Administrator musi wypracować odpowiednie dla siebie podejście do zarządzania ryzykiem w związku z przetwarzaniem danych osobowych. Podejście to musi uwzględniać środowisko, w którym działa administrator, specyfikę prowadzonej działalności oraz posiadane doświadczenie, a w szczególności charakter, zakres oraz cele i sposób przetwarzania danych osobowych. Nie obowiązuje żaden wzór arkusza zarządzania ryzykiem, co nie oznacza, że nie można skorzystać z przykładowego.