Podejście oparte na ryzyku w kontekście RODO oznacza, że organizacje muszą podejmować działania związane z ochroną danych, które są proporcjonalne do poziomu ryzyka, jakie niesie ze sobą przetwarzanie danych osobowych.
Ryzyko to potencjał naruszenia praw i wolności osób fizycznych związany z przetwarzaniem ich danych osobowych. Może to obejmować np. ryzyko naruszenia prywatności, ryzyko finansowe, ryzyko reputacji, a w niektórych przypadkach nawet ryzyko fizyczne. Poziom ryzyka może się różnić w zależności od wielu czynników, takich jak rodzaj przetwarzanych danych, sposób, w jaki są one przetwarzane, czy liczba osób, których dane są przetwarzane.
Podejście oparte na ryzyku oznacza, że organizacje muszą najpierw ocenić te ryzyka (np. dzięki przeprowadzeniu oceny skutków dla ochrony danych – DPIA), a następnie podjąć odpowiednie kroki, aby zminimalizować je do akceptowalnego poziomu. To może obejmować różne środki, takie jak zabezpieczenia techniczne (np. szyfrowanie), zabezpieczenia organizacyjne (np. szkolenia pracowników) i inne.
Podejście oparte na ryzyku oznacza, że nie wszystkie formy przetwarzania danych wymagają takich samych środków ochrony. Przykładowo przetwarzanie danych szczególnie wrażliwych, takich jak dane zdrowotne, może wymagać większej ochrony niż przetwarzanie mniej wrażliwych danych, jak imiona i adresy e-mail.