(3) V rámci opatření podle odstavce 1 správce nebo zpracovatel posuzuje rizika týkající se

a) plnění pokynů pro zpracování osobních údajů osobami, které mají bezprostřední přístup k osobním údajům,

b) zabránění neoprávněným osobám přistupovat k osobním údajům a k prostředkům pro jejich zpracování,

c) zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících osobní údaje a

d) opatření, která umožní určit a ověřit, komu byly osobní údaje předány.