1. Дефинирање на контекстот - Во првата фаза се дефинира контекстот на обработка и се наведуваат, односно опишуваат следниве информации:
2. Анализа на ризик – Во втората фаза се идентификуваат заканите (несакани исходи), и се одредува веројатноста и влијанието (последицата) од остварување на секој ризик.
Ризикот се изразува како функција од веројатноста да се случи несаканиот исход (заканата) и влијанието (последицата) од несаканиот исход доколку се случи.
Ризикот = (Веројатност да се случи заканата) х (Степен на влијанието)
Влијанието може да биде:
Проценката на ризикот се спроведува според основните принципи на заштита на личните податоци.
3. Управување со ризик - Во третата фаза треба да се опфатат заштитните мерки, мерките на безбедност и механизмите дизајнирани да го намалат ризикот на прифатливо ниво, да се обезбеди заштита на личните податоци и да се прикажи усогласеност со прописите за заштита на личните податоци.
Мерките, исто како и кај проценката на ризикот треба да се поделат според основните принципи на заштита на личните податоци.
4. Составување извештај од спроведена ПВЗЛП – Контролорот ги документира сите фази на спроведување на ПВЗЛП, по што изработува извештај.
Извештајот од спроведената ПВЗЛП особено содржи: опис на процесот на обработка, внатрешни и надворешни лица вклучени во процесот на спроведување на ПВЗЛП, анализа на ризик, дефинирани мерки за управување со ризикот, резиме/заклучок, акциски план, мислење на офицерот и на другите лица вклучени во процесот, одобрување на ПВЗЛП од страна на одговорното лице кај контролорот.