Riskit ovat henkilötietojen käsittelystä rekisteröidylle mahdollisesti aiheutuvia fyysisiä, aineellisia tai aineettomia vahinkoja esimerkiksi silloin, kun käsittely saattaa johtaa syrjintään, identiteettivarkauteen tai petokseen, taloudellisiin menetyksiin, sosiaaliseen vahinkoon tai pseudonymisoinnin kumoutumiseen.
Korkeampi riski kohdistuu mm. erityisryhmiin kuten lapsiin tai suurten henkilötietomassojen käsittelyyn --> tehtävä vaikutustenarviointi ml. toimenpiteet riskien pienentämiseksi.
Tietoturvaloukkaukset
- Vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen tai pääsy tietoihin
- Laadittava toimintaohjelma
- Rekisterinpitäjällä velvollisuus ilmoittaa loukkauksista tietosuojaviranomaiselle ja rekisteröidylle 72 h kuluessa
- Henkilötietojen käsittelijän ilmoitettava loukkauksista rekisterinpitäjälle ilman aiheetonta viivytystä