המפקח האירופאי על הגנת המידע - European Data Protection Supervisor (EDPS) - קבע שהנציבות האירופית הפרה את חוקי הגנת המידע החלים על מוסדות אירופאים בעת השימוש במיקרוסופט 365. ה-Eurpean Commision היא הזרוע המבצעת של האיחוד האירופאי. מיקרוסופט 365 היא פלטפורמת ענן פופלרית, וכוללת בין היתר אפליקציות כגון Outlook, Word, Excel, PowerPoint.
חקירת המפקח החלה בעקבות פסק הדין בענין שרמס 2 של בית המשפט האירופאי הגבוה לצדק, שפסל את ההסדר שאיפשר העברת מידע מאירופה לארה"ב.
המפקח קבע בהחלטתו כי הנציבות האירופית לא השתמשה באמצעי אבטחה מתאימים כדי לוודא שמידע המועבר מחוץ לאיחוד האירופי יקבל הגנה זהה במהותה להגנה בתחומי האיחוד. בנוסף, בעת השימוש במיקרוספט 365, הנציבות לא פירטה איזה סוגים של מידע אישי יאספו ולאילו מטרות.
לאור האמור לעיל, המפקח נזף בנציבות והורה לה לנקוט באמצעים לתקן את ההפרות. בהתאם לכך, החל מיום 9.12.24 הנציבות אינה יכולה להעביר מידע הנובע משימושה במיקרוסופט 365 לחברת מיקרוסופט, חברות הקשורות אליה וספקיה הממוקמים מחוץ לאיחוד האירופי, ללא החלטה של האיחוד האירופי המכירה ברמת ההגנה על המידע כזהה לרמת ההגנה באיחוד (adequacy decision). בנוסף, עד לאותו יום, הנציבות צריכה לוודא שהשימוש במיקרוסופט 365 הולם את חוקי הגנת הפרטיות ולתקן את ההפרות שנמצאו. מקור: One Trust DataGuidance