Le traitement des données personnelles des employés était basé sur le consentement. La HDPA a estimé que le consentement en tant que base juridique était inapproprié, car le traitement des données à caractère personnel était destiné à accomplir des actes directement liés à l'exécution des contrats de travail, au respect d'une obligation légale à laquelle le responsable du traitement est soumis et au fonctionnement harmonieux et efficace de la société, comme son intérêt légitime. En outre, l'entreprise a donné aux employés la fausse impression qu'elle traitait leurs données personnelles sur la base légale du consentement, alors qu'en réalité, elle traitait leurs données sous une base juridique différente. Cela violait le principe de transparence et donc violait l'obligation de fournir des informations en vertu des articles 13 (1) (c) et 14 (1) (c) du RGPD. Enfin, en violation du principe de responsabilité, l'entreprise n'a pas fourni à HDPA la preuve qu'elle avait procédé à une évaluation préalable des bases juridiques appropriées pour le traitement des données personnelles des employés.