PIPA struktūra pēc 2023. gada grozījumiem

PIPA ir galvenais personas datu likums Dienvidkorejā, un grozītā versija ir atsauces punkts katram izdevējam, kas darbojas no 2024. gada. Komandas, kas strādā ar pirms 2023. gada tekstu, skatās uz novecojušu regulējumu.

Ko 2023. gada grozījumi mainīja

2023. gada grozījumi veica vairākas strukturālas izmaiņas:

• Apvienoja datu pārziņu pienākumus visos sektoros, novēršot sadrumstaloto regulējumu, kas agrāk atšķirīgi traktēja informācijas un komunikāciju pakalpojumu sniedzējus salīdzinājumā ar citiem pārziņiem
• Pārstrukturēja pārrobežu pārsūtīšanas regulējumu, pārejot no nepārprotamas piekrišanas katram pārsūtījumam uz atbilstības un aizsardzības pasākumu modeļiem, kas ir tuvāki GDPR modelim
• Ieviesa skaidras tiesības nebūt pakļautam pilnībā automatizētiem lēmumiem, kas rada nozīmīgas sekas, ar tiesībām pieprasīt cilvēka pārskatīšanu
• Sašaurināja obligāto pārkāpumu paziņošanas termiņu līdz 72 stundām, atbilstoši GDPR standartam
• Paaugstināja administratīvo naudassodu griestus līdz 3 procentiem no kopējiem ieņēmumiem par smagiem pārkāpumiem — dramatisks pieaugums salīdzinājumā ar agrākajiem ierobežojumiem, kas bija saistīti ar ieņēmumiem no pārkāpuma darbības

PIPC loma

PIPC ir vienotā datu aizsardzības iestāde ar pilnvarām, kas aptver izmeklēšanu, naudassodu uzlikšanu, koriģējošos rīkojumus un izpildes lēmumu publisko atklāšanu. Kopš 2023. gada tā darbojas kā Ministru kabineta līmeņa struktūra ar būtiski paplašinātiem resursiem un acīmredzami agresīvāku izpildes nostāju.

Kam piemēro regulējumu

PIPA attiecas uz jebkādu Korejas iedzīvotāju personas informācijas apstrādi neatkarīgi no tā, kur atrodas pārzinis. ASV izdevējs, kas apkalpo Korejas lietotājus caur lokalizētu vietni, vai programmatiskais pircējs, kas piedāvā solījumus par Korejas inventāru, ir regulējuma darbības jomā. Šī eksteritoriālā darbība ir labi nostiprināta PIPC praksē un ir apstiprināta vairākās izpildes darbībās pret ārvalstu platformām kopš 2023. gada.

Kas tiek uzskatīts par personas informāciju

PIPA definīcija ir plaša. Personas informācija ietver jebkādu informāciju par dzīvu personu, kas var identificēt šo personu vai nu tieši, vai arī apvienojumā ar citu informāciju. PIPC konsekventi uzskata plašu tiešsaistes identifikatoru klāstu — sīkfailus, reklāmu ID, IP adreses, ierīču nospiedumus un uzvedības profilus — par personas informāciju, ja tos var saistīt ar personu tieši vai ar saprātīgiem līdzekļiem.

Sensitīvā informācija

Korejas likums nosaka atsevišķu sensitīvās informācijas (민감정보) kategoriju, kas pieprasa stingrākas piekrišanas prasības. Tā ietver ideoloģiju, uzskatus, dalību arodbiedrībā vai politiskajā partijā, politiskos uzskatus, veselību, seksuālo dzīvi, ģenētiskos datus, biometriskos datus, ko izmanto identifikācijai, un kriminālvēsturi. Sensitīvās informācijas apstrādei nepieciešama atsevišķa, specifiska piekrišana — nevis apvienotā piekrišana, kas varētu aptvert parasto personas informāciju.

Unikālās identifikācijas informācija

PIPA izceļ papildu kategoriju, unikālās identifikācijas informāciju (고유식별정보), kas ietver iedzīvotāju reģistrācijas numurus, pases numurus, vadītāja apliecību numurus un ārzemnieku reģistrācijas numurus. Šīs informācijas apstrāde ir stingri ierobežota un parasti aizliegta mārketinga vai reklāmas nolūkos.

Kāpēc tas ir svarīgi sīkfailiem

Sīkfails, kas glabā vienkāršu sesijas identifikatoru, ir parasta personas informācija un ietilpst vispārējā piekrišanas regulējumā. Sīkfails, kas baro auditorijas segmentu, kas skar sensitīvās kategorijas — veselības intereses, politiskās tendences, reliģiskās piederības — šķērso sensitīvās informācijas robežu un prasa atsevišķu, specifisku piekrišanas plūsmu. Izdevēji, kas mērķē auditorijas, kas pārklājas ar PIPA sensitīvo sarakstu, nedrīkst šos segmentus darbināt ar vispārēju reklāmas piekrišanu.

Sīkfailu piekrišana saskaņā ar PIPA 2026. gadā

Dienvidkoreja ievēro stingru opt-in piekrišanas modeli. PIPC nostāja attiecībā uz sīkfailiem ir bijusi konsekventa un tika apstiprināta vairākos izpildes lēmumos 2024. un 2025. gadā.

Pieci derīgas piekrišanas elementi

PIPA pieprasa, lai piekrišana nebūtiskiem sīkfailiem un līdzīgām tehnoloģijām būtu:

• Specifiska mērķim — vispārēja lielapjoma piekrišana nav derīga, katram apstrādes mērķim nepieciešama sava piekrišana
• Informēta — lietotājam jāsaprot, kādi dati tiek vākti, kāpēc, kas tos saņem un cik ilgi
• Brīvprātīga — atteikumam jābūt iespējamam, neliegot pakalpojumu, uz kuru lietotājam citādi ir tiesības
• Izteikta ar apstiprinošu darbību — iepriekš atzīmētas izvēles rūtiņas, netiešā piekrišana un ritināšana kā piekrišana ir nederīgas
• Atsevišķa katrai mērķa kategorijai — būtiskie, analītikas, reklāmas, personalizācijas un pārrobežu pārsūtīšanas mērķi katrs prasa savu atsevišķi savāktu piekrišanu

Kā izskatās atbilstošs CMP

CMP, kas konfigurēts Korejas datplūsmai 2026. gadā, jāparāda:

• Redzams banneris pirms jebkura nebūtiska sīkfaila aktivizēšanas, noklusējumā korejiešu valodā (한국어) Korejas lietotājiem
• Atsevišķas Pieņemt, Noraidīt un Pielāgot darbības ar vienādu vizuālo nozīmīgumu — PIPC ir īpaši norādījis banneru dizainus, kuros Noraidīt ir mazāk pamanāms nekā Pieņemt
• Detalizētas vadīklas katram mērķim, tostarp nepārprotams pārslēgs pārrobežu pārsūtīšanai
• Atsevišķa, skaidri marķēta plūsma sensitīvās informācijas apstrādei, kas aizsargāta aiz savas darbības
• Pastāvīgs, viegli atrodams mehānisms piekrišanas atsaukšanai pēc sākotnējās izvēles
• Korejas valodas privātuma politika (개인정보 처리방침) ar pilnīgu informācijas atklāšanu

Piekrišanas ieraksti

Pārzinim jāuztur piekrišanas pierādījumi — kas piekrita, kad, kam, caur kādu saskarni. Eksportējami, ar laika zīmogu versijas piekrišanas žurnāli ir pamatgaidījums, un nepietiekami piekrišanas ieraksti ir minēti vairākās PIPC izpildes darbībās.

Pārrobežu pārsūtīšana pēc 2023. gada grozījumiem

Korejas pārrobežu pārsūtīšanas regulējums ir pārstrukturēts rūpīgāk nekā gandrīz jebkurš cits nacionālais privātuma atjauninājums pēc 2023. gada. Jaunā regulējuma izpratne ir vienīgā lielākā atbilstības nepilnība ārvalstu izdevējiem 2026. gadā.

Jaunais pārsūtīšanas regulējums

Grozītā PIPA paredz četrus ceļus likumīgai pārrobežu pārsūtīšanai:

• Atbilstības lēmumi, ko izdevusi PIPC par galamērķa valstīm vai sektoriem
• Sertifikācija ārvalstu saņēmējam saskaņā ar PIPC atzītu sertifikācijas shēmu
• Standarta līgumi, ko apstiprinājis PIPC un kas darbojas analoģiski GDPR standarta līguma klauzulām
• Atsevišķa nepārprotama piekrišana no datu subjekta konkrētam pārsūtījumam kā atlikušais mehānisms

Kāpēc tas ir svarīgi

Pirms 2023. gada grozījumiem lielākā daļa pārrobežu plūsmu balstījās uz ceturto ceļu — piekrišana katram pārsūtījumam — kas radīja biezus, sarežģītus CMP un bija grūti uzturams programmatiskiem stekam. 2023. gada regulējums ļauj pārziņiem paļauties uz standarta līgumiem vai sertifikāciju, samazinot piekrišanas slogu un saskaņojoties ar starptautisko praksi. Izdevēji, kas nav atjauninājuši savus pārdevēju līgumus, lai atsauktos uz PIPC standarta līgumiem, joprojām pēc noklusējuma darbojas saskaņā ar veco regulējumu, kas tagad ir atbilstības risks, nevis priekšrocība.

Praktiskā 2026. gada pieeja

Lielākā daļa ārvalstu izdevēju tagad noslēdz PIPC standarta līgumus ar saviem ārvalstu apstrādātājiem, dokumentē pārsūtīšanas mehānismu privātuma politikā un patur atsevišķu piekrišanu katram pārsūtījumam kā rezerves variantu tikai ārkārtējiem gadījumiem. Tas ir izpildāms, tas ir aizstāvams un tas ir jēgpilni vienkāršāks nekā iepriekšējais.

Automatizēta lēmumu pieņemšana un algoritmiskā pārredzamība

2023. gada grozījumi ieviesa tiesības nebūt pakļautam pilnībā automatizētiem lēmumiem, kas rada nozīmīgas sekas, un tiesības pieprasīt šādu lēmumu cilvēka pārskatīšanu. Izdevējiem tas visredzamāk attiecas uz algoritmisko satura kurēšanu, personalizētu cenu noteikšanu un jebkādu auditorijas mērķēšanu, kas rada nozīmīgus diferenciālos rezultātus.

Informēšanas pienākumi

Pārziņiem privātuma politikā jāatklāj, ka tiek izmantota automatizēta lēmumu pieņemšana, jāapraksta pamata loģika un jāizskaidro potenciālās nozīmīgās sekas. Tas nenozīmē patentētu algoritmu atklāšanu — bet tas prasa jēgpilnu vienkāršā valodā rakstītu kopsavilkumu, ko varētu saprast parasts lietotājs.

Pārskatīšanas tiesības

Lietotāji, kurus skar nozīmīgs automatizēts lēmums, var pieprasīt cilvēka pārskatīšanu, korekciju vai paskaidrojumu. Pārzinim jānodrošina kanāls šim pieprasījumam un jāatbild standarta PIPA termiņos.

Datu subjektu tiesības

PIPA piešķir pazīstamo tiesību kopumu, ko piemēro Korejas regulējuma ietvaros:

• Tiesības tikt informētam par apstrādi
• Tiesības piekļūt apstrādātajiem datiem
• Tiesības labot neprecīzus datus
• Tiesības apturēt apstrādi
• Tiesības uz dzēšanu, ja apstrāde vairs nav pamatota
• Tiesības atsaukt piekrišanu tikpat viegli, kā tā tika dota
• Tiesības iebilst pret automatizētu lēmumu pieņemšanu, kas rada nozīmīgas sekas
• Tiesības iesniegt sūdzību PIPC

Atbildes termiņi

Pārziņiem uz lielāko daļu datu subjektu pieprasījumu jāatbild 10 dienu laikā, ar iespēju vienreiz pagarināt par vēl 10 dienām ar paziņojumu — ievērojami stingrāk nekā GDPR 30 dienu termiņš. Tas ir viens no biežākajiem operacionālajiem trūkumiem ārvalstu izdevējiem, kuriem parasti ir rīki un procedūras, kas pielāgotas 30 dienu GDPR ritmam.

Sodi un izpildes nostāja 2026. gadā

PIPC izpildes aktivitāte ir strauji pieaugusi kopš 2023. gada, un 2025. gadā tika uzlikti daži no lielākajiem naudassodiem tās vēsturē — vairāki no tiem pret ārvalstu platformām un izdevējiem.

Administratīvie naudassodi

2023. gada grozījumi paaugstināja augstākā naudassoda līmeni līdz 3 procentiem no kopējiem ieņēmumiem par vissmagākajiem pārkāpumiem. Zemāka līmeņa naudassodi attiecas uz pārkāpumiem saistībā ar piekrišanu, paziņojumu, datu drošību, pārkāpumu paziņošanu un pārrobežu pārsūtīšanu. PIPC 2025. gadā ir bijusi gatava izmantot augstāko līmeni, kas nebija tās vēsturiskais modelis.

Kriminālatbildība

PIPA paredz kriminālsodus — tostarp ieslodzījumu — par visnopietnākajiem pārkāpumiem, piemēram, nelikumīgu personas informācijas pārdošanu vai tīšu liela mēroga pārkāpumu. Tie ir reti, bet reāli, un 2025. gada lietās tie tika piemēroti.

Izpildes tēmas

PIPC 2025. gada darbības koncentrējas ap atkārtotām problēmām: nepietiekami vai neskaidri piekrišanas banneri, pārrobežu pārsūtīšana bez derīga pēc-2023. gada mehānisma, nepietiekama pārkāpumu paziņošana un nespēja ievērot datu subjektu tiesības 10 dienu termiņā. Ārvalstu izdevēji ir minēti visās četrās kategorijās.

Audita kontrolsaraksts Korejas datplūsmai 2026. gadā

• CMP banneris tiek apkalpots korejiešu valodā (한국어) ar Pieņemt, Noraidīt un Pielāgot ar vienādu vizuālo nozīmīgumu
• Piekrišanas mērķi ir detalizēti un atdala jebkādu sensitīvās informācijas apstrādi aiz savas specifiskās piekrišanas plūsmas
• Pārrobežu pārsūtīšana balstās uz PIPC standarta līgumu, sertifikāciju vai atbilstību — ne uz mantoto piekrišanu katram pārsūtījumam
• Privātuma politika (개인정보 처리방침) ir pieejama korejiešu valodā ar pilnīgu apstrādātāju, mērķu, saglabāšanas un tiesību atklāšanu, tostarp automatizētas lēmumu pieņemšanas loģiku, ja piemērojams
• Piekrišanas žurnāli ir ar laika zīmogu, eksportējami un saglabāti vismaz apstrādes periodu plus auditējamu rezervi
• Datu subjektu pieprasījumu darbplūsma spēj atbildēt 10 dienu laikā no gala līdz galam, korejiešu valodā
• Pārkāpumu paziņošanas procedūra ir pielāgota PIPC 72 stundu logam
• Automatizētas lēmumu pieņemšanas atklājumi ir privātuma politikā tur, kur nozīmīgi lēmumi tiek pieņemti, izmantojot šādas sistēmas
• Pārdevēju saraksts ir pārskatīts attiecībā uz nepieciešamību, un neizmantoti vai lieki pārdevēji ir noņemti

2026. gada perspektīva

Dienvidkorejas privātuma regulējums ir attīstījies no viena no stingrākajiem uz papīra regulējumiem Āzijā uz vienu no stingrākajiem izpildes regulējumiem pasaulē. 2023. gada grozījumi novērsa strukturālos šķēršļus, kas bija padarījuši atbilstību dārgu, un PIPC ir izmantojis divus gadus kopš tam, lai koncentrētos uz pārējā likuma izpildi. Izdevēji ar GDPR līmeņa piekrišanas steku vajag salīdzinoši nelielus pielāgojumus, lai būtu gatavi Korejai: korejiešu valodas CMP un politika, PIPC standarta līgumi pārrobežu plūsmām, 10 dienu atbildes ritms un uzmanība sensitīvās informācijas sarakstam. Izdevēji, kas joprojām uzskata Koreju par vieglāku tirgu, atklās, ka 2026. un 2027. gads ir būtiski dārgāks nekā iepriekšējie gadi. Labā ziņa ir tā, ka plaisa ir operacionāla, nevis arhitektoniska, un var tikt novērsta nedēļu laikā, ja tiek noteikta prioritāte.