En fitnesskæde (Fitness A) har brug for at bruge personoplysninger, herunder navne, personnumre, e-mailadresser og kontooplysninger, om sine medlemmer. Formålet med brugen er bl.a., at Fitness A skal kunne opkræve betaling for medlemskab.
Fitness A ønsker at benytte et elektronisk system, hvor de nødvendige oplysninger kan registreres, opbevares og ajourføres mv. Fitness A indgår derfor en aftale med IT-virksomheden Web B, som har udviklet et system ”FitnessCare”, der kan det, som Fitness A ønsker. Oplysningerne, som Fitness A indtaster i systemet, opbevares på servere hos Web B, som ejer og administrerer ”FitnessCare”.
I aftalen mellem Fitness A og Web B fremgår det klart, at Web B kun må bruge oplysninger om Fitness A’s medlemmer på den måde, som er aftalt med og godkendt af Fitness A.
Fitness A bestemmer altså hvorfor personoplysninger skal bruges (så Fitness A kan opkræve betaling fra deres medlemmer mv.) og hvordan de skal bruges. Fitness A er derfor dataansvarlig.
I modsætning til eksempel 1 ovenfor går aftalen mellem Web B og Fitness A her ud på, at Web B skal levere en ydelse, der består i, at Web B skal bruge (opbevare mv.) personoplysninger. Ydelsen er altså en brug af personoplysninger. Når brugen samtidig alene sker på vegne af Fitness A, er Web B i denne situation databehandler.
At Web B er databehandler betyder, at Web B ikke må bruge oplysningerne om Fitness A’s medlemmer til virksomhedens egne formål eller til andre formål end aftalt med Fitness A.
Web B må heller ikke benytte underdatabehandlere uden at have fået lov af Fitness A. Hvis Fitness A har givet en generel godkendelse til at benytte underdatabehandlere, skal Web B underrette Fitness A, inden de indgår aftaler med underdatabehandlere.