Ez tévedés. GDPR szerint az adatkezelőnek kell bizonyítani, hogy az adatkezelés körén kívül eső elháríthatatlan ok idézte elő a szivárgást (GDPR Art. 82).
Amennyiben ténylegesen egy ember hozzáférésének megszerzése vezetett ide (főleg ha az a fejlesztőnél dolgozik -> ezt sem tudjuk biztosan) akkor nincs aki ezt bizonyítani tudná.