11 marca Europejski Inspektor Danych Osobowych wydał komunikat prasowy, w którym poinformował o naruszeniu kilku kluczowych zasad ochrony danych podczas korzystania z Microsoft 365 przez Komisję Europejską. W szczególności Komisja nie zapewniła odpowiednich zabezpieczeń gwarantujących, że dane osobowe przekazywane poza UE/EOG będą objęte równoważnym poziomem ochrony, jaki jest gwarantowany w UE/EOG. Ponadto w umowie z Microsoft Komisja nie określiła w wystarczającym stopniu, w jakim celu i jakie rodzaje danych osobowych mają być gromadzone. W związku z tym EIOD nakazał Komisji, ze skutkiem od dnia 9 grudnia 2024 r., zawieszenie wszelkich przepływów danych wynikających z korzystania przez nią z platformy Microsoft 365 do firmy Microsoft oraz jej podmiotów stowarzyszonych i podwykonawców znajdujących się w krajach spoza UE/EOG.