RODO nie wymaga prowadzenia dokumentacji odnoszącej się bezpośrednio do działań audytowych z zakresu ochrony danych osobowych. Nie oznacza to jednak, że w wyniku działania audytorów nie muszą powstać żadne dokumenty. RODO przewiduje bowiem tzw. ogólną ocenę ryzyka przetwarzania danych osobowych. Chodzi tu o obligatoryjny dla wszystkich administratorów osobowych wymóg oceny tego, czy przetwarzanie danych osobowych w danej organizacji generuje ryzyka i jakie.