Administrator danych może przekazać obowiązek przetwarzania danych innemu podmiotowi. W takim przypadku musi z nim zawrzeć umowę regulującą przetwarzanie oraz przekazać mu musi upoważnienie do przetwarzania. Treść umowy powinna zawierać co najmniej następujące elementy:
1. przedmiot przetwarzania (jakich kategorii danych dotyczy umowa oraz jakie konkretne dane obejmuje) ,
2. cel przetwarzania (np. realizacja jakiejś umowy, stałej współpracy etc.),
3. charakter przetwarzania (jako przetwarzający lub jako kolejny podwykonawca w procesie przetwarzania)
4. rodzaj danych osobowych (dane podstawowe, wrażliwe),
5. kategorię osób, których dane dotyczą (np. pracownicy, klienci),
6. obowiązki i prawa administratora i podmiotu przetwarzającego
7. czas trwania umowy - przetwarzania (na jaki okres dane są udostępniane),
Administrator korzystać może wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. Umowa lub inny instrument prawny stanowiący podstawę powierzenia wskazują, że podmiot przetwarzający:
a) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
b) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
c) podejmuje wszelkie środki ochrony danych;
d) przestrzega warunków korzystania z usług innego podmiotu przetwarzającego (podpowiedzenia danych),
e) biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi w wykonywaniu czynności ochrony danych,
f) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
g) udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów.