Korea Południowa zaostrza wymogi dotyczące krajowych agentów dla zagranicznych administratorów danych

W marcu 2025, Zgromadzenie Narodowe Korei Południowej przyjęło poprawkę do ustawy o ochronie danych osobowych, która znacznie wzmacnia wymagania dotyczące agentów krajowych dla zagranicznych administratorów danych i podmiotów przetwarzających dane bez fizycznej obecności w kraju.

Wcześniej PIPA wymagała od zagranicznych podmiotów przetwarzających dane osobowe bez adresu lub biura w Korei wyznaczenia przedstawiciela krajowego do obsługi obowiązków związanych z prywatnością, takich jak powiadomienia o naruszeniu danych, rozpatrywanie skarg i reprezentacja. W rozporządzeniu brakowało jednak konkretów i mechanizmów egzekwowania, co doprowadziło do:

- Wielu agentów krajowych dzielących jeden adres, często bez rzeczywistej struktury operacyjnej.

- Niejasnych obowiązków delegowanych na agenta, zasadniczo odzwierciedlających rolę inspektora ochrony danych bez nadzoru.

- Brak kar za pominięcie kluczowych danych agenta (takich jak numer telefonu) w polityce prywatności.

Poprawka wprowadza:

✔️ Jasne kryteria wyznaczania agentów krajowych.

✔️ Zobowiązanie podmiotu zagranicznego do zarządzania i nadzorowania agenta krajowego.

✔️ Wymóg, że jeśli spółka zagraniczna posiada krajową spółkę zależną, musi ona zostać wyznaczona jako agent.

✔️ Grzywny administracyjne w wysokości do 20 milionów KRW (~15 000 USD) za nieprzestrzeganie przepisów (np. niewyznaczenie agenta, brak nadzoru lub niepublikowanie wymaganych danych kontaktowych).

✔️ Obowiązkowe ujawnienie imienia i nazwiska, adresu, numeru telefonu i adresu e-mail agenta w polityce prywatności.

Aktualizacja Korei Południowej dostosowuje PIPA do międzynarodowych standardów:

- Zgodnie z art. 27 RODO administratorzy/przetwarzający spoza UE muszą wyznaczyć przedstawiciela UE.

- UKGDPR utrzymuje ten wymóg po Brexicie dla podmiotów spoza Wielkiej Brytanii.

- Szwajcarska ustawa federalna o ochronie danych osobowych również nakłada obowiązek posiadania szwajcarskiego przedstawiciela w przypadku niektórych działań związanych z transgranicznym przetwarzaniem danych.

Jeśli Twoja organizacja jest skierowana do mieszkańców Korei Południowej lub przetwarza ich dane osobowe, jesteś teraz prawnie zobowiązany do wyznaczenia lokalnego przedstawiciela i zarządzania nim. Samo wyznaczenie agenta już nie wystarcza - teraz wymagane jest aktywne zarządzanie i gotowość operacyjna.

South Korea Strengthens Domestic Agent Requirements for Foreign Data Controllers

On March 2025, South Korea’s National Assembly passed an amendment to the Personal Information Protection Act that significantly strengthens the domestic agent requirements for foreign data controllers and processors without a physical presence in the country.

Previously, PIPA required foreign personalinformation processors without an address or office in Korea to designate a domestic agent to handleprivacy -related obligations—such as data breach notifications, complaint handling, and representation. However, the regulation lacked specificity and enforcement mechanisms, which led to:

- Multiple domestic agents sharing a single address, often with no real operational structure.

- Vague responsibilities delegated to the agent, essentially mirroring the role of the data protection officer without oversight.

- No penalties for omitting key agent details (like phone number) in privacypolicies.

The Amendment Introduces:

✔️ Clear designation criteria for domestic agents.

✔️ An obligation for the foreign entity to manage and supervise the domestic agent.

✔️ A requirement that if the foreign company has a domestic subsidiary, it must be designated as the agent.

✔️ Administrative fines of up to KRW 20 million (~$15,000) for non-compliance (e.g., failing to designate an agent, lack of oversight, or not publishing required contact details).

✔️ Mandatory disclosure of the agent’s name, address, phone number, and email in the privacy policy.

South Korea’s update aligns PIPA with international standards:

- Under GDPR Article 27, non-EU controllers/processors must appoint an EU representative.

- UKGDPR retains this requirement post-Brexit for non-UK entities.

- Switzerland’s Federal Act on Data Protection also mandates a Swiss representative for certain cross-border data processing activities.

If your organization targets South Korean residents or processes their personal data, you are now legally obligated to appoint and manage a local agent. Simply naming an agent is no longer enough—active management and operational readiness are now required.

Autor: Sebastian Burgemejster