1. Дефинирање на контекстот – Во првата фаза се дефинира контекстот на обработка и се наведуваат, односно опишуваат следниве информации:

  • збирка на лични податоци,
  • цел на обработката,
  • движење на податоци,
  • метод(и) на добивање на податоците,
  • начин и средства за обработка на податоците (користена опрема, мрежи, човечки ресурси итн.),
  • субјекти кои се вклучени во обработката (контролори, обработувачи, корисници итн.),
  • рок на чување.

2. Анализа на ризик – Во втората фаза се идентификуваат заканите (несакани исходи), и се одредува веројатноста и влијанието (последицата) од остварување на секој ризик.

Ризикот се изразува како функција од веројатноста да се случи несаканиот исход (заканата) и влијанието (последицата) од несаканиот исход доколку се случи.

Ризикот = (Веројатност да се случи заканата) х (Степен на влијанието)

Влијанието може да биде:

  • Ниско, кога физичките лица можат да се соочат со неколку помали непријатности, кои ќе ги надминат без проблем (на пример: изгубено време повторно да ги внесат податоците, вознемиреност, иритација, итн.)
  • Средно, кога физичките лица можат да се соочат со значителни непријатности, кои ќе можат да ги надминат и покрај одредени тешкотии, (на пример: дополнителни трошоци, одбивање на пристап до одредени деловни услуги, страв, недостаток на разбирање, стрес, помали физички заболувања итн.)
  • Високо, кога физичките лица можат да се соочат со значителни последици, кои би требало да можат да ги надминат, но со сериозни тешкотии, (на пример: противправно присвојување на средства, ставање на црна листа од страна на финансиски институции, оштетување на имот, губење на вработување, судска покана, влошување на здравствената состојба итн.)
  • Многу високо, кога физичките лица можат да се соочат со значителни, па дури и неповратни последици, кои најверојатно нема да можат да ги надминат (на пример: неспособност за работа, долгорочно психолошко или физичко заболување, смрт, итн.).

Проценката на ризикот се спроведува според основните принципи на заштита на личните податоци.

3. Управување со ризик – Во третата фаза треба да се опфатат заштитните мерки, мерките на безбедност и механизмите дизајнирани да го намалат ризикот на прифатливо ниво, да се обезбеди заштита на личните податоци и да се прикажи усогласеност со прописите за заштита на личните податоци.

Мерките, исто како и кај проценката на ризикот треба да се поделат според основните принципи на заштита на личните податоци.

4. Составување извештај од спроведена ПВЗЛП – Контролорот ги документира сите фази на спроведување на ПВЗЛП, по што изработува извештај.

Извештајот од спроведената ПВЗЛП особено содржи: опис на процесот на обработка, внатрешни и надворешни лица вклучени во процесот на спроведување на ПВЗЛП, анализа на ризик, дефинирани мерки за управување со ризикот, резиме/заклучок, акциски план, мислење на офицерот и на другите лица вклучени во процесот, одобрување на ПВЗЛП од страна на одговорното лице кај контролорот.