מטא אספה, השתמשה ושיתפה מידע אישי רגיש ללא בסיס חוקי ובלא הסכמה נפרדת, סרבה לאפשר למשתמשים לגשת למידע האישי שלהם בלי לנמק מדוע, ולא נקטה באמצעי אבטחה מספקים וכתוצאה מזה דלף מידע של משתמשים קוריאנים - כך עולה ממצאי בדיקת רגולטור הפרטיות בדרום קוריאה (ה-PIPC), שהטיל קנס בגובה 21.6 מיליארד וון (כ-58 מיליון ש"ח, כ-15.5 מיליון דולר) על מטא בגין ההפרות הללו.

לפי ה-PIPC, מטא אספה מידע אישי רגיש מ-980,000 משתמשי פייסבוק בדרום קוריאה, כמו דעות פוליטיות, העדפות דת והעדפות מיניות, ומסרה אותו לכ-4,000 גופי פרסום, שהשתמשו בו למטרות פרסום מקוון מותאם אישית. כך לדוגמה, מפרסמים שניתחו מידע התנהגותי, הציגו למשתמשים פרסומות הקשורות למידע הרגיש שמטא אספה באמצעות מעקב אחר סימוני ה-"Like" של המשתמשים (בנושאי דת, העדפות מין, עריקים מצפון קוריאה וכו'). מטא ציינה זאת במדיניות עיבוד המידע שלה, אך לא קיבלה הסכמה נפרדת מהמשתמשים כנדרש בחוק ולא נקטה באמצעי הגנה נוספים.

בנוסף, סירבה מטה לבקשת משתמשים לגשת למידע האישי שלהם ללא סיבה מוצדקת, והשאירה חשבונות משתמשים לא פעילים ללא הגנה נוספת. כך התאפשר לפורצים לאפס סיסמאות באמצעות שליחת מזהה מזויף בדף שחזור החשבון (ללא אמצעי אימות נוסף) ולגנוב מידע אישי של 10 משתמשים קוריאנים. law.co.il מזכיר כי מטא כבר נקנסה בעבר בגין הפרות פרטיות דומות, בסכומים נמוכים יותר.