Správce osobních údajů, který s údaji primárně nakládá, rozhoduje o druzích prostředků, které budou pro zpracování osobních údajů použity. Jedním z technických prostředků může být právě varianta cloud computingu, tedy jakéhosi pronájmu výpočetního výkonu či úložného prostoru poskytovatele této služby.
Z hlediska správce osobních údajů lze důrazně doporučit přistupovat k poskytovateli cloud computingu jako ke zpracovateli ve smyslu článku 4 odst. 8 GDPR. To však nezbavuje správce osobních údajů (tedy subjekt, který si cloud najímá) povinností, které jsou na něj GDPR kladeny, a v této souvislosti je nutné zmínit zejména povinnost stanovenou v článku 32 GDPR, která se týká zabezpečení osobních údajů. Je tak na správci, aby analyzoval dopady cloud computingu (analýza rizik), zajistil adekvátní opatření na své straně (např. šifrování dat) a aby si uzavřením smluvních vztahů s případným poskytovatelem služeb cloud computingu ošetřil veškeré podmínky zpracování (zajištění odpovídající úrovně zabezpečení; odpovědnost poskytovatele služeb/zpracovatele za jeho případná selhání s dopady do oblasti ochrany osobních údajů, garantování nevratné likvidace údajů apod.).
Z hlediska zákonných pravidel a záruk požadovaných pro předávání osobních údajů lze doporučit využívat pouze webové služby a cloudová úložiště, které se nacházejí na území EU a jsou plně pod jurisdikcí evropského práva, v takovém případě by pak měly být splněny i požadavky GDPR.