Svar
Den generelle forordning om databeskyttelse tager udgangspunkt i den risikobaserede tilgang. Med andre ord opfordres virksomheder/organisationer, der behandler personoplysninger, til at iværksætte beskyttelsesforanstaltninger, der svarer til deres databehandlingsaktiviteters risikoniveau. Derfor er forpligtelserne for en virksomhed, der behandler mange oplysninger, mere byrdefulde end dem for en virksomhed, der behandler få oplysninger.
For eksempel er der større sandsynlighed for, at en virksomhed/organisation, der behandler mange oplysninger, ansætter en databeskyttelsesrådgiver, end for at en virksomhed, der behandler få oplysninger, gør det (i dette tilfælde hænger det sammen med begrebet om »omfattende« behandling af personoplysninger). Samtidig spiller arten af personoplysninger og virkningerne af den påtænkte behandling også en rolle. Behandling af få, men følsomme oplysninger (f.eks. helbredsoplysninger) kræver anvendelse af strengere foranstaltninger for at overholde den generelle forordning om databeskyttelse.
Under alle omstændigheder skal principperne om databeskyttelse overholdes og enkeltpersonerne skal gives mulighed for at udøve deres rettigheder.