Spis treści
Rozporządzenie o ochronie danych osobowych opiera się na kilku zasadach ogólnych, do których należą zgodność z prawem, rzetelność i przejrzystość przetwarzania, ograniczenie celu, minimalizacja danych, prawidłowość, ograniczenie przechowywania oraz integralność i poufność. Każda z tych zasad ma bezpośrednie przełożenie na sposób, w jaki projektowana jest architektura systemu przechowującego i przetwarzającego dane osobowe.
Osoba projektująca architekturę systemu musi uwzględnić te zasady jeszcze przed napisaniem pierwszej linii kodu. Decyzje dotyczące struktury bazy danych, sposobu przechowywania identyfikatorów, mechanizmów logowania zdarzeń czy architektury mikrousług — wszystkie one mają wpływ na to, czy system będzie zgodny z wymogami ochrony danych.
Jeżeli system przechowuje adresy e-mail użytkowników w kilku niezależnych bazach danych bez centralnego rejestru, znacząco utrudnia to realizację prawa do usunięcia danych — jednego z uprawnień osoby, której dane dotyczą.
Zasada minimalizacji danych oznacza, że system powinien zbierać wyłącznie te dane, które są niezbędne do realizacji określonego celu. W praktyce architektonicznej przekłada się to na unikanie tworzenia pól opcjonalnych „na przyszłość" oraz na regularny przegląd struktur danych pod kątem ich faktycznej użyteczności.
Każda operacja przetwarzania danych osobowych powinna mieć jasno określoną podstawę prawną — może to być zgoda, wykonanie umowy, obowiązek prawny lub uzasadniony interes administratora. Architektura systemu powinna umożliwiać powiązanie konkretnych operacji na danych z odpowiadającą im podstawą prawną.
Nie. Przepisy RODO obejmują każdy podmiot przetwarzający dane osobowe osób fizycznych na terenie Unii Europejskiej, niezależnie od jego wielkości.
Jest to możliwe, jednak wprowadzanie zgodności z RODO na późniejszym etapie zwykle wiąże się z większym nakładem pracy niż uwzględnienie jej już na etapie projektowania.