Відповідно до статті 2 Закону України «Про захист персональних даних» третьою особою є будь-яка особа, за винятком суб'єкта персональних даних, володільця чи розпорядника бази персональних даних та уповноваженого державного органу з питань захисту персональних даних, якій володільцем чи розпорядником бази персональних даних здійснюється передача персональних даних відповідно до закону.
Хто може бути такою третьою особою на практиці? Як приклад можна навести отримання інформації (у тому числі і персональних даних) податковими органами відповідно до вимог ПКУ від володільців чи розпорядників баз персональних даних (зокрема, при отриманні реєстру податкових накладних). Тобто податкові органи будуть третьою особою щодо володільців чи розпорядників баз персональних даних.