作为一般规则，如果认为这些国家确保足够的数据保护水平，则可能会将个人数据转移到欧洲经济区以外的国家。

GDPR第45条规定，第三国的个人数据保护等级由欧盟委员会评估。根据GDPR，委员会的适当性决定也可能仅限于特定地区或一国中更具体的部门。可以在此处找到迄今已被评估为具有足够数据保护水平的国家。

GDPR预计，欧洲委员会将至少每四年审查其充分性决定。可以撤销，修改或中止该决定，而无追溯效力。

但是，GDPR第46（1）条中的一般规则有一些例外。即使没有适当的决定，个人数据也可以转移到第三国：

（1）出口数据的控制人或处理人是否已提供适当的保护措施；和

（2）条件是在特定国家/地区可获得可执行的数据主体权利和有效的法律补救措施。

可以在以下最相关的工具中规定适当的保护措施：

具有约束力的公司规则是跨国企业集团通过的内部行为守则，如步骤4.9所述，并允许该集团的不同实体之间进行转移；

欧盟委员会或国家监管机构通过并经欧盟委员会批准的标准合同条款；

数据出口者和数据进口者之间商定的其他临时合同条款，如果已经由国家主管监管机构提交并授权，则可以认为是适当的。

在没有上述适当决定或适当保障措施的情况下，在第49条所列特定情况之一中，跨境转移仍可能例外发生。