Testowanie systemów informatycznych ma dostarczać informacji zwrotnej, czy tworzony system spełnia wszystkie wymagania i założenia jego twórców. W zależności od przeznaczenia i specyfiki konkretnego projektu na potrzeby testowania systemu informatycznego mogą być wykorzystywane dane osobowe osób fizycznych. Duński organ nadzorczy z zakresu ochrony danych osobowych (Datatilsynet) opublikował wytyczne, które mogą pomóc administratorom przeprowadzającym walidację i weryfikację działania systemów informatycznych na podstawie informacji pozwalających na bezpośrednią lub pośrednią identyfikację osób fizycznych. Datatilsynet w szczególności wskazuje na następujące kwestie:

  • Na potrzeby opracowywania i eksploatacji systemu informatycznego co do zasady wykorzystywane są fikcyjne dane testowe oraz dane produkcyjne, które są zazwyczaj danymi pochodzącymi z już działającego systemu (np. informacje o klientach znajdujące się w systemie obsługi klienta). Niekiedy jednak wykorzystuje się w tym celu dane produkcyjne, które stają się w takim przypadku danymi testowymi. Organ przypomina, że prawo nie przewiduje niższego poziomu ochrony dla danych osobowych, które są wykorzystywane do celów testowych, tylko dlatego, że nadano im charakter danych testowych.
  • Nie należy używać danych osobowych do przeprowadzania testów systemów informatycznych, jeśli można to zrobić bez użycia danych osobowych.
  • Wykorzystywanie danych osobowych do testowania systemów informatycznych może być czasem konieczne, w szczególności w związku z końcowymi testami integracji konkretnego systemu z innymi zewnętrznymi systemami informatycznymi, w przypadku gdy trudno jest stworzyć dokładne, zanonimizowane dane testowe dostatecznie odzwierciedlające wszystkie błędy i nieprawidłowości, które mogą wystąpić w środowisku produkcyjnym. Konieczność przeprowadzenia testu systemu informatycznego przy użyciu danych osobowych może wzrastać w końcowych fazach projektu.
  • W sytuacji gdy środowisko testowe ma być później wykorzystywane jako środowisko produkcyjne, administrator powinien zadbać o uprzednie usunięcie wszystkich danych osobowych, które były używane wyłącznie do celów testowych.
  • Przetwarzanie danych osobowych do celów testowych wymaga od administratora dokonania prawidłowej oceny ryzyka dla osób, których dane dotyczą, oraz wdrożenia odpowiednich środków bezpieczeństwa zgodnie z oceną ryzyka. Zdaniem Datatilsynet za punkt wyjścia w tym zakresie należy uznać przyjęcie w środowisku testowym takich samych środków bezpieczeństwa, jakie zostały uznane za odpowiednie w środowisku produkcyjnym.
  • Jeżeli testowanie i rozwój systemów informatycznych nie są konieczne, aby przetwarzanie danych osobowych w pierwotnym celu mogło mieć miejsce, przetwarzanie danych w celu testowania systemu informatycznego będzie najczęściej niezgodne z pierwotnym celem. Oznacza to, że w takich przypadkach nie można wykorzystać zebranych danych osobowych do testowania systemów informatycznych.

Z całością wytycznych Datatilsynet w języku duńskim można zapoznać się tutaj.