A dilemma tehát korántsem csak az „egzotikus” tevékenységeket érinti, hanem a cégek mindennapjait. Ehhez képest egyelőre nem tudni biztosat arról, hogy a cloudszolgáltatók jogilag adatkezelőnek vagy adatfeldolgozónak minősülnek-e. Előbbire jóval szigorúbb jogszabályi előírások vonatkoznak, hiszen az adatokkal aktívan foglalkozik, míg utóbbi adott esetben csak tárolja őket. A gyakorlat jelenleg amellett szól, hogy e szolgáltatók adatfeldolgozónak minősülnek, azonban egyelőre sem a bíróságok, sem a Nemzeti Adatvédelmi és Információszabadság Hivatal (NAIH) nem foglalkoztak még a kérdéssel.
Egyelőre az sem világos (mondhatni felhőbe burkolózik), hogy ha a cloudszolgáltató és a felhasználó vállalat nem ugyanabban az országban tevékenykedik, illetve ha az adatkezelésben több tagállam érintett, akkor melyik ország adatvédelmi szabályozása az irányadó. Erre egyelőre csak az ún. 29-es munkacsoport (az uniós adatvédelmi irányelv rendelkezései végrehajtását elősegítő testület) iránymutatása ad választ. Nehezíti az adatvédelmi szabályok betartását az a körülmény, hogy az adatok kezeléséhez szükség van az adatalanyok hozzájárulására is, és ettől csak bizonyos, egyelőre szűk körű törvényi kivételek esetén lehet eltekinteni. Nyilvánvaló, hogy egy több ezer fős cégnél ez tetemes adminisztrációs teher.
Könnyelműek pedig semmiképpen sem lehetünk e területen, már csak azért sem, mert az év elején felállt NAIH erős szankcionálási jogosítványokkal rendelkezik, amelyekkel a gyakorlatban is magabiztosan él. Bár az első három bírság nem kapcsolódik szorosan a felhőszolgáltatáshoz, kettőben közülük azért kaptak többmilliós, illetve 800 ezer forintos büntetést az érintettek, mert az általuk kiküldött körleveleken látni lehetett a többi címzett e-mail címét is.
Ez azt jelenti, hogy a vállalatoknak sokkal komolyabban kell venniük az adatvédelmi szabályok betartását, mint az adatvédelmi biztos ideje alatt – a NAIH ugyanis szigorúbb eszközökkel tud fellépni az esetleges jogsértések ellen.
