הרשות להגנת הפרטיות פרסמה מדריך מקצועי עבור ממוני הגנת הפרטיות בארגון (DPO). המדריך מפרט את החובות החלות על בעלי שליטה ומחזיקים במאגרי מידע לאורך חמשת שלבי "מחזור חיי המידע": תכנון, איסוף, אחסון, עיבוד וסיום השימוש.
לפי המדריך, בשלב התכנון המוקדם על הארגון לתכנן את הליך איסוף המידע ועיבודו, בהתאם לאופי המוצר או השירות. בין השאר, בשלב זה על הארגון לתכנן את השלבים הבאים (תהליכי האיסוף, העיבוד ואחסון המידע), להגדיר את סוגי והיקף המידע שייאסף, את מטרות איסוף המידע ואת פרק הזמן שבו ישתמש במידע, לבחור את הטכנולוגיות שבאמצעותן המידע ייאסף ויעובד, ולבצע הליך של הערכת סיכונים.
בשלב האיסוף, הארגון נדרש להקפיד שהליך איסוף המידע ייעשה בהתאם להוראות הדין. בתוך כך, על הארגון לוודא שהמידע נאסף בהתאם לבסיס חוקי (ואם נאסף על בסיס הסכמה, שההסכמה ניתנת מדעת, באופן חופשי ומרצון) ובהיקף הנדרש בלבד, שנמסרת לנושאי המידע הודעה בהתאם לחובת היידוע הקבועה בסעיף 11 לחוק הגנת הפרטיות, ושהאיסוף נעשה בצורה מוגנת ומאובטחת.
בשלב האחסון והעיבוד, שחלים במקביל החל מאיסוף המידע ולאורך התקופה שבה המידע מוחזק על ידי הארגון, על הארגון להקפיד שהמידע יעובד ויישמר בהתאם למטרות מאגר המידע ויאובטח כדין, ולבצע בדיקות תקופתיות לאיתור מידע עודף במאגר המידע. כמו כן, בשלב זה על הארגון לאפשר לנושאי המידע לממש את זכויותיהם ביחס למידע לפי הוראות הדין. הרשות ממליצה לארגונים ליישם בשלבים אלה טכנולוגיות מגבירות פרטיות (PET) לצמצום הסיכון לחשיפת המידע האישי לגורמים בלתי מורשים.
השלב האחרון, שלב סיום חיי המידע, הוא השלב בו הארגון מפסיק להחזיק במידע ולהשתמש בו, למשל משום שהמידע אינו נדרש עוד למטרות לשמן נאסף, לאור הוראת חוק המחייבת את המחיקה או בעקבות בקשת נושא מידע למחיקת המידע על אודותיו. בשלב זה, על הארגון למחוק את המידע או לבצע בו התממה (אנונימיזציה). המדריך מזכיר כי לאחר תיקון 13 מוקנית לרשות הסמכות לפנות לבית המשפט לעניינים מינהליים בבקשה להוצאת צו להפסקת פעולות עיבוד או למחיקת מידע במקרים המתאימים.