Аналіз статті 4(10) GDPR показує, що третя сторона визначається як “фізична або юридична особа, державний орган, установа чи інший орган, крім суб'єкта даних, контролера, обробника та осіб, які під безпосереднім керівництвом контролера або обробника уповноважені обробляти персональні дані” (GDPR, 2016). Це визначення чітко відрізняє треті сторони від контролерів та обробників.
Виявлені основні відмінності:
Практичні приклади:
- Плагіни соціальних мереж, вбудовані на веб-сайтах (наприклад, кнопка Like від Facebook), часто діють як треті сторони, збираючи дані користувачів для власних бізнес-цілей.
- Рекламні мережі, які отримують інформацію про користувачів від видавця та використовують її для профілювання та цільової реклами, є прикладом обробки третіми сторонами.
Наслідки для дотримання вимог:
- Зобов'язання відрізняються:
Треті сторони не несуть таких самих договірних зобов'язань, як обробники; вони повинні встановити власну правову підставу для обробки відповідно до статей 6 та 7 GDPR.
- Ризик незаконної обробки:
Передача даних третім сторонам без чіткої правової підстави або належної прозорості наражає контролерів на значний регуляторний ризик [Kuner et al., 2020].
- Вимоги до прозорості:
Контролери повинні чітко інформувати суб'єктів даних у повідомленнях про конфіденційність про будь-яку передачу даних третім сторонам та їхні цілі (Преамбула 58 GDPR).
