Mnoge multinacionalne kompanije koje posluju i u Hrvatskoj imaju potrebu dijeliti osobne podatke sa društvima unutar iste grupacije čija se sjedišta nalaze izvan Europske unije. Najčešće se radi o podacima o zaposlenicima, kontakt podacima poslovnih klijenata, dobavljača, trgovaca, prodajnih predstavnika, distributera, poslovnih partnera i dr., u. Tako na primjer, društvo sa sjedištem u Hrvatskoj može slati osobne podatke o svojim zaposlenicima u Indiju u svrhu obračuna plaće, podatke o distributerima i dobavljačima u Brazil u svrhu obavještavanja uprave i sl.
U slučaju kada se osobni podaci prenose izvan EU, odredbe GDPR-a određuju da je nužno osigurati adekvatne mehanizme zaštite. Takvi mehanizmi mogu biti prijenosi na temelju odluke Europske komisije o primjerenosti (npr. prijenos u Švicarsku, Argentinu, Kanadu), obvezujuća korporativna pravila ili pak standardne ugovorene klauzule.
Obvezujuća korporativna pravila (eng. Binding Corporate Rules ili BCR) su pravno obvezujuća i provediva unutarnja pravila za prijenos podataka unutar multinacionalnih grupacija koja djeluju na način koji je sličan internom kodeksu ponašanja. Obvezujuća korporativna pravila omogućuju multinacionalnim kompanijama prijenos podataka unutar iste korporacijske grupe u zemlje koje ne pružaju odgovarajuću razinu zaštite osobnih podataka. Minimalni sadržaj Obvezujućih korporativnih pravila propisan je GDPR-om, a prilikom procesa njihova donošenja, korporacije mogu koristiti smjernice radne skupine WP29 kao i tzv. Standardni obrazac za prijavu za odobrenje obvezujućih korporativnih pravila. Kako bi se osigurala usklađenost s GDPR-om, Obvezujuća korporativna pravila moraju biti odobrena od strane Europskog odbora za zaštitu podataka, nadzornog tijela u državi sjedišta grupacije (vodeće nadležno tijelo) i dostavljena nadzornim tijelima u svim državama na području kojih djeluje grupacija, uključujući i hrvatsku Agenciju za zaštitu osobnih podataka.
Jednom kad se usvoje, Obvezujuća korporativna pravila obvezna su za upravu i poslovne subjekte koji su ih potpisali unutar grupacije. Ti subjekti moraju zajamčiti da se njihovo osoblje pridržava Obvezujućih korporativnih pravila prilikom obrade osobnih podataka, a posebno prilikom njihovog slanja izvan EU.