Rozporządzenie określa zasady przekazywania danych osobowych, które następnie są lub mają być przetwarzane po przekazaniu do państwa trzeciego lub organizacji międzynarodowej. Zgodnie z ogólną zasadą przekazanie może nastąpić tylko wtedy, gdy administrator i podmiot przetwarzający spełniają wymogi dotyczące przekazywania danych osobowych określone w Rozporządzeniu, włącznie z wymogami dalszego przekazania danych.
Transfer danych osobowych jest możliwy, jeżeli państwo trzecie lub organizacja międzynarodowa zapewnia adekwatny poziom ochrony danych osobowych. Podobne regulacje obowiązywały na podstawie Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (dalej jako „Dyrektywa”). Adekwatność poziomu ochrony danych osobowych może zostać zatwierdzona decyzją Komisji Europejskiej.
Dotychczas wydane decyzje dotyczące adekwatności zostają utrzymane w mocy bezterminowo, do czasu ich uchylenia lub zmiany.
Obecnie funkcjonujące decyzje Komisji Europejskiej dotyczą: Andory, Argentyny, Kanady, Szwajcarii, Izraela, wysp Guernsey, Jersey, Man, Nowej Zelandii, Urugwaju oraz szczególnego uregulowania transferu danych pomiędzy obszarem Unii Europejskiej a Stanami Zjednoczonymi – Privacy Shield.
Privacy Shield stanowi nowy pakiet przepisów dotyczących przekazywania danych osobowych pomiędzy Unią Europejską a Stanami Zjednoczonymi, który zastąpił poprzedni – Safe Harbour. Zgodnie z decyzją Privacy Shield, podmioty ze Stanów Zjednoczonych chcące przetwarzać dane osobowe przekazywane z Unii Europejskiej muszą przestrzegać zasad, które zapewniają ochronę prywatności osób fizycznych.
Jedną z podstawowych zasad stanowi prawo do informacji. Osoby fizyczne muszą być informowane, m.in. o rodzaju przetwarzanych danych, celu ich przetwarzania czy prawie dostępu do danych. Podmioty przetwarzające dane są też zobowiązane do publikowania swoich polityk prywatności.
Przekazywanie danych osobowych jest również możliwe w razie braku decyzji Komisji Europejskiej.
W takim przypadku jednak administrator lub podmiot przetwarzający mogą przekazać dane osobowe wyłącznie wtedy, gdy zapewnią odpowiednie zabezpieczenia, oraz pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej.
Odpowiednie gwarancje można zapewnić m.in. za pomocą prawnie wiążącego i egzekwowalnego instrumentu między organami lub podmiotami publicznymi czy wiążących reguł korporacyjnych. Ponadto, zgodnie z Rozporządzeniem, przekazanie danych osobowych do państwa trzeciego jest możliwe także wtedy, gdy brak jest decyzji stwierdzającej odpowiedni stopień ochrony oraz odpowiednich zabezpieczeń. W takim przypadku przekazanie danych możliwe jest wyłącznie pod warunkiem wystąpienia jednego z wymienionych w Rozporządzeniu wyjątków mających zastosowanie w szczególnych sytuacjach. Rozporządzenie poszerza katalog wyjątków. Wszystkie odstępstwa od zakazu transferu danych osobowych zawarte w Dyrektywie pozostają w mocy. Dodatkowo przekazanie danych będzie możliwe także wtedy, gdy jest ono niezbędne do zawarcia umowy między osobą, której dane dotyczą, a administratorem lub do wprowadzenia w życie środków przedumownych podejmowanych na żądanie osoby, której dane dotyczą; gdy przekazanie jest niezbędne do ochrony żywotnych interesów osoby, których dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody; a także, gdy przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń.