Il regolamento europeo in materia di protezione dei dati personali da una definizione di destinatario dei dati personali.
In base all'art. 4, par. 1, n. 9 del regolamento europeo, il destinatario è "la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento".
Destinatari sono, quindi, tutti i soggetti che ricevono dati personali dal titolare, siano essi interni od esterni. I destinatari possono ricevere tali dati per eseguire trattamenti per conto del titolare, o per conseguire proprie specifiche finalità. Ovviamente i destinatari devono essere definiti in fase di raccolta dei dati ed indicati nell'informativa rivolta all'interessato, anche solo per categorie. Vanno indicati anche nel registro dei trattamenti. Se il destinatario risiede al di fuori del territorio dell'Unione europea, occorre che il titolare verifichi l'esistenza di specifiche garanzie per la protezione dei dati, prima di trasferire i dati.