La prestació de serveis de dades personals ha d'estar regulada en un contracte que ha de constar per escrit, que permeti acreditar-ne la concertació i el contingut, i s'hi ha d'establir de manera expressa que el prestador de serveis només ha de tractar les dades d'acord amb les instruccions del responsable del tractament, i que no les pot aplicar ni utilitzar amb una finalitat diferent de la que figura en el contracte acordat, ni comunicar-les a altres persones, ni tan sols per conservar-les.

 

El contracte també ha d'estipular que, una vegada acomplerta la prestació contractual, les dades de caràcter personal s'han de destruir o restituir al responsable del tractament, així com qualsevol suport o document en els quals consti alguna de les dades de caràcter personal objecte del tractament.

 

El prestador de serveis ha d'aplicar les mesures tècniques i organitzatives adequades per a la protecció de les dades personals contra la destrucció accidental o il·lícita, la pèrdua accidental, i contra l'alteració, la difusió i l'accés no autoritzats, en particular quan el tractament inclogui la transmissió de dades dins una xarxa i contra qualsevol altre tractament il·lícit de dades personals.

 

En cas que el prestador de serveis destini les dades a una altra finalitat diferent de la pactada, les comuniqui o les utilitzi incomplint les estipulacions del contracte, serà considerat responsable del tractament, i haurà de respondre personalment de les infraccions en les quals hagi incorregut.