Na etap ten składają się m.in.: analiza aktualnych procesów dotyczących danych osobowych w organizacji, inwentaryzacja zbiorów danych osobowych, ocena zgodności wypełniania obowiązków administratora danych z wymaganiami Ustawy o Ochronie Danych Osobowych i aktów wykonawczych oraz opracowanie szczegółowych wytycznych do wdrożenia odpowiednich zasad i procedur, ocena zgodności w zakresie stosowanych środków zapewniających bezpieczeństwo przetwarzanych danych, opracowanie raportu z analizy.
Analiza zostanie przeprowadzona w oparciu o kryteria zdefiniowane na podstawie międzynarodowego standardu ISO 27001:2013.