In de gegevensbeschermingswetgeving is een derde partij iedere natuurlijke of rechtspersoon, overheidsinstantie, dienst of ander orgaan dat niet de betrokkene, de verwerkingsverantwoordelijke, de verwerker of een persoon onder rechtstreeks gezag van de verwerkingsverantwoordelijke of verwerker is. Dit onderscheid is cruciaal voor het bepalen van verantwoordelijkheden en verplichtingen wanneer persoonsgegevens worden gedeeld of verstrekt. Begrijpen wie als derde partij kwalificeert helpt organisaties bij het beheren van gegevensstromen en het toepassen van passende waarborgen.
Het correct identificeren van derde partijen is essentieel bij het uitvoeren van gegevensbeschermingseffectbeoordelingen en het opstellen van privacyverklaringen. Wanneer persoonsgegevens aan een derde partij worden verstrekt, moet de rechtsgrondslag voor die verstrekking worden vastgesteld en gedocumenteerd. Organisaties doen er goed aan een register van verstrekkingen aan derden bij te houden om transparantie en verantwoording in hun verwerkingsactiviteiten te waarborgen.