1. Ελλείψει απόφασης δυνάμει του άρθρου 36 παράγραφος 3 της Οδηγίας 680/2016, μια διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί εφόσον:
α) παρασχέθηκαν κατάλληλες εγγυήσεις όσον αφορά στην προστασία δεδομένων προσωπικού χαρακτήρα σε νομικά δεσμευτική πράξη· ή
β) ο υπεύθυνος επεξεργασίας αξιολόγησε όλες τις περιστάσεις που περιβάλλουν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα και κατέληξε στο συμπέρασμα ότι υπάρχουν κατάλληλες εγγυήσεις όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα.
2. Ο υπεύθυνος επεξεργασίας ενημερώνει σε τακτά χρονικά διαστήματα και οπωσδήποτε άπαξ κατ’ έτος την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ή την αρμόδια εποπτική αρχή σχετικά με τις κατηγορίες διαβιβάσεων δυνάμει της παραγράφου 1 στοιχείο β).
3. Μια διαβίβαση που βασίζεται στην παράγραφο 1 στοιχείο β) τεκμηριώνεται και η τεκμηρίωση πρέπει να τίθεται στη διάθεση της Aρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ή στην αρμόδια εποπτική αρχή κατόπιν αιτήματος αυτής. Η τεκμηρίωση συμπεριλαμβάνει την ημερομηνία και τον χρόνο της διαβίβασης, πληροφορίες σχετικά με την αποδέκτρια αρμόδια αρχή, την αιτιολόγηση της διαβίβασης και τα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα.