PIPA struktuur pärast 2023. aasta muudatusi

PIPA on Lõuna-Korea peamine isikuandmete seadus ja muudetud versioon on võrdluspunkt iga kirjastaja jaoks, kes tegutseb alates 2024. aastast. Meeskonnad, kes töötavad enne 2023. aastat kehtinud tekstiga, vaatavad aegunud raamistikku.

Mida 2023. aasta muudatused muutsid

2023. aasta muudatused tegid mitu struktuurilist muutust:

• Ühtlustati andmetöötlejate kohustused kõigis sektorites, kõrvaldades killustatud režiimi, mis varem kohtles infoühiskonna teenuste osutajaid teistest töötlejatest erinevalt
• Piiriülese edastamise raamistik restruktureeriti, liikudes konkreetsete nõusolekute andmiselt iga edastuse kohta piisavuse ja kaitsemeetmete mudelite juurde, mis on lähemal GDPRi mudelile
• Kehtestati selge õigus mitte olla täielikult automatiseeritud otsuste subjekt, millel on olulised mõjud, koos õigusega nõuda inimese poolset läbivaatamist
• Kohustuslik rikkumisest teavitamise aeg lühendati 72 tunnini, mis vastab GDPRi standardile
• Halduskaristuste ülempiir tõsteti kuni 3 protsendini kogukäibest tõsiste rikkumiste eest — dramaatiline tõus võrreldes varasemate piirangutega, mis olid seotud rikkumisest saadava tuluga

PIPC roll

PIPC on ühtne andmekaitse asutus, mille volitused hõlmavad uurimist, trahvide määramist, paranduskorraldusi ja täitemeetmete otsuste avalikustamist. Alates 2023. aastast on see tegutsenud ministrite kabineti tasemel asutusena märkimisväärselt laiendatud ressurssidega ja silmnähtavalt agressiivsema täitmishoiakuga.

Kellele kohaldatakse

PIPA kohaldub Korea elanike isikuandmete igasugusele töötlemisele, olenemata töötleja asukohast. USA-põhine kirjastaja, kes teenindab Korea kasutajaid lokaliseeritud saidi kaudu, või programmatiline ostja, kes teeb pakkumisi Korea inventarile, kuulub reguleerimisalasse. See territoriaalsuse ulatus on PIPC praktikas hästi väljakujunenud ja on kinnitust leidnud mitmetes täitemeetmetes välismaiste platvormide vastu alates 2023. aastast.

Mis loetakse isikuandmeteks

PIPA definitsioon on lai. Isikuandmed hõlmavad mis tahes teavet elava isiku kohta, mis võimaldab isiku tuvastada kas otse või kombineeritult muu teabega. PIPC on järjepidevalt käsitlenud kõiki veebituvastajaid — küpsiseid, reklaamiidentifikaatoreid, IP-aadresse, seadme sõrmejälgi ja käitumisprofiilid — isikuandmetena, kui neid saab seostada isikuga otse või mõistlike vahenditega.

Tundlikud andmed

Korea seadus määratleb eraldi kategooria tundlikele andmetele (민감정보), mis käivitavad rangemad nõusoleku nõuded. See hõlmab ideoloogiat, veendumusi, ametiühingute või erakondade liikmesust, poliitilisi arvamusi, tervist, seksuaalelu, geneetilisi andmeid, tuvastamiseks kasutatavaid biomeetrilisi andmeid ja kriminaalset ajalugu. Tundlike andmete töötlemine nõuab eraldi ja spetsiifilist nõusolekut — mitte koondsuhestumist, mis võib katta tavalisi isikuandmeid.

Unikaalsed identifitseerimisandmed

PIPA eraldab täiendava kategooria, unikaalsed identifitseerimisandmed (고유식별정보), mis hõlmavad elanikuregistri numbreid, passportide numbreid, juhilubade numbreid ja välismaalaste registreerimise numbreid. Nende töötlemine on rangelt piiratud ja üldiselt keelatud turundus- või reklaamieesmärkidel.

Miks see küpsiste puhul oluline on

Küpsis, mis salvestab lihtsa seansiidentifikaatori, on tavaline isikuandme ja kuulub üldise nõusolekurežiimi alla. Küpsis, mis toidab sihtrühma segmenti, mis puudutab tundlikke kategooriaid — tervisehuvid, poliitilised kalduvused, usulised kuuluvused — ületab tundlike andmete territooriumi piiri ja nõuab eraldi spetsiifilist nõusolekuvoogu. Kirjastajad, kes sihivad sihtrühmi, mis kattuvad PIPA tundlike andmete loeteluga, ei tohiks neid segmente käitada üldise reklaamiandmete nõusoleku alusel.

Küpsise nõusolek PIPA alusel 2026. aastal

Lõuna-Korea järgib ranget opt-in nõusolekumudelit. PIPC seisukoht küpsiste suhtes on olnud järjepidev ja seda on kinnitanud mitmed täitemeetmete otsused 2024. ja 2025. aastal.

Kehtiva nõusoleku viis elementi

PIPA nõuab, et nõusolek mittevajalike küpsiste ja sarnaste tehnoloogiate kasutamiseks oleks:

• Konkreetne eesmärgi suhtes — üldine kattev nõusolek ei kehti, iga töötlemise eesmärk vajab oma nõusolekut
• Teadlik — kasutaja peab mõistma, milliseid andmeid kogutakse, miks, kes neid saab ja kui kauaks
• Vabatahtlik — keeldumine peab olema võimalik ilma, et kasutajalt võetaks ära teenus, millele tal muul juhul on õigus
• Väljendatud aktiivse tegevusega — eeltäidetud kastid, kaudne nõusolek ja kerimisega nõusolek on kõik kehtetud
• Eraldi iga eesmärgi kategooria jaoks — vajalikud, analüütilised, reklaamiandmete, isikupärastamise ja piiriülese edastamise nõusolekud vajavad igaüks eraldi kogutud nõusolekut

Milline näeb välja nõuetekohane CMP

CMP, mis on konfigureeritud Korea liikluse jaoks 2026. aastal, peaks esitama:

• Nähtava bäneri enne mis tahes mittevajaliku küpsise käivitumist, vaikimisi Korea kasutajatele eesti keeles (한국어)
• Eraldi Nõustu, Keeldu ja Kohanda toimingud võrdse visuaalse silmapaistvusega — PIPC on konkreetselt viidanud bäneri kujundustele, kus Keeldu on vähem nähtav kui Nõustu
• Granuleeritud juhtelemente eesmärgi kaupa, sealhulgas selge lüliti piiriülese edastamise jaoks
• Eraldi, selgelt märgistatud voogu tundlike andmete töötlemiseks, mis on lukustatud oma tegevuse taha
• Püsiv, kergesti leitav mehhanism nõusoleku tühistamiseks pärast esialgset valikut
• Korea keelne privaatsuspoliitika (개인정보 처리방침) täielike avalikustustega

Nõusoleku arvestus

Töötleja peab säilitama tõendid nõusoleku kohta — kes nõustus, millal, mille suhtes, millise liidese kaudu. Eksporditavad, ajatempliga nõusoleku logid on alusoodatust tase ja ebapiisavad nõusoleku logid on viidatud mitmetes PIPC täitemeetmetes.

Piiriülesed edastused pärast 2023. aasta muudatusi

Korea piiriülese edastamise režiim on restruktureeritud põhjalikumalt kui peaaegu ükski teine 2023. aasta järgne riiklik privaatsusuuendus. Uue raamistiku mõistmine on välismaiste kirjastajate jaoks 2026. aastal suurim üksik vastavuslõhe.

Uus edastamise raamistik

Muudetud PIPA näeb ette neli teed seaduslikuks piiriüleseks edastamiseks:

• Piisavuse otsused, mille PIPC on teinud sihtkohariikide või sektorite kohta
• Sertifitseerimine välismaise saaja poolt PIPC tunnustatud sertifitseerimisskeemi alusel
• Standardlepingud, mille PIPC on heaks kiitnud ja mis toimivad analoogselt GDPR standardsete lepingutingimustega
• Andmesubjekti eraldi selge nõusolek konkreetse edastamise jaoks jääkvahendina

Miks see oluline on

Enne 2023. aasta muudatusi tuginesid enamik piiriüleseid vooge neljandale teele — iga edastuse nõusolekule —, mis tekitas paksud, keerulised CMPd ja mida oli raske programmiliste virnate jaoks säilitada. 2023. aasta raamistik võimaldab töötlejatel tugineda standardlepingutele või sertifitseerimisele, vähendades nõusolekukoormust ja ühtlustades rahvusvahelise praktikaga. Kirjastajad, kes ei ole oma hankijalepinguid uuendanud viitega PIPC standardlepingutele, tegutsevad endiselt vaikimisi vana režiimi alusel, mis on nüüd vastavuslasile pigem koormaks kui varaks.

Praktiline lähenemine 2026. aastal

Enamik välismaised kirjastajad sõlmivad nüüd PIPC standardlepinguid oma välismaiste töötlejatega, dokumenteerivad edastamismehhanismi privaatsuspoliitikas ja hoiavad eraldi nõusolekut iga edastuse kohta üksnes äärmusjuhtumite tagavaraplannina. See on teostatav, kaitstavav ja märkimisväärselt lihtsam kui varem.

Automatiseeritud otsuste tegemine ja algoritmilise läbipaistvus

2023. aasta muudatused kehtestasid õiguse mitte olla täielikult automatiseeritud otsuste subjekt, millel on olulised mõjud, ning õiguse nõuda selliste otsuste inimese poolset läbivaatamist. Kirjastajate jaoks kohaldub see kõige selgemalt algoritmilisele sisu kureeerimisele, isikupärastatud hindadele ja mis tahes sihtrühma sihtimisele, mis toob kaasa olulisi diferentseeritud tulemusi.

Avalikustamiskohustused

Töötlejad peavad avalikustama privaatsuspoliitikas, et kasutatakse automatiseeritud otsuste tegemist, kirjeldama põhilist loogikat ja selgitama võimalikke olulisi mõjusid. See ei tähenda patenteeritud algoritmide avalikustamist — kuid see nõuab sisukat selgesõnalist kokkuvõtet, mida tüüpiline kasutaja mõistab.

Läbivaatamisõigus

Olulise automatiseeritud otsuse mõjutatud kasutajad saavad nõuda inimese poolset läbivaatamist, parandamist või selgitust. Töötleja peab pakkuma selle päringu kanalit ja vastama PIPA standardsete tähtaegade jooksul.

Andmesubjekti õigused

PIPA annab tuttava õiguste kogumi, mis kohaldatakse Korea raamistiku kaudu:

• Õigus saada teavet töötlemise kohta
• Ligipääsu õigus töödeldud andmetele
• Ebaõigete andmete parandamise õigus
• Töötlemise peatamise õigus
• Kustutamise õigus, kui töötlemine ei ole enam põhjendatud
• Nõusoleku tühistamise õigus sama lihtsalt, kui see anti
• Õigus vaidlustada olulisi mõjusid tekitavat automatiseeritud otsuste tegemist
• Õigus esitada kaebus PIPC-le

Vastamise tähtajad

Töötlejad peavad vastama enamikule andmesubjektide päringutele 10 päeva jooksul, mida saab ühe korra pikendada täiendava 10 päeva võrra teatega — märkimisväärselt tihedam kui GDPR 30-päevane aken. See on üks levinumaid tegevuslõhesid välismaiste kirjastajate jaoks, kellel on tavaliselt vahendid ja toimingunuputused, mis on häälestatud 30-päevasele GDPR-rütmile.

Karistused ja täitmishoiak 2026. aastal

PIPC täitmisalane tegevus on alates 2023. aastast järsult eskaleerunud ja 2025. aastal määrati mõned suurimad trahvid selle ajaloos — mitu neist välismaiste platvormide ja kirjastajate vastu.

Halduskaristused

2023. aasta muudatused tõstsid kõrgeima trahvitaseme kuni 3 protsendini kogukäibest kõige tõsisemate rikkumiste eest. Madalama taseme trahvid kohalduvad nõusoleku, teatise, andmeturbe, rikkumisest teavitamise ja piiriülese edastamisega seotud puuduste eest. PIPC on olnud valmis 2025. aastal kasutama kõrgeimat taset, mis ei olnud selle ajalooliseks mustriks.

Kriminaalvastutus

PIPA näeb ette kriminaalkaristused — sealhulgas vangistuse — kõige räigemate rikkumiste eest, nagu isikuandmete ebaseaduslik müük või tahtlik ulatuslik rikkumine. Need on haruldased, kuid reaalsed ja on kasutusele võetud 2025. aasta juhtumites.

Täitmise teemad

PIPC 2025. aasta meetmed koonduvad korduvate küsimuste ümber: ebapiisavad või mitmetähenduslikud nõusolekubännerid, piiriülesed edastused ilma kehtiva 2023. aasta järgse mehhanismita, ebapiisav rikkumisest teavitamine ning suutmatus täita andmesubjektide õigusi 10-päevase ajavahemiku jooksul. Välismaised kirjastajad on kõigis nelja kategoorias viidatud.

Auditite kontrollnimekiri Korea liikluse jaoks 2026. aastal

• CMP bänner esitatakse Korea keeles (한국어) võrdse visuaalse silmapaistvusega Nõustu, Keeldu ja Kohanda valikutega
• Nõusoleku eesmärgid on granuleeritud ja eraldavad tundlike andmete töötlemise oma spetsiifilise nõusolekuvoo taha
• Piiriülesed edastused tuginevad PIPC standardlepingule, sertifitseerimisele või piisavusele — mitte pärandsüsteemi iga edastuse nõusolekule
• Privaatsuspoliitika (개인정보 처리방침) on saadaval korea keeles koos täielike avalikustustega töötlejate, eesmärkide, säilitamise ja õiguste kohta, sealhulgas vajaduse korral automatiseeritud otsuste tegemise loogika
• Nõusoleku logid on ajatempliga, eksporditavad ja säilitatakse vähemalt töötlemisperioodi pluss auditeeritava varu jooksul
• Andmesubjekti taotluste töövoog suudab vastata 10 päeva jooksul algusest lõpuni, korea keeles
• Rikkumisest teavitamise plaan on häälestatud 72-tunnisele PIPC aknale
• Automatiseeritud otsuste tegemise avalikustused on privaatsuspoliitikas, kus selliste süsteemide abil tehakse olulisi otsuseid
• Hankijate loend on vajaduslikkuse osas üle vaadatud, eemaldades kasutamata või üleliigsed hankijad

2026. aasta väljavaade

Lõuna-Korea privaatsusrežiim on küpsenud ühest Aasia rangeimast paberil raamistikust üheks maailma rangeimaks täitmise poolest. 2023. aasta muudatused eemaldасid struktuurilised tõkked, mis olid muutnud vastavuse kalliks, ja PIPC on kasutanud kaht järgnevat aastat ülejäänud seaduse jõustamisele. Kirjastajad, kellel on GDPR-taseme nõusoleku virnid, vajavad suhteliselt väikseid kohandusi, et olla Korea-valmis: korea keelne CMP ja poliitika, PIPC standardlepingud piiriüleste voogude jaoks, 10-päevane vastusrütm ja hoolikkus tundlike andmete loeteluga. Kirjastajad, kes käsitlevad Koread endiselt kerge turuna, leiavad, et 2026. ja 2027. aasta on varasemate aastatega võrreldes märkimisväärselt kallimad. Hea uudis on see, et lõhe on tegevuslik, mitte arhitektuurne, ja seda saab sulgeda nädalatega, kui see on prioriteediks seatud.