PIPA:s struktur efter 2023 års ändringar

PIPA är den primära lagen om personuppgifter i Sydkorea, och den ändrade versionen är referenspunkten för varje utgivare som verkar från och med 2024. Team som arbetar utifrån texten före 2023 tittar på ett föråldrat regelverk.

Vad 2023 års ändringar förändrade

2023 års ändringar innebar flera strukturella förändringar:

• Enhetliggjorde skyldigheter för personuppgiftsansvariga i alla sektorer och tog bort det fragmenterade regelverket som tidigare behandlade leverantörer av informations- och kommunikationstjänster annorlunda än andra personuppgiftsansvariga
• Omstrukturerade ramverket för gränsöverskridande överföringar för att gå bort från explicit samtycke per överföring mot mönster för adekvans och skyddsåtgärder som liknar GDPR-modellen
• Introducerade en tydlig rätt att inte vara föremål för helt automatiserade beslut som producerar betydande effekter, med rätt att begära mänsklig granskning
• Åtstramade den obligatoriska anmälningstiden för dataintrång till 72 timmar, i linje med GDPR-standarden
• Höjde taket för administrativa sanktionsavgifter till upp till 3 procent av den totala omsättningen för allvarliga överträdelser — en dramatisk ökning från tidigare tak kopplade till intäkterna från den specifika överträdelsen

PIPC:s roll

PIPC är den samlade dataskyddsmyndigheten med befogenheter som täcker utredning, påförande av böter, korrigerande ålägganden och offentliggörande av tillsynsbeslut. Sedan 2023 har den verkat som ett organ på kabinettsnivå med meningsfullt utökade resurser och en synbart mer aggressiv tillsynsattityd.

Vem regleras

PIPA gäller all behandling av koreanska invånares personuppgifter, oavsett var den personuppgiftsansvarige befinner sig. En USA-baserad utgivare som betjänar koreanska användare via en lokaliserad webbplats, eller en programmatisk köpare som lägger bud på koreanskt annonsutrymme, omfattas. Denna extraterritoriella räckvidd är välestablerad i PIPC:s praxis och har bekräftats i flera tillsynsåtgärder mot utländska plattformar sedan 2023.

Vad som räknas som personuppgifter

PIPA:s definition är bred. Personuppgifter inkluderar all information om en levande individ som kan identifiera individen, antingen direkt eller i kombination med annan information. PIPC har konsekvent behandlat hela spektrumet av onlineidentifierare — cookies, annons-ID:n, IP-adresser, enhetsfingeravtryck och beteendeprofiler — som personuppgifter när de kan kopplas till en individ direkt eller med rimliga medel.

Känsliga uppgifter

Koreansk lag fastställer en separat kategori av känsliga uppgifter (민감정보) som utlöser striktare samtyckeskrav. Detta inkluderar ideologi, övertygelser, fackförenings- eller politiskt partimedlemskap, politiska åsikter, hälsa, sexualliv, genetiska data, biometriska data som används för identifiering och brottshistorik. Behandling av känsliga uppgifter kräver separat, specifikt samtycke — inte det samlade samtycke som kan täcka vanliga personuppgifter.

Unika identifikationsuppgifter

PIPA skiljer ut ytterligare en kategori, unika identifikationsuppgifter (고유식별정보), som inkluderar personnummer, passnummer, körkortsnummer och utlänningsregistreringsnummer. Behandling av dessa är strikt begränsad och i allmänhet förbjuden för marknadsförings- eller reklamsyften.

Varför detta spelar roll för cookies

En cookie som lagrar en enkel sessionsidentifierare är vanliga personuppgifter och faller under det allmänna samtyckesregelverket. En cookie som matar ett målgruppssegment som berör känsliga kategorier — hälsointressen, politiska preferenser, religiösa tillhörigheter — hamnar i territoriet för känsliga uppgifter och kräver det separata, specifika samtyckeflödet. Utgivare som riktar sig mot målgrupper som överlappar med PIPA:s lista över känsliga uppgifter bör inte köra dessa segment under allmänt reklamsamtycke.

Cookie-samtycke enligt PIPA under 2026

Sydkorea följer en strikt opt-in-samtyckesmodell. PIPC:s ståndpunkt om cookies har varit konsekvent och bekräftats av flera tillsynsbeslut under 2024 och 2025.

De fem elementen i ett giltigt samtycke

PIPA kräver att samtycke för icke-nödvändiga cookies och liknande teknik ska vara:

• Specifikt för ändamålet — allmänt paraplysamtycke är inte giltigt, varje behandlingssyfte behöver sitt eget samtycke
• Informerat — användaren måste förstå vilka uppgifter som samlas in, varför, vem som tar emot dem och hur länge
• Frivilligt — det måste vara möjligt att neka utan att nekas en tjänst som användaren annars har rätt till
• Uttryckt genom en aktiv handling — förkryssade rutor, underförstått samtycke och scrollning som samtycke är alla ogiltiga
• Separat för varje ändamålskategori — nödvändigt, analytiskt, reklamändamål, personalisering och gränsöverskridande överföring behöver var och en sitt eget separat insamlade samtycke

Hur en efterlevande CMP ser ut

En CMP konfigurerad för koreansk trafik under 2026 bör visa:

• En synlig banner innan någon icke-nödvändig cookie aktiveras, med standard koreanska (한국어) för koreanska användare
• Separata åtgärder för Acceptera, Avvisa och Anpassa med lika visuell framträdanhet — PIPC har specifikt citerat bannerdesigner där Avvisa är mindre synlig än Acceptera
• Detaljerade kontroller per ändamål, inklusive en explicit växel för gränsöverskridande överföring
• Ett separat, tydligt märkt flöde för behandling av känsliga uppgifter, skyddat bakom sin egen åtgärd
• En beständig, lättillgänglig mekanism för att återkalla samtycke efter det initiala valet
• En integritetspolicy på koreanska (개인정보 처리방침) med fullständiga upplysningar

Samtyckesregister

Den personuppgiftsansvarige måste bevara bevis på samtycke — vem som samtyckte, när, till vad, via vilket gränssnitt. Exporterbara, tidsstämplade samtyckesloggar är baslinjeförväntningen, och otillräckliga samtyckesregister har citerats i flera av PIPC:s tillsynsåtgärder.

Gränsöverskridande överföringar efter 2023 års ändringar

Koreas ramverk för gränsöverskridande överföringar har omstrukturerats mer grundligt än nästan någon annan nationell integritetsuppdatering efter 2023. Att förstå det nya ramverket är den enskilt största efterlevnadsluckan för utländska utgivare under 2026.

Det nya överföringsramverket

Den ändrade PIPA erbjuder fyra vägar för legitim gränsöverskridande överföring:

• Adekvansbeslut utfärdade av PIPC för destinationsländer eller sektorer
• Certifiering av den utländska mottagaren enligt ett PIPC-erkänt certifieringssystem
• Standardavtal godkända av PIPC, som fungerar analogt med GDPR:s standardavtalsklausuler
• Separat uttryckligt samtycke från den registrerade för den specifika överföringen, som en residualåtgärd

Varför detta spelar roll

Före 2023 års ändringar förlitade sig de flesta gränsöverskridande flöden på den fjärde vägen — samtycke per överföring — vilket resulterade i tjocka, komplexa CMP:er och var svårt att underhålla för programmatiska stackar. 2023 års ramverk låter personuppgiftsansvariga förlita sig på standardavtal eller certifiering, vilket minskar samtycksbördan och anpassas till internationell praxis. Utgivare som inte har uppdaterat sina leverantörsavtal för att hänvisa till PIPC:s standardavtal verkar fortfarande som standard under det gamla regelverket, vilket nu är en efterlevnadsskuld snarare än en tillgång.

Den praktiska metoden för 2026

De flesta utländska utgivare genomför nu PIPC:s standardavtal med sina utländska personuppgiftsbiträden, dokumenterar överföringsmekanismen i integritetspolicyn och behåller separat samtycke per överföring enbart som reservlösning för undantagsfall. Detta är genomförbart, försvarsbart och meningsfullt enklare än det som gällde tidigare.

Automatiserat beslutsfattande och algoritmisk transparens

2023 års ändringar introducerade en rätt att inte vara föremål för helt automatiserade beslut som producerar betydande effekter, och en rätt att begära mänsklig granskning av sådana beslut. För utgivare gäller detta mest synbart algoritmisk innehållskurering, personaliserad prissättning och all målgruppsanpassning som producerar betydande differentiella utfall.

Upplysningsskyldigheter

Personuppgiftsansvariga måste i integritetspolicyn upplysa om att automatiserat beslutsfattande används, beskriva den grundläggande logiken och förklara de potentiella betydande effekterna. Detta innebär inte att avslöja egenutvecklade algoritmer — men det kräver en meningsfull sammanfattning på klarspråk som en typisk användare kan förstå.

Granskningsrätten

Användare som påverkas av ett betydande automatiserat beslut kan begära mänsklig granskning, korrigering eller en förklaring. Den personuppgiftsansvarige måste tillhandahålla en kanal för denna begäran och svara inom PIPA:s standardtidsfrister.

De registrerades rättigheter

PIPA tilldelar den välkända klustret av rättigheter, tillämpad genom det koreanska ramverket:

• Rätt att bli informerad om behandlingen
• Rätt att få tillgång till behandlade uppgifter
• Rätt till rättelse av felaktiga uppgifter
• Rätt till begränsning av behandlingen
• Rätt till radering när behandlingen inte längre är motiverad
• Rätt att återkalla samtycke lika enkelt som det gavs
• Rätt att invända mot automatiserat beslutsfattande som producerar betydande effekter
• Rätt att klaga till PIPC

Svarstider

Personuppgiftsansvariga måste svara på de flesta förfrågningar från registrerade inom 10 dagar, med möjlighet till förlängning en gång med ytterligare 10 dagar med meddelande — avsevärt striktare än GDPR:s 30-dagarsfönster. Detta är ett av de vanligare operativa luckorna för utländska utgivare, som vanligtvis har verktyg och driftshandböcker inställda på GDPR:s 30-dagarstakt.

Sanktioner och tillsynsattityd under 2026

PIPC:s tillsynsverksamhet har eskalerat kraftigt sedan 2023, och 2025 producerade några av de största böterna i dess historia — flera av dem mot utländska plattformar och utgivare.

Administrativa sanktionsavgifter

2023 års ändringar höjde den översta böternivån till upp till 3 procent av den totala omsättningen för de allvarligaste överträdelserna. Lägre nivåers böter gäller för brister kring samtycke, meddelanden, datasäkerhet, intrångsanmälan och gränsöverskridande överföring. PIPC har varit villigt att använda den översta nivån under 2025, vilket inte var dess historiska mönster.

Straffrättsligt ansvar

PIPA medför straffrättsliga påföljder — inklusive fängelse — för de mest flagranta överträdelserna, såsom olaglig försäljning av personuppgifter eller avsiktliga storskaliga intrång. Dessa är ovanliga men verkliga och har åberopats i 2025 års fall.

Tillsynsteman

PIPC:s åtgärder under 2025 kretsar kring återkommande frågor: otillräckliga eller tvetydiga samtyckesbannrar, gränsöverskridande överföringar utan giltig mekanism efter 2023, otillräcklig intrångsanmälan och misslyckande med att tillgodose registrerades rättigheter inom 10-dagarsfönstret. Utländska utgivare har citerats i alla fyra kategorierna.

Revisionschecklista för koreansk trafik under 2026

• CMP-bannern visas på koreanska (한국어) med Acceptera, Avvisa och Anpassa med lika visuell framträdanhet
• Samtyckessyften är detaljerade och separerar all känslig informationsbehandling bakom sitt eget specifika samtyckesflöde
• Gränsöverskridande överföringar förlitar sig på PIPC:s standardavtal, certifiering eller adekvansbeslut — inte på äldre samtycke per överföring
• Integritetspolicyn (개인정보 처리방침) är tillgänglig på koreanska med fullständiga upplysningar om personuppgiftsbiträden, ändamål, lagringstid och rättigheter, inklusive logik för automatiserat beslutsfattande där tillämpligt
• Samtyckesloggar är tidsstämplade, exporterbara och bevarade i åtminstone behandlingens varaktighet plus en reviderbar marginal
• Arbetsflödet för begäranden från registrerade kan svara inom 10 dagar från start till mål, på koreanska
• Driftshandboken för intrångsanmälan är inställd på PIPC:s 72-timmarsfönster
• Upplysningar om automatiserat beslutsfattande finns i integritetspolicyn där betydande beslut fattas med sådana system
• Leverantörslistan har granskats för nödvändighet, med oanvända eller redundanta leverantörer borttagna

Utsikterna för 2026

Sydkoreas integritetsregim har mognat från ett av de striktare-på-pappret-ramverken i Asien till ett av de striktare-i-tillsynen-regelverken globalt. 2023 års ändringar avlägsnade de strukturella hindren som hade gjort efterlevnad dyr, och PIPC har under de senaste två åren fokuserat på tillsynen av resten av lagen. Utgivare med en GDPR-klassad samtyckesstapel behöver relativt små justeringar för att vara Korea-redo: CMP och policy på koreanska, PIPC:s standardavtal för gränsöverskridande flöden, 10-dagarstakten för svar och omsorg med listan över känsliga uppgifter. Utgivare som fortfarande behandlar Korea som en lättare marknad kommer att uppleva 2026 och 2027 som materiellt dyrare än tidigare år. Den goda nyheten är att luckan är operativ, inte arkitektonisk, och kan stängas inom veckor om den prioriteras.