I dataskyddsförordningen regleras två situationer då ett biträdesavtal blir aktuellt.
Första situationen framgår av artikel 28.3 och behandlar avtal mellan en personuppgiftsansvarig och ett personuppgiftsbiträde:
När ett personuppgiftsbiträde behandlar personuppgifter åt den personuppgiftsansvariga, ska behandlingen regleras genom avtal (eller annan rättsakt). Avtalet ska vara bindande för den personuppgiftsansvariga och personuppgiftsbiträdet. Det kan vara till exempel att ett företag anlitar en molntjänstleverantör som lagrar och analyserar personuppgifter åt företaget.
Andra situationen framgår av artikel 28.4 och behandlar avtal mellan ett personuppgiftsbiträde och underbiträden:
När ett personuppgiftsbiträde anlitar ett underbiträde som ska utföra en specifik behandling, på den personuppgiftsansvarigas vägnar, måste det finnas ett avtal (eller annan rättsakt) mellan personuppgiftsbiträdet och underbiträdet. Ett exempel är att företaget köper en molnbaserad lagringstjänst. Därefter anlitar molntjänstleverantören ett it-företag som ansvarar för den tekniska supporten av servrarna.