Az információszabadságról szóló törvény előírja, hogy a törvényen alapuló adatkezelést annak megkezdésétől számítva három évente felül kell vizsgálni abból a szempontból, hogy az szükséges-e az adatkezelés céljának megvalósulásához (célhoz kötöttség).
Ez a felülvizsgálat azokra az adatkezelésekre vonatkozik, amelyeket kötelezően végez az adatkezelő, ilyen pl. a munkavállalók adatainak kezelése.
A felülvizsgálat körülményeit és eredményét minden esetben dokumentálni kell, a dokumentációt 10 évig meg kell őrizni és azt az adatvédelmi hatóság megkeresésére rendelkezésre kell bocsátani.
Mindez tehát az adatvédelemmel kapcsolatos dokumentumok és a mögöttük álló gyakorlat rendszeres (és 3 évente kötelező) felülvizsgálatát jelenti. Mivel az adatkezelési tevékenységek sűrűn változhatnak, ezért a kapcsolódó dokumentációk és az adatkezelési nyilvántartás folyamatos aktualizálása szükséges. Ez a folyamatos változás valamennyi – tehát nem csak a jogszabályon alapuló – adatkezelésre igaz, így érdemes valamennyi adatkezelés, jogalap, cél, megőrzési időtartam stb. rendszeres felülvizsgálata. (Ugyan a három évet az adatkezelés megkezdésétől kell számítani, de ha az adott személyes adat kezelését már pl. 7 éve végzi az adatkezelő, akkor már legalább két elvégzett felülvizsgálat dokumentációjával kell rendelkeznie.)
