Korea Południowa nałożyła na Bithumb grzywnę w wysokości 136 tys. dolarów za udostępnianie danych zagranicznych użytkowników

Koreańska Komisja Ochrony Danych Osobowych (PIPC) nakazała operatorowi giełdy kryptowalut Bithumb zapłacenie grzywny w wysokości 136 000 USD za naruszenie przepisów o ochronie danych osobowych związanych z transgranicznymi transferami danych. Decyzja podkreśla wymogi prawne dotyczące zgody i przetwarzania danych osobowych, gdy działalność handlowa w zakresie kryptowalut angażuje zagraniczne podmioty.

W zawiadomieniu wydanym w czwartek PIPC poinformowała, że jej dochodzenie wykazało, iż Bithumb przekazywał dane osobowe za granicę bez odrębnej zgody podmiotów danych w procesach związanych z „udostępnianiem arkusza zleceń" i „transferem aktywów wirtualnych" z zagranicznymi giełdami. Regulator powiązał to działanie z ustaleniami Bithumb dotyczącymi danych transakcyjnych Tether (USDT) oraz udostępniania informacji o użytkownikach wielu zagranicznym platformom.

Najważniejsze wnioski

• PIPC nałożyła grzywnę w wysokości 136 000 USD na Bithumb za naruszenie koreańskich wymogów ochrony danych osobowych związanych z transferami zagranicznymi.
• Regulator stwierdził, że Bithumb udostępnił dane osobowe 13 zagranicznym giełdom i korzystał z zagranicznych kontrahentów w celu ułatwienia udostępniania arkuszy zleceń oraz transferów aktywów wirtualnych.
• PIPC uznała uzasadnienie związane z przeciwdziałaniem praniu pieniędzy za podstawę przekazywania określonych informacji, jednak podkreśliła konieczność ścisłego przestrzegania przepisów dotyczących transferów transgranicznych i prawa do samostanowienia podmiotów danych.
• Sprawa pokazuje, jak programy zgodności w zakresie kryptowalut muszą uwzględniać prywatność i zgodę obok obowiązków AML/KYC.

Ustalenia PIPC: transfery transgraniczne i wymóg zgody

Zgodnie z zawiadomieniem PIPC, przegląd regulatora skupiał się na tym, w jaki sposób Bithumb przeprowadzał określone integracje operacyjne z zagranicznymi platformami handlowymi. PIPC stwierdziła, że Bithumb przekazywał dane osobowe za granicę bez uzyskania odrębnej zgody podmiotów danych w kontekście przepływów pracy związanych z udostępnianiem arkusza zleceń i transferem aktywów wirtualnych.

Decyzja powołuje się na udostępnianie arkusza zleceń dla USDT w okresie od września do listopada 2025 r., kiedy Bithumb współpracował z BingX. PIPC zauważyła ponadto, że choć Bithumb uzyskał zgodę na udostępnianie danych Stellar, nadal realizował transgraniczne udostępnianie danych dodatkowymi kanałami.

Stanowisko PIPC jest istotne dla zespołów ds. zgodności: nawet jeśli giełda może uzasadnić potrzebę udostępniania informacji w celach przeciwdziałania praniu pieniędzy, regulatorzy mogą nadal wymagać, aby transgraniczne transfery danych osobowych spełniały wymogi proceduralne i dotyczące zgody określone w koreańskiej ustawie o ochronie danych.

Dlaczego decyzja ma znaczenie dla giełd i programów zgodności

Dla firm kryptowalutowych działających na arenie międzynarodowej — lub koordynujących działania z zagranicznymi kontrahentami — sprawa ta ilustruje praktyczną granicę egzekwowania między udostępnianiem informacji związanym z AML a obowiązkami wynikającymi z prawa o ochronie prywatności. PIPC wyraźnie uznała konieczność przekazywania danych osobowych na potrzeby AML przy transferze aktywów wirtualnych do innych giełd. Jednak doszła do wniosku, że w odniesieniu do zagranicznego transferu danych osobowych giełdy muszą traktować tę kwestię jako ściśle powiązaną z prawami jednostek.

W praktyce implikacja dla zgodności jest taka, że giełdy mogą potrzebować bardziej szczegółowego zarządzania zgodami i udokumentowanych procedur dotyczących transgranicznych przepływów danych. Obejmuje to ocenę, czy istniejące zgody obejmują każdą konkretną zagraniczną ścieżkę transferu, czy zakres jest zgodny z zamierzonym przetwarzaniem i odbiorcami oraz czy ustalenia dotyczące udostępniania danych odzwierciedlają „prawo podmiotu danych do samostanowienia" opisane w zawiadomieniu.

Rodzi to również pytania operacyjne dla uczestników regulowanego rynku: kontroli prywatności nie można traktować jako jednorazowego kroku podczas wdrożenia. Zamiast tego muszą być utrzymywane w miarę rozszerzania przez giełdy routingu, udostępniania płynności lub mechanizmów transferu ponad granicami.

Kontekst egzekwowania: Bithumb pod lupą regulatorów

Bithumb jest jedną z największych giełd kryptowalut w Korei Południowej i znalazła się pod wzmożoną uwagą regulacyjną. Giełda była wcześniej przedmiotem działań organów finansowych w związku z zarzutami naruszenia koreańskiej ustawy o informacjach finansowych. W marcu krajowy regulator finansowy nałożył sześciomiesięczne zawieszenie, jednak sąd uchylił tę decyzję w kwietniu.

Niedawno pojawiły się doniesienia, że policja przeprowadziła przeszukania w biurach Bithumb w ramach dochodzenia związanego z zarzutami nepotyzmu z udziałem koreańskiego parlamentarzysty, co potęguje szerszą kontrolę dotyczącą zgodności i ładu korporacyjnego wokół firmy.

Choć kwestie te dotyczą różnych reżimów regulacyjnych — ochrony danych osobowych w porównaniu z nadzorem finansowym i innymi obszarami egzekwowania prawa — łącznie sygnalizują ryzyko, że interesariusze instytucjonalni nie mogą oddzielać kwestii prywatności, postępowania rynkowego i ładu korporacyjnego w nadzorze nad kryptowalutami. Dla banków, firm płatniczych i inwestorów instytucjonalnych z ekspozycją na ekosystemy kryptowalut takie wzorce egzekwowania mogą wpływać na postawę kontrahentów w zakresie zgodności oraz postrzegany poziom solidności ich środowisk kontrolnych.

Szersze tło polityczne: zmiany podatkowe i koordynacja organów ścigania

Środowisko regulacyjne kryptowalut w Korei Południowej ewoluuje również poprzez środki fiskalne i związane z bezpieczeństwem publicznym. Ministerstwo Finansów potwierdziło w maju, że 22% podatek od zysków z kryptowalut ma wejść w życie od stycznia 2027 r., po wcześniejszych odroczeniach. Zmiana ta prawdopodobnie dotknie dużą grupę inwestorów detalicznych posiadających aktywa cyfrowe w kraju.

Równolegle postępuje koordynacja analityki blockchain z organami ścigania. Chainalysis poinformował o podpisaniu memorandum o porozumieniu z Koreańską Narodową Agencją Policji (KNPA) mającego na celu zwiększenie zdolności dochodzeniowych w Korei Południowej. Zadeklarowany cel obejmuje poprawę reakcji na przestępczość kryptowalutową, w tym ataki powiązane z Koreą Północną.

Łącznie kierunki te pokazują, że władze Korei Południowej jednocześnie zaostrzają wymogi dotyczące zgodności dla podmiotów regulowanych i rozszerzają krajowe zdolności egzekwowania prawa. Grzywna za naruszenie prywatności nałożona na Bithumb wpisuje się w ten szerszy trend: regulatorzy traktują ochronę danych i transgraniczne przetwarzanie informacji jako część ogólnych ram integralności rynków kryptowalut.

Perspektywa końcowa

Nakaz PIPC wobec Bithumb podkreśla, że giełdy muszą dostosować swoje procesy udostępniania informacji napędzane przez AML do wymogów dotyczących zgody na prywatność i transferów transgranicznych. Liderzy ds. zgodności powinni śledzić, jak podobne sprawy są rozpatrywane w Korei Południowej — w szczególności w zakresie transferów danych związanych z udostępnianiem płynności/arkusza zleceń — ponieważ egzekwowanie prawa może kształtować sposób, w jaki firmy kryptowalutowe strukturyzują transgraniczne integracje operacyjne.

Niniejszy artykuł został pierwotnie opublikowany jako Korea Południowa nakłada na Bithumb grzywnę 136 tys. USD za udostępnianie danych użytkowników za granicą w Crypto Breaking News — zaufanym źródle informacji o kryptowalutach, Bitcoinie i aktualizacjach blockchain.