Вече сме към края на внедряването на новата система за защита на личните данни в компанията – направили сме анализ на личните данни и на риска и сме разработили документация за системата за защита. Това, което следва от тук нататък, е обучение на персонала, пробно внедряване на системата и препоръчителен едномесечен срок за пробното ѝ функциониране.
По време на пробния срок се прилагат всички предварително разписани процедури и се правят записи за всички извършвани действия по новия регламент за защита на личните данни. Пробният срок включва и тестове на специфични процеси като например управлението на исканията на субектите на данни, действията при пробиви с използването на специфични сценарии, оценка на въздействието върху личните данни.
Ето как се осъществява тестването на тези отделни процедури.
Процедура за исканията
на субектите
При тестовете на процедурата за искания на субектите се генерират искания за достъп съгласно процедурата на съответната организация. По време на изпълнението на този тест се минава през целия процес, който включва: подаване на искане, проверка на самоличността на субекта, проверка от страна на длъжностното лице за защита на данните, обработка на искането, предаване на информацията. Целта е да се проиграе целият процес, като се ангажират конкретните оперативни служители. И ако се открият пропуски, да се направят съответните подобрения.
По време на тази процедура е препоръчително да се тестват различни видове искания, както и искания от различни типове субекти – например от ръководители и служители или пък от клиенти, от доставчици или от партньори. По отношение на видовете искания в хода на тестовете се проверяват действията по събиране на информацията, както и ограничаването, заличаването и/или оттеглянето на съгласие за събиране и обработка на лични данни.
Процедура за действия
при пробиви
При процедурата за действия при пробиви се разработват възможни сценарии, които се тестват в хода на нейното изпълнение. Какво трябва да се направи на практика: събира се екипът за реагиране, тестват се комуникациите, оперативните действия, координацията между тях, регистрирането на действията, състоянието на ИТ инфраструктурата и всички нужни елементи. Разработените сценарии трябва да включват различни варианти на пробиви, различни локации, както и различен вид на въздействието – например изтриване, манипулиране или криптиране.
При тази процедура трябва да се провери доколко адекватни на ситуацията са планираните реакции и дали са предвидени всички възможни развития на ситуациите. Също така тези тестове са и моментът, в който се проверява готовността за действие в отдалечени локации. Обръща се особено внимание на непрекъсваемостта на процесите по отношение на обезпечаването на конфиденциалността, интегритета и достъпността на личните данни.
Процедура за оценка
на въздействието
По отношение на процедурата за оценката на въздействието се извършва тест на целия процес, прави се пробна оценка, генерират се съответните записи и се разработва доклад. Прави се анализ, който трябва да отразява включително и необходимите подобрения, ако такива са необходими. Този тест може да се използва и за допълнителен анализ на риска при основните процеси на обработка на личните данни, както и за валидиране на програмата за управление на риска.