(108) В отсутствие решения об адекватности контролер или обработчик данных должны принять меры для компенсации отсутствия защиты данных в третьей стране посредством соответствующих гарантий для субъекта данных. Такие надлежащие меры предосторожности могут заключаться в использовании обязательных корпоративных правил, стандартных положений о защите данных, принятых Комиссией, стандартных положений о защите данных, принятых надзорным органом, или договорных положений, утвержденных надзорным органом. Эти гарантии должны обеспечивать соблюдение требований по защите данных и прав субъектов данных, соответствующих обработке в рамках Союза, включая наличие осуществимых прав субъектов данных и эффективных средств правовой защиты, в том числе для получения эффективного административного или судебного возмещения и требования компенсации, в Союзе или в третьей стране. Они должны касаться, в частности, соблюдения общих принципов, касающихся обработки персональных данных, принципов защиты данных по замыслу и по умолчанию. Передача может также осуществляться государственными органами или подразделениями с государственными органами или подразделениями в третьих странах или с международными организациями с соответствующими обязанностями или функциями, в том числе на основе положений, которые должны быть включены в административные соглашения, такие как меморандум о взаимопонимании, предусматривающий подлежащие исполнению и эффективные права для субъектов данных. Разрешение компетентного надзорного органа должно быть получено, когда гарантии предусмотрены административными соглашениями, которые не являются юридически обязательными.

(109) Возможность для контролера или обработчика использовать стандартные положения о защите данных, принятые Комиссией или надзорным органом, не должна препятствовать контроллерам или обработчикам ни включать стандартные положения о защите данных в более широкий контракт, такой как контракт между обработчиком и другим обработчиком, ни добавлять другие положения или дополнительные гарантии при условии, что они прямо или косвенно не противоречат, стандартные договорные положения, принятые Комиссией или надзорным органом, или наносят ущерб основным правам или свободам субъектов данных. Контролеров и обработчиков следует поощрять к предоставлению дополнительных гарантий посредством договорных обязательств, дополняющих стандартные положения о защите.