Štruktúra PIPA po Zmenách z Roku 2023

PIPA je primárnym štatútom o osobných údajoch v Južnej Kórei a zmenená verzia je referenčným bodom pre každého vydavateľa pôsobiaceho od roku 2024. Tímy pracujúce s textom pred rokom 2023 sa pozerajú na zastaraný rámec.

Čo Zmenili Zmeny z Roku 2023

Zmeny z roku 2023 priniesli niekoľko štrukturálnych zmien:

• Zjednotili povinnosti prevádzkovateľov údajov naprieč všetkými sektormi, čím odstránili fragmentovaný režim, ktorý predtým zaobchádzal s poskytovateľmi informačných a komunikačných služieb inak ako s ostatnými prevádzkovateľmi
• Reštrukturalizovali rámec cezhraničných prenosov, aby sa odklonili od explicitného súhlasu na každý prenos smerom k vzorcom primeranosti a záruk bližšie k modelu GDPR
• Zaviedli jasné právo nebyť predmetom plne automatizovaných rozhodnutí, ktoré produkujú významné účinky, s právom požadovať ľudské preskúmanie
• Sprísniili povinné okno na oznámenie porušenia na 72 hodín, čo zodpovedá štandardu GDPR
• Zvýšili strop správnych pokút na až 3 percentá z celkových príjmov za závažné porušenia — dramatické zvýšenie oproti predchádzajúcim limitom viazaným na príjmy z porušujúcej činnosti

Úloha PIPC

PIPC je jednotným orgánom ochrany údajov s právomocami zahŕňajúcimi vyšetrovanie, ukladanie pokút, vydávanie nápravných príkazov a verejné zverejňovanie rozhodnutí o vymáhaní. Od roku 2023 funguje ako orgán na úrovni kabinetu s výrazne rozšírenými zdrojmi a viditeľne agresívnejším prístupom k vymáhaniu.

Kto Je Regulovaný

PIPA sa vzťahuje na akékoľvek spracovanie osobných informácií kórejských rezidentov bez ohľadu na to, kde sa prevádzkovateľ nachádza. Vydavateľ so sídlom v USA, ktorý obsluhuje kórejských používateľov prostredníctvom lokalizovanej stránky, alebo programatický kupujúci, ktorý podáva ponuky na kórejský inventár, je v rozsahu pôsobnosti. Tento extrateritoriálny dosah je dobre zavedený v praxi PIPC a bol potvrdený vo viacerých vymáhacích opatreniach voči zahraničným platformám od roku 2023.

Čo Sa Považuje za Osobné Informácie

Definícia PIPA je široká. Osobné informácie zahŕňajú akékoľvek informácie o žijúcej fyzickej osobe, ktorá môže byť identifikovaná, priamo alebo v kombinácii s inými informáciami. PIPC konzistentne zaobchádza s celým spektrom online identifikátorov — cookies, reklamných ID, IP adries, odtlačkov zariadení a správania profilov — ako s osobnými informáciami, keď ich možno priamo alebo rozumnými prostriedkami spojiť s jednotlivcom.

Citlivé Informácie

Kórejský zákon určuje osobitnú kategóriu citlivých informácií (민감정보), ktorá spúšťa prísnejšie požiadavky na súhlas. Zahŕňa ideológiu, presvedčenie, členstvo v odboroch alebo politickej strane, politické názory, zdravie, sexuálny život, genetické údaje, biometrické údaje používané na identifikáciu a kriminálnu históriu. Spracovanie citlivých informácií vyžaduje samostatný, špecifický súhlas — nie súhrnný súhlas, ktorý by mohol pokrývať bežné osobné informácie.

Jedinečné Identifikačné Informácie

PIPA vyčleňuje dodatočnú kategóriu, jedinečné identifikačné informácie (고유식별정보), ktorá zahŕňa čísla evidencie obyvateľov, čísla pasov, čísla vodičských preukazov a čísla evidencie cudzincov. Spracovanie týchto informácií je prísne obmedzené a vo všeobecnosti zakázané na marketingové alebo reklamné účely.

Prečo Je To Dôležité pre Cookies

Cookie, ktorý ukladá jednoduchý identifikátor relácie, predstavuje bežné osobné informácie a patrí do všeobecného režimu súhlasu. Cookie, ktorý napĺňa segment publika týkajúci sa citlivých kategórií — záujmy o zdravie, politické sklony, náboženské príslušnosti — prekračuje do územia citlivých informácií a vyžaduje samostatný, špecifický tok súhlasu. Vydavatelia, ktorí cielí na publiká, ktoré sa prekrývajú so zoznamom citlivých kategórií PIPA, by nemali tieto segmenty prevádzkovať na základe všeobecného reklamného súhlasu.

Súhlas s Cookies Podľa PIPA v Roku 2026

Južná Kórea dodržiava prísny model súhlasu opt-in. Postoj PIPC k cookies bol konzistentný a bol potvrdený viacerými rozhodnutiami o vymáhaní počas rokov 2024 a 2025.

Päť Prvkov Platného Súhlasu

PIPA vyžaduje, aby súhlas s nepodstatnými cookies a podobnými technológiami bol:

• Špecifický na účel — všeobecný súhlas „dáždnik” nie je platný, každý účel spracovania potrebuje vlastný súhlas
• Informovaný — používateľ musí rozumieť, aké údaje sa zhromažďujú, prečo, kto ich dostáva a ako dlho
• Dobrovoľný — odmietnutie musí byť možné bez toho, aby bol odmietnutý služba, na ktorú má používateľ inak nárok
• Vyjadrený kladným úkonom — vopred zaškrtnuté políčka, implicitný súhlas a posúvanie ako súhlas sú všetky neplatné
• Samostatný pre každú kategóriu účelu — nevyhnutné, analytické, reklamné, personalizačné a cezhraničné prenosy každý vyžadujú vlastný samostatne zozbieraný súhlas

Ako Vyzerá Súladná CMP

CMP nakonfigurovaná pre kórejský prenos v roku 2026 by mala prezentovať:

• Viditeľný banner pred aktivovaním akéhokoľvek nepodstatného cookie, predvolene v kórejčine (한국어) pre kórejských používateľov
• Samostatné akcie Prijať, Odmietnuť a Prispôsobiť s rovnakou vizuálnou prominenciou — PIPC konkrétne citoval dizajny bannerov, kde Odmietnuť je menej viditeľné ako Prijať
• Granulárne ovládacie prvky na účel, vrátane explicitného prepínača pre cezhraničný prenos
• Samostatný, jasne označený tok pre spracovanie citlivých informácií, chránený za vlastnou akciou
• Trvalý, ľahko dostupný mechanizmus na odvolanie súhlasu po počiatočnej voľbe
• Zásady ochrany osobných údajov v kórejčine (개인정보 처리방침) s úplnými zverejneniami

Záznamy o Súhlase

Prevádzkovateľ musí udržiavať dôkaz o súhlase — kto súhlasil, kedy, s čím, prostredníctvom akého rozhrania. Exportovateľné protokoly súhlasov s časovou pečiatkou sú základným očakávaním a nedostatočné záznamy o súhlase boli citované v niekoľkých vymáhacích opatreniach PIPC.

Cezhraničné Prenosy po Zmenách z Roku 2023

Kórejský režim cezhraničných prenosov bol reštrukturalizovaný dôkladnejšie ako takmer akákoľvek iná národná aktualizácia ochrany súkromia po roku 2023. Pochopenie nového rámca je najväčšou jednotlivou medzerou v súlade pre zahraničných vydavateľov v roku 2026.

Nový Rámec Prenosov

Zmenená PIPA poskytuje štyri cesty pre legitímny cezhraničný prenos:

• Rozhodnutia o primeranosti vydané PIPC pre cieľové krajiny alebo sektory
• Certifikácia zahraničného príjemcu podľa certifikačnej schémy uznanej PIPC
• Štandardné zmluvy schválené PIPC, ktoré fungujú analogicky so štandardnými zmluvnými doložkami GDPR
• Samostatný explicitný súhlas od dotknutej osoby pre konkrétny prenos ako zvyškový mechanizmus

Prečo Je To Dôležité

Pred zmenami z roku 2023 sa väčšina cezhraničných tokov spoliehala na štvrtú cestu — súhlas na prenos — čo produkovalo hrubé, zložité CMP a ťažko sa udržiavalo pre programatické zásobníky. Rámec z roku 2023 umožňuje prevádzkovateľom spoliehať sa na štandardné zmluvy alebo certifikáciu, čím sa znižuje záťaž súhlasu a zosúlaďuje s medzinárodnou praxou. Vydavatelia, ktorí neaktualizovali svoje zmluvy s predajcami tak, aby odkazovali na štandardné zmluvy PIPC, stále predvolene fungujú podľa starého režimu, čo je teraz záväzok súladu, nie výhoda.

Praktický Prístup pre Rok 2026

Väčšina zahraničných vydavateľov teraz uzatvára štandardné zmluvy PIPC so svojimi zahraničnými spracovateľmi, dokumentuje mechanizmus prenosu v zásadách ochrany osobných údajov a ponecháva si samostatný súhlas na prenos ako záložné riešenie iba pre hraničné prípady. Toto je realizovateľné, obhájiteľné a výrazne jednoduchšie ako to, čo bolo predtým.

Automatizované Rozhodovanie a Algoritmická Transparentnosť

Zmeny z roku 2023 zaviedli právo nebyť predmetom plne automatizovaných rozhodnutí, ktoré produkujú významné účinky, a právo požadovať ľudské preskúmanie takýchto rozhodnutí. Pre vydavateľov sa toto vzťahuje najviditeľnejšie na algoritmickú kuráciu obsahu, personalizované stanovovanie cien a akékoľvek cielenie na publikum, ktoré produkuje významné diferenčné výsledky.

Povinnosti Zverejnenia

Prevádzkovatelia musia v zásadách ochrany osobných údajov zverejniť, že sa používa automatizované rozhodovanie, opísať základnú logiku a vysvetliť potenciálne významné účinky. To neznamená odhalenie vlastníckych algoritmov — ale vyžaduje to zmysluplné zhrnutie v jednoduchom jazyku, ktoré by typický používateľ mohol pochopiť.

Právo na Preskúmanie

Používatelia, ktorých sa týka významné automatizované rozhodnutie, môžu požadovať ľudské preskúmanie, opravu alebo vysvetlenie. Prevádzkovateľ musí poskytnúť kanál pre túto žiadosť a odpovedať v rámci štandardných lehôt PIPA.

Práva Dotknutých Osôb

PIPA udeľuje známy súbor práv uplatňovaných prostredníctvom kórejského rámca:

• Právo byť informovaný o spracovaní
• Právo prístupu k spracovaným údajom
• Právo na opravu nepresných údajov
• Právo na pozastavenie spracovania
• Právo na výmaz, keď spracovanie nie je ďalej odôvodnené
• Právo odvolať súhlas rovnako ľahko, ako bol udelený
• Právo namietať voči automatizovanému rozhodovaniu, ktoré produkuje významné účinky
• Právo podať sťažnosť na PIPC

Lehoty na Odpoveď

Prevádzkovatelia musia odpovedať na väčšinu žiadostí dotknutých osôb do 10 dní, s možnosťou predĺženia raz o ďalších 10 dní s oznámením — výrazne prísnejšie ako 30-dňové okno GDPR. Toto je jedna z bežnejších prevádzkových medzier pre zahraničných vydavateľov, ktorí majú typicky nástroje a príručky nastavené na 30-dňový rytmus GDPR.

Sankcie a Postoj k Vymáhaniu v Roku 2026

Vymáhacia aktivita PIPC výrazne eskalovala od roku 2023 a rok 2025 priniesol niektoré z najvyšších pokút v jej histórii — niekoľko z nich voči zahraničným platformám a vydavateľom.

Správne Pokuty

Zmeny z roku 2023 zvýšili hornú hranicu pokút na až 3 percentá z celkových príjmov za najzávažnejšie porušenia. Nižšie úrovne pokút sa vzťahujú na zlyhania týkajúce sa súhlasu, oznámení, bezpečnosti údajov, oznámenia o porušení a cezhraničných prenosov. PIPC bola ochotná použiť hornú úroveň v roku 2025, čo nebol jej historický vzorec.

Trestnoprávna Zodpovednosť

PIPA nesie trestné sankcie — vrátane väzenia — za najzávažnejšie porušenia, ako je nezákonný predaj osobných informácií alebo úmyselné rozsiahle porušenia. Tieto sú zriedkavé, ale reálne a boli vyvolané v prípadoch z roku 2025.

Témy Vymáhania

Opatrenia PIPC z roku 2025 sa zhlukujú okolo opakujúcich sa otázok: nedostatočné alebo nejednoznačné bannery súhlasov, cezhraničné prenosy bez platného mechanizmu po roku 2023, nedostatočné oznámenie o porušení a neschopnosť rešpektovať práva dotknutých osôb v rámci 10-dňového okna. Zahraniční vydavatelia boli citovaní vo všetkých štyroch kategóriách.

Kontrolný Zoznam Auditu pre Kórejský Prenos v Roku 2026

• Banner CMP je zobrazený v kórejčine (한국어) s Prijať, Odmietnuť a Prispôsobiť s rovnakou vizuálnou prominenciou
• Účely súhlasu sú granulárne a oddeľujú akékoľvek spracovanie citlivých informácií za vlastným špecifickým tokom súhlasu
• Cezhraničné prenosy sa spoliehajú na štandardnú zmluvu PIPC, certifikáciu alebo primeranosť — nie na starší súhlas na prenos
• Zásady ochrany osobných údajov (개인정보 처리방침) sú dostupné v kórejčine s úplnými zverejneniami spracovateľov, účelov, uchovávania a práv, vrátane logiky automatizovaného rozhodovania, kde je to relevantné
• Protokoly súhlasov sú s časovou pečiatkou, exportovateľné a uchovávané najmenej počas trvania spracovania plus auditovateľná rezerva
• Pracovný tok žiadostí dotknutých osôb dokáže odpovedať do 10 dní od začiatku do konca, v kórejčine
• Príručka na oznámenie o porušení je nastavená na 72-hodinové okno PIPC
• Zverejnenia o automatizovanom rozhodovaní sa nachádzajú v zásadách ochrany osobných údajov tam, kde sa robia významné rozhodnutia pomocou takýchto systémov
• Zoznam predajcov bol preskúmaný z hľadiska potreby, pričom nepoužívaní alebo nadbytočníí predajcovia boli odstránení

Výhľad na Rok 2026

Kórejský režim ochrany súkromia dozrel z jedného z prísnejších na papieri rámcov v Ázii na jeden z prísnejších vo vymáhaní globálne. Zmeny z roku 2023 odstránili štrukturálne bloky, ktoré predražili súlad, a PIPC použil dve roky odvtedy na zameranie sa na vymáhanie zvyšku zákona. Vydavatelia s zásobníkom súhlasov na úrovni GDPR potrebujú relatívne malé úpravy, aby boli pripravení pre Kóreu: CMP a zásady v kórejčine, štandardné zmluvy PIPC pre cezhraničné toky, 10-dňový rytmus odpovedí a starostlivosť so zoznamom citlivých informácií. Vydavatelia, ktorí stále zaobchádzajú s Kóreou ako s ľahším trhom, zistia, že roky 2026 a 2027 sú materiálne drahšie ako predchádzajúce roky. Dobrou správou je, že medzera je prevádzkového, nie architektonického charakteru, a možno ju uzavrieť v priebehu týždňov, ak sa jej určí priorita.