W ponad dwuletniej praktyce stosowania RODO ujawniają się ciągłe wątpliwości co do zakresu danych osobowych, do których przetwarzania uprawniony jest administrator. Oczywiście, niektóre procesy przetwarzania danych osobowych i zakres tych danych są określone przez ustawodawcę, np. w odniesieniu do danych osobowych kandydatów oraz pracowników w ramach kodeksu pracy. Jednakże, w dużej części przypadków, to administrator samodzielnie jest zobowiązany do określenia zakresu danych osobowych, które będzie przetwarzał w konkretnych procesach.
Inspektor Ochrony Danych Osobowych od wejścia RODO zajmuje coraz istotniejszą rolę w organizacjach. Zapotrzebowanie na specjalistów IOD wciąż rośnie, ponieważ RODO wprowadziło szereg zupełnie nowych obowiązków i nadal trwa wdrażanie kolejnych przepisów, rozwiązań, nakładanie kar. Większość urzędów i podmiotów publicznych w UE mianuje jednego z pracowników na tzw. JODE, zaś firmy częściej zamawiają usługi firm doradczych. Po prawie dwóch latach francuski urząd ds. ochrony danych określił szczegółowe kryteria, według których powinniśmy szkolić i badać kompetencje IOD.
29 stycznia 2020 r., podczas 17. posiedzenia plenarnego, Europejska Rada Ochrony Danych (EROD) przyjęła m.in.: ostateczną wersję wytycznych dotyczących przetwarzania danych osobowych za pośrednictwem urządzeń wideo (po publicznych konsultacjach), wytyczne w sprawie pojazdów połączonych, opinie w sprawie wymogów akredytacji podmiotów monitorujących przestrzeganie kodeksów postępowania oraz opinie na temat projektu wymogów akredytacji podmiotów certyfikujących, które są pierwszymi opiniami na ten temat przyjętymi przez Radę.