Tietosuojalainsäädäntö sallii henkilötietojen siirrot Euroopan talousalueen eli ETA-alueen (EU-jäsenvaltiot, Islanti, Norja ja Liechtenstein) sisällä ilman erillisiä edellytyksiä. Mikäli rekisterinpitäjä tai henkilötietojen käsittelijä aikoo sen sijaan siirtää henkilötietoja ETA-alueen ulkopuolelle kolmansiin maihin tai kansainvälisille järjestöille, on varmistettava, että siirrolle on olemassa tietosuoja-asetuksessa määritelty siirtoperuste ja että käsittely on muutoinkin lainmukaista. Siirtoperusteilla on keskinäinen etusijajärjestys.
Henkilötietojen siirtoedellytyksiä voidaan joutua arvioimaan tilanteessa, jossa rekisterinpitäjä on luovuttamassa henkilötietoja toiselle rekisterinpitäjälle tai kun rekisterinpitäjä siirtää tietoja henkilötietojen käsittelijän käsiteltäväksi. Näissä tilanteissa on tärkeää huomioida tietojen maantieteellinen sijainti sekä se, kenellä on pääsy tietoihin etäyhteydellä. Tietojen siirrosta ETA-alueen ulkopuolelle on kyse esimerkiksi silloin, kun konesalit, joissa tietoja säilytetään, sijaitsevat ETA-alueen ulkopuolella. Siirrosta on kyse myös silloin, jos tietoihin pääsee etäyhteydellä ETA-alueen ulkopuolelta, vaikka tietoja säilytettäisiinkin konesaleissa ETA-alueella. Siirtoedellytyksien arviointi tulee kyseeseen yleensä erilaisia pilvipalveluita käytettäessä.
Rekisterinpitäjänä toiminnan järjestäjän vastuulla on huolehtia, että kaikki sen suorittamat tai sen lukuun suoritetut siirrot ovat lainmukaisia ja että siirtojen edellytykset täyttyvät. Siirtojen lainmukaisuus on siten huomioitava esimerkiksi hankinnoissa ja muissa henkilötietojen käsittelyn ulkoistusta koskevissa tilanteissa. Toiminnan järjestäjän on myös seurattava, mikäli esimerkiksi lainsäädännössä tai oikeuskäytännössä tapahtuu sellaisia muutoksia, joiden perusteella siirtoedellytysten riittävyyttä on arvioita uudelleen.