Если ваша деятельность в Корее предполагает сбор сведений о клиентах, сотрудниках или посетителях сайта, Закон о защите персональной информации (PIPA) почти наверняка применим. PIPA — один из наиболее строгих режимов защиты данных в мире, и он распространяется на иностранные компании, обрабатывающие персональные данные людей в Корее, даже если сама обработка происходит за рубежом. Рассматривать соответствие как нечто второстепенное — частая и дорогостоящая ошибка для входящего бизнеса.
Подход, основанный на согласии
PIPA построен на принципе, что персональные данные, как правило, можно собирать и использовать только при информированном согласии человека или на ином законном основании. На практике это означает чётко сообщать людям, что вы собираете, зачем, как долго храните и кому раскрываете. К чувствительной информации и уникальным идентификаторам применяются более строгие правила. Когда вы опираетесь на согласие, оно должно быть конкретным и добровольным, а объединение несвязанных согласий не приветствуется. Шаблонная скопированная политика конфиденциальности редко отвечает требованиям.
Трансграничная передача и подрядчики
Многие компании с иностранным участием направляют корейские данные в зарубежные штаб-квартиры или облачным провайдерам. PIPA регулирует такую передачу за рубеж и обычно требует, чтобы люди были проинформированы, а во многих случаях — чтобы были соблюдены определённые условия до того, как данные покинут Корею. Привлекая обработчиков или передавая обработку на аутсорсинг, вы обязаны заключить надлежащие соглашения и контролировать, как эти подрядчики защищают данные. Ответственность не переходит автоматически к поставщику услуг.
Что необходимо внедрить
Начните с инвентаризации данных: что вы собираете, где это хранится, у кого есть доступ и куда данные перемещаются. Подготовьте уведомление о конфиденциальности на корейском языке, отражающее вашу реальную практику. Создайте механизм получения согласия, соответствующий вашим услугам, обеспечьте данные разумными техническими и организационными мерами и определите правила хранения и удаления. Разработайте план реагирования на инциденты, поскольку PIPA предполагает оперативное уведомление пострадавших и органов при наступлении подпадающего под требования инцидента. Назначьте внутри компании ответственного за защиту данных.
Почему важен надзор
Комиссия по защите персональной информации осуществляет надзор за соблюдением PIPA и может выносить предписания об устранении нарушений и налагать денежные санкции, а пострадавшие лица вправе требовать компенсацию вреда. Практика последних лет показывает готовность принимать меры в отношении как местных, так и иностранных операторов, а финансовые последствия серьёзного нарушения могут быть значительными. Для компании, выходящей на рынок, демонстрация соответствия всё чаще становится условием работы с корейскими партнёрами и платформами, многие из которых запрашивают подтверждение надёжной практики обращения с данными до интеграции с новым сервисом. Восприятие PIPA как конкурентного преимущества, а не обузы, обычно окупается по мере масштабирования бизнеса.
Соответствие в области данных лучше закладывать с самого начала, а не достраивать после запроса регулятора. Мы консультируем компании с иностранными инвестициями по построению практик, согласованных с PIPA, по подготовке уведомлений и соглашений об обработке и по реагированию на инциденты. Если вы запускаете деятельность или уже работаете в Корее, обратитесь к нам, чтобы проверить практику работы с данными прежде, чем она станет источником ответственности.