Podczas prowadzonych warsztatów i szkoleń z Inspektorami Ochrony Danych wskazywałem na braki w zakresie przypisania dla tych czynności niezbędnych kompetencji. Niezbędnym dostawca takich informacji jest dokładne prześledzenie zadań IOD zapisanych w art. 39 ust. 1 lit.b RODO w brzmieniu : „monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty”. A zatem kompetencja audytora wypływa wprost z zapisów rozporządzenia ogólnego i wymaga od osób wykonujących czynności IOD doskonalenia się również w tym zakresie. Nadaje ten zapis innego niż powszechne wyobrażenia o czynnościach i roli IOD w organizacji, w szczególności w ramach zarządzania systemem ochrony danych. Wywodzenie wprost z zapisów normy prawnej zadań audytowania nie jest obarczone żadnym szczegółowym zapisem o wymaganiach proceduralnych dla IOD, jak w przypadku audytorów wewnętrznych. Jednocześnie tworzy się nowa przestrzeń do wzrostu poziomu wykazywania się administratorów stosowaniem przepisów RODO. A jak dowodzi praktyka, nie jest ono takie proste.