Overførsel af personoplysninger fra EU til Grønland udgør en tredjelandsoverførsel, fordi Grønland ikke er omfattet af en EU-tilstrækkelighedsafgørelse. Virksomheder skal derfor etablere et gyldigt overførselsgrundlag, typisk standardkontraktbestemmelser eller en anden mekanisme efter GDPR art. 46, og gennemføre en transfer impact assessment for at dokumentere, at beskyttelsesniveauet i det væsentlige svarer til EU. Afhængigt af resultatet kan der være behov for supplerende tekniske og organisatoriske foranstaltninger for at håndhæve de kontraktuelle garantier.
Selv om Datatilsynet fører tilsyn i Grønland, bygger den grønlandske persondatalov på den tidligere danske ordning før GDPR. Reglerne indebærer blandt andet forhåndsanmeldelse af visse behandlingsaktiviteter og andre krav ved tv overvågning, som afviger fra dansk praksis. I modsætning hertil er Færøerne omfattet af en tilstrækkelighedsafgørelse, hvilket forenkler overførsler dertil. Virksomheder bør derfor kortlægge dataflows, vælge passende overførselsmekanisme, udføre og dokumentere TIA, implementere nødvendige sikkerhedsforanstaltninger samt opdatere databehandleraftaler og fortegnelser.
