anonym.legal
Bloga DönHukuk Teknolojisi

COPPA Nisan 2026: EdTech Platformlarının Son Tarihten Önce Yapması Gerekenler

COPPA'nın güncellenen kuralı 22 Nisan 2026'da yürürlüğe giriyor. Reddit çocuk verisi ihlalleri nedeniyle 14,47 milyon pound para cezasına çarptırıldı. EdTech platformları aynı riskle karşı karşıya.

March 16, 20266 dk okuma
COPPAFERPAchildren data privacyEdTech compliancestudent data2026 deadline

Son Tarih 22 Nisan 2026

Federal Ticaret Komisyonu'nun güncellenmiş COPPA kuralı — 2013'ten bu yana gerçekleştirilen ilk büyük revizyon — 22 Nisan 2026'da yürürlüğe giriyor. 13 yaş altı çocuklara hizmet veren EdTech platformları için uyuma ulaşma penceresi aylarla değil haftalarla ölçülüyor.

Kural değişiklikleri küçük açıklamalar değil. Çocuk verilerinin nasıl toplanması, saklanması ve korunması gerektiğine dair yapısal bir dönüşümü temsil ediyor. Veri hatlarını 2013 çerçevesi altında kuran platformların temel altyapıyı denetleyip değiştirmesi gerekecek.

Uyarı Sinyali Olarak Reddit'in Para Cezası

Mart 2026'da İngiltere'nin Bilgi Komiseri Ofisi, Reddit'e çocukları zararlı içerikten koruma başarısızlığı nedeniyle — özellikle kullanıcı yaşlarını yetersiz doğrulama ve küçükleri yetişkin içerikle karşılaştırma nedeniyle — 14,47 milyon pound para cezası kesti. Bu, COPPA kapsamında değil İngiltere GDPR'ı kapsamında gerçekleştirilen bir İngiltere yaptırım eylemi olsa da temel başarısızlık COPPA 2026'nın hedeflediğiyle aynı: küçüklerin varlığını bilen ancak yeterli korumayı uygulamayan platformlar.

ICO'nun gerekçesi doğrudan ABD EdTech'e aktarılabilir: platformlar kolayca aşılan yaş kapılarına güvenemez ve çocukların verilerini yetişkinler için tasarlanmış genel hizmet koşulları kapsamında toplayıp işleyemez.

EdTech platformları için risk daha da büyük. Reddit'in aksine EdTech hizmetleri çoğunlukla kullanıcılarının küçük olduğunu açıkça biliyor — okullara satıyor, ebeveynlere pazarlıyor, öğrenci e-posta adreslerini görüyor. "Bilmiyorduk" savunması mevcut değil.

COPPA 2026'da Ne Değişti

FTC'nin güncellenmiş kuralı, EdTech platformlarının uygulaması gereken çeşitli hükümler getirdi:

1. Zorunlu Veri Minimizasyonu

Platformlar yalnızca eğitim hizmeti için kesinlikle gerekli olan verileri toplayabilir. 2013 kuralı ebeveyn onayıyla geniş kapsamlı veri toplamaya izin veriyordu. 2026 kuralı onay olsa bile gereksiz veri toplanmasını yasaklıyor. Eğitim hizmetini sunmak için gerekli olmayan cihaz tanımlayıcıları, davranışsal izleme verileri veya coğrafi konum bilgisi topluyorsanız toplamanın durdurulması gerekiyor.

2. Küçüklere Yönelik Hedefli Reklamcılığın Yasaklanması

EdTech platformlarının, ebeveyn onayından bağımsız olarak, çocuk verilerini davranışsal reklamcılık amacıyla kullanması açıkça yasaklanıyor. Bu, birkaç büyük EdTech platformunun veri kullanımı için kapsamlı ebeveyn onayı alarak yararlandığı bir boşluğu kapatıyor.

3. Yapay Zeka Özellikleri için Ebeveyn Onayı

Çocukların girdisini işleyen yapay zeka destekli her özellik — yapay zeka öğreticileri, yazma asistanları ve uyarlanabilir öğrenme motorları dahil — güncellenmiş kural kapsamında ayrı, açık ebeveyn onayı gerektiriyor. FTC rehberi, temel eğitim hizmeti için alınan onayın yapay zeka destekli özelliklere uzanmadığını açıklıyor.

4. Yaptırım Dişleri Olan Saklama Sınırları

Çocuk verileri toplandığı amaca artık ihtiyaç duyulmadığında "makul ölçüde mümkün olan en kısa sürede" silinmeli. 2026 kuralı güvenli liman ekliyor: tanımlanmış saklama aralıklarında otomatik silme uygulayan platformlar yaptırım eylemlerinde azaltılmış yükümlülükle karşılaşıyor.

5. Geliştirilmiş Anonimleştirme Standartları

Güncellenmiş kural, etkili anonimleştirme için çıtayı yükseltiyor. Platformların yeniden tanımlama işleminin "makul ölçüde mümkün" olmadığını kanıtlaması gerekiyor — yalnızca doğrudan tanımlayıcıları kaldırdıklarını değil. Bu, toplu analitik için k-anonimliği veya diferansiyel gizlilik yaklaşımlarını fiilen zorunlu kılıyor.

FERPA Etkileşimi

Okullarla eğitim kurumu olarak çalışan K-12 EdTech platformları için FERPA (Aile Eğitim Hakları ve Gizlilik Yasası) paralel olarak uygulanıyor. Etkileşim önemli:

  • FERPA, okullara "okul yetkilisi" istisnası kapsamında satıcılarla öğrenci kayıtlarını paylaşma izni veriyor — ancak yalnızca okulun sözleşme yaptığı hizmetler için
  • COPPA, FERPA'nın okulun yönlendirdiği veri paylaşımına izin verdiği durumlarda bile 13 yaş altı çocuklar için bağımsız olarak uygulanıyor
  • Bir platform, COPPA ebeveyn onayı gerekliliklerini karşılamak için FERPA kapsamındaki okul onayına güvenemez

Pratik etki: K-12 öğrencilere hizmet veren platformların her iki rejimi de karşılaması gerekiyor. FERPA uyumu COPPA uyumu yaratmıyor.

EdTech Uyum Kontrol Listesi

22 Nisan 2026'dan önce EdTech platformları şunları tamamlamalı:

Veri Envanteri

  • 13 yaş altı kullanıcılardan toplanan tüm verileri haritalayın
  • Çocuk verisi alan tüm üçüncü taraf sistemleri tanımlayın (analitik, CRM, izleme)
  • Her toplama kategorisi için onay mekanizmalarını denetleyin

Anonimleştirme Katmanı

  • Günlüğe kaydetmeden önce öğrenci tarafından üretilen tüm içerikte KKB tespiti uygulayın
  • Analitik etkinliklerden doğrudan tanımlayıcıları (adlar, e-posta adresleri, öğrenci kimlikleri) ayıklayın
  • Ürün analitiği için kullanılan toplu raporlara anonimleştirme uygulayın
  • Öğrenci girdisi içeren yapay zeka eğitim verilerini anonimleştirin

Onay Altyapısı

  • Yapay zeka destekli özellikler için ayrı ebeveyn onayı akışları
  • Zaman damgaları ve IP adresleriyle birlikte onay kayıtlarını belgeleyin
  • Veri silmeyi tetikleyen onay geri çekme mekanizması uygulayın

Saklama Otomasyonu

  • Her veri kategorisi için saklama sürelerini tanımlayın
  • Tanımlanmış aralıklarda otomatik silme uygulayın
  • Yedekleme sistemlerini saklama uyumluluğu açısından denetleyin

Satıcı Değerlendirmesi

  • Tüm alt işleyicilerle veri işleme sözleşmelerini gözden geçirin
  • Analitik satıcıların çocuk verilerini davranışsal reklamcılık için kullanmadığını doğrulayın
  • COPPA 2026 anonimleştirme standartlarını yansıtmak için VİS'leri güncelleyin

KKB Anonimleştirmesinin Uyum Mimarisine Uyumu

2026 kuralındaki en teknik açıdan zorlu değişiklik anonimleştirme gereksinimidir. Bunu karşılamak, kayıtlardan sadece adları kaldırmaktan fazlasını gerektiriyor — tüm veri akışlarında KKB'yi tanımlamak ve ayıklamak için sistematik bir yaklaşım gerekiyor.

anonym.legal 48 dilde 285'ten fazla varlık türünü tespit ediyor. ABD devlet okullarında ve uluslararası EdTech ürünlerinde yaygın bir senaryo olan çok dilli öğrenci nüfuslarına sahip EdTech platformları için bu kapsam önemli. Öğrenci KKB'si yalnızca İngilizce görünmez: adlar, ulusal kimlik numaraları ve okul tanımlayıcıları İspanyolca, Mandarin Çincesi, Arapça ve düzinelerce başka dilde görünür.

Platformun toplu işleme özelliği, EdTech ekiplerinin mevcut öğrenci içeriği veritabanlarını işlemesine, güncellenmiş kuralın geliştirilmiş standartlarının ima ettiği geriye dönük anonimleştirme gerekliliklerini karşılamak için geçmiş kayıtlardan KKB ayıklamasına olanak tanır.

Hareketsizliğin Bedeli

COPPA ihlalleri ihlal başına günde 51.744 dolara kadar para cezası içeriyor. 100.000 öğrenci hesabına sahip bir platform için, anonimleştirmede sistematik bir başarısızlık — bir FTC soruşturması sırasında keşfedilirse — on milyonlarca dolarla ölçülen para cezalarıyla sonuçlanabilir.

Reddit cezası milyarlarca dolarlık geliri olan bir şirket için 14,47 milyon pounddu. Orta ölçekli bir EdTech platformu için orantılı bir ceza varoluşsal olurdu.

Son tarih 22 Nisan. Uyum çalışması şimdi başlanırsa yönetilebilir.

Öğrenci verilerini bugün anonimleştirmeye başlayın →

Kaynaklar:

  • FTC COPPA Kural Güncellemesi, Federal Register, 2025 (yürürlük tarihi 22 Nisan 2026)
  • ICO Reddit yaptırım bildirimi, Mart 2026 — 14,47 milyon pound ceza
  • FERPA, 20 U.S.C. § 1232g ve uygulama yönetmelikleri 34 CFR Bölüm 99
  • FTC COPPA SSS: Yapay zeka destekli özellikler ve ebeveyn onayı, 2026

İlgili Makaleler

Hukuk Teknolojisi

Mixed Format E-Discovery: Compliance Gap

E-discovery productions and GDPR DSARs span PDFs, Word docs, Excel, and JSON exports. Using different tools for each format creates consistency gaps that.

Hukuk Teknolojisi

The PDF Redaction Trap: Data Exposed

The DOJ Epstein files, the Manafort case, and NSA leaks all share the same failure: cosmetic redaction that leaves underlying text extractable.

Hukuk Teknolojisi

Legal PII: Privilege Detection

Case reference numbers, bar admission numbers, court docket numbers, and client matter IDs are legally sensitive identifiers that standard PII tools miss.

Verilerinizi korumaya hazır mısınız?

48 dilde 285+ varlık türü ile PII anonimleştirmeye başlayın.

Ücretsiz Deneme BaşlatÖzellikleri Görüntüle

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.