Güney Kore PIPA: Veri Koruma Uyumluluk Kılavuzu

Güney Kore'nin Kişisel Bilgilerin Korunması Yasası (PIPA — 개인정보 보호법), dünyadaki en katı veri koruma yasalarından biri olarak kabul edilmektedir. Kapsamı kapsamlı, teknik gereklilikleri ayrıntılı olan ve Kişisel Bilgileri Koruma Komisyonu (PIPC — 개인정보보호위원회) tarafından agresif bir şekilde uygulanan PIPA'nın, Güney Kore'nin son derece dijitalleştirilmiş pazarında faaliyet gösteren veya hizmet veren herhangi bir işletme için önemli etkileri vardır.

2011'de yürürlüğe giren ve 2023'te büyük ölçüde değiştirilen PIPA, artık AB'nin GDPR'si de dahil olmak üzere uluslararası standartlarla daha uyumlu hale gelirken, zorunlu şifreleme gereklilikleri, belirli teknik standartlar ve Kore İletişim Komisyonu (KCC) ile Kore İnternet ve Güvenlik Ajansı'nın (KISA) gizlilik uygulama rollerinin entegrasyonunu takiben PIPC kapsamında birleşik bir uygulama yapısı gibi ayırt edici Kore özelliklerini korur.

Önemli Çıkarımlar

• PIPA, Güney Kore'de kişisel bilgileri işleyen, bölge dışı kapsamdaki tüm kamu ve özel kuruluşlar için geçerlidir.
• Hassas bilgiler (biyometri, sağlık, sabıka kayıtları, konum vb.) açık rıza gerektirir — rıza standardı diğer birçok yargı alanından daha katıdır
• Gizlilik politikası kamuya açıklanmalı ve PIPC yıllık denetim kılavuzu tarafından onaylanmalıdır
• PIPC'ye 72 saat içinde (belirli olaylar için 5 gün) veri ihlali bildirimi yapılması gerekir
• Rıza, sözleşmeye dayalı güvenceler veya yeterlilik tespiti olmadan sınır ötesi transferler yasaktır
• PIPC toplam gelirin %3'üne kadar para cezası uygulayabilir; 5 yıla kadar hapis cezasına çarptırılan cezalar
• Zorunlu teknik standartlar: özel şifreleme algoritmaları (hassas veriler için AES-256), erişim kontrolü gereksinimleri, takma ad kullanma kılavuzu
• Güney Koreli kullanıcıları olan denizaşırı operatörlerin yerel bir temsilci ataması gerekir

---

PIPA Çerçevesi ve Kapsamı

Kapsam

PIPA aşağıdakiler için geçerlidir:

• Kişisel bilgi işleyicileri: Kişisel bilgileri iş amacıyla işleyen herhangi bir kamu kurumu, kuruluş, kuruluş veya kişi
• Hem kamu sektörü (devlet kurumları) hem de özel sektör kuruluşları
• Yurtdışı operatörler: Güney Kore'de yerleşik olmayan, Güney Kore'de ikamet edenlere ürün veya hizmet sağlayan veya Güney Kore'de ikamet edenlerin davranışlarını izleyen kuruluşlar (Madde 2 ve 39-11)

2023 değişikliklerinde eklenen bu sınır dışı kapsam, GDPR Madde 3(2)'yi yansıtıyor ve denizaşırı operatörlerin Güney Koreli bir temsilci atamasını gerektiriyor.

Kişisel Bilgi Tanımı

PIPA kapsamındaki kişisel bilgiler (개인정보), yaşayan bir birey hakkında, o bireyin tanımlanmasına olanak tanıyan bilgiler anlamına gelir (diğer bilgilerle kombinasyon dahil), aşağıdakiler dahil:

• İsim, kayıt numarası (주민등록번호), resim
• Bir kişiyi tanımlamak için diğer bilgilerle kolayca birleştirilebilecek bilgiler

Takma ad bilgileri (가명정보): Ek bilgi olmadan kimliğin belirlenmesini imkansız hale getirecek şekilde işlenen kişisel bilgiler. Belirli kısıtlamalara tabi olarak, izin alınmadan istatistiksel derleme, araştırma ve arşivleme amacıyla kullanılabilir.

Anonimleştirilmiş bilgiler: Hiçbir koşulda yeniden tanımlanamayan bilgiler; artık kişisel bilgiler değildir ve PIPA kapsamı dışındadır.

---

Hassas Bilgiler

PIPA, hassas bilgileri (민감정보), sınırlı istisnalar dışında, toplanması ve kullanılması için açık onay gerektiren bilgiler olarak tanımlar. Kategoriler şunları içerir:

• İdeoloji, inanç
• İşçi sendikalarına veya siyasi partilere katılma veya ayrılma
• Siyasi görüşler
• Sağlık ve tıbbi bilgiler
• Cinsel yaşam ve cinsel yönelim
• Geçmiş sabıka kayıtları (suçlar ve cezalar)
• Bireyleri tanımlayabilecek biyometrik bilgiler
• Irk veya etnik köken
• Finansal bilgiler (hesap numaraları, kart numaraları — özel muamele gerektiren benzersiz kimlik bilgileri olarak sınıflandırılır)

İkamet kayıt numaraları (주민등록번호 — Kore ulusal kimliği): En yüksek korumayla tedavi edilir. Kanunların açıkça izin verdiği durumlar dışında toplama genel olarak yasaktır. İşleme ve üçüncü taraflara sağlanması sıkı bir şekilde düzenlenmiştir. Bu, dünya çapındaki en katı ulusal kimlik numarası korumalarından biridir.

---

Kişisel Bilgilerin İşlenmesine İlişkin Yasal Dayanaklar

PIPA'nın 15. Maddesi, kişisel bilgilerin toplanması ve kullanılmasına ilişkin beş yasal dayanağı sağlar:

1. Prior consent of the data subject
2. Yasanın özel hükümleri veya yasal yükümlülüklere uymak için gerekli
3. Önceden izin alınmasının mümkün olmadığı durumlarda veri sahibinin veya üçüncü tarafın açık ve önemli menfaatleri (hayati menfaatler)
4. Kamu kurumlarına kanun ve yönetmeliklerle verilen görevlerin yerine getirilmesi için gerekli
5. Kişisel bilgi işleyicisinin meşru çıkarları — makul bir kapsam dahilinde, işlemenin işleyicinin meşru çıkarları için açıkça gerekli olduğu durumlarda

Onay gereksinimleri:

• Bilgilendirilmiş: veri sahibine toplanan öğeler, amaç, saklama süresi ve sonuçlarıyla birlikte rızayı geri alma hakkı söylenmelidir
• Gönüllü: malların/hizmetlerin sağlanmasını isteğe bağlı işleme rızası şartına bağlayamaz
• Spesifik: her amaç için ayrı onay
• Yazılı kanıt: rıza kanıtını saklayın

---

Gizlilik Politikası Gereksinimleri

Madde 30, kişisel bilgi işlemcilerinin bir gizlilik politikası oluşturmasını ve kamuya açık olarak yayınlamasını gerektirir (개인정보 처리방침). Gerekli içerikler:

• İşlenen kişisel bilgi öğeleri
• İşleme amacı
• Saklama süresi (imha süresi)
• Üçüncü taraflara sağlanması halinde, üçüncü tarafların ayrıntıları, sağlanan öğeler, amaç ve saklama süresi
• İşlemenin (işleyicilerin) görevlendirilmesine ilişkin hususlar
• Veri sahiplerinin hakları ve yükümlülükleri ve bunların nasıl kullanılacağı
• Kişisel bilgilerin güvenliğinin sağlanması için alınan önlemler
• Kişisel Bilgi Koruma Görevlisinin adı ve iletişim bilgileri (PIPO — 개인정보 보호책임자)
• Veri sahibi hakları taleplerini ele alan departman
• Yurt dışı transfer bilgileri
• Otomatik toplama cihazları (çerezler)

Gizlilik politikası güncellemesi: Değişiklikler önceden bildirilmelidir. PIPC, model gizlilik politikası yönergeleri ve yıllık değerlendirme sağlar; minimum standardın altında puan alan şirketler, iyileştirme önerileri alır.

---

Kişisel Bilgi Koruma Görevlisi (PIPO)

Madde 31, tüm kişisel bilgi işlemcilerinin bir Kişisel Bilgi Koruma Görevlisi (개인정보 보호책임자) atamasını gerektirir. PIPO şunları yapmalıdır:

• Gizlilik konusunda yetki ve sorumluluğa sahip üst düzey yönetici olun
• Kişisel bilgilerin işlenmesiyle ilgili şikayetleri almak ve bunları işlemek
• Uyumluluğu izleyin
• Eğitim ve farkındalığı yönetin
• Gizlilik riski değerlendirmeleri yapın

PIPO kriterleri: Yalnızca nominal bir atama değil, kuruluşta önemli bir yetkiye sahip olmalıdır. PIPO, teknik önlemleri yönlendirme, tüm kişisel bilgi sistemlerine erişme ve liderlerle doğrudan iletişim kurma yetkisine sahip olmalıdır.

Yurtdışı operatörler: Güney Kore'de PIPO işlevlerinden sorumlu bir yerel temsilci atanmalıdır.

---

Teknik ve Güvenlik Gereksinimleri

PIPA ve uygulama düzenlemeleri (Kişisel Bilgi Güvenliği Önlemleri Standartları — 개인정보의 안전성 확보조치 기준), dünya çapında en kuralcı olanlar arasında yer alan ayrıntılı teknik gereksinimleri belirtir:

Şifreleme gereksinimleri:

• Şifreler: tek yönlü şifreleme algoritması kullanılarak şifrelenmelidir; düz metin depolama yasaktır
• Yerleşik kayıt numaraları, biyometrik, finansal bilgiler: AES-256 veya eşdeğeri kullanılarak şifrelenmelidir
• İletim şifrelemesi: Ağlar üzerinden iletilen tüm kişisel bilgiler için TLS/SSL gereklidir
• Mobil cihaz depolama: mobil cihazlardaki kişisel bilgiler için şifreleme gerekir

Erişim kontrolü gereksinimleri:

• Benzersiz kullanıcı kimlikleri; paylaşılan hesaplar yasaktır
• Görev gerekliliğine dayalı erişim kontrolü (en az ayrıcalık)
• Web hizmetlerinde maksimum 30 dakika işlem yapılmadığında oturum zaman aşımı
• 5 başarısız giriş denemesinden sonra hesabın kilitlenmesi
• Kişisel bilgi sistemlerine yönetici erişimi için iki faktörlü kimlik doğrulama gereklidir

Günlük yönetimine erişim:

• Kişisel bilgi veritabanlarına tüm erişimler kayıt altına alınmalıdır
• Günlükler şunları içermelidir: erişim kimliği, tarih ve saat, işlem türü (oluşturma, okuma, güncelleme, silme)
• Loglar en az 1 yıl (hassas ve sağlık bilgileri için 3 yıl) saklanmalıdır.
• Günlükler kurcalanmaya karşı korunmalıdır; anormallik tespiti uygulandı

Ağ ayrımı:

• 100.000'den fazla kişinin kişisel bilgilerini işleyen veya hassas bilgileri işleyen işlemciler için, internete bakan sistemler ile dahili kişisel bilgi sistemleri arasında ağ ayrımı gereklidir
• Güvenlik duvarı yapılandırması belgelenmelidir

Güvenlik açığı yönetimi:

• İşletim sistemleri ve ana yazılımlar için satıcının piyasaya sürülmesinden sonraki 6 ay içinde güvenlik yamaları uygulanır
• En az yıllık olarak güvenlik açığı değerlendirmeleri

---

Veri Sahibi Hakları

PIPA, veri sahiplerine belirli bir süre içinde yerine getirilmesi gereken hakları verir:

---

Sınır Ötesi Veri Aktarımı

Madde 28-8 (2023 değişikliği) uluslararası veri aktarımlarını düzenler:

İzin verilen mekanizmalar:

1. Onay: Aşağıdakilerin açıklanmasının ardından açık, önceden izin: alıcı bilgileri, aktarım amacı, aktarılan öğeler, saklama süresi ve reddetme haklarına ilişkin bilgiler
2. Yeterlilik tespiti: PIPC tarafından yeterli korumaya sahip olduğu belirlenen ülkelere transfer
3. Standart sözleşme maddeleri: PIPC onaylı SCC'lerin yurt dışındaki alıcıyla kullanımı
4. Bağlayıcı kurumsal kurallar: Grup içi transferler için PIPC tarafından onaylanmıştır
5. Sözleşme zorunluluğu: Veri sahibiyle yapılan sözleşme için aktarım gerekli
6. Yasal zorunluluk: Anlaşma veya uluslararası anlaşmanın gerektirdiği

PIPC yeterlilik listesi: PIPC, yeterli ülkeler listesini geliştiriyor. Şu anda AB'nin Güney Kore ile karşılıklı yeterlilik ilişkisi var. Japonya tartışılıyor.

Rızaya dayalı aktarımlar için bildirim gereklilikleri: Rıza almadan önce yapılması zorunlu olan açıklamalar şunları içerir: yabancı ülkenin adı, alıcının adı ve iletişim bilgileri, aktarımın amacı, aktarılan öğeler, saklama/kullanım süresi ve iznin reddedilmesi ve sonuçları hakkında bilgiler.

---

İhlal Bildirimi

Madde 34, kişisel bilgilerin kaybolması, çalınması veya sızması durumunda bildirim yapılmasını gerektirir:

PIPC'ye bildirim (Madde 34(3)): Kişisel bilgilerin kaybı, çalınması veya sızması durumunda gereklidir — aşağıdakileri içeren olaylar için 72 saat içinde:

• 1.000 veya daha fazla veri sahibi
• Hassas bilgiler veya benzersiz kimlik bilgileri
• Sistemik ihlalden şüphelenilen herhangi bir miktar

Diğer olaylar için: 5 iş günü içinde veri koruma yetkilisine (KISA, PIPC adına bir raporlama portalı işletmektedir) bildirim.

Bireysel bildirim (Madde 34(1)): Kayıp, hırsızlık veya sızıntı meydana geldiğinde aşırı gecikme olmaksızın gereklidir. Şunları içermelidir:

• Kaybolan, çalınan veya sızdırılan kişisel bilgiler
• Olayın zamanı (biliniyorsa)
• Veri sahiplerinin gerçekleştirebileceği eylemler
• Kişisel bilgi işlemcisinin iletişim bilgileri

PIPC'ye bildirim: PIPC/KISA olay raporu portalını (privacy.go.kr) kullanın.

---

PIPC Uygulaması ve Cezaları

Kişisel Bilgilerin Korunması Komisyonu (KİMK) 2020 yılında bağımsız bir komisyon olarak güçlendirilmiş ve 2023 değişiklikleriyle daha da yetkilendirilmiştir.

İdari cezalar:

• Meşru dayanak olmadan toplanan kişisel bilgileri içeren ihlaller veya üçüncü taraflara yetkisiz erişim nedeniyle toplam satış/gelirin%3'üne varan para cezaları
• Teknik koruma tedbirlerinin ciddi şekilde ihlal edilmesi durumunda toplam satışların %3'üne varan para cezaları
• Düzeltici emirler: PIPC operasyonel değişiklikler, veri imhası, kamuya duyurulması emrini verebilir

Ceza cezaları (Madde 70-74):

• Kişisel bilgilerin rızası olmadan toplanması: 5 yıla kadar hapis + 50 milyon₩'a kadar para cezası
• Rıza olmadan üçüncü şahıslara hizmet vermek: 5 yıla kadar hapis + 50 milyon₩'a kadar para cezası
• Mukim kayıt numarası işleme yasağını ihlal etmek: 5 yıla kadar hapis + 100 milyon₩'a kadar para cezası
• Veri komisyoncusu ihlalleri: 10 yıla kadar hapis

Son yaptırım: PIPC, Meta'ya hassas bilgileri izinsiz topladığı için 2022'de 6,7 milyar₩ (5 milyon dolar) tutarında para cezasına çarptırıldı. Samsung Electronics birden fazla PIPC yönlendirme eylemi aldı. Kakao, veri işleme uygulamaları nedeniyle araştırıldı. Yaptırım aktif ve genişliyor.

---

PIPA Uyumluluk Kontrol Listesi

• Yurt dışı operatör durumu da dahil olmak üzere PIPA'nın uygulanabilirliği onaylandı
• Güney Kore temsilcisi belirlendi (denizaşırı operatörler)
• Hassas bilgilerin tanımlanmasını da içeren kişisel bilgi envanteri tamamlandı
• Yerleşik kayıt numaralarının kullanımı değerlendirildi — yasal olarak gerekmedikçe toplama kaldırıldı
• Her işleme faaliyeti için belgelenen yasal dayanak
• Onay formları incelendi: spesifik, bilgilendirilmiş, gönüllü, her amaç ayrı
• Gerekli tüm unsurları içeren web sitesinde yayınlanan gizlilik politikası
• PIPO belirlendi: uygun yetkiye sahip üst düzey yönetici
• Uygulanan erişim kontrolleri: benzersiz kimlikler, oturum zaman aşımı (30 dakika), 5 hatadan sonra kilitleme
• Şifreleme uygulandı: hassas/biyometrik/finansal veriler için AES-256; İletim için TLS; şifreler için tek yönlü
• Erişim günlükleri etkinleştirildi ve yapılandırıldı (minimum 1 yıl, hassas olanlar için 3 yıl saklanır)
• 100.000'den fazla kişinin işlenmesi durumunda ağ ayrımı uygulandı
• Veri sahibi hakları prosedürleri: Erişim/düzeltme/askıya alma için 10 günlük yanıt
• Yurt dışı transferler için sınır ötesi transfer mekanizmaları mevcut
• PIPC'ye 72 saatlik ihlal bildirimi prosedürü
• Bireysel ihlal bildirim prosedürü belgelendi
• PIPA yükümlülüklerine ilişkin çalışan eğitimi tamamlandı
• Yıllık güvenlik açığı değerlendirmesi planlandı

---

Sıkça Sorulan Sorular

PIPA neden dünya çapındaki en katı veri koruma yasalarından biri olarak kabul ediliyor?

PIPA, kapsamlı kapsamı (küçük işletmeler dahil tüm kuruluşlar için geçerlidir), katı izin gerekliliklerini (açık, amaca özel, gönüllü), kuralcı teknik standartları (zorunlu şifreleme algoritmaları, özel erişim günlüğü gereksinimleri, ağ ayrımı), güçlü yaptırımı (10 yıla kadar ceza cezaları, gelirin %3'ü kadar idari para cezaları) ve dünyadaki en katı ulusal kimlik korumalarından biri olan ulusal ikamet kayıt numaralarının kullanılması yasağını birleştirir. PIPC büyük yerli ve yabancı şirketlere ceza verme isteğini ortaya koydu. Ek olarak, PIPA'nın ayrıntılı uygulama düzenlemeleri, alternatif uyumluluk yaklaşımlarına GDPR'nin ilke temelli çerçevesine göre daha az yer bırakıyor.

PIPA kapsamındaki özel şifreleme gereksinimleri nelerdir?

PIPA uygulama düzenlemeleri (Kişisel Bilgi Güvenliği Önlemleri Standartları) şunları belirtir: (1) Parolalar tek yönlü karma işlevi (bcrypt, Argon2 veya onaylı algoritmalar) kullanılarak saklanmalıdır — düz metin veya tersine çevrilebilir şifreleme yasaktır; (2) Hassas bilgiler, yerleşik kayıt numaraları, biyometrik bilgiler ve finansal hesap numaraları, depolama için minimum AES-128 (AES-256 önerilir) kullanılarak şifrelenmelidir; (3) Ağlar üzerinden iletilen tüm kişisel bilgiler TLS 1.2 veya üzerini kullanmalıdır; (4) Mobil cihazlardaki kişisel bilgilerin şifrelenmesi gerekir; (5) Bulut tabanlı sistemler için uçtan uca şifreleme önerilir.

2023 PIPA değişiklikleri kapsamında takma adlı bilgiler nedir?

Takma ad bilgileri (가명정보), 2020 değişikliğinde (2023'ten itibaren geçerli) kişisel bilgiler ile anonim bilgiler arasında bir kategori olarak tanıtıldı. Belirli bir kişinin ek bilgiler kullanılmadan kimliğinin tespit edilemeyecek şekilde işlenen, güvenlik tedbirleriyle ayrı tutulan kişisel bilgileri ifade eder. Takma ad bilgileri istatistiksel derleme, bilimsel araştırma veya kamu kayıtlarının korunması için izinsiz kullanılabilir; bu, gizlilik riskini azaltırken veri analitiğine olanak tanır. İşleyiciler şunları yapmalıdır: ek bilgileri (eşleme tablosunu) ayrı ve güvenli bir şekilde saklamalı; yeniden kimlik belirleme girişimlerini yasaklamak; takma ad kullanma kayıtlarını tutmak; teknik ve idari güvenlik tedbirlerini uygulamak.

PIPA'nın "meşru menfaatler" temeli nasıl işliyor?

PIPA kapsamındaki meşru menfaat esası (Madde 15(1)(6)) 2023 değişikliklerinde getirilmiştir. Veri sahiplerinin haklarını ihlal etmeden, işleyicinin meşru çıkarları için açıkça gerekli olduğu durumlarda işlemeye izin verir. Bu, GDPR'nin meşru çıkarlarını yansıtır, ancak daha dar bir uygulama alanıyla — PIPA'nın yasama geçmişi, bunun, rıza yerine genel amaçlı bir temel olarak değil, tesadüfi, tamamlayıcı işlemler için kullanılması gerektiğini göstermektedir. İşleyici meşru menfaati belgelemeli, bu menfaatin veri sahiplerinin menfaatlerine üstün gelip gelmediğini değerlendirmeli ve güvenlik tedbirleri uygulamalıdır. Hassas bilgiler meşru menfaatler kapsamında toplanamaz/kullanılamaz; açık onay veya özel yasal yetki gerektirir.

PIPC'ye 72 saat içinde bildirimde bulunulmasını gerektiren bir veri ihlali nedir?

72 saatlik bildirim gerekliliği şu durumlarda geçerlidir: (1) 1.000 veya daha fazla veri sahibinin kayıp, hırsızlık veya sızıntıdan etkilenmesi; (2) Herhangi bir ihlalde hassas bilgilerin veya benzersiz kimlik bilgilerinin (ikamet kayıt numaraları, pasaport numaraları, sürücü belgesi numaraları, yabancı kayıt numaraları) yer alması; (3) İhlal sistemik görünmektedir (daha geniş bir güvenlik açığına işaret etmektedir). Diğer ihlallerin (hassas olmayan verileri olan 1.000'den az kişiyi etkileyen) 5 iş günü içinde bildirimi gerekir. Bildirim PIPC/KISA raporlama portalı (privacy.go.kr) aracılığıyla yapılmalıdır. Ölçek ne olursa olsun, bir ihlalin tespit edilmesinin hemen ardından bireysel bildirim gereklidir.

---

Sonraki Adımlar

Güney Kore'nin PIPA'sı, hem organizasyonel süreçlere hem de teknik altyapıya yatırım yapılmasını gerektiren zorlu bir uyumluluk çerçevesidir. Güney Kore pazarına giren veya mevcut Kore operasyonlarını genişleten işletmeler için, PIPA uyumluluğunu baştan itibaren sistem mimarinize dahil etmek (özellikle şifreleme gereksinimleri ve erişim günlüğü), yenileme yapmaktan önemli ölçüde daha verimlidir.

ECOSIRE'ın teknoloji uygulama ekibi, PIPA uyumlu mimarilerin tasarlanmasına, gereken belirli teknik standartların uygulanmasına ve Güney Kore pazarına uygun gizlilik yönetimi süreçlerinin oluşturulmasına yardımcı olabilir.

Daha fazla bilgi edinin: ECOSIRE Hizmetleri

Yasal Uyarı: Bu kılavuz yalnızca bilgilendirme amaçlıdır ve yasal tavsiye niteliğinde değildir. PIPA önemli ölçüde değiştirildi ve gelişmeye devam ediyor. Kuruluşunuza özel tavsiyeler için yetkili Kore hukuk müşavirine danışın.