Loven er basert på forutsetningen om at personopplysninger skal kunne flyte fritt innen EØS-området, dvs innen 30 europeiske land. Dette kapittelet har derfor kun praktisk betydning i forhold til overføring av personopplysninger til og fra land utenfor EØS. Bestemmelsene er vanskelige å anvende fordi de er basert på situasjonen for mer enn ti år siden og ikke er godt tilpasset moderne bruk av Internett.
Personopplysninger kan bare overføres til stater som sikrer en forsvarlig behandling av opplysningene. Stater som har gjennomført direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, oppfyller kravet til forsvarlig behandling.
I vurderingen av om behandlingen sikres på forsvarlig måte, skal det bl.a. legges vekt på opplysningenes art, den planlagte behandlingens formål og varighet samt de rettsregler, regler for god forretningsskikk og sikkerhetstiltak som gjelder i vedkommende stat. Det skal også legges vekt på om staten har tiltrådt Europarådets konvensjon 28. januar 1981 nr. 108 om personvern i forbindelse med elektronisk behandling av personopplysninger.
Personopplysninger kan også overføres til stater som ikke sikrer en forsvarlig behandling av opplysningene dersom
a) den registrerte har samtykket i overføringen,
b) det foreligger plikt til å overføre opplysningene etter folkerettslig avtale eller som følge av medlemskap i internasjonal organisasjon,
c) overføringen er nødvendig for å oppfylle en avtale med den registrerte, eller for å utføre gjøremål etter den registrertes ønske før en slik avtale inngås,
d) overføringen er nødvendig for å inngå eller oppfylle en avtale med en tredjeperson i den registrertes interesse,
e) overføringen er nødvendig for å vareta den registrertes vitale interesser,
f) overføringen er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav,
g) overføringen er nødvendig eller følger av lov for å beskytte en viktig samfunnsinteresse, eller
h) det er fastsatt i lov at det er adgang til å kreve opplysninger fra et offentlig register.
Datatilsynet kan tillate overføring selv om vilkårene i første ledd ikke er oppfylt dersom den behandlingsansvarlige gir tilstrekkelige garantier for vern av den registrertes rettigheter. Datatilsynet kan sette vilkår for overføringen.
Kongen kan gi forskrift om overføring av personopplysninger til utlandet, herunder om å stanse eller begrense overføring til bestemte stater som ikke tilfredsstiller kravene i § 29.