Η ανάλυση του Άρθρου 4(10) του GDPR αποκαλύπτει ότι ως τρίτο μέρος ορίζεται «κάθε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή άλλος φορέας, εκτός από το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα» (GDPR, 2016). Αυτός ο ορισμός διακρίνει σαφώς τα τρίτα μέρη από τους υπεύθυνους επεξεργασίας και τους εκτελούντες την επεξεργασία.
Κύριες διακρίσεις που εντοπίστηκαν:
Πρακτικά Παραδείγματα:
- Τα πρόσθετα (plugins) κοινωνικών δικτύων που είναι ενσωματωμένα σε ιστοτόπους (π.χ. το κουμπί Like του Facebook) λειτουργούν συχνά ως τρίτα μέρη, συλλέγοντας δεδομένα χρηστών για δικούς τους επιχειρηματικούς σκοπούς.
- Τα δίκτυα διαφημίσεων που λαμβάνουν πληροφορίες χρηστών από έναν εκδότη και τις χρησιμοποιούν για τη δημιουργία προφίλ και τη στοχευμένη διαφήμιση αποτελούν παράδειγμα επεξεργασίας από τρίτα μέρη.
Επιπτώσεις για τη Συμμόρφωση:
- Οι Υποχρεώσεις Διαφέρουν:
Τα τρίτα μέρη δεν δεσμεύονται από τις ίδιες συμβατικές υποχρεώσεις με τους εκτελούντες την επεξεργασία· πρέπει να θεσπίσουν τη δική τους νομική βάση για την επεξεργασία σύμφωνα με τα άρθρα 6 και 7 του GDPR.
- Κίνδυνος Παράνομης Επεξεργασίας:
Η κοινοποίηση δεδομένων σε τρίτα μέρη χωρίς σαφή νομική βάση ή κατάλληλη διαφάνεια εκθέτει τους υπεύθυνους επεξεργασίας σε σημαντικό κανονιστικό κίνδυνο [Kuner et al., 2020].
- Απαιτήσεις Διαφάνειας:
Οι υπεύθυνοι επεξεργασίας πρέπει να ενημερώνουν με σαφήνεια τα υποκείμενα των δεδομένων στις ειδοποιήσεις απορρήτου σχετικά με οποιεσδήποτε διαβιβάσεις σε τρίτα μέρη και τους σκοπούς τους (Αιτιολογική Σκέψη 58 του GDPR).
