Pietų Korėjos PIPA ir 2025 m. pakeitimai: leidėjų ir reklamuotojų vadovas apie slapukų sutikimą, tarpvalstybinį duomenų perdavimą ir PIPC 2026 m.
Pietų Korėjos Asmens informacijos apsaugos įstatymas (PIPA, 개인정보 보호법) tyliai buvo vienas griežčiausių sutikimo režimų Azijoje nuo tada, kai pirmą kartą įsigaliojo 2011 m. Kas pasikeitė per pastaruosius trejus metus — tai vykdymas. 2023 m. pakeitimai — reikšmingiausias PIPA perrašymas nuo jo įvedimo — įsigaliojo per 2023–2024 m. ir perstrukturavo tarpvalstybinio perdavimo taisykles, automatizuoto sprendimų priėmimo atskleidimą ir sankcijų sistemą. Asmens informacijos apsaugos komisija (PIPC, 개인정보보호위원회) panaudojo 2024–2025 m. išduoti kai kurias didžiausias baudas savo istorijoje, įskaitant kelias prieš užsienio leidėjus ir pasaulines platformas. 2026 m. traktuoti Korėją kaip lengvo reguliavimo rinką nebėra tvari pozicija niekam, kas aptarnauja reikšmingą Korėjos srautą. Šis vadovas apžvelgia, ko iš tikrųjų reikalauja PIPA, ką pakeitė 2023 m. pakeitimai, kaip turi būti sukonfigūruotas slapukų sutikimas ir kaip PIPC šiuo metu vykdo sistemą.
PIPA struktūra po 2023 m. pakeitimų
PIPA yra pagrindinis asmens duomenų įstatymas Pietų Korėjoje, o pataisyta versija yra orientyras kiekvienam leidėjui, veikiančiam nuo 2024 m. Komandos, dirbančios iš iki 2023 m. teksto, žiūri į pasenusią sistemą.
Ką pakeitė 2023 m. pakeitimai
2023 m. pakeitimai įnešė keletą struktūrinių pokyčių:
- Suvienodino duomenų valdytojo pareigas visuose sektoriuose, panaikindami fragmentuotą režimą, kuris anksčiau informacinių ir ryšių paslaugų teikėjus traktavo kitaip nei kiti valdytojai
- Perstrukturavo tarpvalstybinio perdavimo sistemą, pereindami nuo aiškaus sutikimo kiekvienam perdavimui prie tinkamumo ir apsaugos priemonių modelių, artimesnių GDPR modeliui
- Įvedė aiškią teisę nebūti visiškai automatizuotų sprendimų, sukeliančių reikšmingų pasekmių, subjektu, su teise prašyti žmogaus peržiūros
- Sugriežtino privalomą pažeidimo pranešimo terminą iki 72 valandų, suderinant su GDPR standartu
- Padidino administracinių baudų ribą iki iki 3 procentų bendros pajamų už rimtus pažeidimus — dramatiškas padidėjimas nuo ankstesnių limitų, susijusių su pajamomis iš pažeidžiančios veiklos
PIPC vaidmuo
PIPC yra vieninga duomenų apsaugos institucija, turinti įgaliojimus tyrimo, baudų skyrimo, korekcinių įsakymų ir viešo vykdymo sprendimų atskleidimo srityse. Nuo 2023 m. ji veikia kaip Kabineto lygio institucija su iš esmės išplėstais ištekliais ir aiškiai agresyvesne vykdymo pozicija.
Kas yra reguliuojamas
PIPA taikomas bet kokiam Korėjos gyventojų asmens informacijos tvarkymui, nepriklausomai nuo to, kur yra valdytojas. JAV įsikūręs leidėjas, aptarnaujantis Korėjos vartotojus per lokalizuotą svetainę, arba programinis pirkėjas, siūlantis kainą už Korėjos atsargas, patenka į taikymo sritį. Šis ekstrateritorinis taikymas yra gerai įtvirtintas PIPC praktikoje ir buvo patvirtintas keliuose vykdymo veiksmuose prieš užsienio platformas nuo 2023 m.
Kas laikoma asmenine informacija
PIPA apibrėžimas yra platus. Asmens informacija apima bet kokią informaciją apie gyvą asmenį, kuri gali identifikuoti asmenį tiesiogiai arba derinyje su kita informacija. PIPC nuosekliai laikė visą spektrą interneto identifikatorių — slapukų, reklaminių ID, IP adresų, įrenginių pirštų atspaudų ir elgsenos profilių — asmenine informacija, kai jie gali būti susieti su asmeniu tiesiogiai arba pagrįstomis priemonėmis.
Jautri informacija
Korėjos teisė nurodo atskirą jautrios informacijos (민감정보) kategoriją, sukeliančią griežtesnius sutikimo reikalavimus. Tai apima ideologiją, įsitikinimus, priklausymą profesinei sąjungai ar politinei partijai, politines pažiūras, sveikatą, seksualinį gyvenimą, genetinius duomenis, biometrinius duomenis naudojamus identifikacijai ir kriminalinę istoriją. Jautrios informacijos tvarkymas reikalauja atskiro, konkretaus sutikimo — ne sujungto sutikimo, kuris gali apimti įprastą asmeninę informaciją.
Unikalios identifikavimo informacijos
PIPA nustato papildomą kategoriją — unikalią identifikavimo informaciją (고유식별정보), kurią sudaro gyventojų registracijos numeriai, paso numeriai, vairuotojo pažymėjimo numeriai ir užsieniečių registracijos numeriai. Jos tvarkymas yra griežtai apribotas ir paprastai draudžiamas rinkodaros ar reklamos tikslais.
Kodėl tai svarbu slapukams
Slapukas, saugantis paprastą sesijos identifikatorių, yra įprasta asmeninė informacija ir patenka į bendrą sutikimo režimą. Slapukas, kuris maitina auditorijos segmentą, liečiantį jautrias kategorijas — sveikatos interesai, politinės nuostatos, religinė priklausomybė — patenka į jautrios informacijos teritoriją ir reikalauja atskiro, konkretaus sutikimo srauto. Leidėjai, nukreipiantys į auditorijas, besikertančias su PIPA jautriuoju sąrašu, neturėtų vykdyti tų segmentų pagal bendrą reklaminį sutikimą.
Slapukų sutikimas pagal PIPA 2026 m.
Pietų Korėja laikosi griežto pasirinkimo (opt-in) sutikimo modelio. PIPC pozicija dėl slapukų buvo nuosekli ir buvo patvirtinta keliais vykdymo sprendimais per 2024–2025 m.
Penki galiojančio sutikimo elementai
PIPA reikalauja, kad sutikimas dėl nebūtinų slapukų ir panašių technologijų būtų:
- Tikslui specifinis — bendrasis skėtinis sutikimas negalioja, kiekvienam tvarkymo tikslui reikia atskiro sutikimo
- Informuotas — vartotojas turi suprasti, kokie duomenys renkami, kodėl, kas juos gauna ir kiek laiko
- Savanoriškas — atsisakymas turi būti įmanomas neprarandant paslaugos, kurią vartotojas kitu atveju turi teisę gauti
- Išreikštas patvirtinančiu veiksmu — iš anksto pažymėti langeliai, numanomas sutikimas ir slinkimas kaip sutikimas — visi negalioja
- Atskiras kiekvienai tikslo kategorijai — būtinas, analitinis, reklaminis, personalizavimo ir tarpvalstybinis perdavimas kiekvienam reikia atskirai surinkto sutikimo
Kaip atrodo atitinkantis CMP
CMP, sukonfigūruotas Korėjos srautui 2026 m., turėtų pateikti:
- Matomą reklamjuostę prieš aktyvuojant bet kokį nebūtiną slapuką, numatytąją kalbą nustatant korėjiečių (한국어) kalba Korėjos vartotojams
- Atskirus veiksmus Priimti, Atmesti ir Tinkinti su vienodu vizualiniu matomumu — PIPC konkrečiai minėjo reklamjuosčių dizainus, kuriuose Atmesti yra mažiau matoma nei Priimti
- Granuliuotus valdiklius pagal tikslą, įskaitant aiškų jungiklį tarpvalstybiniam perdavimui
- Atskirą, aiškiai pažymėtą srautą jautrios informacijos tvarkymui, užrakintą už savo veiksmo
- Nuolatinį, lengvai randamą mechanizmą sutikimui atšaukti po pradinio pasirinkimo
- Korėjiečių kalba parašytą privatumo politiką (개인정보 처리방침) su visais atskleidimais
Sutikimo įrašai
Valdytojas turi saugoti sutikimo įrodymus — kas sutiko, kada, dėl ko, per kokią sąsają. Eksportuojami, laiko žymomis pažymėti sutikimo žurnalai yra bazinis lūkestis, o netinkami sutikimo įrašai buvo minimi keliuose PIPC vykdymo veiksmuose.
Tarpvalstybiniai perdavimai po 2023 m. pakeitimų
Korėjos tarpvalstybinio perdavimo režimas buvo perstruktūruotas išsamiau nei beveik bet kuris kitas nacionalinis privatumo atnaujinimas po 2023 m. Naujos sistemos supratimas yra didžiausias atitikties atotrūkis užsienio leidėjams 2026 m.
Nauja perdavimo sistema
Pataisytas PIPA numato keturis teisėto tarpvalstybinio perdavimo kelius:
- PIPC išduoti tinkamumo sprendimai tikslinėms šalims ar sektoriams
- Sertifikavimas užsienio gavėjo pagal PIPC pripažintą sertifikavimo schemą
- PIPC patvirtintos standartinės sutartys, veikiančios analogiškai GDPR standartinėms sutarčių sąlygoms
- Atskiras aiškus sutikimas iš duomenų subjekto konkrečiam perdavimui, kaip liekamasis mechanizmas
Kodėl tai svarbu
Prieš 2023 m. pakeitimus dauguma tarpvalstybinių srautų rėmėsi ketvirtuoju keliu — sutikimu kiekvienam perdavimui — kuris sukūrė storus, sudėtingus CMP ir buvo sunku prižiūrėti programiniams stekalams. 2023 m. sistema leidžia valdytojams remtis standartinėmis sutartimis arba sertifikavimu, sumažinant sutikimo naštą ir suderinant su tarptautine praktika. Leidėjai, neatnaujinę tiekėjų sutarčių nuoroda į PIPC standartines sutartis, pagal nutylėjimą vis dar veikia pagal seną režimą, kuris dabar yra atitikties įsipareigojimas, o ne turtas.
Praktinis 2026 m. požiūris
Dauguma užsienio leidėjų dabar vykdo PIPC standartines sutartis su savo užsienio procesoriais, dokumentuoja perdavimo mechanizmą privatumo politikoje ir laiko atskirą sutikimą kiekvienam perdavimui tik atsarginiu variantu kraštutiniais atvejais. Tai įgyvendinama, ginama ir iš esmės paprastesnė nei buvo anksčiau.
Automatizuotas sprendimų priėmimas ir algoritminis skaidrumas
2023 m. pakeitimai įvedė teisę nebūti visiškai automatizuotų sprendimų, sukeliančių reikšmingų pasekmių, subjektu ir teisę prašyti žmogaus peržiūros tokiems sprendimams. Leidėjams tai labiausiai matoma algoritminio turinio kuravimo, personalizuotos kainodaros ir bet kokio auditorijos nukreipimo, sukeliančio reikšmingus diferencinius rezultatus, atžvilgiu.
Atskleidimo pareigos
Valdytojai privatumo politikoje turi atskleisti, kad naudojamas automatizuotas sprendimų priėmimas, apibūdinti pagrindinę logiką ir paaiškinti galimas reikšmingas pasekmes. Tai nereiškia nuosavybinių algoritmų atskleidimo — tačiau reikalauja prasmingos paprastos kalbos santraukos, kurią tipinis vartotojas galėtų suprasti.
Peržiūros teisė
Vartotojai, paveikti reikšmingo automatizuoto sprendimo, gali prašyti žmogaus peržiūros, pataisymo arba paaiškinimo. Valdytojas turi pateikti kanalą šiam prašymui ir atsakyti per standartines PIPA terminų ribas.
Duomenų subjektų teisės
PIPA suteikia pažįstamų teisių grupę, taikomą per Korėjos sistemą:
- Teisė būti informuotam apie tvarkymą
- Teisė susipažinti su tvarkomais duomenimis
- Teisė ištaisyti netikslius duomenis
- Teisė sustabdyti tvarkymą
- Teisė ištrinti, kai tvarkymas nebėra pagrįstas
- Teisė atšaukti sutikimą taip pat lengvai, kaip jis buvo suteiktas
- Teisė prieštarauti automatizuotam sprendimų priėmimui, sukeliančiam reikšmingų pasekmių
- Teisė skųstis PIPC
Atsakymo terminai
Valdytojai turi atsakyti į daugumą duomenų subjektų prašymų per 10 dienų, vieną kartą pratęsiamų dar 10 dienų su pranešimu — žymiai griežčiau nei GDPR 30 dienų langas. Tai vienas dažniausių veiklos trūkumų užsienio leidėjams, kurie paprastai turi įrankius ir instrukcijas, suderintus su 30 dienų GDPR ritmu.
Sankcijos ir vykdymo pozicija 2026 m.
PIPC vykdymo veikla sparčiai didėjo nuo 2023 m., o 2025 m. buvo išduotos kai kurios didžiausios baudos jos istorijoje — kelios iš jų prieš užsienio platformas ir leidėjus.
Administracinės baudos
2023 m. pakeitimai pakėlė aukščiausią baudos lygį iki iki 3 procentų bendros pajamų už rimčiausius pažeidimus. Žemesnio lygio baudos taikomos už nepakankamą sutikimą, pranešimą, duomenų saugumą, pažeidimo pranešimą ir tarpvalstybinį perdavimą. PIPC buvo pasirengusi naudoti aukščiausią lygį 2025 m., o tai nebuvo jos istorinis modelis.
Baudžiamoji atsakomybė
PIPA numato baudžiamąsias sankcijas — įskaitant įkalinimą — už rimčiausius pažeidimus, tokius kaip neteisėtas asmens informacijos pardavimas ar tyčinis didelio masto pažeidimas. Tai reta, bet realu ir buvo taikyta 2025 m. bylose.
Vykdymo temos
PIPC 2025 m. veiksmai susitelkia aplink pasikartojančias problemas: netinkamos arba dviprasmiškos sutikimo reklamjuostės, tarpvalstybiniai perdavimai be galiojančio po 2023 m. mechanizmo, nepakankamas pažeidimo pranešimas ir nesugebėjimas gerbti duomenų subjektų teisių per 10 dienų langą. Užsienio leidėjai buvo minimi visose keturiose kategorijose.
Audito kontrolinis sąrašas Korėjos srautui 2026 m.
- CMP reklamjuostė rodoma korėjiečių kalba (한국어) su vienodu vizualiniu matomumu Priimti, Atmesti ir Tinkinti
- Sutikimo tikslai yra granuliuoti ir bet koks jautrios informacijos tvarkymas atskiriamas už savo konkretaus sutikimo srauto
- Tarpvalstybiniai perdavimai grindžiami PIPC standartine sutartimi, sertifikavimu arba tinkamumu — ne pasenusiu sutikimu kiekvienam perdavimui
- Privatumo politika (개인정보 처리방침) prieinama korėjiečių kalba su visais procesorių, tikslų, saugojimo ir teisių atskleidimais, įskaitant automatizuoto sprendimų priėmimo logiką, jei taikytina
- Sutikimo žurnalai yra su laiko žymomis, eksportuojami ir saugomi bent tvarkymo trukmę plius audituojamą paraštę
- Duomenų subjektų prašymų darbo eiga gali atsakyti per 10 dienų nuo pradžios iki pabaigos, korėjiečių kalba
- Pažeidimų pranešimo vadovas suderintas su PIPC 72 valandų langu
- Automatizuoto sprendimų priėmimo atskleidimai yra privatumo politikoje, kur priimami reikšmingi sprendimai naudojant tokias sistemas
- Tiekėjų sąrašas buvo peržiūrėtas dėl būtinybės, pašalinant nenaudojamus arba perteklinius tiekėjus
2026 m. perspektyva
Pietų Korėjos privatumo režimas subrendino nuo vienos iš griežtesnių-popieriuje sistemų Azijoje iki vieno iš griežtesnių-vykdyme režimų pasauliniu mastu. 2023 m. pakeitimai pašalino struktūrinius blokatorius, dėl kurių atitiktis buvo brangi, o PIPC per dvejus praėjusius metus sutelkė dėmesį į likusios įstatymo dalies vykdymą. Leidėjai, turintys GDPR lygio sutikimo storą, norint būti pasiruošusiems Korėjai reikia palyginti nedidelių koregavimų: korėjiečių kalbos CMP ir politika, PIPC standartinės sutartys tarpvalstybiniams srautams, 10 dienų atsakymo ritmas ir dėmesys jautrios informacijos sąrašui. Leidėjai, vis dar traktuojantys Korėją kaip lengvesnę rinką, 2026–2027 m. ras iš esmės brangesnius metus nei ankstesnieji. Gera žinia ta, kad atotrūkis yra operacinis, o ne architektūrinis, ir gali būti uždarytas per kelias savaites, jei bus prioritetizuotas.