GDPR, Kamerabevakning och informationssäkerhet i upphandlingskontrakt

Idag utsätts samhället för nya typer av brott, t.ex. cyberbrott, identitetskapning eller virus som stänger ned en organisations IT-miljö. Behovet av att skydda informationstillgångar, t.ex. alltifrån knowhow, ekonomisk information, anställdas personuppgifter, affärshemligheter till IT-miljöer, centrala driftsystem och skalskydd till fastigheter, på ett adekvat sätt är därför centralt. Kom här ihåg att informationen kan vara muntlig, lagras i system eller på datorer eller i mobiltelefoner, finnas på fysiska papper eller vara immateriella. Det finns flera olika regelverk som styr hur det offentliga måste skydda sina informationstillgångar, i viss utsträckning finns även regelverk för privat sektor beroende på vilken verksamhet det bedriver.[1]

Kollektivtrafik ses som en samhällsviktig funktion, där större störningar påtagligt skulle påverka individerna i samhället – därför är det kritiskt att de system och funktioner som säkrar driften av den alltid fungerar. Därtill finns genom dataskyddsförordningen (GDPR) förstärkt skydd för hur personuppgifter får behandlas och ställer höga krav på hur såväl RKM som trafikföretag ska hantera personuppgifter. När RKM köper tjänster från det privata, t.ex. busstrafik, är det viktigt att i upphandlingen analysera och identifiera vilka informationstillgångar som måste skyddas när trafikföretag hanterar dessa på uppdrag av RKM, det kan vara alltifrån hur trafikföretaget skyddar sina IT-miljöer som påverkar t.ex. realtidssystem och trafikledning – som vid störningar skulle påverka trafiken. Likaså kan den fysiska säkerheten behöva analyseras, t.ex. skalskydd på depåer där fordon finns för att motverka kapning av fordon. Även eventuell personuppgiftsbehandling som kommer att ske mellan RKM och trafikföretag måste analyseras. Om RKM inför upphandlingen identifierar att det finns skyddsvärda aspekter och tjänster, där RKM är beroende av att trafikföretaget skyddar dessa på ett adekvat sätt måste upphandlingen inkludera detta, t.ex. genom krav eller kontraktsvillkor.

För informationstillgångar generellt måste RKM säkerställa att den, men även trafikföretaget, uppfyller informationssäkerhetens tre aspekter; konfidentialitet, riktighet och tillgänglighet. Detta innebär kort att man endast låter behöriga personer ta del av informationen, tillser att informationen är korrekt och inte manipulerad eller förstörd, samt att informationen alltid är tillgänglig när den behövs.

Att säkerställa, både för RKM internt och för trafikföretaget, är att det ska finnas uppsatta policys och rutiner för säker hantering av informationstillgångar. Detta inkluderar exempelvis att RKM/trafikföretaget ska;

  • hantera informationstillgångar via säkra kommunikationskanaler;
  • endast dela information med betrodda parter;
  • lagra och spara information på säkrade platser och att det tas säkerhetskopior på nödvändig information;
  • tillse behörighetsstyrning och att behörigheter revideras på ett strukturerat vis; och
  • säkerställa att information hanteras varsamt utanför arbetsmiljön, exempelvis i hemmet eller på offentliga platser.

Personuppgiftsbehandlingar är en del av informationssäkerhet som helhet och därför är informationssäkerhetens principer applicerbara även för personuppgiftsbehandlingar. Vad gäller just personuppuppgiftsbehandling reglerar däremot GDPR hur personuppgifter får behandlas och vilka krav som ställs på den legala entiteten när så sker. Såväl RKM som trafikföretaget behöver på varsina håll följa GDPR – oaktat aktuell upphandling – eftersom de utifrån GDPR är verksamma på varsina håll genom att exempelvis behandla personuppgifter om sina anställda, köpa in molntjänster där personuppgifter lagras eller i förekommande fall behandla personuppgifter om resenärer.

Inför varje upphandling behöver RKM därför säkerställa om trafikföretaget kommer att behandla personuppgifter på uppdrag av RKM – i sådana fall måste krav på hur personuppgiftsbehandlingen ska ske säkerställas redan i upphandlingsdokumenten. Kommer trafikföretaget att behandla personuppgifter på uppdrag av RKM behöver detta dessutom regleras i ett separat personuppgiftsbiträdesavtal. Redan i upphandlingsdokumenten bör därför personuppgiftsbiträdesavtalet inkludera en tydlig instruktion över vilka personuppgiftsbehandlingar trafikföretaget ska utföra åt RKM.

   


Exempel på personuppgiftsbehandlingar som kan förekomma i kollektivtrafiken – där eventuell personuppgiftsbehandling mellan RKM och trafikföretaget behöver regleras:

  • Kamerabevakning ombord på bussar

  • Åtkomstkontroll till lokaler

  • Kundklagomål

  • Resenärs-ID

  • Kommunikationsutrustning som används i trafikuppdraget

  • GPS-data som kan kopplas till en unik individ

  • WiFi ombord på bussar

 

 Från och med 1 augusti 2020 undantas kollektivtrafik från tillståndsplikt, vilket innebär att kamerabevakning huvudsakligen styrs utifrån dataskyddslagstiftningen (GDPR).[2]

Vill RKM, som personuppgiftsansvarig, införa kamerabevakning i bussar bör RKM först genomföra en konsekvensbedömning för att avgöra om tilltänkt kamerabevakning är laglig och proportionerlig i relation till ändamålen i och med att kamerabevakning är en omfattande och integritetskänslig form av personuppgiftsbehandling. Som utgångspunkt kräver den personuppgiftsbehandlingen att den personuppgiftsansvariga har utsett ett Dataskyddsombud. 

Att ha i åtanke är att det kan vara lämpligare att låta trafikföretaget vara personuppgiftsansvarig för kamerabevakningen, bl.a. eftersom trafikföretaget i större utsträckning är nära resenärer, har access till kameror, enklare kan påverka hur adekvat information lämnas ombord och att trafikföretaget kan ha behov av kamerabevakning för egna ändamål. Notera att om trafikföretaget är personuppgiftsansvarig är det denna som ska avgöra huruvida kamerabevakning kan ske lagligt och i vilken omfattning. Den behöver även hantera individens rätt till insyn om den personuppgiftsbehandling som sker samt korrekt informationsgivning. Vid trafikkontraktets utformning bör det därför tas höjd för att ge trafikföretaget beslutanderätt kring kamerabevakning.

Vid kamerabevakning i kollektivtrafik är den tekniska och organisatoriska säkerheten av särskild vikt med anledning av personuppgiftsbehandlingens karaktär. Utförs kamerabevakning på ett felaktigt vis kan det nämligen innebära allvarliga konsekvenser. Säkerställ därför att trafikföretaget kan leva upp till en adekvat säkerhetsnivå angående konfidentialitet, riktighet och tillgänglighet.

 


[1] Enligt Myndigheten för samhällsskydd och beredskap, MSB, är kollektivtrafiken en samhällsviktig funktion som behöver skyddas även vid utkontraktering till trafikföretag. Även nya säkerhetsskyddslagen (SFS 2018:585) från 2019 förtydligar och stärker kraven på säkerhetsskydd samt den nya lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster, där transport utgör en samhällsviktig tjänst, pekar på vikten av god informationssäkerhet i kollektivtrafiken.

[2] De nya bestämmelserna finns kamerabevakningslagen (2018:1200) och mer information finns att läsa i proposition 2019/20:109 om kamerabevakning i kollektivtrafiken och apotek.