شخص ثالث در Gdpr چیست؟

تحلیل ماده ۴ (۱۰) GDPR نشان می‌دهد که شخص ثالث به این صورت تعریف می‌شود: «شخص حقیقی یا حقوقی، مقام عمومی، سازمان یا نهادی غیر از صاحب داده، کنترل‌کننده، پردازشگر و اشخاصی که تحت اختیار مستقیم کنترل‌کننده یا پردازشگر، مجاز به پردازش داده‌های شخصی هستند» (GDPR، ۲۰۱۶). این تعریف، اشخاص ثالث را به وضوح از کنترل‌کننده‌ها و پردازشگرها متمایز می‌کند.

تمایزهای اصلی شناسایی شده:

• شخص ثالث در مقابل پردازشگر:

  • پردازشگر: دقیقاً به نمایندگی از کنترل‌کننده عمل می‌کند و به یک قرارداد کتبی (توافق‌نامه پردازش) متعهد است؛ نمی‌تواند داده‌ها را برای اهداف خود پردازش کند [Voigt & Von dem Bussche, 2017].
  • شخص ثالث: داده‌های شخصی را از کنترل‌کننده یا پردازشگر دریافت می‌کند و ممکن است آن را برای منافع خود پردازش کند، و لزوماً به قراردادی مانند توافق‌نامه پردازش داده (DPA) متعهد نیست.

• مجوزهای قانونی:

  • اشخاص ثالث «توسط کنترل‌کننده یا پردازشگر برای پردازش داده‌های شخصی مجاز هستند» اما بخشی از زنجیره پردازش اصلی نیستند.
  • پردازشگرها تحت دستورالعمل مستقیم کنترل‌کننده باقی می‌مانند [European Data Protection Board، ۲۰۱۹].

مثال‌های عملی:

• افزونه‌های رسانه‌های اجتماعی تعبیه شده در وب‌سایت‌ها (مانند دکمه لایک Facebook) اغلب به عنوان اشخاص ثالث عمل کرده و داده‌های کاربران را برای اهداف تجاری خود جمع‌آوری می‌کنند.
• شبکه‌های تبلیغاتی که اطلاعات کاربران را از یک ناشر دریافت کرده و از آن برای پروفایل‌سازی و تبلیغات هدفمند استفاده می‌کنند، نمونه‌ای از پردازش شخص ثالث هستند.

پیامدهای انطباق:

• تفاوت در تعهدات:
  اشخاص ثالث تعهدات قراردادی مشابه پردازشگرها را ندارند؛ آن‌ها باید مبنای قانونی خود را برای پردازش تحت مواد ۶ و ۷ GDPR ایجاد کنند.
• ریسک پردازش غیرقانونی:
  به اشتراک گذاشتن داده‌ها با اشخاص ثالث بدون مبنای قانونی روشن یا شفافیت مناسب، کنترل‌کننده‌ها را در معرض ریسک قانونی قابل توجهی قرار می‌دهد [Kuner et al., 2020].
• الزامات شفافیت:
  کنترل‌کننده‌ها باید در اعلامیه‌های حریم خصوصی به وضوح به صاحبان داده در مورد هرگونه انتقال به اشخاص ثالث و اهداف مورد نظر آن‌ها اطلاع‌رسانی کنند (مقدمه ۵۸ GDPR).