Merkezi Olmayan DPP Verisi: Markanın Sorumluluğu Nedir?

Q: Avrupa Komisyonu DPP verisine doğrudan erişebilir mi?

Piyasa gözetim yetkilileri ESPR kapsamında kısıtlı DPP verilerine tanımlanmış erişim haklarına sahip; ancak Komisyon merkezi bir veritabanı işletmiyor. Veri SEO veya sertifikalı hizmet sağlayıcıda kalır ve düzenleyici erişim kimlik doğrulanmış erişim kontrolleri aracılığıyla yürütülür.

Q: Marka faaliyeti sona ererse DPP verisine ne olur?

Zorunlu yedekleme gereksinimi bu senaryoya hitap ediyor. Sertifikalı bağımsız üçüncü taraf yedek tutucusu, birincil veri tutucusu faaliyetini sonlandırsa bile erişilebilir kalan tüm DPP verisinin kopyasını tutar. Çözümleyici altyapısı gerekirse yedeklemeye yönlendirilecek şekilde güncellenebilir.

Q: Markaların kendi DPP platformlarını kurmaları gerekiyor mu?

Hayır. Markalar sertifikalı üçüncü taraf DPP hizmet sağlayıcıları kullanabilir. Ancak marka, altyapıyı hangi sağlayıcının yönettiğinden bağımsız olarak hesap verebilir Sorumlu Ekonomik Operatör olmayı sürdürür.

Sizi Kurtaracak Merkezi Bir Veritabanı Gelmiyor

AB'nin Dijital Ürün Pasaportu çerçevesinin en önemli — ve en sık yanlış anlaşılan — özelliklerinden biri, veri depolamanın nasıl yapılandırıldığıdır. Pek çok marka, makul ama yanlış biçimde, DPP uyumunun ürün verilerinin bir tür merkezi AB sicili veya Komisyon tarafından yönetilen bir veritabanına yüklenmesini gerektireceğini varsayar; ardından bu veritabanının tüketicilere, düzenleyicilere ve geri dönüştürücülere dağıtımla ilgileneceğini düşünür.

Bu varsayım yanlış. Ve bu varsayıma göre hareket etmek, markaların DPP uyumunun kendi sistemlerinden ve operasyonlarından gerçekte ne talep ettiğini ciddi ölçüde küçümsemesine yol açar.

Sürdürülebilir Ürünler için Ekolojik Tasarım Tüzüğü (ESPR), DPP verisinin merkezi olmayan biçimde — oluşturan kuruluş tarafından tutulup yönetilen, tek merkezi bir konumda bir araya getirilmeyen şekilde — depolanmasını açıkça zorunlu kılıyor. Verileri depolama, koruma, güvenlik altına alma ve erişilebilir kılma sorumluluğu Sorumlu Ekonomik Operatörde (SEO) — ürünü AB pazarına süren marka veya perakendecide — bulunuyor.

Merkezi Olmayan Depolama Gerçekte Ne Anlama Geliyor?

Merkezi olmayan DPP veri depolama, her markanın (veya marka adına hareket eden sertifikalı üçüncü taraf hizmet sağlayıcının) kendi ürün verilerini kendi altyapısında tuttuğu anlamına gelir. Sektör genelindeki DPP kayıtlarını bir araya getiren tek yetkili bir veritabanı yok.

Bunun birkaç doğrudan sonucu var:

Verilerinizin Aktif Olarak Erişilebilir Olması Gerekiyor

Veri itmek için merkezi bir depo olmadığından DPP verileriniz, çözümleyici altyapısından gelen taleplere yanıt verebilen canlı, standartlara uyumlu bir API aracılığıyla erişilebilir olmalıdır. Bir elektronik tabloda, PLM sisteminde veya belge yönetim klasöründe mevcut olan veri, DPP'ye hazır değildir — sahada ürünü tarayan tüketiciler, düzenleyiciler veya döngüsel ekonomi operatörlerinin gerçek zamanlı sorgularına yanıt veremez.

Ürünün Tüm Yaşam Döngüsü Boyunca Veri Koruyucususunuz

2028'de AB pazarına sürülen bir ürün 2040'ta hâlâ aktif kullanımda olabilir. DPP verilerinin bu sürenin tamamı boyunca erişilebilir kalması gerekiyor. Bu tek seferlik bir yayımlama egzersizi değil — bireysel ürün sezonlarını, platform geçişlerini ve bazı durumlarda başlangıçta veri sağlayan tedarikçilerle ticari ilişkileri aşan, veri kullanılabilirliğine ilişkin süregelen bir operasyonel taahhüt.

Veri Doğruluğundan Sorumlusunuz

ESPR kapsamında SEO, DPP'nin doğruluğu için tedarikçiler tarafından sağlanmış veya tamir operatörleri gibi üçüncü taraflarca güncellenmiş olsa bile nihai hesap verebilirliği korur. Tedarikçi hatalı malzeme bileşimi verisi sağlarsa ve bu veri bir DPP'de yayımlanırsa, yaptırım sorumluluğu ürünü piyasaya süren markaya düşer — tedarikçiye değil.

Merkezi olmayan depolama, sorumluluğu verinin kaynaklandığı yere dağıtır. Hesap verebilirliği dağıtmaz. Ürünü AB pazarına süren marka, DPP'nin söylediklerinden sorumludur — temel verilerin nereden geldiğinden bağımsız olarak.

Markaların Doğrudan Yönetmesi Gerekenler

Merkezi olmayan modelde markalar aşağıdakilerin operasyonel sahipliğine sahip olmalıdır:

Yapılandırılmış, Sorgulanabilir Veri Deposu

Ürün verisi yalnızca depolanmakla kalmayıp API aracılığıyla alınabilir, filtrelenebilir ve servis edilebilir formatta tutulmalıdır. Bu genellikle bir veritabanı veya veri platformu anlamına gelir (dahili olarak oluşturulmuş veya sertifikalı DPP hizmet sağlayıcısı tarafından sunulan) — her ürün birimi için ürünün benzersiz seri numaralı tanımlayıcısına göre indekslenmiş yapılandırılmış kayıtlar içeriyor.

Aktif API Uç Noktası

Veri deposu, çözümleyicinin talepleri yönlendirebileceği bir API uç noktası sunmalıdır. Bu uç nokta sürekli erişilebilir, kabul edilebilir gecikme eşikleri içinde yanıt verici ve talep eden tarafın kimliğine (tüketici, düzenleyici, Döngüsel Ekonomi Operatörü) göre doğru veri katmanını servis edecek şekilde olmalıdır.

Erişim Kontrolü ve Kimlik Doğrulama

Tüm DPP verisi kamuya açık değildir. Markanın veri altyapısı aşağıdakiler arasında ayrım yapan erişim kontrolleri uygulamalıdır:

Kamuya açık veri — ürünü tarayan herhangi bir tüketiciye kimlik doğrulama olmaksızın servis edilir
Kısıtlı düzenleyici veri — yalnızca tanımlanmış erişim haklarına sahip kimliği doğrulanmış yetkililere servis edilir
Döngüsel ekonomi operatörü verisi — kimliği doğrulanmış tamircilere, geri dönüştürücülere ve yeniden üreticilere servis edilir

Bu erişim katmanlarını uygulamak, içerik sorusu değil BT mimarisi gerekliliğidir. Kimlik doğrulama altyapısı, rol tabanlı erişim yönetimi ve ESPR ekosisteminin nihayetinde standartlaştırdığı yetkilendirme mekanizmasıyla entegrasyon gerektirir.

Sürüm Kontrolü ve Denetim İzleri

DPP verisi güncellenebileceğinden — marka, tamir operatörleri veya döngüsellik olayları tarafından — veri sistemi sürüm geçmişi ve denetim izi tutmalıdır. DPP kaydı güncellenip daha sonra itiraz edilirse markanın, kaydın herhangi bir zamanda ne içerdiğini ve her değişikliği kimin yaptığını gösterebilmesi gerekir.

Ticari Faaliyetin Ötesinde Veri Saklama

Markalar, ürün aktif ticari çeşitten çıktıktan sonra ürün verilerini dahili sistemlerden rutin biçimde kaldırıyor. DPP yükümlülükleri kapsamında bu uygulamanın değişmesi gerekiyor. AB pazarına sürülmüş bir ürünle ilişkili veriler, söz konusu ürünün beklenen tam yaşam döngüsü boyunca — pek çok tekstil kategorisi için ticari satış sonu sonrasında uzun yıllar anlamına gelir — korunmalı ve erişilebilir olmalıdır.

Sertifikalı Üçüncü Taraf Sağlayıcı Kullanmak

ESPR, markaların kendi altyapılarını kurup işletmek yerine veri barındırma ve yönetimini sertifikalı üçüncü taraf DPP hizmet sağlayıcısına devretmesine olanak tanır. Çoğu marka için bu daha pratik ve maliyet etkin yol olacak.

Ancak devretmek, sorumluluktan vazgeçmek anlamına gelmez. Üçüncü taraf sağlayıcı kullanıyor olsa bile marka:

Veri doğruluğu için hukuki hesap verebilir SEO olmaya devam eder
Sağlayıcının altyapısının ESPR teknik gereksinimlerini karşıladığından emin olmalıdır
Veri erişimi sürekliliğini güvence altına alan sözleşme düzenlemelerine sahip olmalıdır — sağlayıcının faaliyeti sona ererse veriye ne olacağı dahil
Sağlayıcının ESPR Madde 9'un zorunlu kıldığı yedek kopyayı tuttuğundan emin olmalıdır

Bir DPP hizmet sağlayıcısı seçmek bu nedenle bir satın alma kararı değil, özen yükümlülüğü egzersizidir. Sağlayıcının teknik sertifikaları, veri yönetişim uygulamaları, yedekleme düzenlemeleri ve standart uyumu, hizmet verdikleri markalar için doğrudan uyum sonuçları doğurur.

Zorunlu Yedekleme Yükümlülüğü

ESPR Madde 9(3a), tüm DPP verisinin yedek kopyasının sertifikalı bağımsız üçüncü taraf sağlayıcı tarafından tutulmasını zorunlu kılıyor. Bu yükümlülük, birincil veri tutucunun — markanın veya hizmet sağlayıcısının — faaliyeti sona erse bile DPP verisinin erişilebilir kalmasını güvence altına almak amacıyla var.

Yedekleme gerekliliği, markanın kendi verisini barındırıp barındırmamasından bağımsız olarak geçerlidir:

Tüm DPP verisinin ikinci, bağımsız bir kopyası her zaman mevcut olmalıdır
Yedek tutucunun, ESPR ve Delegasyon Tasarruflarının belirleyeceği kriterlere göre sertifikalı olması gerekir
Yedek, birincil veri kaynağı kullanılamaz hale gelirse çözümleyici tarafından erişilebilir olmalıdır

DPP platformlarını değerlendiren markalar için bir sağlayıcının sertifikalı yedekleme düzenlemesine sahip olup olmadığı — ve kiminle — tartışmasız bir özen yükümlülüğü sorusudur.

Veri Egemenliği Değerlendirmeleri

Merkezi olmayan depolama ayrıca küresel faaliyetleri olan veya AB dışında genel merkezi bulunan markalar için özellikle ilgili olan veri egemenliği sorularını gündeme getiriyor.

ESPR, DPP verisinin AB topraklarındaki sunucularda fiziksel olarak depolanması gerektiğini belirtmiyor; ancak veriye AB hukukuna uygun biçimde erişilebilmesini gerektiriyor — kişisel veri söz konusu olduğunda GDPR ve ESPR çerçevesinin kendi veri erişimi ve taşınabilirlik gereklilikleri dahil.

DPP verisini bulut sağlayıcılarla depolayan markalar, veri depolama ve işleme düzenlemelerinin AB düzenleyici gereklilikleriyle uyumlu olduğunu doğrulamalıdır. Bu, özellikle GDPR, ticari sır korumaları veya sınır ötesi veri transferi kısıtlamalarına tabi bilgiler içerebilecek kısıtlı veri katmanları için geçerlidir.

Tedarikçi Veri Sorunu

Merkezi olmayan DPP veri yönetiminin temel zorluğu, markaların ihtiyaç duyduğu verinin büyük bölümünün markadan kaynaklanmaması. Yukarı akış tedarik zincirini oluşturan fabrikalar, fabrika tesisleri, boyahaneler ve malzeme işlemcilerinden geliyor.

Merkezi olmayan bir modelde, tedarikçi kaynaklı veriyi yönetmenin iki geniş yaklaşımı var:

Marka Merkezli Tedarikçi Veri Toplama

Marka, kendi veri toplama süreçleri aracılığıyla tedarikçilerden veri toplar — tedarikçi anketleri, portal başvuruları, tedarikçi sistemleriyle doğrudan entegrasyonlar — ve bunu markanın kendi DPP veri deposunda birleştirir. Marka daha sonra birleştirilmiş kaydın tek tutucusudur.

Bu yaklaşım markaya verisi üzerinde maksimum kontrol ve görünürlük sağlar; ancak tedarikçi başvurusu ve veri doğrulama yükünü tamamen markanın ekibine yükler.

Federatif Tedarikçi Veri Katkıları

Daha gelişmiş mimarilerde tedarikçiler veriyi doğrudan DPP sistemine katkıda bulunur — her biri kendi tedarik zinciri katmanının verisini tutar ve servis eder; markanın DPP'si bunu çoğaltmak yerine referans alır. Bu model, ESPR'nin öngördüğü merkezi olmayan ideale daha yakın; ancak tedarikçi ve marka sistemleri arasında önemli ölçüde daha karmaşık birlikte çalışabilirlik gerektiriyor.

2026 itibarıyla çoğu marka için marka merkezli toplama yaklaşımı daha pratik. Federatif model, sektör veri standartları olgunlaştıkça ve tedarikçi dijital kapasiteleri geliştikçe daha başarılabilir hale geliyor.

Yaklaşımdan bağımsız olarak markalar, tedarikçi verisini talep etmek, doğrulamak ve güncellemek için yapılandırılmış, sistematik bir sürece ihtiyaç duyar — ve tedarikçilerin zamanında doğru ve eksiksiz veri sağlamasını zorunlu kılan net sözleşme yükümlülükleri gerektirir. Tedarikçi veri boşlukları nihayetinde markanın uyum sorunu — tedarikçinin değil.

Şimdi Ne Yapmalı?

Merkezi olmayan modeli anlayan markalar, merkezi bir sicil beklentisiyle oturan markalardan DPP hazırlığına farklı yaklaşacak. Pratik eylemler yukarıda açıklanan sorumluluklardan kaynaklanıyor:

Mevcut veri altyapınızı denetleyin. Ürün verileriniz şu an nerede duruyor? API aracılığıyla sorgulanabilir mi? Ürün birimi düzeyinde yapılandırılmış mı? Ürün ticari çeşitten çıktıktan sonra ne kadar süre korunuyor? Mevcut durumunuzla DPP gereklilikleri arasındaki boşluk, başlangıç noktanız.
DPP hizmet sağlayıcılarını veri yönetişimi açısından değerlendirin. Yalnızca özellikleri değerlendirmeyin — veri yönetişimini de değerlendirin: yedekleme düzenlemeleri, erişim kontrolü kapasiteleri, CEN/CENELEC standartları kapsamında sertifikalanabilirlik ve sağlayıcıyı değiştirmeniz gerekirse sözleşmeli veri taşınabilirliği.
Tedarikçi veri toplamayı uyum iş akışınıza dahil edin. Halihazırda toplanabilir nesnel veri noktalarını kullanarak tedarik zinciri verisini şimdi talep etmeye ve yapılandırmaya başlayın. Tedarikçi veri paylaşımı ilişkilerini ve süreçlerini ne kadar erken oluşturursanız, yaptırım anında DPP kayıtlarınız o kadar eksiksiz olur.
Uzun vadeli veri saklamayı planlayın. Veri yaşam döngüsü politikalarınızı gözden geçirmeye ve her ürünün ticari yaşam döngüsünün ötesinde DPP verisinin erişilebilir kalmasını sağlamak için gereken değişiklikleri belirlemeye başlayın.

epassportify marka sorumluluğunuzu karşılayan sertifikalı DPP veri altyapısı sunar. Demo talep edin →

Sık Sorulan Sorular

Avrupa Komisyonu DPP verisine doğrudan erişebilir mi?

Piyasa gözetim yetkilileri ve gümrük organları ESPR kapsamında kısıtlı DPP veri katmanlarına tanımlanmış erişim haklarına sahip. Ancak Komisyon tüm DPP kayıtlarını içeren merkezi bir veritabanı işletmiyor — veri, SEO veya sertifikalı hizmet sağlayıcıda kalıyor. Düzenleyici erişim, DPP altyapısına dahil kimlik doğrulanmış erişim kontrol sistemi aracılığıyla yürütülüyor.

Marka faaliyeti sona ererse DPP verisine ne olur?

Zorunlu yedekleme gereksinimi tam da bu senaryoya hitap ediyor. Sertifikalı bağımsız üçüncü taraf yedek tutucusu, birincil veri tutucusu (marka veya sağlayıcısı) faaliyetini sonlandırsa bile erişilebilir kalan tüm DPP verisinin bir kopyasını tutuyor. Birincil uç nokta kalıcı olarak kullanılamaz hale gelirse çözümleyici altyapısı yedeklemeye yönlendirilecek şekilde güncellenebilir.

Markaların kendi DPP platformlarını kurmaları gerekiyor mu?

Hayır. Markalar — ve büyük olasılıkla çoğu yapacak — veri altyapısını barındırıp yönetmek için sertifikalı üçüncü taraf DPP hizmet sağlayıcıları kullanabilir. Ancak marka, altyapıyı hangi sağlayıcının yönettiğinden bağımsız olarak hesap verebilir SEO olmayı sürdürür. Sağlayıcı seçmek, o sağlayıcının ESPR teknik gereklilikleriyle uyumunun hesap verebilirliğini üstlenmek anlamına gelir.