Datatilsynet har utviklet en egen blankett til bruk for banker og finansinstitusjoner som skal søke konsesjon til Datatilsynet for behandling av personopplysninger for gjennomføring av banktjenester i henhold til personopplysningsloven § 33, jfr. forskriftens § 7-3.

Konsesjonsplikten gjelder i all hovedsak ved behandling av sensitive personopplysninger. Sensitive personopplysninger er blant annet opplysninger om helse, rase, tro, politisk tilhørsel, straffbare handlinger og seksuelle forhold (personopplysningsloven § 2 nr. 8.).

En utførlig veiledning finner du her.

Datatilsynet kan avgjøre at også behandlinger av annet enn sensitive personopplysninger skal være konsesjonspliktige. Det er en forutsetning at behandlingen ellers åpenbart vil krenke tungtveiende personverninteresser. Dette skal bare brukes i ekstraordinære tilfelle. Ved vurderingen skal Datatilsynet blant annet ta hensyn til personopplysningene sin art, mengde og formålet med behandlingen. (Personopplysningsloven § 33, 2. ledd)

Den behandlingsansvarlige har rett til, på forhånd, å få avklart fra Datatilsynet om behandlingen vil kreve konsesjon. Avklaring av om konsesjon er nødvendig betyr ikke at konsesjon vil bli gitt. (Personopplysningsloven § 33, 3. ledd)

Datatilsynet skal avgjøre om konsesjon skal gis. Det skal ved vurderingen klarlegges om behandlingen vil volde ulemper som ikke blir avhjulpet av loven sine andre forutsetninger. I så fall skal Datatilsynet vurdere om ulempene den enkelte blir påført blir utlignet av hensyn som taler for behandlingen. (Personopplysningsloven § 34)