Findata myöntää suurimman osan luvista suomalaisille hankkeille. EU:n yleisen tietosuoja-asetuksen (GDPR) mukaisesti tietojen on liikuttava vapaasti EU-alueella, eli luvansaaja voi olla myös EU- tai ETA-alueella. Tietoja on tällöinkin käsiteltävä auditoidussa tietoturvallisessa käyttöympäristössä, jonne käyttöoikeuden saavat vain luvassa määritellyt henkilöt.
Tietoturvallinen käyttöympäristö ei voi toisiolain mukaan sijaita EU:n ja ETA-alueen ulkopuolella, joten emme pääsääntöisesti luovuta henkilötietoaineistoa EU- tai ETA-alueen ulkopuolelle tai kansainvälisille järjestöille. EU:n yleisen tietosuoja-asetuksen puitteissa dataa on mahdollista siirtää Euroopan talousalueen sisällä samoilla perusteilla kuin Suomen sisällä. Euroopan talousalueeseen kuuluvia ETA-maita ovat EU-maat sekä Norja, Liechtenstein, Islanti.
Mikäli tietoja halutaan siirtää tai käsitellä edellä mainittujen maiden ulkopuolella eli niin kutsutuissa kolmansissa maissa, siihen on oltava tietosuoja-asetuksen V luvun mukainen oikeusperuste. Henkilötietojen käsittely ulkomailta käsin on henkilötietojen siirtämistä, vaikka tiedot olisivat tietoturvallisessa etäkäyttöympäristössä.
