Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) se otázce předávání osobních údajů do třetích zemí nebo mezinárodním organizacím věnuje v kapitole V.
Nová pravidla pro předávání údajů i nadále respektují zásadu volného pohybu osobních údajů v rámci Evropské unie, resp. Evropského hospodářského prostoru, na jejímž základě nelze pouze z důvodu ochrany fyzických osob v souvislosti se zpracováním jejich osobních údajů zakázat nebo omezit předávání údajů z jednoho členského státu EU do druhého. Tato zásada byla zohledněna již ve směrnici 95/46/ES a jejím cílem je zdůraznit potřebu výměny dat pro fungování vnitřního trhu Unie, pro které je volný pohyb údajů nepostradatelný.
Základní zásadou pro předávání osobních údajů do třetích zemí zůstává i nadále zásada odpovídající úrovně ochrany osobních údajů, podle které k předávání osobních údajů může dojít pouze tehdy, pokud dotyčná třetí země zajistí odpovídající úroveň ochrany. Požadavek na tzv. odpovídající úroveň ochrany osobních údajů je nyní realizován výlučně prostřednictvím rozhodnutí Evropské komise o přiměřenosti, tzn. prostřednictvím rozhodnutí, které potvrzuje odpovídající úroveň ochrany osobních údajů ve třetí zemi jako celku nebo jen v určitém sektoru třetí země (viz
Předávání založené na rozhodnutí o odpovídající úrovni ochrany osobních údajů)
Při předávání osobních údajů do třetích zemí mimo Evropskou unii rozlišuje obecné nařízení z hlediska způsobu, jakými jsou předávaným osobním údajům poskytovány, resp. neposkytovány, záruky jejich ochrany, v podstatě tři úrovně předávání: (i) předávání založené na rozhodnutí o odpovídající úrovni ochrany, (ii) předávání založené na vhodných zárukách garantovaných správcem/vývozcem údajů, (iii) předávání založené na tzv. výjimkách pro specifické situace.
K významným změnám došlo v případě aplikace a rozsahu samoregulačních nástrojů používaných pro bezpečné předávání. U
standardních smluvních doložek již nebude v žádném členském státě EU požadováno jejich předchozí schválení dozorovým úřadem. Vypracování
závazných podnikových pravidel je v nařízení detailně upraveno a podobně jako v případě standardních smluvních doložek i zde platí, že jejich aplikace ze strany správce nebude podléhat povolovacímu režimu ze strany dozorových úřadů. Obecné nařízení zavádí některé nové samoregulační nástroje (kodexy chování, osvědčení o ochraně údajů) i další legální možnosti, jako je např. možnost předávat osobní údaje na základě závažných oprávněných zájmů správce nebo na základě správních ujednání mezi orgány veřejné moci nebo veřejnými subjekty.
