Az Európai Unió tagállamaiban 2018. május 25-étől kötelezően alkalmazandó a GDPR-rendelet, amelynek értelmében a rendelet hatálya alá tartozó vállalkozások és szervezetek adatkezelőinek az információs önrendelkezési jogról és információ szabadságról szóló 2011. évi CXII. törvény rendelkezései alapján háromévente felül kell vizsgálniuk, hogy az adatkezelés céljának megvalósulásához továbbra is szükséges-e a személyes adatok kezelése.
Ezt a felülvizsgálatot az Európai Unió tagállamaiban minden olyan cégnek el kell végeznie, amely már a GDPR-rendelet hatályba lépésekor, azaz 2018. május 25-én is személyes adatokat kezelt. Azokat a cégeket, amelyek ezt követően kezdték meg az adatkezelést, így nem rendelkeznek ezzel a hároméves múlttal, vagy egyáltalán nem folytatnak adatkezelési tevékenységet, nem terheli a revíziós kötelezettség.
A társaságok maguk is elvégezhetik mintegy önellenőrzésként a felülvizsgálatot, de egy adatvédelmi szabályozásban jártas ügyvédi irodát is felkérhetnek erre a feladatra.
A jelenlegi adatkezelési folyamatok kapcsán viszont nem elhanyagolható jelentőségű, hogy a közelmúltban számos körülmény megváltozott (pl. home office dolgozók arányának nagymértékű növekedése), amely kifejezetten indokolja annak vizsgálatát, hogy szükség van-e esetleg a jelenlegi adatkezelési folyamatok, illetve a vonatkozó szabályzatok módosítására.
A törvényi szabályozás szerint a felülvizsgálatot dokumentálni szükséges, és az elkészült dokumentációt 10 évig meg kell őrizni abban az esetben is, ha a vizsgálat során mindent rendben találtak, és úgy találják, hogy nem szükséges módosítani a meglévő eljárásrenden.
A jogszabály nem ír elő határidőt a felülvizsgálat elvégzésére, de annak elmulasztása esetén megnőhet annak a kockázata, hogy egy esetleges ellenőrzés során a hatóság nem találja megfelelőnek a cég adatkezelését, amely nagy összegű bírság kiszabásához vezethet.