Pierwszym etapem projektu wdrożenia RODO jest przeprowadzenia analizy kontekstu wewnętrznego i zewnętrznego organizacji w celu skutecznego zaplanowania kształtu systemu. Na tym etapie określany jest zakres systemu oraz cele polityki polityki ochrony danych osobowych. 

Na tym etapie tworzona jest struktura podziału odpowiedzialności za zgodność z RODO oraz przypisywane są nowe obowiązki osobom funkcyjnym. Obsadzane są takie funkcje jak Inspektor ochrony danych osobowych, właściciele procesów przetwarzania danych osobowych i administratorzy systemów informacyjnych, sieci czy aplikacji. Po przypisaniu ról i odpowiedzialności osoby funkcyjne są szkolenie z nowych obowiązków wynikających z budowanego systemu. 

Kolejnym etapem projektu jest przeprowadzenie analizy ryzyka wystąpienia poszczególnych zagrożeń wobec zasobów informacyjnych wykorzystywanych do przetwarzania danych osobowych w organizacji. Zagrożenia są typowane w oparciu o statystycznie najczęściej występujące zagrożenie dla konkretnej organizacji w jej sektorze i branży. Kolejno przeprowadzana jest ocena skutków przetwarzania danych osobowych (DPIA) tam, gdzie działanie to jest obligatoryjne.

Kolejnym etapem jest opracowanie i zatwierdzenie przez osoby funkcyjne i najwyższe kierownictwo procedur mających na celu zapewnienie rozliczalności w obszarze ochrony danych osobowych. Do najważniejszych dokumentów należą polityka ochrony danych osobowych, procedury bezpieczeństwa systemów informatycznych, procedury opisujące zabezpieczenia fizyczne i środowiskowe, procedury reagowania na naruszenia ochrony danych osobowych, procedury audytu wewnętrznego i przeglądów zgodności z RODO. 

Ostatnim etapem projektu jest przeprowadzenie szkolenia personelu organizacji z nowymi procedurami ochrony danych osobowych. Etap ten obejmuje zarówno zapewnienie świadomości co do nowych procedur postępowania z danymi osobowymi jak i zagrożeń dla danych osobowych, które zostały zidentyfikowane w ramach przeprowadzanej analizy ryzyka.