Válasz
Az általános adatvédelmi rendelet kockázatalapú megközelítést alkalmaz: ez azt jelenti, hogy a személyes adatokat kezelő vállalkozásokat vagy szervezeteket ösztönzik arra, hogy az adatkezelési tevékenységeik kockázati szintjének megfelelő védelmi intézkedéseket hajtsanak végre. Ezért a sok adatot kezelő vállalkozásra vonatkozó kötelezettségek sokkal szigorúbbak, mint a kis mennyiségű adatot kezelő vállalkozásokra vonatkozók.
Például egy adatvédelmi tisztviselő alkalmazásának valószínűsége egy sok adatot kezelő vállalkozás vagy szervezet esetében jóval magasabb, mint egy kevés adatot kezelő vállalkozás vagy szervezet esetében (ebben az esetben ez a személyes adatok „nagy számban” történő kezeléséhez kapcsolódik). Ugyanakkor a személyes adatok természete és a tervezett adatkezelés hatása is szerepet játszik. A kevés, de különleges adatok kezelése (pl. egészségügyi adatok esetén) szigorúbb intézkedések bevezetését írja elő az általános adatvédelmi rendeletnek való megfelelés érdekében.
Minden esetben be kell tartania az adatvédelmi alapelveket, és lehetővé kell tennie az érintettek számára jogaik gyakorlását.