Rok je 22. travnja 2026.
Ažurirana COPPA pravila Federalne trgovačke komisije — prvi veliki revizije od 2013. — stupaju na snagu 22. travnja 2026. Za EdTech platforme koje poslužuju djecu mlađu od 13 godina, prozor za postizanje sukladnosti mjeri se u tjednima, a ne mjesecima.
Promjene pravila nisu male pojašnjenja. Oni predstavljaju strukturnu promjenu u kako se djeteški podaci moraju prikupljati, zadržavati i štititi. Platforme koje su izgradile svoju cijev podataka pod okvirom 2013. trebati će provesti revizije i modificirati osnovnu infrastrukturu.
Reddit-ova multa kao signal upozorenja
U ožujku 2026., Ured Informacijskog povjernika Ujedinjenog kraljevstva je prihvaćen Reddit £14,47 milijuna jer nije zaštitio djecu od štetnog sadržaja — posebno za nedostatnu provjeru dobi korisnika i izlaganje maloljetnika odraslom materijalu. Iako je ovo bila akcija provedbe Ujedinjenog kraljevstva prema GDPR-u Ujedinjenog kraljevstva umjesto COPPA, temeljni neuspjeh je identičan onome što COPPA 2026. cilja: platforme koje znaju da su maloljetnici prisutni ali ne primjenjuju odgovarajuće zaštite.
Razmišljanje ICO-a je direktno prebacivo na EdTech platforme: platforme ne mogu se oslanjati na provjere dobi koje su trivijalno zaobićene, i ne mogu prikupljati i obrađivati podatke djece prema općim uvjetima usluge dizajniranim za odrasle.
Za EdTech platforme, rizik je složeniji. Za razliku od Reddit-a, EdTech usluge često imaju eksplicitno znanje da su njihovi korisnici maloljetnici — prodaju školama, tržuju roditeljima, vide student email adrese. Obrana "nismo znali" nije dostupna.
Što se promijenilo u COPPA 2026
Ažurirana COPPA pravila Federalne trgovačke komisije uvela je nekoliko odredbi koje EdTech platforme moraju provesti:
1. Obavezna minimizacija podataka
Platforme mogu prikupljati samo podatke koji su strogo potrebni za obrazovnu uslugu. Pravila iz 2013. dozvolila su široko prikupljanje podataka sa suglasnosti roditelja. Pravila iz 2026. zabranjuju prikupljanje nepotrebnih podataka čak i sa suglasnosti. Ako vaša platforma prikuplja identifikatore uređaja, podatke o ponašanju praćenja ili informacije o geolokalaciji koje nisu potrebne za pružanje obrazovne usluge, prikupljanje mora biti zaustavljeno.
2. Zabrana ciljanog oglašavanja maloljetnicima
EdTech platforme su eksplicitno zabranjene od korištenja djeteških podataka za ponašajnu reklamu, bez obzira na suglasnost roditelja. Ovo zatvara rupu koju su nekoliko velikih EdTech platformi iskoristile dobivanjem blanšetne suglasnosti roditelja za upotrebu podataka.
3. Suglasnost roditelja za AI funkcije
Svaka funkcija pogonjena AI-om koja obrađuje djeteški unos — uključujući AI tutore, asistente za pisanje i adaptivne motore učenja — zahtijeva odvojena, eksplicitna suglasnost roditelja prema ažuriranim pravilima. Smjernice Federalne trgovačke komisije pojašnjavaju da suglasnost dobivena za osnovnu obrazovnu uslugu ne proteže se na AI-pogonske funkcije.
4. Ograničenja zadržavanja s učinkovitošću provedbe
Djeteški podaci moraju biti obrisani "čim je razumno praktično" nakon što više nisu potrebni za svrhu za koju su prikupljeni. Pravila iz 2026. dodaju sigurnu luku: platforme koje primjenjuju automatizirano brisanje u određenim intervalima zadržavanja suočavaju se s smanjenom odgovornošću u akcijama provedbe.
5. Poboljšani standardi de-identifikacije
Ažurirana pravila povećavaju letvicu za ono što čini učinkovitu de-identifikaciju. Platforme moraju demonstrirati da re-identifikacija nije "razumno moguća" — ne samo što su uklonile izravne identifikatore. Ovo učinkovito nalaže pristupe k-anonimnosti ili diferencijalnom privatnosti za agregatnu analitiku.
FERPA Interakcija
Za K-12 EdTech platforme koje rade sa školama kao obrazovne agencije, FERPA (Zakon o obiteljskim pravima i privatnosti u obrazovanju) primjenjuje se paralelno. Interakcija je važna:
- FERPA dozvoljava školama da dijele studentske zapise s prodavačima prema izuzetku "školskog službenika" — ali samo za usluge koje je škola ugovorila
- COPPA se primjenjuje neovisno za djecu mlađu od 13 godina, čak i kada FERPA dozvoljava djeljenje studentskih podataka usmjereno školom
- Platforma ne može se oslanjati na suglasnost škole prema FERPA da zadovolji zahtjeve suglasnosti roditelja COPPA
Praktični učinak: platforme koje poslužuju K-12 studente moraju zadovoljiti oba režima. FERPA sukladnost ne kreira COPPA sukladnost.
EdTech Kontrolna lista za sukladnost
Prijedlog 22. travnja 2026., EdTech platforme trebale bi dovršiti sljedeće:
Inventar podataka
- Mapiranje svih podataka prikupljenih od korisnika mlađu od 13 godina
- Identificiranje svih sustava trećih strana koji primaju djeteške podatke (analitika, CRM, nadzor)
- Revizija mehanizama suglasnosti za svaku kategoriju prikupljanja
Anonimizacijski sloj
- Implementacija PII detekcije na svom djeteškome generiranom sadržaju prije logiranja
- Uklanjanje izravnih identifikatora (imena, email adrese, ID brojeve studenata) iz analitike događaja
- Primjena de-identifikacije na agregatne izvještaje korištene za analitiku proizvoda
- Anonimizacija AI podataka obuke koji uključuju djeteški unos
Infrastruktura suglasnosti
- Odvojeni tokovi suglasnosti roditelja za AI-pogonske funkcije
- Dokumentiranje zapisa o suglasnosti s vremenskim žigovima i IP adresama
- Primjena mehanizma povlačenja suglasnosti koji aktivira brisanje podataka
Automatizacija zadržavanja
- Definiranje perioda zadržavanja za svaku kategoriju podataka
- Implementacija automatiziranog brisanja u određenim intervalima
- Revizija sustava sigurnosne kopije za sukladnost zadržavanja
Procjena dobavljača
- Pregled ugovora o obradi podataka sa svim sub-procesorima
- Potvrda da analitički dobavljači ne koriste djeteške podatke za ponašajnu reklamu
- Ažuriranje DPA kako bi odrazili COPPA 2026. standarde de-identifikacije
Kako se PII anonimizacija uklapa u arhitekturu sukladnosti
Zahtjev de-identifikacije je tehnički najzahtjevniji promjena u pravilima iz 2026. Zadovoljavanju zahtijeva više od uklanjanja imena iz zapisa — zahtijeva sustavni pristup identificiranju i uklanjanju PII-a preko svih tokova podataka.
anonym.legal detektuje 285+ tipova entiteta preko 48 jezika. Za EdTech platforme s multilingvalnim student populacijama — čest scenarij u američkim javnim školama i međunarodnim EdTech proizvodima — ova pokrivenost računa. Student PII se ne pojavljuje samo na engleskom: imena, nacionalni ID brojevi i identifikatori škola pojavljuju se na španjolskom, mandarinu, arapskom i desecima drugih jezika.
Omogućnost obrade grupe platforme omogućava EdTech timovima da obrade postojeće baze podataka djeteskog sadržaja, uklanjajući PII iz povijesnih zapisa kako bi zadovoljili retroaktivne zahtjeve de-identifikacije ukazane ažuriranim pravilima poboljšanih standarda.
Cijena nejednostavljnosti
Kršenja COPPA-a nose kazne do 51.744 USD po kršenju po danu. Za platformu s 100.000 studentskih računa, sistemska greška u de-identifikaciji — ako se otkrije tijekom istraživanja Federalne trgovačke komisije — mogla bi rezultirati kaznama mjerenim u desecima milijuna dolara.
Reddit-ova multa je bila £14,47 milijuna za tvrtku s milijardama u prihodima. Za srednje veliku EdTech platformu, proporcionalna multa bi bila egzistencijalna.
- travnja je rok. Radovi na sukladnosti su razrađeni ako se počnu sada.
Počnite anonimizirati studentske podatke danas →
Izvori:
- FTC COPPA Rule Update, Federal Register, 2025 (stupanja na snagu 22. travnja 2026.)
- ICO Reddit provedbeni obavijest, ožujak 2026 — £14,47 milijuna kazna
- FERPA, 20 U.S.C. § 1232g i izvršavajuća uredba 34 CFR Part 99
- FTC COPPA FAQ: AI-pogonske funkcije i suglasnost roditelja, 2026