Før 2000 var hovedregelen at en måtte ha konsesjon (forhåndstillatelse fra Datatilsynet) for å kunne opprette personregistre. I dag er konsesjon bare aktuelt i et lite mindretall av tilfelle. I stedet er det imidlertid en meldeplikt til Datatilsynet som gjelder mange som behandler personopplysninger.
Den behandlingsansvarlige skal gi melding til Datatilsynet før
a) behandling av personopplysninger med elektroniske hjelpemidler,
b) opprettelse av manuelt personregister som inneholder sensitive personopplysninger.
Meldingen skal gis senest 30 dager før behandlingen tar til. Datatilsynet skal gi den behandlingsansvarlige kvittering for at melding er mottatt.
Ny melding må gis før behandling som går ut over den rammen for behandling som er angitt i medhold av § 32. Selv om det ikke har skjedd endringer, skal det gis ny melding tre år etter at forrige melding ble gitt.
Kongen kan gi forskrift om at visse behandlingsmåter eller behandlingsansvarlige er unntatt fra meldeplikt, underlagt forenklet meldeplikt eller underlagt konsesjonsplikt. For behandlinger som unntas fra meldeplikt kan det gis forskrift for å begrense ulemper som behandlingen ellers kan medføre for den registrerte.
Meldingen skal opplyse om
a) navn og adresse på den behandlingsansvarlige og på dennes eventuelle representant og databehandler,
b) når behandlingen starter,
c) hvem som har det daglige ansvaret for å oppfylle den behandlingsansvarliges plikter,
d) formålet med behandlingen,
e) oversikt over hvilke typer personopplysninger som skal behandles,
f) hvor personopplysningene hentes fra,
g) det rettslige grunnlaget for innsamlingen av opplysningene,
h) hvem personopplysningene vil bli utlevert til, herunder eventuelle mottakere i andre stater, og
i) hvilke sikkerhetstiltak som er knyttet til behandlingen.
Kongen kan gi forskrift om hvilke opplysninger meldingene skal inneholde og om gjennomføringen av meldeplikten.
Det kreves konsesjon fra Datatilsynet for å behandle sensitive personopplysninger. Dette gjelder likevel ikke for behandling av sensitive personopplysninger som er avgitt uoppfordret.
Datatilsynet kan bestemme at også behandling av annet enn sensitive personopplysninger krever konsesjon, dersom behandlingen ellers åpenbart vil krenke tungtveiende personverninteresser. I vurderingen av om konsesjon er nødvendig, skal Datatilsynet bl.a. ta hensyn til personopplysningenes art, mengde og formålet med behandlingen.
Den behandlingsansvarlige kan kreve at Datatilsynet avgjør om en behandling vil kreve konsesjon.
Konsesjonsplikt etter første og annet ledd gjelder ikke for behandling av personopplysninger i organ for stat eller kommune når behandlingen har hjemmel i egen lov.
Kongen kan gi forskrift om at visse behandlingsmåter ikke trenger konsesjon etter første ledd. For behandlingsmåter som unntas fra konsesjon kan det gis forskrift for å begrense ulemper som behandlingen ellers kan medføre for den registrerte.
Ved avgjørelsen av om konsesjon skal gis, skal det klarlegges om behandlingen av personopplysninger kan volde ulemper for den enkelte som ikke avhjelpes gjennom bestemmelsene i kapitlene II-V og vilkår etter § 35. I så fall må det vurderes om ulempene blir oppveid av hensyn som taler for behandlingen.
I konsesjonen skal det vurderes å sette vilkår for behandlingen når slike vilkår er nødvendige for å begrense ulempene behandlingen ellers ville medføre for den registrerte.