Obrigatório sob o GDPR para qualquer relação controlador-operador que envolva dados pessoais da UE. A maioria dos fornecedores corporativos oferece um DPA pré-assinado mediante solicitação.
Cláusulas-chave do DPA: lista de suboperadores (anexo), fluxos de dados, compromissos de segurança, prazo de notificação de violações, direitos de auditoria, mecanismo de transferência internacional (cláusulas contratuais padrão, adequação).
A Callsy fornece um DPA + anexo para todos os clientes pagantes. O anexo (linkado na política de privacidade) lista os suboperadores atuais com a categoria de dados e a localização.