Wskazówki dotyczące wdrażania ustawy o ochronie danych dzieci w stanie Nowy Jork

Ta strona została ostatnio zaktualizowana 19 maja 2025 r.

Biuro Prokuratora Generalnego (OAG) wydaje niniejsze wytyczne przed datą wejścia w życie 20 czerwca 2025 r. nowojorskiej ustawy o ochronie danych dzieci (NYCDPA lub ustawy), skodyfikowanej w nowojorskim ogólnym prawie gospodarczym (N.Y. Gen. Bus. Law) §§ 899-ee et seq.  

Niniejsze wytyczne wyjaśniają kluczowe kwestie poruszone przez OAG w zaawansowanym zawiadomieniu o proponowanych przepisach oraz w kontaktach OAG z uczestnikami branży. Ustawa przyznaje również OAG uprawnienia do ogłaszania zasad, a OAG zamierza wydać zasady w celu zapewnienia dalszych szczegółów i wyjaśnień dla niektórych terminów omówionych później w oparciu o zaangażowanie zainteresowanych stron w początkowym okresie zgodności. Dopóki takie zasady nie zostaną zaproponowane i sfinalizowane, OAG doradza, że będzie korzystać z uznaniowości w prowadzeniu działań egzekucyjnych i weźmie pod uwagę wysiłki operatora w dobrej wierze, aby przestrzegać NYCDPA zgodnie z prostym językiem ustawy i niniejszymi wytycznymi. 

Pobierz wersję do druku niniejszych wytycznych

OAG zapewnia wytyczne dotyczące: 

  • zastosowanie ustawy o ochronie prywatności dzieci w Internecie (Children's Online Privacy Protection Act), 15 U.S.C. §§ 6501 et seqoraz jej przepisy wykonawcze i powiązane wytyczne Federalnej Komisji Handlu (łącznie COPPA) wobec małoletnich poniżej 13 roku życia zgodnie z ograniczeniami przetwarzania NYCDPA (N.Y. Gen. Bus. Law § 899-ff(1)(a)).
  • obowiązki operatora w odniesieniu do oznaczeń wieku podanych przez użytkownika zgodnie z N.Y. Gen. Bus. Prawo § 899-ii(1).
  • "skierowane głównie do małoletnich" zgodnie z N.Y. Gen. Bus. Prawo § 899-ee(6).
  • "bezwzględnie konieczne. . . dopuszczalne cele" zgodnie z N.Y. Gen. Bus. Prawo §§ 899-ff(2).
  • wymagania dla szkół, okręgów szkolnych i ich zewnętrznych wykonawców w ramach NYCDPA.
  • prośby rodziców o produkty i usługi.

Niniejsze wytyczne odnoszą się do "strony internetowej, usługi online, aplikacji online, aplikacji mobilnej lub podłączonego urządzenia" w rozumieniu NYCDPA[1] łącznie jako "urządzenie lub usługa online".

Przetwarzanie zgodnie z NYCDPA i COPPA 

Dla dzieci poniżej 13 roku życia, N.Y. Gen. Bus. Prawo § 899-ff(1)(a) zezwala na przetwarzanie dozwolone przez COPPA. Innymi słowy, NYCDPA przyjmuje COPPA jako obowiązujący standard przetwarzania danych użytkowników objętych ochroną, o których operator faktycznie wie, że mają 12 lat lub mniej lub korzystają z urządzenia lub usługi online skierowanej głównie do użytkowników objętych ochroną w wieku 12 lat lub młodszych.[2] W związku z tym, zgodnie z NYCDPA, COPPA reguluje dla tych użytkowników, kiedy przetwarzanie danych może odbywać się bez zgody rodziców, kiedy jest to zabronione bez zgody rodziców oraz w jaki sposób można uzyskać zgodę rodziców. 

Flagi wiekowe: N.Y. Gen. Bus. § 899-ii(1) 

OAG dostrzega potencjalne niuanse związane z tym, kiedy i w jaki sposób operator może polegać na komunikacji lub sygnale z urządzenia użytkownika dotyczącym statusu użytkownika jako użytkownika objętego ubezpieczeniem ("flaga wieku"). W przyszłości OAG ogłosi zasady dotyczące istotnych czynników lub cech, które mogą sprawić, że oznaczenie wiekowe będzie respektowane przez operatora zgodnie z prawem stanu Nowy Jork. Gen. Bus. Prawo § 899-ii(1). Dopóki takie zasady nie zostaną sfinalizowane i nie wejdą w życie, OAG doradza, że będzie korzystać z uznaniowości w prowadzeniu działań egzekucyjnych w odniesieniu do tego przepisu, o ile operatorzy będą w dobrej wierze starać się przestrzegać wszystkich innych przepisów NYCDPA zgodnie z niniejszymi wytycznymi.  

W szczególności, użytkownik objęty NYCDPA to użytkownik, o którym operator "faktycznie wie, że jest osobą niepełnoletnią"[3] i wymóg ten jest niezależny od N.Y. Gen. Bus. Prawo § 899-ii(1) dotyczące flag wiekowych. Na przykład operator może uzyskać lub poznać wiek użytkownika i powiązać go z jego kontem. Jeśli użytkownik jest niepełnoletni, operator ma faktyczną wiedzę o tym, że użytkownik jest użytkownikiem objętym ochroną, gdziekolwiek operator może rozpoznać konto użytkownika, w tym gdy użytkownik loguje się do tej samej usługi lub produktu za pomocą różnych urządzeń lub uzyskuje dostęp do różnych usług lub produktów przy użyciu tych samych danych logowania, i musi odpowiednio przestrzegać prawa.  

Skierowane głównie do nieletnich 

W N.Y. Gen. Bus. Prawo § 899-ee(1), użytkownik objęty ubezpieczeniem jest zdefiniowany jako, między innymiużytkownik, który "korzysta ze strony internetowej, usługi online, aplikacji online, aplikacji mobilnej lub podłączonego urządzenia skierowanego głównie do małoletnich". N.Y. Gen. Bus. Prawo § 899-ee(6) definiuje "skierowane głównie do nieletnich" jako urządzenie lub usługę online, "lub ich część, która jest skierowana do nieletnich". 

OAG otrzymała zapytania dotyczące zakresu "skierowanych głównie do małoletnich" w ramach NYCDPA, przy czym niektóre zapytania odnosiły się do standardu "skierowanych do dzieci" w ramach COPPA.[4] Dla nieletnich w wieku do 12 lat, N.Y. Gen. Bus. Ustawa § 899-ff(1)(a) wyraźnie zezwala na przetwarzanie danych, które jest dozwolone przez COPPA. W związku z tym wszelkie urządzenia lub usługi online objęte zakresem NYCDPA "skierowane głównie do małoletnich" również podlegają standardowi COPPA "skierowane do dzieci", a jak określono powyżej, ich operatorzy mogą spełnić obowiązki w zakresie zgodności z NYCDPA poprzez przestrzeganie COPPA.

W przypadku małoletnich w wieku od 13 do 17 lat OAG uznaje, że wiele urządzeń internetowych lub usług świadczonych w interesie ogólnym może być odwiedzanych przez małoletnich w wieku od 13 do 17 lat lub może uznawać małoletnich w wieku od 13 do 17 lat za część - ale nie przede wszystkim - odbiorców. W związku z tym standard "głównie ukierunkowany" określony przez NYCDPA zapewnia operatorom pewną dodatkową elastyczność w porównaniu ze standardem COPPA dla młodszych dzieci.  Wymogi NYCDPA mają zastosowanie wyłącznie do urządzeń lub usług online, lub ich części, które można określić jako "skierowane głównie" lub "ukierunkowane" na małoletnich.

Niezbędne 

NYCDPA zasadniczo wymaga, aby użytkownik objęty ochroną udzielił ważnej zgody, zanim dane osobowe użytkownika objętego ochroną będą mogły być przetwarzane. Gdy użytkownik objęty ochroną jest w wieku od 13 do 17 lat, przetwarzanie bez zgody użytkownika jest dozwolone tylko wtedy, gdy przetwarzanie jest "ściśle niezbędne" do wyraźnego celu wymienionego w N.Y.. Gen. Bus. Prawo § 899-ff(2) NYCDPA.[5] Aby ułatwić zachowanie zgodności, niniejsze wytyczne odpowiadają na zapytania związane z niektórymi z tych wyraźnych celów.  

Dostarczanie lub utrzymywanie określonego produktu lub usługi zamówionej przez użytkownika objętego ubezpieczeniem 

Pod N.Y. Gen. Bus. Prawo § 899-ff(2)(a), przetwarzanie "ściśle niezbędne" w celu "dostarczenia lub utrzymania określonego produktu lub usługi zamówionej przez użytkownika objętego ubezpieczeniem" jest dozwolone bez zgody. Aby powołać się na ten wyjątek, przetwarzanie musi być związane z "konkretnym" produktem lub usługą "żądaną przez użytkownika objętego ubezpieczeniem", co oznacza, że mieści się w oczekiwaniach rozsądnego użytkownika objętego ubezpieczeniem w odniesieniu do danego produktu lub usługi. Na przykład użytkownicy większości produktów lub usług mogliby racjonalnie oczekiwać, że przetwarzanie danych osobowych w celu zapewnienia obsługi klienta dla produktu lub usługi zostanie uwzględnione. Przetwarzanie danych osobowych użytkownika objętego ochroną w tym celu zasadniczo nie wymagałoby odrębnej zgody użytkownika.   

Z drugiej strony, większość rozsądnych użytkowników nie oczekuje, że operatorzy będą śledzić więcej ich aktywności online niż jest to konieczne dla konkretnego produktu lub usługi, z której korzystają, ani że będą wykorzystywać zebrane dane osobowe do celów niezwiązanych ze świadczeniem tego produktu lub usługi. Zgodnie z NYCDPA operatorzy muszą uzyskać zgodę użytkownika na takie niepotrzebne przetwarzanie. Jeśli operator wyraźnie i wyraźnie reklamuje swoją podstawową usługę jako taką, która śledzi określone działania użytkownika w celu zapewnienia rejestru działań (np. platforma budżetowa śledząca działania związane z wydatkami w celu zaoferowania miesięcznego zestawienia wydatków), wówczas przetwarzanie tego rodzaju danych dotyczących aktywności użytkownika w tym konkretnym celu byłoby zgodne z oczekiwaniami rozsądnego użytkownika takiej usługi. W związku z tym operator nie jest zobowiązany do uzyskania zgody na takie przetwarzanie.  

Operator nie może jednak obejść przepisów stanu Nowy Jork. Gen. Bus. Law § 899-ff(1) po prostu poprzez marketing swojej podstawowej usługi jako takiej, która obejmuje śledzenie danych osobowych użytkownika objętego ochroną w celu wspierania personalizacji, takiej jak reklama behawioralna lub tworzenie profilu konkretnej osoby w celu wyświetlania lub ustalania priorytetów niektórych mediów. Co więcej, wszelkie dane gromadzone i przetwarzane przez operatora w ramach tego wyjątku mogą być wykorzystywane wyłącznie w oczekiwanym celu (np. platforma budżetowa gromadząca dane osobowe niezwiązane z miesięcznymi wydatkami, takie jak współrzędne GPS urządzenia w czasie rzeczywistym, nie może polegać na tym wyjątku w celu przetwarzania niepowiązanych danych osobowych) lub w inny sposób zgodny z prawem krajowym. Gen. Bus. Prawo § 899-ff(2). Dane osobowe nie mogą być wykorzystywane przez operatora, jego podmioty przetwarzające ani żaden podmiot zewnętrzny, któremu operator zezwala na gromadzenie danych osobowych, w żadnym innym celu.  

Prowadzenie wewnętrznych operacji biznesowych 

Dodatkowo, N.Y. Gen. Bus. Ustawa § 899-ff(2)(b) zezwala operatorom na przetwarzanie danych osobowych "ściśle niezbędnych do ... . prowadzenie wewnętrznych operacji biznesowych". OAG informuje, że wiele działań dozwolonych na mocy COPPA w celu "wsparcia wewnętrznych operacji strony internetowej lub usługi online" jest również dozwolonych na mocy tej sekcji.[6] OAG informuje jednak, że w przeciwieństwie do COPPA, N.Y. Gen. Bus. Prawo § 899-ff(2) zawiera zastrzeżenie, że "wewnętrzne operacje biznesowe nie obejmują żadnych działań związanych z marketingiem, reklamą, badaniami i rozwojem [lub] dostarczaniem produktów lub usług stronom trzecim".  

Ochrona przed złośliwymi, oszukańczymi lub nielegalnymi działaniami 

N.Y. Gen. Bus. Ustawa § 899-ff(2)(d), odnosząca się do "złośliwej, oszukańczej lub nielegalnej działalności", zezwala na przetwarzanie danych osobowych w celu ochrony przed oszustwami, takimi jak ograniczenie częstotliwości reklam.   

Istotne interesy osoby fizycznej 

Wreszcie, N.Y. Gen. Bus. Prawo § 899-ff(2)(b), dotyczące "wewnętrznych operacji biznesowych", wraz z N.Y. Gen. Bus. Ustawa § 899-ff(2)(i), odnosząca się do "żywotnych interesów osoby fizycznej", zezwala na przetwarzanie danych osobowych związanych z zaufaniem użytkownika urządzenia lub usługi online, polityką zdrowotną i bezpieczeństwa bez zgody. 

Wniosek dotyczący dozwolonych celów 

Jak wspomniano wcześniej, OAG weźmie pod uwagę wysiłki podejmowane w dobrej wierze w celu zapewnienia zgodności z prawem, korzystając ze swojej swobody decyzyjnej w zakresie egzekwowania prawa stanu Nowy Jork. Gen. Bus. Prawo § 899-ff(2), zgodnie z którym operator może przetwarzać dane osobowe, które są "ściśle niezbędne" do wymienionych celów bez zgody. 

Wymagania dla szkół, okręgów szkolnych i ich zewnętrznych wykonawców 

NYCDPA nie zakłóca ram obowiązujących w odniesieniu do danych osobowych objętych nowojorskim prawem oświatowym (N.Y.). Edukacja. Law) § 2-d i jego przepisy wykonawcze lub federalna ustawa Family Educational Rights Privacy Act (FERPA), 20 U.S.C. § 1232g i jej przepisy wykonawcze. Przepisy te generalnie zezwalają szkołom i okręgom szkolnym na gromadzenie i wykorzystywanie "informacji umożliwiających identyfikację osoby" (PII) w "dokumentacji edukacyjnej", zgodnie z definicją N.Y. Edukacja. Prawo § 2-d(1)(d) i rozporządzenie wykonawcze FERPA, 34 C.F.R. § 99.3,[7] od studentów w celach edukacyjnych.[8] Oba przepisy zasadniczo zabraniają komercyjnego wykorzystywania danych osobowych i obejmują również inne zabezpieczenia.[9] Strony trzecie, z którymi szkoły i okręgi szkolne zawierają umowy na przetwarzanie takich danych osobowych, podlegają tym samym zakazom.[10] COPPA stanowi nakładkę na te przepisy, ze szczególną ochroną dzieci poniżej 13 roku życia. Zgodnie z COPPA szkoły mogą wyrazić zgodę na gromadzenie i przetwarzanie danych swoich uczniów przez osoby trzecie wtedy i tylko wtedy, gdy gromadzenie i przetwarzanie danych służy celom edukacyjnym.[11] Jednak zgodnie z COPPA operatorzy muszą uzyskać zgodę rodziców na gromadzenie i przetwarzanie danych, zarówno w szkołach, jak i poza nimi, które nie są przeznaczone do celów edukacyjnych.[12]  

Jak wspomniano wcześniej, w przypadku dzieci poniżej 13 roku życia, NYCDPA, N.Y. Gen. Bus. Prawo § 899-ff(1)(a) wyraźnie zezwala na przetwarzanie danych, które jest dozwolone na mocy COPPA. NYCDPA stosuje ten sam standard co COPPA w odniesieniu do tego, kiedy dane mogą być gromadzone i przetwarzane zgodnie z upoważnieniem szkoły, kiedy przetwarzanie danych jest zabronione bez zgody rodziców oraz w jaki sposób można uzyskać zgodę rodziców. W związku z tym w przypadku dzieci poniżej 13 roku życia przetwarzanie danych przez szkoły, okręgi szkolne i strony trzecie, z którymi zawierają one umowy, jest dozwolone na mocy NYCDPA w zakresie dozwolonym przez COPPA w status quo, w tym zgodnie ze szczegółowymi wytycznymi dotyczącymi szkół.[13] Ponownie, w tym kontekście operatorzy muszą nadal przestrzegać przepisów N.Y. Edukacja. Prawo § 2-d i zabrania się wykorzystywania takich informacji do jakichkolwiek celów komercyjnych, w tym marketingowych, reklamowych lub innych celów komercyjnych niezwiązanych z dostarczaniem żądanego przez szkołę urządzenia lub usługi online.  

W przypadku dzieci w wieku od 13 do 17 lat wymogi NYCDPA w zakresie ochrony prywatności stanowią nakładkę na N.Y. Edukacja. Prawo § 2-d podobne do tego przewidzianego przez COPPA dla dzieci poniżej 13 roku życia. Dane osobowe ucznia mogą być gromadzone i przetwarzane zgodnie z wymogami określonymi w Nowym Jorku. Edukacja. Prawo § 2-d i jego przepisy wykonawcze do celów edukacyjnych bez uruchamiania oddzielnej świadomej zgody na mocy NYCDPA. Z drugiej strony, w przypadku danych objętych definicją "danych osobowych" zawartą w NYCDPA[14] ale to nie podlega N.Y. Edukacja. Prawo § 2-d, ponieważ nie są to dane osobowe lub nie są gromadzone w celach edukacyjnych, operator musi przestrzegać NYCDPA. 

Żądania rodziców dotyczące produktów lub usług dla małoletnich w wieku od 13 do 17 lat[15] 

N.Y. Gen. Bus. Ustawa § 899-ff chroni prywatność objętych nią użytkowników w wieku od 13 do 17 lat, zakazując przetwarzania ich "danych osobowych" bez zgody użytkownika, chyba że takie przetwarzanie jest "bezwzględnie konieczne" w dopuszczalnym, wymienionym celu. Obejmuje to przetwarzanie danych osobowych ściśle niezbędne "do przestrzegania federalnych, stanowych lub lokalnych przepisów, zasad lub regulacji".[16]  

NYCDPA nie narusza zatem istniejących ram prawnych, w ramach których rodzice mogą zgodnie z prawem wyrażać zgodę lub zawierać umowy dotyczące określonych produktów lub usług w imieniu swoich dzieci. W przypadkach, w których rodzice mogą zgodnie z prawem wyrazić zgodę na produkt lub usługę w imieniu swojego dziecka lub wspólnie z nim, takich jak usługi opieki zdrowotnej lub niektóre usługi finansowe, przetwarzanie danych jest ściśle niezbędne do dozwolonego celu zgodnie z prawem stanu Nowy Jork. Gen. Bus. Prawo § 899-ff(2), w tym w celu dostarczenia lub utrzymania tego produktu lub usługi, jest dozwolone na mocy NYCDPA bez dodatkowej zgody. Jak stwierdzono w niniejszym dokumencie, zakres dozwolonego przetwarzania zależy częściowo od oczekiwań użytkownika objętego ochroną w odniesieniu do konkretnego produktu lub usługi, o których mowa.  

W przypadku, gdy rodzic wyraża zgodę na produkt lub usługę w imieniu dziecka, operator może uwzględnić oczekiwania rodzica dotyczące przetwarzania danych osobowych ściśle niezbędnych do dozwolonych celów. NYCDPA nie wymaga od operatora uzyskania zgody dziecka przed przetwarzaniem danych ściśle niezbędnych do wypełnienia umowy rodzica dotyczącej produktu lub usługi, w tym wszelkich danych osobowych dziecka przekazanych przez rodzica.[17] Operator musi jednak przetwarzać dane osobowe dziecka wyłącznie w celu dostarczenia określonego produktu lub usługi uzgodnionej z rodzicem. Jeśli operator chce przetwarzać dane osobowe dziecka w celach, które nie są ściśle niezbędne dla tego konkretnego produktu lub usługi, będzie musiał najpierw uzyskać zgodę dziecka zgodnie z NYCDPA.   

OAG zdaje sobie sprawę, że wiele przepisów pozwala rodzicom na korzystanie z praw w imieniu swoich dzieci i będzie uznaniowo podejmować działania egzekucyjne przeciwko operatorom, którzy w dobrej wierze starają się przestrzegać wszystkich obowiązujących przepisów. OAG ostrzega jednak, że operatorzy muszą przestrzegać NYCDPA, a prawa przyznane przez NYCDPA małoletnim w wieku od 13 do 17 lat do kontrolowania przetwarzania ich danych osobowych nie mogą być lekceważone. 

[1] Np. N.Y. Gen. Bus. Prawo § 899-ff(1).

[2] Zob. poniżej, pkt 2 ("Głównie skierowane do małoletnich") i N.Y. Gen. Bus. Law § 899-ll(3) ("Żadne z postanowień niniejszego artykułu nie może być interpretowane jako nakładające odpowiedzialność za działalność handlową lub działania operatorów podlegających 15 U.S.C. § 6501, która jest niezgodna z traktowaniem takiej działalności lub działań na mocy 15 U.S.C. § 6502.").

[3] N.Y. Gen. Bus. Prawo § 899-ee(1)(a).

[4] 16 C.F.R. § 312.2 

[Jak wspomniano powyżej, w przypadku użytkowników w wieku 12 lat i młodszych, CDPA stosuje standardy COPPA w celu ustalenia, czy przetwarzanie danych jest dozwolone, w tym w jakich okolicznościach przetwarzanie może odbywać się bez zgody rodzica.

[6] 16 C.F.R. § 312.2; zob. również 16 C.F.R. § 312.5(c)(7)-(8). Zob. ogólnie, Federalna Komisja Handlu, Zgodność z COPPA: Frequently Asked Questions - A Guide for Business and Parents and Small Entity Compliance Guidehttps://www.ftc.gov/business-guidance/resources/complying-coppa-frequently-asked-questions. (ostatnia wizyta 5 maja 2025 r.), a w szczególności w sekcji J Wyjątki od uprzedniej zgody rodziców.

[7] Są to zazwyczaj informacje powiązane z konkretnym uczniem. N.Y. Komp. Codes R. & Regs. tyt. 8, § 121.1(f),(m) (odnosząc się do przepisów FERPA i jej rozporządzeń wykonawczych).

[8] N.Y. Komp. Codes R. & Regs. tyt. 8, § 121.5(c) (wykorzystanie musi "przynosić korzyści uczniom i agencji edukacyjnej (np. poprawiać wyniki w nauce, zapewniać rodzicom i uczniom informacje i/lub usprawniać wydajne i skuteczne działania szkoły)"); zob. także N.Y. Edukacja. Prawo § 2-d(5)(b)(1); 20 U.S.C. § 1232g(a)(4)(A).

[9] N.Y. Edukacja. Law § 2-d(3)(b)(1); New York State Education Department, Commercial and Marketing Memorandumhttps://www.nysed.gov/sites/default/files/programs/data-privacy-security/c-m-june-2023-guidance-final.pdf (ostatnio odwiedzane 5 maja 2025 r.) pod adresem 2 (dane objęte gwarancją nie mogą być wykorzystywane "do celów reklamowych ani do opracowywania, ulepszania lub wprowadzania na rynek produktów lub usług dla uczniów"). Patrz 34 C.F.R. § 99.30 (wymagający zgody rodzica lub ucznia na ujawnienie informacji osobistych, z wyjątkiem przypadków wyraźnie dozwolonych przez inne przepisy FERPA) oraz 20 U.S.C. § 1232g(b) (wymagający zgody rodzica lub ucznia na ujawnienie informacji osobistych, z wyjątkiem przypadków wyraźnie dozwolonych przez inne przepisy FERPA).  

[10] N.Y. Edukacja. Ustawa 2-d § 5(f).

[11] Federalna Komisja Handlu, Complying with COPPA: Frequently Asked Questions - A Guide for Business and Parents and Small Entity Compliance Guidehttps://www.ftc.gov/business-guidance/resources/complying-coppa-frequently-asked-questions. (ostatnia wizyta 5 maja 2025 r.).

[12] Federalna Komisja Handlu, Komunikat prasowy: FTC twierdzi, że dostawca technologii Edmodo bezprawnie wykorzystywał dane osobowe dzieci do celów reklamowych i zlecał przestrzeganie przepisów okręgom szkolnym, https://www.ftc.gov/news-events/news/press-releases/2023/05/ftc-says-ed-tech-provider-edmodo-unlawfully-used-childrens-personal-information-advertising (ostatnia wizyta 5 maja 2025 r.).

[13] Zob. Federalna Komisja Handlu, Complying with COPPA: Frequently Asked Questions - A Guide for Business and Parents and Small Entity Compliance Guidehttps://www.ftc.gov/business-guidance/resources/complying-coppa-frequently-asked-questions. (ostatnio odwiedzono 5 maja 2025 r.); Federal Trade Commission, Policy Statement of the Federal Trade Commission on Education Technology and the Children's Online Privacy Protection Act, https://www.ftc.gov/system/files/ftc_gov/pdf/Policy%20Statatement%20of%20the%20Federal%20Trade%20Commission%20on%20Education%20Technology.pdf (ostatnio odwiedzono 5 maja 2025 r.).

[14] N.Y. Gen. Bus. Law § 899-ee(4) (zdefiniowane jako "dane, które identyfikują lub mogą być powiązane, bezpośrednio lub pośrednio, z osobą fizyczną lub urządzeniem"). 

[15] Jak stwierdzono poniżej, w przypadku małoletnich poniżej 13 roku życia zastosowanie ma standard określony w COPPA.

[16] N.Y. Gen. Bus. Prawo § 899-ff(2)(f).

[17] Obowiązujące prawo federalne lub stanowe może nakładać własne wymagania dotyczące sposobu, w jaki operator rozpatruje wniosek rodzica, i takie wymagania nadal mają zastosowanie. Zgodność z NYCDPA nie stanowi obrony przed naruszeniem innych przepisów.  Na przykład, OAG oczekuje, że strony trzecie, z którymi zawarto umowy z agencją edukacyjną w rozumieniu N.Y. Edukacja. Prawo § 2-d, aby nadal przestrzegać przepisów N.Y. Edukacja. Prawo § 2-d i jego przepisy wykonawcze dotyczące praw rodzicielskich i powiadomień.