Phân tích Điều 4(10) GDPR cho thấy bên thứ ba được định nghĩa là “một thể nhân hoặc pháp nhân, cơ quan công quyền, cơ quan hoặc tổ chức khác không phải là chủ thể dữ liệu, bên kiểm soát, bên xử lý và những người, dưới sự ủy quyền trực tiếp của bên kiểm soát hoặc bên xử lý, được phép xử lý dữ liệu cá nhân” (GDPR, 2016). Định nghĩa này phân biệt rõ ràng bên thứ ba với bên kiểm soát và bên xử lý.
Các điểm khác biệt chính được xác định:
Ví dụ thực tế:
- Các plugin mạng xã hội được nhúng trên các trang web (ví dụ: nút Thích của Facebook) thường hoạt động như bên thứ ba, thu thập dữ liệu người dùng cho mục đích kinh doanh của riêng họ.
- Các mạng quảng cáo nhận thông tin người dùng từ một nhà xuất bản và sử dụng nó để lập hồ sơ và quảng cáo nhắm mục tiêu là minh họa cho việc xử lý của bên thứ ba.
Hàm ý đối với việc tuân thủ:
- Nghĩa vụ khác nhau:
Bên thứ ba không phải tuân theo các nghĩa vụ hợp đồng giống như bên xử lý; họ phải thiết lập cơ sở pháp lý riêng để xử lý theo các điều 6 và 7 của GDPR.
- Rủi ro xử lý bất hợp pháp:
Chia sẻ dữ liệu với bên thứ ba mà không có cơ sở pháp lý rõ ràng hoặc tính minh bạch phù hợp sẽ khiến bên kiểm soát phải đối mặt với rủi ro pháp lý đáng kể [Kuner et al., 2020].
- Yêu cầu về tính minh bạch:
Bên kiểm soát phải thông báo rõ ràng cho các chủ thể dữ liệu trong các thông báo về quyền riêng tư về bất kỳ hoạt động chuyển giao nào cho bên thứ ba và mục đích dự kiến của họ (GDPR Recital 58).
