普华永道是一家国际咨询公司，在处理其员工的个人数据前，要求员工签署由公司提供的《个人数据处理同意声明》，以满足依据GDPR第6条（1）（a）项规定的处理数据的合法依据。经过调查，HDPA认为普华永道的这一行为存在以下不合规之处：

HDPA认为，在雇佣关系中，由于双方的权利、地位并不平等，普华永道的员工实际上不得不签署由公司提供的《个人数据处理同意声明》，给予同意，而这违背了GDPR第7条规定的“同意须为…自由作出（freely given）”这一要求，所以，普华永道所征得的同意并不符合GDPR规定。

2.  违反了对员工个人数据处理的透明性

HDPA认为，在本案中，普华永道实际依据的处理依据不是GDPR第6条第（1）（a）项的“同意”，而是第（f）项“处理对于控制者所追求的正当利益是必要的”。然而在本案中，员工从未被告知普华永道处理其数据的另一合法依据，而在普华永道地误导下，错误地认为只要他们撤回了同意，普华永道就会停止处理他们的个人数据。这违反了GDPR第5条（1）（a）项规定的处理个人数据的透明性要求，对员工的告知并不充分、清晰、全面。

3.  违反了处理个人数据的可归责性（Accountability）

HDPA认为，普华永道作为个人信息的控制者，有责任证明其处理员工个人数据的行为符合GDPR第5条（1）款所规定的透明性等基本原则。然而，普华永道一方面违反了数据处理的透明性原则，另一方面没有保存也未能提供取得数据处理合法依据过程的记录，因此普华永道违反了GDPR第5条第（2）款规定的个人数据处理的可归责性。

基于上述原因，HDPA要求普华永道在3个月内进行整改，并根据GDPR第83条的规定，向普华永道做出了150000欧元的行政处罚。

【我们的观点：】

自GDPR生效一年来，欧盟各国的数据保护机构的执法活动显然都集中在公司的业务上。因此，公司在员工的数据处理方面很少投入资源来遵守隐私保护法规的要求。HDPA对普华永道做出的处罚决定，为公司内部如何合规地处理员工个人数据敲响了警钟，同时也为中国公司进行出海业务时，是否在公司设立初期便考虑和搭建好处理员工数据的合法路径，给予了十分具体的启示。公司在进行内部数据合规时须注意以下几点：