A PIPA szerkezete a 2023-as módosítások után

A PIPA Dél-Korea elsődleges személyes adatokra vonatkozó jogszabálya, és a módosított változat az irányadó minden 2024-től működő kiadó számára. Azok a csapatok, amelyek a 2023 előtti szöveget használják, elavult keretrendszert látnak.

Mit változtattak a 2023-as módosítások

A 2023-as módosítások több strukturális változtatást vezettek be:

• Egységesítették az adatkezelők kötelezettségeit minden ágazatban, megszüntetve a töredékes rendszert, amely korábban az információs és kommunikációs szolgáltatókat eltérően kezelte a többi adatkezelőtől
• Átalakították a határon átnyúló adattovábbítási keretrendszert, eltávolodva az adattovábbításonkénti kifejezett hozzájárulástól a megfelelőségi és biztosítéki minták felé, közelítve a GDPR-modellhez
• Bevezették a jogot arra, hogy ne legyünk alávetve a jelentős hatásokat kiváltó, teljesen automatizált döntéseknek, emberi felülvizsgálat kérésének jogával együtt
• Szigorították a kötelező adatbiztonsági incidens-bejelentési határidőt 72 órára, igazodva a GDPR szabványhoz
• A közigazgatási bírságok felső korlátját az összes bevétel legfeljebb 3 százalékára emelték súlyos jogsértések esetén – ez drámai növekedés a korábbi, a jogsértő tevékenységből származó bevételhez kötött korlátokhoz képest

A PIPC szerepe

A PIPC az egységes adatvédelmi hatóság, amelynek hatásköre kiterjed a vizsgálatra, bírságkiszabásra, korrekciós utasításokra és a végrehajtási döntések nyilvános közzétételére. 2023 óta miniszteri szintű szervként működik, érdemben bővített erőforrásokkal és láthatóan agresszívabb végrehajtási hozzáállással.

Kire vonatkozik a szabályozás

A PIPA alkalmazandó a koreai állampolgárok személyes adatainak bármely kezelésére, függetlenül az adatkezelő tartózkodási helyétől. Egy amerikai székhelyű kiadó, aki lokalizált oldalon keresztül koreai felhasználókat szolgál ki, vagy egy programmatic vevő, aki koreai készletre licitál, hatáskör alá esik. Ezt az extraterritoriális hatályt a PIPC gyakorlata jól megalapozta, és több végrehajtási intézkedésben megerősítette külföldi platformokkal szemben 2023 óta.

Mi minősül személyes adatnak

A PIPA meghatározása tág. A személyes adat magában foglal minden olyan élő személyre vonatkozó információt, amely alapján az egyén közvetlenül vagy más adatokkal kombinálva azonosítható. A PIPC következetesen személyes adatként kezelte az online azonosítók teljes körét – cookie-kat, reklám-azonosítókat, IP-címeket, eszköz ujjlenyomatokat és viselkedési profilokat –, ha azok közvetlenül vagy ésszerű eszközökkel egy személyhez köthetők.

Különleges adatok

A koreai jog meghatároz egy külön kategóriát, az ún. különleges adatokat (민감정보), amelyek szigorúbb hozzájárulási követelményeket vonnak maguk után. Ez magában foglalja az ideológiát, a vallási meggyőződést, a szakszervezeti vagy párttagságot, a politikai véleményt, az egészségi állapotot, a szexuális életet, a genetikai adatokat, az azonosításra használt biometrikus adatokat és a büntetési előzményeket. A különleges adatok kezelése külön, egyedi hozzájárulást igényel – nem az összevont hozzájárulást, amely az általános személyes adatokra vonatkozhat.

Egyedi azonosítási adatok

A PIPA egy további kategóriát is meghatároz, az ún. egyedi azonosítási adatokat (고유식별정보), amelyek magukban foglalják a lakóhelyi nyilvántartási számokat, útlevélszámokat, jogosítványszámokat és külföldi nyilvántartási számokat. Ezek kezelése szigorúan korlátozott, és általában tilos marketing vagy reklámozási célokra.

Miért fontos ez a cookie-k szempontjából

Egy egyszerű munkamenet-azonosítót tároló cookie általános személyes adat, és az általános hozzájárulási rendszer alá esik. Egy olyan cookie, amely különleges kategóriákat érintő közönségszegmenst táplál – egészségügyi érdeklődés, politikai beállítottság, vallási hovatartozás –, átlép a különleges adatok területére, és külön, egyedi hozzájárulási folyamatot igényel. Azoknak a kiadóknak, akik a PIPA különleges listájával átfedő közönségeket céloznak meg, nem szabad ezeket a szegmenseket általános reklámhozzájárulás alapján futtatni.

Cookie-hozzájárulás a PIPA alapján 2026-ban

Dél-Korea szigorú opt-in hozzájárulási modellt követ. A PIPC cookie-kra vonatkozó álláspontja következetes, és több végrehajtási döntés erősítette meg 2024-ben és 2025-ben.

Az érvényes hozzájárulás öt eleme

A PIPA szerint a nem alapvető cookie-khoz és hasonló technológiákhoz szükséges hozzájárulásnak a következőknek kell megfelelnie:

• Célspecifikus – az általános, összefoglaló hozzájárulás érvénytelen, minden feldolgozási célhoz saját hozzájárulás szükséges
• Tájékoztatáson alapuló – a felhasználónak értenie kell, milyen adatokat gyűjtenek, miért, ki kapja meg, és meddig
• Önkéntes – az elutasításnak lehetségesnek kell lennie anélkül, hogy a felhasználót megtagadnák egy olyan szolgáltatástól, amelyre egyébként jogosult
• Aktív cselekvéssel kifejezett – az előre bejelölt jelölőnégyzetek, a hallgatólagos hozzájárulás és a görgetés-mint-hozzájárulás mind érvénytelen
• Célkategóriánként külön – az alapvető, analitikai, reklám, személyre szabási és határon átnyúló adattovábbítási célokhoz mindegyiknek saját, külön gyűjtött hozzájárulás szükséges

Hogyan néz ki egy megfelelő CMP

A koreai forgalomra 2026-ban beállított CMP-nek a következőket kell megjelenítenie:

• Látható banner minden nem alapvető cookie elindítása előtt, koreai (한국어) alapértelmezéssel koreai felhasználók számára
• Külön elfogadás, elutasítás és testreszabás gombok egyenlő vizuális kiemelkedéssel – a PIPC konkrétan hivatkozott olyan banner-tervekre, ahol az elutasítás kevésbé látható az elfogadásnál
• Részletes vezérlők célonként, beleértve a határon átnyúló adattovábbítás kifejezett kapcsolóját
• Külön, egyértelműen megjelölt folyamat a különleges adatok kezelésére, saját művelet mögé zárva
• Tartós, könnyen megtalálható mechanizmus a hozzájárulás visszavonásához a kezdeti döntés után
• Koreai nyelvű adatvédelmi tájékoztató (개인정보 처리방침) teljes közzétételekkel

Hozzájárulási nyilvántartások

Az adatkezelőnek meg kell őriznie a hozzájárulás bizonyítékát – ki járult hozzá, mikor, mihez, milyen felületen keresztül. Az exportálható, időbélyegzős hozzájárulási naplók az alap elvárást jelentik, és a nem megfelelő hozzájárulási nyilvántartásokat több PIPC végrehajtási intézkedésben megjelölték.

Határon átnyúló adattovábbítások a 2023-as módosítások után

Korea határon átnyúló adattovábbítási rendszerét alaposabban átalakították, mint szinte bármely más 2023 utáni nemzeti adatvédelmi frissítést. Az új keretrendszer megértése a legnagyobb megfelelési hiányosság a külföldi kiadók számára 2026-ban.

Az új adattovábbítási keretrendszer

A módosított PIPA négy útvonalat biztosít a jogszerű határon átnyúló adattovábbításhoz:

• A PIPC által kiadott megfelelőségi határozatok célországokra vagy szektorokra
• A tengerentúli fogadó fél tanúsítása a PIPC által elismert tanúsítási rendszer keretében
• A PIPC által jóváhagyott standard szerződések, amelyek a GDPR standard szerződési záradékokhoz hasonlóan működnek
• Az érintett adott adattovábbításra vonatkozó külön kifejezett hozzájárulása, maradék mechanizmusként

Miért fontos ez

A 2023-as módosítások előtt a legtöbb határon átnyúló adatáramlás a negyedik útvonalra – az adattovábbításonkénti hozzájárulásra – támaszkodott, ami bonyolult CMP-ket hozott létre, és nehéz volt fenntartani programmatic stackeknél. A 2023-as keretrendszer lehetővé teszi, hogy az adatkezelők standard szerződésekre vagy tanúsítványra támaszkodjanak, csökkentve a hozzájárulási terhet és igazodva a nemzetközi gyakorlathoz. Azok a kiadók, akik nem frissítették szállítói szerződéseiket a PIPC standard szerződések hivatkozásával, alapértelmezetten még mindig a régi rendszer alatt működnek, ami most megfelelési kötelezettség helyett terheléssé vált.

A gyakorlati 2026-os megközelítés

A legtöbb külföldi kiadó most PIPC standard szerződéseket köt tengerentúli adatfeldolgozóival, dokumentálja az adattovábbítási mechanizmust az adatvédelmi tájékoztatóban, és a különálló-hozzájárulás-adattovábbításonként megközelítést csak szélső esetekben tartja fenn. Ez kivitelezhető, védhető, és érdemben egyszerűbb, mint ami korábban volt.

Automatizált döntéshozatal és algoritmikus átláthatóság

A 2023-as módosítások bevezették a jogot, hogy ne legyünk alávetve a jelentős hatásokat kiváltó, teljesen automatizált döntéseknek, és a jogot arra, hogy ilyen döntések emberi felülvizsgálatát kérjük. A kiadók számára ez leginkább az algoritmikus tartalomkurálásra, a személyre szabott árazásra és minden olyan közönségcélzásra vonatkozik, amely jelentős differenciált eredményeket produkál.

Közzétételi kötelezettségek

Az adatkezelőknek az adatvédelmi tájékoztatóban fel kell tüntetniük, hogy automatizált döntéshozatalt alkalmaznak, le kell írniuk az alapvető logikát, és el kell magyarázniuk a potenciális jelentős hatásokat. Ez nem jelenti a saját algoritmusok felfedését – de megkövetel egy értelmes, egyszerű nyelvű összefoglalót, amelyet egy tipikus felhasználó megérthet.

A felülvizsgálati jog

A jelentős automatizált döntés által érintett felhasználók kérhetnek emberi felülvizsgálatot, korrekciót vagy magyarázatot. Az adatkezelőnek biztosítania kell egy csatornát erre a kérésre, és válaszolnia kell a PIPA szabványos határidőin belül.

Érintetti jogok

A PIPA a koreai keretrendszeren belül alkalmazott jogok megszokott csoportját biztosítja:

• Jog az adatkezelésről való tájékoztatáshoz
• Hozzáférési jog a kezelt adatokhoz
• Pontatlan adatok helyesbítéséhez való jog
• Az adatkezelés felfüggesztéséhez való jog
• Törléshez való jog, ha az adatkezelés már nem indokolt
• A hozzájárulás visszavonásának joga ugyanolyan könnyen, ahogy megadták
• Jog tiltakozni a jelentős hatásokat kiváltó automatizált döntéshozatal ellen
• Panasz benyújtásának joga a PIPC-hez

Válaszadási határidők

Az adatkezelőknek a legtöbb érintetti kérésre 10 napon belül kell válaszolniuk, amely egyszer meghosszabbítható további 10 nappal értesítéssel – ez lényegesen szigorúbb, mint a GDPR 30 napos ablaka. Ez az egyik leggyakoribb működési hiányosság a külföldi kiadóknál, akiknek általában a 30 napos GDPR-ütemezésre hangolt eszközeik és folyamataik vannak.

Szankciók és végrehajtási hozzáállás 2026-ban

A PIPC végrehajtási tevékenysége 2023 óta meredeken fokozódott, és 2025 valaha kiszabott legnagyobb bírságait hozta – amelyek közül több külföldi platformok és kiadók ellen irányult.

Közigazgatási bírságok

A 2023-as módosítások a legsúlyosabb jogsértések esetén a legmagasabb bírságot az összes bevétel legfeljebb 3 százalékára emelték. Alacsonyabb szintű bírságok vonatkoznak a hozzájárulással, értesítéssel, adatbiztonsággal, az adatbiztonsági incidens bejelentésével és a határon átnyúló adattovábbítással kapcsolatos mulasztásokra. A PIPC 2025-ben hajlandó volt alkalmazni a legmagasabb szintet, ami korábban nem volt jellemző rá.

Büntetőjogi felelősség

A PIPA büntetőjogi szankciókat – beleértve a szabadságvesztést – tartalmaz a legsúlyosabb jogsértésekre, mint például a személyes adatok jogtalan értékesítése vagy szándékos, nagy léptékű adatsértések. Ezek ritkák, de valósak, és 2025-ös ügyekben alkalmazták őket.

Végrehajtási témák

A PIPC 2025-ös intézkedései visszatérő problémák köré csoportosulnak: nem megfelelő vagy kétértelmű hozzájárulási bannerek, határon átnyúló adattovábbítások érvényes 2023 utáni mechanizmus nélkül, nem megfelelő adatbiztonsági incidens bejelentés, és a 10 napos határidőn belüli érintetti jogok teljesítésének elmulasztása. Külföldi kiadókat mind a négy kategóriában megjelöltek.

Audit-ellenőrzőlista koreai forgalomhoz 2026-ban

• A CMP banner koreai (한국어) nyelven jelenik meg, az elfogadás, elutasítás és testreszabás egyenlő vizuális kiemelkedéssel
• A hozzájárulási célok részletesek, és minden különleges adatkezelési folyamatot saját specifikus hozzájárulási folyamat mögé zárnak
• A határon átnyúló adattovábbítások PIPC standard szerződésen, tanúsítványon vagy megfelelőségen alapulnak – nem az örökölt adattovábbításonkénti hozzájáruláson
• Az adatvédelmi tájékoztató (개인정보 처리방침) elérhető koreaiul az adatfeldolgozók, célok, megőrzési idők és jogok teljes közzétételével, beleértve az automatizált döntéshozatali logikát is, ahol alkalmazandó
• A hozzájárulási naplók időbélyegzősek, exportálhatók, és legalább a kezelési időtartam plusz egy auditálható margó erejéig megőrzöttek
• Az érintetti kérelmek munkafolyamata képes 10 napon belül, koreai nyelven válaszolni
• Az adatbiztonsági incidens bejelentési folyamat a 72 órás PIPC ablakhoz van hangolva
• Az automatizált döntéshozatali közzétételek az adatvédelmi tájékoztatóban szerepelnek, ahol ilyen rendszerekkel hoznak jelentős döntéseket
• A szállítói listát felülvizsgálták a szükségesség szempontjából, és a nem használt vagy redundáns szállítókat eltávolították

A 2026-os kilátások

Dél-Korea adatvédelmi rendszere az Ázsia egyik papíron szigorúbb keretrendszeréből a globálisan egyik szigorúbban érvényesített rendszerré érett. A 2023-as módosítások eltávolították azokat a strukturális akadályokat, amelyek korábban drágává tették a megfelelést, és a PIPC az azóta eltelt két évet a törvény többi részének végrehajtására összpontosítva használta. A GDPR szintű hozzájárulási stackkel rendelkező kiadóknak viszonylag kis kiigazításokra van szükségük ahhoz, hogy Korea-készek legyenek: koreai nyelvű CMP és tájékoztató, PIPC standard szerződések a határon átnyúló adatáramlásokhoz, a 10 napos válaszadási ütemezés és az érzékeny adatok listájával való gondosság. Azok a kiadók, akik Koreát még mindig könnyebb piacnak tekintik, 2026-ban és 2027-ben lényegesen drágábbnak találják majd a helyzetet a korábbi éveknél. A jó hír az, hogy a rés működési, nem architekturális jellegű, és heteken belül bezárható, ha prioritást kap.