Koreańska Komisja Ochrony Danych Osobowych nakazała giełdzie Bithumb zapłatę 210 milionów wonów, czyli około 136 000 dolarów, za naruszenie zasad przekazywania danych osobowych za granicę.
Regulator wydał również nakaz naprawczy, zobowiązujący giełdę do spełnienia standardów prawnych przed wysłaniem danych użytkowników za granicę.
Decyzja zapadła po 12. posiedzeniu plenarnym komisji 24 czerwca. PIPC stwierdziła, że Bithumb przekazywał dane osobowe za granicę podczas udostępniania księgi zleceń i transferów wirtualnych aktywów, nie spełniając wszystkich wymogów Ustawy o Ochronie Danych Osobowych.
Sprawa rozpoczęła się po tym, jak podczas audytu parlamentarnego w 2025 roku podniesiono kwestie dotyczące udostępniania księgi zleceń przez Bithumb zagranicznym giełdom. Udostępnianie księgi zleceń pozwala giełdom wymieniać się zleceniami kupna i sprzedaży, co umożliwia realizację transakcji na różnych platformach.
PIPC ustaliła, że Bithumb udostępniał księgę zleceń swojego rynku Tether USDT zagranicznym giełdom od września do listopada 2025 roku. Użytkownicy wyrazili zgodę na transfer zagraniczny z udziałem giełdy Stellar, ale regulator stwierdził, że numery członkowskie i informacje o zleceniach zostały faktycznie wysłane do systemu obsługiwanego przez inną giełdę, bingx.com.
Ustalenia te pokazują, jak partnerstwa płynnościowe mogą stać się sprawami dotyczącymi prywatności, gdy identyfikatory użytkowników i dane zleceń przekraczają granice. Problem polegał nie tylko na tym, że dane opuściły Koreę Południową, ale także na tym, że odbiorca różnił się od tego, na co użytkownicy wyrazili zgodę.
Regulator przeanalizował również transfery wirtualnych aktywów Bithumb do 13 zagranicznych giełd. Stwierdzono, że Bithumb udostępniał dane nadawcy i odbiorcy, w tym imiona i nazwiska, adresy portfeli, a w jednym przypadku daty urodzenia, w celu kontroli przeciwdziałania praniu pieniędzy (AML).
PIPC stwierdziła, że dane osobowe mogą być potrzebne do celów AML podczas transferów wirtualnych aktywów. Jednakże zaznaczyła, że transfery transgraniczne są ściśle związane z prawem użytkownika do kontroli nad swoimi danymi osobowymi. Regulator powiedział, że firmy muszą przestrzegać procedur zgody i powiadomień określonych w prawie.
„Transgraniczne przekazywanie danych osobowych jest kwestią ściśle związaną z prawem podmiotu danych do samostanowienia” – podała komisja, zgodnie z raportem.
Stwierdzono, że giełdy muszą ściśle przestrzegać procedur wymaganych przez Ustawę o Ochronie Danych Osobowych.
Nakaz wymaga od Bithumb skorygowania procesu transferów zagranicznych. Giełda musi również jasno wyjaśnić odpowiednie transfery w swojej polityce przetwarzania danych osobowych.
Kara ta zwiększa presję regulacyjną na Bithumb w Korei Południowej. Jak donosi crypto.news, koreańskie organy regulacyjne wcześniej ukarały Bithumb grzywną w wysokości 36,8 miliarda wonów po wykryciu naruszeń związanych z AML, dotyczących kontroli klientów, monitorowania transakcji i transferów z udziałem niezarejestrowanych zagranicznych dostawców usług w zakresie wirtualnych aktywów.
Wcześniej crypto.news analizował proponowane w Korei Południowej zmiany przepisów AML dotyczących kryptowalut, które mogłyby drastycznie zwiększyć liczbę raportów o podejrzanych transakcjach związanych z transferami zagranicznymi. Branża ostrzegała, że lokalne giełdy mogą napotkać ogromną presję sprawozdawczą, jeśli wszystkie transfery związane z zagranicą powyżej 10 milionów wonów będą wymagały automatycznych zgłoszeń.
W poprzednim artykule crypto.news omówił plan Korei Południowej dotyczący wymiany danych transakcyjnych kryptowalut z 48 krajami w ramach Ramowych Zasad Raportowania Aktywów Kryptowalutowych OECD. Ten plan pokazuje, jak władze koreańskie poszerzają nadzór nad transgraniczną aktywnością kryptowalutową.
Sprawa Bithumb umieszcza teraz kwestię zgodności z przepisami dotyczącymi prywatności obok AML i raportowania podatkowego. Koreańskie giełdy muszą jednocześnie śledzić fundusze użytkowników, weryfikować platformy zagraniczne i chronić dane osobowe.
Obok sankcji dla Bithumb, PIPC wydała nowe wytyczne dotyczące ochrony danych osobowych w usługach blockchain. Regulator stwierdził, że systemy blockchain stwarzają szczególne problemy z prywatnością, ponieważ zapisy transakcji mogą być przejrzyste, rozproszone i trudne do usunięcia.
Wytyczne wzywają do kontroli nad ujawnieniami w łańcuchu, ryzykiem śledzenia, udostępnianiem danych uczestników oraz niszczeniem danych osobowych. PIPC stwierdziła, że firmy powinny brać pod uwagę ochronę prywatności już na etapie planowania, tworząc usługi blockchain.
Organ nadzorczy zapowiedział, że będzie nadal rygorystycznie reagował na naruszenia Ustawy o Ochronie Danych Osobowych. Stwierdził również, że będzie nadal ustalał standardy, które równoważą ochronę danych osobowych z bezpiecznym wykorzystaniem nowych technologii.
Dla Bithumb, grzywna jest mniejsza niż wcześniejsza kara AML, ale wskazuje na szerszy problem. Na koreańskim rynku kryptowalut, powiązania z zagranicznymi giełdami są teraz ściśle kontrolowane nie tylko pod kątem ryzyka prania pieniędzy, ale także zgody użytkowników i ochrony danych.
