Структура PIPA після поправок 2023 року

PIPA є основним законом про персональні дані в Південній Кореї, а змінена версія є відправною точкою для будь-якого видавця, що працює з 2024 року. Команди, які працюють із текстом до 2023 року, дивляться на застарілу систему.

Що змінили поправки 2023 року

Поправки 2023 року внесли кілька структурних змін:

• Уніфікували зобов'язання контролера даних у всіх секторах, усунувши фрагментований режим, який раніше по-різному трактував постачальників послуг в галузі інформації та зв'язку на відміну від інших контролерів
• Реструктурували систему транскордонної передачі, відійшовши від явної згоди на кожну передачу до моделей адекватності та захисних заходів, ближчих до моделі GDPR
• Запровадили чітке право не бути суб'єктом повністю автоматизованих рішень, що мають суттєві наслідки, з правом вимагати перегляду людиною
• Скоротили обов'язкове вікно повідомлення про порушення до 72 годин, відповідно до стандарту GDPR
• Підвищили стелю адміністративних штрафів до 3 відсотків від загального доходу за серйозні порушення — суттєве збільшення порівняно з попередніми лімітами, прив'язаними до доходу від порушеної діяльності

Роль PIPC

PIPC є єдиним органом із захисту даних, що має повноваження у сфері розслідування, накладення штрафів, корекційних наказів і публічного розкриття рішень про виконання. З 2023 року він функціонує як орган на рівні Кабінету міністрів зі значно розширеними ресурсами та помітно більш агресивною позицією щодо правозастосування.

Хто підпадає під регулювання

PIPA застосовується до будь-якої обробки персональних даних мешканців Кореї, незалежно від місцезнаходження контролера. Видавець зі США, що обслуговує корейських користувачів через локалізований сайт, або програматичний покупець, який робить ставки на корейський інвентар, підпадає під дію закону. Цей екстериторіальний охоплення добре закріплений у практиці PIPC і підтверджений у кількох примусових заходах проти іноземних платформ з 2023 року.

Що вважається персональними даними

Визначення PIPA є широким. Персональні дані включають будь-яку інформацію про живу фізичну особу, яка може ідентифікувати цю особу, безпосередньо або в поєднанні з іншою інформацією. PIPC послідовно розглядав весь спектр онлайн-ідентифікаторів — файли cookie, ідентифікатори реклами, IP-адреси, відбитки пальців пристрою та поведінкові профілі — як персональні дані, коли вони можуть бути пов'язані з особою безпосередньо або розумними засобами.

Чутлива інформація

Корейське законодавство виділяє окрему категорію чутливої інформації (민감정보), яка вимагає суворіших вимог до згоди. Вона включає ідеологію, переконання, членство в профспілці або політичній партії, політичні погляди, здоров'я, статеве життя, генетичні дані, біометричні дані, що використовуються для ідентифікації, і кримінальну історію. Обробка чутливої інформації вимагає окремої, специфічної згоди — а не пакетної згоди, яка може охоплювати звичайні персональні дані.

Унікальна ідентифікаційна інформація

PIPA виділяє додаткову категорію — унікальну ідентифікаційну інформацію (고유식별정보), яка включає реєстраційні номери жителів, номери паспортів, номери водійських посвідчень і реєстраційні номери іноземців. Її обробка суворо обмежена і загалом заборонена для маркетингових або рекламних цілей.

Чому це важливо для файлів cookie

Файл cookie, який зберігає простий ідентифікатор сесії, є звичайними персональними даними і підпадає під загальний режим згоди. Файл cookie, який живить сегмент аудиторії, що стосується чутливих категорій — інтересів зі здоров'я, політичних уподобань, релігійних зв'язків — потрапляє на територію чутливої інформації й вимагає окремого специфічного потоку згоди. Видавці, що таргетують аудиторії, які перетинаються зі списком чутливих даних PIPA, не повинні запускати ці сегменти під загальною рекламною згодою.

Згода на файли cookie відповідно до PIPA у 2026 році

Південна Корея дотримується суворої моделі отримання згоди opt-in. Позиція PIPC щодо файлів cookie була незмінною і підтверджена кількома рішеннями про виконання протягом 2024 і 2025 років.

П'ять елементів дійсної згоди

PIPA вимагає, щоб згода на неістотні файли cookie та подібні технології була:

• Специфічною для мети — загальна всеосяжна згода недійсна, кожна мета обробки потребує власної згоди
• Інформованою — користувач повинен розуміти, які дані збираються, чому, хто їх отримує і на який термін
• Добровільною — відмова має бути можливою без позбавлення доступу до послуги, на яку користувач інакше має право
• Виражена через ствердну дію — заздалегідь позначені прапорці, мовчазна згода та прокрутка як згода є недійсними
• Окремою для кожної категорії мети — основне, аналітичне, рекламне, персоналізаційне використання та транскордонна передача кожне потребують власної окремо зібраної згоди

Як виглядає відповідна CMP

CMP, налаштована для корейського трафіку у 2026 році, повинна відображати:

• Видимий банер перед активацією будь-якого неістотного файлу cookie; за замовчуванням на корейській (한국어) для корейських користувачів
• Окремі дії Прийняти, Відхилити та Налаштувати з однаковою візуальною помітністю — PIPC конкретно зазначав дизайни банерів, де «Відхилити» менш видимий, ніж «Прийняти»
• Детальні елементи керування для кожної мети, включаючи явний перемикач для транскордонної передачі
• Окремий, чітко позначений потік для обробки чутливої інформації, захищений власною дією
• Постійний, легкодоступний механізм відкликання згоди після початкового вибору
• Політику конфіденційності корейською мовою (개인정보 처리방침) з повними розкриттями

Записи про згоду

Контролер повинен зберігати докази згоди — хто дав згоду, коли, на що, через який інтерфейс. Журнали згоди, що підлягають експорту та позначені часовою міткою, є базовим очікуванням, а неналежні записи про згоду наводилися в кількох примусових заходах PIPC.

Транскордонні передачі після поправок 2023 року

Режим транскордонної передачі Кореї був реструктурований більш ретельно, ніж майже будь-яке інше національне оновлення конфіденційності після 2023 року. Розуміння нової системи — це найбільша окрема прогалина у відповідності для іноземних видавців у 2026 році.

Нова система передачі

Змінена PIPA передбачає чотири шляхи для законної транскордонної передачі:

• Рішення про адекватність, видані PIPC для країн або секторів призначення
• Сертифікація закордонного одержувача в рамках схеми сертифікації, визнаної PIPC
• Стандартні договори, затверджені PIPC, що функціонують аналогічно стандартним договірним умовам GDPR
• Окрема явна згода суб'єкта даних на конкретну передачу як залишковий механізм

Чому це важливо

До поправок 2023 року більшість транскордонних потоків покладалася на четвертий шлях — згоду на кожну передачу, — що призводило до громіздких, складних CMP і було важко підтримувати для програматичних стеків. Система 2023 року дозволяє контролерам покладатися на стандартні договори або сертифікацію, зменшуючи тягар згоди та узгоджуючись із міжнародною практикою. Видавці, які не оновили свої договори з постачальниками для посилання на стандартні договори PIPC, за замовчуванням все ще працюють у старому режимі, що тепер є зобов'язанням, а не активом.

Практичний підхід на 2026 рік

Більшість іноземних видавців нині укладають стандартні договори PIPC зі своїми закордонними обробниками, документують механізм передачі в політиці конфіденційності та зберігають окрему згоду на передачу як запасний варіант лише для граничних випадків. Це здійсненно, захищаємо і значно простіше, ніж раніше.

Автоматизоване прийняття рішень і алгоритмічна прозорість

Поправки 2023 року запровадили право не бути суб'єктом повністю автоматизованих рішень, що мають суттєві наслідки, і право вимагати їх перегляду людиною. Для видавців це найбільш очевидно стосується алгоритмічного кураторства контенту, персоналізованого ціноутворення та будь-якого таргетингу аудиторії, що призводить до суттєвих диференційованих результатів.

Зобов'язання щодо розкриття інформації

Контролери зобов'язані розкрити в політиці конфіденційності факт використання автоматизованого прийняття рішень, описати основну логіку та пояснити потенційні суттєві наслідки. Це не означає розкриття власних алгоритмів, але вимагає значущого викладення простою мовою, зрозумілою для типового користувача.

Право на перегляд

Користувачі, яких торкнулося суттєве автоматизоване рішення, можуть вимагати перегляду людиною, виправлення або пояснення. Контролер повинен надати канал для такого запиту і відповісти в стандартні терміни PIPA.

Права суб'єктів даних

PIPA надає знайомий кластер прав, що застосовуються через корейську систему:

• Право бути поінформованим про обробку
• Право доступу до оброблених даних
• Право на виправлення неточних даних
• Право на зупинення обробки
• Право на видалення, коли обробка більше не виправдана
• Право відкликати згоду так само легко, як вона була надана
• Право заперечувати проти автоматизованого прийняття рішень, що мають суттєві наслідки
• Право подати скаргу до PIPC

Строки відповіді

Контролери зобов'язані відповідати на більшість запитів суб'єктів даних протягом 10 днів, з можливістю одноразового продовження ще на 10 днів з повідомленням — значно суворіше, ніж 30-денне вікно GDPR. Це одна з найпоширеніших операційних прогалин для іноземних видавців, у яких, як правило, інструменти та інструкції налаштовані під 30-денний ритм GDPR.

Санкції та правозастосовна позиція у 2026 році

Правозастосовна активність PIPC різко зросла з 2023 року, а 2025-й дав деякі з найбільших штрафів за всю її історію — кілька з них на іноземні платформи та видавців.

Адміністративні штрафи

Поправки 2023 року підняли верхній рівень штрафів до 3 відсотків від загального доходу для найсерйозніших порушень. Штрафи нижчого рівня застосовуються за порушення щодо згоди, повідомлень, безпеки даних, повідомлення про порушення та транскордонної передачі. PIPC був готовий застосовувати верхній рівень у 2025 році, що не відповідало його попередній практиці.

Кримінальна відповідальність

PIPA передбачає кримінальні санкції — включаючи позбавлення волі — за найбільш кричущі порушення, такі як незаконний продаж персональних даних або навмисні масштабні витоки. Такі випадки рідкісні, але реальні, і в 2025 році їх було зафіксовано.

Теми правозастосування

Дії PIPC у 2025 році зосереджуються навколо повторюваних проблем: неналежні або неоднозначні банери згоди, транскордонні передачі без дійсного механізму після 2023 року, недостатнє повідомлення про порушення та невиконання прав суб'єктів даних у 10-денне вікно. Іноземних видавців було притягнуто у всіх чотирьох категоріях.

Контрольний список аудиту для корейського трафіку у 2026 році

• Банер CMP відображається корейською (한국어) з рівноцінно видимими кнопками Прийняти, Відхилити та Налаштувати
• Цілі згоди є детальними й відокремлюють будь-яку обробку чутливої інформації за власним специфічним потоком згоди
• Транскордонні передачі спираються на стандартний договір PIPC, сертифікацію або адекватність — не на застарілу згоду на кожну передачу
• Політика конфіденційності (개인정보 처리방침) доступна корейською із повним розкриттям інформації про обробників, цілі, зберігання і права, включно з логікою автоматизованого прийняття рішень там, де це застосовно
• Журнали згоди мають часові мітки, доступні для експорту та зберігаються щонайменше протягом строку обробки плюс перевіряється маржа
• Процес обробки запитів суб'єктів даних здатний відповідати протягом 10 днів від початку до кінця, корейською мовою
• Інструкцію щодо повідомлення про порушення налаштовано під 72-годинне вікно PIPC
• Розкриття інформації про автоматизоване прийняття рішень зазначено в політиці конфіденційності там, де суттєві рішення приймаються з використанням таких систем
• Список постачальників переглянуто на предмет необхідності; невикористані або надлишкові постачальники видалені

Прогноз на 2026 рік

Режим конфіденційності Південної Кореї перетворився з одного з найсуворіших на папері в Азії на один із найсуворіших за правозастосуванням у глобальному масштабі. Поправки 2023 року усунули структурні перешкоди, що робили відповідність дорогою, а PIPC протягом двох останніх років зосередився на виконанні решти закону. Видавці зі стеком згоди рівня GDPR потребують відносно невеликих коригувань для готовності до роботи в Кореї: CMP і політика корейською мовою, стандартні договори PIPC для транскордонних потоків, 10-денний ритм відповіді та увага до списку чутливих даних. Видавці, які все ще ставляться до Кореї як до більш м'якого ринку, виявлять, що 2026 і 2027 роки будуть суттєво дорожчими за попередні. Добра новина полягає в тому, що прогалина є операційною, а не архітектурною, і може бути закрита за кілька тижнів, якщо зробити її пріоритетом.