Logo WCR Consulting
WCR Consulting
EdTech и персональные данные детей: COPPA, GDPR, 152-ФЗ
Олег Просин
10 мая, 2026
8:46 пп
Персональные данные

EdTech и персональные данные детей: COPPA, GDPR Art.8, 152-ФЗ

Детская аудитория — самая защищённая категория субъектов персональных данных во всех юрисдикциях. Если ваш EdTech-продукт работает с пользователями до 18 лет, вы одновременно попадаете под несколько законов с разными требованиями. Один неверный шаг — и вы в одном ряду с Epic Games ($520 млн штрафа FTC) и Microsoft Xbox ($20 млн).

📅 Обновлено: май 2026 ⏱ Читать ~14 мин 🎯 Для: EdTech-фаундеров, product owners, compliance officers

Содержание

  1. Почему EdTech = зона максимального риска
  2. COPPA (США): VPC, age gate, safe harbor
  3. GDPR Art.8: возраст согласия по странам ЕС
  4. 152-ФЗ: согласие родителей в России
  5. UAE Child Digital Safety (DL 26/2025)
  6. Children's Privacy Policy: отдельный документ
  7. Трекинг и аналитика на детских сервисах
  8. Age gate и верификация возраста
  9. Практическая архитектура: compliance by design
  10. Чек-лист: 12 пунктов для EdTech с детской аудиторией

1. Почему EdTech — зона максимального регуляторного риска

Персональные данные детей — это не просто «обычные данные несовершеннолетних». В каждой юрисдикции они выделены в отдельную привилегированную категорию с усиленными требованиями к согласию, хранению, обработке и удалению. Один EdTech-продукт с глобальной аудиторией может одновременно попадать под пять и более законов.

COPPA (США)

Дети до 13 лет, операторы в США или с US-аудиторией

Verifiable parental consent до любого сбора данных. Запрет behavioral advertising.

GDPR Art.8 (ЕС)

Дети до 16 лет (или до 13–14 по выбору страны)

Согласие родителя для информационных услуг. Age-appropriate design.

152-ФЗ (Россия)

Несовершеннолетние, на практике до 18 лет

Согласие законного представителя. Специальный режим для данных о здоровье.

UK Children's Code

Дети до 18 лет, сервисы, доступные в UK

15 стандартов age-appropriate design. Настройки privacy by default.

UAE DL 26/2025

Пользователи до 18 лет, платформы в ОАЭ

Верификация возраста, родительский контроль, ограничения контента.

PDPA / Local Laws

Сингапур, Таиланд, Бразилия (LGPD), Индия (DPDPA)

Каждая растущая EdTech-юрисдикция имеет собственные нормы о детских данных.

Регуляторы по всему миру демонстрируют нарастающий интерес к детским данным именно в EdTech-сфере. Суммы штрафов говорят сами за себя:

Epic Games (Fortnite) — FTC, США $520 млн Сбор данных детей без согласия + тёмные паттерны покупок
Microsoft Xbox — FTC, США $20 млн Сбор ПДн детей при регистрации без verifiable parental consent
Google/YouTube — FTC, США $170 млн Поведенческая реклама на детском контенте YouTube Kids
TikTok — ICO, Великобритания £12.7 млн Обработка данных детей до 13 лет без надлежащего согласия
Ключевое отличие от «взрослых» нарушений: регуляторы не ждут жалоб — они проводят превентивные расследования детских платформ. FTC запустила программу активного мониторинга образовательных платформ в 2024–2025 годах. ICO ежеквартально публикует оценки соответствия UK Children's Code. Нарушение может быть обнаружено без единой жалобы пользователя.

2. COPPA (США): кого касается, VPC и safe harbor

Children's Online Privacy Protection Act (COPPA) — федеральный закон США 1998 года, дополненный в 2013-м. Он применяется к любому оператору, чей онлайн-сервис направлен на детей до 13 лет или кто имеет фактическое знание о том, что пользователь — ребёнок до 13 лет. Регулирует FTC с правом взыскивать до $50 120 за нарушение в день.

COPPA применяется, если выполняется хотя бы одно условие:

  • «Directed to children»: сайт или приложение по своему контенту, дизайну, тематике, персонажам или музыке направлено на детей до 13 лет — даже если вы этого не планировали.
  • «Actual knowledge»: вы знаете, что конкретный пользователь — ребёнок до 13 лет (например, пользователь сообщил об этом при регистрации, родитель написал вам письмо, или возраст указан в профиле).
  • Смешанная аудитория: сервис рассчитан на общую аудиторию, но FTC сочтёт его «directed to children», если среди материалов есть детский контент, анимация, персонажи или частые маркетинговые обращения к детям.
  • Экстерриториальность: COPPA применяется к любому оператору, чьи сервисы доступны в США, вне зависимости от страны регистрации.

Прежде чем собрать любые данные у ребёнка до 13 лет, COPPA требует получить Verifiable Parental Consent (VPC) — подтверждённое согласие родителя. Слово «verifiable» ключевое: недостаточно поставить галочку «мне исполнилось 13 лет».

Метод 1

Подписанная форма

Родитель распечатывает, подписывает и отправляет форму по почте, факсу или сканом.

Метод 2

Кредитная карта / микроплатёж

Списание $0.01 с карты родителя как верификация совершеннолетия и согласия.

Метод 3

Видеозвонок

Живая верификация личности родителя через видеосвязь с сотрудником сервиса.

Метод 4

Knowledge-based auth

Проверка «секретных вопросов» из коммерческих баз данных (например, TransUnion).

Метод 5

Email+ (только внутренние функции)

Email с подтверждением — допустим только для «internal operations», без публичного сбора данных.

Age gate по COPPA: нельзя подсказывать правильный ответ

  • Нельзя показывать форму «Вам есть 13 лет? Нажмите Да/Нет» — это приглашение солгать.
  • Нейтральный COPPA age gate: поле ввода даты рождения без подсказок. Если возраст меньше 13 — вход заблокирован или переход к VPC-форме для родителей.
  • Нельзя позволять повторить попытку с другой датой рождения сразу после отказа — нужна «cookie блокировки» на несколько дней.
  • Нельзя собирать дату рождения ребёнка и затем «удалять» её — факт сбора уже нарушение без предварительного VPC.

Чтобы упростить соответствие COPPA, существуют Safe Harbor Programs — одобренные FTC программы саморегулирования. Вступление в них означает, что FTC применяет более мягкий подход при расследованиях:

PRIVOСпециализируется на EdTech. Предоставляет готовое VPC-решение и консьерж-сервис для соответствия COPPA.
iKeepSafeПопулярна среди образовательных платформ. Сертификация + готовые шаблоны политик.
kidSAFEФокус на игровых и развлекательных платформах для детей. Seal program с логотипом на сайте.

Подробнее о требованиях COPPA и работе с американской аудиторией — на нашей странице юрисдикция США.

3. GDPR Art.8: возраст цифрового согласия по странам ЕС

Статья 8 GDPR устанавливает особые требования для «информационных услуг» (онлайн-сервисов), предлагаемых детям. Базовый возраст цифрового согласия — 16 лет, но государства-члены вправе снижать его до 13 лет. В результате карта ЕС неоднородна, и для глобального EdTech-продукта это серьёзная сложность.

🇩🇪 Германия16§ 8 TDDDG
🇫🇷 Франция15Loi Informatique
🇮🇪 Ирландия16Data Protection Act
🇳🇱 Нидерланды16UAVG Art.5
🇪🇸 Испания14LOPDGDD
🇮🇹 Италия14Codice Privacy
🇸🇪 Швеция13Dataskyddslag
🇵🇱 Польша16UODO
🇧🇪 Бельгия13WVP 2018
🇦🇹 Австрия14DSG
🇩🇰 Дания13Databeskyttelsesloven
🇵🇹 Португалия13Lei 58/2019
Требование GDPR Art.8Что означает для EdTech
Согласие родителя для услуг ИСЕсли ребёнок не достиг возраста цифрового согласия своей страны — нужно согласие держателя родительской ответственности.
Reasonable effort верификацииОператор обязан предпринять «разумные усилия» для проверки возраста и наличия родительского согласия, учитывая доступные технологии.
Privacy notice для детейИнформация об обработке ПДн должна быть доступна «в ясном и понятном языке» для целевой возрастной группы.
Art.8 + Recital 38Дети заслуживают «особой защиты» в части профилирования и поведенческой рекламы — даже при соблюдении возрастного порога.
Практическая проблема: если ваш EdTech-продукт работает с аудиторией 12–17 лет по всей Европе, вы должны применять разный возрастной порог в зависимости от страны пользователя — 13 лет в Швеции и Дании, 14 в Испании и Австрии, 15 во Франции, 16 в Германии и Ирландии. Лучшее решение: определить страну пользователя при регистрации и применять соответствующий порог автоматически. Подробнее о требованиях ЕС — на странице EU GDPR.

4. 152-ФЗ: согласие родителей в России

В отличие от COPPA и GDPR, 152-ФЗ не выделяет отдельную статью, посвящённую детям. Требование о согласии законного представителя вытекает из общих норм ГК РФ о дееспособности в сочетании с позицией РКН при проверках.

До 14 Малолетние (ГК РФ)

Полная недееспособность. Любые юридически значимые действия — только от имени законного представителя.

14–17 Ограниченная дееспособность

Ряд сделок — самостоятельно (мелкие бытовые). Формально 152-ФЗ не запрещает согласие на ПДн, но позиция РКН иная.

18+ Полная дееспособность

Студент или пользователь в 18+ даёт согласие самостоятельно. Согласие родителей не нужно.

Позиция РКН на практике

  • До 18 лет — РКН при проверках требует согласие законного представителя (родителя, опекуна). Формальная дееспособность в 14 лет не меняет практику регулятора.
  • Согласие оформляется как отдельный документ — с конкретными целями, перечнем данных, сроком, правом отзыва. Не пункт в пользовательском соглашении.
  • Для специальных категорий данных (здоровье, биометрия, национальность) — письменное согласие родителя в любом случае, вне зависимости от возраста.
  • При онлайн-регистрации через Госуслуги несовершеннолетнего — идентификация проходит через аккаунт родителя, что фактически является формой подтверждения.
  • Согласие хранится на протяжении всего срока обработки ПДн + 3 года после. Для образовательных платформ — до прекращения использования сервиса + 3 года.

EdTech-платформы, работающие с российскими пользователями, нередко допускают ошибку: собирают данные детей через пользовательское соглашение, в котором есть пункт «Вы подтверждаете, что достигли возраста, достаточного для самостоятельного использования сервиса». Для аудитории до 18 лет этот пункт не имеет юридической силы без согласия родителя. Подробнее о требованиях 152-ФЗ — на странице Россия / 152-ФЗ.

5. UAE Child Digital Safety (DL 26/2025): новый закон 2026 года

В феврале 2025 года ОАЭ приняли Federal Decree-Law No. 26 of 2025 on Child Digital Safety — первый в регионе MENA комплексный закон о цифровой безопасности детей. Он вступил в полную силу в начале 2026 года и существенно влияет на EdTech-платформы, работающие с эмиратской аудиторией.

Ключевые требования DL 26/2025

  • Сфера применения: любые цифровые платформы и сервисы, доступные в ОАЭ и используемые лицами до 18 лет.
  • Верификация возраста: платформы обязаны внедрить механизмы подтверждения возраста пользователей. Метод — на усмотрение платформы, но должен быть «надлежащим» с точки зрения регулятора (TRA — Telecommunications and Digital Government Regulatory Authority).
  • Родительский контроль: предоставить родителям инструменты для мониторинга и управления использованием сервиса ребёнком — настройки времени экрана, ограничения контента, отчёты об активности.
  • Ограничения контента: контент, не соответствующий возрасту, должен быть недоступен детям — с учётом регуляторных гайдлайнов TRA.
  • Уведомление и согласие: отдельное согласие для пользователей до 18 лет с участием родителя или опекуна.
  • Реагирование на инциденты: уведомление TRA при выявлении контента, вредящего детям, или нарушений, связанных с детскими данными.
Февраль 2025: принят DL 26/2025. TRA начала публикацию имплементационных гайдлайнов.
2025 (переходный период): платформы приводят системы в соответствие, регистрируются у TRA.
2026: закон в полной силе. TRA проводит первые проверки и публикует enforcement actions.

ОАЭ — крупный рынок для EdTech-компаний: Дубай и Абу-Даби активно привлекают международные образовательные платформы. DL 26/2025 делает детский privacy compliance обязательным условием работы на этом рынке. Подробнее о правовой среде ОАЭ — на нашей странице ОАЭ.

6. Children's Privacy Policy: когда нужен отдельный документ

Стандартная Privacy Policy, написанная юридическим языком для взрослых пользователей, не выполняет своей функции, если аудитория — дети. Все ведущие законы требуют адаптации — а COPPA делает Children's Privacy Notice прямо обязательным.

Когда Children's Privacy Policy обязательна: COPPA (США) — обязательна для всех covered operators. UK Children's Code — де-факто обязательна. GDPR — требует понятного языка для целевой возрастной группы (Recital 58). 152-ФЗ — специального требования нет, но рекомендуется при ориентации на несовершеннолетних. UAE DL 26/2025 — обязательная информация для родителей и детей об обработке данных.

Что должна содержать (COPPA)

  • Имя и контакты оператора
  • Какие данные собираются у детей
  • Цели сбора каждой категории данных
  • Кому данные раскрываются (третьи лица)
  • Как родитель может просмотреть данные ребёнка
  • Как родитель может запросить удаление данных
  • Как отозвать согласие
  • Как оператор уведомит об изменениях политики

Что НЕ должна содержать

  • Юридические формулировки типа «обработка данных осуществляется на основании ст.6(1)(b) GDPR…» — дети не поймут
  • Длинные блоки текста без заголовков и визуального разделения
  • Скрытые или завуалированные описания передачи данных рекламодателям
  • Формулировки, создающие ощущение, что согласие нельзя отозвать
  • Ссылки на «взрослую» Privacy Policy вместо адаптированного текста

Принцип возрастного языка

UK Children's Code и ICO рекомендуют «двухуровневую» подачу: краткое объяснение для ребёнка («Мы сохраняем твоё имя и email, чтобы ты мог войти в аккаунт»), и полное — для родителя.

FTC в своих enforcement actions неоднократно указывала, что сложный язык Privacy Policy является самостоятельным нарушением COPPA — даже если все данные формально верны.

Хороший тест: попросите 12-летнего ребёнка прочитать политику и объяснить своими словами, какие данные о нём собирает сервис. Если не может — документ нужно переписать.

Полный комплекс документов для образовательных платформ, включая Children's Privacy Policy, — в разделе образование нашего сервиса юридической упаковки.

7. Трекинг и аналитика на детских сервисах: что можно и что нельзя

Большинство стандартных инструментов веб-аналитики и рекламного трекинга несовместимы с детской аудиторией без существенных ограничений. COPPA прямо запрещает поведенческую рекламу для детей до 13 лет. GDPR Recital 38 требует особой защиты от профилирования. UK Children's Code запрещает «nudge techniques» и ограничивает геолокацию детей по умолчанию.

ИнструментСтатус для детской аудиторииЧто нужно
Google Analytics 4Условно ✓Consent Mode v2 с explicit opt-in для несовершеннолетних. Отключить рекламные сигналы (Google Signals). Региональные настройки для EU.
Яндекс.МетрикаУсловно ✓Настроить без Вебвизора на детских страницах. Убедиться, что данные не передаются в рекламные системы Яндекса.
Facebook Pixel / Meta PixelЗапрещено ✗Meta прямо запрещает использование Pixel на сайтах, «primarily directed to minors». Никаких исключений — удалить.
TikTok PixelЗапрещено ✗Аналогично Meta. TikTok был оштрафован за данные детей — использование их пикселя на детском сайте создаёт прямой правовой риск.
Plausible AnalyticsРекомендовано ✓Cookieless, без сбора PII, без поведенческого профилирования. GDPR-compliant by design. Не требует cookie-баннера.
Fathom AnalyticsРекомендовано ✓Cookieless, privacy-first. Агрегированная статистика без идентификации пользователей. Подходит для детских сайтов.
Matomo (self-hosted)Условно ✓Self-hosted с отключённым отслеживанием. Анонимизировать IP. Не передаёт данные третьим лицам.
Facebook/Meta Pixel на детском EdTech-сайте — абсолютное «нет». Условия использования Meta запрещают Pixel на ресурсах, направленных на детей. FTC может расценить это как нарушение COPPA (передача данных детей третьему лицу без VPC). ICO в UK рассматривает Pixel как потенциальное нарушение UK GDPR + Children's Code одновременно.
Plausible Analytics€9/мес, EU-hosted, open source вариант. Без cookies, GDPR/COPPA-safe.
Fathom Analytics$15/мес. Privacy-first, cookieless, GDPR/CCPA/COPPA — все покрыты.
Pirsch AnalyticsEU-hosted, GDPR-compliant, легковесный и без cookie-баннера.
Matomo CloudEU-хостинг, self-hosted опция. Полноценная аналитика без передачи данных третьим лицам.

8. Age gate, верификация возраста и UK Children's Code

Вопрос «сколько тебе лет?» в форме регистрации давно перестал быть достаточным механизмом верификации. Регуляторы ожидают технически обоснованных решений, соразмерных рискам платформы.

Нейтральный COPPA age gate

  • Поле даты рождения (день, месяц, год) — без подсказок о минимальном возрасте.
  • При вводе возраста менее 13 лет — немедленная блокировка или переход к VPC-флоу для родителей.
  • «Age-screening cookie» — заблокировать возможность повторной попытки от того же браузера в течение нескольких дней.
  • Не собирать дату рождения ребёнка «временно» — само получение этих данных без VPC уже нарушение.

Технические методы верификации

  • Date of birth — базовый уровень, недостаточен сам по себе для высокорискованных платформ.
  • Age range selector — «Мне до 13 / 13–17 / 18+» с разными флоу для каждого диапазона.
  • Document-based AV — загрузка документа родителя (паспорт, водительское удостоверение) с маскировкой данных.
  • Credit/debit card check — минимальная транзакция как сигнал совершеннолетия плательщика.
  • AI-based face estimation — приблизительная оценка возраста по фото. Точность 75–85%, без сохранения изображения.
  • Federated identity (Госуслуги, OIDC) — верификация через государственные системы с подтверждённым возрастом.

UK Age Appropriate Design Code (Children's Code): 15 стандартов

ICO (Великобритания) разработал Children's Code — 15 стандартов дизайна, обязательных для сервисов, к которым имеют доступ дети до 18 лет. Все 15 должны быть реализованы по умолчанию.

1. Best interests of the childИнтересы ребёнка приоритетны
2. DPIAОценка рисков до запуска
3. Age-appropriate applicationАдаптация к возрасту аудитории
4. TransparencyПрозрачность на понятном языке
5. Detrimental use of dataНикакого вреда детям
6. Policies & community standardsОпубликованные правила
7. Default settingsPrivacy-friendly by default
8. Data minimisationТолько необходимые данные
9. Data sharingОграниченный обмен с третьими лицами
10. GeolocationГеолокация — выкл. по умолчанию
11. Parental controlsИнструменты для родителей
12. ProfilingПрофилирование — выкл. по умолчанию
13. Nudge techniquesБез манипулятивных паттернов
14. Connected toys & devicesIoT с детским контентом
15. Online toolsИнструменты управления данными

Подробнее о UK Children's Code и требованиях UK GDPR — на странице Великобритания.

9. Практическая архитектура: compliance by design, не by patch

Наиболее распространённая ошибка EdTech-продуктов — встраивать privacy-механизмы постфактум, когда продукт уже работает. «Compliance by patch» всегда дороже, менее надёжен и оставляет уязвимые окна. Правильный подход — Privacy by Design на уровне архитектурных решений.

🗄
Отдельный «детский» data silo Данные пользователей до 18 лет хранятся в физически или логически изолированном хранилище с отдельными правами доступа. Это упрощает compliance-аудит, ограничивает последствия breach и облегчает выполнение запросов на удаление.
Сокращённые сроки хранения (Shorter Retention) Данные детей хранятся ровно столько, сколько нужно для предоставления услуги, плюс минимально необходимый период. Никакого «храним на всякий случай». Автоматическое удаление по истечении срока — не ручной процесс.
🚫
Запрет профилирования по умолчанию Никакого автоматического построения поведенческих профилей детей — ни для рекламных, ни для «образовательных» целей без явного согласия родителя. UK Children's Code требует этого по умолчанию.
👨‍👩‍👧
Parental Dashboard Родитель должен иметь возможность просматривать данные своего ребёнка, запрашивать их исправление или удаление, управлять согласиями. Это требование COPPA, GDPR Art.8 и UK Children's Code одновременно. Реализация одного dashboard закрывает требования всех трёх.
🗑
Deletion on Request — за 30 дней COPPA требует удаления данных ребёнка по запросу родителя «within a reasonable timeframe». GDPR — 30 дней. Реализуйте каскадное удаление: данные должны быть удалены из основной БД, резервных копий (по графику), и у субпроцессоров (через их API или запросы).
📋
Audit Trail для детских данных Журнал всех операций с данными несовершеннолетних: кто запрашивал, что изменял, когда удалял. Это ваша защита при regulatory inquiry — вы сможете показать, что данные были обработаны правомерно.

Compliance by Design vs Compliance by Patch: цена ошибки

По оценкам Ponemon Institute, стоимость устранения privacy-нарушения, найденного при производственном аудите, в 6–10 раз выше, чем стоимость его предотвращения на стадии проектирования. Для EdTech это особенно критично: детские данные привлекают наибольшее внимание регуляторов, а архитектурный рефакторинг уже живого продукта с тысячами пользователей — болезненный и рискованный процесс.

Инвестиция в privacy compliance на ранних стадиях разработки — не юридическая формальность, а конкурентное преимущество: school districts в США и EU-операторы при выборе EdTech-вендора всё чаще запрашивают compliance documentation как условие контракта.

Полный спектр юридических документов для EdTech-платформ — на странице юридической упаковки.

10. Чек-лист: 12 пунктов для EdTech с детской аудиторией

Используйте этот список как базовую дорожную карту перед запуском или при аудите существующего продукта:

1
Определите юрисдикционный охватПод какие законы вы попадаете: COPPA (США), GDPR Art.8 (ЕС), 152-ФЗ (РФ), UK Children's Code, UAE DL 26/2025? Карта аудитории → карта требований.
2
Проведите DPIA для детской аудиторииUK Children's Code требует DPIA до запуска. GDPR — при «высоком риске». Детская аудитория всегда высокий риск. Зафиксируйте результаты.
3
Внедрите нейтральный age gateПоле даты рождения без подсказок. Блокировка при возрасте ниже порога. Age-screening cookie для предотвращения повторных попыток.
4
Настройте Verifiable Parental ConsentДля COPPA: один из 5 одобренных методов VPC. Для GDPR: «разумные усилия» по верификации родительского согласия. Флоу VPC встроен в onboarding.
5
Напишите Children's Privacy PolicyОтдельный документ. Простой язык. Указаны: данные, цели, получатели, права родителя, контакт. Тест на понятность для 12-летнего.
6
Удалите Meta Pixel и TikTok PixelС любых страниц, где возможно присутствие детской аудитории. Заменить на cookieless-аналитику (Plausible, Fathom).
7
Отключите поведенческую рекламуCOPPA запрещает behavioral advertising для детей до 13. UK Children's Code — запрет профилирования по умолчанию для всех детей. Никаких lookalike audiences из детских данных.
8
Создайте Parental DashboardПросмотр данных ребёнка, управление согласиями, запрос удаления. Закрывает требования COPPA, GDPR Art.8 и UK Children's Code одновременно.
9
Изолируйте детский data siloФизическая или логическая изоляция данных несовершеннолетних. Отдельные политики доступа. Сокращённые сроки хранения. Автоматическое удаление.
10
Подпишите DPA со всеми субпроцессорамиХостинг, аналитика, email, CRM, видеоконференции. У каждого — договор поручения (RU) или DPA (EU/US). Убедиться, что субпроцессоры не используют детские данные для своих целей.
11
Настройте автоматическое удалениеПо истечении срока хранения, при отзыве согласия родителем, при достижении 18 лет (если хотите перевести пользователя во «взрослый» режим — запросите новое согласие). Каскадное удаление у субпроцессоров.
12
Обновляйте документы при изменении законодательстваМир детской privacy регуляции меняется быстро: UAE DL 26/2025, Colorado AI Act, обновления FTC к COPPA Rule (ожидаются в 2026). Подпишитесь на рассылки IAPP, FPF, ICO.
Ключевой принцип: в EdTech с детской аудиторией нет «минимально достаточного» compliance — есть только «правильно сделанный» и «не сделанный». Регуляторы применяют максимальную строгость именно к продуктам для детей.

Часто задаваемые вопросы

Наш продукт «для всех возрастов» — нужно ли соблюдать COPPA?
Если ваш сервис «смешанной аудитории» имеет контент, привлекательный для детей (анимации, персонажи, тематика), FTC может признать его «directed to children» даже без прямой адресации. Безопаснее внедрить age gate и COPPA-флоу для пользователей, которые идентифицировали себя как дети, чем столкнуться с расследованием FTC после.
Можно ли использовать Google Workspace for Education бесплатно и при этом соответствовать COPPA?
Да, с оговорками. Google Workspace for Education (не обычный Google Workspace) имеет специальные условия COPPA Compliance — данные студентов не используются для рекламы. Необходимо: (1) заключить с Google School Agreement как оператор; (2) отключить дополнительные Google Services для пользователей младше 13 лет в Admin Console; (3) обеспечить родительский контроль на уровне образовательного учреждения. Важно: это покрывает COPPA для сервисов Google, но не ваш собственный код и интеграции.
Студент утверждает, что ему 18+ при регистрации, но родитель пишет, что ребёнку 15. Кто несёт ответственность?
По COPPA — оператор. Если вы получили «actual knowledge» о том, что пользователь — ребёнок (письмо родителя является таковым), вы обязаны немедленно: прекратить обработку данных, уведомить родителя, запросить VPC или удалить аккаунт. «Пользователь солгал о возрасте» не является защитой после получения actual knowledge. Реагируйте быстро и документируйте свои действия.
Нужна ли Children's Privacy Policy на русском языке для российской аудитории?
152-ФЗ не обязывает иметь отдельный документ для детей, но документы, адресованные субъектам ПДн, должны быть понятны — что подразумевает русский язык для российских пользователей. При ориентации на несовершеннолетних рекомендуется иметь адаптированную версию политики с объяснением для детей и/или их родителей. Это снизит риски при проверке РКН и повысит доверие аудитории.
Должны ли мы соблюдать UK Children's Code, если мы не UK-компания?
Да, если ваш сервис «likely to be accessed by children» в Великобритании. ICO применяет экстерриториальный подход аналогично UK GDPR: если вы таргетируете или принимаете британских пользователей — Code применяется. ICO оштрафовал несколько небританских платформ, включая TikTok (не-UK company at the time). Если у вас есть британская аудитория с детьми — Code обязателен.

Запустите EdTech-продукт с правильным детским compliance

Разработаем полный compliance-пакет для EdTech с детской аудиторией: Children's Privacy Policy, VPC-флоу, age gate, Parental Dashboard spec, договоры с субпроцессорами — под COPPA, GDPR, 152-ФЗ и UK Children's Code одновременно.

Children's Privacy Policy COPPA VPC-флоу Age gate spec GDPR Art.8 compliance Parental Dashboard DPA с субпроцессорами
Заказать compliance-пакет для EdTech

Работаем с K-12, higher ed, language learning, tutoring и EdTech SaaS-платформами. Ответим в течение рабочего дня.

Category : Персональные данные
Tags : 152-ФЗ age gate COPPA EdTech GDPR Art.8 дети персональные данные