The reform of EU data protection legislation adopted in 2016 offers a diversified toolkit of mechanisms to transfer data to third countries: adequacy decisions, standard contractual clauses, binding corporate rules, certification mechanism, codes of conduct, so-called "derogations" etc

The European Commission has so far recognised Andorra, Argentina, Canada (commercial organisations), Faroe Islands, Guernsey, Israel, Isle of Man, Japan, Jersey, New Zealand, Switzerland and Uruguay as providing adequate protection.
On 30 March 2021, adequacy talks were concluded with South Korea. 

Передача персональных данных в третью страну или международную организация может быть принята в отсутствие решения о соответствии в соответствии со Статьей 45 (3) или соответствующие гарантии в соответствии со статьей 46, включая обязательные корпоративные правила, при условии, что "субъект данных явным образом дал согласие на предлагаемую передачу после того, как был проинформирован о возможных рисках такой передачи для субъекта данных из-за отсутствия решения об адекватности и
соответствующих гарантий".

2.1.1 Согласие должно быть явным

Согласно статье 4 (11) GDPR, любое согласие должно быть дано свободно, конкретно, информировано и однозначно. В отношении этого самого последнего условия статья 49 (1) (а) является более строгой, поскольку требует «явного» согласия.  GDPR требует явного согласия в ситуациях, когда риски защиты данных могут возникнуть, поэтому требуетсяя высокий индивидуальный уровень контроля над персональными данными, как и в случае обработки данных специальной категории (статья 9 (2) (а)) и автоматизированных решения (статья 22 (2) (c)). Такие особые риски также проявляются в контексте международных данных.

2.1.2 Согласие должно быть конкретным для конкретной передачи данных / набора передач.

Одним из требований действительного согласия является то, что оно должно быть конкретным. Для того, чтобы составить действительное основание для передачи данных в соответствии со Статьей 49 (1) (а), следовательно, согласие должно быть дано специально для конкретной передачи данных или набор передач. Элемент «конкретный» в определении согласия предназначен для обеспечения определенной степени контроля со стороны пользователя и
прозрачность для субъекта данных.
Этот элемент также тесно связан с требованием согласия должны быть «информированым». Поскольку согласие должно быть конкретным, иногда невозможно получить предварительное согласие субъекта данных для будущей передачи во время сбора данных, например, если возникновение и конкретные обстоятельства передачи неизвестны на момент запроса согласия, вследствие чего влияние на данные предмет не может быть оценено. 
Например, компания из ЕС собирает данные своих клиентов для определенной цели (доставка товаров) без рассмотрения передачи этих данных в то время третьему лицу за пределами ЕС. Однако несколько лет спустя ту же компанию приобретает компания, не входящая в ЕС, которая желает передать личные данные своих клиентов другой компании за пределами ЕС. Для того чтобы эта передача была действительной на основании отступления от согласия, субъект данных должен предоставить свой
согласие на эту конкретную передачу в то время, когда передача предусмотрена. Следовательно, согласие предоставленные во время сбора данных компанией ЕС для целей доставки недостаточно, чтобы оправдать использование этого отступления для передачи персональных данных за пределы ЕС, которые планируется позже. 

2.1.3 Согласие должно содержать информирование, в частности, о возможных рисках передачи

Это условие особенно важно, поскольку оно усиливает и дополнительно уточняет общее требование «осознанного» согласия применимо к любому согласию и изложено в ст. 4 (11). 
Таким образом, общее требование «осознанного» согласия требуется в случае согласия в качестве законного основания в соответствии со Статьей 6 (1) (a) для передачи данных, что субъект данных должным образом проинформирован заранее о конкретном
обстоятельства передачи (т. е. личность контроллера данных, цель передачи, тип данных, наличие права на отзыв согласия, личность или категории получателей).
В дополнение к этому общему требованию «осознанного» согласия, когда личные данные передаются в третьей стране в соответствии со статьей 49 (1) (а), это положение требует, чтобы субъекты данных также были проинформированы о специфические риски, связанные с тем, что их данные будут переданы в страну, которая не обеспечивает адекватную защиту и об отсутствии адекватных гарантий, направленных на обеспечение защиты данные. Предоставление этой информации необходимо для того,чтобы субъект данных мог дать согласие с полным знанием этих конкретных фактов передачи, и поэтому, если она не будет предоставлена, отступление не будет применяться.

Информация, предоставляемая субъектам данных для получения согласия на передачу их личных данных для третьих лиц, учрежденных в третьих странах, также должна указывать всех получателей данных или категории получателей, все страны, в которые передаются личные данные, что согласие является законное основание для передачи, и что третья страна, в которую будут переданы данные, не обеспечивает адекватный уровень защиты данных на основании решения Европейской комиссии.
Кроме того, как упоминалось выше, должна быть предоставлена ​​информация о возможных рисках для субъекта данных, возникших из-за отсутствия надлежащей защиты в третьей стране и отсутствия соответствующих гарантии. Такое уведомление, которое может быть стандартизировано, должно включать, например, информацию, которая в третьей стране может не быть надзорного органа и / или принципов обработки данных и / или права субъекта данных могут не предоставляться в третьей стране.
В конкретном случае, когда передача выполняется после сбора личных данных, экспортер данных должен сообщить субъекту данных о передаче и ее рисках до того, как сбор данных произошел, чтобы получить его явное согласие на «предлагаемую» передачу.