Отсутствие прозрачности. 
Изучение принципов защиты информации в облачных сервисах

Недостаточная прозрачность операций облачного сервиса при обработке информации представляет опасность для контроллеров. А также для субъектов данных, потому что они не могут знать о потенциальных угрозах и рисках, и поэтому не могут принять меры, которые они сочтут необходимыми.

Некоторые потенциальные угрозы могут возникать в контроллере из-за того, что:

Технологическая цепочка проходит с участием нескольких процессоров и субподрядчиков.

Личные данные обрабатываются в различных географических районах, в рамках Европейского Экономического Пространства (ЕЭП). Это непосредственно влияет на права, применимые к любым спорам по защите данных, которые могут возникнуть между пользователем и поставщиком.

Личные данные передаются в третьи страны за пределами ЕЭП. Трети страны могут не иметь возможность обеспечивать адекватный уровень защиты данных и ее передача не могут гарантировать безопасность передачи данных путем принятия соответствующих мер (например, стандартных статей договора или обязательных корпоративных правил) и, следовательно, могут быть незаконными.

Это риски, о которых клиенты облачных сервисов, чьи персональные данные обрабатываются в облаке, должны быть оповещены (Существующее требование для всех контроллеров попадающие под Директиву о защите данных 95/46/ЕС). Учитывая потенциальные сложности цепочки обработки в среде облачных вычислений, с тем чтобы гарантировать справедливое рассмотрение прав в отношении субъекта данных (статья 10 Директивы 95/46/ЕС), контроллеры должны также, как это предусмотрено надлежащей практикой, представить дополнительную информацию, касающуюся (суб-) процессоров предоставления облачных сервисов.