Pro využívání služeb cloud computingu je specifická migrace dat z interního prostředí organizace do externího prostředí poskytovatele. Ten má typicky svá datová centra rozmístěná po celém světě a mezi nimi podle potřeby data přesouvá. Data jsou tak ovlivněna legislativou různých států v závislosti na jejich aktuálním fyzickém uložení a podle potřebné míry jejich ochrany. Spotřebitel služeb cloud computingu ale musí dodržovat legislativní a regulatorní požadavky dané státem, ze kterého pochází. Spotřebitel je v tomto případě považován za správce osobních údajů, neboť definuje účel, prostředky a způsob zpracování osobních údajů a rozhoduje o výběru externího poskytovatele, který bude osobní údaje zpracovávat. Poskytovatel vystupuje v roli zpracovatele osobních údajů pro správce.

Působí-li spotřebitel v některé ze zemí EU, přejímá odpovědnost za dodržování předpisů na ochranu osobních údajů. Odpovídající úroveň ochrany by se měla odvíjet od povahy osobních údajů, účelu a doby trvání zpracování osobních údajů, od země původu a země konečného určení a legislativy a regulativ třetí země. Vzhledem k velkému objemu osobních údajů předávaných mezi státy EU a USA schválila Evropská komise nástroj na ochranu soukromí a osobních dat občanů EU nazvaný Štít EU−USA. Jeho cílem je zabezpečit lepší ochranu transferu osobních dat mezi EU a USA a zavést jasnější a vymahatelnější legislativní prostředí pro organizace, které se na toku dat podílejí.