(1) Pri odločanju o ustrezni ravni varstva osebnih podatkov v tretji državi je državni nadzorni organ dolžan ugotoviti vse okoliščine v zvezi z iznosom osebnih podatkov. Predvsem mora upoštevati vrsto osebnih podatkov, namen in trajanje predlagane obdelave, pravno ureditev v državi izvora in v državi prejemnici, vključno z ureditvijo varstva osebnih podatkov tujih državljanov, ter ukrepe zavarovanja osebnih podatkov, ki se v njih uporabljajo.