În principiu, GDPR restricționează transferurile de date în afara Uniunii Europene, către state terțe sau organizații internaționale, cu scopul de a se asigura că nivelul unitar de protecție pe care îl asigură persoanelor nu este subminat.
Transferurile bazate pe o decizie a Comisiei Europene sunt permise în măsura în care statul terț sau organizația internațională asigură un nivel adecvat de protecție.
Acordarea unor măsuri adecvate de protecție a datelor de către organizații internaționale, precum și asigurarea unui nivel de protecție a drepturilor persoanelor vizate cu privire la datele transferate, identic cu nivelul de protecție stabilit prin Regulament, poate determina aprobarea transferului datelor de către Comisia Europeană.
Evaluarea de către operator sau autoevaluarea nivelului de protecție de către organizația internațională destinatară, nu constituie un argument suficient pentru obținerea unui acord cu privire la transferul datelor.