GDPR, del 2
För att reda ut vad GDPR innebär för förnödenhetsbranschen så har vi frågat flera experter. Det sprids nämligen rykten om att ändringar behöver göras i mätare. Är detta fakta eller bara marknadsföring? Låt oss reda ut begreppen.
För att veta mer har vi hört av oss till olika jurister och experter.
Loggningen sker i mätaren. Sedan förs uppmätt värde över till andra system. Det är först där som det kopplas ihop med andra uppgifter som i sig är personuppgifter. Därför är det först efter överföringen som kopplingen till personuppgifter gör det möjligt att hänföra värdena till en nu levande fysisk person. Det är då inte i mätaren utan i det efterföljande systemet som ni ska behandla mätvärdet som personuppgift. Kom också ihåg att enligt GDPR så behöver det inte ske någon radering om behandlingen är nödvändig för att kunna fastställa, göra gällande eller försvara rättsliga anspråk. Med en generell preskriptionsfrist på 10 år innebär det att om det inte finns kortare preskription i lag eller avtal så kan det finnas skäl att ha kvar personuppgifter i 10 år för att kunna visa leverans m.m. Dessutom är det bara i vissa fall som den registrerade kan begära radering, varav många är fall där den personuppgiftsansvarige borde haft rutiner för radering då det t.ex. saknas ändamål eller samtycke återkallats. Min bedömning är att en person som flyttar ut inte kan få en radering av loggen. /jur. kand Karin Berggren |
Det finns alltså ingen uppgift om någon individ i mätaren, vilket gör att det inte kan ses som en personuppgift.
Behovet av att få reda på information ur loggen (såsom maxvärden, larmer m.m.) behövs även för att säkerställa optimal funktion. Därför behövs loggen även om GDPR skulle gälla loggvärden.
Enligt lagen och datainspektionen är personuppgifter: All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet räknas enligt personuppgiftslagen som personuppgifter. Även bilder (foton) och ljudupptagningar på individer som behandlas i dator kan vara personuppgifter även om inga namn nämns. Krypterade uppgifter och olika slags elektroniska identiteter, som exempelvis IP-nummer, räknas som personuppgifter om de kan kopplas till fysiska personer. Källa datainspektionen: https://www.datainspektionen.se/fragor-ochsvar/personuppgiftslagen/vad-ar-en-personuppgift/ Finns det något i mätarna som går att koppla mot en fysiskt person? Eller identifiera en person? – Nej! Om vi leker med tanken att någon skulle ta reda på vem som har förbrukat denna mängden vatten, genom någon form av annat register, via fastighetsägaren, bostadsrättsföreningen eller villaägaren m.m. så skulle det innebära att man skulle kunna få veta vem som har förbrukat denna mängden. Men då har personuppgifterna ett helt annat ursprung än den informationen som finns i mätaren. Så för att vara kristallklar – mätvärden hämtade/lagrade i en fjärrvärmemätare eller VA-mätare i sig självt är inga personuppgifter, utan enbart ren mätdata för en förbrukning. /Stefan Larsén, GDPR Konsult Staples Connect Mölndal, |
Vi spar ingen information om personer eller adresser i våra mätare och anser därför att data i våra mätares logg inte faller under GDPR. I väntan på definitivt svar från datainspektionen så hänvisar vi även till behovet av att spara data i mätaren för den händelse att mätinsamlingssystem fallerar eller ifall man behöver data för att felsöka och finna trender. Det går således att påvisa ett behov av att behålla dessa data.
Kontakta oss på 08-501 676 76 eller