Najważniejszym pytaniem, na jakie powinien odpowiedzieć audyt jest to, czy przedsiębiorca przetwarza dane osobowe zgodnie z prawem. Audyt nie jest obowiązkowy a jego forma ani częstotliwość przeprowadzania nie są w szczegółowy sposób określone w przepisach.
Dlatego audyt zgodności z RODO pełni dwie funkcje. Po pierwsze zmniejsza ryzyko ewentualnych naruszeń, po drugie, jego przeprowadzenie w razie kontroli organu nadzorczego jest dowodem na zachowanie należytej staranności. Każdy przedsiębiorca samodzielnie ustala procedury oraz dobiera środki techniczne, które mają zapewnić przestrzeganie przepisów RODO. Celem tych działań jest zapewnienie aby gromadzenie i przetwarzanie danych osobowych w przedsiębiorstwie odbywało się w sposób przejrzysty dla osób, których dane dotyczą, w konkretnych, wyraźnych i prawnie uzasadnionych celach, było ograniczone do tego co niezbędne dla celów, w których dane są przetwarzane, a także aby dane były prawidłowe i aktualne. Ponadto przetwarzanie danych powinno mieć odpowiednią podstawę prawną a administrator powinien we właściwy sposób (fizycznie i elektronicznie) zabezpieczyć posiadane zasoby danych.
Trudno wyobrazić sobie sytuację, w której wystarczające może być jednorazowe przeprowadzenie audytu. Jeżeli przedsiębiorstwo po raz pierwszy bada zgodność swoich procedur z RODO, z pewnością rzetelnie przeprowadzony audyt wykaże konieczność wprowadzenia zmian. W takim przypadku audyt należy powtórzyć po ich wdrożeniu. Sytuacja jest analogiczna nawet w przedsiębiorstwach, w których przepisy RODO są od lat stosowane w świadomy sposób.
Należy też pamiętać o tym, że w przypadku dużych organizacji, osiągnięcie zgodności z RODO może być długotrwałym procesem. Jego podstawą zwykle jest podjęcie kilku strategicznych decyzji, na przykład – czy w przedsiębiorstwie należy wyznaczyć inspektora danych osobowych, albo czy wdrażać RODO samodzielnie, czy też przy udziale wyspecjalizowanej firmy zewnętrznej. Z kolei audyt może pomóc w odpowiedzi na bardziej szczegółowe pytania – na przykład jaki jest i powinien być zakres przetwarzanych danych (czy ma charakter minimalny), czy są stosowane właściwe klauzule i formularze zgód, czy przedsiębiorstwo właściwie wykonuje obowiązki wobec osób, których dane dotyczą a także w jaki sposób dane są chronione za pomocą środków fizycznych i elektronicznych.
W zależności od wielkości przedsiębiorstwa i stopnia komplikacji procesów przetwarzania danych, można przyjąć różne strategie związane z przeprowadzaniem audytów. Ponieważ procedura audytu nie jest w żaden sposób określona przez przepisy, możliwe jest przyjęcie elastycznego podejścia, na przykład wykonywanie częściowych audytów w ramach określonych obszarów działalności. Takie podejście daje przedsiębiorcy możliwość koncentracji na obszarach podwyższonego ryzyka.
Oznacza to, że szczególnie w większych firmach, audyt zgodności z RODO nie musi a nawet nie powinien być działaniem jednorazowym. Najlepszą strategią jest opracowanie planu uwzględniającego kontrolę poszczególnych obszarów działalności oraz bieżące wprowadzanie usprawnień.