A kötelező három évenkénti felülvizsgálatot az Info tv. (2011. évi CXII. törvény) írja elő, amely szerint – ha egyéb jogszabály ettől eltérő időszakot nem határoz meg – az adatkezelő az adatkezelés megkezdésétől legalább háromévente felülvizsgálja, hogy a kezelt személyes adat kezelése az adatkezelés céljának megvalósulásához szükséges-e – hívja fel a figyelmet Zsidi Roland, az ICT Legal, dr. Termel Ügyvédi Iroda vezető ügyvédje.
A társaság közleménye szerint ez gyakorlatilag egy olyan felülvizsgálati kötelezettség, ami során a társaság áttekinti az adatkezelési tevékenységét. Számos indoka lehet annak, hogy egy adott adatkezelési tevékenység módosításra szorul: lehetnek új és megszűnő adatkezelések, például időközben megszüntetésre került üzletághoz, tevékenységi körhöz kapcsolódó adatkezelés, vagy új tevékenységi körhöz kapcsolódó új adatkezelés, távmunka bevezetése stb.
A felülvizsgálati kötelezettség elsősorban az adatkezelésre terjed ki, így a minimum, amit meg kell tenni, hogy a cég által megvalósuló adatkezeléseket számba veszi a vállalat és azokat egyesével megvizsgálja, hogy valóban (és továbbra is) szükséges-e az adatkezelés. A felülvizsgálat során
célszerű a teljes szabályzatot felülvizsgálni és adott esetben azt is módosítani,
az eltelt évek gyakorlatát a szabályzatokba beépíteni.
Arra is fölhívják a figyelmet, hogy a felülvizsgálatot kötelező dokumentálni, és a jogszabály 10 éves megőrzési kötelezettséget ír elő, amit a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) felhívására a cégnek rendelkezésre kell bocsátania.
A felülvizsgálatnak akkor lesz jelentősége, amikor a hatóság kérésére a vállalkozás nem tudja bemutatni a felülvizsgálat dokumentációját. A felülvizsgálat hiányával egy esetleges ellenőrzés során megnő az esélye annak, hogy az adatkezelés nem felel meg a jogszabályi előírásoknak, megfelelő cél és jogalap nélkül folytatott adatkezelés valósul meg.
Amennyiben a GDPR hatálybalépése, azaz 2018. május 25. napja óta nem került a felülvizsgálat elvégzésre, úgy mihamarabb javasolt ennek pótlása, amivel nem csak az adatkezelési gyakorlatban beállt változások azonosíthatóak, de egyúttal az esetleges jogellenes adatkezelések kiszűrése is valószínűbb – tették hozzá.