Im większa organizacja – szczególnie regulowana – tym testy wielokrotnie mogą być jednym z istotnych elementów wchodzących w skład środków organizacyjnych i technicznych mających za zadanie chronić dane w organizacji.
Co ważne, testy oprogramowania powinny być odpowiednio uregulowane wewnętrznie, z uwzględnieniem wszelkich aspektów prawnych i compliance, oraz być cyklicznie realizowane.
Po wejściu w życie przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) testy oprogramowania przybrały na znaczeniu i choć w wielu organizacjach traktowane są pobieżnie, ostatnie decyzje PUODO ukazują, że tak być nie powinno.
Wskazana cykliczność
Testy oprogramowania to nie tylko testy przy wdrożeniu nowych rozwiązań IT, ale również odpowiednia dbałość o środowiska testowe – w tym dokładna analiza danych testowych, które są wykorzystywane na potrzeby testów. Należy zwrócić szczególną uwagę, czy dane z „produkcji”, czyli prawdziwe dane, są wykorzystywane na potrzeby testów – a jeżeli tak, to czy spełnione są wobec nich wszelkie wymogi, jakie nakłada RODO.
Środowiska testowe, na których przetwarzane są dane testowe – uprzednio pobrane z produkcji – powinny być tak samo chronione jak środowiska produkcyjne – włącznie z poprzedzeniem takiego wykorzystania odpowiednimi analizami i zabezpieczeniem, w tym analizą, czy jest podstawa prawna do ich wykorzystania w celu testowym oraz czy w ogóle na jakimś środowisku takie dane są konieczne.
Warto w tym miejscu wskazać, że prezes UODO w decyzji nr: DKN.5112.1.2020 nałożył na jeden z podmiotów sektora regulowanego karę 1,9 mln zł za m.in. brak wdrożonych odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych. Jak wskazał PUODO, podmiot ten nie przeprowadzał regularnych i kompleksowych testów, pomiarów i oceny skuteczności zastosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych.
Zatem nie wystarczy tylko przeprowadzić testy przykładowo raz przy wdrożeniu nowego rozwiązania, ale powinny się one odbywać cyklicznie, np. w ramach regresji. Cykliczność ta wynika chociażby z artykułu 32 rozporządzenia. Nie może zabraknąć również istotnego elementu związanego z projektowaniem testów – w tym testów regresji, uwzględniając art. 25 rozporządzenia. Już w fazie projektowania oprogramowania, przygotowując testy pod dane oprogramowanie, powinniśmy wziąć pod uwagę również ich zakres, proces i realizację zgodności z prawem. Cały proces przeprowadzania takowych testów również powinien zakładać zgodność prawną.
Istotne praktyki administratora
Testy oprogramowania pełnią szczególną rolę w sytuacji, kiedy dostawcą oprogramowania jest podmiot zewnętrzny. Przełomowa kara, którą nałożył PUODO w wysokości 4,9 mln zł, nr: DKN.5130.2215.2020, wskazuje na kolejne istotne elementy.
W uzasadnieniu decyzji i opisie stanu faktycznego czytamy, że (…) administrator pomimo wdrożonych procedur oraz posiadanej wiedzy, jak zgodnie z powszechnie stosowanymi praktykami powinno przebiegać wprowadzanie zmian w systemach informatycznych, na żadnym etapie wdrożenia nie prowadził nadzoru nad tym, czy wdrożenie faktycznie przebiega zgodnie z powszechnie obowiązującymi standardami. Spółka (…) nie egzekwowała od podmiotu przetwarzającego (dostawcy oprogramowania) realizacji umów, nie stosowała się do własnej praktyki wdrażania zmian w środowisku IT opartej o wewnętrzne regulacje oraz nie weryfikowała podmiotu przetwarzającego w zakresie prowadzonych działań mających na celu usprawnienie funkcjonowania usługi.
Wdrożenie środków technicznych i organizacyjnych powinno polegać nie tylko na jednorazowym zastosowaniu przez administratora odpowiednich przepisów, zasad przetwarzania danych osobowych w danej organizacji, ale także na dokonywaniu regularnych przeglądów tych środków, a w razie potrzeby na uaktualnianiu wcześniej przyjętych rozwiązań.
Administrator powinien również zwrócić uwagę na zgodność prawną całego procesu wytwarzania oprogramowania (compliance flow) i cyklicznie weryfikować, czy proces odbywa się zgodnie ze złożeniem oraz czy wymaga zmian.
Aspekt testów oprogramowania coraz bardziej jest podkreślany w kontekście ochrony danych i – jak pokazują stanowiska PUODO – coraz częściej pojawia się to jako jeden z argumentów przy nakładaniu kar.
Charlotta Lendzion
prawniczka, właścicielka LLEGAL.pl, certyfikowana testerka oprogramowania (ISTQB), audytorka wewnętrzna zarządzania jakością oraz bezpieczeństwa informacji, członkini Stowarzyszenia Praktyków Ochrony Danych