Struktura PIPA-e nakon izmjena iz 2023.

PIPA je primarni zakon o osobnim podacima u Južnoj Koreji, a izmijenjeni tekst referentna je točka za svakog izdavača koji posluje od 2024. nadalje. Timovi koji rade na temelju teksta prije 2023. gledaju zastarjeli okvir.

Što su izmjene iz 2023. promijenile

Izmjene iz 2023. donijele su nekoliko strukturnih promjena:

• Ujednačene su obveze voditelja obrade u svim sektorima, uklanjanjem fragmentiranog sustava koji je prethodno drukčije tretirao pružatelje usluga informacijskog društva od ostalih voditelja obrade
• Prestrukturiran je okvir prekograničnih prijenosa kako bi se odmakao od izričitog pristanka po prijenosu prema modelima primjerenosti i zaštitnih mjera bližih modelu GDPR-a
• Uvedeno je jasno pravo na to da se ne bude podvrgnut potpuno automatiziranim odlukama koje proizvode značajne učinke, uz pravo zahtijevanja ljudskog pregleda
• Skraćen je obvezni rok obavješćivanja o povredi na 72 sata, usklađen sa standardom GDPR-a
• Podignut je strop administrativnih novčanih kazni na do 3 posto ukupnog prihoda za teška kršenja — dramatično povećanje u odnosu na ranija ograničenja vezana uz prihode od aktivnosti koja je dovela do kršenja

Uloga PIPC-a

PIPC je jedinstveno tijelo za zaštitu podataka, s ovlastima koje obuhvaćaju istrage, izricanje novčanih kazni, korektivne naloge i javno objavljivanje odluka o provedbi. Od 2023. djeluje kao tijelo na razini Kabineta sa znatno proširenim resursima i vidljivo agresivnijim stavom prema provedbi.

Tko je reguliran

PIPA se primjenjuje na svaku obradu osobnih podataka korejskih stanovnika, bez obzira na to gdje se voditelj obrade nalazi. Američki издavač koji korejskim korisnicima pruža usluge putem lokaliziranog web-mjesta, ili programatski kupac koji nudi ponude na korejski inventar, nalazi se u području primjene. Taj eksteritorijalani doseg dobro je uspostavljen u praksi PIPC-a i potvrđen je u više provedbenih mjera protiv stranih platformi od 2023.

Što se smatra osobnim podatkom

Definicija PIPA-e je široka. Osobni podaci uključuju sve informacije o živoj osobi kojima se može identificirati ta osoba, izravno ili u kombinaciji s drugim informacijama. PIPC je dosljedno tretirao cjelokupni raspon online identifikatora — kolačiće, oglasne identifikatore, IP adrese, otiske prsta uređaja i ponašajne profile — kao osobne podatke kada se mogu vezati uz osobu izravno ili razumnim sredstvima.

Osjetljivi podaci

Korejsko pravo utvrđuje posebnu kategoriju osjetljivih podataka (민감정보) koja pokreće strože zahtjeve za pristanak. To uključuje ideologiju, uvjerenja, članstvo u sindikatu ili političkoj stranci, politička mišljenja, zdravlje, seksualni život, genetske podatke, biometrijske podatke koji se koriste za identifikaciju i kaznenu povijest. Obrada osjetljivih podataka zahtijeva zaseban, specifičan pristanak — ne skupni pristanak koji bi mogao obuhvaćati obične osobne podatke.

Jedinstveni identifikacijski podaci

PIPA izdvaja dodatnu kategoriju, jedinstvene identifikacijske podatke (고유식별정보), koji uključuju brojeve upisa u registar stanovnika, brojeve putovnica, brojeve vozačkih dozvola i brojeve za registraciju stranaca. Obrada ovih podataka strogo je ograničena i uglavnom zabranjena u marketinške ili oglašivačke svrhe.

Zašto je to važno za kolačiće

Kolačić koji pohranjuje jednostavni identifikator sesije obični je osobni podatak i potpada pod opći sustav pristanka. Kolačić koji napaja segment publike koji se tiče osjetljivih kategorija — zdravstveni interesi, politička uvjerenja, vjerske veze — ulazi na teritorij osjetljivih podataka i zahtijeva odvojeni, specifični tijek pristanka. Izdavači koji ciljaju publike koje se preklapaju s popisom osjetljivih podataka PIPA-e ne bi trebali pokretati te segmente pod općim oglašivačkim pristankom.

Pristanak na kolačiće prema PIPA-i u 2026.

Južna Koreja slijedi strogi model pristanka na temelju opt-ina. Stav PIPC-a prema kolačićima bio je dosljedan i potvrđen je s više provedbenih odluka u 2024. i 2025.

Pet elemenata valjanog pristanka

PIPA zahtijeva da pristanak na nebitne kolačiće i slične tehnologije bude:

• Specifičan za svrhu — opći sveobuhvatni pristanak nije valjan, svaka svrha obrade treba vlastiti pristanak
• Informiran — korisnik mora razumjeti koji se podaci prikupljaju, zašto, tko ih prima i koliko dugo
• Dobrovoljan — odbijanje mora biti moguće bez uskraćivanja usluge na koju korisnik inače ima pravo
• Izražen afirmativnom radnjom — unaprijed označeni okviri, prešutni pristanak i pristanak pomicanjem stranice sve su nevaljani
• Zaseban za svaku kategoriju svrhe — bitni, analitički, oglašivački, personalizacijski i prekogranični prijenosi svaki trebaju vlastiti zasebno prikupljeni pristanak

Kako izgleda sukladna CMP

CMP konfiguriran za korejski promet u 2026. trebao bi prikazati:

• Vidljivi natpis prije aktiviranja bilo kojeg nebitnog kolačića, zadano na korejskom (한국어) za korejske korisnike
• Zasebne radnje Prihvati, Odbij i Prilagodi jednakom vizualnom istaknutošću — PIPC je posebno naveo dizajne natpisa gdje je Odbij manje vidljiv od Prihvati
• Granularne kontrole po svrsi, uključujući izričiti prekidač za prekogranični prijenos
• Zasebni, jasno označeni tijek za obradu osjetljivih podataka, zatvoren iza vlastite radnje
• Trajni, lako pronađivi mehanizam za povlačenje pristanka nakon početnog izbora
• Politiku privatnosti na korejskom jeziku (개인정보 처리방침) s potpunim otkrivanjima

Evidencija pristanka

Voditelj obrade mora čuvati dokaze o pristanku — tko je pristao, kada, na što, putem kojeg sučelja. Izvozni, vremenski označeni dnevnici pristanka osnovna su razina očekivanja, a neadekvatna evidencija pristanka navedena je u nekoliko provedbenih mjera PIPC-a.

Prekogranični prijenosi nakon izmjena iz 2023.

Korejski prekogranični sustav prijenosa prestrukturiran je temeljitije nego gotovo svako drugo nacionalno ažuriranje zaštite privatnosti nakon 2023. Razumijevanje novog okvira najveći je pojedinačni nedostatak usklađenosti za strane izdavače u 2026.

Novi okvir prijenosa

Izmijenjena PIPA predviđa četiri puta za legitimni prekogranični prijenos:

• Odluke o primjerenosti koje je PIPC izdao za odredišne zemlje ili sektore
• Certifikacija inozemnog primatelja prema certifikacijskom programu koji je PIPC priznao
• Standardni ugovori odobreni od strane PIPC-a, koji funkcioniraju analogno standardnim ugovornim klauzulama GDPR-a
• Zasebni izričiti pristanak ispitanika za specifičan prijenos, kao rezidualni mehanizam

Zašto je to važno

Prije izmjena iz 2023., većina prekograničnih tokova oslanjala se na četvrti put — pristanak po prijenosu — što je rezultiralo debelim, složenim CMP-ovima i teško održivim za programatske snopove. Okvir iz 2023. omogućava voditeljima obrade da se oslone na standardne ugovore ili certifikaciju, smanjujući teret pristanka i usklađujući se s međunarodnom praksom. Izdavači koji nisu ažurirali svoje ugovore s dobavljačima kako bi upućivali na standardne ugovore PIPC-a i dalje prema zadanim postavkama posluju prema starom sustavu, što je sada obveza usklađenosti, a ne prednost.

Praktični pristup u 2026.

Većina stranih izdavača sada sklapa standardne ugovore PIPC-a sa svojim inozemnim izvršiteljima obrade, dokumentira mehanizam prijenosa u politici privatnosti i čuva zasebni pristanak po prijenosu samo kao rezervnu opciju za rubne slučajeve. To je izvedivo, obranjivo i znatno jednostavnije nego što je bilo prije.

Automatizirano donošenje odluka i algoritmička transparentnost

Izmjene iz 2023. uvele su pravo da se ne bude podvrgnut potpuno automatiziranim odlukama koje proizvode značajne učinke, te pravo zahtijevanja ljudskog pregleda takvih odluka. Za izdavače, to se najvidljivije primjenjuje na algoritmičko kuriranje sadržaja, personalizirano određivanje cijena i svako ciljanje publike koje proizvodi značajne diferencijalne ishode.

Obveze otkrivanja

Voditelji obrade moraju u politici privatnosti otkriti da se koristi automatizirano donošenje odluka, opisati temeljnu logiku i objasniti potencijalne značajne učinke. To ne znači otkrivanje vlasničkih algoritama — ali zahtijeva smisleni sažetak na razumljivom jeziku koji može razumjeti tipičan korisnik.

Pravo na pregled

Korisnici pogođeni značajnom automatiziranom odlukom mogu zahtijevati ljudski pregled, ispravak ili objašnjenje. Voditelj obrade mora osigurati kanal za taj zahtjev i odgovoriti u standardnim vremenskim rokovima PIPA-e.

Prava ispitanika

PIPA dodjeljuje poznati skup prava, primijenjenih kroz korejski okvir:

• Pravo na obaviještenost o obradi
• Pravo pristupa obrađenim podacima
• Pravo na ispravak netočnih podataka
• Pravo na obustavu obrade
• Pravo na brisanje kada obrada više nije opravdana
• Pravo na povlačenje pristanka jednako lako kao što je dan
• Pravo na prigovor automatiziranom donošenju odluka koje proizvodi značajne učinke
• Pravo na pritužbu PIPC-u

Rokovi odgovora

Voditelji obrade moraju odgovoriti na većinu zahtjeva ispitanika u roku od 10 dana, što se može jednom produžiti za još 10 dana uz obavijest — znatno uže od 30-dnevnog prozora GDPR-a. To je jedan od češćih operativnih nedostataka stranih izdavača, koji obično imaju alate i priručnike podešene prema 30-dnevnom ritmu GDPR-a.

Kazne i provedbeni stav u 2026.

Provedbena aktivnost PIPC-a naglo je eskalirala od 2023., a 2025. je rezultirala nekim od najvećih novčanih kazni u njezinoj povijesti — nekoliko od njih protiv stranih platformi i izdavača.

Administrativne novčane kazne

Izmjene iz 2023. podigle su gornju razinu novčanih kazni na do 3 posto ukupnog prihoda za najozbiljnija kršenja. Niže razine novčanih kazni primjenjuju se za propuste oko pristanka, obavijesti, sigurnosti podataka, obavješćivanja o povredi i prekograničnih prijenosa. PIPC je bio voljan koristiti gornju razinu u 2025., što nije bio njegov povijesni obrazac.

Kaznena odgovornost

PIPA predviđa kaznene sankcije — uključujući zatvorsku kaznu — za najtežia kršenja, kao što su nezakonita prodaja osobnih podataka ili namjerne povrede u velikom opsegu. One su rijetke, ali stvarne, i primijenjene su u slučajevima iz 2025.

Provedbene teme

Mjere PIPC-a iz 2025. grupiraju se oko ponavljajućih problema: neadekvatni ili dvosmisleni natpisi za pristanak, prekogranični prijenosi bez valjanog mehanizma nakon 2023., nedovoljno obavješćivanje o povredi i nepoštivanje prava ispitanika unutar 10-dnevnog prozora. Strani izdavači navedeni su u sve četiri kategorije.

Popis za provjeru revizije za korejski promet u 2026.

• Natpis CMP-a prikazuje se na korejskom (한국어) s Prihvati, Odbij i Prilagodi na jednakoj vizualnoj istaknutosti
• Svrhe pristanka su granularne i odvajaju svaku obradu osjetljivih podataka iza vlastitog specifičnog tijeka pristanka
• Prekogranični prijenosi oslanjaju se na standardni ugovor PIPC-a, certifikaciju ili primjerenost — ne na nasljedni pristanak po prijenosu
• Politika privatnosti (개인정보 처리방침) dostupna je na korejskom s potpunim otkrivanjima o izvršiteljima obrade, svrhama, pohrani i pravima, uključujući logiku automatiziranog donošenja odluka gdje je primjenjivo
• Dnevnici pristanka su vremenski označeni, izvozni i čuvaju se najmanje tijekom trajanja obrade uz revizijsku marginu
• Tijek obrade zahtjeva ispitanika može odgovoriti u roku od 10 dana od kraja do kraja, na korejskom
• Priručnik za obavješćivanje o povredama podešen je prema 72-satnom prozoru PIPC-a
• Otkrivanja automatiziranog donošenja odluka nalaze se u politici privatnosti gdje se donose značajne odluke pomoću takvih sustava
• Popis dobavljača pregledan je zbog nužnosti, s uklanjanjem nekorištenih ili suvišnih dobavljača

Izgledi za 2026.

Korejski sustav zaštite privatnosti sazrio je s jednog od strožih-na-papiru okvira u Aziji na jedan od strožih-u-provedbi sustava na globalnoj razini. Izmjene iz 2023. uklonile su strukturne prepreke koje su učinile usklađenost skupom, a PIPC je koristio dvije godine od tada za fokusiranje na provedbu ostatka zakona. Издavači koji imaju skup pristanka razine GDPR-a trebaju relativno male prilagodbe kako bi bili spremni za Koreju: CMP i politika na korejskom jeziku, standardni ugovori PIPC-a za prekogranične tokove, 10-dnevni ritam odgovora i pažnja prema popisu osjetljivih podataka. Izdavači koji Koreju i dalje tretiraju kao lakše tržište naći će da su 2026. i 2027. materijalno skuplje od prethodnih godina. Dobra vijest je da je jaz operativni, a ne arhitektonski, i može se zatvoriti u tjednima ako se prioritizira.