Pro využívání služeb cloud computingu je specifická migrace dat z interního prostředí organizace do externího prostředí poskytovatele. Ten má typicky svá datová centra rozmístěná po celém světě a mezi nimi podle potřeby data přesouvá. Data jsou tak ovlivněna legislativou různých států v závislosti na jejich aktuálním fyzickém uložení a podle potřebné míry jejich ochrany. Spotřebitel služeb cloud computingu ale musí dodržovat legislativní a regulatorní požadavky dané státem, ze kterého pochází. Spotřebitel je v tomto případě považován za správce osobních údajů, neboť definuje účel, prostředky a způsob zpracování osobních údajů a rozhoduje o výběru externího poskytovatele, který bude osobní údaje zpracovávat. Poskytovatel vystupuje v roli zpracovatele osobních údajů pro správce.
Působí-li spotřebitel v některé ze zemí EU, přejímá odpovědnost za dodržování předpisů na ochranu osobních údajů. Odpovídající úroveň ochrany by se měla odvíjet od povahy osobních údajů, účelu a doby trvání zpracování osobních údajů, od země původu a země konečného určení a legislativy a regulativ třetí země. Vzhledem k velkému objemu osobních údajů předávaných mezi státy EU a USA schválila Evropská komise nástroj na ochranu soukromí a osobních dat občanů EU nazvaný Štít EU−USA. Jeho cílem je zabezpečit lepší ochranu transferu osobních dat mezi EU a USA a zavést jasnější a vymahatelnější legislativní prostředí pro organizace, které se na toku dat podílejí.
Komplexní reforma Evropské komise týkající se pravidel ochrany osobních údajů s sebou kromě štítu přináší aktualizovaný právní akt Evropské unie upravující ochranu osobních údajů v souladu s rozvojem moderních informačních technologií. Tento akt obecně známý pod pojmem GDPR (General Data Protection Regulation) byl vytvořen s cílem poskytnout občanům EU řádnou kontrolou nad osobními údaji a zlepšit transparentnost legislativního prostředí. GDPR neboli Obecné nařízení na ochranu osobních údajů vstoupilo v účinnost 25. května 2018. Hlavním účelem GDPR je sjednotit dosavadní roztříštěnost v provádění ochrany osobních údajů v členských státech EU, a to tak, aby tato úroveň byla ve všech státech EU rovnocenná.
GDPR tak pro podniky využívající služby cloud computingu nese nové výzvy zejména v oblastech bezpečnostní politiky, fyzického uložení dat, nakládání s daty a disaster recovery, tedy obnovy dat po živelních pohromách a jiných zásadních událostech. Rizikový je zejména model veřejného cloud computingu, kdy spotřebitelé sdílejí svá data na stejných cloudových serverech a datových úložištích, a může tak dojít ke smíšení dat různých spotřebitelů. Spotřebitel může ve smlouvě o úrovni poskytované služby cloud computingu (tzv. SLA) vyžadovat, aby jeho data nesměla být smíšena s daty jiných spotřebitelů. V tomto případě musí poskytovatel pomocí vhodné technologie zabezpečit vše tak, že jednotlivé datové soubory budou obsahovat pouze data daného spotřebitele.
