Saját lábában esett hasra egy Facebook-adatszivárgás vizsgálatánál a dél-koreai adatvédelmi hatóság. Az történt ugyanis, hogy a hatóság a vizsgálati folyamat során maga is kiszivárogtatta az ügyben érintett felhasználók személyes adatait, írta meg a The Register. A hír forrása a lehető legautentikusabb: a koreai adatvédelmi hatóság, a PIPC (Personal Information Protection Commission) elnöke, aki közleményt is kiadott az ügyről. (A koreai nyelvvel boldogulók kedvéért egy kattintásnyira érhetővé tettük a közlemény eredeti szövegét is.)

A hivatal elnöke, Jun Dzsongin (angol átírásban: Yoon Jong-in, a fenti képen) által jegyzett közlemény szerint a Facebook-ügyben érintett felhasználók adatai jutottak más, az ügyben szintén érintett felhasználókhoz, amiért az elnök mind az érintettektől, mind a szélesebb nyilvánosságtól elnézését kért.

Mindössze 181 ember miatt indult a vizsgálat

Az ügyet egyébként önmagában akár tekinthetnénk pimfnek is – legalábbis a Zuckerbergék ellen indult más eljárásokhoz képest. A Facebooknál ugyanis rendre tíz-százmilliókat érintenek az adatszivárgások. Az első igazán nagyot szóló botrány a Cambridge Analytica-ügy volt 50 millió kárvallottal. Aztán az is kiderült, hogy ez a szivárgás nem is szivárgás lehetett. Majd az is, hogy a közösségi oldal döbbenetes lazasággal kezelte a felhasználóiról begyűjtött személyes információkat azok érzékenységétől függetlenül.

A koreai ügynél csupán 181 érintett kérte az eljárás megindítását. A felhasználók azt nehezményezték, hogy a közösségi oldal beleegyezésük nélkül adta át legalább tízezer third party alkalmazásfejlesztőnek az adataikat. A PIPC megalapozottnak találta a keresetüket, és kötelezte a Facebookot: fizessen számukra fejenként 300 ezer won (kb. 82 ezer forint) kártérítést.

Csakhogy, amíg az eljárás tartott, a PIPC tévedésből az ügyet elindító 181 felhasználó személyes adatait elküldte 19 embernek (akik szintén a kereset benyújtói között voltak).

A PIPC elnöklének közleménye kitér a következményekre is. (Még egyszer: 181 emberről van szó, akiknek a személyes adatai egyelőre ismeretlen okból 19, ugyanabban az ügyben szereplő emberhez kerültek.) Miközben az egészet – elvileg – elintézhetnék azzal, hogy itt emberi mulasztás történt, a hivatal inkább átvilágítja a személyes adatok kezelésének teljes folyamatát (eljárási rend, napi gyakorlat, az adatkezelő és -feldolgozó rendszerek működése stb.), hogy megtalálják a még ismeretlen kockázati tényezőket, és csökkentsék az azokkal szembeni kitettségüket.

Emellett az érintettekkel is felveszik a kapcsolatot, hogy minél hatékonyabban előzhessék meg az esetleges másodlagos károkat.

Kicsi ügy, kicsi büntetés

A PIPC ceruzája az ügyet elindító jogsértés megtorlásánál most nem fogott vastagon, ám nem volt mindig ilyen elnéző a hivatal. Épp egy éve 5,6 millió dollárnyi büntetést szabott ki 3,3 millió dél-koreai felhasználó adatainak kiszivárogtatása (értékesítése?) miatt. De már idén is kapott a cég egy 5,5 millió dolláros számlát, mert 200 ezer felhasználóról készített arcfelismerő sablont a hozzájárulásuk nélkül. De még ez is csak kis apró az USA-ban fizetett büntetésekhez képest. A Cambridge Analytica miatt a britek még csak 500 ezer font büntetést szabtak ki, de az amerikai Szövetségi Kereskedelmi Bizottság, az FTC már 5 milliárd dollárban határozta meg a félrelépés árát. Ugyanakkor az amerikai tőzsdefelügyelet is 100 millió dollár büntetéssel "honorálta" a vállalat adatkezelési gyakorlatát a cég egy másik jogsértése miatt.

Arról viszont egyelőre nincs hír, a dél-koreai hivatal szab-e magára néhány wonnyi büntetést saját hanyagsága miatt.