Noen har spurt Datatilsynet om det er i strid med personopplysningsloven og GDPR at strømnettselskaper behandler personopplysninger i form av legeerklæring fra folk som søker dispensasjon fra installasjon av AMS. Dette er et spørsmål som har opptatt mange av dem som har engasjert seg i striden rundt AMS-målere. Og hun har omsider fått svar.
Kort fortalt mener Datatilsynet at det må være i orden så lenge reglene for håndtering av personopplysninger følges. Men det er mange ulike detaljer i svaret som kan være av interesse. Du får noen av dem, og hele brevet, her.
Svaret inneholder, så vidt jeg kan forstå, en del interessante opplysninger og vurderinger om hva som kreves for behandling av personopplysninger, men også litt om jussen knyttet til fritaksadgang, og om forholdet mellom RME, NVE og nettselskapene.
Det var som kjent foreningen FELO, foreningen for el-overfølsomme, som er med i FFO, Funksjonshemmedes fellesorganisasjon, som ba om en unntaksadgang, og NVE tok så inn i regelverket en generell formulering som er brukt ca. 350 ganger ellers i norske lover og regler, når det heter at nettselskapene kan gi fritak fra installasjon av AMS dersom installasjonen “er til vesentlig og dokumenterbar ulempe” for sluttbruker.
Datatilsynet peker på at nettselskapene etter forskriften ikke har noen plikt til å gi fritak, men her er seinere tolkning og praksis entydig blitt at fritak skal gis når det foreligger legeattest.
Der jeg mener det svikter, er i spørsmålet om hvorvidt kravet til at AMS må føre til “vesentlig ulempe” for å få fritak, bare bør gjelde erfarte akutte helseplager, og ikke også bør gjelde økt helserisiko og påregnelige helseplager. Her gjør Datatilsynet en kortslutning og tar for gitt at det bare er akutte helseplager som kan være et problem.
For å ta en parallell: Om jeg skulle tillate noen å beskytte seg mot plantevernmidler, ville jeg gjøre det utfra om det kunne dokumenteres med rimelig sannsynlighet og utfra en føre-var-betraktning at det var vesentlig risiko for helseskade over tid, ikke bare utfra om vedkommende hadde erfart akutte helseplager ved eksponering. Det samme gjelder for trafikksikkerhet: Man må ikke ha erfart skadene før man får lov til, eller pålegges, å beskytte seg mot dem.
Men dette er et helt annet spørsmål enn det saken gjaldt: personvernet.
Nå har altså Datatilsynet endelig ferdigbehandlet spørsmålet om nettselskapenes behandling av personopplysninger i form av legeerklæring ved dispensjon av installasjon av AMS, og funnet at det er i tråd med personopplysningsloven og GDPR at nettselskapene behandler slike opplysninger.
Takk til dem som har stått på og fått saken avklart, og takk til Grete G-O som passet på å be om innsyn og sendte det til meg.
Svaret fra Datatilsynet finner du HER.
Einar Flydal, den 3. april 2022