Personopplysningsloven krever i utgangspunktet konsesjon for å behandle sensitive personopplysninger. Flere unntaksregler medfører imidlertid for en kommune at svært få edb-systemer eller papirregistre trenger konsesjon. Eventuelle edb-baserte planregistre med sensitive personopplysninger må kommunen ha konsesjon for. Ellers vil langt de fleste elektroniske systemene med personopplysninger og papirbaserte sensitive personregistrene i en kommune kun være meldepliktige. Meldeplikt innebærer å gi Datatilsynet melding om rutiner og ansvar knyttet til bruken av personopplysningene. For øvrig vil meldeplikten også omfatte sensitive personregistre som tidligere var unntatt konsesjonsplikt, som f.eks. pasientjournaler.

Den "behandlingsansvarlige" er den som har bestemmelsesrett over personopplysningene, som bestemmer formålet med behandlingen og hvilke hjelpemidler som skal brukes for å oppnå formålet. Det daglige behandlingsansvaret kan i en kommune delegeres til en underliggende etat, skole eller helseinstitusjon. Lederen i dette underliggende organet får dermed et selvstendig ansvar for at personopplysningslovens regler blir fulgt. Kommunens ledelse kan imidlertid ikke fraskrive seg sitt "rettslige" behandlingsansvar ved delegeringen. Ved eventuelle lovbrudd er det kommunen, representert ved ordføreren, som er rettslig ansvarlig og som kan saksøkes og pådra seg straffeansvar.