Povinnost řádně zpracovat a řídit rizika vychází např. ze zákon č. 320/2001 Sb. § 25 (Zákon o finanční kontrole ve veřejné správě a o změně některých zákonů). Řízení rizik je vykonáváno podle článku 25 (Záměrná a standardní ochrana osobních údajů) a článku 32 (Zabezpečení zpracování) GDPR. Řízení rizik je prováděno s cílem určit vhodná technická a organizační opatření, která je nezbytné zavést pro zajištění bezpečnosti osobních údajů při jejich zpracování a pro zmírnění nebo eliminaci rizik pro práva subjektu údajů vztahujících se k realizovanému zpracování. Ke zpracování mapy rizik je nutno připravit i vhodnou metodiku pro posuzování.

Analýza rizik v kontextu GDPR je unikátní v porovnání s dosavadními postupy analýzy či jiného posuzování (Např. dle zákona o kybernetické bezpečnosti a jeho prováděcí vyhlášky č. 316/2014 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti), a to s ohledem na posuzování hodnoty aktiv, hrozeb a stanovení dalších parametrů analýzy rizik z pohledu dopadu na subjekt údajů nebo na informace, které obsahují osobní údaje subjektu údajů. Mapa rizik je zpracována na rizika pro ochranu osobních údajů a vlastní směrnice se použije na všechna rizika ohrožující naplňování úkolů orgánu veřejné správy, zejména na rizika provozní, finanční, personální, právní a korupční.