Изменен: Чл. 35. (1) Предоставянето на лични данни от администратора на трети лица се допуска, ако:
1. е налице някое от основанията по чл. 4;
2. източниците на данни са публични регистри или документи, съдържащи обществена информация, за която е осигурен достъп по ред, определен в закон.
(2) В случаите по ал. 1, т. 1 се отправя писмено искане, в което се посочва основанието за предоставяне на лични данни.
(3) Администраторът се произнася с решение по искането в 14-дневен срок, като предоставя исканите данни или мотивирано отказва предоставянето им.
(4) Администраторът писмено уведомява третото лице за решението си по ал. 3.
(5) Предоставянето на лични данни или отказът може да се обжалва от заинтересованите лица по реда на глава седма.

 Изменен: Чл. 36. (1) Предоставянето на лични данни от администратора на чуждестранни физически и юридически лица или на чужди държавни органи се допуска с разрешение на Комисията за защита на личните данни, ако нормативните актове на страната получател гарантират по-добра или еднаква с предвидената в този закон защита на данните.
(2) При прехвърлянето на лични данни в случаите по ал. 1 се спазват изискванията на този закон.

 Нов: Чл. 36а. (1) Предоставянето на лични данни в държава - членка на Европейския съюз, както и в друга държава - членка на Европейското икономическо пространство, се извършва свободно при спазване на изискванията на този закон.
(2) Предоставяне на лични данни в трета държава се допуска само ако тя осигурява адекватно ниво на защита на личните данни на своя територия.
(3) Преценката на адекватността на нивото на защита на личните данни в трета държава се извършва от Комисията за защита на личните данни, като се вземат предвид всички обстоятелства, свързани с действието или съвкупността от действията по предоставянето на данните, включително характера на данните, целта и продължителността на обработването им, правната им уредба и мерките за сигурност, осигурени в третата държава.
(4) Преценка по ал. 3 не се извършва, когато Европейската комисия се е произнесла с решение относно нивото на защита на личните данни в третата държава, на която се предоставят данните.
(5) Изискването по ал. 2 не се прилага, когато предоставянето на лични данни се извършва съгласно международен договор, ратифициран, обнародван и влязъл в сила за Република България.
(6) Извън случаите по ал. 2 и 4, администраторът може да предоставя лични данни в трета държава, ако:
1. лицето, за което се отнасят данните, е дало изрично съгласие за това;
2. предоставянето е необходимо за изпълнението на договор между физическото лице и администратора или се осъществява по молба на лицето;
3. предоставянето е необходимо за изпълнение на договор, сключен в интерес на физическото лице между администратора и друг субект;
4. предоставянето е необходимо или се изисква от закона поради значим обществен интерес или за установяването, упражняването или защитата на права по съдебен ред;
5. предоставянето е необходимо, за да се защитят животът и здравето на лицето, за което се отнасят данните;
6. се предоставят данни, които са общодостъпни.
(7) Предоставянето на лични данни в трети държави е допустимо във всички случаи, когато то се извършва единствено за целите на журналистическата дейност, литературното или художественото изразяване, доколкото това обработване не нарушава правото на личен живот на лицето, за което се отнасят данните.

Нов: Чл. 36б. (1) Извън случаите по чл. 36а, предоставянето на лични данни в трета държава се извършва след разрешение на Комисията за защита на личните данни, при условие че администраторът, предоставящ данните, и администраторът, който ги получава, представят достатъчно гаранции за защитата им.
(2) Комисията уведомява Европейската комисия и компетентните органи на другите държави членки за разрешенията, предоставени по ал. 1.

Чл. 37.  отменя се