Det kreves konsesjon fra Datatilsynet for å behandle sensitive personopplysninger. Dette gjelder likevel ikke for behandling av sensitive personopplysninger som er avgitt uoppfordret.

Datatilsynet kan bestemme at også behandling av annet enn sensitive personopplysninger krever konsesjon, dersom behandlingen ellers åpenbart vil krenke tungtveiende personverninteresser. I vurderingen av om konsesjon er nødvendig, skal Datatilsynet bl.a. ta hensyn til personopplysningenes art, mengde og formålet med behandlingen.

Den behandlingsansvarlige kan kreve at Datatilsynet avgjør om en behandling vil kreve konsesjon.

Konsesjonsplikt etter første og annet ledd gjelder ikke for behandling av personopplysninger i organ for stat eller kommune når behandlingen har hjemmel i egen lov.

Kongen kan gi forskrift om at visse behandlingsmåter ikke trenger konsesjon etter første ledd. For behandlingsmåter som unntas fra konsesjon kan det gis forskrift for å begrense ulemper som behandlingen ellers kan medføre for den registrerte.