Analiza art. 4 ust. 10 RODO ujawnia, że strona trzecia jest definiowana jako “osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoba, która z upoważnienia administratora lub podmiotu przetwarzającego może przetwarzać dane osobowe” (RODO, 2016). Definicja ta wyraźnie odróżnia strony trzecie od administratorów i podmiotów przetwarzających.
Główne zidentyfikowane różnice:
Praktyczne przykłady:
- Wtyczki mediów społecznościowych osadzone na stronach internetowych (np. przycisk „Lubię to!” Facebooka) często działają jako strony trzecie, zbierając dane użytkowników do własnych celów biznesowych.
- Sieci reklamowe, które otrzymują informacje o użytkownikach od wydawcy i wykorzystują je do profilowania i ukierunkowanych reklam, ilustrują przetwarzanie danych przez stronę trzecią.
Implikacje dla zgodności z przepisami:
- Różne obowiązki:
Strony trzecie nie podlegają tym samym zobowiązaniom umownym co podmioty przetwarzające; muszą one ustanowić własną podstawę prawną przetwarzania zgodnie z art. 6 i 7 RODO.
- Ryzyko niezgodnego z prawem przetwarzania:
Udostępnianie danych stronom trzecim bez wyraźnej podstawy prawnej lub odpowiedniej przejrzystości naraża administratorów na znaczne ryzyko regulacyjne [Kuner et al., 2020].
- Wymogi dotyczące przejrzystości:
Administratorzy muszą w politykach prywatności jasno informować osoby, których dane dotyczą, o wszelkich transferach danych do stron trzecich i ich zamierzonych celach (motyw 58 RODO).
