Struktura PIPA po Zmianach z 2023 Roku

PIPA jest podstawowym statutem dotyczącym danych osobowych w Korei Południowej, a znowelizowana wersja jest punktem odniesienia dla każdego wydawcy działającego od 2024 roku. Zespoły pracujące z tekstem sprzed 2023 roku patrzą na przestarzałe ramy prawne.

Co Zmieniły Nowelizacje z 2023 Roku

Nowelizacje z 2023 roku wprowadził kilka zmian strukturalnych:

• Ujednolicono obowiązki administratorów danych we wszystkich sektorach, likwidując pofragmentowany reżim, który wcześniej traktował dostawców usług informacyjnych i komunikacyjnych inaczej niż innych administratorów
• Przestrukturyzowano ramy transferów transgranicznych, odchodząc od wyraźnej zgody na każdy transfer w kierunku wzorców adekwatności i zabezpieczeń bliższych modelowi GDPR
• Wprowadzono wyraźne prawo do niepodlegania w pełni zautomatyzowanym decyzjom wywołującym znaczące skutki, z prawem do żądania weryfikacji przez człowieka
• Zaostrzono obowiązkowe okno powiadamiania o naruszeniu do 72 godzin, zgodnie ze standardem GDPR
• Podwyższono pułap administracyjnych kar pieniężnych do nawet 3 procent łącznych przychodów za poważne naruszenia — dramatyczny wzrost w porównaniu z wcześniejszymi limitami powiązanymi z przychodami z działalności naruszającej przepisy

Rola PIPC

PIPC jest jednolitym organem ochrony danych z uprawnieniami obejmującymi dochodzenia, nakładanie kar, wydawanie nakazów korygujących i publiczne ujawnianie decyzji egzekucyjnych. Od 2023 roku działa jako organ na poziomie gabinetu z znacząco rozszerzonymi zasobami i wyraźnie bardziej agresywną postawą egzekucyjną.

Kto Podlega Regulacji

PIPA ma zastosowanie do każdego przetwarzania danych osobowych mieszkańców Korei, niezależnie od miejsca siedziby administratora. Wydawca z siedzibą w USA obsługujący koreańskich użytkowników za pośrednictwem zlokalizowanej witryny lub programatyczny kupujący składający oferty na koreańskie zasoby reklamowe mieści się w zakresie stosowania. Ten eksterytorialny zasięg jest ugruntowany w praktyce PIPC i został potwierdzony w wielu działaniach egzekucyjnych przeciwko zagranicznym platformom od 2023 roku.

Co Stanowi Dane Osobowe

Definicja PIPA jest szeroka. Dane osobowe obejmują wszelkie informacje o żyjącej osobie fizycznej, która może być zidentyfikowana, bezpośrednio lub w połączeniu z innymi informacjami. PIPC konsekwentnie traktuje pełne spektrum identyfikatorów online — pliki cookie, identyfikatory reklamowe, adresy IP, odciski cyfrowe urządzeń i profile behawioralne — jako dane osobowe, gdy można je powiązać z osobą bezpośrednio lub za pomocą rozsądnych środków.

Informacje Wrażliwe

Prawo koreańskie wyodrębnia odrębną kategorię informacji wrażliwych (민감정보), która wywołuje surowsze wymogi zgody. Obejmuje to ideologię, przekonania, przynależność do związków zawodowych lub partii politycznych, poglądy polityczne, zdrowie, życie seksualne, dane genetyczne, dane biometryczne wykorzystywane do identyfikacji oraz historię kryminalną. Przetwarzanie informacji wrażliwych wymaga oddzielnej, konkretnej zgody — nie zbiorczej zgody, która mogłaby obejmować zwykłe dane osobowe.

Unikalne Dane Identyfikacyjne

PIPA wyodrębnia dodatkową kategorię, unikalne dane identyfikacyjne (고유식별정보), obejmującą numery rejestracyjne mieszkańców, numery paszportów, numery prawa jazdy i numery rejestracyjne cudzoziemców. Przetwarzanie tych danych jest ściśle ograniczone i ogólnie zabronione dla celów marketingowych lub reklamowych.

Dlaczego Ma To Znaczenie dla Plików Cookie

Plik cookie przechowujący prosty identyfikator sesji stanowi zwykłe dane osobowe i podlega ogólnemu reżimowi zgody. Plik cookie zasilający segment odbiorców dotykający kategorii wrażliwych — zainteresowania zdrowotne, poglądy polityczne, przynależność religijna — wkracza na terytorium informacji wrażliwych i wymaga odrębnego, konkretnego przepływu zgody. Wydawcy targetujący odbiorców pokrywających się z listą wrażliwych kategorii PIPA nie powinni uruchamiać tych segmentów w oparciu o ogólną zgodę reklamową.

Zgoda na Pliki Cookie na Podstawie PIPA w 2026 Roku

Korea Południowa stosuje ścisły model zgody opt-in. Stanowisko PIPC w sprawie plików cookie było spójne i zostało potwierdzone wieloma decyzjami egzekucyjnymi w latach 2024 i 2025.

Pięć Elementów Ważnej Zgody

PIPA wymaga, aby zgoda na nieistotne pliki cookie i podobne technologie była:

• Konkretna co do celu — ogólna zgoda „parasolowa” jest nieważna, każdy cel przetwarzania wymaga własnej zgody
• Świadoma — użytkownik musi rozumieć, jakie dane są zbierane, dlaczego, kto je otrzymuje i przez jak długo
• Dobrowolna — odmowa musi być możliwa bez pozbawiania usługi, do której użytkownik jest uprawniony
• Wyrażona przez działanie twierdzące — wstępnie zaznaczone pola, domniemana zgoda i przewijanie jako zgoda są wszystkie nieważne
• Oddzielna dla każdej kategorii celów — niezbędne, analityczne, reklamowe, personalizacyjne i transgraniczne transfery danych wymagają własnej, oddzielnie zebranej zgody

Jak Wygląda Zgodna CMP

CMP skonfigurowana dla ruchu koreańskiego w 2026 roku powinna prezentować:

• Widoczny baner przed uruchomieniem jakichkolwiek nieistotnych plików cookie, domyślnie w języku koreańskim (한국어) dla koreańskich użytkowników
• Oddzielne działania Zaakceptuj, Odrzuć i Dostosuj z równą widocznością wizualną — PIPC wskazał konkretnie projekty banerów, w których Odrzuć jest mniej widoczne niż Zaakceptuj
• Szczegółowe kontrolki dla każdego celu, w tym wyraźny przełącznik dla transferów transgranicznych
• Oddzielny, wyraźnie oznaczony przepływ dla przetwarzania informacji wrażliwych, chroniony własnym działaniem
• Stały, łatwo dostępny mechanizm wycofania zgody po dokonaniu wstępnego wyboru
• Politykę prywatności w języku koreańskim (개인정보 처리방침) z pełnymi informacjami

Rejestry Zgód

Administrator musi prowadzić dowody zgody — kto wyraził zgodę, kiedy, na co, przez jaki interfejs. Eksportowalne, opatrzone znacznikiem czasu dzienniki zgód stanowią podstawowe oczekiwanie, a nieodpowiednie rejestry zgód zostały wskazane w kilku działaniach egzekucyjnych PIPC.

Transfery Transgraniczne po Zmianach z 2023 Roku

Koreański reżim transferów transgranicznych został przestrukturyzowany bardziej gruntownie niż niemal każda inna krajowa aktualizacja przepisów o ochronie prywatności po 2023 roku. Zrozumienie nowych ram jest największą pojedynczą luką w zakresie zgodności dla zagranicznych wydawców w 2026 roku.

Nowe Ramy Transferowe

Znowelizowana PIPA przewiduje cztery ścieżki legalnego transgranicznego transferu danych:

• Decyzje stwierdzające odpowiedni poziom ochrony wydane przez PIPC dla krajów lub sektorów docelowych
• Certyfikacja zagranicznego odbiorcy w ramach uznanego przez PIPC programu certyfikacji
• Standardowe kontrakty zatwierdzone przez PIPC, które funkcjonują analogicznie do standardowych klauzul umownych GDPR
• Oddzielna wyraźna zgoda podmiotu danych na konkretny transfer, jako mechanizm rezydualny

Dlaczego Ma To Znaczenie

Przed nowelizacjami z 2023 roku większość transgranicznych przepływów opierała się na czwartej ścieżce — zgodzie na każdy transfer — co prowadziło do rozbudowanych, złożonych CMP i było trudne w utrzymaniu dla programatycznych stosów technologicznych. Ramy z 2023 roku pozwalają administratorom opierać się na standardowych kontraktach lub certyfikacji, zmniejszając obciążenie związane ze zgodą i dostosowując do praktyki międzynarodowej. Wydawcy, którzy nie zaktualizowali swoich umów z dostawcami w celu odwołania się do standardowych kontraktów PIPC, nadal domyślnie działają w ramach starego reżimu, co jest teraz zobowiązaniem z tytułu zgodności, a nie zaletą.

Praktyczne Podejście na 2026 Rok

Większość zagranicznych wydawców zawiera teraz standardowe kontrakty PIPC ze swoimi zagranicznymi podmiotami przetwarzającymi, dokumentuje mechanizm transferu w polityce prywatności i zachowuje oddzielną zgodę na każdy transfer jako rezerwę wyłącznie dla przypadków granicznych. Jest to wykonalne, obronne i znacznie prostsze niż to, co było wcześniej.

Automatyczne Podejmowanie Decyzji i Przejrzystość Algorytmiczna

Nowelizacje z 2023 roku wprowadziły prawo do niepodlegania w pełni zautomatyzowanym decyzjom wywołującym znaczące skutki oraz prawo do żądania weryfikacji takich decyzji przez człowieka. Dla wydawców ma to zastosowanie przede wszystkim do algorytmicznej selekcji treści, spersonalizowanego ustalania cen i wszelkiego targetowania odbiorców wywołującego znaczące zróżnicowane wyniki.

Obowiązki Informacyjne

Administratorzy muszą ujawnić w polityce prywatności, że stosowane jest automatyczne podejmowanie decyzji, opisać podstawową logikę i wyjaśnić potencjalne znaczące skutki. Nie oznacza to ujawniania zastrzeżonych algorytmów — ale wymaga znaczącego podsumowania w prostym języku, zrozumiałego dla typowego użytkownika.

Prawo do Weryfikacji

Użytkownicy dotknięci znaczącą zautomatyzowaną decyzją mogą żądać weryfikacji przez człowieka, sprostowania lub wyjaśnienia. Administrator musi zapewnić kanał dla tego żądania i odpowiedzieć w standardowych terminach PIPA.

Prawa Podmiotów Danych

PIPA przyznaje znany zestaw praw stosowanych w ramach koreańskiego systemu prawnego:

• Prawo do informacji o przetwarzaniu
• Prawo dostępu do przetwarzanych danych
• Prawo do sprostowania niedokładnych danych
• Prawo do wstrzymania przetwarzania
• Prawo do usunięcia, gdy przetwarzanie nie jest już uzasadnione
• Prawo do wycofania zgody tak łatwo, jak została udzielona
• Prawo do sprzeciwu wobec automatycznego podejmowania decyzji wywołującego znaczące skutki
• Prawo do złożenia skargi do PIPC

Terminy Odpowiedzi

Administratorzy muszą odpowiadać na większość wniosków podmiotów danych w ciągu 10 dni, z możliwością jednorazowego przedłużenia o kolejne 10 dni z powiadomieniem — znacznie surowiej niż 30-dniowe okno GDPR. Jest to jedna z częstszych luk operacyjnych u zagranicznych wydawców, którzy zazwyczaj posiadają narzędzia i podręczniki dostosowane do 30-dniowego rytmu GDPR.

Kary i Postawa Egzekucyjna w 2026 Roku

Aktywność egzekucyjna PIPC gwałtownie wzrosła od 2023 roku, a w 2025 roku nałożono jedne z najwyższych kar w jego historii — kilka z nich na zagraniczne platformy i wydawców.

Administracyjne Kary Pieniężne

Nowelizacje z 2023 roku podniosły najwyższy poziom kar do nawet 3 procent łącznych przychodów za najpoważniejsze naruszenia. Niższe poziomy kar stosuje się do uchybień dotyczących zgody, powiadomień, bezpieczeństwa danych, zgłaszania naruszeń i transferów transgranicznych. PIPC był gotowy stosować najwyższy poziom w 2025 roku, co nie było jego historycznym wzorcem.

Odpowiedzialność Karna

PIPA przewiduje kary karne — w tym pozbawienie wolności — za najpoważniejsze naruszenia, takie jak bezprawna sprzedaż danych osobowych lub celowe naruszenia na dużą skalę. Są one rzadkie, ale realne i zostały zastosowane w sprawach z 2025 roku.

Tematy Egzekucyjne

Działania PIPC z 2025 roku skupiają się wokół powtarzających się kwestii: nieodpowiednie lub niejasne banery zgody, transgraniczne transfery bez ważnego mechanizmu po 2023 roku, niewystarczające powiadamianie o naruszeniach oraz niewywiązywanie się z praw podmiotów danych w 10-dniowym oknie. Zagraniczni wydawcy zostali wskazani we wszystkich czterech kategoriach.

Lista Kontrolna Audytu dla Ruchu Koreańskiego w 2026 Roku

• Baner CMP jest wyświetlany w języku koreańskim (한국어) z Zaakceptuj, Odrzuć i Dostosuj z równą widocznością wizualną
• Cele zgody są szczegółowe i wyodrębniają wszelkie przetwarzanie informacji wrażliwych za własnym konkretnym przepływem zgody
• Transgraniczne transfery opierają się na standardowym kontrakcie PIPC, certyfikacji lub stwierdzeniu odpowiedniego poziomu ochrony — nie na przestarzałej zgodzie na każdy transfer
• Polityka prywatności (개인정보 처리방침) jest dostępna w języku koreańskim z pełnymi informacjami o podmiotach przetwarzających, celach, retencji i prawach, w tym logice automatycznego podejmowania decyzji, jeśli ma zastosowanie
• Dzienniki zgód są opatrzone znacznikiem czasu, eksportowalne i przechowywane przez co najmniej okres przetwarzania plus audytowalny margines
• Przepływ pracy wniosków podmiotów danych może odpowiedzieć w ciągu 10 dni od początku do końca, w języku koreańskim
• Podręcznik powiadamiania o naruszeniach jest dostosowany do 72-godzinnego okna PIPC
• Ujawnienia dotyczące automatycznego podejmowania decyzji są w polityce prywatności tam, gdzie przy użyciu takich systemów podejmowane są znaczące decyzje
• Lista dostawców została przejrzana pod kątem konieczności, a nieużywani lub zbędni dostawcy zostali usunięci

Perspektywy na 2026 Rok

Koreański reżim ochrony prywatności dojrzał od jednego z surowszych na papierze systemów prawnych w Azji do jednego z surowszych w egzekwowaniu na świecie. Nowelizacje z 2023 roku usunęły strukturalne bariery, które sprawiały, że przestrzeganie przepisów było kosztowne, a PIPC przez dwa kolejne lata koncentrował się na egzekwowaniu pozostałych przepisów. Wydawcy z zestawem technologii zgody na poziomie GDPR potrzebują stosunkowo niewielkich korekt, aby być gotowymi na Koreę: CMP i polityka w języku koreańskim, standardowe kontrakty PIPC dla transgranicznych przepływów, 10-dniowy rytm odpowiedzi i ostrożność w odniesieniu do listy informacji wrażliwych. Wydawcy wciąż traktujący Koreę jako łatwiejszy rynek odkryją, że lata 2026 i 2027 będą znacznie droższe niż poprzednie lata. Dobra wiadomość jest taka, że luka ma charakter operacyjny, a nie architektoniczny, i można ją zamknąć w ciągu kilku tygodni, jeśli zostanie to nadany priorytet.