Struktura PIPA nakon izmena iz 2023.

PIPA je primarni zakon o ličnim podacima u Južnoj Koreji, a izmenjena verzija je referentna tačka za svakog izdavača koji posluje od 2024. nadalje. Timovi koji rade na tekstu pre 2023. gledaju zastareli okvir.

Šta su izmenile izmene iz 2023.

Izmene iz 2023. uvele su nekoliko strukturnih promena:

• Ujedinile su obaveze kontrolora podataka u svim sektorima, uklanjajući fragmentirani režim koji je prethodno različito tretirao pružaoce usluga informacionih i komunikacionih sistema od ostalih kontrolora
• Restrukturirale su okvir prekograničnog prenosa kako bi se udaljile od eksplicitnog pristanka po prenosu prema modelima adekvatnosti i zaštitnih mera bližim GDPR modelu
• Uvele su jasno pravo da ne budete podvrgnuti potpuno automatizovanim odlukama koje proizvode značajne efekte, uz pravo da zahtevate pregled od strane čoveka
• Zaoštrio je obavezni rok za obaveštavanje o povredi podataka na 72 sata, usklađujući se sa GDPR standardom
• Podigao je gornji prag administrativnih kazni na do 3 procenta ukupnog prihoda za ozbiljna kršenja — dramatično povećanje u odnosu na ranije limite vezane za prihod od aktivnosti kojom je izvršena povreda

Uloga PIPC-a

PIPC je ujedinjeno telo za zaštitu podataka, sa ovlašćenjima koja pokrivaju istragu, izricanje kazni, korektivne naloge i javno objavljivanje odluka o sprovođenju. Od 2023. funkcioniše kao telo na nivou Kabineta sa smisleno proširenim resursima i vidno agresivnijim stavom prema sprovođenju.

Ko je regulisan

PIPA se primenjuje na svaku obradu ličnih informacija korejskih rezidenata, bez obzira na to gde se kontrolor nalazi. Američki izdavač koji opslužuje korejske korisnike putem lokalizovanog sajta, ili programatski kupac koji licitira na korejski inventar, spada u opseg. Ovo eksteritorijalano dejstvo je dobro uspostavljeno u praksi PIPC-a i potkrepljeno je u više akcija sprovođenja protiv stranih platformi od 2023.

Šta se smatra ličnim podatkom

Definicija iz PIPA je široka. Lični podaci uključuju sve informacije o živoj osobi koje mogu identifikovati tu osobu, bilo direktno ili kombinacijom sa drugim informacijama. PIPC je dosledno tretirao čitav niz onlajn identifikatora — kolačiće, reklamne ID-ove, IP adrese, otiske prstiju uređaja i bihevioralne profile — kao lične podatke kada se mogu vezati za osobu direktno ili razumnim sredstvima.

Osetljive informacije

Korejski zakon definiše posebnu kategoriju osetljivih informacija (민감정보) koja aktivira strože zahteve za pristankom. Ovo uključuje ideologiju, uverenja, članstvo u sindikatu ili političkoj partiji, politička mišljenja, zdravlje, seksualni život, genetske podatke, biometrijske podatke koji se koriste za identifikaciju i krivičnu prošlost. Obrada osetljivih informacija zahteva poseban, specifičan pristanak — a ne skupni pristanak koji bi mogao pokriti obične lične informacije.

Jedinstvene identifikacione informacije

PIPA izdvaja dodatnu kategoriju, jedinstvene identifikacione informacije (고유식별정보), koja uključuje matične brojeve, brojeve pasoša, brojeve vozačkih dozvola i registracione brojeve stranaca. Obrada ovih podataka je strogo ograničena i generalno zabranjena za marketinške ili reklamne svrhe.

Zašto je ovo važno za kolačiće

Kolačić koji čuva jednostavan identifikator sesije jeste obična lična informacija i potpada pod opšti režim pristanka. Kolačić koji hrani segment publike koji dodiruje osetljive kategorije — zdravstvene interese, politička opredeljenja, verska opredeljenja — prelazi u teritoriju osetljivih informacija i zahteva poseban, specifičan tok pristanka. Izdavači koji ciljaju publiku koja se preklapa sa PIPA listom osetljivih podataka ne bi trebalo da vode te segmente pod opštim reklamnim pristankom.

Pristanak na kolačiće prema PIPA u 2026.

Južna Koreja prati strogi model opt-in pristanka. Stav PIPC-a o kolačićima bio je dosledan i potkrepljen je višestrukim odlukama o sprovođenju tokom 2024. i 2025.

Pet elemenata važećeg pristanka

PIPA zahteva da pristanak za nebitne kolačiće i slične tehnologije bude:

• Specifičan za svrhu — opšti sveobuhvatni pristanak nije validan, svaka svrha obrade zahteva sopstveni pristanak
• Informisan — korisnik mora razumeti koji podaci se prikupljaju, zašto, ko ih prima i na koliko dugo
• Dobrovoljan — odbijanje mora biti moguće bez uskraćivanja usluge na koju korisnik inače ima pravo
• Izražen afirmativnim činom — unapred označena polja, implicitni pristanak i skrolovanje kao pristanak su svi nevažeći
• Odvojeni za svaku kategoriju svrhe — suštinski, analitički, reklamni, personalizacioni i prekogranični prenos svaki zahteva sopstveni posebno prikupljeni pristanak

Kako izgleda usklađen CMP

CMP konfigurisan za korejski saobraćaj u 2026. treba da prikaže:

• Vidljivi baner pre nego što se aktivira bilo koji nebitni kolačić, sa podrazumevanim korejskim jezikom (한국어) za korejske korisnike
• Odvojene akcije Prihvati, Odbij i Prilagodi sa jednakom vizuelnom vidljivošću — PIPC je posebno citirao dizajne banera gde je Odbij manje vidljiv od Prihvati
• Granularne kontrole po svrsi, uključujući eksplicitni prekidač za prekogranični prenos
• Poseban, jasno označen tok za obradu osetljivih informacija, zaštićen sopstvenom akcijom
• Trajni, lako pronađen mehanizam za povlačenje pristanka nakon početnog izbora
• Politiku privatnosti na korejskom jeziku (개인정보 처리방침) sa potpunim objavljivanjima

Evidencija pristanka

Kontrolor mora čuvati dokaz o pristanku — ko je pristao, kada, na šta, putem kog interfejsa. Izvozivi, vremenski označeni zapisi o pristanku su osnovna očekivanja, a neadekvatna evidencija pristanka citirana je u nekoliko akcija sprovođenja PIPC-a.

Prekogranični prenosi nakon izmena iz 2023.

Korejski okvir za prekogranični prenos restrukturiran je temeljitije od gotovo svakog drugog nacionalnog ažuriranja privatnosti posle 2023. Razumevanje novog okvira predstavlja najveći pojedinačni jaz u usklađenosti za strane izdavače u 2026.

Novi okvir prenosa

Izmenjena PIPA pruža četiri puta za legitimni prekogranični prenos:

• Odluke o adekvatnosti koje je izdao PIPC za odredišne zemlje ili sektore
• Sertifikacija inostranog primaoca prema šemi sertifikacije koju je признao PIPC
• Standardni ugovori odobreni od strane PIPC-a, koji funkcionišu analogno standardnim ugovornim klauzulama GDPR-a
• Poseban eksplicitni pristanak subjekta podataka za specifični prenos, kao rezidualni mehanizam

Zašto je ovo važno

Pre izmena iz 2023, većina prekograničnih tokova oslanjala se na četvrti put — pristanak po prenosu — koji je rezultirao glomaznim, složenim CMP-ovima i bilo ga je teško održavati za programatske stekove. Okvir iz 2023. omogućava kontrolorima da se oslone na standardne ugovore ili sertifikaciju, smanjujući teret pristanka i usklađujući se sa međunarodnom praksom. Izdavači koji nisu ažurirali ugovore sa dobavljačima da upućuju na standardne ugovore PIPC-a i dalje po defaultu posluju pod starim režimom, što je sada obaveza usklađenosti a ne prednost.

Praktični pristup za 2026.

Većina stranih izdavača sada sklapa standardne ugovore PIPC-a sa svojim inostranim procesorima, dokumentuje mehanizam prenosa u politici privatnosti i zadržava poseban pristanak po prenosu samo kao rezervu za rubne slučajeve. Ovo je izvodljivo, branjivo i smisleno jednostavnije od onoga što je bilo pre.

Automatizovano donošenje odluka i algoritmična transparentnost

Izmene iz 2023. uvele su pravo da ne budete podvrgnuti potpuno automatizovanim odlukama koje proizvode značajne efekte, i pravo da zahtevate pregled od strane čoveka za takve odluke. Za izdavače, ovo se najvidljivije primenjuje na algoritmičko kuratiranje sadržaja, personalizovano određivanje cena i svako ciljanje publike koje proizvodi značajne diferencijalne ishode.

Obaveze objavljivanja

Kontrolori moraju objaviti u politici privatnosti da se koristi automatizovano donošenje odluka, opisati osnovnu logiku i objasniti potencijalne značajne efekte. Ovo ne znači otkrivanje vlasničkih algoritama — ali zahteva smisleni sažetak na prostom jeziku koji tipični korisnik može razumeti.

Pravo na pregled

Korisnici na koje je uticala značajna automatizovana odluka mogu zahtevati pregled od strane čoveka, ispravku ili objašnjenje. Kontrolor mora obezbediti kanal za ovaj zahtev i odgovoriti u standardnim rokovima PIPA-e.

Prava subjekta podataka

PIPA daje poznati skup prava, primenjen kroz korejski okvir:

• Pravo da budete informisani o obradi
• Pravo pristupa obrađenim podacima
• Pravo na ispravku netačnih podataka
• Pravo na obustavu obrade
• Pravo na brisanje kada obrada više nije opravdana
• Pravo da povučete pristanak jednako lako kao što je dat
• Pravo da se usprotivite automatizovanom donošenju odluka koje proizvodi značajne efekte
• Pravo da se pritužite PIPC-u

Rokovi za odgovor

Kontrolori moraju odgovoriti na većinu zahteva subjekta podataka u roku od 10 dana, sa mogućnošću produženja jednom za još 10 dana uz obaveštenje — znatno strože od 30-dnevnog prozora GDPR-a. Ovo je jedan od češćih operativnih nedostataka za strane izdavače, koji obično imaju alate i proceduralne vodiče podešene prema 30-dnevnom GDPR ritmu.

Kazne i stav prema sprovođenju u 2026.

Aktivnost sprovođenja PIPC-a naglo je eskalirala od 2023, a 2025. je donela neke od najvećih kazni u njenoj istoriji — nekoliko od njih protiv stranih platformi i izdavača.

Administrativne kazne

Izmene iz 2023. podigle su gornji nivo kazni na do 3 procenta ukupnog prihoda za najozbiljnija kršenja. Kazne nižeg nivoa primenjuju se za propuste u vezi sa pristankom, obaveštavanjem, bezbednošću podataka, obaveštavanjem o povredi i prekograničnim prenosom. PIPC je bio spreman da koristi gornji nivo u 2025, što nije bio njegov istorijski obrazac.

Krivična odgovornost

PIPA nosi krivične kazne — uključujući zatvor — za najozbiljnija kršenja, kao što su nezakonita prodaja ličnih informacija ili namerne povrede velikih razmera. Ove su retke ali realne i invocirane su u slučajevima iz 2025.

Teme sprovođenja

Akcije PIPC-a iz 2025. grupišu se oko ponavljajućih problema: neadekvatni ili nejasni baneri za pristanak, prekogranični prenosi bez važećeg mehanizma posle 2023, nedovoljno obaveštavanje o povredi i neizvršavanje prava subjekta podataka u roku od 10 dana. Strani izdavači navedeni su u sve četiri kategorije.

Kontrolna lista revizije za korejski saobraćaj u 2026.

• CMP baner servira se na korejskom (한국어) sa Prihvati, Odbij i Prilagodi sa jednakom vizuelnom vidljivošću
• Svrhe pristanka su granularne i odvajaju svaku obradu osetljivih informacija iza sopstvenog specifičnog toka pristanka
• Prekogranični prenosi oslanjaju se na standardni ugovor PIPC-a, sertifikaciju ili adekvatnost — a ne na nasleđeni pristanak po prenosu
• Politika privatnosti (개인정보 처리방침) dostupna je na korejskom sa potpunim objavljivanjem procesora, svrha, zadržavanja i prava, uključujući logiku automatizovanog donošenja odluka gde je primenjivo
• Zapisi o pristanku su vremenski označeni, izvozivi i čuvaju se najmanje za trajanje obrade plus proveriva margina
• Radni tok zahteva subjekta podataka može odgovoriti u roku od 10 dana od početka do kraja, na korejskom
• Proceduralni vodič za obaveštavanje o povredi podešen je na 72-časovni prozor PIPC-a
• Objavljivanja automatizovanog donošenja odluka nalaze se u politici privatnosti gde se značajne odluke donose pomoću takvih sistema
• Lista dobavljača pregledana je za neophodnost, sa nekorišćenim ili suvišnim dobavljačima uklonjenim

Perspektive za 2026.

Korejski režim privatnosti sazreo je od jednog od strožih-na-papiru okvira u Aziji u jedan od strožih-u-sprovođenju režima globalno. Izmene iz 2023. uklonile su strukturne prepreke koje su usklađivanje činile skupim, a PIPC je iskoristio prošle dve godine da se fokusira na sprovođenje ostatka zakona. Izdavači sa GDPR-kvalitetnim stekom pristanka trebaju relativno mala prilagođavanja da bi bili spremni za Koreju: CMP i politika na korejskom jeziku, standardni ugovori PIPC-a za prekogranične tokove, 10-dnevni ritam odgovora i pažnja prema listi osetljivih informacija. Izdavači koji još uvek tretiraju Koreju kao lakše tržište naći će 2026. i 2027. materijalno skupljim od prethodnih godina. Dobra vest je da je jaz operativni, a ne arhitektonski, i može biti zatvoren za nedelje ako se prioritizuje.