Forening A har brug for at bruge personoplysninger, herunder navne, personnumre, e-mailadresser og kontooplysninger, om sine medlemmer. Formålet med brugen er bl.a., at forening A skal kunne opkræve medlemskontingent.
Forening A ønsker at benytte et elektronisk system, hvor de nødvendige oplysninger kan registreres, opbevares og ajourføres mv. Forening A indgår derfor en aftale med it-virksomheden Web B, som har udviklet et system ”Membercare”, der kan det, som forening A ønsker. Oplysningerne, som forening A indtaster i systemet, opbevares på servere hos Web B, som ejer og administrerer ”Membercare”.
I aftalen mellem forening A og Web B fremgår det klart, at Web B kun må bruge oplysninger om forening A’s medlemmer på den måde, som er aftalt med og godkendt af Forening A.
Forening A bestemmer altså, hvorfor personoplysninger skal bruges (så Forening A kan opkræve betaling fra deres medlemmer mv.) og hvordan de skal bruges. Forening A er derfor dataansvarlig.
I modsætning til eksempel 1 ovenfor går aftalen mellem Web B og Forening A her ud på, at Web B skal levere en ydelse, der består i, at Web B skal bruge (opbevare mv.) personoplysninger. Ydelsen er altså en brug af personoplysninger. Når brugen samtidig alene sker på vegne af forening A, er Web B i denne situation databehandler.
At Web B er databehandler betyder, at Web B ikke må bruge oplysningerne om forening A’s medlemmer til virksomhedens egne formål eller til andre formål end aftalt med forening A.
Web B må heller ikke benytte underdatabehandlere uden at have fået lov af Forening A. Hvis Forening A har givet en generel godkendelse til at benytte underdatabehandlere, skal Web B underrette Forening A, inden de indgår aftaler med underdatabehandlere.