Vastaus
Yleisessä tietosuoja-asetuksessa sovelletaan riskiperusteista lähestymistapaa. Toisin sanoen henkilötietoja käsitteleviä yrityksiä/organisaatioita kannustetaan käyttämään sellaisia turvaamistoimia, jotka vastaavat niiden tietojenkäsittelytoimintojen riskitasoa. Suuria määriä tietoja käsittelevälle yritykselle asetetut velvoitteet ovat siis tiukempia kuin vähäistä määrää tietoja käsittelevälle yritykselle.
Suuria määriä tietoja käsittelevä yritys/organisaatio joutuu esimerkiksi todennäköisemmin palkkaamaan tietosuojavastaavan (tässä tapauksessa henkilötietojen käsittely on ”laajamittaista”). Asiaan vaikuttavat myös henkilötietojen luonne ja käsittelyn odotettu vaikutus. Vähäisten mutta arkaluonteisten (esimerkiksi terveystietojen) tietomäärien käsittely edellyttää tiukempia toimenpiteitä, jotta asetuksen vaatimukset täyttyvät.
Kaikissa tapauksissa on noudatettava tietosuojaperiaatteita ja annettava yksilöille mahdollisuus käyttää oikeuksiaan.