Analyse van Artikel 4(10) AVG onthult dat een derde partij wordt gedefinieerd als “een natuurlijke persoon of rechtspersoon, overheidsinstantie, agentschap of ander orgaan niet zijnde de betrokkene, verwerkingsverantwoordelijke, verwerker en personen die, onder het rechtstreekse gezag van de verwerkingsverantwoordelijke of de verwerker, gemachtigd zijn om persoonsgegevens te verwerken” (AVG, 2016). Deze definitie maakt een scherp onderscheid tussen derde partijen en verwerkingsverantwoordelijken en verwerkers.
Belangrijkste geïdentificeerde verschillen:
Praktische voorbeelden:
- Socialmediaplugins die op websites zijn ingebed (bijv. de Facebook Like-knop) fungeren vaak als derde partijen en verzamelen gebruikersgegevens voor hun eigen zakelijke doeleinden.
- Advertentienetwerken die gebruikersinformatie van een uitgever ontvangen en deze gebruiken voor profilering en gerichte reclame zijn een voorbeeld van verwerking door derden.
Implicaties voor naleving:
- Verplichtingen verschillen:
Derde partijen zijn niet gebonden aan dezelfde contractuele verplichtingen als verwerkers; zij moeten hun eigen rechtsgrondslag voor verwerking vaststellen op grond van de AVG-artikelen 6 en 7.
- Risico van onrechtmatige verwerking:
Het delen van gegevens met derde partijen zonder duidelijke rechtsgrondslag of correcte transparantie stelt verwerkingsverantwoordelijken bloot aan aanzienlijke regelgevingsrisico's [Kuner et al., 2020].
- Transparantievereisten:
Verwerkingsverantwoordelijken moeten betrokkenen in privacyverklaringen duidelijk informeren over eventuele overdrachten aan derde partijen en hun beoogde doeleinden (AVG Overweging 58).
