Ta odpowiedzialność jest regulowana na dwa sposoby – przepisami prawa, które określają ramy użycia chmury, oraz umowami pomiędzy użytkownikiem a dostawcą chmury.
Standardy międzynarodowego transferu danych
Certyfikaty bezpieczeństwa, takie jak ISO 27001, wprowadzenie fizycznych ograniczeń lokalizacji do określonego obszaru, szyfrowanie danych podczas przesyłania i w spoczynku, ochrona danych osobowych zgodna z ISO 27018 stanowią już obowiązującą normę.
Dla przykładu: dzięki takiemu podejściu klienci firmy Microsoft nie zostali dotknięci wyrokiem Trybunału Sprawiedliwości Unii Europejskiej, który zanegował umowę Safe Harbour z 2000 roku dotyczącą przekazywania danych osobowych pomiędzy Unią Europejską a Stanami Zjednoczonymi. W usługach Microsoftu, takich jak Office 365 czy Azure, od lat stosuje się w umowie standardowe europejskie klauzule dające adekwatny poziom ochrony danych po obu stronach Atlantyku.
28 krajów Unii Europejskiej utworzyło Grupę Roboczą art. 29
Ten rodzaj zabezpieczenia prawnego jest wprost zapisany w polskiej ustawie o ochronie danych osobowych jako odpowiedni. Usługi chmurowe firmy Microsoft – np. Office 365, CRM Online czy Azure – zostały niezależnie zweryfikowane jako zgodne z tą normą.