Cuando un tercero necesita, para poder prestar un servicio al responsable del tratamiento, acceder a los datos de carácter personal, deberá regularse este tratamiento de datos en un contrato por escrito o de alguna forma que permita acreditar su celebración y contenido.
Este seria, por ejemplo, el caso de un Asesor Laboral que para poder prestar un servicio de asesoramiento (confección de nóminas, contratos, etc. a una empresa, necesita acceder a los de los trabajadores.
En dicho contrato se deben establecer, expresamente, los siguientes puntos:

El encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento.
No aplicará o utilizará los datos con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
Se deberán estipular las medidas de seguridad a que se refiere el artículo 9 de la LOPD referente a la seguridad de los datos que el encargado de los datos está obligado a implementar.