PIPA's struktur efter 2023-ændringerne

PIPA er den primære lov om persondata i Sydkorea, og den ændrede version er referencepunktet for enhver udgiver, der opererer fra 2024 og fremefter. Teams, der arbejder med teksten fra før 2023, kigger på en forældet ramme.

Hvad 2023-ændringerne ændrede

2023-ændringerne foretog adskillige strukturelle ændringer:

• Forenede dataansvarligforpligtelserne på tværs af alle sektorer og fjernede det fragmenterede regime, der tidligere behandlede udbydere af informations- og kommunikationstjenester anderledes end andre dataansvarlige
• Omstrukturerede rammen for grænseoverskridende overførsler for at bevæge sig væk fra eksplicit samtykke pr. overførsel mod tilstrækkeligheds- og sikkerhedsmønstre tættere på GDPR-modellen
• Indførte en klar ret til ikke at være genstand for fuldt automatiserede beslutninger med betydelig virkning, med ret til at anmode om menneskelig gennemgang
• Stramme den obligatoriske underretningsvindue for brud til 72 timer, i overensstemmelse med GDPR-standarden
• Hævede loftet for administrative bøder til op til 3 procent af den samlede omsætning for alvorlige overtrædelser — en dramatisk stigning fra de tidligere lofter knyttet til omsætning fra den overtræddende aktivitet

PIPC's rolle

PIPC er den samlede databeskyttelsesmyndighed med beføjelser, der dækker efterforskning, bødepålæggelse, korrigerende påbud og offentliggørelse af håndhævelsesafgørelser. Siden 2023 har den fungeret som et organ på kabinetniveau med markant udvidede ressourcer og en synligt mere aggressiv håndhævelsesholdning.

Hvem er reguleret

PIPA gælder for enhver behandling af koreanske beboeres personoplysninger, uanset hvor den dataansvarlige er beliggende. En USA-baseret udgiver, der betjener koreanske brugere via et lokaliseret websted, eller en programmatisk køber, der byder på koreansk lagerbeholdning, er inden for anvendelsesområdet. Denne ekstraterritoriale rækkevidde er veletableret i PIPC's praksis og er blevet bekræftet i adskillige håndhævelsesforanstaltninger mod udenlandske platforme siden 2023.

Hvad der tæller som personoplysninger

PIPA's definition er bred. Personoplysninger omfatter enhver oplysning om en levende fysisk person, der kan identificere den pågældende, enten direkte eller i kombination med andre oplysninger. PIPC har konsekvent behandlet det fulde spektrum af online-identifikatorer — cookies, reklame-ID'er, IP-adresser, enhedsfingeraftryk og adfærdsprofiler — som personoplysninger, når de kan knyttes til en person direkte eller på rimelig vis.

Følsomme oplysninger

Koreansk ret fastlægger en særskilt kategori af følsomme oplysninger (민감정보), der udløser strengere samtykkekrav. Disse omfatter ideologi, overbevisninger, fagforenings- eller politisk partitilhørsforhold, politiske meninger, helbred, seksualliv, genetiske data, biometriske data, der anvendes til identifikation, og straffeattest. Behandling af følsomme oplysninger kræver separat, specifikt samtykke — ikke det samlede samtykke, der måske dækker almindelige personoplysninger.

Unikke identifikationsoplysninger

PIPA udskiller en yderligere kategori, unikke identifikationsoplysninger (고유식별정보), som omfatter registreringsnumre for beboere, pasnumre, kørekortsnumre og registreringsnumre for udlændinge. Behandling heraf er stærkt begrænset og generelt forbudt til marketing- eller reklameformål.

Hvorfor dette betyder noget for cookies

En cookie, der gemmer en simpel sessionsidentifikator, er almindelige personoplysninger og falder under det generelle samtykkeregime. En cookie, der fodrer et målgruppesegment, der berører følsomme kategorier — sundhedsinteresser, politiske tendenser, religiøse tilhørsforhold — krydser ind i territoriet for følsomme oplysninger og kræver det separate, specifikke samtykkeflow. Udgivere, der målretter mod målgrupper, der overlapper PIPA's følsomme liste, bør ikke køre disse segmenter under generelt reklamesamtykke.

Cookie-samtykke under PIPA i 2026

Sydkorea følger en streng opt-in samtykkemodel. PIPC's holdning til cookies har været konsekvent og er blevet bekræftet med adskillige håndhævelsesafgørelser i løbet af 2024 og 2025.

De fem elementer i gyldigt samtykke

PIPA kræver, at samtykke til ikke-essentielle cookies og lignende teknologier er:

• Specifik for formålet — generelt paraplysamtykke er ikke gyldigt, hvert behandlingsformål har brug for sit eget samtykke
• Informeret — brugeren skal forstå, hvilke data der indsamles, hvorfor, hvem der modtager dem, og hvor længe
• Frivilligt — afvisning skal være mulig uden at blive nægtet en tjeneste, som brugeren ellers er berettiget til
• Udtrykt ved en bekræftende handling — afkrydsningsbokse markeret på forhånd, underforstået samtykke og scroll-som-samtykke er alle ugyldige
• Separat for hver formålskategori — essentiel, analytisk, reklame, personalisering og grænseoverskridende overførsel har hver brug for deres eget separat indsamlede samtykke

Hvordan en compliant CMP ser ud

En CMP konfigureret til koreansk trafik i 2026 bør præsentere:

• Et synligt banner, før nogen ikke-essentiel cookie afsendes, med koreansk (한국어) som standard for koreanske brugere
• Separate handlinger for Accepter, Afvis og Tilpas med samme visuelle fremtræden — PIPC har specifikt citeret bannerdesigns, hvor Afvis er mindre synlig end Accepter
• Granulerede kontroller pr. formål, herunder en eksplicit til/fra-knap for grænseoverskridende overførsel
• Et separat, tydeligt mærket flow for behandling af følsomme oplysninger, gemt bag sin egen handling
• En vedvarende, let at finde mekanisme til at trække samtykket tilbage efter det første valg
• En koreansproglig privatlivspolitik (개인정보 처리방침) med fulde oplysninger

Samtykkeregistre

Den dataansvarlige skal opretholde dokumentation for samtykket — hvem der samtykked, hvornår, til hvad, via hvilken grænseflade. Eksporterbare, tidsstemplede samtykkeregistre er basisforventningen, og utilstrækkelige samtykkeregistre er blevet citeret i adskillige PIPC-håndhævelsesforanstaltninger.

Grænseoverskridende overførsler efter 2023-ændringerne

Koreas regime for grænseoverskridende overførsler er blevet omstruktureret mere grundigt end næsten enhver anden national privatlivsopdatering efter 2023. At forstå den nye ramme er den eneste største compliancegab for udenlandske udgivere i 2026.

Den nye overførselsramme

Den ændrede PIPA giver fire veje til lovlig grænseoverskridende overførsel:

• Tilstrækkelighedsafgørelser udstedt af PIPC for destinationslande eller -sektorer
• Certificering af den udenlandske modtager under en certificeringsordning anerkendt af PIPC
• Standardkontrakter godkendt af PIPC, der fungerer analogt med GDPR's standardkontraktbestemmelser
• Separat eksplicit samtykke fra den registrerede til den specifikke overførsel som en restmekanisme

Hvorfor dette betyder noget

Inden 2023-ændringerne baserede de fleste grænseoverskridende flows sig på den fjerde vej — samtykke pr. overførsel — hvilket producerede tykke, komplekse CMP'er og var vanskeligt at opretholde for programmatiske stacks. 2023-rammen lader dataansvarlige stole på standardkontrakter eller certificering, reducerer samtykkebyrden og tilpasser sig international praksis. Udgivere, der ikke har opdateret deres leverandørkontrakter til at referere til PIPC's standardkontrakter, opererer stadig under det gamle regime som standard, hvilket nu er en complianceforpligtelse frem for et aktiv.

Den praktiske tilgang i 2026

De fleste udenlandske udgivere udfører nu PIPC-standardkontrakter med deres udenlandske databehandlere, dokumenterer overførselsmekanismen i privatlivspolitikken og holder separat-samtykke-pr.-overførsel som et nødfald kun for kanttilfælde. Dette er gennemførligt, forsvarligt og meningsfuldt enklere end det, der kom før.

Automatiseret beslutningstagning og algoritmisk gennemsigtighed

2023-ændringerne indførte en ret til ikke at være genstand for fuldt automatiserede beslutninger med betydelig virkning og en ret til at anmode om menneskelig gennemgang af sådanne beslutninger. For udgivere gælder dette mest synligt for algoritmisk indholdsudvælgelse, personaliseret prisfastsættelse og enhver målretning af målgruppen, der producerer betydelige differentielle resultater.

Oplysningsforpligtelser

Dataansvarlige skal offentliggøre i privatlivspolitikken, at automatiseret beslutningstagning anvendes, beskrive den grundlæggende logik og forklare de potentielle betydelige virkninger. Dette betyder ikke at afsløre proprietære algoritmer — men det kræver et meningsfuldt resumé i klart sprog, som en typisk bruger kan forstå.

Gennemgangsretten

Brugere, der er berørt af en betydelig automatiseret beslutning, kan anmode om menneskelig gennemgang, rettelse eller en forklaring. Den dataansvarlige skal stille en kanal til rådighed for denne anmodning og svare inden for de standard PIPA-tidsfrister.

Registreredes rettigheder

PIPA giver det velkendte cluster af rettigheder, anvendt gennem den koreanske ramme:

• Ret til at blive informeret om behandling
• Ret til indsigt i behandlede data
• Ret til berigtigelse af unøjagtige data
• Ret til suspension af behandling
• Ret til sletning, når behandling ikke længere er berettiget
• Ret til at trække samtykke tilbage lige så nemt, som det blev givet
• Ret til at gøre indsigelse mod automatiseret beslutningstagning med betydelig virkning
• Ret til at klage til PIPC

Svarfrister

Dataansvarlige skal besvare de fleste anmodninger fra registrerede inden for 10 dage, med mulighed for én forlængelse på yderligere 10 dage med varsel — betydeligt strammere end GDPR's 30-dages vindue. Dette er en af de mere almindelige driftsmæssige huller for udenlandske udgivere, der typisk har værktøjer og løbsbøger indstillet til GDPR's 30-dagsrytme.

Sanktioner og håndhævelsesholdning i 2026

PIPC's håndhævelsesaktivitet er eskaleret kraftigt siden 2023, og 2025 producerede nogle af de største bøder i dens historie — flere af dem mod udenlandske platforme og udgivere.

Administrative bøder

2023-ændringerne hævede det øverste bødeniveau til op til 3 procent af den samlede omsætning for de mest alvorlige overtrædelser. Bøder på lavere niveau gælder for fejl vedrørende samtykke, underretning, datasikkerhed, brudunderretning og grænseoverskridende overførsel. PIPC har været villig til at bruge det øverste niveau i 2025, hvilket ikke var dens historiske mønster.

Strafferetligt ansvar

PIPA medfører strafferetlige sanktioner — herunder fængsling — for de mest grove overtrædelser, såsom ulovligt salg af personoplysninger eller forsætlige storskalabrud. Disse er sjældne men reelle og er blevet anvendt i sager fra 2025.

Håndhævelsestemaer

PIPC's handlinger i 2025 samler sig om tilbagevendende problemer: utilstrækkelige eller tvetydige samtykkebannere, grænseoverskridende overførsler uden en gyldig post-2023-mekanisme, utilstrækkelig brudunderretning og manglende overholdelse af registreredes rettigheder inden for 10-dages vinduet. Udenlandske udgivere er blevet citeret i alle fire kategorier.

Auditcheckliste for koreansk trafik i 2026

• CMP-banneret vises på koreansk (한국어) med Accepter, Afvis og Tilpas med samme visuelle fremtræden
• Samtykkeformål er granulerede og placerer behandling af følsomme oplysninger bag sit eget specifikke samtykkeflow
• Grænseoverskridende overførsler er baseret på en PIPC-standardkontrakt, certificering eller tilstrækkelighed — ikke på arvet samtykke pr. overførsel
• Privatlivspolitikken (개인정보 처리방침) er tilgængelig på koreansk med fulde oplysninger om databehandlere, formål, opbevaring og rettigheder, herunder logik for automatiseret beslutningstagning, hvor det er relevant
• Samtykkeregistre er tidsstemplede, eksporterbare og opbevaret i mindst behandlingens varighed plus en reviderbar margin
• Arbejdsgangen for anmodninger fra registrerede kan besvare inden for 10 dage fra start til slut på koreansk
• Brudunderretningsløbsbogen er indstillet til PIPC's 72-timers vindue
• Oplysninger om automatiseret beslutningstagning er i privatlivspolitikken, hvor der træffes betydelige beslutninger ved hjælp af sådanne systemer
• Leverandørlisten er gennemgået for nødvendighed, med ubrugte eller redundante leverandører fjernet

Udsigterne for 2026

Sydkoreas privatlivsregime er modnet fra en af de strengere-på-papiret rammer i Asien til et af de strengere-i-håndhævelse regimer globalt. 2023-ændringerne fjernede de strukturelle forhindringer, der havde gjort overholdelse dyr, og PIPC har brugt de to år siden til at fokusere på håndhævelsen af resten af loven. Udgivere med et GDPR-niveau samtykkestack behøver relativt små justeringer for at være Korea-klar: koreansproglig CMP og politik, PIPC-standardkontrakter til grænseoverskridende flows, 10-dages svarsrytme og omhu med listen over følsomme oplysninger. Udgivere, der stadig behandler Korea som et lettere marked, vil opdage, at 2026 og 2027 er materielt dyrere end tidligere år. Den gode nyhed er, at hullet er operationelt, ikke arkitektonisk, og kan lukkes på uger, hvis det prioriteres.