Selbst wenn es einem Verantwortlichen gelingt, eine Rechtsgrundlage zu finden, um Dritten Zugang zu den Daten zu gewähren, bedeutet dies nicht, dass die Garantien und Anforderungen der Datenschutz-Grundverordnung nicht für diese Datensätze gelten. Ebenso muss sich ein Forscher, der Zugang zu einer Datenbank erhält, der rechtlichen Auswirkungen bewusst sein, die seine neue Position (als Verantwortlicher, gemeinsam Verantwortlicher oder Auftragsverarbeiter) mit sich bringen könnte (siehe Abschnitt „Hauptakteure“ in Teil II dieser Leitlinien). Darüber hinaus müssen die Anforderungen an Verarbeitung nach Treu und Glauben und Transparenz erneut erfüllt werden. Dies bedeutet, dass die betroffenen Personen über ihre Rechte in Bezug auf diese Weiterverarbeitung aufgeklärt werden müssen. Alle anderen Grundsätze der Datenschutz-Grundverordnung müssen auch bei dieser Weiterverarbeitung beachtet werden.

Um die Rollen der verschiedenen an Datenübertragungsvereinbarungen beteiligten Parteien zu klären und sicherzustellen, dass die Bestimmungen der Datenschutz-Grundverordnung angemessen umgesetzt werden, sind Verträge notwendig und ratsam. Diese Verträge sollten alle Einzelheiten der Datenverarbeitungsvorgänge umfassen, einschließlich des Gegenstands (der zu verarbeitenden Daten), der Dauer der Verarbeitung, des Zwecks der Datenverarbeitung, der Art der Verarbeitung, der Art der Daten, der Kategorien der betroffenen Personen usw. Es sollte festgelegt werden, wie und von wem die Rechte der betroffenen Personen geschützt werden. Jeder muss sich vollkommen darüber im Klaren sein, welche Aufgaben, Verantwortlichkeiten und Rechte jeder Beteiligte hat. Selbstverständlich sollten die Verträge auch Klauseln über Garantien, Datenspeicherung, Audit-Rechte, die Meldung von Datenschutzverletzungen und generell über alle sensiblen Themen enthalten, die von der Datenschutz-Grundverordnung abgedeckt werden. In diesen Klauseln sollten die verschiedenen Pflichten, die jede unterzeichnende Partei übernimmt, klargestellt werden.

Es gibt auch Standardverträge für die verschiedenen Fälle, z. B. für gemeinsam Verantwortliche. Forscher, die Zugang zu ihren Datenbanken gewähren, müssen ausführliche Klauseln zum Einwilligungsmanagement für die weitere Verarbeitung aufnehmen, da sie der erste Verantwortliche sind, der die personenbezogenen Daten weitergibt.

Unabhängig davon, ob es sich um ein akademisches oder ein kommerzielles Projekt handelt, müssen die Verantwortlichen den betroffenen Personen dieselben Informationen zur Verfügung stellen, die auch bei der direkten Erhebung von Daten bei den betroffenen Personen bereitgestellt werden, darunter die Angabe, wer der Verantwortliche ist und wie man ihn kontaktieren kann, die Zwecke der Verarbeitung und die Rechtsgrundlage für die Verarbeitung sowie die Rechte der betroffenen Personen. Darüber hinaus müssen die betroffenen Personen darüber informiert werden, aus welcher Quelle die personenbezogenen Daten stammen und ob sie aus öffentlich zugänglichen Quellen stammen. Die Informationspflicht muss innerhalb einer angemessenen Frist nach Erhalt der Daten, spätestens jedoch innerhalb eines Monats, erfüllt werden. Es gelten Ausnahmen von dieser Verpflichtung (z. B. wenn die betroffene Person bereits über die Informationen verfügt). Ausführliche Angaben zum Umfang dieser Verpflichtung und zu den geltenden Ausnahmen sind in Artikel 14 der Datenschutz-Grundverordnung enthalten (siehe „Recht auf Information“ in Teil II, Abschnitt „Rechte der betroffenen Person“).