COPPA (Children's Online Privacy Protection Act)

COPPA Nedir?

Children's Online Privacy Protection Act (COPPA), ABD'de 13 yaş altındaki çocuklardan kişisel bilgi toplanmasını düzenleyen federal yasadır (1998, 2013 güncelleme).

Kimleri Etkiler?

• 13 yaş altındaki çocuklara yönelik uygulamalar
• "Mixed audience" uygulamalar (hem çocuk hem yetişkin)
• ABD'li çocukların verilerini işleyen herhangi bir uygulama (ABD dışında olsa bile)

"Kişisel Bilgi" Neleri Kapsar?

• Ad, soyad
• E-posta adresi
• Telefon numarası
• Fiziksel adres
• Fotoğraf, video, ses kaydı
• Konum bilgisi
• Persistent identifier (device ID, cookie, IP adresi)
• Kullanıcı adı (bir kişiyi tanımlayabiliyorsa)

Gereksinimler

1. Gizlilik Politikası

• Çocuklara özel bölüm
• Nelerin toplandığı, nasıl kullanıldığı
• Ebeveyn hakları

2. Doğrulanabilir Ebeveyn Rızası (VPC)

• 13 yaş altından veri toplamadan ÖNCE ebeveyn onayı alınmalı
• Yöntemler: Kredi kartı doğrulama, video konferans, imzalı form
• "Knowledge-based" sorular yetersiz

3. Ebeveyn Hakları

• Çocuğun verilerini görme
• Veri toplanmasını durdurma
• Verilerin silinmesini talep etme

4. Veri Minimizasyonu

• Sadece hizmet için gerekli verileri topla
• Verileri gereksiz uzun saklama

Mobil Uygulama İçin Pratik Adımlar

1. Yaş geçidi (age gate) ekle ama kolayca bypass edilememeli
2. 13 yaş altına veri toplama yapma (mümkünse)
3. COPPA-compliant reklam SDK'ları kullan (Google için "tag for child-directed treatment" aktif et)
4. Behavioral advertising yapma (çocuk kullanıcılara hedefli reklam gösterme)
5. Analytics sınırla - çocuk kullanıcılardan minimum veri topla
6. Push notification ile dikkatli ol - kişisel veri niteliğinde olabilir

Apple ve Google Store Gereksinimleri

Apple - Kids Category

• Kids kategorisinde yayınlanan uygulamalar otomatik olarak COPPA kapsamında
• Üçüncü taraf analytics ve reklam SDK'ları YASAK
• Uygulama dışına link vermek kısıtlı
• Satın alma için ebeveyn onayı zorunlu

Google Play - Families Policy

• "Designed for Families" programına katılım
• Google Play Families politikasına uyum zorunlu
• Onaylı reklam SDK'ları listesinden seçim yapılmalı
• Teacher Approved rozeti için ek gereksinimler

COPPA Uyum Kontrol Listesi

Uygulamanız çocuklara yönelikse veya mixed audience ise:

• Yaş doğrulama mekanizması eklendi (age gate)
• Çocuklara özel gizlilik politikası hazırlandı
• Doğrulanabilir ebeveyn rızası (VPC) mekanizması entegre edildi
• Üçüncü taraf SDK'lar COPPA uyumluluğu açısından denetlendi
• Behavioral advertising devre dışı bırakıldı (çocuk kullanıcılar için)
• Veri minimizasyonu uygulandı (sadece gerekli veri toplanıyor)
• Veri saklama süreleri belirlendi ve gereksiz veriler siliniyor
• Ebeveyn erişim/silme talep süreci tanımlandı
• Store (Apple Kids / Google Families) politikalarına uyum sağlandı

Cezalar

FTC (Federal Trade Commission) COPPA ihlallerini ciddi şekilde cezalandırır:

• İhlal başına 50.000 dolara kadar para cezası
• Büyük şirketlere milyonlarca dolarlık cezalar verilmiştir
• TikTok: 5.7 milyon dolar (2019), Musical.ly döneminden COPPA ihlali
• Epic Games (Fortnite): 275 milyon dolar (2022)
• Uygulamanın store'dan kaldırılması riski

Mixed Audience Uygulama Stratejisi

Hem çocuk hem yetişkin kullanan uygulamalar için en iyi yaklaşım:

1. Yaş geçidi ile segmentasyon: 13 altı ve üstü kullanıcıları ayır
2. Çocuk modu: 13 altı kullanıcılar için kısıtlı deneyim (reklamsız, veri toplamadan)
3. Ayrı veri akışı: Çocuk kullanıcıların verilerini farklı pipeline'dan geçir
4. Varsayılan koruma: Yaş doğrulanamadığında çocuk olarak kabul et

COPPA sadece "çocuk uygulamaları" için değil. Uygulamanız çocuklar tarafından kullanılıyorsa (niyet etmeseniz bile) COPPA kapsamına girebilirsiniz.

İlgili Konular

• Privacy Policy (Gizlilik Politikası)
• Çocuk Kategorisi Gereksinimleri
• Small Business Program (Apple & Google %15 Komisyon)