Persönliche Informationen hochrangiger Spender großer südkoreanischer Wohltätigkeitsorganisationen wurden online veröffentlicht, nachdem sensible Daten fälschlicherweise in Finanzdokumenten veröffentlicht wurden, die etwa 1.600 Menschen, darunter bekannte Künstler, betrafen.
An dem Vorfall waren Organisationen beteiligt, die mit der Community Chest of Korea, der größten staatlich sanktionierten Wohlfahrtsorganisation des Landes, verbunden sind. Berichten zufolge wurden interne Vergleichsdokumente auf der Website der Organisation hochgeladen, ohne die persönlichen Daten von Spendern, die große Spenden geleistet hatten, ordnungsgemäß zu entfernen.
Die offengelegten Unterlagen enthielten sensible Informationen wie Namen und südkoreanische Einwohnerregistrierungen. In Südkorea fungieren Einwohnerregistrierungsnummern als nationale Identifikationsnummer und gelten als äußerst sensibel, da sie für die Identitätsverifizierung in vielen Finanz- und Verwaltungssystemen verwendet werden können.
Die Daten wurden in Finanzmaterialien aufgenommen, die online im Rahmen der routinemäßigen Offenlegung von Spendenunterlagen veröffentlicht wurden. Wohltätigkeitsorganisationen im Land veröffentlichen in der Regel jährliche Settlementsberichte, die Beiträge und Fundraising-Ergebnisse detailliert dokumentieren. In diesem Fall enthielt die auf der Website veröffentlichte Version Berichten zufolge ungeschwärzte persönliche Informationen, die vor der Veröffentlichung hätten entfernt werden sollen.
Der geleakte Datensatz enthielt Berichten zufolge etwa 600 Hauptspender, die jeweils mehr als 20 Millionen Won oder etwa 13.500 Dollar beigesteuert hatten. Viele dieser Spender sind öffentliche Persönlichkeiten, darunter Politiker, Wirtschaftsführer und Entertainer. Berichten zufolge erreichte die Gesamtzahl der Personen, deren Daten in verwandten Dokumenten offengelegt wurden, etwa 1.600.
Die Wohltätigkeitsorganisation erklärte, sie sei auf das Problem aufmerksam geworden, nachdem die Dokumente online gestellt wurden, und habe ein Einsatzteam gebildet, um den Vorstoß zu untersuchen und anzugehen. Laut in lokalen Berichten zitierten Angaben begann die Organisation zu überprüfen, wie die Dateien hochgeladen wurden, und benachrichtigte die betroffenen Spender.
Nach dem südkoreanischen Gesetz zum Schutz personenbezogener Daten müssen Organisationen, die ein Leck personenbezogener Daten entdecken, den Vorfall innerhalb von 72 Stunden den Behörden melden. Die Wohltätigkeitsorganisation erklärte, sie plane, die Regulierungsbehörden zu benachrichtigen und die betroffenen Personen im Rahmen ihres Reaktionsprozesses einzeln zu kontaktieren.
Die Offenlegung hat Bedenken hinsichtlich des Umgangs sensibler Spenderinformationen durch gemeinnützige Organisationen geweckt. Spender, die große Summen an Wohltätigkeitsorganisationen spenden, erwarten oft, dass ihre persönlichen Daten geschützt werden, insbesondere wenn die Informationen Identifikationsnummern enthalten, die in administrativen oder finanziellen Systemen verwendet werden können.
Die Behörden sollen den Vorfall im Rahmen einer umfassenderen Aufsicht über die Datenschutzpraktiken überprüfen. Die Untersuchung konzentriert sich darauf, wie die Dokumente mit den nicht geschwärzten Informationen vorbereitet und hochgeladen wurden und ob die bestehenden Verfahren zur Veröffentlichung finanzieller Offenlegungen eingehalten wurden.
Die Wohltätigkeitsorganisation erklärte, sie setze ihre interne Überprüfung fort und ergreife gleichzeitig Maßnahmen, um ähnliche Vorfälle in Zukunft zu verhindern. Die Organisation erklärte außerdem, mit den Behörden zusammenzuarbeiten und den von dem Leck Betroffenen Updates zu geben.