Ai sensi del GDPR, un accordo di trattamento dei dati (DPA) è un contratto scritto tra un responsabile del trattamento e un incaricato del trattamento dei dati personali. Il responsabile del trattamento è l'entità che determina le finalità e i mezzi del trattamento dei dati personali, mentre l'incaricato del trattamento è l'entità che tratta i dati personali per conto del responsabile del trattamento.
Un DPA stabilisce i termini e le condizioni in base ai quali l'incaricato del trattamento tratterà i dati personali per conto del responsabile del trattamento. In genere include disposizioni relative all'ambito del trattamento, alle finalità per cui i dati personali saranno utilizzati, alle misure di sicurezza che saranno messe in atto per proteggere i dati personali e ai diritti degli interessati.
Ai sensi del GDPR, è obbligatorio avere una DPA per affidarsi a un responsabile del trattamento.