anonym.legal
Zpět na blogPrávní technologie

COPPA duben 2026: Co musí EdTech platformy udělat před termínem

Aktualizované pravidlo COPPA vstupuje v platnost 22. dubna 2026. Reddit dostal pokutu £14,47 milionu za selhání v ochraně dětských dat. EdTech platformy čelí stejnému riziku.

March 16, 20266 min čtení
COPPAFERPAchildren data privacyEdTech compliancestudent data2026 deadline

Termín 22. dubna

Aktualizováno pro rok 2026

FTC aktualizovalo COPPA. Nové pravidlo vstupuje v platnost 22. dubna 2026. Jde o první zásadní změnu od roku 2013. EdTech platformy obsluhující děti mladší 13 let musí jednat okamžitě. Zbývají týdny, ne měsíce.

Změny jsou zásadní. Platformy postavené na pravidlech z roku 2013 musí provést audit a aktualizovat základní systémy. Drobné opravy nestačí.

Pokuta pro Reddit: jasné varování

V březnu 2026 britský ICO pokutoval Reddit £14,47 milionu. Proč? Reddit nedokázal chránit děti před škodlivým obsahem. Ověření věku bylo slabé. Nezletilí prošli.

Tato pokuta byla uložena podle britského GDPR, ne podle COPPA. Ale selhání je stejného druhu. COPPA 2026 cílí na platformy, které vědí, že jsou přítomni nezletilí, ale nechrání je.

EdTech je v těžší situaci. Tyto platformy vědí, kdo jsou jejich uživatelé. Prodávají školám. Marketují rodičům. Vidí studentské e-mailové adresy. Obhajoba „nevěděli jsme“ není k dispozici.

Co COPPA 2026 změnilo

Aktualizace FTC přidala pět klíčových pravidel pro EdTech platformy.

1. Minimalizace je nyní povinná

Sbírejte pouze to, co služba skutečně potřebuje. Pravidlo z roku 2013 umožňovalo platformám sbírat hodně dat s rodičovským souhlasem. Pravidlo z roku 2026 zakazuje nadměrný sběr i se souhlasem. ID zařízení, sledovací signály a informace o poloze nepotřebné pro službu musí okamžitě skončit.

2. Žádné cílené reklamy pro nezletilé

EdTech platformy nesmí používat záznamy dětí pro behaviorální reklamy. Souhlas toto nemění. Některé platformy využívaly plošný souhlas k ospravedlnění širokého využití dat. Tato mezera je nyní uzavřena.

3. Samostatný souhlas pro funkce AI

Každá funkce AI, která využívá vstupy dětí, potřebuje vlastní formulář souhlasu. AI tutoři, nástroje pro psaní a adaptivní engine to vše zahrnují. Souhlas s hlavní službou nepokrývá AI doplňky.

4. Pravidla mazání s reálnými zuby

Smažte záznamy dětí, když již nejsou potřeba. Platformy, které spouštějí automatické mazání podle stanoveného harmonogramu, čelí nižší odpovědnosti v akcích FTC. Jde o skutečný bezpečný přístav — využijte ho.

5. Vyšší standard de-identifikace

Odstranění jména nestačí. Platformy musí prokázat, že re-identifikace není rozumně možná. Pro agregovanou analytiku to znamená k-anonymitu nebo diferenciální soukromí.

FERPA a COPPA: obojí platí

Pro platformy K-12 pracující se školami platí FERPA souběžně s COPPA. Co je důležité:

  • FERPA umožňuje školám sdílet záznamy studentů s dodavateli — ale pouze pro smluvní služby
  • COPPA stále platí pro děti mladší 13 let, i když FERPA sdílení povoluje
  • Souhlas školy podle FERPA nenahrazuje rodičovský souhlas podle COPPA

Soulad s FERPA není soulad s COPPA. Obojí musí být splněno samostatně.

Co dělat před 22. dubnem

Pracujte podle tohoto kontrolního seznamu před termínem.

Inventarizace

  • Sestavte seznam všech záznamů sbíraných od uživatelů mladších 13 let
  • Najděte každý nástroj třetí strany, který přijímá záznamy dětí — analytika, CRM, monitoring
  • Zkontrolujte souhlas pro každý typ sběru

Anonymizace

  • Přidejte detekci PII do obsahu studentů před jeho zalogováním
  • Odstraňte jména, e-mailové adresy a ID studentů z analytických událostí
  • De-identifikujte souhrnné zprávy používané pro produktové práce
  • Vyčistěte trénovací sady AI, které zahrnují vstupy studentů

Souhlas

  • Vybudujte samostatné toky souhlasu pro každou funkci AI
  • Zaznamenávejte souhlas s časovými razítky
  • Přidejte tok pro odvolání souhlasu, který okamžitě spustí mazání

Uchovávání

  • Nastavte dobu uchovávání pro každý typ záznamu
  • Automatizujte mazání po uplynutí lhůt
  • Zkontrolujte záložní systémy na mezery

Dodavatelé

  • Přezkoumejte smlouvy se všemi zpracovateli
  • Potvrďte, že analytičtí dodavatelé nepoužívají záznamy dětí pro reklamy
  • Aktualizujte smlouvy tak, aby odpovídaly standardu de-identifikace pro rok 2026

Jak anonymizace pomáhá

Nové pravidlo de-identifikace je technicky nejnáročnější částí COPPA 2026. Pouhé odstranění jmen standard nesplňuje. Potřebujete systém, který najde a odstraní veškeré PII napříč každým datovým tokem.

anonym.legal detekuje více než 285 typů entit ve 48 jazycích. Mnoho EdTech platforem obsluhuje studenty hovořící mnoha jazyky. PII studentů se objevuje ve španělštině, mandarínštině, arabštině a desítkách dalších — nejen v angličtině. Široké jazykové pokrytí zde není volitelnou funkcí. Jde o compliance potřebu.

Platforma také zachytí okrajové případy, které ruční přezkum přehlédne. Telefonní čísla, vzory ID studentů a nepřímé identifikátory jsou v obsahu studentů běžné. Automatická detekce je najde v celém rozsahu. Ruční přezkum to nedokáže.

Funkce dávkového zpracování umožňuje týmům spustit existující databáze přes nástroj. To pokrývá starý obsah studentů, který musí nyní splňovat vyšší standard. Retroaktivní de-identifikace je součástí compliance obrazu podle pravidla z roku 2026.

Viz náš přehled bezpečnosti a compliance pro způsob, jakým nakládáme s citlivými záznamy. Stránka právního souladu pokrývá FERPA i COPPA podrobně.

Cena nečinnosti

Pokuty COPPA dosahují až 51 744 USD za porušení za den. Pro platformu se 100 000 studentskými účty by systémová mezera v de-identifikaci mohla znamenat desítky milionů pokut.

Pokuta pro Reddit byla £14,47 milionu. Reddit má miliardové příjmy. Pro středně velkou EdTech platformu by pokuta takového rozsahu znamenala zánik firmy.

  1. dubna se blíží. Práce je zvládnutelná, pokud začne teď. Regulátoři jasně dali najevo, že nové pravidlo budou vymáhat. Čekání není strategie.

Začněte anonymizovat záznamy studentů ještě dnes →

Zdroje

  • Aktualizace pravidla FTC COPPA, Federal Register, 2025 (účinnost od 22. dubna 2026)
  • Rozhodnutí ICO o Redditu, březen 2026 — pokuta £14,47 milionu
  • FERPA, 20 U.S.C. § 1232g a prováděcí předpisy 34 CFR část 99
  • FAQ FTC COPPA: funkce s podporou AI a rodičovský souhlas, 2026

Související články

Právní technologie

Mixed Format E-Discovery: Compliance Gap

E-discovery productions and GDPR DSARs span PDFs, Word docs, Excel, and JSON exports. Using different tools for each format creates consistency gaps that.

Právní technologie

The PDF Redaction Trap: Data Exposed

The DOJ Epstein files, the Manafort case, and NSA leaks all share the same failure: cosmetic redaction that leaves underlying text extractable.

Právní technologie

Legal PII: Privilege Detection

Case reference numbers, bar admission numbers, court docket numbers, and client matter IDs are legally sensitive identifiers that standard PII tools miss.

Připraveni chránit svá data?

Začněte anonymizovat PII s více než 285 typy entit ve 48 jazycích.

Začít bezplatnou zkušební verziZobrazit funkce

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.