Structura PIPA după Modificările din 2023

PIPA este statutul principal privind datele cu caracter personal din Coreea de Sud, iar versiunea modificată reprezintă punctul de referință pentru orice editor care operează începând din 2024. Echipele care lucrează cu textul anterior anului 2023 examinează un cadru depășit.

Ce au Schimbat Modificările din 2023

Modificările din 2023 au adus mai multe schimbări structurale:

• Au unificat obligațiile operatorilor de date în toate sectoarele, eliminând regimul fragmentat care anterior trata furnizorii de servicii de informații și comunicații diferit față de alți operatori
• Au restructurat cadrul transferurilor transfrontaliere pentru a se îndepărta de consimțământul explicit per transfer spre modele de adecvare și garanții mai apropiate de modelul GDPR
• Au introdus un drept clar de a nu fi supus deciziilor complet automatizate care produc efecte semnificative, cu dreptul de a solicita revizuire umană
• Au redus fereastra obligatorie de notificare a încălcării la 72 de ore, corespunzând standardului GDPR
• Au ridicat plafonul amenzilor administrative la până la 3 procente din cifra de afaceri totală pentru încălcări grave — o creștere dramatică față de plafoanele anterioare legate de veniturile din activitatea care constituie încălcarea

Rolul PIPC

PIPC este autoritatea unificată de protecție a datelor, cu atribuții care acoperă investigarea, impunerea de amenzi, emiterea de ordine corective și divulgarea publică a deciziilor de aplicare a legii. Din 2023, funcționează ca un organism la nivel de Cabinet cu resurse semnificativ extinse și o abordare de aplicare a legii vizibil mai agresivă.

Cine Este Reglementat

PIPA se aplică oricărei prelucrări a informațiilor cu caracter personal ale rezidenților coreeni, indiferent de locul în care se află operatorul. Un editor cu sediul în SUA care deservește utilizatori coreeni printr-un site localizat sau un cumpărător programatic care licitează pentru inventar coreean se află în sfera de aplicare. Această aplicare extrateritorială este bine stabilită în practica PIPC și a fost confirmată în multiple acțiuni de aplicare împotriva platformelor străine din 2023.

Ce Constituie Informații cu Caracter Personal

Definiția PIPA este largă. Informațiile cu caracter personal includ orice informație despre o persoană fizică vie care poate identifica persoana, fie direct, fie prin combinație cu alte informații. PIPC a tratat în mod consecvent întreaga gamă de identificatori online — cookie-uri, ID-uri de publicitate, adrese IP, amprente digitale ale dispozitivelor și profiluri comportamentale — ca informații cu caracter personal atunci când pot fi asociate cu o persoană în mod direct sau prin mijloace rezonabile.

Informații Sensibile

Legislația coreeană desemnează o categorie distinctă de informații sensibile (민감정보) care declanșează cerințe mai stricte de consimțământ. Aceasta include ideologia, credințele, apartenența la un sindicat sau partid politic, opiniile politice, sănătatea, viața sexuală, datele genetice, datele biometrice utilizate pentru identificare și antecedentele penale. Prelucrarea informațiilor sensibile necesită consimțământ separat, specific — nu consimțământul grupat care ar putea acoperi informațiile cu caracter personal obișnuite.

Informații de Identificare Unică

PIPA delimitează o categorie suplimentară, informații de identificare unică (고유식별정보), care include numerele de înregistrare ale rezidenților, numerele de pașaport, numerele permiselor de conducere și numerele de înregistrare ale cetățenilor străini. Prelucrarea acestora este strict limitată și în general interzisă pentru scopuri de marketing sau publicitate.

De ce Contează Aceasta pentru Cookie-uri

Un cookie care stochează un simplu identificator de sesiune constituie informații cu caracter personal obișnuite și intră sub incidența regimului general de consimțământ. Un cookie care alimentează un segment de audiență care atinge categorii sensibile — interese de sănătate, înclinații politice, afilieri religioase — trece în teritoriul informațiilor sensibile și necesită fluxul de consimțământ separat, specific. Editorii care vizează audiențe care se suprapun cu lista sensibilă PIPA nu ar trebui să ruleze acele segmente sub consimțământul general pentru publicitate.

Consimțământul pentru Cookie-uri în Temeiul PIPA în 2026

Coreea de Sud urmează un model strict de consimțământ opt-in. Poziția PIPC privind cookie-urile a fost consecventă și a fost confirmată de multiple decizii de aplicare pe parcursul anilor 2024 și 2025.

Cele Cinci Elemente ale Consimțământului Valid

PIPA impune ca consimțământul pentru cookie-uri neesențiale și tehnologii similare să fie:

• Specific scopului — consimțământul generic „umbrelă” nu este valid, fiecare scop de prelucrare necesită propriul consimțământ
• Informat — utilizatorul trebuie să înțeleagă ce date sunt colectate, de ce, cine le primește și pentru cât timp
• Voluntar — refuzul trebuie să fie posibil fără a fi privat de un serviciu la care utilizatorul are dreptul
• Exprimat printr-un act afirmativ — căsuțele bifate în prealabil, consimțământul implicit și derularea ca consimțământ sunt toate invalide
• Separat pentru fiecare categorie de scop — esențiale, analiză, publicitate, personalizare și transfer transfrontalier necesită fiecare propriul consimțământ colectat separat

Cum Arată o CMP Conformă

O CMP configurată pentru traficul coreean în 2026 ar trebui să prezinte:

• Un banner vizibil înainte ca orice cookie neesențial să fie activat, implicit în coreeană (한국어) pentru utilizatorii coreeni
• Acțiuni separate de Acceptare, Respingere și Personalizare cu vizibilitate vizuală egală — PIPC a citat specific designuri de banner în care Respingere este mai puțin vizibil decât Acceptare
• Controale granulare per scop, inclusiv un comutator explicit pentru transferul transfrontalier
• Un flux separat, clar etichetat pentru prelucrarea informațiilor sensibile, protejat în spatele propriei acțiuni
• Un mecanism persistent, ușor de găsit pentru retragerea consimțământului după alegerea inițială
• O politică de confidențialitate în coreeană (개인정보 처리방침) cu divulgări complete

Înregistrările Consimțământului

Operatorul trebuie să păstreze dovezi ale consimțământului — cine a consimțit, când, la ce, prin ce interfață. Jurnalele de consimțământ exportabile, cu marcaj temporal, reprezintă așteptarea de bază, iar înregistrările inadecvate ale consimțământului au fost citate în mai multe acțiuni de aplicare a PIPC.

Transferurile Transfrontaliere după Modificările din 2023

Regimul de transferuri transfrontaliere al Coreei a fost restructurat mai temeinic decât aproape orice altă actualizare națională privind confidențialitatea după 2023. Înțelegerea noului cadru reprezintă cel mai mare decalaj individual de conformitate pentru editorii străini în 2026.

Noul Cadru de Transfer

PIPA modificată prevede patru căi pentru transferul transfrontalier legitim:

• Decizii de adecvare emise de PIPC pentru țările sau sectoarele de destinație
• Certificarea destinatarului din străinătate în cadrul unei scheme de certificare recunoscute de PIPC
• Contracte standard aprobate de PIPC, care funcționează analog clauzelor contractuale standard ale GDPR
• Consimțământ explicit separat din partea persoanei vizate pentru transferul specific, ca mecanism rezidual

De ce Contează Aceasta

Înainte de modificările din 2023, majoritatea fluxurilor transfrontaliere se bazau pe a patra cale — consimțământ per transfer — care producea CMP voluminoase și complexe și era dificil de menținut pentru stivele programatice. Cadrul din 2023 permite operatorilor să se bazeze pe contracte standard sau certificare, reducând sarcina consimțământului și aliniindu-se la practica internațională. Editorii care nu și-au actualizat contractele cu furnizorii pentru a face referire la contractele standard PIPC continuă să opereze implicit sub regimul vechi, ceea ce reprezintă acum o răspundere de conformitate, nu un avantaj.

Abordarea Practică pentru 2026

Majoritatea editorilor străini execută acum contracte standard PIPC cu procesatorii lor din străinătate, documentează mecanismul de transfer în politica de confidențialitate și păstrează consimțământul separat per transfer ca alternativă numai pentru cazuri limită. Aceasta este viabilă, defensabilă și semnificativ mai simplă decât ceea ce a precedat-o.

Luarea Deciziilor Automatizate și Transparența Algoritmică

Modificările din 2023 au introdus dreptul de a nu fi supus deciziilor complet automatizate care produc efecte semnificative și dreptul de a solicita revizuire umană a unor astfel de decizii. Pentru editori, aceasta se aplică cel mai vizibil curatoriei algoritmice de conținut, prețurilor personalizate și oricărei targetări a audienței care produce rezultate diferențiale semnificative.

Obligațiile de Divulgare

Operatorii trebuie să dezvăluie în politica de confidențialitate că se utilizează luarea deciziilor automatizate, să descrie logica de bază și să explice potențialele efecte semnificative. Aceasta nu înseamnă dezvăluirea algoritmilor proprietari — dar necesită un rezumat semnificativ în limbaj simplu, pe care un utilizator tipic l-ar putea înțelege.

Dreptul de Revizuire

Utilizatorii afectați de o decizie automatizată semnificativă pot solicita revizuire umană, corectare sau o explicație. Operatorul trebuie să asigure un canal pentru această solicitare și să răspundă în termenele standard PIPA.

Drepturile Persoanelor Vizate

PIPA acordă grupul familiar de drepturi, aplicate prin cadrul coreean:

• Dreptul de a fi informat cu privire la prelucrare
• Dreptul de acces la datele prelucrate
• Dreptul la rectificarea datelor inexacte
• Dreptul la suspendarea prelucrării
• Dreptul la ștergere atunci când prelucrarea nu mai este justificată
• Dreptul de a retrage consimțământul la fel de ușor cum a fost acordat
• Dreptul de a obiecta la luarea deciziilor automatizate care produc efecte semnificative
• Dreptul de a depune o plângere la PIPC

Termenele de Răspuns

Operatorii trebuie să răspundă la cele mai multe solicitări ale persoanelor vizate în termen de 10 zile, cu posibilitate de prelungire o dată cu încă 10 zile cu notificare — semnificativ mai strict decât fereastra de 30 de zile a GDPR. Aceasta este una dintre lacunele operaționale mai frecvente pentru editorii străini, care au de obicei instrumente și manuale de proceduri adaptate la cadența de 30 de zile a GDPR.

Sancțiuni și Abordarea de Aplicare a Legii în 2026

Activitatea de aplicare a PIPC s-a intensificat brusc din 2023, iar 2025 a produs unele dintre cele mai mari amenzi din istoria sa — mai multe dintre ele împotriva platformelor și editorilor străini.

Amenzi Administrative

Modificările din 2023 au ridicat nivelul maxim al amenzilor la până la 3 procente din cifra de afaceri totală pentru cele mai grave încălcări. Amenzi de nivel inferior se aplică pentru deficiențe privind consimțământul, notificarea, securitatea datelor, notificarea încălcărilor și transferurile transfrontaliere. PIPC a fost dispusă să utilizeze nivelul maxim în 2025, ceea ce nu era modelul său istoric.

Răspunderea Penală

PIPA prevede sancțiuni penale — inclusiv închisoarea — pentru cele mai grave încălcări, cum ar fi vânzarea ilegală de informații cu caracter personal sau încălcări deliberate la scară largă. Acestea sunt rare, dar reale și au fost invocate în cazuri din 2025.

Teme de Aplicare

Acțiunile PIPC din 2025 se grupează în jurul problemelor recurente: bannere de consimțământ inadecvate sau ambigue, transferuri transfrontaliere fără un mecanism post-2023 valid, notificarea insuficientă a încălcărilor și nerespectarea drepturilor persoanelor vizate în fereastra de 10 zile. Editorii străini au fost citați în toate cele patru categorii.

Listă de Verificare a Auditului pentru Traficul Coreean în 2026

• Bannerul CMP este afișat în coreeană (한국어) cu Acceptare, Respingere și Personalizare cu vizibilitate vizuală egală
• Scopurile consimțământului sunt granulare și separă orice prelucrare de informații sensibile în spatele propriului flux specific de consimțământ
• Transferurile transfrontaliere se bazează pe un contract standard PIPC, certificare sau adecvare — nu pe consimțământul legacy per transfer
• Politica de confidențialitate (개인정보 처리방침) este disponibilă în coreeană cu divulgări complete ale procesatorilor, scopurilor, retenției și drepturilor, inclusiv logica luării deciziilor automatizate acolo unde este aplicabil
• Jurnalele de consimțământ au marcaj temporal, sunt exportabile și păstrate timp de cel puțin durata prelucrării plus o marjă auditabilă
• Fluxul de lucru pentru solicitările persoanelor vizate poate răspunde în 10 zile de la cap la coadă, în coreeană
• Manualul de notificare a încălcărilor este adaptat ferestrei de 72 de ore a PIPC
• Divulgările privind luarea deciziilor automatizate se regăsesc în politica de confidențialitate acolo unde se iau decizii semnificative utilizând astfel de sisteme
• Lista furnizorilor a fost revizuită din perspectiva necesității, cu furnizorii neutilizați sau redundanți eliminați

Perspectivele pentru 2026

Regimul de confidențialitate al Coreei de Sud a evoluat de la unul dintre cadrele mai stricte pe hârtie din Asia la unul dintre regimurile mai stricte în aplicare la nivel global. Modificările din 2023 au eliminat obstacolele structurale care făceau conformitatea costisitoare, iar PIPC a folosit cei doi ani de atunci pentru a se concentra pe aplicarea restului legii. Editorii cu o stivă de consimțământ la nivelul GDPR au nevoie de ajustări relativ mici pentru a fi pregătiți pentru Coreea: CMP și politică în coreeană, contracte standard PIPC pentru fluxurile transfrontaliere, cadența de răspuns de 10 zile și atenție față de lista de informații sensibile. Editorii care tratează încă Coreea ca o piață mai ușoară vor descoperi că 2026 și 2027 sunt semnificativ mai costisitoare decât anii anteriori. Vestea bună este că decalajul este operațional, nu arhitectural, și poate fi eliminat în câteva săptămâni dacă este prioritizat.