(108) За відсутності рішення про відповідність, контролер або оператор повинні вживати заходів для компенсації недостатнього захисту даних у третій країні шляхом застосування відповідних гарантій до суб’єкта даних.

Такі відповідні гарантії можуть становити застосування зобов’язальних корпоративних правил, стандартних положень про захист даних, ухвалених Комісією, стандартних положень про захист даних, ухвалених наглядовим органом, або договірних положень, дозвіл на які надано наглядовим органом.

Ці гарантії повинні забезпечувати відповідність вимогам щодо захисту даних і правам суб’єктів даних, що відповідають опрацюванню в межах Союзу, в тому числі наявність прав суб’єкта даних, які можна реалізувати, та дієвих засобів правового захисту, в тому числі на отримання дієвих адміністративних чи судових засобів правового захисту та права вимоги відшкодування, в Союзі чи в третій країні.

Вони повинні стосуватися, зокрема, відповідності загальним принципам щодо опрацювання персональних даних, принципам захисту даних за призначенням і за замовчуванням.

Передавання також можуть здійснювати публічні органи до публічних органів у третіх країнах або міжнародних організацій з відповідними обов’язками чи функціями, в тому числі на підставі положень, що підлягають внесенню до адміністративних домовленостей, таких як меморандум про взаєморозуміння, що передбачають права, які можна реалізувати, та дієві права для суб’єктів даних.

Необхідно отримати дозвіл компетентного наглядового органу у випадку, якщо гарантії передбачено адміністративними домовленостями, що не мають зобов’язальної сили.