De Structuur van de PIPA na de Wijzigingen van 2023

De PIPA is de primaire wet voor persoonsgegevens in Zuid-Korea, en de gewijzigde versie is het referentiepunt voor elke uitgever die vanaf 2024 actief is. Teams die werken met de tekst van vóór 2023 werken met een verouderd kader.

Wat de Wijzigingen van 2023 Veranderden

De wijzigingen van 2023 brachten verschillende structurele veranderingen:

• Verenigden de verplichtingen van de verwerkingsverantwoordelijke in alle sectoren, waardoor het gefragmenteerde regime werd afgeschaft dat aanbieders van informatie- en communicatiediensten eerder anders behandelde dan andere verwerkingsverantwoordelijken
• Herstructureerden het kader voor grensoverschrijdende overdrachten om over te stappen van expliciete toestemming per overdracht naar adequaatheid-en-waarborgenpatronen die dichter bij het GDPR-model liggen
• Introduceerden een duidelijk recht om niet onderworpen te zijn aan volledig geautomatiseerde beslissingen met significante gevolgen, met een recht om menselijke beoordeling te verzoeken
• Verkleinden het verplichte meldingsvenster voor datalekken tot 72 uur, overeenkomend met de GDPR-norm
• Verhoogden het plafond voor administratieve boetes tot maximaal 3 procent van de totale omzet voor ernstige overtredingen — een dramatische verhoging ten opzichte van de eerdere maxima die gekoppeld waren aan de omzet uit de schendende activiteit

De Rol van de PIPC

De PIPC is de uniforme gegevensbeschermingsautoriteit met bevoegdheden op het gebied van onderzoek, boeteoplegging, corrigerende bevelen en openbare bekendmaking van handhavingsbesluiten. Sinds 2023 opereert zij als een orgaan op kabinetniveau met wezenlijk uitgebreide middelen en een zichtbaar agressievere handhavingsstrategie.

Wie Wordt Gereguleerd

De PIPA is van toepassing op elke verwerking van persoonsgegevens van Koreaanse ingezetenen, ongeacht waar de verwerkingsverantwoordelijke zich bevindt. Een in de VS gevestigde uitgever die Koreaanse gebruikers bedient via een gelokaliseerde site, of een programmatische koper die biedt op Koreaanse voorraad, valt binnen het toepassingsgebied. Dit extraterritoriale bereik is goed ingeburgerd in de PIPC-praktijk en is versterkt in meerdere handhavingsacties tegen buitenlandse platforms sinds 2023.

Wat als Persoonsgegevens Wordt Beschouwd

De definitie in de PIPA is breed. Persoonsgegevens omvatten alle informatie over een levend individu die het individu kan identificeren, hetzij rechtstreeks hetzij in combinatie met andere informatie. De PIPC beschouwt consequent het volledige spectrum van online identificatoren — cookies, advertentie-ID's, IP-adressen, apparaatvingerafdrukken en gedragsprofielen — als persoonsgegevens wanneer deze direct of op redelijke wijze aan een individu kunnen worden gekoppeld.

Gevoelige Informatie

De Koreaanse wet onderscheidt een aparte categorie van gevoelige informatie (민감정보) die strengere toestemmingsvereisten met zich meebrengt. Dit omvat ideologie, overtuigingen, lidmaatschap van een vakbond of politieke partij, politieke opvattingen, gezondheid, seksueel leven, genetische gegevens, biometrische gegevens gebruikt voor identificatie en strafrechtelijke geschiedenis. Voor de verwerking van gevoelige informatie is afzonderlijke, specifieke toestemming vereist — niet de gebundelde toestemming die gewone persoonsgegevens zou kunnen dekken.

Unieke Identificatiegegevens

De PIPA onderscheidt een aanvullende categorie, unieke identificatiegegevens (고유식별정보), waaronder registratienummers van ingezetenen, paspoortnummers, rijbewijsnummers en registratienummers voor buitenlanders. De verwerking hiervan is sterk beperkt en over het algemeen verboden voor marketing- of reclamedoeleinden.

Waarom Dit Relevant Is voor Cookies

Een cookie die een eenvoudige sessie-identifier opslaat, is gewone persoonsinformatie en valt onder het algemene toestemmingsregime. Een cookie die een doelgroepsegment voedt dat gevoelige categorieën raakt — gezondheidsinteresses, politieke overtuigingen, religieuze affiliaties — overschrijdt de grens naar gevoelige informatie en vereist de afzonderlijke, specifieke toestemmingsstroom. Uitgevers die doelgroepen targeten die overlappen met de PIPA-gevoelige lijst mogen die segmenten niet uitvoeren onder algemene reclamet toestemming.

Cookietoestemming Onder de PIPA in 2026

Zuid-Korea hanteert een strikt opt-in toestemmingsmodel. Het standpunt van de PIPC over cookies is consistent geweest en is bekrachtigd door meerdere handhavingsbesluiten in 2024 en 2025.

De Vijf Elementen van Geldige Toestemming

De PIPA vereist dat toestemming voor niet-essentiële cookies en vergelijkbare technologieën:

• Specifiek voor het doel is — algemene parapluïtoestemming is niet geldig, elk verwerkingsdoel heeft zijn eigen toestemming nodig
• Geïnformeerd is — de gebruiker moet begrijpen welke gegevens worden verzameld, waarom, wie ze ontvangt en hoe lang
• Vrijwillig is — weigering moet mogelijk zijn zonder dat een dienst wordt geweigerd waar de gebruiker anders recht op heeft
• Uitgedrukt door een bevestigende handeling is — vooraf aangevinkte vakjes, impliciete toestemming en scrollen als toestemming zijn allemaal ongeldig
• Afzonderlijk voor elke doelcategorie is — essentieel, analytics, reclame, personalisatie en grensoverschrijdende overdracht hebben elk hun eigen afzonderlijk verzamelde toestemming nodig

Hoe een Compliante CMP Eruitziet

Een CMP geconfigureerd voor Koreaans verkeer in 2026 moet het volgende presenteren:

• Een zichtbare banner voordat een niet-essentiële cookie wordt geactiveerd, standaard in het Koreaans (한국어) voor Koreaanse gebruikers
• Afzonderlijke acties voor Accepteren, Weigeren en Aanpassen met gelijke visuele prominentie — de PIPC heeft specifiek bannerontwerpen aangehaald waarbij Weigeren minder zichtbaar is dan Accepteren
• Gedetailleerde controls per doel, inclusief een expliciete schakelaar voor grensoverschrijdende overdracht
• Een aparte, duidelijk gelabelde stroom voor de verwerking van gevoelige informatie, achter zijn eigen actie vergrendeld
• Een permanent, gemakkelijk te vinden mechanisme om toestemming in te trekken na de initiële keuze
• Een privacybeleid in het Koreaans (개인정보 처리방침) met volledige openbaarmakingen

Toestemmingsregistraties

De verwerkingsverantwoordelijke moet bewijs van toestemming bijhouden — wie toestemming heeft gegeven, wanneer, waarvoor, via welke interface. Exporteerbare, met een tijdstempel voorziene toestemmingslogboeken zijn de basisverwachting, en ontoereikende toestemmingsregistraties zijn aangehaald in meerdere PIPC-handhavingsacties.

Grensoverschrijdende Overdrachten na de Wijzigingen van 2023

Het Koreaanse regime voor grensoverschrijdende overdrachten is grondiger geherstructureerd dan vrijwel elke andere nationale privacyupdate na 2023. Het begrijpen van het nieuwe kader is het grootste nalevingstekort voor buitenlandse uitgevers in 2026.

Het Nieuwe Overdrachtkader

De gewijzigde PIPA voorziet in vier routes voor legitieme grensoverschrijdende overdracht:

• Adequaatheidsbesluiten uitgevaardigd door de PIPC voor bestemmingslanden of -sectoren
• Certificering van de buitenlandse ontvanger onder een door de PIPC erkend certificeringsschema
• Standaardovereenkomsten goedgekeurd door de PIPC, die analoog functioneren aan de standaardcontractbepalingen van de GDPR
• Afzonderlijke uitdrukkelijke toestemming van de betrokkene voor de specifieke overdracht, als residueel mechanisme

Waarom Dit Relevant Is

Vóór de wijzigingen van 2023 waren de meeste grensoverschrijdende stromen afhankelijk van het vierde pad — toestemming per overdracht — wat dikke, complexe CMP's produceerde en moeilijk te onderhouden was voor programmatische stacks. Het kader van 2023 stelt verwerkingsverantwoordelijken in staat te vertrouwen op standaardovereenkomsten of certificering, waardoor de toestemmingslast wordt verminderd en aansluiting bij de internationale praktijk wordt gevonden. Uitgevers die hun leveranciersovereenkomsten niet hebben bijgewerkt om te verwijzen naar de PIPC-standaardovereenkomsten, opereren standaard nog steeds onder het oude regime, wat nu een nalevingsaansprakelijkheid is in plaats van een voordeel.

De Praktische Aanpak voor 2026

De meeste buitenlandse uitgevers sluiten nu PIPC-standaardovereenkomsten af met hun buitenlandse verwerkers, documenteren het overdrachtmechanisme in het privacybeleid en bewaren afzonderlijke toestemming per overdracht alleen als terugvaloptie voor randgevallen. Dit is werkbaar, het is verdedigbaar en het is betekenisvol eenvoudiger dan wat ervoor kwam.

Geautomatiseerde Besluitvorming en Algoritmische Transparantie

De wijzigingen van 2023 introduceerden een recht om niet onderworpen te zijn aan volledig geautomatiseerde beslissingen met significante gevolgen, en een recht om menselijke beoordeling van dergelijke beslissingen te verzoeken. Voor uitgevers geldt dit het meest zichtbaar voor algoritmische contentcuratie, gepersonaliseerde prijsstelling en doelgroeptargeting die significante differentiële uitkomsten produceert.

Openbaarmakingsverplichtingen

Verwerkingsverantwoordelijken moeten in het privacybeleid openbaar maken dat geautomatiseerde besluitvorming wordt gebruikt, de basislogica beschrijven en de potentiële significante gevolgen uitleggen. Dit betekent niet dat eigendomsalgoritmen worden onthuld — maar het vereist wel een betekenisvolle samenvatting in begrijpelijke taal die een gemiddelde gebruiker kan begrijpen.

Het Recht op Beoordeling

Gebruikers die worden getroffen door een significante geautomatiseerde beslissing kunnen menselijke beoordeling, correctie of een toelichting verzoeken. De verwerkingsverantwoordelijke moet een kanaal voor dit verzoek bieden en reageren binnen de standaard PIPA-termijnen.

Rechten van Betrokkenen

De PIPA kent het vertrouwde cluster van rechten toe, toegepast binnen het Koreaanse kader:

• Recht om geïnformeerd te worden over verwerking
• Recht op inzage in verwerkte gegevens
• Recht op correctie van onjuiste gegevens
• Recht op opschorting van verwerking
• Recht op verwijdering wanneer verwerking niet langer gerechtvaardigd is
• Recht om toestemming net zo gemakkelijk in te trekken als deze werd gegeven
• Recht om bezwaar te maken tegen geautomatiseerde besluitvorming met significante gevolgen
• Recht om een klacht in te dienen bij de PIPC

Reactietermijnen

Verwerkingsverantwoordelijken moeten reageren op de meeste verzoeken van betrokkenen binnen 10 dagen, eenmalig verlengbaar met nog eens 10 dagen met kennisgeving — beduidend strikter dan het 30-daagse venster van de GDPR. Dit is een van de meer voorkomende operationele tekortkomingen voor buitenlandse uitgevers, die doorgaans over tooling en draaiboeken beschikken die zijn afgestemd op de 30-daagse GDPR-cyclus.

Sancties en Handhavingshouding in 2026

De handhavingsactiviteit van de PIPC is sterk geëscaleerd sinds 2023, en 2025 produceerde enkele van de hoogste boetes in haar geschiedenis — meerdere ervan tegen buitenlandse platforms en uitgevers.

Administratieve Boetes

De wijzigingen van 2023 verhoogden de hoogste boeteklasse tot maximaal 3 procent van de totale omzet voor de ernstigste overtredingen. Lagere boeteklassen zijn van toepassing op tekortkomingen rond toestemming, kennisgeving, gegevensbeveiliging, melding van datalekken en grensoverschrijdende overdracht. De PIPC was bereid in 2025 de hoogste klasse te gebruiken, wat niet haar historische patroon was.

Strafrechtelijke Aansprakelijkheid

De PIPA voorziet in strafrechtelijke sancties — waaronder gevangenisstraf — voor de meest ernstige overtredingen, zoals de onrechtmatige verkoop van persoonsgegevens of opzettelijke grootschalige datalekken. Deze zijn zeldzaam maar reëel en zijn ingeroepen in zaken uit 2025.

Handhavingsthema's

De acties van de PIPC in 2025 clusteren rond terugkerende kwesties: inadequate of dubbelzinnige toestemmingsbanner, grensoverschrijdende overdrachten zonder een geldig post-2023-mechanisme, ontoereikende meldingen van datalekken en het niet honoreren van rechten van betrokkenen binnen het 10-daagse venster. Buitenlandse uitgevers zijn in alle vier categorieën aangehaald.

Auditchecklist voor Koreaans Verkeer in 2026

• De CMP-banner wordt weergegeven in het Koreaans (한국어) met Accepteren, Weigeren en Aanpassen met gelijke visuele prominentie
• Toestemmingsdoelen zijn gedetailleerd en scheiden elke verwerking van gevoelige informatie achter zijn eigen specifieke toestemmingsstroom
• Grensoverschrijdende overdrachten zijn gebaseerd op een PIPC-standaardovereenkomst, certificering of adequaatheid — niet op verouderde toestemming per overdracht
• Het privacybeleid (개인정보 처리방침) is beschikbaar in het Koreaans met volledige openbaarmakingen van verwerkers, doelen, bewaartermijnen en rechten, inclusief logica voor geautomatiseerde besluitvorming waar van toepassing
• Toestemmingslogboeken zijn voorzien van tijdstempels, exporteerbaar en bewaard gedurende ten minste de verwerkingsduur plus een controleerbare marge
• De werkstroom voor verzoeken van betrokkenen kan van begin tot eind binnen 10 dagen reageren, in het Koreaans
• Het draaiboek voor melding van datalekken is afgestemd op het 72-uurvenster van de PIPC
• Openbaarmakingen over geautomatiseerde besluitvorming zijn opgenomen in het privacybeleid waar significante beslissingen worden genomen met dergelijke systemen
• De leverancierslijst is beoordeeld op noodzaak, waarbij ongebruikte of overbodige leveranciers zijn verwijderd

De Vooruitzichten voor 2026

Het privacyregime van Zuid-Korea is gerijpt van een van de strengere-op-papier kaders in Azië tot een van de strengere-in-handhaving regimes wereldwijd. De wijzigingen van 2023 verwijderden de structurele obstakels die naleving duur maakten, en de PIPC heeft de twee jaar sindsdien gebruikt om zich te concentreren op de handhaving van de rest van de wet. Uitgevers met een GDPR-grade toestemmingsstack hebben relatief kleine aanpassingen nodig om Korea-klaar te zijn: Koreaalstalige CMP en beleid, PIPC-standaardovereenkomsten voor grensoverschrijdende stromen, de 10-daagse respons-cyclus en zorgvuldigheid met de lijst van gevoelige informatie. Uitgevers die Korea nog steeds behandelen als een lichtere markt zullen 2026 en 2027 materieel duurder vinden dan voorgaande jaren. Het goede nieuws is dat de kloof operationeel is, niet architectonisch, en in weken kan worden gedicht als er prioriteit aan wordt gegeven.