PIPAren Egitura 2023ko Aldaketen Ondoren

PIPA Hego Koreako datu pertsonalen lege nagusia da, eta aldatutako bertsioa 2024tik aurrera diharduten argitaratzaile ororen erreferentzi-puntua da. 2023 aurreko testutik lan egiten duten taldeek esparru zaharkitua ikusi dute.

2023ko Aldaketek Zer Aldatu Zuten

2023ko aldaketek hainbat aldaketa estruktural egin zituzten:

• Datu-kontrolatzaileen betebeharrak sektore guztietan bateratu zituzten, informazio eta komunikazio zerbitzuen hornitzaileak beste kontrolatzaileetatik modu desberdinean tratatzen zuen erregimen zatikitua kenduz
• Mugaz gaindiko transferentzia-esparrua berregituratu zen, transferentzia bakoitzeko baimen esplizitutik egokitasun eta babes-neurrien ereduetara aldatzeko, GDPRren eredutik hurbilago
• Ondorio esanguratsuak dituzten erabaki guztiz automatizatuak hartzeko subjektua ez izateko eskubide argi bat ezarri zen, giza berrikuspena eskatzeko eskubidearekin batera
• Derrigorrezko hausteen jakinarazpen-epea 72 ordura murriztu zen, GDPRren estandarrarekin bat etorriz
• Administrazio-isun gehieneko muga diru-sarrera osoen ehuneko 3ra igo zen arau-hauste larrientzat — aurreko mugekiko igoera dramatikoa, haustetik datozen diru-sarrerei lotutakoa

PIPCren Rola

PIPC datuen babeserako agintaritza bateratua da, ikerketa, isun ezarpena, zuzentzeko aginduak eta betearazpen-erabakien argitalpena barne hartzen dituen eskumenekin. 2023tik Kabinete mailako organo gisa ibili da baliabide esanguratsu zabalduarekin eta betearazpen-jarrera ikusgarri agresiboarekin.

Nor Arautzen Da

PIPA Koreako egoiliarren informazio pertsonalaren edozein prozesamenduari aplikatzen zaie, kontrolatzailea non dagoen kontuan hartu gabe. Koreako erabiltzaileei lokalizatutako gune baten bidez zerbitzua ematen dien AEBetan oinarritutako argitaratzaile bat, edo Koreako inbentarioan eskaintzak egiten diharduen eroslari programatiko bat, aplikazio-esparruaren barruan dago. Lurralde-esparru hori PIPC-ren praktikan ondo ezarrita dago eta 2023tik atzerriko plataformen aurka hartu diren hainbat betearazpen-neurrietan indartuta egon da.

Zer Da Informazio Pertsonala

PIPAren definizioa zabala da. Informazio pertsonalak pertsona biziari buruzko informazio oro hartzen du, pertsona zuzenean edo beste informazioarekin konbinatuta identifika dezakeena. PIPC-k lineako identifikatzaile sorta osoa — cookieak, publizitate-IDak, IP helbideak, gailuen aztarnak eta portaera-profilak — koherenteki tratatu ditu informazio pertsonal gisa, zuzenean edo bide arrazoizkoetan pertsona batekin lotu daitezkeen bitartean.

Informazio Sentikorra

Koreako legeak informazio sentikorraren (민감정보) kategoria bereizia izendatzen du, baimen-eskakizun zorrotzagoak eragiten dituena. Honek ideologia, sinesmenak, sindikatuen edo alderdi politikoen kide izatea, iritzi politikoak, osasuna, bizitza sexuala, datu genetikoak, identifikaziorako erabilitako datu biometrikoak eta zigor-historia hartzen ditu barne. Informazio sentikorra prozesatzeak baimen bereizi eta espezifikoa eskatzen du — informazio pertsonal arrunta estali dezakeen baimen bildua ez.

Identifikazio Informazio Bakarra

PIPAk kategoria osagarri bat bereizten du, identifikazio informazio bakarra (고유식별정보), bizileku-erregistro zenbakiak, pasaporte-zenbakiak, gidabaimenen zenbakiak eta atzerritarren erregistro-zenbakiak hartzen dituena. Hauen prozesatzea zorrotz mugatuta dago eta orokorrean debekatuta dago merkaturatze edo publizitate helburuetarako.

Zergatik Axola Dien Cookiei

Saio-identifikatzaile soil bat gordetzen duen cookie batek informazio pertsonal arrunta da eta baimen-erregimen orokorraren pean dago. Kategoria sentikorretan ukitzen duen audientzia-segmentu bat elikatzen duen cookie batek — osasun-interesak, joera politikoak, erlijio-kudeaketak — informazio sentikorraren lurraldea gainditzen du eta baimen-fluxu bereizia eta espezifikoa eskatzen du. PIPAren zerrenda sentikorrarekin bat datozen audientziak zuzentzen dituzten argitaratzaileek ez lukete segmentu horiek publizitate-orokorreko baimenaren pean erabili behar.

Cookie Baimena PIPA pean 2026an

Hego Koreak baimen opt-in eredu zorrotza jarraitzen du. PIPC-ren jarrera cookiei buruz koherentea izan da eta 2024 eta 2025ean hainbat betearazpen-erabakik indartu dute.

Baimen Baliodunaren Bost Elementuak

PIPAk eskatzen du ez-funtsezko cookietarako eta antzeko teknologietarako baimena:

• Xedeari espezifikoa — baimen zabal orokorra ez da baliozkoa, prozesatze-xede bakoitzak bere baimena behar du
• Jakituna — erabiltzaileak ulertu behar du zer datu biltzen diren, zergatik, nork jasotzen dituen eta zenbat denboran
• Boluntarioa — errefusatzea posible izan behar da erabiltzaileak bestela eskubidea duen zerbitzua ukatu gabe
• Ekintza baietzaile baten bidez adierazita — aurretik markatutako laukiak, inplizitutako baimena eta korritze-baimena guztiak baliogabeak dira
• Xede-kategoria bakoitzeko bereizi — funtsezko, analitika, publizitate, pertsonalizazio eta mugaz gaindiko transferentzietarako baimenaren bakoitzak bere baimen bildu behar du

Nolakoa Da CMP Betetzailea

Koreako trafikoa pean 2026an konfiguratutako CMP batek aurkeztu behar du:

• Edozein ez-funtsezko cookie piztu aurretiko banner ikusgarria, Koreako erabiltzaileei koreeraz (한국어) lehenespenez
• Onartu, Ukatu eta Pertsonalizatu ekintza bereiziak ikuspen-nabarmenduntasun berdinarekin — PIPC-k zehazki aipatu du Ukatua Onartuak baino ikusezinagoa den banner diseinuak
• Xedeko kontrol zehatzak, mugaz gaindiko transferentzietarako txandakatzaile esplizitua barne
• Informazio sentikorraren prozesatzea bere ekintza atzean buxatutako fluxu bereizia eta argi-markatua
• Hasierako aukeraren ondoren baimena kentzeko mekanismo iraunkor eta erraz aurkigarri bat
• Adierazpen osoen korear-hizkuntza pribatasun-politika (개인정보 처리방침)

Baimen Erregistroak

Kontrolatzaileak baimenaren frogak gorde behar ditu — nork baimendu zuen, noiz, zertan, zein interfazeren bidez. Esportagarriak, denbora-zigilua duten baimen erregistroak oinarrizko itxaropena dira, eta baimen erregistro ezegokiak PIPC betearazpen-neurri batzuetan aipatu dira.

Mugaz Gaindiko Transferentziak 2023ko Aldaketen Ondoren

Koreako mugaz gaindiko transferentzia-erregimena 2023 ondorengo pribatasun-eguneratze nazional ia edozein baino sakonago berregituratu da. Esparru berria ulertzea atzerriko argitaratzaileen 2026ko betetzeko hutsune bakar handiena da.

Transferentzia-Esparru Berria

Aldatutako PIPAk lau bide eskaintzen ditu mugaz gaindiko transferentzia legezkoa izateko:

• PIPC-k helmuga herrialde edo sektoreei emandako egokitasun-erabakiak
• PIPC-k aitortutako ziurtapen-eskemen pean hartzaile atzerritarren ziurtapena
• PIPC-k onartutako kontratu estandarrak, GDPRren kontratuzko klausula estandarren antzeko funtzioa dutenak
• Transferentzia espezifikorako datu-subjektuaren baimen esplizitu bereizi bat, mekanismo erresidual gisa

Zergatik Axola Dion

2023ko aldaketen aurretik, mugaz gaindiko fluxu gehienak laugarren bidean oinarritzen ziren — transferentzia bakoitzeko baimena —, CMP lodi eta konplexuak sortuz eta pilatze programatikoetarako mantentzen zaila zena. 2023ko esparruak kontrolatzaileei kontratu estandarretan edo ziurtapenean oinarritzea ahalbidetzen die, baimen-zama murriztuz eta nazioarteko praktikarekin lerrokatuz. PIPC kontratu estandarrei erreferentzia egiteko hornitzaile-kontratuak eguneratu ez dituzten argitaratzaileak oraindik erregimen zaharrean dihardute lehenespenez, eta hori orain aktibo bat baino konpromiso bat da.

2026ko Ikuspegi Praktikoa

Atzerriko argitaratzaile gehienek orain PIPC kontratu estandarrak exekutatzen dituzte beren atzerriko prozesatzaileekin, transferentzia-mekanismoa pribatasun-politikan dokumentatuz eta transferentzia bakoitzeko baimen bereizi gordez soilik kasu-ertzeko irtenbide gisa. Hau egingarria da, defendagarria da eta lehen zena baino nabarmen sinpleagoa da.

Erabaki Automatizatua eta Gardentasun Algoritmikoa

2023ko aldaketek ondorio esanguratsuak dituzten erabaki guztiz automatizatuak hartzeko subjektua ez izateko eskubidea eta halako erabakien giza berrikuspena eskatzeko eskubidea ezarri zituzten. Argitaratzaileentzat, hau ondoen aplikatzen zaio eduki aukeraketa algoritmikoari, prezio pertsonalizatuari eta ondorio diferentzial esanguratsuak sortzen dituen edozein audientzia-zuzentze-ari.

Adierazpen-Betebeharrak

Kontrolatzaileek pribatasun-politikan adierazi behar dute erabaki automatizatua erabiltzen dela, oinarrizko logika deskribatu eta ondorio esanguratsu posibleak azaldu. Honek ez du esan nahi jabetza-algoritmoak agerian jartzea — baina erabiltzaile tipiko batek ulertuko lukeen hitz arruntezko laburpen esanguratsu bat eskatzen du.

Berrikusketa Eskubidea

Erabaki automatizatu esanguratsu batez eragindako erabiltzaileak giza berrikuspena, zuzenketa edo azalpena eska dezakete. Kontrolatzaileak eskaera horretarako kanal bat eskaini behar du eta PIPAren epe estandarren barruan erantzun.

Datu-Subjektuen Eskubideak

PIPAk koreako esparruaren bidez aplikatutako eskubide-multzo ezaguna ematen du:

• Prozesamenduari buruz informatzeko eskubidea
• Prozesatutako datuetara sartzeko eskubidea
• Datu okerren zuzenketa eskubidea
• Prozesamenduaren etete eskubidea
• Prozesamenduak justifikaziorik ez duenean ezabatzeko eskubidea
• Baimena erraz kentzeko eskubidea, eman zen bezain erraz
• Ondorio esanguratsuak sortzen dituen erabaki automatizatuari eragiteko eskubidea
• PIPCri kexua jartzeko eskubidea

Erantzun Epeak

Kontrolatzaileek datu-subjektuen eskaera gehienei 10 egunetan erantzun behar diete, behin bakarrik luzagarria beste 10 egunez jakinarazpenarekin — GDPRren 30 eguneko lehiotik nabarmen estuagoa. Hau atzerriko argitaratzaileen hutsune operazional ohikoenetako bat da, normalean 30 eguneko GDPR erritmora doituta dituzte tresnak eta eskuzko.

Zigorrak eta Betearazpen Jarrera 2026an

PIPCren betearazpen-jarduera 2023tik zorrotz eskalatu da, eta 2025ek bere historiako isun handienak ekarri ditu — horietako hainbat atzerriko plataforma eta argitaratzaileen aurka.

Administrazio-Isunak

2023ko aldaketek isun-maila gorenena diru-sarrera osoen ehuneko 3ra igo zuten arau-hauste larrientzat. Maila baxuagoko isunak baimena, jakinarazpena, datuen segurtasuna, hausteen jakinarazpena eta mugaz gaindiko transferentziari dagokienez aplikatzen dira. PIPC prest egon da 2025ean goreneko maila erabiltzeko, hori ez zen bere historiko eredua.

Erantzukizun Penala

PIPAk zigor penalak dakartza — espetxealdea barne — arau-hauste larrientzat, hala nola informazio pertsonalaren legez kanpoko salmentarako edo nahitako hauste masiboentzat. Hauek arraroagoak dira baina errealaak eta 2025eko kasuetan invokatu dira.

Betearazpen Gaiak

PIPCren 2025eko ekintzetatik errazki errepikatzeak datoz: baimena-banner ezegokiak edo anbiguoak, 2023 osteko mekanismo baliogaberik gabeko mugaz gaindiko transferentziak, hausteen jakinarazpen eskasa eta 10 eguneko leihoan datu-subjektu eskubideak betetzeko ezintasuna. Atzerriko argitaratzaileak lau kategorioetan aipatu dira.

Koreako Trafikoa pean 2026an Auditatzeko Zerrenda

• CMP banner-a koreeraz (한국어) eskaintzen da, Onartu, Ukatu eta Pertsonalizatu berdineko ikuspen-nabarmenduntasunarekin
• Baimena-xedeak zehatzak dira eta informazio sentikorraren edozein prozesatze bere baimen-fluxu bereizia atzean bereizten du
• Mugaz gaindiko transferentziak PIPC kontratu estandarrean, ziurtapenean edo egokitasunean oinarritzen dira — ez ondare transferentzia bakoitzeko baimenean
• Pribatasun-politika (개인정보 처리방침) koreeraz erabilgarri dago, prozesatzaile, helburu, atxikitze eta eskubideen adierazpen osoekin, erabaki automatizatuaren logika barne aplikagarri denean
• Baimen-erregistroak denbora-zigilua dute, esportagarriak dira eta prozesatze-iraupena gehi marjin auditagarri batean atxikita daude gutxienez
• Datu-subjektu eskaeraren fluxua 10 egunean erantzun dezake hasieratik amaierara, koreeraz
• Hauste-jakinarazpen eskuzliburu-a PIPC 72 orduko leihora doituta dago
• Erabaki automatizatuaren adierazpenak pribatasun-politikan daude halako sistemen bidez erabaki esanguratsuak hartzen diren tokietan
• Hornitzaile-zerrenda beharrari dagokionez berrikusi da, erabili gabeko edo errepikakorreko hornitzaileak kenduz

2026ko Aukerak

Hego Koreako pribatasun-erregimena Asiako papereko erregimen zorrotzetako batetik mundu mailan betearazpeneko zorrotzetako batera heldu da. 2023ko aldaketek betetzea garestitu zuten bloke estrukturalak kendu zituzten, eta PIPCk hurrengo bi urteak legearen gainerakoaren betearazpenean zentratu ditu. GDPR mailako baimen pila duten argitaratzaileek doipen nahiko txikiak behar dituzte Koreara prest egoteko: Koreako CMP eta politika, PIPC kontratu estandarrak mugaz gaindiko fluxuetarako, 10 eguneko erantzun erritmoa eta informazio sentikorraren zerrendarekin zaintza. Oraindik Korea merkatu arinago gisa tratatzen duten argitaratzaileak 2026 eta 2027 aurreko urteek baino materiala garestiagoak direla aurkituko dute. Albiste ona da aldea operazionala dela, ez arkitektonikoa, eta aste gutxitan ixten dela lehenetsiz gero.