COPPA Gerçekte Kimi Kapsar

COPPA, 13 yaşın altındaki çocuklara yönelik olan ya da 13 yaşın altındaki bir çocuktan kişisel bilgi topladığına dair gerçek bilgiye sahip olan her ticari web sitesine, mobil uygulamaya, bağlı cihaza veya çevrimiçi hizmete uygulanır. Kapsam, çoğu yayıncının varsaydığından daha geniştir; çünkü FTC her iki kriteri de agresif bir şekilde yorumlamaktadır.

Bir hizmetin çocuklara yönelik olup olmadığı çok faktörlü analize dayanır: konu, görsel içerik, animasyonlu karakterlerin veya çocuklara yönelik faaliyetlerin kullanımı, müzik, modellerin yaşı, çocuklar arasında popüler ünlülerin varlığı, dil, hizmetteki ve bizzat çocuklara yönelik reklamlar ve hedef kitle kompozisyonuna ilişkin yetkin ve güvenilir ampirik kanıtlar. Genel kitleye yönelik bir site, çocuklara yönelik içerik etrafında bir bölüm oluşturulduğu anda karma kitleye yönelik bir hizmete dönüşebilir.

Yayıncıların sürekli olarak yanlış anladığı üç şey:

• Kayıt sırasındaki Hizmet Şartlarındaki yaş kapısının yeterli olduğuna inanmak. Sitenin geri kalanı çocuklara yönelik niyet sinyali verdiğinde, tek başına yeterli değildir.
• Giriş yapmış kullanıcı olmamasının COPPA riskinin olmadığı anlamına geldiğini varsaymak. Kalıcı tanımlayıcılar — çerezler, IP adresleri, cihaz ID'leri, reklam ID'leri — bir çocuktan toplandığında COPPA kapsamında kişisel bilgi sayılır.
• COPPA'yı eyalet gizlilik yasasından bağımsız olarak ele almak. California'nın Yaşa Uygun Tasarım Kodu, Connecticut'ın çocuk veri yasası ve federal teklifler hepsi COPPA'nın tanımları üzerine inşa edilmiştir; temiz bir COPPA programı, tüm bunlara uyumun temelidir.

2025 Değişikliği Gerçekte Neyi Değiştirdi

FTC'nin Ocak 2025 tarihli nihai kuralı, 2013'ten bu yana yapılan ilk kapsamlı güncelleme olarak COPPA'yı yayıncıların özümsemesi gereken beş somut şekilde modernize etti.

Üçüncü Taraf Reklamcılığı için Ayrı Opt-In

Operatörler artık hizmeti kullanmak için verilen tek bir ebeveyn onayına üçüncü taraf reklamcılığı açıklamalarını dahil edemez. Çocuklara yönelik bir hizmette davranışsal reklamcılık, artık hizmetin kendisini kullanma onayından ayrı, ayrı, opt-in doğrulanabilir ebeveyn rızası gerektirmektedir. Paketleme — reklam destekli çocuk uygulamaları ve siteleri için tarihi norm — artık açıkça yasaklanmıştır.

Genişletilmiş Kişisel Bilgiler

Değişiklik, kişisel bilgi tanımını, parmak izleri, ses izleri, retina veya iris görüntüleri ve yüz geometrisi şablonları dahil olmak üzere bir kişiyi doğrulayabilen biyometrik tanımlayıcıları kapsayacak şekilde genişletti. Ayrıca yalnızca ABD'den değil, herhangi bir hükümetten gelen hükümet tarafından verilmiş tanımlayıcıların da kapsam dahilinde olduğunu açıkladı. Çocuklara yönelik hizmetlerde sesli arama özellikleri, yapay zeka asistanları veya fotoğraf yükleme araçları çalıştıran yayıncıların bu akışları yeni tanıma göre haritalandırması gerekir.

Veri Saklama Sınırları

Yeni kural, operatörlerin çocukların kişisel bilgilerinin saklanmasını toplandığı amaç için makul ölçüde gerekli olanla sınırlayan yazılı bir saklama politikası yayımlamasını zorunlu kılmaktadır. Süresiz saklama artık izin verilmemektedir ve politikanın gizlilik bildiriminden bağlantılı olması gerekir.

Güçlendirilmiş Doğrulanabilir Ebeveyn Rızası Yöntemleri

Değişiklik, kabul edilebilir VPC yöntemlerinin menüsünü resmileştirdi ve yalnızca ebeveynin yanıtlayabileceği dinamik, çoktan seçmeli sorular kullanan bilgiye dayalı kimlik doğrulama seçeneği ekledi. Klasik yöntemler — kredi kartı işlemi, imzalı form, eğitimli operatörle video konferans, hükümet kimlik doğrulaması — mevcut olmaya devam etmektedir ancak her onay olayı için belgelenmelidir.

Önemli Değişiklik Bildirimi Yeni VPC'yi Tetikler

Veri uygulamalarındaki herhangi bir önemli değişiklik — toplanan yeni veri kategorileri, yeni üçüncü taraf alıcılar, yeni reklam düzenlemeleri — yeni doğrulanabilir ebeveyn rızasını tetikler. Operatörler, 2026 reklam entegrasyonunu yetkilendirmek için 2018 onayına güvenemez.

Pratikte Doğrulanabilir Ebeveyn Rızası

Doğrulanabilir Ebeveyn Rızası, COPPA'nın özüdür ve yayıncıların çoğunlukla kötü uyguladığı kısımdır. Yasal standart, onay veren kişinin çocuğun ebeveyni olduğunu güvence altına almak için makul ölçüde tasarlanmış onay almaktır — salt onay toplanmış olmak değil.

Yayıncıların bilmesi gereken FTC onaylı yöntemler:

• Kart hamiline bildirimle birlikte kredi veya banka kartı işlemi. İşlem bildirimiyle eşleştirildiğinde küçük bir ücret veya sıfır dolar yetkilendirmesi kabul edilebilir.
• Güvenli üçüncü taraf kimlik sağlayıcısı aracılığıyla hükümet kimlik doğrulaması; kimlik, doğrulamadan hemen sonra imha edilir.
• 2025 kuralından gelen yeni seçenek olan bilgiye dayalı kimlik doğrulama — kamu kayıtlarından alınan dinamik çoktan seçmeli sorular kullanan.
• Posta, faks veya elektronik tarama yoluyla iade edilen imzalı onay formu.
• Sunulan hükümet kimliğine karşı kimliği doğrulayan eğitimli bir operatörle video konferans.
• Email-plus — yalnızca yalnızca dahili kullanım kişisel bilgileri için izin verilir ve bir takip onay adımı gerektirir. Reklam verileri için email-plus'a güvenmeyin.

Temel operasyonel soru belgelendirmedir. Her çocuk kullanıcı için operatör, FTC talebi üzerine şunları gösterebilmelidir: hangi yöntemin kullanıldığı, doğrulayan ebeveynin kim olduğu, hangi veri kategorilerinin yetkilendirildiği, hangi üçüncü taraf alıcıların adının geçtiği ve onayın zaman damgası. Modern bir FlexyConsent tarzı CMP, VPC sağlayıcısıyla entegre edilmeli ve bu izi çerez onay olaylarıyla aynı denetim günlüğünde saklamalıdır.

Çocuklara Yönelik Sitelerde Çerez Onayı

COPPA ve çerez bandı farklı yasal katmanlarda yer alır ancak birlikte çalışmaları gerekir. GDPR/ePrivacy kapsamındaki veya CCPA gibi eyalet yasaları kapsamındaki çerez onay bannerları COPPA'yı karşılamaz ve doğrulanabilir ebeveyn rızası operatörü çerez açıklama yükümlülüklerinden muaf tutmaz. Çocuklara hizmet veren operatörler her iki katmanı da koordineli şekilde çalıştırmalıdır.

VPC Toplanana Kadar İzlemeyi Engelle

Çocuklara yönelik bir sayfada, söz konusu kullanıcı için VPC toplanmadan önce hiçbir reklam veya analitik çerezi etkinleştirilemez. Standart hepsini kabul et banner'ı yanlış araçtır — varsayılan durum, ebeveyn onayı dosyaya alınana kadar hiçbir şeyin etkinleşmemesi olmalıdır ve o zaman bile yalnızca ebeveynin yetkilendirdiği kategoriler için.

Satıcı Listesini COPPA Uyumlu Ortaklarla Sınırla

Çocuklara yönelik bir mülkteki satıcı listesi, genel kitleye yönelik bir siteye kıyasla zorunlu olarak daha kısadır. SSP'ler, DSP'ler ve analitik sağlayıcılar, çocuk verilerini davranışsal hedefleme için kullanmadıklarını ve çocuğu aşağı akıştaki davranışsal ağlara iletmediklerini sözleşmeyle garanti etmelidir. Büyük SSP'lerin çoğu COPPA uyumlu envanter modu yayımlamaktadır; yığınınızı bu moda göre yapılandırın ve uyumsuz ortakları kaldırın.

Alt Bilgide Ebeveyn Kontrollerini Göster

Gizlilik bildirimi, ebeveynlere çocukları için onayı incelemek, değiştirmek veya iptal etmek üzere talimatlar içeren, açık ve sade dilli bir bölüm içermelidir. Ebeveynler İçin gibi etiketlenmiş kalıcı bir alt bilgi bağlantısı, FTC'nin erişilebilirlik beklentilerini karşılar ve bir soruşturmacı kullanılabilirlik denetimi yaptığında savunulabilir bir iz oluşturur.

FTC'nin 2024–2026 Yaptırım Modeli

COPPA kapsamındaki yaptırım, 2019 YouTube uzlaşmasının büyük yayıncı davalarına yönelik FTC'nin iştahını yeniden açmasından bu yana hız kazanmıştır. Son onay kararnamelerinden gelen modeller, FTC'nin bir soruşturmada gerçekte ne aradığı için bir yol haritası sunar.

• Kalıcı tanımlayıcılar başlıca kanıt olarak. FTC, reklam günlüklerini düzenli olarak çağırır ve reklam teknolojisi ID'lerinin VPC olmadan tanımlanabilir çocuk kullanıcılara atandığını göstermek için bunları kitle verileriyle ilişkilendirir. İçki belgeler, kitleyi „çocuklar" olarak adlandırırken gizlilik programı onu genel kitle olarak ele alıyorsa, bunlar yıkıcıdır.
• Satıcı yönetim hatası çarpan olarak. Bir operatör çocuk verilerini COPPA uyumsuz bir SSP'ye ilettiğinde, her iki taraf da sorumlu hale gelir. FTC, birincil operatörleri ve aşağı akış ağlarını paralel eylemlerle takip etmiştir.
• Davranış modeli tespitleri. Tek bir VPC başarısızlığı bir tespit olabilir; ürün yüzeyleri genelinde bir başarısızlık modeli, hem cezayı hem de onay kararnamesinin kapsamını genişleten FTC Yasası'nın 5. Maddesi kapsamında aldatıcı uygulamalar sayımına dönüşür.
• Hukuki ceza tırmanması. FTC Improvements Act kapsamında ihlal başına maksimum hukuki ceza yıllık olarak yukarı revize edilmiştir; 2025'te ihlal başına 50.000 doların üzerindeydi ve bazı davalarda her çocuk ayrı bir ihlal olarak değerlendirildi.

COPPA Hazır Yığın Oluşturma

COPPA'yı FTC incelemesine gerçekten dayanacak şekilde uygulamak, ürün, mühendislik, reklam operasyonları ve hukuk arasında bir koordinasyon sorunudur. Çalışma yaklaşık altı iş akışına bölünür.

1. Her Mülkü ve Yüzeyi Sınıflandırın

Her alan adı, alt alan adı, uygulama ve bağlı cihaz uç noktası için, çocuklara yönelik mi, karma kitleli mi yoksa genel kitleye yönelik mi olduğuna karar verin. Analizi belgeleyin. Karma kitleli yüzey — örneğin hem yetişkin hem de çocuk içeriğine sahip ana sayfa — COPPA'yı yalnızca tarafsız bir yaş kapısı aracılığıyla kendilerini 13 yaşın altında olarak tanımlayan kullanıcılara uygulamalıdır, tüm kullanıcılara değil.

2. Yaş Kapısını Doğru Şekilde Oluşturun

Tarafsız bir yaş kapısı, daha büyük kullanıcıların daha fazla erişim elde ettiğine işaret etmeyecek şekilde doğum tarihini sorar. 13 yaşında veya daha büyük müsünüz? şeklinde sormak tarafsız değildir ve FTC bunu işaretlemiştir. Bir cihaz başına bir kez kullanılan, müdahaleye dayanıklı çerezle birlikte basit bir ay-gün-yıl seçici standart yaklaşımdır.

3. VPC Satıcısını Entegre Edin

Ürün ekibiniz VPC'yi şirket içinde işletmeyi düşünmüyorsa, bir uzman satıcıyla entegrasyon yapın — FTC onaylı birkaç sağlayıcı mevcuttur — ve entegrasyonu CMP'nizden, kayıt akışından ve ebeveyn rızası yönetim portalından çağrılabilir hale getirin. Olay başına denetim kaydını VPC satıcısının silosunda değil, CMP'nin veritabanında saklayın.

4. Reklam ve Analitik Yığınları COPPA Modunda Yapılandırın

Google Ad Manager, AdMob, IronSource, Unity Ads, Meta Audience Network ve büyük DSP'ler, bir çocuğa yönelik muamele etiketi bayrağı sunmaktadır. Bunu çocuklara yönelik bir yüzeyden veya 13 yaş altı kimliği doğrulanmış kullanıcıdan gelen her reklam çağrısına ayarlayın. Bayrağın gerçekten yalnızca bağlamsal teslimi tetiklediğini, yalnızca belgeleme azalmasını değil, satıcı dokümantasyonuyla doğrulayın.

5. Ebeveyn Kontrolleri ve Silmeyi Bağlayın

Ebeveynlerin talep üzerine çocuklarının verilerini inceleme, değiştirme ve silme hakkı vardır. Gizlilik bildiriminden erişilebilen, ebeveyni doğrulayan, dosyadaki verileri görüntüleyen ve ayrıntılı kontroller sunan bir ebeveyn portalı oluşturun. Silme işlemi, makul bir zaman diliminde — çoğu operatör 30 günü taahhüt eder — onay kaydında listelenen tüm üçüncü taraflara yayılmalıdır.

6. Üç Ayda Bir Denetim Yapın

Satıcı listesi değişiklikleri, yeni ürün yüzeyleri, saklama uyumluluğu, onay kararnamesi yenileme ve FTC kılavuz güncellemelerini kapsayan üç aylık inceleme çalıştırın. FTC, COPPA iş kılavuzu güncellemelerini düzenli olarak yayımlamaktadır; gizlilik ekibinizi FTC'nin posta listesine abone etmek, mümkün olan en ucuz uyumluluk yatırımıdır.

Kaçınılması Gereken Yaygın Tuzaklar

Tekrarlayan başarısızlık modelleri, yayıncı denetimleri ve FTC onay kararnamelerinde görülmektedir:

• COPPA'yı kayıt sorunu olarak ele almak. COPPA riskinin büyük çoğunluğu, kayıtlı hesaplardan değil, çocuklara yönelik sayfalardaki anonim reklam teknolojisi tanımlayıcılarından kaynaklanmaktadır.
• "Bağlamsal reklamlar"ın varsayılan olarak COPPA güvenli olduğunu varsaymak. Bazı "bağlamsal" reklam ağları arka planda hâlâ kalıcı tanımlayıcılar ayarlamaktadır; gerçek çerez davranışını doğrulayın.
• Ürün lansmanlarının gizlilik incelemesini geçmesine izin vermek. Onay kararnamesi incelemesi olmadan eklenen yeni bir özellik tüm programınızı geçersiz kılabilir. Yayın sürecinize bir gizlilik kapısı ekleyin.
• Bağlı cihaz ve CTV yüzeylerini unutmak. COPPA açıkça akıllı TV'leri, sesli asistanları ve oyun konsollarını kapsar. Pek çok yayıncı bunu envanterinde hâlâ gözden kaçırmaktadır.
• Eski onay kayıtları. Veri uygulamalarındaki önemli bir değişiklik, önceki VPC'yi geçersiz kılar. Aylık reklam teknolojisi değişiklikleri yapan yayıncıların VPC'yi yenilemek için bir sürece ihtiyaçları vardır, aksi hâlde risk biriktirir.

2027 ve Sonrasında COPPA Nasıl Görünecek

İki yörünge bu alanı önümüzdeki on sekiz ay içinde yeniden şekillendirecek. Birincisi, KOSA — Çocuklar için Çevrimiçi Güvenlik Yasası — gibi federal teklifler, içerik tasarımı yükümlülükleri ve daha katı yaş doğrulama gereksinimleri de dahil olmak üzere COPPA'nın üzerine ek özen görevleri ekleyecektir. KOSA'nın bütün olarak mı yoksa parçalar hâlinde mi geçeceğinden bağımsız olarak, düzenleyici yön daha fazla yükümlülük yönündedir, daha az değil. İkincisi, çocuklara yönelik tasarım kurallarının eyalet eyalet genişlemesi — Kaliforniya, Connecticut, Maryland ve sıradaki diğerleri — federal COPPA'nın yanı sıra yayıncıların karşılaması gereken bir yamalar bütünü oluşturmaktadır. 2026 COPPA uyumluluğunu, eyalet gerekliliklerini katmanlama kapasitesine sahip bir başlangıç noktası olarak ele alan operatörler, 2027'de yeniden mimari oluşturmak zorunda kalmayacak olanlardır.

Sonuç

2026'da COPPA artık yalnızca çocuk uygulama geliştiricileri için niş bir gereklilik değil — kitlesi kısmen de olsa çocukları kapsayan her yayıncı için ana akım gizlilik altyapısıdır. 2025 değişikliği, yayıncıların içinde yaşadığı boşlukları kapattı; özellikle reklamcılık için paketlenmiş onay kısayolunu. Savunulabilir bir yaş kapısı çalıştırın, doğrulanabilir bir ebeveyn rızası satıcısıyla entegre olun, reklam yığınınızı COPPA moduna göre yapılandırın ve her şeyi standart çerez onay olaylarınızın yanı sıra bir CMP denetim günlüğünde belgeleyin. Bunu iyi yaparsanız çocuklara yönelik trafik paraya çevrilebilir kalır. Kötü yaparsanız, kendi onay kararnamenizi FTC'nin web sitesinde milyonlarca dolarlık hukuki ceza ekli olarak okuyacaksınız.