Rina Steenkamp - Privacy en technologie
Hoofdstuk 1. Algemene bepalingen
derde: ieder, niet zijnde de betrokkene, de verantwoordelijke, de bewerker, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken
[In de zin van deze richtlijn wordt verstaan onder:]
"derde", de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam, niet zijnde de betrokkene, noch de voor de verwerking verantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de voor de verwerking verantwoordelijke of de verwerker gemachtigd zijn om de gegevens te verwerken
De derde is degene, die niet de betrokkene, noch de verantwoordelijke, noch de bewerker en noch de persoon is die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om de gegevens te verwerken.
De begripsomschrijving van 'derde' sluit inhoudelijk aan bij hetgeen reeds onder de WPR gold. De kring van 'personen die onder rechtstreeks gezag van de verantwoordelijke gemachtigd zijn om gegevens te verwerken' sluit aan bij de personen die 'binnen de organisatie van de houder' gegevens mogen ontvangen (zie de omschrijving van 'verstrekken van gegevens aan een derde' in artikel 1, in samenhang gelezen met artikel 6, tweede lid, WPR). Uit de omschrijving van 'derde' in het onderhavige artikel blijkt nu expliciet dat personen binnen de organisatie van de verantwoordelijke die niet onder zijn rechtstreeks gezag staan, als derden moeten worden aangemerkt. Verschillende rechtspersonen binnen een concern kunnen om die reden ten opzichte van elkaar in beginsel als derden worden beschouwd. Het onderscheid tussen verantwoordelijke, bewerker en derde uit zich in de relatie die ze onderling hebben. Kent de persoon een hiėrarchische relatie tot verantwoordelijke dan zal gesproken moeten worden van (intern) beheer. Gegevensverwerking vindt dan plaats binnen de organisatie van de verantwoordelijke en onder diens rechtstreeks gezag. Valt de persoon niet onder rechtstreeks gezag van de verantwoordelijke (geen hiėrarchische relatie) echter is wel sprake van een relatie met de verantwoordelijke met betrekking tot de te verwerken gegevens (contractuele relatie), dan kan die persoon worden aangemerkt als bewerker. Valt de persoon niet onder rechtstreeks gezag van de verantwoordelijke en kent hij evenmin een contractuele relatie met betrekking tot de te verwerken gegevens met de verantwoordelijke, dan zal de persoon als derde zijn aan te merken. In tegenstelling tot de bewerker zal de derde de gegevens veelal voor eigen behoefte verwerken.
Het begrip 'derde' speelt in dit wetsvoorstel een minder centrale rol dan in de WPR. In paragraaf 3 van de WPR is het begrip cruxiaal in het verstrekkingenregime dat van toepassing is. In paragraaf 9.2 van het algemeen deel van de toelichting is hier reeds op ingegaan. In de WBP speelt het begrip alleen nog een rol bij het verstrekken van bepaalde gevoelige gegevens (artikelen 17, derde lid, 19, tweede lid, en 20, tweede lid), het moment waarop een informatieplicht ontstaat (artikel 34, eerste lid, onder b) en in bepaalde gevallen als rechtvaardigingsgrond voor het verwerken van gegevens (bijvoorbeeld artikelen 8, onder f, en 22, vierde lid).
[MvT, pagina 64]