PIPA:n rakenne vuoden 2023 muutosten jälkeen

PIPA on Etelä-Korean ensisijainen henkilötietoasetus, ja muutettu versio on viitepiste kaikille vuodesta 2024 alkaen toimiville julkaisijoille. Tiimit, jotka työskentelevät vuotta 2023 edeltävän tekstin pohjalta, katsovat vanhentunutta kehystä.

Mitä vuoden 2023 muutokset muuttivat

Vuoden 2023 muutokset tekivät useita rakenteellisia muutoksia:

• Yhtenäistettiin rekisterinpitäjien velvollisuudet kaikilla sektoreilla poistamalla pirstaleinen järjestelmä, joka aiemmin kohteli tieto- ja viestintäpalvelujen tarjoajia eri tavalla kuin muita rekisterinpitäjiä
• Uudelleenjärjestettiin rajat ylittävien siirtojen kehys siirtyäkseen pois siirtokohtaisesta nimenomaisesta suostumuksesta kohti riittävyys- ja suojatakuumalleja lähempänä GDPR-mallia
• Otettiin käyttöön selkeä oikeus olla olematta täysin automatisoitujen merkittäviä vaikutuksia aiheuttavien päätösten kohteena, oikeudella pyytää inhimillistä arviointia
• Tiukennettiin pakollinen tietoturvaloukkausten ilmoittamisaika 72 tuntiin vastaamaan GDPR:n standardia
• Nostettiin hallinnollisten sakkojen enimmäismäärä vakavista rikkomuksista jopa 3 prosenttiin kokonaisliikevaihdosta — dramaattinen korotus aiemmista kattorajoista, jotka olivat sidottuja rikkomustoiminnasta saatuihin tuloihin

PIPC:n rooli

PIPC on yhtenäinen tietosuojaviranomainen, jonka toimivaltuuksiin kuuluvat tutkinta, sakkojen määrääminen, korjausmääräykset ja täytäntöönpanopäätösten julkinen ilmoittaminen. Vuodesta 2023 lähtien se on toiminut hallitustason elimenä merkittävästi laajennetuilla resursseilla ja näkyvästi aggressiivisemmalla täytäntöönpanoasenteella.

Keneen sääntelyä sovelletaan

PIPA:a sovelletaan kaikkeen korealaisten asukkaiden henkilötietojen käsittelyyn riippumatta siitä, missä rekisterinpitäjä sijaitsee. Yhdysvalloissa toimiva julkaisija, joka palvelee korealaisia käyttäjiä lokalisoidun sivuston kautta, tai ohjelmatauluinen ostaja, joka tekee tarjouksia korealaisesta inventaariosta, kuuluu soveltamisalaan. Tämä alueellinen ulottuvuus on vakiintunut PIPC:n käytännössä ja on vahvistunut useissa täytäntöönpanotoimissa ulkomaisia alustoja vastaan vuodesta 2023 lähtien.

Mitä henkilötiedolla tarkoitetaan

PIPA:n määritelmä on laaja. Henkilötieto sisältää kaikki tiedot elävästä yksilöstä, jotka voivat tunnistaa yksilön joko suoraan tai yhdistettynä muihin tietoihin. PIPC on johdonmukaisesti käsitellyt kaikkia verkkoidentifikaattoreita — evästeitä, mainostunnuksia, IP-osoitteita, laitteen sormenjälkiä ja käyttäytymisprofiileja — henkilötietoina, kun ne voidaan yhdistää yksilöön suoraan tai kohtuullisilla keinoilla.

Arkaluonteinen tieto

Korean lainsäädäntö määrittelee erillisen arkaluonteisen tiedon (민감정보) kategorian, joka laukaisee tiukemmat suostumusvaatimukset. Tähän kuuluvat ideologia, vakaumukset, ammattiliiton tai poliittisen puolueen jäsenyys, poliittiset mielipiteet, terveys, seksuaalielämä, geneettiset tiedot, tunnistamiseen käytetyt biometriset tiedot ja rikoshistoria. Arkaluonteisen tiedon käsittely vaatii erillisen, erityisen suostumuksen — ei kootun suostumuksen, joka voi kattaa tavalliset henkilötiedot.

Yksilöllinen tunnistamistieto

PIPA erottaa lisäkategorian, yksilöllisen tunnistamistiedon (고유식별정보), johon kuuluvat väestörekisterinumerot, passinnumerot, ajoneuvolupanumerot ja ulkomaalaisrekisterinumerot. Näiden käsittely on tiukasti rajoitettu ja yleensä kielletty markkinointi- tai mainostarkoituksiin.

Miksi tällä on merkitystä evästeille

Eväste, joka tallentaa yksinkertaisen istuntotunnisteen, on tavallinen henkilötieto ja kuuluu yleisen suostumusjärjestelmän piiriin. Eväste, joka syöttää yleisösegmenttiä arkaluonteisia kategorioita koskeviin — terveysintressit, poliittiset taipumukset, uskonnolliset kytkökset — ylittää arkaluonteisen tiedon alueen ja vaatii erillisen, erityisen suostumusprosessin. Julkaisijoiden, jotka kohdentavat PIPA:n arkaluonteisten tietojen luetteloon osuvia yleisöjä, ei pidä ajaa näitä segmenttejä yleisen mainossuostumuksen alla.

Evästeen suostumus PIPA:n mukaan vuonna 2026

Etelä-Korea noudattaa tiukkaa opt-in-suostumusmallia. PIPC:n kanta evästeisiin on ollut johdonmukainen ja se on vahvistunut useilla täytäntöönpanopäätöksillä vuosina 2024 ja 2025.

Pätevän suostumuksen viisi osatekijää

PIPA vaatii, että suostumus ei-välttämättömiin evästeisiin ja vastaaviin teknologioihin on:

• Tarkoituskohtainen — yleinen kattava suostumus ei ole pätevä, jokainen käsittelytarkoitus tarvitsee oman suostumuksensa
• Tietoinen — käyttäjän on ymmärrettävä, mitä tietoja kerätään, miksi, kuka ne vastaanottaa ja kuinka pitkäksi aikaa
• Vapaaehtoinen — kieltäytyminen on oltava mahdollista ilman palvelun epäämistä, johon käyttäjällä muuten on oikeus
• Ilmaistu myöntävällä toimella — valmiiksi täpätyt ruudut, implisiittinen suostumus ja vierityssuostumus ovat kaikki pätemättömiä
• Erillinen jokaiselle tarkoituskategorialle — välttämätön, analyyttinen, mainonta, personointi ja rajat ylittävä siirto tarvitsevat kukin erikseen kerätyn suostumuksensa

Miltä vaatimustenmukainen CMP näyttää

Vuonna 2026 korealaiselle liikenteelle konfiguroitu CMP:n tulisi esittää:

• Näkyvä banneri ennen kuin mikään ei-välttämätön eväste käynnistyy, oletusarvoisesti korean kielellä (한국어) korealaisille käyttäjille
• Erilliset Hyväksy-, Hylkää- ja Mukauta-toiminnot yhtäläisellä visuaalisella näkyvyydellä — PIPC on erityisesti maininnut bannerikuviot, joissa Hylkää on vähemmän näkyvä kuin Hyväksy
• Tarkoituskohtaiset tarkkuustason kontrollit, mukaan lukien selkeä valitsin rajat ylittävälle siirrolle
• Erillinen, selvästi merkitty prosessi arkaluonteisen tiedon käsittelyä varten, lukittu oman toimintonsa taakse
• Pysyvä, helposti löydettävä mekanismi suostumuksen peruuttamiseen alkuperäisen valinnan jälkeen
• Koreankielinen tietosuojakäytäntö (개인정보 처리방침) täysine ilmoituksineen

Suostumustietueet

Rekisterinpitäjän on säilytettävä todisteet suostumuksesta — kuka suostui, milloin, mihin, minkä käyttöliittymän kautta. Vietävissä olevat, aikaleimalla varustetut suostumustietueet ovat perusodotustaso, ja puutteelliset suostumustietueet on mainittu useissa PIPC:n täytäntöönpanotoimissa.

Rajat ylittävät siirrot vuoden 2023 muutosten jälkeen

Korean rajat ylittävien siirtojen järjestelmä on uudelleenjärjestetty perusteellisemmin kuin lähes mikään muu vuoden 2023 jälkeinen kansallinen tietosuojapäivitys. Uuden kehyksen ymmärtäminen on yksittäisesti suurin vaatimustenmukaisuusaukko ulkomaisille julkaisijoille vuonna 2026.

Uusi siirtokehys

Muutettu PIPA tarjoaa neljä polkua lailliselle rajat ylittävälle siirrolle:

• PIPC:n kohdemaille tai sektoreille myöntämät riittävyyttä koskevat päätökset
• Ulkomaisen vastaanottajan sertifiointi PIPC:n tunnustamassa sertifiointijärjestelmässä
• PIPC:n hyväksymät vakiosopimukset, jotka toimivat analogisesti GDPR:n vakiosopimuslausekkeiden kanssa
• Rekisteröidyn erillinen nimenomainen suostumus tiettyä siirtoa varten jäännösmekanismina

Miksi tällä on merkitystä

Ennen vuoden 2023 muutoksia suurin osa rajat ylittävistä virroista nojautui neljänteen polkuun — siirtokohtaiseen suostumukseen —, mikä tuotti paksuja, monimutkaisia CMP:eitä ja oli vaikea ylläpitää ohjelmistopinoille. Vuoden 2023 kehys antaa rekisterinpitäjille mahdollisuuden nojautua vakiosopimuksiin tai sertifiointiin, vähentäen suostumuksen taakkaa ja linjautuen kansainvälisen käytännön kanssa. Julkaisijat, jotka eivät ole päivittäneet myyjäsopimuksiaan viittaamaan PIPC:n vakiosopimuksiin, toimivat edelleen oletusarvoisesti vanhan järjestelmän mukaan, mikä on nyt vaatimustenmukaisuusvelka eikä etu.

Käytännön lähestymistapa vuonna 2026

Useimmat ulkomaiset julkaisijat tekevät nyt PIPC:n vakiosopimuksia ulkomaisten käsittelijöidensä kanssa, dokumentoivat siirtomekanismin tietosuojakäytäntöön ja pitävät siirtokohtaisen erillissuostumuksen varasuunnitelmana vain reunatapauksille. Tämä on toteutettavissa, puolustettavissa ja merkittävästi yksinkertaisempaa kuin aiemmin.

Automatisoitu päätöksenteko ja algoritminen läpinäkyvyys

Vuoden 2023 muutokset ottivat käyttöön oikeuden olla olematta täysin automatisoitujen merkittäviä vaikutuksia aiheuttavien päätösten kohteena sekä oikeuden pyytää tällaisten päätösten inhimillistä tarkistusta. Julkaisijoille tämä koskee näkyvimmin algoritmista sisällön kuraattoroita, personoitua hinnoittelua ja kaikkea yleisön kohdentamista, joka tuottaa merkittäviä erilaisia tuloksia.

Ilmoittamisvelvoitteet

Rekisterinpitäjien on ilmoitettava tietosuojakäytännössä, että automatisoitua päätöksentekoa käytetään, kuvattava peruslogiikka ja selitettävä mahdolliset merkittävät vaikutukset. Tämä ei tarkoita omistusoikeudellisten algoritmien paljastamista — mutta se vaatii merkityksellisen selkokielisen yhteenvedon, jonka tyypillinen käyttäjä voi ymmärtää.

Tarkistusoikeus

Merkittävän automatisoidun päätöksen kohteeksi joutuneilla käyttäjillä on oikeus pyytää inhimillistä tarkistusta, korjausta tai selvitystä. Rekisterinpitäjän on tarjottava kanava tätä pyyntöä varten ja vastattava PIPA:n vakioaikataulujen puitteissa.

Rekisteröidyn oikeudet

PIPA myöntää tutun oikeuksien joukon, jota sovelletaan Korean kehyksen kautta:

• Oikeus saada tietoa käsittelystä
• Oikeus tutustua käsiteltyihin tietoihin
• Oikeus korjata virheelliset tiedot
• Oikeus käsittelyn keskeyttämiseen
• Oikeus poistamiseen, kun käsittely ei enää ole perusteltua
• Oikeus peruuttaa suostumus yhtä helposti kuin se annettiin
• Oikeus vastustaa merkittäviä vaikutuksia aiheuttavaa automatisoitua päätöksentekoa
• Oikeus tehdä valitus PIPC:lle

Vastausajat

Rekisterinpitäjien on vastattava useimpiin rekisteröidyn pyyntöihin 10 päivässä, jota voidaan kerran pidentää toisella 10 päivällä ilmoituksella — huomattavasti tiukempi kuin GDPR:n 30 päivän ikkuna. Tämä on yksi yleisimmistä toiminnallisista aukoista ulkomaisilla julkaisijoilla, joilla on tyypillisesti 30 päivän GDPR-rytmiin viritetyt työkalut ja toimintaohjeistukset.

Seuraamukset ja täytäntöönpanoasenne vuonna 2026

PIPC:n täytäntöönpanotoiminta on kiristynyt jyrkästi vuodesta 2023, ja vuosi 2025 on tuottanut joitakin sen historian suurimpia sakkoja — useita niistä ulkomaisia alustoja ja julkaisijoita vastaan.

Hallinnolliset sakot

Vuoden 2023 muutokset nostivat vakavimmista rikkomuksista määrättävien sakkojen enimmäistason jopa 3 prosenttiin kokonaisliikevaihdosta. Alemman tason sakot koskevat suostumukseen, ilmoitukseen, tietoturvaan, tietoturvaloukkausten ilmoittamiseen ja rajat ylittävään siirtoon liittyviä epäonnistumisia. PIPC on ollut halukas käyttämään ylintä tasoa vuonna 2025, mikä ei ollut sen historiallinen malli.

Rikosoikeudellinen vastuu

PIPA sisältää rikosoikeudelliset seuraamukset — mukaan lukien vankeusrangaistuksen — pahimmille rikkomuksille, kuten henkilötietojen laittomalle myymiselle tai tahallisille laajamittaisille tietomurroille. Nämä ovat harvinaisia mutta todellisia ja ne on otettu käyttöön vuoden 2025 tapauksissa.

Täytäntöönpanoteemat

PIPC:n vuoden 2025 toimet keskittyvät toistuviin ongelmiin: puutteelliset tai moniselitteiset suostumusbannererit, rajat ylittävät siirrot ilman pätevää vuoden 2023 jälkeistä mekanismia, puutteellinen tietoturvaloukkausten ilmoittaminen ja epäonnistuminen rekisteröidyn oikeuksien noudattamisessa 10 päivän ikkunassa. Ulkomaiset julkaisijat on mainittu kaikissa neljässä kategoriassa.

Tarkistuslista Korean liikenteelle vuonna 2026

• CMP-banneri esitetään koreaksi (한국어) tasavertaisella visuaalisella näkyvyydellä Hyväksy, Hylkää ja Mukauta -valinnoille
• Suostumuksen tarkoitukset ovat tarkkuustasolla ja arkaluonteisen tiedon käsittely erotetaan oman erityisen suostumusprosessinsa taakse
• Rajat ylittävät siirrot nojaavat PIPC:n vakiosopimukseen, sertifiointiin tai riittävyyteen — ei vanhaan siirtokohtaiseen suostumukseen
• Tietosuojakäytäntö (개인정보 처리방침) on saatavilla koreaksi täydellisillä ilmoituksilla käsittelijöistä, tarkoituksista, säilytysajasta ja oikeuksista, mukaan lukien automaattisen päätöksenteon logiikka tarvittaessa
• Suostumustietueet ovat aikaleimattuja, vietävissä olevia ja säilytetty vähintään käsittelyjakso sekä auditointikelpoisella marginaalilla
• Rekisteröidyn pyyntöjen työnkulku voi vastata 10 päivässä päästä päähän, koreaksi
• Tietoturvaloukkausten ilmoittamista koskeva toimintaohjeistus on viritetty PIPC:n 72 tunnin ikkunaan
• Automatisoitujen päätösten ilmoittaminen on tietosuojakäytännössä, missä merkittäviä päätöksiä tehdään tällaisten järjestelmien avulla
• Myyjäluettelo on tarkastettu tarpeellisuuden osalta ja käyttämättömät tai redundantit myyjät on poistettu

Vuoden 2026 näkymät

Etelä-Korean tietosuojajärjestelmä on kypsytty yhdestä Aasian paperilla tiukimmista kehyksistä yhdeksi maailmanlaajuisesti tiukimmista täytäntöönpanoltaan. Vuoden 2023 muutokset poistivat rakenteelliset esteet, jotka olivat tehneet vaatimustenmukaisuudesta kallista, ja PIPC on käyttänyt sitä seuraavat kaksi vuotta keskittyäkseen lain muiden osien täytäntöönpanoon. Julkaisijoilla, joilla on GDPR-tason suostumuspino, tarvitaan suhteellisen pieniä säätöjä Koreaa varten: koreankielinen CMP ja käytäntö, PIPC:n vakiosopimukset rajat ylittäviä virtoja varten, 10 päivän vastausrytmi ja huolellisuus arkaluonteisten tietojen luettelon kanssa. Julkaisijat, jotka edelleen pitävät Koreaa kevyempänä markkinana, huomaavat 2026 ja 2027 olevan materiaalisesti kalliimpia kuin aiemmat vuodet. Hyvä uutinen on, että kuilu on toiminnallinen, ei arkkitehtoninen, ja se voidaan kuroa umpeen viikoissa, jos se priorisoidaan.