Dessa bestämmelser möjliggör för internationella organisationer etablerade i EU att överföra personuppgifter utanför EU inom sin koncern eller företag. De juridiska kraven för bindande företagsbestämmelser finns i artikel 47 GDPR. Till exempel, finns krav på att tillsynsmyndigheten i det medlemsland där de bindande företagsbestämmelserna kommer användas behöver godkänna användandet för att överföringen ska vara laglig.
Bindande företagsbestämmelser är definerat i artikel 4(20) GDPR som: “strategier för skydd av personuppgifter som en personuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad på en medlemsstats territorium använder sig av vid överföringar eller enuppsättning av överföringar av personuppgifter till en personuppgiftsansvarig eller ett personuppgiftsbiträde i ett eller flera tredjeländer inom en koncern eller en grupp av företag som deltar i gemensam ekonomisk verksamhet.”