Tietosuoja-asetuksen mukaan jokaisen rekisterinpitäjän, joka luovuttaa hallussaan olevia henkilötietoja ulkopuolisen tahon käyttöön, tulee laatia kirjallinen sopimus kyseisten henkilötietojen käsittelystä (ns. “DPA” = data processing agreement). Rekisterinpitäjäksi voidaan katsoa kuka tahansa – yritys tai yksityishenkilö – jonka hallussa on henkilötietoja kaupallisia tai ammatillisia tarkoituksia varten.
Jos yrityksesi esimerkiksi luovuttaa työntekijälistansa ulkopuoliselle palkanlaskijalle, se on velvollinen laatimaan DPA:n palkanlaskijan kanssa. DPA:han on otettava riittävät ehdot muun muassa henkilötietojen salassapidosta, tietoturvasta ja alihankkijoiden käytöstä.