第三国がその後水準を確保したことを保証する枠組みは、第6項で規定している。
6. 欧州委員会は、第31条2項に規定する手続きに基づき、個人の私生活、基本的自由および権利の保護を目的とした、国内法の採択または国際条約の締結、特に第5項に記載される協議が終了したことを理由として、第三国が第2項の趣旨の範囲内で、十分な保護を保証していると判断することができる。
しかし、EU指令には第25条の適用制約として、続く第26条において、次の条件を満たす場合には、第25条第2項の項目において十分なレベルの保護が保証されない第三国に対しても、個人データの移転または一連の移転を認めることができるようになっている。第26条第1項の定める適用制約は、以下の通りである。
1. 第25条を改定することにより、かつ個々の事例に適用される国内法で異なる規定がないかぎり、加盟国は、第25条第2項の範囲で十分な保護を保証していない第三国への情報移転については、以下の条件に基づきこれを実施することができる。
(a) データ主体が、予定されている移動に対して明確に同意を与えている場合。
(b) 移転が、データ主体および管理者問の契約の履行のために、またはデータ主体の要請により契約締結前の措置の実施のために必要である場合。
(C) 移転が、管理者および第三者問でデータ主体の利益のために結ばれる契約の締結または履行のために必要である場合。
(d) 移転が、重要な公共の利益に基づいて、または法的請求の確定、行使または防御のために必要である場合、または法的に要求される場合。
(e) 法律または規則に従い情報を公衆に提供することを目的とし、および公衆一般または適当な利害関係を証明することができる者による調査を受ける登録簿から、調査に関する法に規定された条件が特定の場合に満たされる範囲内で、移転が行われる場合。
第1項の規定をクリアした場合の措置は、第2項で下記のように定められている。
2. 第1項の規定を段損することなく、加盟国は、管理官が個人のプライバシー、基本的権利および自由の保護、ならびにそれに対応する権利に関して、該当する契約条項に
