1. Përcaktimi i kontekstit – Në fazën e parë përcaktohet konteksti i përpunimit dhe theksohen,gjegjësisht përshkruhen informacionet në vijim
- përmbledhja e të dhënave personale,
- Qëllimi i përpunimit,
- lëvizja e të dhënave,
- metodën(at) e marrjes së të dhënave,
- mënyra dhe mjetet e përpunimit të të dhënave (pajisje të përdorura, rrjetet, burimet njerëzore, etj.),
- subjektet e përfshira në përpunim (kontrolluesit, përpunuesit, përdoruesit, etj),
- afati i ruajtjes.
2. Analiza e rrezikut – Në fazën e dytë, identifikohen kërcënimet (rezultatet e padëshirueshme) dhe përcaktohet probabiliteti dhe ndikimi (pasoja) e realizimit të secilit rrezik.
Rreziku shprehet si funksion i probabilitetit sikur te ndodhë rezultati i padëshirueshëm (kërcënimi) dhe ndikimi (pasoja) i rezultatit të padëshirueshëm nëse ndodh.
Rreziku = (Probabiliteti sikur të ndodhë kërcënimi) x (Shkalla e ndikimit)
Ndikimi mund të jetë:
- I ulët, kur individët mund të përballen me disa shqetësime të vogla, të cilat ata do t’i tejkalojnë pa problem (për shembull: koha e humbur për të ri-futur të dhënat, ankthi, acarimi, etj.)
- I mesëm, kur individët mund të përballen me shqetësime të konsiderueshme të cilat do të mundë t’i kalojnë edhe pavarësisht disa vështirësive, (për shembull: kostot shtesë, refuzimi i qasjes në shërbime të caktuara biznesi, frika, mungesa e mirëkuptimit, stresi, sëmundje të vogla fizike, etj)
- I lartë, kur individët mund të përballen me pasoja të konsiderueshme, të cilat duhet të jenë në gjendje t’i kapërcejnë, por me vështirësi serioze, (për shembull: përvetësimi i jashtligjshëm I mjeteve, vendosja në listën e zezë nga institucionet financiare, dëmtimi i pronës , humbje e punësimit, thirrje gjyqësore, përkeqësim i gjendjes shëndetësore, etj.)
- Shumë i lartë, kur individët mund të përballen me pasoja domethënëse dhe madje edhe me pasoja të pakthyeshme, të cilat me shumë mundësi nuk do tem mund t`i kapërcejnë (për shembull: paaftësi për të punuar, sëmundje afatgjatë psikologjike ose fizike, vdekje, etj.).
Vlerësimi i rrezikut zbatohet sipas parimeve themelore të mbrojtjes së të dhënave personale.
3. Menaxhimi i rrezikut –Në Fazën e tretë duhet të përfshihen masat mbrojtëse, masat e sigurisë dhe mekanizma të krijuar për të zvogëluar rrezikun në një nivel të pranueshëm, të sigurohet mbrojtja e të dhënave personale dhe të demonstrohet pajtueshmëri me rregulloret e mbrojtjes së të dhënave personale.
Masat, njejtë si në rastin e vlerësimit të rrezikut, duhet të ndahen sipas parimeve themelore të mbrojtjes së të dhënave personale.
4. Përpilimi i raportit për zbatimin e VNMDHP – Kontrolluesi i dokumenton të gjitha fazat e zbatimit të VNMDHP -së, pas së cilës ai përgatit një raport.
Raporti për ybatimin e VNMDHP -së në veçanti përmban: përshkrimin e procesit të përpunimit, personat e brendshëm dhe të jashtëm të përfshirë në procesin e kryerjes së VNMDHP -së, analizën e rrezikut, masat e përcaktuara të administrimit me rrezikun, përmbledhjen / përfundimin, planin e veprimit, mendimin e oficerit dhe personave të tjerë të përfshirë në proces, aprovimin e VNMDHP nga personi përgjegjës te kontrolluesi.