Visse behandlinger af personoplysninger kræver, at den dataansvarlige indhenter Datatilsynets tilladelse, inden behandlingen iværksættes. Det gælder bl.a. private virksomheder, der enten driver kreditoplysningsbureauer, advarselsregistre eller spærrelister.
Datatilsynet besluttede i 2021 at føre tilsyn med en række private virksomheder, der alle havde en tilladelse fra Datatilsynet til enten at drive kreditoplysningsbureauvirksomhed, føre et advarselsregister eller en spærreliste. Datatilsynet førte særligt tilsyn med, om de vilkår, som Datatilsynet havde fastsat i forbindelse med, at tilsynet udstedte tilladelserne, blev overholdt.
Dataansvarlige glemte at melde ophør af behandlingen
Som et standardvilkår pålægger Datatilsynet de dataansvarlige at meddele tilsynet, hvis behandlingen ophører for at kunne sikre et overblik over tilladelsesindehavere og for at kunne planlægge tilsynsaktiviteter samt behandling af klager fra registrerede.
Datatilsynet konstaterede i forbindelse med tilsynene, at de dataansvarlige i flere tilfælde ikke havde overholdt vilkåret om at meddele tilsynet, at behandlingen var ophørt, hvilket gav tilsynet anledning til at udtale kritik af de pågældende virksomheder.