Dataskyddsförordningen reglerar ett likvärdigt skydd för personuppgifter och personlig integritet inom EU och EES-länderna. Således finns det inga begränsningar vad gäller överföring av personuppgifter inom detta område. Däremot finns inte motsvarande reglering utanför EU/EES. Således har dataskyddsförordningen specifika regler om under vilka förutsättningar det är tillåtet att föra över personuppgifter i länder utanför EU/EES.
EU-kommissionen kan besluta om att ett land har en tillräckligt hög skyddsnivå och i det fallet får ni föra över personuppgifter dit utan något särskilt tillstånd. I dataskyddsförordningen kallas det att land har en adekvat skyddsnivå. Sådana beslut kan även gälla ett visst territorium, internationell organisation eller sektorer i ett tredje land. Här kan ni hitta en uttömmande lista vad gäller länder med adekvat skyddsnivå.
Därutöver om ni har tagit till lämpliga skyddsåtgärder som till exempel bindande företagsbestämmelser eller standardavtalsklausuler är det tillåtet med tredjelandsöverföring.
I det uppmärksammade målet som avgjordes av EU-domstolen (Schrems II-domen) ogiltigförklarades Privacy Shield som brukar användas som en laglig grund för överföring av personuppgifter till USA. Således är det inte längre tillåtet att använda detta som grund och rättsläget är väldigt osäkert vad gäller överföring av personuppgifter till USA. Domstolen ansåg att amerikansk nationell lagstiftning inte gav tillräckligt skydd för personuppgifter vilket betyder att även med standardavtalsklausuler kan det föreligga ett osäkert läge.