W kwietniu 2014 roku ma powstać ekspertyza, której zadaniem jest określenie prawnych aspektów wdrożenia chmury obliczeniowej w polskiej administracji państwowej. GIODO opracował własnie istotne dla administracji państwowej zalecenia wykorzystywania chmury obliczeniowej. W opracowanym dekalogu możemy dowiedzieć się iż podmioty publiczne , które przekażą nawet częściowo swoje dane o zasoby do chmury, będą musiały zobowiązać dostawców usług do pełnego poinformowania osoby
fizyczne na temat nie tylko wirtualnej ale i fizycznej lokalizacji serwerowni, które te dane przetwarzają.
Dostawcy usług hostingowych będą zobowiązane do informowania wszystkich danych także o podwykonawcach, którzy tez musza być objęci szeregiem klauzul i umów, co sam główny dostawca usługi chmury dla administracji.
Jak podkreślił Generalny Inspektor Danych Osobowych, dr Wiewiórowski – Niedopuszczalna jest sytuacja, w której jakikolwiek dostarczyciel chmury – nawet jeśli sam jest podmiotem publicznym – decydowałby o celach i sposobach przetwarzania danych niezależnie od instrukcji ze strony administratora danych osobowych.
Dodatkowo GIODO stwierdza jasno: Krótko mówiąc podmiot publiczny musi być wyłącznym administratorem danych osobowych przekazanych do chmury.
Pełna ekspertyza regulująca wszystkie prawne aspekty wdrożenia chmur dla administracji publicznej powstaną najwcześniej na początku 2014 roku, a w kwietniu, ekspertyzę otrzyma Ministerstwo Administracji i Cyfryzacji. W tym przypadku terminy zbiegną się z pracami nad unijnym rozporządzeniem ujednolicającym przepisy o ochronie danych osobowych w krajach członkowskich.
Administracja Państwowa, tak jak każdy inny podmiot przetwarzający dane osobowe, musi wdrożyć system przetwarzania danych oraz dokumentację przetwarzania danych osobowych. Tego typu dokumentację można tworzyć samemu zgodnie z rozporządzeniem, lub np. posłużyć się gotowymi wzorami do uzupełnienia, w postaci np. Dokumentacji Przetwarzania Danych Osobowych RBDO.