Az irányelv szerint a tagállamok csak azokba a harmadik országokba tehetik lehetővé a személyes adatok korlátozások nélküli elektronikus továbbítását, amelyek szavatolják az azok "megfelelő védelmét". Az irányelv a brüsszeli bizottságot hatalmazza fel annak eldöntésére, mely országok tesznek eleget e követelménynek. A bizottság eddig csak Magyarországot és Svájcot sorolta e kategóriába, illetve az Egyesült Államokban alkalmazott úgynevezett "safe harbor" adatvédelmi rendszert minősítette ilyennek.
A január 1-jén életbe lépett kanadai törvény egyelőre olyan személyes adatokra vonatkozik, amelyeket szövetségi igazgatás alatt működő társaságok (légi- és vasúttársaságok, hajózási és fuvarozó vállalatok, telefontársaságok, bankok, közszolgálati rádió és televízió) gyűjtenek és továbbítanak alkalmazottaikról és ügyfeleikről üzleti tevékenységük során. Kiterjed továbbá mindazokra a szervezetekre és intézményekre, amelyek tartományon vagy országon kívülre továbbítanak személyes adatokat. Hatályát azonban 2004-től minden olyan szervezetre kiterjesztik, amely üzleti tevékenysége során személyes adatokat gyűjt, felhasznál vagy közöl, függetlenül attól, hogy szövetségi igazgatás alatt működik-e.
Sem a kanadai törvény, sem a bizottsági határozat nem vonatkozik viszont az olyan személyes adatokra, amelyek köztestületek birtokában vannak, vagy amelyeket magáncégek nem üzleti célokból gyűjtenek. Az ilyen adatoknak az EU-ból Kanadába történő továbbításához változatlanul további biztosítékokra például megfelelő szerződéses záradékokra - lesz szükség.
A közösségi irányelv természetesen lehetőséget ad személyes adatok továbbítására olyan EU-n kívüli országokba is, amelyek nem tesznek eleget a "megfelelő védelem" ismérveinek (vagyis az említetteken kívül bármely országba). Ilyen eset például az, amikor az érintett magánszemélyek félreérthetetlen módon kifejezésre juttatták hozzájárulásukat adataik továbbadásához, illetve ha erre az adattulajdonos érdekeit szolgáló valamilyen szerződés megkötéséhez vagy teljesítéséhez van szükség. (Ennek tipikus példája a hitelkártyák használatával összefüggő óriási volumenű adatáramlás.) Emellett a tagországok adatvédelmi hatóságai eseti alapon is engedélyezhetnek ilyen adatátadásokat, ha úgy ítélik meg, hogy az információk megfelelő védelme biztosított.
Magyarország, Svájc, Kanada és az amerikai rendszer esetében a megfelelő védettség elismerése nem annak megállapítását jelentette, hogy az ottani szabályok pontosan megfelelnek az uniós irányelv előírásainak. Az EU nem ezt várja el, hanem egy meglehetősen bonyolult eljárást alkalmaz a megfelelőség megállapítására, nemzetközileg (például az OECD szintjén), illetve a tagországok adatvédelmi biztosainak munkacsoportja által elfogadott szabványokból és alapelvekből kiindulva.