Persondataloven stiller en række krav til, hvilke oplysninger en anmeldelse skal indeholde. Det gælder blandt andet den dataansvarliges navn og adresse, behandlingens navn og formål samt oplysninger om personkredsen og de oplysningstyper, der behandles.
Det er vigtigt at holde sig for øje, at det ikke er de enkelte registre eller it-systemer, der skal anmeldes, men derimod den behandling af personoplysninger, der sker til et givet formål. F.eks. kan en anmeldelse vedrøre en virksomheds personaleadministration eller sagsbehandlingen ved en offentlig myndighed.
Offentlige myndigheders anmeldelsespligt
Offentlige myndigheder skal som udgangspunkt anmelde deres behandlinger af fortrolige oplysninger. Myndighederne skal normalt have en udtalelse fra Datatilsynet, inden de begynder på databehandlingen.
Fortrolige oplysninger omfatter både de følsomme oplysninger, der er nævnt i persondatalovens § 7 og § 8, og andre oplysninger, der ikke er følsomme, men som alligevel er af en sådan karakter, at de efter den almindelige opfattelse i samfundet ikke bør komme til offentlighedens kendskab. F.eks. kan oplysninger om indtægts- og formueforhold efter omstændighederne være fortrolige. Hvis myndigheder foretager sammenstilling eller samkøring af personoplysninger i kontroløjemed, vil resultatet af sammenstillingen/samkøringen også være fortrolig.
Som en undtagelse kan fortrolige identifikationsoplysninger (f.eks. personnumre) og oplysninger om betaling til og fra en offentlig myndighed som udgangspunkt behandles uden anmeldelse.
Private dataansvarliges anmeldelsespligt
Dataansvarlige i den private sektor skal som udgangspunkt kun anmelde behandlinger, der omfatter følsomme oplysninger. I den private sektor må anmeldelsespligtige behandlinger først iværksættes, når Datatilsynet har givet en tilladelse til det. I visse tilfælde skal der foretages anmeldelse til Datatilsynet, selvom der ikke behandles følsomme oplysninger. Det gælder bl.a., når behandlingen har til formål at føre et retsinformationssystem, et advarselsregister eller en spærreliste (dvs. en liste over betalingskort mv., der er blevet spærret). Kreditoplysningsbureauer og virksomheder, der erhvervsmæssigt yder bistand ved stillingsbesættelse, skal også foretage anmeldelse til Datatilsynet.
En række behandlinger er til gengæld fritaget fra anmeldelse, selv om der indgår følsomme oplysninger. Eksempelvis er behandling af personoplysninger, der foretages af læger og advokater i forbindelse med deres virksomhed, fritaget fra anmeldelse. Foreninger og lignende skal heller ikke anmelde behandlingen af oplysninger om deres egne medlemmer.