Z punktu widzenia przygotowania polityki ochrony danych osobowych w firmie pierwszą czynnością jaką powinno się wykonać jest audyt, który pozwoli odpowiedzieć na pytanie jakie prace należy wykonać w celu prawidłowego wdrożenia zabezpieczeń z zakresu ochrony danych osobowych. Audyt w szczególności ma za zadanie ustalić kategorie danych osobowych, które są przetwarzane w organizacji oraz czy zabezpieczenia tych danych są zgodne z RODO. W szczególności w trakcie audytu analizuje się zasadność przetwarzania danych osobowych, które są w posiadaniu firmy, zakres i sposób ich przetwarzania. Kolejną czynnością audytu jest ustalenie organizacyjnych i technicznych środków zabezpieczających dane osobowe. Następnym elementem audytu jest analiza systemów informatycznych wykorzystywanych do przetwarzania danych osobowych w firmie. Audyt ma na również na celu weryfikację dokumentacji z pracownikami i podmiotami zewnętrznymi w zakresie zgodności z przepisami z zakresu ochrony danych osobowych. Wynik audytu pozwala odpowiedzieć na pytanie jakie czynności należy wykonać w firmie w celu wdrożenia dokumentacji z zakresu ochrony danych osobowych, pozwala też oszacować czas jaki jest niezbędny do przygotowania dokumentacji. Szereg czynności wykonywanych w ramach audytu z zakresu danych osobowych ma na celu ustalenie ewentualnych modyfikacji w zakresie kategorii danych osobowych jakie są przetwarzane, przyjętych środków organizacyjnych i technicznych stosowanych w firmie, zabezpieczeń modyfikacji systemów informatycznych oraz dokumentacji z podmiotami zewnętrznymi i pracownikami firmy.