Odpoveď
Všeobecné nariadenie o ochrane údajov (GDPR) sa odvíja od prístupu založenom na riziku. Inými slovami, spoločnosti/organizácie, ktoré spracúvajú osobné údaje, sú nabádané, aby vykonávali ochranné opatrenia, ktoré zodpovedajú úrovni rizika spojeného s ich činnosťami spracovania údajov. Povinnosti spoločnosti, ktorá spracúva veľa údajov, sú teda náročnejšie ako povinnosti spoločnosti, ktorá spracúva malý objem údajov.
Napríklad pravdepodobnosť, že bude prijatý úradník pre ochranu údajov v spoločnosti/organizácii, ktorá spracúva veľa údajov, je vyššia ako v spoločnosti/organizácii, ktorá spracúva malý objem údajov (v tomto prípade je to prepojené s koncepciou spracúvania osobných údajov vo „veľkom rozsahu“). Povaha osobných údajov a vplyv plánovaného spracovania takisto zohrávajú určitú úlohu. Spracúvanie malého objemu údajov, ktoré však majú citlivú povahu, napr. zdravotné údaje, by si vyžadovalo zavedenie prísnejších opatrení, aby bol dodržaný súlad so všeobecným nariadením.
Vo všetkých prípadoch budete potrebné dodržiavať zásady ochrany údajov a umožniť jednotlivcom uplatnenie ich práv.