Grensoverschrijdende verwerking verwijst naar de verwerking van persoonsgegevens die plaatsvindt over de grenzen van EU/EER-lidstaten heen, hetzij omdat de verwerkingsverantwoordelijke of verwerker in meerdere landen opereert, hetzij omdat de verwerking betrokkenen in meer dan één lidstaat aanzienlijk raakt. De AVG introduceert specifieke mechanismen om dergelijke situaties consistent te behandelen.
Bij grensoverschrijdende verwerking wijst het éénloketmechanisme een leidende toezichthoudende autoriteit aan op basis van de locatie van de hoofdvestiging van de organisatie, wat de interactie met toezichthouders vereenvoudigt. Betrokken toezichthoudende autoriteiten in andere getroffen lidstaten behouden echter bepaalde bevoegdheden. Organisaties die grensoverschrijdende verwerking uitvoeren moeten hun gegevensstromen zorgvuldig documenteren, duidelijke rechtsgronden vaststellen voor elk rechtsgebied en passende waarborgen implementeren zoals standaardcontractbepalingen of bindende bedrijfsvoorschriften.