Uppbygging PIPA eftir breytingarnar 2023

PIPA er aðallöggjöf um persónuupplýsingar í Suður-Kóreu og breytta útgáfan er viðmiðunarpunkturinn fyrir alla útgefendur sem starfa frá 2024 og áfram. Teymi sem vinna af texta fyrir 2023 eru að skoða gamaldags ramma.

Hvað breytingarnar 2023 breyttu

Breytingarnar 2023 gerðu nokkrar uppbyggilegar breytingar:

• Sameina skyldur gagnavinnsluaðila þvert á allar geirnar, og fjarlægðu brotakennt kerfi sem áður meðhöndlaði veitendur upplýsinga- og samskiptaþjónustu öðruvísi en aðra vinnsluaðila
• Endurskipulagðu ramma milliríkjaflutninga til að fjara undan skýru samþykki-per-flutning í átt að kerfum sem byggjast á fullnægi og öryggisráðstöfunum nær GDPR-líkaninu
• Kynntu skýran rétt til að ekki vera undirgefinn fullsjálfvirkum ákvörðunum sem hafa mikil áhrif, með rétt til að óska eftir mannlegu endurskoðun
• Þrengdu skyldulegt tilkynningarglugga um brot í 72 klst., í samræmi við GDPR-staðalinn
• Hækkuðu þak stjórnvaldssekta í allt að 3 prósent af heildartekjum fyrir alvarleg brot — dramatísk hækkun frá fyrri mörkum sem tengdust tekjum af hinum brotlega starfsemi

Hlutverk PIPC

PIPC er sameinað persónuverndarstofnun, með vald sem nær yfir rannsóknir, sektarálagningu, leiðréttingarpantanir og opinbera birtingu framfylgniákvarðana. Frá 2023 hefur hún starfað sem ráðherranefnd á stigi með þýðingarmikið aukin úrræði og sýnilega árásargjarnari framfylgnistefnu.

Hverjir falla undir reglurnar

PIPA á við um alla vinnslu persónuupplýsinga kóreska íbúa, óháð staðsetningu vinnsluaðila. Útgefandi með aðsetur í Bandaríkjunum sem þjónar kóreska notendum í gegnum staðbundna síðu, eða forritanlegur kaupandi sem býður í kóreskt birgðir, er í gildissviði. Þetta yfirlandslægt gildissvið er vel þekkt í framkvæmd PIPC og hefur verið styrkt í mörgum framfylgniráðstöfunum gegn erlendum pöllum frá 2023.

Hvað telst sem persónuupplýsingar

Skilgreining PIPA er víð. Persónuupplýsingar fela í sér allar upplýsingar um lifandi einstakling sem geta auðkennt einstakling, annað hvort beint eða með samsetningu við aðrar upplýsingar. PIPC hefur stöðugt meðhöndlað allt úrval netskilríkja — kökur, auglýsingaauðkenni, IP-tölur, fingraför tækja og hegðunarsniðmát — sem persónuupplýsingar þegar hægt er að tengja þær við einstakling beint eða með eðlilegar leiðir.

Viðkvæmar upplýsingar

Kóreski löggjöfin tilgreinir sérgreinda flokk af viðkvæmum upplýsingum (민감정보) sem kallar á strangari samþykkiskröfur. Þetta felur í sér hugmyndafræði, trúarskoðanir, aðild að verkalýðsfélagi eða stjórnmálaflokki, stjórnmálaskoðanir, heilsu, kynlíf, erfðafræðilegar gögn, lífrænar einstaklingslægar gögn sem notuð eru til auðkenningar og sakasögu. Vinnsla viðkvæmra upplýsinga krefst sérstaks, sérhæfs samþykkis — ekki bundinnar samþykkis sem kann að ná yfir venjulegar persónuupplýsingar.

Einkvæmt auðkenningarupplýsingar

PIPA skilgreinir viðbótarflokk, einkvæmar auðkenningarupplýsingar (고유식별정보), sem felur í sér íbúaskráningarnúmer, vegabréfanúmer, ökuskilríki og númer útlendingaskráningar. Vinnsla þessara er stranglega takmörkuð og almennt bönnuð í markaðssetningu eða auglýsingastarfsemi.

Af hverju þetta skiptir máli fyrir kökur

Kaka sem geymir einfalt setauðkenni er venjulegar persónuupplýsingar og fellur undir almennt samþykkiskerfi. Kaka sem fyllir áhorfendasegment sem snertir viðkvæmar flokka — heilsuhagsmunir, pólitískar skoðanir, trúarlegar tengsl — fer yfir í svæði viðkvæmra upplýsinga og krefst sérstakrar, sérhæfðrar samþykktarflæðis. Útgefendur sem beinast að áhorfendum sem skarast við viðkvæman lista PIPA ættu ekki að reka þá hluta undir almennu auglýsingarsamþykki.

Samþykki fyrir kökum samkvæmt PIPA árið 2026

Suður-Kórea fylgir ströngu opt-in samþykkilíkani. Afstaða PIPC um kökur hefur verið stöðug og hefur verið styrkt með mörgum framfylgniákvörðunum á árunum 2024 og 2025.

Fimm þáttar gildrar samþykkis

PIPA krefst þess að samþykki fyrir ótilnefndum kökum og svipuðum tækni sé:

• Sérstakt fyrir tilgangi — almennt regnhlífarsamþykki er ekki gilt, hver vinnsluformál þarfnast eigin samþykki
• Upplýst — notandinn verður að skilja hvaða gögn eru safnað, af hverju, hverjir fá þau og hversu lengi
• Sjálfviljugur — hafna verður mögulegt án þess að neita þjónustu sem notandinn á annars rétt á
• Tjáð með staðfestingarathöfn — fyrrmerkt gátreitir, óbein samþykki og fletting-sem-samþykki eru öll ógild
• Aðskilið fyrir hvern tilgangaflokk — nauðsynlegar, greiningar, auglýsinga-, sérsniðnar og milliríkjaflutninga samþykki þurfa hvert sitt sérsafnað samþykki

Hvernig samhæft CMP lítur út

CMP sem er stillt fyrir kóreska umferð árið 2026 á að sýna:

• Sýnilegt borða áður en einhver ótilnefnd kaka kemur af stað, sjálfgefið á kóresku (한국어) fyrir kóreska notendur
• Aðskildar Samþykkja, Hafna og Aðlaga aðgerðir með jafnt sjónrænt áberandi — PIPC hefur sérstaklega nefnt borðahönnun þar sem Hafna er minna sýnilegur en Samþykkja
• Nákvæmar stillingar per tilgangi, þar á meðal skýr rofi fyrir milliríkjaflutninga
• Aðskilin, skýrt merkt flæði fyrir vinnslu viðkvæmra upplýsinga, læst á bak við eigin aðgerð
• Varanlegt, auðfundið kerfi til að afturkalla samþykki eftir upphaflegu vali
• Persónuverndarstefna á kóresku (개인정보 처리방침) með fullum upplýsingum

Samþykktarskrár

Vinnsluaðili verður að halda sönnunargögnum fyrir samþykki — hverjir samþykktu, hvenær, hvað, í gegnum hvaða viðmót. Exporteranlegar, tímasettar samþykktarskrár eru grunnkröfur og ófullnægjandi samþykktarskrár hafa verið nefndar í nokkrum framfylgniráðstöfunum PIPC.

Milliríkjaflutninga eftir breytingarnar 2023

Kerfi milliríkjaflutninga Kóreu hefur verið endurskipulagt þolinmæðar en nokkrar aðrar persónuvernaruppfærslur eftir 2023 á þjóðarlegum grunni. Að skilja nýja rammann er stærsta samræmisgapið fyrir erlenda útgefendur árið 2026.

Nýi flutningsramminn

Breytta PIPA gefur fjórar leiðir fyrir löglegan milliríkjaflutninga:

• Fullnægiályktanir gefnar út af PIPC fyrir viðtökulönd eða geira
• Vottun erlendra viðtakanda undir PIPC-viðurkenndu vottunarkerfi
• Staðlaðir samningar samþykktir af PIPC, sem virka hliðstætt GDPR-stöðluðum samningsskilmálum
• Sérstakt skýrt samþykki frá gagnaefninu fyrir tiltekna flutninga, sem leifarmóttökumechansíma

Af hverju þetta skiptir máli

Fyrir breytingarnar 2023 reiddu flestar milliríkjastraumar sig á fjórðu leiðina — samþykki per flutninga — sem framleiddi þykkar, flóknar CMP og var erfitt að viðhalda fyrir forritanlegar staflar. Ramminn 2023 gerir vinnsluaðilum kleift að reiða sig á staðlaða samninga eða vottun, minnka samþykkisbyrgðina og samræma sig alþjóðlegri framkvæmd. Útgefendur sem hafa ekki uppfært sölusamtykissamning sína til að vísa til PIPC-staðlaðra samninga eru enn að starfa undir gamla kerfinu að sjálfgefnu, sem er nú samræmisskylda frekar en eign.

Hagnýta nálgunin 2026

Flestir erlendir útgefendur eru nú að framkvæma PIPC-staðlaða samninga með erlendum vinnsluaðilum sínum, skrásetja flutningsmekanísma í persónuverndarstefnuna og halda sérstakt-samþykki-per-flutninga sem varaúrræði eingöngu fyrir jaðartilfelli. Þetta er framkvæmanlegt, varanlegt og þýðingarmiklu einfaldara en það sem var á undan.

Sjálfvirk ákvarðanataka og reiknirit gegnsæi

Breytingarnar 2023 kynntu rétt til að vera ekki undirgefinn fullsjálfvirkum ákvörðunum sem hafa mikil áhrif, og rétt til að óska eftir mannlegri endurskoðun slíkra ákvarðana. Fyrir útgefendur á þetta sjálfgefið við um reikniritslegar efnisskipulag, sérsniðna verðlagningu og hvers konar markhópsmiðun sem framleiðir veruleg mismunandi niðurstöður.

Upplýsingagjafarskyldur

Vinnsluaðilar verða að birta í persónuverndarstefnunni að sjálfvirk ákvarðanataka sé notuð, lýsa grunnrökfræðinni og útskýra mögulegar miklu áhrif. Þetta þýðir ekki að birta sér reikniritslegar — en það krefst þýðingarmikils, einfaldrar máls samantekt sem venjulegur notandi gæti skilið.

Rétturinn til endurskoðunar

Notendur sem verða fyrir áhrifum af umtalsverðri sjálfvirkri ákvörðun geta farið fram á mannlega endurskoðun, leiðréttingu eða skýringu. Vinnsluaðili verður að bjóða upp á rás fyrir þessa beiðni og svara innan staðlaðra PIPA-tímaramma.

Réttindi gagnagrunnseininga

PIPA veitir þekktan hóp réttinda, beitt í gegnum kóreska rammann:

• Réttur til að vera upplýstur um vinnslu
• Aðgangsréttur að vinnslugögnum
• Réttur til leiðréttingar á röngum gögnum
• Réttur til stöðvunar vinnslu
• Réttur til eyðingar þar sem vinnsla er ekki lengur réttlætt
• Réttur til að afturkalla samþykki jafn auðveldlega og það var gefið
• Réttur til að andmæla sjálfvirkri ákvarðanatöku sem hefur mikil áhrif
• Réttur til að kvarta til PIPC

Svarfrestur

Vinnsluaðilar verða að svara flestum gagnaefnisbeiðnum innan 10 daga, hægt er að framlengja einu sinni um 10 daga til viðbótar með tilkynningu — verulega strangara en 30-daga glugginn GDPR. Þetta er eitt af algengustu rekstrarslitum fyrir erlenda útgefendur, sem hafa venjulega verkfæri og ferlilýsingar stilltar á 30-daga GDPR-tímasetninguna.

Viðurlög og framfylgniafstaða árið 2026

Framfylgnistarfsemi PIPC hefur aukist hraðlega frá 2023 og 2025 framleiddi sumar stærstu sektarnar í sögu hennar — nokkrar þeirra gegn erlendum pöllum og útgefendum.

Stjórnvaldssektir

Breytingarnar 2023 hækkuðu efsta sektarmarið í allt að 3 prósent af heildartekjum fyrir alvarlegust brot. Lægri stig sektir eiga við um vanrækslu í kringum samþykki, tilkynningu, öryggi gagna, tilkynningu um brot og milliríkjaflutninga. PIPC var tilbúin til að nota efsta stigið árið 2025, sem var ekki sögulegur mynstur hennar.

Refsiábyrgð

PIPA felur í sér refsiviðurlög — þar á meðal fangelsi — fyrir mestu brot, svo sem ólöglega sölu persónuupplýsinga eða vísvitandi stórtækar brot. Þetta eru sjaldgæf en raunveruleg og hafa verið beitt í málum 2025.

Framfylgniþemu

Aðgerðir PIPC 2025 safnast saman í kringum endurtekin vandamál: ófullnægjandi eða óljósar samþykkisborðar, milliríkjaflutninga án gildrar mekanísma eftir 2023, ófullnægjandi brotilkynningu og mistakist að virða réttindi gagnaefna innan 10-daga gluggans. Erlendir útgefendur hafa verið nefndir í öllum fjórum flokkum.

Endurskoðunarlisti fyrir kóreska umferð árið 2026

• CMP borði er þjónaður á kóresku (한국어) með Samþykkja, Hafna og Aðlaga með jöfnum sjónrænum áberandi
• Samþykkistilgangar eru nákvæmur og aðskilja hvers konar vinnslu viðkvæmra upplýsinga á bak við eigin sérstakt samþykkisflæði
• Milliríkjaflutninga reiða sig á PIPC-staðlaðan samning, vottun eða fullnægi — ekki á arfleifar samþykki per flutninga
• Persónuverndarstefna (개인정보 처리방침) er tiltæk á kóresku með fullum upplýsingum um vinnsluaðila, tilgang, varðveislu og réttindi, þar á meðal reikniritslegar ákvarðanatakurökfræði þar sem við á
• Samþykktarskrár eru tímasettar, exportanlegar og varðveittar í að minnsta kosti vinnslukeimur að viðbættu auditanlegu framlegð
• Verkferlar gagnaefnisbeiðni geta svarað innan 10 daga frá upphafi til enda, á kóresku
• Brotilkynningarhandbók er stillt á 72-klst. PIPC-gluggann
• Uppljóstranir um sjálfvirka ákvarðanatöku eru í persónuverndarstefnunni þar sem mikilvægar ákvarðanir eru teknar með slíkum kerfum
• Sölumannalisti hefur verið endurskoðaður með tilliti til nauðsynja, með ónotaðar eða afrituðar seljendum fjarlægðar

Horfurnar 2026

Persónuverndarlegt kerfi Suður-Kóreu hefur þroskast frá einum af strangari-á-pappír ramma í Asíu í einn af strangari-í-framfylgni kerfa á heimsvísu. Breytingarnar 2023 fjarlægðu uppbyggileg hindrunin sem hafði gert samræmi dýrt og PIPC hefur notað tvö árin síðan til að einbeita sér að framfylgni annarra hluta laganna. Útgefendur með GDPR-gæða samþykktarstafl þarfnast tiltölulega lítilla breytinga til að vera Korea-tilbúnir: CMP og stefna á kóresku, PIPC-staðlaðir samningar fyrir milliríkjastraumar, 10-daga svarfresturinn og umhyggja með viðkvæman upplýsingalista. Útgefendur sem eru enn að meðhöndla Kóreu sem léttara markað munu finna 2026 og 2027 verulega dýrara en fyrri ár. Góðu fréttirnar eru þær að bilið er rekstrarlegt, ekki arkítektúrlegt, og hægt er að loka því á vikum ef forgangsraðað er.