1. Ελλείψει απόφασης δυνάμει του άρθρου 36 παράγραφος 3, τα κράτη μέλη προβλέπουν ότι μια διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί εφόσον:
α) παρασχέθηκαν κατάλληλες εγγυήσεις όσον αφορά στην προστασία δεδομένων προσωπικού χαρακτήρα σε νομικά δεσμευτική πράξη· ή
β) ο υπεύθυνος επεξεργασίας αξιολόγησε όλες τις περιστάσεις που περιβάλλουν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα και κατέληξε στο συμπέρασμα ότι υπάρχουν κατάλληλες εγγυήσεις όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα.
2. Ο υπεύθυνος επεξεργασίας ενημερώνει την εποπτική αρχή σχετικά με τις κατηγορίες διαβιβάσεων δυνάμει της παραγράφου 1 στοιχείο β).
3. Μια διαβίβαση που βασίζεται στην παράγραφο 1 στοιχείο β) τεκμηριώνεται και η τεκμηρίωση πρέπει να τίθεται στη διάθεση της εποπτικής αρχής κατόπιν αιτήματος που συμπεριλαμβάνει την ημερομηνία και τον χρόνο της διαβίβασης, πληροφορίες σχετικά με την αποδέκτρια αρμόδια αρχή, την αιτιολόγηση της διαβίβασης και τα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα.
