningen af den dataansvarliges organisation. […]

Forordningens artikel 25, stk. 1, medfører med andre ord ikke et krav om, at eksempelvis ældre systemer skal re-designes, hvis der eksempelvis findes organisatoriske sikkerhedsløsninger, der må anses for tilstrækkelige. Dette skyldes, at forordningen først finder anvendelse den 25. maj 2018, og at artikel 25, stk. 1, således ikke finder anvendelse på allerede eksisterende systemer, jf. ordlyden i artikel 25, stk. 2: ”tidspunktet for fastlæggelse” og ”tidspunktet for selve behandlingen”. Andre bestemmelser såsom artikel 32 om behandlingssikkerhed kan dog medføre krav om ændringer efter den 25. maj 2018, såfremt det eksisterende system ikke overholder forordningen.”

Endvidere fremgår følgende af betænkningen, s. 422:

”Det er dog en nyskabelse, at databeskyttelse gennem design og gennem standardindstillinger nævnes som en eksplicit forpligtelse for den dataansvarlige i forordningen.

Det er endvidere en nyskabelse med artikel 25, stk. 1, om databeskyttelse gennem design, at selve tidspunktet for, hvornår den dataansvarlige skal overveje og håndtere, hvilke foranstaltninger, der kan sikre efterlevelsen af alle databeskyttelsesreglerne i forordningen ved behandling af personoplysninger ændres.

Nyskabelsen i artikel 25, stk. 1, består således i, at den dataansvarlige er forpligtet til at overveje og håndtere, hvorledes denne ved hjælp af tekniske og organisatoriske foranstaltninger kan sikre databeskyttelse gennem design for derved at efterleve reglerne i databeskyttelsesforordningen allerede på tidspunktet for fastlæggelse af midlerne til en given behandling af personoplysninger, dvs. det vil sige i forberedelsesfasen, og på tidspunktet for selve behandlingen, dvs. den første dag af selve behandlingen af personoplysninger i it-systemet. […]

Afslutningsvis skal det understreges, at den dataansvarlige – uanset i hvilket omfang dennes behandling af personoplysninger er omfattet af artikel 25, stk. 1 og 2 – under alle omstændigheder skal leve op til de øvrige krav i databeskyttelsesforordningen, herunder artikel 5 og forordningens bestemmelser om de registreredes rettigheder samt ikke mindst artikel 32 om behandlingssikkerhed. […]”

3.1.3. Proportionalitetsprincippet

Det følger af databeskyttelsesforordningens artikel 5, stk. 1, litra c, at personoplysninger skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles.

Af præambelbetragtning nr. 39 fremgår endvidere følgende:

”[…] Personoplysninger bør kun behandles, hvis formålet med behandlingen ikke med rimelighed kan opfyldes på anden måde. […]”

3.1.4. Databeskyttelsesforordningens artikel 6, stk. 2

Efter databeskyttelsesforordningens artikel 6, stk. 2, kan medlemsstaterne opretholde eller indføre mere specifikke bestemmelser for at tilpasse anvendelsen af forordningens bestemmelser om behandling med henblik på overholdelse af forordningens artikel 6, stk. 1, litra c og e, ved at fastsætte mere præcist specifikke krav til behandling og andre foranstaltninger for at sikre lovlig og rimelig behandling, herunder for andre specifikke databehandlingssituationer.

Om (tidligere) gældende ret efter databeskyttelsesdirektivet fremgår af afsnit 3.4.2[10] af Justitsministeriets betænkning nr. 1565/2017 bl.a. følgende:

”Det fremgår af artikel 5 i databeskyttelsesdirektivet, at medlemsstaterne i henhold til bestemmelserne i kapitel II, vedrørende almindelige betingelser for lovlig behandling af personoplysninger, præciserer, på hvilke betingelser behandling af personoplysninger er lovlig. […]

I sag C-468/10, Asociación National de Establecimientos Finansieros de Crédito (ASNEF), dom af 24. november 2011, blev EU-Domstolen forelagt et præjudicielt spørgsmål af en spansk domstol om, hvorvidt artikel 7, litra f, i databeskyttelsesdirektivet skal fortolkes således, at den er til hinder for en national lovgivning, som, i tilfælde af at den registrerede ikke har givet sit samtykke, og for at muliggøre behandlingen af den pågældendes personoplysninger, som er nødvendig for, at den dataansvarlige eller de tredjemænd, til hvem de videregives, kan forfølge en legitim interesse, ud over at den registreredes grundlæggende rettigheder og frihedsrettigheder ikke krænkes, kræver, at oplysningerne er opført i offentligt tilgængelige kilder.

Den pågældende spanske lov opstillede således en yderligere betingelse i artikel 7, litra f, for gyldig behandling. Ud over kravet i bestemmelsen om opfyldelse af en legitim interesse, krævede den spanske lov således, at oplysningerne fremgik af et offentligt tilgængeligt register.

EU-Domstolen fastslog, at det følger af databeskyttelsesdirektivets formål, som består i at sikre et ensartet beskyttelsesniveau i alle medlemsstaterne, at direktivets artikel 7 fastsætter en udtømmende og fuldstændig liste over de tilfælde, hvor behandling af personoplysninger kan anses for at være lovlig. Domstolen anførte herefter, at medlemsstaterne derfor hverken kan tilføje nye principper vedrørende grundlaget for behandling af oplysninger i artikel 7 eller fastsætte supplerende krav, som ændrer rækkevidden af et af de seks principper, der er fastsat i denne artikel.

Endvidere fremgår det om det nationale råderum i databeskyttelsesforordningens artikel 6, stk. 2, af betænkningens afsnit 3.4.3.1:

”Det fremgår af databeskyttelsesforordningens artikel 6, stk. 2, at medlemsstaterne kan opretholde eller indføre mere specifikke bestemmelser for at tilpasse anvendelsen af denne forordnings bestemmelser om behandling med henblik på overholdelse af stk. 1, litra c og e, ved at fastsætte mere præcist specifikke krav til behandling og andre foranstaltninger for at sikre lovlig og rimelig behandling, herunder for andre specifikke databehandlingssituationer som omhandlet i kapitel IX (artikel 85-91). […]

Databeskyttelsesforordningens generelle formål, ordlyden i forordningens artikel 6, stk. 2, samt præambelbetragtning nr. 10 indikerer ikke, at det har været hensigten, at der med databeskyttelsesforordningen er tiltænkt et andet rum – end efter databeskyttelsesdirektivet – for at fastsætte mere specifikke nationale krav til behandling og andre foranstaltninger for at sikre lovlig og rimelig behandling med henblik på overholdelse af artikel 6, stk. 1, litra c og e, hvorfor det nationale råderum på dette område er i overensstemmelse med databeskyttelsesdirektivet og en videreførelse af gældende ret.

Der er dog den forskel i forhold til gældende ret, at det eksplicit i databeskyttelsesforordningens

artikel 6, stk. 2, nævnes, at muligheden for, at medlemsstaterne kan opretholde eller indføre mere specifikke bestemmelser, er med henblik på at overholde artikel 6, stk. 1, litra c og e.

Der er således ud fra ordlyden i artikel 6, stk. 2, i princippet, tale om en indskrænkning i forhold til gældende ret, hvorefter medlemsstaterne blev overladt mulighed for at præcisere betingelserne for behandling af personoplysninger i henhold til bestemmelserne i kapitel II (det vil sige bl.a. databeskyttelsesdirektivets artikel 6, 7 og 8), jf. databeskyttelsesdirektivets artikel 5.

I forhold til behandlingen efter artikel 6, stk. 1, litra a, b og d, vil denne indskrænkning i forhold til databeskyttelsesdirektivet – særligt i lyset af ASNEF-dommen – ikke have den store praktiske betydning. I forhold til artikel 6, stk. 1, litra a, indeholder databeskyttelsesforordningen mange præciserende regler om samtykkets karakter, se særligt artikel 4, nr. 11, og artikel 7, hvorfor det i praksis ikke ses at være relevant, hvis medlemsstaterne overlades en yderligere mulighed for at fastsætte mere præcist specifikke krav hertil. […]

Det må herefter konkluderes, at da det eksplicit anføres, at artikel 6, stk. 2, kun vedrører artikel 6, stk. 1, litra c og e, og sammenholdt med præambelbetragtning nr. 10, vil medlemsstaterne ikke være overladt en mulighed for mere præcist at fastsætte specifikke krav til behandling og andre foranstaltninger for så vidt angår artikel 6, stk. 1, litra a, b, d og f. Det samme gælder vedrørende databeskyttelsesforordningens artikel 6, stk. 3, som omtales umiddelbart nedenfor.”

4. Begrundelse for Datatilsynets afgørelse

4.1. Behandlingsgrundlag

Datatilsynet lægger til grund, at de omhandlede oplysninger om elforbrug mv., som Radius indsamler via fjernaflæste elmålere, er knyttet til klagerne som elkunder og dermed udgør personoplysninger om klagerne.

Endvidere lægger Datatilsynet til grund, at Energinet indførte en model for timeafregning og begyndte at modtage og afregne på baggrund af timemålinger i december 2017.[11]

Det er herefter Datatilsynets vurdering, at Radius’ behandling af personoplysninger med henblik på (i) afregning af forbrug og (ii) at sikre forsyningssikkerheden samt tilstrækkelig kvalitet og kapacitet i elnettet er nødvendig for at overholde en retlig forpligtelse, som fremgår af elforsyningsloven, målerbekendtgørelsen og systemansvarsbekendtgørelsen, samt forskrifter udstedt af Energinet i medfør af lov.

Datatilsynet har navnlig lagt vægt på, at det fremgår klart og præcist af det lovgrundlag, som Radius som netvirksomhed er underlagt, at Radius som netvirksomhed skal indsamle oplysninger om elforbrug mv. på timebasis og indberette oplysningerne til Energinet, jf. herved navnlig elforsyningslovens § 20, stk. 1, nr. 4, og § 22, stk. 3, samt målerbekendtgørelsens § 8, stk. 1, og at det skal ske på en nærmere angiven måde, jf. systemansvarsbekendtgørelsens § 8, stk. 1, samt Markedsforskrift D.1.

Endvidere har Datatilsynet lagt vægt på, at indsamling af oplysninger om elforbrug mv. med henblik på at sikre forsyningssikkerheden samt kvalitet og kapacitet i elnettet indgår som en integreret del af forpligtelsen om at stille fornøden transportkapacitet til rådighed og give adgang til transport af elektricitet i elforsyningsnettet, jf. elforsyningslovens § 20, stk. 1, nr. 3, samt at sikre den tekniske kvalitet i nettet, jf. elforsyningslovens § 22, stk. 1, nr. 1, som Radius er underlagt som netvirksomhed.

Det er endvidere Datatilsynets opfattelse, at oplysninger om elforbrug mv. som udgangspunkt ikke i sig selv udgør særlige kategorier af personoplysninger omfattet af databeskyttelsesforordningens artikel 9.

I udvalgte tilfælde og under visse omstændigheder kan personoplysninger anses som følsomme personoplysninger, selvom oplysningerne almindeligvis ikke skal anses som følsomme. Det gælder bl.a., hvis oplysningerne via en intellektuel refleksion, fx deduktion, kan afsløre følsomme oplysninger om en person.[12] Det kan eksempelvis være tilfældet, hvor en persons navn, der ikke i selv er en følsom personoplysning, fremgår af en oversigt over patienter, der er indlagt på onkologisk afdeling.

Det er dog – efter Datatilsynets opfattelse – ikke tilfældet, hvis det forudsætter gennemførelse af komplekse analyser eller lign. for at udlede følsomme personoplysninger, fx oplysninger om religiøs overbevisning ud fra oplysninger om elforbrug mv., hvis sådanne analyser mv. ikke faktisk gennemføres som led i den pågældende behandlingsaktivitet.

4.2. Behandlingsaktivitetens design og indretning

4.2.1. Udrulningen af fjernaflæste elmålere

I databeskyttelsesforordningens artikel 25, stk. 1 (som er omtalt ovenfor under pkt. 3.1.2.), er fastsat regler om databeskyttelse gennem design og gennem standardindstillinger. Reglen, der har fundet anvendelse siden 25. maj 2018, gælder for behandlingsaktiviteter, der er iværksat efter denne dato, og for væsentlige ændringer af eksisterende behandlingsaktiviteter, der sker efter denne dato.

Som det fremgår ovenfor, lægger Datatilsynet til grund, at Energinet indførte en model for timeafregning og begyndte at modtage og afregne på baggrund af timemålinger i december 2017.[13]

Det er i den forbindelse Datatilsynets vurdering, at formålene med og hjælpemidlerne til den omhandlede behandling af personoplysninger, dvs. indsamling af oplysninger om elforbrug mv. på timebasis til brug afregnings- og systemdriftsformål, under alle omstændigheder senest er blevet fastlagt i december 2017, hvor den såkaldte flexafregning blev idriftsat af Energinet på baggrund af ændringen af elforsyningsloven og udstedelsen af målerbekendtgørelsen i 2013, og hvorefter netvirksomhederne, herunder Radius, har været forpligtet til at indsamle og indberette de oplysninger om elforbrug mv. til datahubben.

Efter Datatilsynets opfattelse er der dermed tale om en behandlingsaktivitet, der blev iværksat inden den 25. maj 2018, hvorfor databeskyttelsesforordningens artikel 25, stk. 1, ikke finder anvendelse på behandlingsaktiviteten. Den omstændighed, at der (fortsat) er sket udskiftning af elmålere hos elkunder i perioden 25. maj 2018 til den 31. december 2020 kan efter Datatilsynets opfattelse ikke føre til et andet resultat.

For så vidt angår spørgsmål om proportionalitet bemærker Datatilsynet følgende:

Som det fremgår ovenfor af afsnit 4.1, er det Datatilsynets vurdering, at Radius er underlagt en retlig forpligtelse til at måle levering og aftag af elektricitet i nettet, jf. elforsyningslovens § 20, stk. 1, nr. 4, og § 22, stk. 1, nr. 2, samt til at indberette oplysninger om virksomhedens aftagenumre til datahubben, jf. § 22, stk. 3, hvilket skal ske i henhold til forskrifter udstedt af Energinet om forbrug af elektricitet mv.

Af § 8, stk. 1, i målerbekendtgørelsen, der er udstedt i medfør af elforsyningslovens § 22, stk. 5, fremgår nærmere regler om den måde, hvorpå Radius skal måle og indberette oplysninger om elforbrug mv.

Der gælder dermed bl.a. en retlig forpligtelse til at indsamle oplysninger om elforbrug mv. på timebasis og indberette oplysningerne til datahubben. Endvidere gælder der en retlig forpligtelse til på en nærmere angiven måde at sikre rigtigheden af oplysningerne. Denne forpligtelse følger af Markedsforskrift D.1, der er fastsat i medfør af bl.a. elforsyningslovens § 28, stk. 2, og forudsætter efter Datatilsynets opfattelse adgang til de enkelte timemålinger.

Datatilsynet bemærker, at databeskyttelsesforordningen alene indeholder et nationalt råderum til at fastsætte mere specifikke nationale krav til behandling og andre foranstaltninger for at sikre lovlig og rimelig behandling med henblik på overholdelse af artikel 6, stk. 1, litra c og e.

Det er ikke muligt at indføre national lovgivning, der fraviger de grundlæggende principper i databeskyttelsesforordningens artikel 5, herunder proportionalitetsprincippet i artikel 5, stk. 1, litra c.

Datatilsynet finder efter en samlet vurdering, at der ikke er grundlag for at fastslå, at de behandlingsaktiviteter, som Radius foretager på baggrund af den nævnte retlige forpligtelse efter elforsyningsloven mv., er i strid med proportionalitetsprincippet i databeskyttelsesforordningens artikel 5, stk. 1, litra c.

Datatilsynet har navnlig lagt vægt på, at det fremgår klart og specifikt af kapitel 2 i Markedsforskrift D.1, der er fastsat i medfør af elforsyningsloven og regler udstedt i medfør heraf, at netvirksomhederne, herunder Radius, er forpligtet til at kontrollere rigtigheden af de oplysninger, der indberettes til datahubben, og at denne kontrol forudsætter adgang til de konkrete måleværdier, der indsamles på timebasis. Det fremgår dermed klart og specifikt af Markedsforskrift D.1, hvilke oplysninger Radius som netvirksomhed er forpligtet til at behandle, og hvordan.

Endvidere finder Datatilsynet, at der ikke er grundlag for at tilsidesætte vurderingen af, at det er nødvendigt at kontrollere de individuelle måleværdier, som forudsat i Markedsforskrift D.1, og at der ikke er grundlag for at fastslå, at der findes andre, mindre indgribende måder at behandle de omhandlede oplysninger, henset til det mål som forfølges.

Datatilsynet har endelig lagt vægt på, at den af klagerne foreslåede metode – efter klagernes egne oplysninger – ikke er egnet til at kontrollere de individuelle måleværdier, og at metoden alene gør det muligt at kontrollere rigtigheden af aggregerede måleværdier på månedsbasis.

 

[1] Lovbekendtgørelse nr. 984 af 12. maj 2021 om elforsyning og bekendtgørelser og forskrifter udstedt i medfør heraf.

[2] Energinet er en selvstændig offentlig virksomhed under Klima-, Energi- og Forsyningsministeriet. Virksomheden ejer og udvikler el- og gasnet i Danmark for at indpasse mere vedvarende energi, opretholde forsyningssikkerhed og sikre lige markedsadgang til nettene.

[3] Klagerne henviser i den forbindelse til afhandlingen ”Retlige rammer for anvendelse af fjernaflæste elmålere i lyset af retten til respekt for privatliv og beskyttelse af personoplysninger”, Lisa Hjerrild, juni 2021, SDU, s. 107f.

[4] Opinion of the European Data Protection Supervisor on the Commission Recommendation on preparations for the roll-out of smart metering systems, 8 June 2012.

[5] L 180, FT 2012-13, de specielle bemærkninger til § 1, nr. 1.

[6] L 165, FT 2017-18, de specielle bemærkninger til § 1, nr. 5.

[7] L 165, FT 2017-18, de specielle bemærkninger til § 1, nr. 6.

[8] Bekendtgørelse nr. 75 af 25. januar 2019 ændrede i og erstattede bekendtgørelse nr. 1358 af 3. december 2013, som var den oprindelige bekendtgørelse, der fastsatte regler om udrulning af fjernaflæste elmålere.

[9] En ”15/60-værdi” defineres i forskriften som en måleværdi, der er fremkommet ved en 15/60-måling. Ved ”15/60-måling” forstås en fjernaflæst måling på kvarters eller timebasis, der indgår i balanceafregning. I Vestdanmark angives produktion/udveksling på kvarterbasis og forbrug på timebasis. I Østdanmark anvendes kun timebasis med undtagelse af produktion på nyere havvindmølleparker startende med Rødsand 2.

[10] Betænkning nr. 1565 - Databeskyttelsesforordningen (2016/679) – og de retlige rammer for dansk lovgivning, s. 142-147.

[11] I sit brev af 30. november 2021 har Radius anført, at Energinet har været klar til at tage imod og timeafregne på baggrund af timemålinger fra og med december 2017. Tilsvarende fremgår det af Energinets årsrapport 2017, at ”på elområdet var den vellykkede opstart af flexafregning i december samt første års fulde drift af engrosmodellen […] tilsvarende væsentlige resultater i året, der gik.”

[12] Se hertil også EU-Domstolens dom af 1. august 2022 i sagen C-184/20, Vyriausioji tarnybinės etikos komisija, præmis 118-128.

[13] I sit brev af 30. november 2021 har Radius anført, at Energinet har været klar til at tage imod og timeafregne på baggrund af timemålinger fra og med december 2017. Tilsvarende fremgår det af Energinets årsrapport 2017, at ”på elområdet var den vellykkede opstart af flexafregning i december samt første års fulde drift af engrosmodellen […] tilsvarende væsentlige resultater i året, der gik.”