1. Përcaktimi i kontekstit – Në fazën e parë përcaktohet konteksti i përpunimit dhe theksohen,gjegjësisht përshkruhen informacionet në vijim

  • përmbledhja e të dhënave personale,
  • Qëllimi i përpunimit,
  • lëvizja e të dhënave,
  • metodën(at) e marrjes së të dhënave,
  • mënyra dhe mjetet e përpunimit të të dhënave (pajisje të përdorura, rrjetet, burimet njerëzore, etj.),
  • subjektet e përfshira në përpunim (kontrolluesit, përpunuesit, përdoruesit, etj),
  • afati i ruajtjes.

2. Analiza e rrezikut – Në fazën e dytë, identifikohen kërcënimet (rezultatet e padëshirueshme) dhe përcaktohet probabiliteti dhe ndikimi (pasoja) e realizimit të secilit rrezik.

Rreziku shprehet si funksion i probabilitetit sikur te ndodhë rezultati i padëshirueshëm (kërcënimi) dhe ndikimi (pasoja) i rezultatit të padëshirueshëm nëse ndodh.

Rreziku = (Probabiliteti sikur të ndodhë kërcënimi) x (Shkalla e ndikimit)

Ndikimi mund të jetë:

  • I ulët, kur individët mund të përballen me disa shqetësime të vogla, të cilat ata do t’i tejkalojnë pa problem (për shembull: koha e humbur për të ri-futur të dhënat, ankthi, acarimi, etj.)
  • I mesëm, kur individët mund të përballen me shqetësime të konsiderueshme të cilat do të mundë t’i kalojnë edhe pavarësisht disa vështirësive, (për shembull: kostot shtesë, refuzimi i qasjes në shërbime të caktuara biznesi, frika, mungesa e mirëkuptimit, stresi, sëmundje të vogla fizike, etj)
  • I lartë, kur individët mund të përballen me pasoja të konsiderueshme, të cilat duhet të jenë në gjendje t’i kapërcejnë, por me vështirësi serioze, (për shembull: përvetësimi i jashtligjshëm I mjeteve, vendosja në listën e zezë nga institucionet financiare, dëmtimi i pronës , humbje e punësimit, thirrje gjyqësore, përkeqësim i gjendjes shëndetësore, etj.)
  • Shumë i lartë, kur individët mund të përballen me pasoja domethënëse dhe madje edhe me pasoja të pakthyeshme, të cilat me shumë mundësi nuk do tem mund t`i kapërcejnë (për shembull: paaftësi për të punuar, sëmundje afatgjatë psikologjike ose fizike, vdekje, etj.).

Vlerësimi i rrezikut zbatohet sipas parimeve themelore të mbrojtjes së të dhënave personale.

3. Menaxhimi i rrezikut –Në Fazën e tretë duhet të përfshihen masat mbrojtëse, masat e sigurisë dhe mekanizma të krijuar për të zvogëluar rrezikun në një nivel të pranueshëm, të sigurohet mbrojtja e të dhënave personale dhe të demonstrohet pajtueshmëri me rregulloret e mbrojtjes së të dhënave personale.

Masat, njejtë si në rastin e vlerësimit të rrezikut, duhet të ndahen sipas parimeve themelore të mbrojtjes së të dhënave personale.

4. Përpilimi i raportit për zbatimin e VNMDHP – Kontrolluesi i dokumenton të gjitha fazat e zbatimit të VNMDHP -së, pas së cilës ai përgatit një raport.

Raporti për ybatimin e VNMDHP -së në veçanti përmban: përshkrimin e procesit të përpunimit, personat e brendshëm dhe të jashtëm të përfshirë në procesin e kryerjes së VNMDHP -së, analizën e rrezikut, masat e përcaktuara të administrimit me rrezikun, përmbledhjen / përfundimin, planin e veprimit, mendimin e oficerit dhe personave të tjerë të përfshirë në proces, aprovimin e VNMDHP nga personi përgjegjës te kontrolluesi.