Recital 38 mengatakan bahwa penggunaan data anak untuk pemasaran, pembuatan profil pengguna, atau pengumpulan data saat menggunakan layanan memerlukan pelindungan khusus. Proses mendapatkan persetujuan untuk anak-anak diatur oleh Pasal 8 GDPR.
Namun, jauh sebelum itu, Amerika Serikat telah memiliki aturan sendiri yang mengatur mengenai hal tersebut, yang bernama Children's Online Privacy Protection Act ("COPPA") yang disahkan pada 20 April 1999.Â
COPPA merupakan undang-undang Amerika Serikat yang berlaku bagi situs web dan layanan online yang mengumpulkan informasi pribadi secara online dari anak-anak.
COPPA mensyaratkan kebijakan privasi yang jelas dapat dipahami. Hal ini terlihat dari ketentuan yang dilindungi dalam pelindungan data pribadi anak, antara lain: alamat email, nama depan dan belakang, nama layar (screen name), lokasi, rincian pesan, alamat tempat tinggal, nomor telepon, hobi, foto, video, dan audio.
Pemberitahuan langsung juga harus diberikan kepada orang tua sebelum pengumpulan data anak mereka. Selain itu, orang tua memiliki hak berkelanjutan untuk meninjau informasi pribadi yang dikumpulkan tentang anak mereka, mencabut persetujuan, dan menghapus data pribadi anak mereka.Â
Operator juga diwajibkan untuk menetapkan dan menjalankan prosedur yang wajar untuk menjaga kerahasiaan, keamanan, dan integritas informasi pribadi anak-anak.
Serupa dengan COPPA, persyaratan GDPR-K memerlukan izin orang tua, harus ada transparansi mengenai pengumpulan data penggunaannya, serta menyediakan permintaan akses subjek data serta hak untuk menghapus.Â
Pada Information Commisioner's Office (ICO), Inggris, beberapa hal yang harus dipatuhi dalam melindungi data pribadi anak, antara lain: kepentingan anak, penggunaan data secara minimum, transparansi penggunaan data, berbagi data (sharing data), pengawasan orang tua (parental control), lokasi, teknik rekayasa perilaku agar anak berlaku sesuai dengan yang diinginkan (nudge technique), dan mainan anak yang terhubung secara online.
Dalam UU PDP, pengaturan mengenai data pribadi anak dikategorikan sebagai jenis data yang bersifat spesifik. Sama seperti pada GDPR-K, pemrosesan data pribadi anak dilakukan secara khusus dan wajib mendapat persetujuan dari orang tua anak dan/atau wali anak.
Batas Usia Anak
Terdapat perbedaan pengaturan antara COPPA dengan GDPR-K, yakni pada batas usia anak.Â
