Banker og finansinstitusjoner er gitt konsesjon for behandling av personopplysninger. Konsesjonen gjelder fra 1. juni 2010.
Konsesjonsvilkårene gir treningssentrene mulighet til å følge opp mistanke om doping, samtidig som mosjonistenes rett til respekt og personlig integritet blir godt ivaretatt.
Konsesjonen til å behandle personopplysninger hos tilbydere av forsikringstjenester er blitt behandlet i Personvernnemnda. I konsesjonen er det klart at fødselsnummer ikke kan benyttes for å foreta kredittvurdering som et ledd i risikovurderingen. Et annet omstidt punkt var relevanskravet. Primært skal en faglig kompetent person ansatt ved kilden vurdere om opplysningene er relevante når man samler inn personopplysninger fra andre enn den registrerte. Dette betyr at forsikringsselskap ikke har krav på å få utlevert hele pasientjournalen.
Bompengeselskap som drifter helautomatiske bomstasjoner har konsesjonsplikt for behandling av personopplysninger.
En virksomhet som driver med kredittopplysning må ha konsesjon fra Datatilsynet.
Konsesjonen gjelder formålet for behandling av personopplysninger for kundeadministrasjon, fakturering og gjennomføring av pensjonsavtaler, herunder avtaler om pensjonsforsikring.
Forsikringsbransjen har konsesjon for register over forsikringssøkere og forsikrede (ROFF). Formålet med ROFF er å bedre og sikre en ensartet risikobedømmelse ved premiefastsettelse, samt til kontroll med sikte på å unngå spekulasjon.
Forsikringsbransjen har konsesjon for Sentralt skaderegister (FOSS). FOSS har til formål å forhindre forsikringssvindel.
Konsesjonen regulerer behandling av personopplysninger til kundeadministrasjon, opplysningstjeneste, fakturering og gjennomføring av tjenester i forbindelse med abonnentens bruk av telenett, inklusive samtrafikkavregning.
Retningslinjene omfatter blant annet lagring, tilgang, utlevering, sikring og sletting av opplysninger.
Konsesjon for behandling av personopplysninger ved barnevernsinstitusjoner omhandler blant annet lagring, sletting og sikring av opplysningene.
Under et tilsyn hos Rettsmedisinsk institutt november 2010 avdekket Datatilsynet at en medisinstudent hos RMI har behandlet sensitive personopplysninger som en del av sin hovedoppgave.