Struktura PIPA po Spremembah iz Leta 2023

PIPA je primarni zakon o osebnih podatkih v Južni Koreji, spremenjena različica pa je referenčna točka za vsakega založnika, ki deluje od leta 2024 naprej. Ekipe, ki delajo z besedilom pred letom 2023, gledajo na zastareli okvir.

Kaj so Spremembe iz Leta 2023 Spremenile

Spremembe iz leta 2023 so prinesle več strukturnih sprememb:

• Poenotile so obveznosti upravljavcev podatkov v vseh sektorjih, s čimer so odpravile razdrobljeni režim, ki je prej drugače obravnaval ponudnike informacijskih in komunikacijskih storitev kot druge upravljavce
• Prestrukturirale so okvir čezmejnih prenosov, da bi prešle od izrecne privolitve za vsak prenos k vzorcem ustreznosti in zaščitnih ukrepov, ki so bližje modelu GDPR
• Uvedle so jasno pravico, da se ni podvržen popolnoma avtomatiziranim odločitvam, ki prinašajo pomembne učinke, s pravico zahtevati pregled s strani človeka
• Zaostrile so obvezno okno za obveščanje o kršitvah na 72 ur, v skladu s standardom GDPR
• Zvišale so zgornjo mejo upravnih glob na do 3 odstotke celotnih prihodkov za resne kršitve — dramatično povečanje v primerjavi z prejšnjimi omejitvami, vezanimi na prihodke od kršiteljske dejavnosti

Vloga PIPC

PIPC je enotni organ za varstvo podatkov s pooblastili, ki zajemajo preiskave, nalaganje glob, korektivne odredbe in javno razkritje izvršilnih odločitev. Od leta 2023 deluje kot organ na ravni kabineta z bistveno razširjenimi viri in vidno bolj agresivnim pristopom k izvrševanju.

Kdo Je Reguliran

PIPA se nanaša na vsakršno obdelavo osebnih informacij korejskih rezidentov, ne glede na to, kje se nahaja upravljavec. Založnik s sedežem v ZDA, ki streže korejskim uporabnikom prek lokaliziranega spletnega mesta, ali programski kupec, ki daje ponudbe za korejski inventar, je v področju uporabe. Ta ekstrateritorialni doseg je dobro uveljavljen v praksi PIPC in je bil potrjen v številnih izvršilnih ukrepih proti tujim platformam od leta 2023.

Kaj Šteje za Osebne Informacije

Definicija PIPA je široka. Osebne informacije vključujejo vse informacije o živi osebi, ki jo je mogoče identificirati, bodisi neposredno bodisi v kombinaciji z drugimi informacijami. PIPC je dosledno obravnaval celoten spekter spletnih identifikatorjev — piškotke, oglaševalske ID-je, naslove IP, prstne odtise naprav in vedenjske profile — kot osebne informacije, kadar jih je mogoče neposredno ali z razumnimi sredstvi povezati s posameznikom.

Občutljive Informacije

Korejsko pravo označuje ločeno kategorijo občutljivih informacij (민감정보), ki sproži strožje zahteve glede privolitve. To vključuje ideologijo, prepričanja, članstvo v sindikatu ali politični stranki, politična mnenja, zdravje, spolno življenje, genetske podatke, biometrične podatke, ki se uporabljajo za identifikacijo, in kazensko zgodovino. Obdelava občutljivih informacij zahteva ločeno, specifično privolitev — ne združeno privolitev, ki bi lahko pokrivala navadne osebne informacije.

Edinstvene Identifikacijske Informacije

PIPA izloča dodatno kategorijo, edinstvene identifikacijske informacije (고유식별정보), ki vključuje registrske številke rezidentov, številke potnih listov, številke vozniških dovoljenj in registrske številke tujcev. Obdelava teh je strogo omejena in v splošnem prepovedana za tržne ali oglaševalske namene.

Zakaj Je To Pomembno za Piškotke

Piškotek, ki shranjuje preprost identifikator seje, je navadna osebna informacija in spada pod splošni režim privolitve. Piškotek, ki napaja segment občinstva, ki se dotika občutljivih kategorij — zdravstveni interesi, politične nagnjenja, verske povezave — prestopi v področje občutljivih informacij in zahteva ločen, specifičen tok privolitve. Založniki, ki ciljajo na občinstvo, ki se prekriva s seznamom občutljivih kategorij PIPA, teh segmentov ne smejo izvajati na podlagi splošne oglaševalske privolitve.

Privolitev za Piškotke po PIPA v Letu 2026

Južna Koreja sledi strogi modelu privolitve opt-in. Stališče PIPC o piškotkih je bilo dosledno in je bilo potrjeno z več izvršilnimi odločitvami v letih 2024 in 2025.

Pet Elementov Veljavne Privolitve

PIPA zahteva, da je privolitev za nebistvene piškotke in podobne tehnologije:

• Specifična glede namena — splošna privolitev „dežnik” ni veljavna, vsak namen obdelave potrebuje svojo privolitev
• Informirana — uporabnik mora razumeti, kateri podatki se zbirajo, zakaj, kdo jih prejme in za kako dolgo
• Prostovoljna — zavrnitev mora biti mogoča brez odrekanja storitve, do katere je uporabnik sicer upravičen
• Izražena s pritrdilnim dejanjem — vnaprej označena polja, implicitna privolitev in pomikanje kot privolitev so vse neveljavni
• Ločena za vsako kategorijo namena — bistveni, analitični, oglaševalski, personalizacijski in čezmejni prenosi vsak potrebuje svojo ločeno zbrano privolitev

Kako Izgleda Skladna CMP

CMP, konfigurirana za korejski promet v letu 2026, bi morala predstavljati:

• Vidni transparent pred aktiviranjem vsakega nebistvenenga piškotka, privzeto v korejščini (한국어) za korejske uporabnike
• Ločena dejanja Sprejmi, Zavrni in Prilagodi z enako vizualno vidnostjo — PIPC je posebej navedel zasnove transparentov, kjer je Zavrni manj viden kot Sprejmi
• Podrobne kontrole za vsak namen, vključno z izrecnim stikalom za čezmejni prenos
• Ločen, jasno označen tok za obdelavo občutljivih informacij, zaščiten za lastnim dejanjem
• Trajen, zlahka dostopen mehanizem za umik privolitve po začetni izbiri
• Pravilnik o zasebnosti v korejščini (개인정보 처리방침) s popolnimi razkritji

Zapisi o Privolitvi

Upravljavec mora hraniti dokaze o privolitvi — kdo je privolil, kdaj, k čemu, prek katerega vmesnika. Izvozljivi dnevniki privolitev s časovnim žigom so osnovno pričakovanje, neprimerni zapisi o privolitvi pa so bili navedeni v številnih izvršilnih ukrepih PIPC.

Čezmejni Prenosi po Spremembah iz Leta 2023

Korejski režim čezmejnih prenosov je bil prestrukturiran bolj temeljito kot skoraj vsaka druga nacionalna posodobitev zasebnosti po letu 2023. Razumevanje novega okvira je največja posamezna vrzel skladnosti za tuje založnike v letu 2026.

Novi Okvir Prenosa

Spremenjena PIPA določa štiri poti za legitimni čezmejni prenos:

• Odločitve o ustreznosti, ki jih je izdal PIPC za ciljne države ali sektorje
• Certifikacija tujega prejemnika v okviru certifikacijske sheme, ki jo je priznal PIPC
• Standardne pogodbe, ki jih je odobril PIPC in ki delujejo analogno standardnim pogodbenim klavzulam GDPR
• Ločena izrecna privolitev posameznika, na katerega se nanašajo podatki, za specifičen prenos, kot rezidualni mehanizem

Zakaj Je To Pomembno

Pred spremembami iz leta 2023 je večina čezmejnih tokov temeljila na četrti poti — privolitev za vsak prenos — kar je povzročilo obsežne, zapletene CMP in jih je bilo težko vzdrževati za programatične sklope. Okvir iz leta 2023 upravljavcem omogoča, da se zanesejo na standardne pogodbe ali certifikacijo, s čimer se zmanjša breme privolitve in uskladi z mednarodno prakso. Založniki, ki niso posodobili svojih pogodb z dobavitelji, da bi se sklicevali na standardne pogodbe PIPC, privzeto še vedno delujejo po starem režimu, kar je zdaj obveznost za skladnost in ne prednost.

Praktični Pristop za Leto 2026

Večina tujih založnikov zdaj sklepa standardne pogodbe PIPC s svojimi tujimi obdelovalci, dokumentira mehanizem prenosa v pravilniku o zasebnosti in obdrži ločeno privolitev za vsak prenos kot rezervno možnost samo za robne primere. To je izvedljivo, obranlivo in bistveno enostavnejše od tega, kar je bilo prej.

Avtomatizirano Odločanje in Algoritmična Preglednost

Spremembe iz leta 2023 so uvedle pravico, da se ni podvržen popolnoma avtomatiziranim odločitvam, ki prinašajo pomembne učinke, in pravico zahtevati pregled takih odločitev s strani človeka. Za založnike se to najvidneje nanaša na algoritmično kuriranje vsebin, personalizirano določanje cen in vsakršno ciljanje občinstva, ki prinaša pomembne diferencialne rezultate.

Obveznosti Razkritja

Upravljavci morajo v pravilniku o zasebnosti razkriti, da se uporablja avtomatizirano odločanje, opisati osnovno logiko in pojasniti potencialne pomembne učinke. To ne pomeni razkrivanja lastniških algoritmov — zahteva pa smiselno povzetek v preprostem jeziku, ki ga bi tipičen uporabnik razumel.

Pravica do Pregleda

Uporabniki, na katere vpliva pomembna avtomatizirana odločitev, lahko zahtevajo pregled s strani človeka, popravek ali razlago. Upravljavec mora zagotoviti kanal za to zahtevo in odgovoriti v standardnih rokih PIPA.

Pravice Posameznikov, na Katere se Nanašajo Podatki

PIPA podeljuje znano skupino pravic, ki se uveljavljajo prek korejskega okvira:

• Pravica biti obveščen o obdelavi
• Pravica dostopa do obdelanih podatkov
• Pravica do popravka netočnih podatkov
• Pravica do prekinitve obdelave
• Pravica do izbrisa, ko obdelava ni več upravičena
• Pravica umakniti privolitev enako enostavno, kot je bila dana
• Pravica ugovarjati avtomatiziranemu odločanju, ki prinaša pomembne učinke
• Pravica vložiti pritožbo pri PIPC

Roki za Odgovor

Upravljavci morajo odgovoriti na večino zahtev posameznikov, na katere se nanašajo podatki, v roku 10 dni, z možnostjo enkratnega podaljšanja za nadaljnjih 10 dni z obvestilom — bistveno strožje od 30-dnevnega okna GDPR. To je ena od pogostejših operativnih vrzeli za tuje založnike, ki imajo tipično orodja in priročnike, nastavljene na 30-dnevni ritem GDPR.

Sankcije in Pristop k Izvrševanju v Letu 2026

Izvršilna dejavnost PIPC se je od leta 2023 močno stopnjevala, leto 2025 pa je prineslo nekatere od najvišjih glob v njeni zgodovini — več od njih proti tujim platformam in založnikom.

Upravne Globe

Spremembe iz leta 2023 so dvignile najvišjo raven glob na do 3 odstotke celotnih prihodkov za najresnejše kršitve. Nižje ravni glob se nanašajo na pomanjkljivosti glede privolitve, obvestil, varnosti podatkov, obveščanja o kršitvah in čezmejnih prenosov. PIPC je bil v letu 2025 pripravljen uporabiti najvišjo raven, kar ni bil njen zgodovinski vzorec.

Kazenska Odgovornost

PIPA predvideva kazenske sankcije — vključno z zaporom — za najhujše kršitve, kot so nezakonita prodaja osebnih informacij ali namerne kršitve v velikem obsegu. Te so redke, a resnične, in so bile uveljavljene v primerih iz leta 2025.

Teme Izvrševanja

Ukrepi PIPC iz leta 2025 se združujejo okoli ponavljajočih se vprašanj: neustrezni ali dvoumni transparenti privolitve, čezmejni prenosi brez veljavnega mehanizma po letu 2023, nezadostno obveščanje o kršitvah in neizpolnjevanje pravic posameznikov v 10-dnevnem oknu. Tuji založniki so bili navedeni v vseh štirih kategorijah.

Revizijski Kontrolni Seznam za Korejski Promet v Letu 2026

• Banner CMP je prikazan v korejščini (한국어) s Sprejmi, Zavrni in Prilagodi z enako vizualno vidnostjo
• Namen privolitev je podroben in loči vsakršno obdelavo občutljivih informacij za lastnim specifičnim tokom privolitve
• Čezmejni prenosi temeljijo na standardni pogodbi PIPC, certifikaciji ali ustreznosti — ne na zastareli privolitvi za vsak prenos
• Pravilnik o zasebnosti (개인정보 처리방침) je na voljo v korejščini s popolnimi razkritji obdelovalcev, namenov, hrambe in pravic, vključno z logiko avtomatiziranega odločanja, kjer je to primerno
• Dnevniki privolitev imajo časovne žige, so izvozljivi in hranjeni vsaj za čas trajanja obdelave plus revizijsko mejo
• Potek dela za zahteve posameznikov, na katere se nanašajo podatki, lahko odgovori v 10 dneh od začetka do konca, v korejščini
• Priročnik za obveščanje o kršitvah je nastavljen na 72-urno okno PIPC
• Razkritja o avtomatiziranem odločanju so v pravilniku o zasebnosti tam, kjer se sprejemajo pomembne odločitve z uporabo takih sistemov
• Seznam dobaviteljev je bil pregledán z vidika nujnosti, pri čemer so bili odstranjeni neuporabljeni ali odvečni dobavitelji

Napoved za Leto 2026

Korejski režim zasebnosti je dozorel iz enega od strožjih na papirju okvirov v Aziji v enega od strožjih v izvrševanju na globalni ravni. Spremembe iz leta 2023 so odpravile strukturne ovire, ki so drago plasale skladnost, PIPC pa je dve leti od takrat usmeril na izvrševanje preostalega dela zakona. Založniki z skladom privolitev na ravni GDPR potrebujejo razmeroma majhne prilagoditve, da bodo pripravljeni za Korejo: CMP in pravilnik v korejščini, standardne pogodbe PIPC za čezmejne tokove, 10-dnevni ritem odgovorov in skrbnost s seznamom občutljivih informacij. Založniki, ki Korejo še vedno obravnavajo kot lažji trg, bodo ugotovili, da sta leti 2026 in 2027 bistveno dražji od prejšnjih let. Dobra novica je, da je vrzel operativna, ne arhitekturna, in jo je mogoče zapreti v tednih, če ji je dodeljena prednost.