A GDPR szabályai alapján egyértelmű, hogy az elkövetett adatvédelmi jogsértések kapcsán nem csak az adatkezelőkre, hanem adott esetben az adatfeldolgozókra is közvetlenül bírságot szabhat ki a felügyeleti hatóság. Bár a lehetőség adott, a tapasztalatok szerint nem tipikus az, hogy az adatfeldolgozókra szabjon ki bírságot a hatóság. Az egyik idézhető példa az olasz hatóság (Garante) által 2019. áprilisában közzétett határozat, amelyben a hatóság 50.000 eurós bírságot szabott ki egy adatfeldolgozóra. A bírság oka a nem megfelelő adatbiztonsági intézkedések alkalmazása volt. Ugyanakkor ezen túlmenően nem könnyű felidézni olyan határozatot, amely kifejezetten az adatfeldolgozó tekintetében állapított meg bírságot.
A fentiek miatt különösen érdekes, hogy egy a közelmúltban közzétett határozatában (NAIH/2020/4365) a NAIH az adatkezelőre kiszabott bírság mellett, egy kisebb összegű (500.000 Ft) adatvédelmi bírságot az adatfeldolgozó terhére is megállapított.
A NAIH által folytatott eljárás követeléskezelési tevékenységgel állt összefüggésben és az érintetti jogok gyakorlásával (hozzáférési jog), valamint az adatvédelmi alapelvek (különösen átláthatóság, célhoz kötöttség, pontosság, elszámoltathatóság) érvényesülésével kapcsolatban tartalmazott megállapításokat. Az ügyben nem csak az adatfeldolgozó, hanem az adatkezelő is bírságot kapott (az adatkezelőre kiszabott bírság összege 1.000.000 Ft volt).
Miben mulasztott az adatfeldolgozó és miért kapott bírságot?
A határozat megállapítása szerint
[....] a II. r. kérelmezett adatfeldolgozói minőségén túlterjeszkedve nyújtott nem megfelelő tájékoztatást a Kérelmezőnek, mellyel megsértette az általános adatvédelmi rendelet 5. cikk (1) bekezdés a) pontját.
A Hatóság megállapítása szerint tehát az adatfeldolgozó túllépte a Rendeletből és az adatfeldolgozói megállapodásból következő feladatkörét és nem megfelelő tájékoztatást nyújtott az érintettnek. Erre tekintettel a NAIH az átláthatóság alapelvének (5.cikk (1) bek. a) pont) sérelmét állapította meg.
Az ügy tényállása alapján nem volt vitatott, hogy a II. r. kérelmezett adatfeldolgozói minőségben vett részt az adatkezelésben (bár az adatkezelési tájékoztató ellentmondásos volt e tekintetben) és a felek közötti adatkezelésre vonatkozó megállapodás azt is egyértelműen rögzítette, hogy amennyiben egy érintetti kérelmet az adatfeldolgozónál nyújtanak be, akkor azt az adatkezelőnek kell továbbítani, ezekre a kérelmekre az adatfeldolgozó közvetlenül nem válaszolhat.
Az adatfeldolgozó a fentiek ellenére a hozzá beérkezett kérelmet közvetlenül megválaszolta az érintettnek, ráadásul a levelében magára, mint adatkezelőre hivatkozik, csak a levél végén szerepel egy mondatban, hogy a választ, mint adatfeldolgozó küldi.
A Hatóság szerint:
Az általános adatvédelmi rendelet szerinti megfelelő tájékoztatásért az adatkezelő, azaz az I.r. kérelmezett felel, mellyel az általános adatvédelmi rendelet 5. cikk (2) bekezdés alapján neki ell elszámolnia.
[...]
Tekintettel arra, hogy a II.r. kérelmezett tájékoztatása félrevezető és ellentmondásos, mivel adatkezelőként és adatfeldolgozóként is hivatkozik a II.r. kérelmezettre, ezért a Hatóság megállapította, hogy az adatfeldolgozói minőségén túlterjeszkedve nyújtott tájékoztatásával a II.r. kérelmezett megsértette az általános adatvédelmi rendelet 5. cikk (1) bekezdés a) pontja szerinti átláthatóság elvét. (Határozat, 11. o.)
A bírság összege ugyan jelképes (a mérlegelési szempontokat tartalmazza a határozat, de némileg keverednek benne az adatkezelőre és adatfeldolgozóra vonatkozó megállapítások), ugyanakkor felhívja a figyelmet arra, hogy az adatfeldolgozók közvetlenül is bírságolhatók, így eljárásuk során törekedniük kell a rájuk vonatkozó adatvédelmi szabályok, az adatkezelővel létrejött szerződés és az adatkezelői utasítások betartására.
A határozatban a Hatóság az átláthatóság elvének a megsértését rója fel az adatfeldolgozónak, azzal a kérdéssel - sajnos - nem foglalkozik mélyebben, hogy az adatfeldolgozó szerepköri túllépését miként lehet értékelni, azaz érdemi döntést hozott-e az adatfeldolgozó az adatkezeléssel kapcsolatban, amikor önállóan döntött az érintetti kérelem megválaszolásáról, eltérve az adatkezelővel kötött szerződéstől is.