RODO ani inne przepisy nie narzucają przyjęcia konkretnej metodyki identyfikacji i oceny ryzyka. Administrator danych osobowych powinien więc, działać według istniejących norm (np. PN-ISO/IEC 27005).
