U podstaw RODO leżą dwa założenia regulacyjne tj. neutralność technologiczna i podejście oparte na ryzyku. Wolą prawodawcy unijnego było zniesienie barier formalnych i sztywnych wymogów organizacyjnych i technicznych wyabstrahowanych od ekspozycji na ryzyko związane z przetwarzaniem danych osobowych w konkretnych przypadkach. Kluczem do prawidłowego wdrożenia RODO jest zatem dokonanie analizy ryzyka związanego z przetwarzaniem danych osobowych dla osób, których dane przetwarza dany podmiot, będącej podstawą dla podjęcia uzasadnionej decyzji co do wdrożenia przez ten podmiot środków technicznych i organizacyjnych mających zminimalizować ryzyko. W ten sposób osiągnięty ma zostać adekwatny w danej sytuacji poziom ochrony praw osób, których dane są przetwarzane.