Giełda kryptowalut Bithumb ukarana grzywną 210 mln wonów za nieuprawnione udostępnianie danych użytkowników

• Koreańska Komisja Ochrony Danych Osobowych (PIPC) nałożyła na Bithumb karę w wysokości 210 milionów wonów (136 000 USD) za naruszenie zasad transgranicznego przekazywania danych osobowych.
• Naruszenia miały miejsce między wrześniem a listopadem 2025 roku podczas udostępniania arkusza zleceń USDT oraz procesów wypłat kryptowalut z udziałem zagranicznych giełd.
• Regulator wydał również nakazy naprawcze i opublikował nowe wytyczne dotyczące prywatności w blockchain, aby wzmocnić ochronę danych w branży aktywów cyfrowych.

Koreańska Komisja Ochrony Danych Osobowych (PIPC) nałożyła karę w wysokości 210 milionów wonów (około 136 000 USD) na giełdę kryptowalut Bithumb po stwierdzeniu, że spółka przekazywała dane osobowe użytkowników na zagraniczne platformy bez pełnego przestrzegania krajowej Ustawy o Ochronie Danych Osobowych.

Działanie egzekucyjne, ogłoszone 24 czerwca, jest następstwem dochodzenia regulacyjnego dotyczącego praktyk Bithumb w zakresie transgranicznego przetwarzania danych. Oprócz kary finansowej komisja nakazała giełdzie udoskonalenie procedur transgranicznego przekazywania danych osobowych oraz zapewnienie zgodności z wymogami prawnymi dotyczącymi ujawniania informacji i uzyskiwania zgody.

PIPC stwierdza dwa odrębne naruszenia w zakresie przekazywania danych

Dochodzenie wykazało, że między wrześniem a listopadem 2025 roku Bithumb przekazywało informacje o użytkownikach podczas udostępniania danych arkusza zleceń dla rynku Tether (USDT) zagranicznej platformie handlowej.

Według PIPC użytkownicy zostali poinformowani, że ich dane osobowe zostaną przekazane do Stellar Exchange i wyrazili odrębną zgodę na podstawie tego ujawnienia. Jednak regulator stwierdził, że numery identyfikacyjne członków i informacje o zleceniach zostały zamiast tego przesłane do infrastruktury obsługiwanej przez BingX, co stanowiło naruszenie koreańskich wymogów dotyczących transgranicznego przekazywania danych. Komisja nałożyła karę w wysokości 120 milionów wonów za naruszenie związane z udostępnianiem arkusza zleceń.

Oddzielnie śledczy ustalili, że Bithumb udostępniało imiona i nazwiska użytkowników, adresy portfeli i inne wymagane informacje 13 zagranicznym giełdom kryptowalut podczas przetwarzania wypłat kryptowalut w celach przeciwdziałania praniu pieniędzy (AML). Choć regulator uznał konieczność udostępniania pewnych informacji w celu wypełnienia obowiązków AML, doszedł do wniosku, że Bithumb nie uzyskało odrębnej zgody użytkowników wymaganej przy transgranicznym przekazywaniu danych zgodnie z Ustawą o Ochronie Danych Osobowych. To drugie naruszenie skutkowało dodatkową karą w wysokości 90 milionów wonów.

Dochodzenie zapoczątkowane przez przegląd parlamentarny w 2025 roku

PIPC poinformowała, że dochodzenie zostało wszczęte po tym, jak podczas audytu Zgromadzenia Narodowego Korei Południowej w 2025 roku pojawiły się obawy dotyczące transgranicznego przekazywania danych osobowych za pośrednictwem usługi udostępniania arkusza zleceń Bithumb.

Po sformułowaniu swoich ustaleń regulator nakazał Bithumb zapewnienie, że przyszłe transgraniczne transfery danych będą zgodne z wymogami prawnymi, oraz wyraźne ujawnienie stosownych szczegółów w polityce prywatności.

W swoim ogłoszeniu komisja stwierdziła, że transgraniczne przekazywanie danych osobowych jest ściśle związane z prawem jednostek do kontroli własnych danych, a zatem wymaga ścisłego przestrzegania procedur ustanowionych na mocy Ustawy o Ochronie Danych Osobowych.

Wytyczne dotyczące prywatności dla usług blockchain

Równolegle z działaniem egzekucyjnym PIPC opublikowała nowe Wytyczne dotyczące Ochrony Danych Osobowych dla Usług Blockchain, odzwierciedlające kwestie zidentyfikowane podczas dochodzenia.

Wytyczne odnoszą się do zagrożeń dla prywatności wynikających z przejrzystości, decentralizacji i niezmienności blockchain. Wśród swoich zaleceń regulator doradzał dostawcom usług blockchain, aby unikali bezpośredniego zapisywania danych umożliwiających identyfikację osób w łańcuchu, oraz przedstawił środki mające na celu ograniczenie ekspozycji danych, zarządzanie udostępnianiem informacji między uczestnikami sieci i rozwiązanie kwestii przetwarzania danych osobowych w niezmiennych systemach blockchain.

Najnowsze działanie ma miejsce w czasie, gdy władze Korei Południowej nadal zwiększają nadzór regulacyjny nad krajowym sektorem kryptowalut. Wcześniej w tym roku Bithumb stanęło również wobec poważnych sankcji ze strony Jednostki Wywiadu Finansowego za nieprzestrzeganie przepisów dotyczących przeciwdziałania praniu pieniędzy, co odzwierciedla szersze wysiłki regulatorów na rzecz wzmocnienia nadzoru nad platformami aktywów cyfrowych zarówno w zakresie zapobiegania przestępczości finansowej, jak i ochrony danych osobowych.

Niedawno dyrektor generalny Bithumb Lee Jae-won został wymieniony jako podejrzany o korupcję w koreańskim dochodzeniu dotyczącym domniemanych nieprawidłowości w procesie rekrutacji, co pogłębia wyzwania regulacyjne giełdy. Najnowsza kara za naruszenie prywatności nakłada się na szeroką kontrolę Bithumb w zakresie praktyk rekrutacyjnych, zgodności z przepisami AML i ochrony danych osobowych.