Razlikovanje navedenih pojmova, koji su uvedeni u zakonodavstvo Direktivom 95/46/EC (Data Protection Directive), temelji se prije svega u odnosu s voditeljem obrade, odnosno u posjedovanju ovlaštenja za pristup osobnim podacima kojima upravlja voditelj obrade.

Članak 4. GDPR definira navedene pojmove u sljedećim stavcima:

"9. „primatelj” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana..."

Primateljem se neće smatrati bilo koja druga osoba ili čak povezano društvo koje pripada istoj grupaciji ako je odvojeno od voditelja obrade, već će se smatrati trećom stranom. Ipak podružnice banaka koje odgovaraju središnjici, a koje primjerice obrađuju podatke o računu svojih klijenata smatrati će se primateljima, a ne trećom stranom. (Article 29. WP (2010), Mišljenje 1/2010 o pojmu "voditelja" i "izvršitelja", WP 169, Bruxelles, 16. veljače 2010., str. 31)

Ako se osobni podaci legitimno mogu otkriti drugom primatelju, ispitanika bi trebalo informirati kada se osobni podaci prvi put otkrivaju primatelju.

"10. „treća strana” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade;"

Treća strana stoga predstavlja osobu koja nije voditelj obrade niti izvršitelj obrade. Primatelj je širi pojam od treće strane, pa stoga primatelj ne treba uvijek predstavljati treću stranu.

Primatelj može biti osoba izvan organizacijskog ustroja (izravne nadležnosti) voditelja ili izvršitelja (treća strana) ili netko unutar organizacijskog ustroja voditelja ili izvršitelja, kao što je zaposlenik ili neka druga ustrojstvena jedinica unutar istog društva ili tijela.

Postojanje razlike između primatelja i treće strane važno je prije svega zbog zakonitog prijenosa i otkrivanja osobnih podataka. Zaposlenici voditelja ili izvršitelja mogu biti primatelji osobnih podataka ukoliko su uključeni u postupke obrade voditelja ili izvršitelja. S druge strane treća strana, koja je odvojena od voditelja ili izvršitelja nije ovlaštena koristiti osobne podatke koje kontrolor obrađuje, osim ukoliko se u konkretnom slučaju obrada temelji na odgovarajućoj zakonskoj osnovi.

Primjerice zaposlenik voditelja obrade, koji koristi osobne podatke u okviru zadataka koje mu poslodavac povjerava, primatelj je podataka, ali ne i treća strana, jer koristi podatke u ime i prema uputama voditelja. Konkretno može se raditi o slučaju kada poslodavac kadrovskoj službi prenosi i otkriva osobne podatke o svojim zaposlenicima pa je stoga kadrovska služba (osobe zaposlene u kadrovskoj služi) primatelji osobnih podataka, budući da su im podaci otkriveni tijekom obrade koji provodi voditelj obrade.

Primjer treće strane u sličnom kontekstu obrade osobnih podataka zaposlenika predstavljala bi primjerice Porezna uprava.

Uvodna odredba GDPR-a u točki 31 navodi: tijela javne vlasti kojima se otkrivaju osobni podaci u skladu s pravnom obvezom izvršavanja njihovih službenih zadaća, poput poreznih i carinskih tijela, jedinica za financijsku istragu, neovisnih upravnih tijela ili tijela za financijska tržišta, odgovorna za reguliranje i nadzor tržišta vrijednosnih papira, ne bi se smjela smatrati primateljima ako prime osobne podatke koji su potrebni za provedbu određene istrage u općem interesu, u skladu s pravom Unije ili pravom države članice. Zahtjevi za otkrivanje koje šalju tijela javne vlasti trebali bi uvijek biti u pisanom obliku, obrazloženi i povremeni i ne bi se trebali odnositi na čitav sustav pohrane ili dovesti do međupovezanosti sustavâ pohrane. Ta tijela javne vlasti trebala bi obrađivati takve osobne podatke u skladu s primjenjivim pravilima za zaštitu podataka ovisno o svrhama obrade.

Legitimni interes treće strane navodi se kao zakonski temeljem obrade u samom članku 6. GDPR-a. Obrada je zakonita ako je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane (osim obrade javnih vlasti pri izvršavanju svojih zadaća), osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.