Odpověď
Ano, uplatňování nařízení o ochraně osobních údajů nezávisí na velikosti vaší společnosti/organizaci, ale na povaze vašich činností. Činnosti, které představují velká rizika pro práva a svobody fyzických osob, ať už je provádí MSP, nebo nějaká velká korporace, znamenají, že je nutné uplatňovat přísnější pravidla. Nicméně některé povinnosti podle GDPR se nemusí vztahovat na všechny MSP.
Například společnosti s méně než 250 zaměstnanci nemusí uchovávat záznamy o svých činnostech zpracování, pokud ovšem zpracovávání osobních údajů není pravidelnou činností, pokud neznamená hrozbu pro práva a svobody fyzických osob nebo pokud se netýká citlivých osobních údajů nebo záznamů v trestních rejstřících.
Podobně MSP bude muset jmenovat pověřence pro ochranu osobních údajů pouze v případě, že zpracovávání je jeho hlavním předmětem podnikání a zejména představuje konkrétní hrozby pro práva a svobody fyzických osob (jako je monitorování fyzických osob nebo zpracovávání citlivých osobních údajů nebo záznamů v trestních rejstřících), protože se to provádí ve velkém měřítku.