Struktura PIPA po změnách roku 2023

PIPA je primárním zákonem o osobních údajích v Jižní Koreji a pozměněná verze je referenčním bodem pro každého vydavatele působícího od roku 2024. Týmy pracující s textem před rokem 2023 se dívají na zastaralý rámec.

Co změnily změny roku 2023

Změny roku 2023 přinesly několik strukturálních změn:

• Sjednotily povinnosti správce dat napříč všemi odvětvími a odstranily fragmentovaný režim, který dříve zacházel s poskytovateli informačních a komunikačních služeb odlišně od ostatních správců
• Restrukturovaly rámec přeshraničního přenosu, aby se odklonily od výslovného souhlasu s každým přenosem směrem k vzorům přiměřenosti a záruk blíže modelu GDPR
• Zavedely jasné právo nebýt předmětem plně automatizovaných rozhodnutí s významným dopadem a právo požadovat lidské přezkoumání
• Zpřísnily povinné okno pro oznamování porušení zabezpečení na 72 hodin, v souladu se standardem GDPR
• Zvedly strop správních pokut na až 3 % z celkových příjmů za závažná porušení — dramatický nárůst oproti dřívějším stropům vázaným na příjmy z porušující činnosti

Role PIPC

PIPC je sjednoceným orgánem pro ochranu osobních údajů s pravomocemi zahrnujícími vyšetřování, ukládání pokut, nápravná opatření a veřejné zveřejňování rozhodnutí o vymáhání. Od roku 2023 funguje jako orgán na úrovni kabinetu s výrazně rozšířenými zdroji a viditelně agresivnějším postojem k vymáhání.

Kdo je regulován

PIPA se vztahuje na jakékoli zpracování osobních informací korejských obyvatel bez ohledu na to, kde se správce nachází. Vydavatel se sídlem v USA obsluhující korejské uživatele prostřednictvím lokalizovaného webu nebo programatický kupující nabízející na korejský inventář spadá do působnosti zákona. Tento extrateritoriální dosah je v praxi PIPC dobře zavedený a byl posílen v řadě donucovacích opatření proti zahraničním platformám od roku 2023.

Co se považuje za osobní informace

Definice PIPA je široká. Osobní informace zahrnují veškeré informace o živé fyzické osobě, které mohou identifikovat jednotlivce, a to buď přímo, nebo v kombinaci s jinými informacemi. PIPC konzistentně považuje celé spektrum online identifikátorů — cookies, reklamní ID, IP adresy, otisky zařízení a behaviorální profily — za osobní informace, pokud je lze spojit s fyzickou osobou přímo nebo přiměřenými prostředky.

Citlivé informace

Korejské právo vymezuje samostatnou kategorii citlivých informací (민감정보), která spouští přísnější požadavky na souhlas. Patří sem ideologie, přesvědčení, členství v odborech nebo politické straně, politické názory, zdraví, sexuální život, genetické údaje, biometrické údaje používané k identifikaci a trestní rejstřík. Zpracování citlivých informací vyžaduje oddělený, konkrétní souhlas — nikoli sdružený souhlas, který může pokrývat běžné osobní informace.

Jedinečné identifikační informace

PIPA vymezuje další kategorii, jedinečné identifikační informace (고유식별정보), které zahrnují čísla registrace obyvatel, čísla pasů, čísla řidičských průkazů a registrační čísla cizinců. Jejich zpracování je přísně omezeno a pro marketingové nebo reklamní účely je obecně zakázáno.

Proč je to důležité pro cookies

Cookie uchovávající jednoduchý identifikátor relace jsou běžnými osobními informacemi a spadají pod obecný režim souhlasu. Cookie napájející segment publika dotýkající se citlivých kategorií — zdravotní zájmy, politické inklinace, náboženské příslušnosti — přecházejí do oblasti citlivých informací a vyžadují samostatný, specifický tok souhlasu. Vydavatelé cílící na publikum, které se překrývá se seznamem citlivých informací PIPA, by neměli tyto segmenty provozovat v rámci obecného reklamního souhlasu.

Souhlas s cookies v rámci PIPA v roce 2026

Jižní Korea dodržuje přísný model souhlasu opt-in. Postoj PIPC ke cookies byl konzistentní a byl potvrzen řadou rozhodnutí o vymáhání v průběhu let 2024 a 2025.

Pět prvků platného souhlasu

PIPA vyžaduje, aby souhlas s nepodstatnými cookies a podobnými technologiemi byl:

• Specifický pro účel — obecný zastřešující souhlas není platný, každý účel zpracování potřebuje vlastní souhlas
• Informovaný — uživatel musí rozumět tomu, jaké údaje jsou shromažďovány, proč, kdo je přijímá a jak dlouho
• Dobrovolný — odmítnutí musí být možné, aniž by uživatel přišel o službu, na kterou má jinak nárok
• Vyjádřený aktivním jednáním — předem zaškrtnutá políčka, implicitní souhlas a posun jako souhlas jsou neplatné
• Oddělený pro každou kategorii účelu — nezbytné, analytické, reklamní, personalizační a přeshraniční přenos — každý potřebuje vlastní zvlášť shromážděný souhlas

Jak vypadá vyhovující CMP

CMP nakonfigurovaný pro korejský provoz v roce 2026 by měl prezentovat:

• Viditelný banner před spuštěním jakéhokoli nepodstatného cookie, výchozí nastavení na korejštinu (한국어) pro korejské uživatele
• Samostatné akce Přijmout, Odmítnout a Přizpůsobit s rovnocennou vizuální prominencí — PIPC konkrétně citoval návrhy bannerů, kde je Odmítnout méně viditelné než Přijmout
• Detailní ovládací prvky pro každý účel, včetně explicitního přepínače pro přeshraniční přenos
• Samostatný, jasně označený tok pro zpracování citlivých informací, za vlastní akcí
• Trvalý, snadno dostupný mechanismus pro odvolání souhlasu po prvotní volbě
• Zásady ochrany osobních údajů v korejštině (개인정보 처리방침) s úplnými zveřejněními

Záznamy o souhlasu

Správce musí uchovávat doklady o souhlasu — kdo souhlasil, kdy, s čím, prostřednictvím jakého rozhraní. Exportovatelné záznamy o souhlasu s časovými razítky jsou základním očekáváním a nedostatečné záznamy o souhlasu byly citovány v řadě donucovacích opatření PIPC.

Přeshraniční přenosy po změnách roku 2023

Korejský režim přeshraničního přenosu byl restrukturován důkladněji než téměř jakákoli jiná národní aktualizace ochrany soukromí po roce 2023. Pochopení nového rámce je v roce 2026 pro zahraniční vydavatele největší jedinou mezerou v souladu s předpisy.

Nový rámec přenosu

Pozměněná PIPA poskytuje čtyři cesty pro legitimní přeshraniční přenos:

• Rozhodnutí o přiměřenosti vydaná PIPC pro cílové země nebo odvětví
• Certifikace zahraničního příjemce v rámci certifikačního schématu uznaného PIPC
• Standardní smlouvy schválené PIPC, které fungují analogicky ke standardním smluvním doložkám GDPR
• Samostatný výslovný souhlas subjektu údajů pro konkrétní přenos jako reziduální mechanismus

Proč je to důležité

Před změnami roku 2023 se většina přeshraničních toků opírala o čtvrtou cestu — souhlas pro každý přenos — což produkovalo rozsáhlé, složité CMP a bylo obtížné udržovat u programatických zásobníků. Rámec roku 2023 umožňuje správcům spoléhat na standardní smlouvy nebo certifikaci, čímž snižuje zátěž souhlasu a sladí se s mezinárodní praxí. Vydavatelé, kteří neaktualizovali své smlouvy s dodavateli tak, aby odkazovaly na standardní smlouvy PIPC, stále ve výchozím nastavení fungují podle starého režimu, který je nyní spíše závazkem z hlediska souladu s předpisy než aktivem.

Praktický přístup pro rok 2026

Většina zahraničních vydavatelů nyní uzavírá standardní smlouvy PIPC se svými zahraničními zpracovateli, dokumentuje mechanismus přenosu v zásadách ochrany osobních údajů a ponechává si samostatný souhlas pro každý přenos pouze jako záložní řešení pro okrajové případy. To je proveditelné, obhajitelné a výrazně jednodušší než dříve.

Automatizované rozhodování a algoritmická transparentnost

Změny roku 2023 zavedly právo nebýt předmětem plně automatizovaných rozhodnutí s významným dopadem a právo požadovat lidské přezkoumání takových rozhodnutí. Pro vydavatele se to nejviditelněji vztahuje na algoritmické kurátorství obsahu, personalizované ceny a jakékoli cílení na publikum, které produkuje výrazné diferenciální výsledky.

Povinnosti zveřejnění

Správci musí v zásadách ochrany osobních údajů zveřejnit, že je používáno automatizované rozhodování, popsat základní logiku a vysvětlit potenciálně významné dopady. To neznamená odhalení proprietárních algoritmů — ale vyžaduje smysluplné shrnutí v jednoduchém jazyce, kterému by rozuměl typický uživatel.

Právo na přezkoumání

Uživatelé dotčení závažným automatizovaným rozhodnutím mohou požadovat lidské přezkoumání, opravu nebo vysvětlení. Správce musí poskytnout kanál pro tuto žádost a reagovat ve standardních lhůtách PIPA.

Práva subjektů údajů

PIPA přiznává obvyklý soubor práv uplatňovaných prostřednictvím korejského rámce:

• Právo být informován o zpracování
• Právo na přístup ke zpracovávaným údajům
• Právo na opravu nepřesných údajů
• Právo na pozastavení zpracování
• Právo na výmaz, pokud zpracování již není odůvodněno
• Právo odvolat souhlas stejně snadno, jako byl udělen
• Právo vznést námitku proti automatizovanému rozhodování s významným dopadem
• Právo podat stížnost k PIPC

Lhůty pro odpovědi

Správci musí reagovat na většinu žádostí subjektů údajů do 10 dnů, s možností jednorázového prodloužení o dalších 10 dnů s oznámením — výrazně přísnější než 30denní okno GDPR. Toto je jedna z běžnějších provozních mezer pro zahraniční vydavatele, kteří mají obvykle nástroje a příručky nastavené podle 30denního rytmu GDPR.

Sankce a postoj k vymáhání v roce 2026

Vymáhací činnost PIPC se od roku 2023 výrazně zvýšila a rok 2025 přinesl některé z nejvyšších pokut v její historii — několik z nich proti zahraničním platformám a vydavatelům.

Správní pokuty

Změny roku 2023 zvýšily horní strop pokut na až 3 % z celkových příjmů za nejzávažnější porušení. Nižší pokuty se uplatňují za selhání v oblasti souhlasu, oznámení, zabezpečení dat, oznamování porušení a přeshraničního přenosu. PIPC byl ochoten využít horní strop v roce 2025, což nebylo jeho historickým vzorcem.

Trestní odpovědnost

PIPA nese trestní sankce — včetně odnětí svobody — za nejzávažnější porušení, jako je nezákonný prodej osobních informací nebo úmyslná rozsáhlá porušení. Tato jsou vzácná, ale reálná a byla uplatněna v případech z roku 2025.

Témata vymáhání

Opatření PIPC z roku 2025 se shlukují kolem opakujících se problémů: nedostatečné nebo nejednoznačné bannery souhlasu, přeshraniční přenosy bez platného mechanismu po roce 2023, nedostatečné oznamování porušení a neplnění práv subjektů údajů ve 10denním okně. Zahraniční vydavatelé byli citováni ve všech čtyřech kategoriích.

Kontrolní seznam auditu pro korejský provoz v roce 2026

• Banner CMP je zobrazován v korejštině (한국어) s Přijmout, Odmítnout a Přizpůsobit s rovnocennou vizuální prominencí
• Účely souhlasu jsou detailní a zpracování citlivých informací je za vlastním specifickým tokem souhlasu
• Přeshraniční přenosy se opírají o standardní smlouvu PIPC, certifikaci nebo přiměřenost — nikoli o starší souhlas pro každý přenos
• Zásady ochrany osobních údajů (개인정보 처리방침) jsou dostupné v korejštině s úplným zveřejněním zpracovatelů, účelů, uchovávání a práv, včetně logiky automatizovaného rozhodování, kde je to relevantní
• Záznamy o souhlasu jsou opatřeny časovým razítkem, exportovatelné a uchovávány po dobu zpracování plus auditovatelná marže
• Pracovní postup pro žádosti subjektů údajů dokáže reagovat do 10 dnů od začátku do konce v korejštině
• Příručka pro oznamování porušení je nastavena na 72hodinové okno PIPC
• Zveřejnění automatizovaného rozhodování jsou v zásadách ochrany osobních údajů tam, kde jsou takovými systémy přijímána závažná rozhodnutí
• Seznam dodavatelů byl přezkoumán z hlediska nezbytnosti a nepoužívaní nebo nadbytečných dodavatelé byli odstraněni

Výhled na rok 2026

Korejský režim ochrany soukromí se vyvinul z jednoho z přísnějších rámců na papíře v Asii na jeden z přísnějších v oblasti vymáhání na celosvětové úrovni. Změny roku 2023 odstranily strukturální překážky, které dodržování předpisů zdražovaly, a PIPC využil zbývající dva roky k soustředění na vymáhání zbytku zákona. Vydavatelé s balíčkem souhlasů na úrovni GDPR potřebují relativně malé úpravy, aby byli připraveni na Koreu: CMP a zásady v korejštině, standardní smlouvy PIPC pro přeshraniční toky, 10denní rytmus odpovědí a péče o seznam citlivých informací. Vydavatelé, kteří stále zacházejí s Koreou jako s lehčím trhem, zjistí, že rok 2026 a 2027 budou výrazně nákladnější než předchozí roky. Dobrá zpráva je, že mezera je provozní, nikoli architektonická, a pokud bude prioritizována, lze ji uzavřít během týdnů.