Doorgifte kan worden gedefinieerd als elke communicatie, kopie of verplaatsing van persoonlijke gegevens bestemd voor Verwerking in een land buiten de Europese Unie.

Doorgifte van gegevens buiten de Europese Unie is principieel verboden

De artikelen 44 tot en met 49 van de AVG voorzien in uitzonderingen op dit verbod. Zij voorzien in het gebruik van instrumenten om dergelijke doorgiften te controleren:

• een adequaatheidsbesluit van de Europese Commissie betreffende bepaalde landen die een adequaat beschermingsniveau garanderen;

• standaard contractuele clausules (SCC) uitgegeven door de Europese Commissie;

• interne bedrijfsvoorschriften (BCR);

• specifieke contractuele clausules (die geacht worden te voldoen aan de modelclausules van de Europese Commissie);

• modelcontractbepalingen die zijn goedgekeurd door een toezichthoudende autoriteit en zijn goedgekeurd door de Europese Commissie,

• een goedgekeurde gedragscode (inclusief een bindende en afdwingbare toezegging door ontvangers van buiten de EU om passende waarborgen toe te passen),

• een goedgekeurde certificeringsregeling (met inbegrip van een bindende en afdwingbare verbintenis van ontvangers buiten de EU om passende waarborgen toe te passen),

• een administratieve regeling of een juridisch bindende en afdwingbare tekst die is aangenomen om samenwerking tussen overheidsinstanties mogelijk te maken (memorandum van overeenstemming of MMOU, internationaal verdrag, enz.)

Afwijkingen zijn voorzien in artikel 49 van de AVG. Als een afwijking de overdracht rechtvaardigt, moet de aard van de afwijking worden aangegeven en moeten, indien van toepassing, details worden verstrekt over de beoordeling van de omstandigheden van de overdracht en de passende waarborgen.