Veri sorumluları, gerek Kanun gerekse diğer ikincil mevzuat düzenlemeleri kapsamındaki yükümlülükleri doğru ve eksiksiz bir şekilde yerine getirebilmek için öncelikle bir kişiyi veya birden çok kişiden oluşan birimi / ekibi görevlendirebilir. Görevlendirilecek bu kişi veya kişilerin, kişisel verilerin korunması ile ilgili mevzuat ve uygulamalar konusunda yetkin, kişisel veri işleme süreçleri ve bu süreçlere bağlı olarak işlenen kişisel veriler hakkında detaylı bilgi sahibi olan hukuk, bilgi işlem ve insan kaynakları gibi birimlerde görev yapan kişi veya kişilerden seçilmesi önerilir. Ayrıca yapılacak görevlendirmenin geniş katılımla oluşturulmasının envanterin daha nitelikli hazırlanmasına katkısı olacağı tabiidir.
İkinci adım olarak görevlendirilen bu birim/ekip tarafından, veri sorumlusunun mevcut fiziksel veya elektronik ortamda işlemekte olduğu tüm kişisel verilerin analizini yapmalıdır. Bu analiz kapsamında, öncelikle işlenen kişisel verilerin niteliğinin (kişisel veri, özel nitelikli kişisel veri) tespit edilmesi, akabinde de kişisel verilerin elde edilmesi, kaydedilmesi, kullanımının engellenmesi, silinmesi, yok edilmesi, anonim hale getirilmesi, aktarılması, güncellenmesi, saklanması, depolanması, değiştirilmesi, açıklanması, devralınması, sınıflandırılması gibi kişisel veri işlemeye ilişkin tüm aşamaların tek tek tespit edilmesi gerekmektedir.
Ayrıca, bu doğrultuda kişisel veri iş akış şemalarının çizilmesi önerilmektedir. Üçüncü adım olarak, söz konusu birim/ekip tarafından tüm kişisel veri işleme faaliyetleri doğrultusunda Envanter hazırlanmalı ve buna göre aydınlatma metinleri oluşturulmalıdır. Herhangi bir işleme şartı ile işleme amacı bulunmayan kişisel veri olup olmadığı Envanter 27 aracılığıyla tespit edilebileceğinden bu durumda olan veriler için süre geçmeden imha işlemleri uygulanmalıdır. Dördüncü adım olarak da, veri sorumlusu bünyesindeki tüm çalışanlar düzeyinde kişisel veri koruma kültürü ve bu kapsamda farkındalık oluşmasını sağlamak amacıyla eğitimler verilmesi önerilmektedir.