2023 Değişikliklerinin Ardından PIPA'nın Yapısı

PIPA, Güney Kore'deki birincil kişisel veri kanunudur ve değiştirilmiş versiyon, 2024'ten itibaren faaliyet gösteren her yayıncı için referans noktasıdır. 2023 öncesi metinden çalışan ekipler güncel olmayan bir çerçeveye bakıyor demektir.

2023 Değişikliklerinin Değiştirdikleri

2023 değişiklikleri birçok yapısal değişiklik getirdi:

• Tüm sektörlerde veri denetleyicisi yükümlülüklerini birleştirerek, daha önce bilgi ve iletişim hizmeti sağlayıcılarını diğer denetleyicilerden farklı ele alan parçalı rejimi ortadan kaldırdı
• Sınır ötesi transfer çerçevesini, transfere özgü açık onaydan GDPR modeline daha yakın yeterlilik ve güvence güvencelerine doğru yeniden yapılandırdı
• Önemli etkiler doğuran tamamen otomatik kararlara tabi olmama hakkını ve insan incelemesi talep etme hakkını açıkça getirdi
• Zorunlu ihlal bildirim penceresini 72 saate indirerek GDPR standardıyla eşleştirdi
• Ciddi ihlaller için idari para cezası tavanını toplam gelirin yüzde 3'üne kadar çıkardı — ihlal faaliyetinden elde edilen gelire bağlı önceki tavanlardan büyük bir artış

PIPC'nin Rolü

PIPC, soruşturma, para cezası uygulama, düzeltici emirler ve yaptırım kararlarının kamuoyuyla paylaşılması gibi yetkilere sahip birleşik veri koruma otoritesidir. 2023'ten bu yana, anlamlı biçimde genişletilmiş kaynaklarla ve görünür biçimde daha agresif bir yaptırım duruşuyla Kabine düzeyinde bir organ olarak faaliyet göstermektedir.

Kim Düzenlemeye Tabidir

PIPA, denetleyicinin nerede bulunduğundan bağımsız olarak Koreli sakinlerin kişisel bilgilerinin her türlü işlenmesine uygulanır. Yerelleştirilmiş bir site aracılığıyla Koreli kullanıcılara hizmet eden ABD merkezli bir yayıncı veya Kore envanteri üzerinde teklif veren programatik bir alıcı kapsam dahilindedir. Bu toprak dışı erişim, PIPC uygulamasında iyi yerleşmiş ve 2023'ten bu yana yabancı platformlara yönelik birçok yaptırım eyleminde güçlendirilmiştir.

Kişisel Bilgi Sayılan Nedir

PIPA tanımı geniştir. Kişisel bilgiler, bir kişiyi doğrudan veya diğer bilgilerle birleşimi yoluyla tanımlayabilecek yaşayan bir birey hakkındaki her türlü bilgiyi kapsar. PIPC, çevrimiçi tanımlayıcıların tüm aralığını — çerezler, reklam kimlikleri, IP adresleri, cihaz parmak izleri ve davranışsal profiller — doğrudan veya makul araçlarla bir bireyle ilişkilendirilebildiğinde kişisel bilgi olarak tutarlı biçimde ele almıştır.

Hassas Bilgiler

Kore hukuku, daha sıkı onay gereksinimleri tetikleyen hassas bilgiler (민감정보) için ayrı bir kategori belirler. Bu kategori; ideolojiyi, inançları, sendika veya siyasi parti üyeliğini, siyasi görüşleri, sağlığı, cinsel yaşamı, genetik verileri, kimlik doğrulama için kullanılan biyometrik verileri ve suç geçmişini kapsar. Hassas bilgilerin işlenmesi, olağan kişisel bilgileri kapsayabilecek toplu onayı değil, ayrı ve spesifik onayı gerektirir.

Benzersiz Tanımlayıcı Bilgiler

PIPA, ek bir kategori olan benzersiz tanımlayıcı bilgileri (고유식별정보) ayırır; bunlar arasında nüfus kayıt numaraları, pasaport numaraları, sürücü belgesi numaraları ve yabancı kayıt numaraları yer alır. Bunların işlenmesi sıkı biçimde kısıtlanmıştır ve pazarlama veya reklamcılık amaçları için genel olarak yasaktır.

Bu Çerezler İçin Neden Önemlidir

Basit bir oturum tanımlayıcısı depolayan bir çerez, olağan kişisel bilgidir ve genel onay rejimine tabidir. Hassas kategorilere dokunan bir kitle segmentini besleyen bir çerez — sağlık ilgileri, siyasi eğilimler, dini bağlantılar — hassas bilgiler alanına girer ve ayrı, spesifik onay akışı gerektirir. PIPA hassas listesiyle örtüşen kitleleri hedefleyen yayıncılar bu segmentleri genel reklam onayı kapsamında yönetmemelidir.

2026'da PIPA Kapsamında Çerez Onayı

Güney Kore katı bir opt-in onay modelini izlemektedir. PIPC'nin çerezlere ilişkin tutumu tutarlı olmuş ve 2024 ile 2025 boyunca birden fazla yaptırım kararıyla güçlendirilmiştir.

Geçerli Onayın Beş Unsuru

PIPA, zorunlu olmayan çerezler ve benzer teknolojiler için onayın şu şekilde olmasını gerektirir:

• Amaca özgü — genel kapsayıcı onay geçerli değildir; her işleme amacının kendi onayına ihtiyacı vardır
• Bilgilendirilmiş — kullanıcı hangi verilerin toplandığını, neden toplandığını, kimin aldığını ve ne kadar süreyle tutulduğunu anlamalıdır
• Gönüllü — kullanıcının aksi hâlde hak ettiği bir hizmetten yoksun bırakılmadan reddetme imkânı olmalıdır
• Olumlu bir eylemle ifade edilmiş — önceden işaretli kutular, zımni onay ve kaydırma ile onay hepsi geçersizdir
• Her amaç kategorisi için ayrı — zorunlu, analitik, reklam, kişiselleştirme ve sınır ötesi transfer her biri ayrı toplanmış kendi onayını gerektirir

Uyumlu Bir CMP Nasıl Görünür

2026'da Kore trafiği için yapılandırılmış bir CMP şunları sunmalıdır:

• Zorunlu olmayan çerezlerin tetiklenmesinden önce görünür bir banner; Koreli kullanıcılar için varsayılan olarak Korece (한국어) görüntülenir
• Eşit görsel belirginliğe sahip ayrı Kabul Et, Reddet ve Özelleştir seçenekleri — PIPC, Reddet'in Kabul Et'ten daha az görünür olduğu banner tasarımlarını özellikle belirtmiştir
• Sınır ötesi transfer için açık bir geçiş de dahil olmak üzere amaç başına ayrıntılı kontroller
• Hassas bilgi işleme için ayrı, açıkça etiketlenmiş bir akış; kendi eylemi arkasında korumalı
• İlk seçimin ardından onayı geri çekmek için kalıcı, kolayca bulunabilir bir mekanizma
• Tam açıklamalar içeren Korece gizlilik politikası (개인정보 처리방침)

Onay Kayıtları

Denetleyici, onay kanıtını tutmak zorundadır — kimin onay verdiği, ne zaman, neye, hangi arayüz üzerinden. Dışa aktarılabilir, zaman damgalı onay günlükleri temel beklentidir ve yetersiz onay kayıtları birçok PIPC yaptırım eyleminde gerekçe olarak gösterilmiştir.

2023 Değişikliklerinin Ardından Sınır Ötesi Transferler

Kore'nin sınır ötesi transfer rejimi, 2023 sonrasındaki neredeyse her ulusal gizlilik güncellemesinden daha kapsamlı biçimde yeniden yapılandırılmıştır. Yeni çerçeveyi anlamak, 2026'da yabancı yayıncılar için tek en büyük uyum açığıdır.

Yeni Transfer Çerçevesi

Değiştirilmiş PIPA, meşru sınır ötesi transfer için dört yol sunmaktadır:

• Hedef ülkeler veya sektörler için PIPC tarafından verilen yeterlilik kararları
• PIPC tarafından tanınan bir sertifikasyon şeması kapsamında yurt dışı alıcının sertifikasyonu
• PIPC tarafından onaylanan standart sözleşmeler; GDPR standart sözleşme maddelerine benzer şekilde işlev görür
• Artık mekanizma olarak belirli transfer için veri sahibinden ayrı açık onay

Bu Neden Önemlidir

2023 değişikliklerinden önce, sınır ötesi akışların büyük çoğunluğu dördüncü yola — transfer başına onay — dayanıyordu; bu da kalın ve karmaşık CMP'lere yol açıyordu ve programatik yığınlar için bakımı zordu. 2023 çerçevesi, denetleyicilerin standart sözleşmelere veya sertifikasyona dayanmasına izin vererek onay yükünü azaltıyor ve uluslararası uygulamayla uyumlu hâle getiriyor. Satıcı sözleşmelerini PIPC standart sözleşmelerine atıfta bulunacak şekilde güncellememiş yayıncılar, varsayılan olarak hâlâ eski rejim kapsamında faaliyet gösteriyor; bu ise artık bir varlık değil, uyum yükümlülüğüdür.

Pratik 2026 Yaklaşımı

Yabancı yayıncıların büyük çoğunluğu artık yurt dışındaki veri işleyicileriyle PIPC standart sözleşmelerini yürütmekte, gizlilik politikasında transfer mekanizmasını belgelemekte ve transfer başına ayrı onayı yalnızca kenar durumlar için bir geri dönüş olarak tutmaktadır. Bu uygulanabilir, savunulabilir ve daha önce olandan anlamlı biçimde daha basittir.

Otomatik Karar Alma ve Algoritmik Şeffaflık

2023 değişiklikleri, önemli etkiler doğuran tamamen otomatik kararlara tabi olmama hakkını ve bu tür kararlar için insan incelemesi talep etme hakkını getirdi. Yayıncılar açısından bu, en görünür biçimiyle algoritmik içerik küratörlüğüne, kişiselleştirilmiş fiyatlandırmaya ve önemli farklılaşmış sonuçlar doğuran her türlü kitle hedeflemesine uygulanmaktadır.

Açıklama Yükümlülükleri

Denetleyiciler, gizlilik politikasında otomatik karar almanın kullanıldığını açıklamak, temel mantığı açıklamak ve potansiyel önemli etkileri anlatmak zorundadır. Bu, özel algoritmaların ifşa edilmesi anlamına gelmemektedir — ancak tipik bir kullanıcının anlayabileceği anlamlı bir düz dil özeti gerektirmektedir.

İnceleme Hakkı

Önemli bir otomatik karardan etkilenen kullanıcılar, insan incelemesi, düzeltme veya açıklama talep edebilir. Denetleyici bu talep için bir kanal sağlamalı ve PIPA'nın standart süreleri içinde yanıt vermelidir.

Veri Sahibi Hakları

PIPA, Kore çerçevesi aracılığıyla uygulanan tanıdık hak kümesini vermektedir:

• İşleme hakkında bilgilendirilme hakkı
• İşlenen verilere erişim hakkı
• Hatalı verilerin düzeltilmesi hakkı
• İşlemenin askıya alınması hakkı
• İşlemenin artık gerekçesi kalmadığında silme hakkı
• Onayın verildiği kadar kolayca geri alınması hakkı
• Önemli etkiler doğuran otomatik karar almaya itiraz etme hakkı
• PIPC'ye şikayet etme hakkı

Yanıt Süreleri

Denetleyiciler, veri sahibinin çoğu talebine 10 gün içinde yanıt vermek zorundadır; bildirimle birlikte bir kez daha 10 gün uzatılabilir — GDPR'ın 30 günlük penceresinden çok daha sıkı. Bu, genellikle araçları ve çalışma kitapları 30 günlük GDPR ritmine göre ayarlanmış olan yabancı yayıncılar için en yaygın operasyonel açıklardan biridir.

2026'da Yaptırımlar ve Uygulama Tutumu

PIPC'nin yaptırım faaliyeti 2023'ten bu yana keskin biçimde yoğunlaştı; 2025 ise tarihindeki en büyük cezaların bazılarını üretti — bunların birkaçı yabancı platformlara ve yayıncılara yönelikti.

İdari Para Cezaları

2023 değişiklikleri, en ağır ihlaller için en üst para cezası dilimini toplam gelirin yüzde 3'üne kadar çıkardı. Onay, bildirim, veri güvenliği, ihlal bildirimi ve sınır ötesi transfere ilişkin başarısızlıklar için alt dilim cezaları uygulanmaktadır. PIPC, kendi tarihsel örüntüsü olmayan 2025'te en üst dilimi kullanmaya hazır olmuştur.

Cezai Sorumluluk

PIPA, kişisel bilgilerin yasadışı satışı veya kasıtlı büyük ölçekli ihlaller gibi en ağır ihlaller için hapis cezası da dahil olmak üzere cezai yaptırımlar içermektedir. Bunlar nadirdir ancak gerçektir ve 2025 davalarında da gündeme gelmiştir.

Yaptırım Temaları

PIPC'nin 2025 eylemleri, yinelenen konular etrafında kümelenmektedir: yetersiz veya belirsiz onay banerleri, 2023 sonrası geçerli mekanizma olmaksızın sınır ötesi transferler, yetersiz ihlal bildirimi ve veri sahibi haklarını 10 günlük pencerede yerine getirme başarısızlığı. Yabancı yayıncılar her dört kategoride de gerekçe gösterilmiştir.

2026'da Kore Trafiği için Denetim Kontrol Listesi

• CMP baneri, eşit görsel belirginliğe sahip Kabul Et, Reddet ve Özelleştir ile Korece (한국어) olarak sunulmaktadır
• Onay amaçları ayrıntılıdır ve hassas bilgilerin işlenmesi kendi spesifik onay akışının arkasında ayrı tutulmaktadır
• Sınır ötesi transferler, PIPC standart sözleşmesine, sertifikasyona veya yeterliliğe dayanmaktadır — eski transfer başına onaya değil
• Gizlilik politikası (개인정보 처리방침), geçerli olduğu yerlerde otomatik karar alma mantığı dahil olmak üzere işleyiciler, amaçlar, saklama ve hakların tam açıklamalarıyla Korece olarak mevcuttur
• Onay günlükleri zaman damgalıdır, dışa aktarılabilirdir ve en az işleme süresi artı denetlenebilir bir marj için tutulmaktadır
• Veri sahibi talebi iş akışı, Korece olarak uçtan uca 10 gün içinde yanıt verebilmektedir
• İhlal bildirimi çalışma kitabı, PIPC'nin 72 saatlik penceresine göre ayarlanmıştır
• Otomatik karar alma açıklamaları, bu tür sistemler kullanılarak önemli kararların alındığı yerlerde gizlilik politikasındadır
• Satıcı listesi gereklilik açısından gözden geçirilmiş; kullanılmayan veya gereksiz satıcılar kaldırılmıştır

2026 Görünümü

Güney Kore'nin gizlilik rejimi, Asya'daki kâğıt üzerinde daha sıkı çerçevelerden birinden küresel ölçekte pratikte daha sıkı olanlardan birine dönüştü. 2023 değişiklikleri, uyumluluğu pahalı kılan yapısal engelleri ortadan kaldırdı ve PIPC son iki yılı kanunun geri kalanının yaptırımına odaklanmak için kullandı. GDPR kalitesinde bir onay yığınına sahip yayıncıların Kore'ye hazır olmak için nispeten küçük düzenlemelere ihtiyacı var: Korece CMP ve politika, sınır ötesi akışlar için PIPC standart sözleşmeleri, 10 günlük yanıt ritmi ve hassas bilgiler listesine özen. Kore'yi daha hafif bir pazar olarak görmeye devam eden yayıncılar, 2026 ve 2027'yi önceki yıllardan maddi olarak daha pahalı bulacaktır. İyi haber şu ki açık operasyoneldir, mimari değil; öncelik verildiğinde haftalar içinde kapatılabilir.