Rok je 22. april 2026.
Ažurirana COPPA pravila Federal Trade Commission-a — prva velika revizija od 2013 — stupaju na snagu na 22. aprila 2026. Za EdTech platforme koje služe deci mlađu od 13 godina, prozor za postizanje usaglašenosti merljiv je u nedeljama, a ne mesecima.
Promene pravila nisu manji pojašnjenja. Predstavljaju strukturnu promenu u tome kako podaci dece moraju biti prikupljeni, čuvani i zaštićeni. Platforme koje su izgradile svoje cevovode podataka po okviru iz 2013 trebalo će da proveravaju i menjaju osnovnu infrastrukturu.
Redditova kazna kao signal upozorenja
U martu 2026, Information Commissioner's Office Ujedinjenog Kraljevstva je kazn £14.47 miliona Redditu jer nije zaštitio decu od štetnnog sadržaja — posebno jer nije dovoljno proveravao godine korisnika i izlagao je mladiće odraslom sadržaju. Iako je ovo bilo sprovođenje Ujedinjenog Kraljevstva po UK GDPR-u pre nego po COPPA-i, osnovna greška je identična onome na šta COPPA 2026 ciljuje: platforme koje znaju da su malolетни prisutni ali ne primenjuju adekvatne zaštite.
Razmišljanje ICO-a je direktno prenosivo na US EdTech: platforme ne mogu se oslanjati na brana za godine koje su trivijalno obidene, i ne mogu prikupljati i obraditi podatke dece pod opšte uslove usluge dizajnirane za odrasle.
Za EdTech platforme, rizik je multiplikovan. Za razliku od Reddita, EdTech servisi često imaju eksplicitno znanje da su njihovi korisnici malolетни — prodaju školama, tržišuju roditeljima, vide e-mail adrese učenika. Odbrana "nismo znali" nije dostupna.
Šta se promenilo u COPPA 2026
Ažurirana FTC pravila uvela su nekoliko odredbi koje EdTech platforme moraju implementirati:
1. Obavezna minimizacija podataka
Platforme mogu prikupljati samo podatke koji su strogo potrebni za obrazovnu uslugu. Pravilo iz 2013 dozvoljavalo je široku prikupljanje podataka sa pristankom roditelja. Pravilo iz 2026 zabranjuje prikupljanje nepotrebnih podataka čak i sa pristankom. Ako tvoja platforma prikuplja identifikatore uređaja, podatke o ponašanju ili geolokacijske podatke koji nisu potrebni za isporuku obrazovne usluge, prikupljanje mora prestati.
2. Zabranijena ciljana reklama deci
EdTech platforme su eksplicitno zabranjene od korišćenja podataka dece za bihejvioralnu reklamu, bez obzira na pristanak roditelja. Ovo zatvara rupu koju su nekoliko velikih EdTech platformi iskorišćavale dobijanjem sveobuhvatnog pristanka roditelja za upotrebu podataka.
3. Pristanak roditelja za AI karakteristike
Bilo koja karakteristika pokrenuta AI-om koja obrađuje unos dece — uključujući AI tutore, asistente za pisanje i motore adaptivnog učenja — zahteva odvojen, eksplicitan pristanak roditelja po ažuriranom pravilu. Vodiči FTC-a pojašnjavaju da pristanak dobijen za osnovnu obrazovnu uslugu ne proširuje se na karakteristike pokrenute AI-om.
4. Ograničenja čuvanja sa zubima za sprovođenje
Podaci dece moraju biti obrisani "čim je razumno moguće" nakon što se više ne trebaju za svrhu za koju su prikupljeni. Pravilo iz 2026 dodaje sigurnu lukoprislu: platforme koje implementiraju automatsko brisanje u definisanim intervalima čuvanja suočavaju se sa smanjenom odgovornošću u akcijama sprovođenja.
5. Poboljšani standardi de-identifikacije
Ažurirana pravila podižu standard za ono što čini efektivnu de-identifikaciju. Platforme moraju pokazati da re-identifikacija nije "razumno moguća" — ne samo da su uklonile direktne identifikatore. To efektivno mandatuje k-anonimnost ili pristupe diferencijalnoj privatnosti za sakupljenu analitiku.
Interakcija sa FERPA-om
Za K-12 EdTech platforme koje rade sa školama kao agencijama za edukaciju, FERPA (Family Educational Rights and Privacy Act) se primenjuje paralelno. Interakcija je važna:
- FERPA omogućava školama da dele studentske zapisе sa dobavljačima pod izuzetkom "školskog zvaničnika" — ali samo za usluge koje je škola ugovorila
- COPPA se primenjuje nezavisno za decu mlađu od 13 godina, čak i kada FERPA dozvoljava deljenje podataka usmereno školom
- Platforma ne može se oslanjati na školski pristanak po FERPA-i da zadovolji zahteve COPPA pristanka roditelja
Praktični efekat: platforme koje služe K-12 studentima moraju zadovoljiti obe regulative. FERPA usaglašenost ne pravi COPPA usaglašenost.
Lista proveravanja EdTech usaglašenosti
Pre 22. aprila 2026, EdTech platforme trebalo bi da završe sledeće:
Inventar podataka
- Mapiraj sve podatke prikupljene od korisnika mlađu od 13 godina
- Identifikuj sve sisteme trećih strana koji primaju podatke dece (analitika, CRM, praćenje)
- Audituiraj mehanizme pristanka za svaku kategoriju prikupljanja
Sloj anonimizacije
- Implementiraj detektovanje PII na svim sadržajima generisanim od strane učenika pre nego što se loguju
- Ukloni direktne identifikatore (imena, e-mail adrese, ID-eve učenika) iz analitičkih događaja
- Primeni de-identifikaciju na zbirne izveštaje koji se koriste za analitiku proizvoda
- Anonimizuj podatke o treninzi AI-ja koji uključuje unos učenika
Infrastruktura pristanka
- Odvojeni tokovi pristanka roditelja za AI-powered karakteristike
- Dokumentuj zapise o pristanku sa vremenskim oznakama i IP adresama
- Implementiraj mehanizam povlačenja pristanka koji pokreće brisanje podataka
Automatizacija čuvanja
- Definiši periode čuvanja za svaku kategoriju podataka
- Implementiraj automatsko brisanje u definisanim intervalima
- Audituiraj sisteme za rezervne kopije za usaglašenost sa čuvanjem
Procena dobavljača
- Pregledar ugovore o obradi podataka sa svim sub-procesorima
- Potvrdi da analitički dobavljači ne koriste podatke dece za bihejvioralnu reklamu
- Ažuriraj DPA-e da odražavaju COPPA 2026 standarde de-identifikacije
Kako PII anonimizacija odgovara arhitekturi usaglašenosti
Zahtev de-identifikacije je tehnički najzahtevniji propis iz 2026. godine. Ispunjavanje ga zahteva više od uklanjanja imena iz zapisa — zahteva sistematski pristup identifikovanju i preobrađenju PII preko svih tokova podataka.
anonym.legal detektuje 285+ tipove entiteta preko 48 jezika. Za EdTech platforme sa višejezičnim populacijama učenika — čest scenarij u US javnim školama i međunarodnim EdTech proizvodima — ova pokrivenost jezikom je važna. PII učenika se ne pojavljuje samo na engleskom: imena, nacionalni ID-evi i identifikatori škole se pojavljuju na španskom, mandarinu, arapskom i desecima ostalih jezika.
Osobina platforme za obradu u seriji omogućava EdTech timovima da obradi postojeće baze podataka sadržaja učenika, čisteći PII iz istorijskih zapisa da bi se ispunili retroaktivni zahtevi de-identifikacije zajedničke ažuriranom pravilu.
Cena neaktivnosti
COPPA kršenja imaju kazne do $51,744 po kršenju po danu. Za platformu sa 100,000 studentskih računa, sistematska greška u de-identifikaciji — ako je otkrivena tokom FTC istraživanja — mogla bi rezultirati kaznama merenim u desecima miliona dolara.
Redditova kazna je bila £14.47M za kompaniju sa milijardama u prihodu. Za platformu srednje veličine EdTech-a, proporcionalna kazna bi bila egzistencijalna.
April 22 je rok. Rad usaglašenosti je izvodljiv ako se počne sada.
Počni sa anonimizacijom podataka učenika danasnjeg dana →
Izvori:
- FTC COPPA Ažuriranje pravila, Federal Register, 2025 (stupaju na snagu 22. aprila 2026)
- ICO Reddit akcija sprovođenja, mart 2026 — £14.47M kazna
- FERPA, 20 U.S.C. § 1232g, i sprovodilni predpisi 34 CFR Deo 99
- FTC COPPA FAQ: AI-powered karakteristike i pristanak roditelja, 2026