Uprava za zaštitu podataka, kao odgovor na žalbu, sprovela je istragu po službenoj dužnosti nad zakonitošću procesuiranja ličnih podataka zaposlenih koji rade u kompaniji PWC. Utvrđeno je da je konsultantska kuća PWC nezakonito obrađivala lične podatke svojih zaposlenih, ostavljajući im lažni utisak da se njihovi podaci obrađuju po zakonskoj osnovi, u skladu sa GDPR-om.
Lični podaci se zakonito obrađuju jedino u skladu sa zahtevima Opšte uredbe o zaštiti podataka (GDPR) i kada su ispunjeni svi uslovi u vezi sa primenom i poštovanjem principa iz člana 5(1) GDPR-a, što kompanija PWC nije poštovala.
Grčka Uprava za zaštitu podataka je nakon istrage zaključila da je kompanija PWC nezakonito obrađivala lične podatke svojih zaposlenih suprotno odredbama GDPR-a, koristeći neprikladnu pravnu osnovu obrade podataka. Kompanija je obrađivala lične podatke svojih zaposlenih na nepošten i netransparentan način protivno odredbama člana 5 (1) GDPR-a, a pritom je odavala lažnu sliku da to obavlja na zakonit i legalan način u skladu sa članom 6 (1) GDPR-a, dok su podaci zaposlenih obrađivani pravnim načinima o kojima zaposleni nikada nisu bili obavešteni. Takođe DPA je u ovom slučaju utvrdio da je kontrolor prekršio princip odgovornosti prema članu 5 (2) GDPR-a, pa kompanija sa jedne strane nije ispunila svoju relevantnu obavezu, a posebno zahtev DPA da pruži internu dokumentaciju u vezi sa izborom korišćene pravne osnove i sa druge strane, kompanija je tražila od zaposlenih da potpišu izjavu prema kojoj su upoznati da su njihovi lični podaci koje kompanija čuva i obrađuje bili su u direktnoj vezi sa potrebama radnog odnosa.
Grčki organ za zaštitu podataka izrekao je sankciju kompaniji PWC od 150.000 evra i dao joj rok od tri meseca da uskladi svoje operacije obrade ličnih podataka zaposlenih u skladu sa odredbama GDPR-a.