Az uniós hivatal vizsgálatát követően közzétett megállapítások szerint az Európai Bizottság több kulcsfontosságú adatvédelmi szabályt is megsértett a Microsoft 365 használata során. Az uniós bizottság különösen az uniós intézményekre, szervekre, hivatalokra és ügynökségekre vonatkozó uniós adatvédelmi jogszabályok azon rendelkezéseit sértette meg, amelyek a személyes adatok EU-n kívüli továbbításáról szólnak.

A brüsszeli testület továbbá elmulasztotta biztosítani, hogy az EU-n kívülre továbbított személyes adatok megfelelő, az unióban megkövetelt szinttel azonos védelmet kapjanak. Ezen kívül az Európai Bizottság a Microsofttal kötött szerződésében nem határozta meg kellőképpen, hogy a Microsoft 365 szoftver használata során milyen típusú személyes adatokat kell gyűjteni, és milyen kifejezett és meghatározott célból.

A jogsértések tehát az adatkezeléssel is kapcsolatosak, beleértve a személyes adatok továbbítását is

– állapították meg, hozzátéve, hogy az uniós bizottság adatkezelői szerepkört is betölt.

A dokumentum Wojciech Wiewiórowski európai adatvédelmi biztost idézte, aki kijelentette: „szilárd adatvédelmi biztosítékok és intézkedések révén az uniós intézmények, szervek, hivatalok és ügynökségek felelőssége a személyes adatok EU-n kívüli és azon belüli feldolgozásának biztosítása, beleértve a felhőalapú szolgáltatásokat is. Ez elengedhetetlen annak szavatolásához, hogy a személyes információk a vonatkozó uniós rendeletnek megfelelő védelemben részesüljenek, amikor adataikat feldolgozzák.”

Az uniós adatvédelmi hatóság arra kötelezte az Európai Bizottságot, hogy függesszen fel minden adatáramlást a Microsoft számára a szóban forgó Microsoft 365 szoftver használatával, és rendelje ezt el az unión kívüli országokban található kirendeltségei számára is.