Dijital Ürün Pasaportu GDPR uyumu, iki AB düzenleyici çerçevesinin — ESPR'nin ürün verilerini DPP'ler aracılığıyla paylaşma zorunluluğu ile GDPR'nin kişisel verileri koruma zorunluluğu — kesişim noktasıdır ve markaların ürün pasaportlarını uygularken her iki çerçeveyi de eşzamanlı olarak yönetmesi gerekir. DPP verilerinin çoğu kişisel veri değildir, ancak birçok temas noktası markaların göz ardı edemeyeceği GDPR yükümlülükleri yaratır. Dijital ürün pasaportu GDPR sınırının nerede olduğunu anlamak, hem ürün verileri üzerinde gizlilik kontrollerini aşırı mühendisleştirmeyi hem de sistemden geçen kişisel verileri yetersiz korumayı önler.
Türkiye'den AB'ye ihracat yapan markalar için bu konu iki boyutludur: AB pazarında GDPR yükümlülüklerini yerine getirmenin yanı sıra, Türkiye'nin kendi veri koruma kanunu olan KVKK (6698 sayılı Kişisel Verilerin Korunması Kanunu) da Türkiye'de işlenen kişisel veriler için geçerlidir.
GDPR Dijital Ürün Pasaportları İçin Neden Önemli?
Bir Dijital Ürün Pasaportu birden fazla taraf arasında veri akışlarını içerir: markalar ürün verilerini gönderir, DPP platformları barındırır, tüketiciler erişmek için QR kodlarını tarar, tedarik zinciri ortakları katkıda bulunur ve piyasa gözetimi yetkilileri denetler. Kişisel veri içeren herhangi bir veri akışı, o veri akışının birincil amacı ürün şeffaflığı olsa bile GDPR yükümlülüklerini tetikler.
DPP verilerinin çoğu ürün düzeyinde bilgidir: malzeme bileşimi, karbon ayak izi, geri dönüşüm talimatları, sertifika referansları. Bunların hiçbiri bir bireyi tanımlamaz. Ancak DPP ekosistemindeki birçok temas noktası kişisel veri içerebilir ve markaların bu temas noktalarının tam olarak nerede olduğunu bilmesi gerekir.
Risk varsayımsal değildir. GDPR kapsamında toplam 4,5 milyar EUR'yu aşan ve 2.000'den fazla uygulama eylemi gerçekleştirilmiştir (GDPR Enforcement Tracker, 2025). GDPR cezaları 20 milyon €'ya veya küresel yıllık cironun %4'üne kadar ulaşabilirken, ESPR ceza çerçevesi her üye devletten "etkili, orantılı ve caydırıcı" kendi cezalarını belirlemesini gerektirir (77. Madde). Her iki düzenlemeyi de ihlal eden bir marka, iki bağımsız uygulama rejiminden kaynaklanan bileşik risk ile karşı karşıya kalır.
Hangi DPP Verileri Kişisel Veri Olabilir?
Ekonomik Operatör İletişim Bilgileri
ESPR, DPP'lerin üretici tanımlamasını içermesini gerektirir: şirket adı, adres ve sorumlu bir kişinin iletişim bilgileri. Şirketler için iş iletişim bilgileri genellikle kişisel veri değildir. Ancak şahıs işletmeleri — küçük markalar arasında yaygın — için üreticinin adı ve adresi gerçek bir kişiyi tanımlar ve dolayısıyla GDPR 4(1). Maddesi kapsamında kişisel veri oluşturur.
Tüketici Tarama Verileri
Bir tüketici DPP QR kodunu taradığında, barındırma platformu üst verileri yakalayabilir: IP adresi, cihaz türü, işletim sistemi, yaklaşık konum ve zaman damgası. GDPR kapsamında IP adresleri kişisel veridir — AB Adalet Divanı bunu C-582/14, Breyer v. Almanya davasında doğrulamıştır. Bu, tüketici tarama analitiğinin meşru menfaat veya açık rıza olsun, yasal bir dayanağa ihtiyaç duyduğu anlamına gelir.
DPP platformunuz tüketici taramalarını analiz için takip ediyorsa, GDPR uyumlu bir çerez/takip onay mekanizmasına ihtiyacınız var — web sitenizde ziyaretçileri takip etmek için geçerli olan yükümlülüklerin aynısı DPP barındırma platformunuz için de geçerlidir. ESPR DPP'yi zorunlu kıldığı için GDPR rıza gereksinimlerinin ortadan kalktığını varsaymayın.
Tedarik Zinciri Bireyleri
DPP sistemine akan tedarik zinciri belgelerinde adı geçen fabrika irtibat kişileri, kalite denetçileri ve sertifika denetçileri de GDPR yükümlülüklerini tetikleyebilir. Adları veya iletişim bilgileri — kısıtlı erişim kademesinin arkasında olsa bile — DPP sistemine giriyorsa, GDPR bu veri için geçerlidir. Tedarik zinciri ortaklarıyla yapılan veri işleme sözleşmeleri bunu kapsamalıdır.
Açıkça Kişisel Veri OLMAYAN Durumlar
DPP içeriğinin büyük çoğunluğu tamamen GDPR kapsamı dışında kalır:
- Ürün malzeme bileşimi (ör. %95,2 organik pamuk, %4,8 elastan)
- Çevresel metrikler (ör. 7,2 kg CO₂e karbon ayak izi)
- Sertifika referansları (ör. OEKO-TEX Standard 100, GOTS)
- Üretim yeri (bireysel irtibat değil, fabrika adresi)
- Geri dönüşüm ve kullanım ömrü sonu talimatları
- Ürün tanımlayıcıları (GTIN, parti numaraları, seri numaraları)
DPP Veri Kategorileri: Kişisel ve Kişisel Olmayan
| Veri Kategorisi | Kişisel Veri mi? | GDPR/KVKK Uygulanır mı? |
|---|---|---|
| Malzeme bileşimi | Hayır | Hayır |
| Çevresel etki metrikleri | Hayır | Hayır |
| Ürün tanımlayıcıları (GTIN, parti) | Hayır | Hayır |
| Üretici şirket bilgileri | Genellikle hayır | Yalnızca şahıs işletmesiyse |
| Sorumlu kişi adı/e-posta | Evet (gerçek kişiyse) | Evet |
| Tüketici tarama üst verileri (IP, konum) | Evet | Evet |
| Fabrika irtibat kişisi | Evet (adı geçiyorsa) | Evet |
| Sertifikalar ve standartlar | Hayır | Hayır |
| Geri dönüşüm talimatları | Hayır | Hayır |
Çoğu küçük marka için bir DPP'deki kişisel veri yüzey alanı küçüktür — ancak sıfır değildir.
ESPR Kişisel Veri Hakkında Ne Diyor?
ESPR veri gizliliğini görmezden gelmiyor. Yönetmelik, DPP'ler ve kişisel veriler arasındaki ilişkiyi doğrudan birçok hükümde ele alır:
- Müşteri verisi hariç tutma: Müşterilere ait kişisel veriler, açık rızaları olmadan DPP'de saklanamaz. Bu, GDPR'nin genel "yasal dayanak" gereksiniminden daha güçlü bir standarttır — ESPR özellikle rıza talep eder, meşru menfaat değil.
- Hizmet sağlayıcı kısıtlamaları: DPP hizmet sağlayıcıları, barındırma ve işleme hizmetleri için kesinlikle gerekli olanın ötesinde pasaport verilerini satamaz, yeniden kullanamaz veya işleyemez. Bu, GDPR'nin amaca bağlılık ilkesini yansıtır ve doğrudan ESPR'ye yazılmıştır.
- Erişim kimlik bilgisi doğrulaması: Komisyon, yetkili kullanıcıların dijital kimlik bilgilerini vermek ve doğrulamak için uygulama tasarrufları kabul edecektir — kısıtlı kademe verilerin yalnızca meşru nedeni olan taraflara erişilebilir olmasını sağlamak için.
- Veri doğruluğu yükümlülükleri: Ekonomik operatörler DPP verilerinin doğru, eksiksiz ve güncel olmasını sağlamalıdır — GDPR'nin doğruluk ilkesiyle uyumludur.
Bu hükümler, ESPR'nin GDPR uyumluluğu gözetilerek tasarlandığı anlamına gelir. İki yönetmelik birbirini tamamlar, çelişmez.
7 GDPR İlkesinin DPP'lere Uygulanması
GDPR'nin yedi temel ilkesi (5. Madde), kişisel veri DPP ekosistemine girdiğinde tamamen uygulanır. İşte her ilkenin DPP bağlamına nasıl eşlendiği:
| GDPR İlkesi | DPP'ler İçin Ne Anlama Gelir |
|---|---|
| 1. Hukuka uygunluk, dürüstlük ve şeffaflık | Herhangi bir kişisel veri işleme için yasal dayanak belirleyin. Meşru menfaat operatör irtibat bilgilerini kapsayabilir; tüketici tarama takibi genellikle rıza gerektirir. |
| 2. Amaca bağlılık | Düzenleyici uyum için toplanan DPP verileri, ayrı rıza olmaksızın pazarlama amacıyla yeniden kullanılamaz. Bir marka, tüketici tarama verilerini müşteri profilleri oluşturmak için kullanamaz. |
| 3. Veri minimizasyonu | Yalnızca kesinlikle gerekli olan kişisel verileri toplayın. Üç kademeli erişim sistemi, kimin hangi veriyi gördüğünü sınırlandırarak bunu destekler. |
| 4. Doğruluk | DPP verileri güncel tutulmalıdır. Güncelliğini yitirmiş kişisel veriler (ör. eski bir sorumlu kişinin irtibat bilgileri) düzeltilmeli veya silinmelidir. |
| 5. Saklama süresi sınırlaması | DPP bağlamında kişisel veriler daha uzun saklama gerektirebilir (ürün ömrüne uyumlu), ancak bu gerekçelendirilmeli ve belgelenmelidir. |
| 6. Bütünlük ve gizlilik | DPP sistemi içindeki herhangi bir kişisel veri için erişim kontrolleri, şifreleme ve güvenli barındırma gereklidir. |
| 7. Hesap verebilirlik | GDPR uyum önlemlerinizi belgeleyin. DPP uygulamanızdaki tüm kişisel veri akışlarını kapsayan işleme faaliyetlerinin kayıtlarını (GDPR 30. Madde) tutun. |
DPP'nin üç kademeli erişim sistemi (kamuya açık / tedarik zinciri / düzenleyici), GDPR'nin veri minimizasyonu ilkesiyle iyi uyumludur. Her kademe yalnızca o kullanıcının rolüne uygun verileri açığa çıkarır — tüketiciler tedarikçi irtibat bilgilerini görmez ve kamuoyu özel formülasyonları görmez. Bu yerleşik erişim kontrolü, GDPR uyumunu önemli ölçüde basitleştirir.
DPP Erişim Kademeleri ve Veri Minimizasyonu
ESPR'nin üç kademeli erişim sistemi doğrudan GDPR gereksinimlerine eşlenir:
Kamuya açık kademe: Yalnızca kişisel olmayan ürün verilerini içerir — malzeme bileşimi, çevresel metrikler, bakım talimatları, sertifikalar. Görüntülenen veri için GDPR sorunu yoktur. Ancak QR kodunu tarama eylemi kişisel üst veriler (IP adresi, cihaz verileri) üretebilir ve bu yasal bir dayanak gerektirir.
Tedarik zinciri kademesi: Kişisel veri oluşturan tedarikçi irtibat bilgilerini içerebilir. Marka, DPP platformu ve tedarik zinciri ortakları arasında veri işleme sözleşmeleri (VİS) gerektirir. Erişim, meşru ihtiyacı olan doğrulanmış taraflarla — geri dönüşümcüler, tamirciler, distribütörler — sınırlıdır. Bu erişim kademelerinin pratikte nasıl çalıştığına dair gerçek dünya örnekleri için açıklamalı DPP incelememize bakın.
Düzenleyici kademe: Piyasa gözetimi yetkilileri için tam erişim. Yasal dayanak doğrudan ESPR tarafından oluşturulmuştur — yetkililer, içindeki herhangi bir kişisel veri dahil tüm DPP verilerine erişmek için açık yasal yetkiye sahiptir.
Bu kademeli yapı, markaların tüm DPP verilerine aynı düzeyde GDPR koruması uygulaması gerekmediği anlamına gelir. Gizlilik kontrollerini gerçekten kişisel veri içeren veri kategorilerine odaklayın ve geri kalanını erişim kademesi sistemi yönetsin.
DPP'nizde GDPR Uyumluluğunu Nasıl Sağlayabilirsiniz?
DPP uygulamanızın GDPR gereksinimlerini karşılamasını sağlamak için beş somut adım:
1. Veri Koruma Etki Değerlendirmesi (DPIA) Yapın
DPP sisteminizdeki tüm kişisel veri akışlarını haritalayın. Kişisel verinin toplandığı, işlendiği veya saklandığı her noktayı belirleyin — sorumlu kişi bilgilerinden tüketici tarama analitiğine kadar. DPIA, işlemeniz sistematik izleme veya büyük ölçekli kişisel veri işleme içeriyorsa yasal olarak zorunludur ve her durumda iyi uygulama olarak önerilir.
2. Tüketici Takibi İçin Rıza Mekanizmaları Uygulayın
DPP platformunuz tüketici taramalarını takip ediyorsa (çoğu analiz için yapar), GDPR uyumlu bir rıza mekanizması ekleyin. Bu, herhangi bir web sitesindeki çerez rıza gereksinimiyle aynıdır. Platformunuz bireysel taramaları takip etmiyorsa — yalnızca toplu sayfa görüntülemelerini — rıza yükümlülükleriniz önemli ölçüde azalır.
3. Veri İşleme Sözleşmeleri (VİS) İmzalayın
DPP hizmet sağlayıcınızla ve kişisel verileri sisteme akan tedarik zinciri ortaklarınızla VİS'ler imzalayın. VİS'te belirtilmesi gerekenler: hangi kişisel verilerin işlendiği, işlemenin amacı ve süresi, işleyicinin güvenlik yükümlülükleri ve veri sahibi hakları prosedürleri.
4. Veri Saklama Politikaları Tanımlayın
ESPR, DPP verilerinin ürünün beklenen yaşam süresi boyunca — yıllar veya on yıllar olabilir — kalıcı olmasını gerektirir. Ürün verisi saklamayı ESPR gereksinimleriyle uyumlu hale getirin, ancak kişisel veriler için ayrı inceleme takvimleri oluşturun. 2027'den kalma bir sorumlu kişinin irtibat bilgileri 2040'a kadar sistemde dokunulmadan kalmamalıdır.
5. Her Şeyi Belgeleyin
GDPR 30. Madde'nin gerektirdiği şekilde işleme faaliyetlerinin kayıtlarını tutun. Bu şunları kapsar: işlenen kişisel veri kategorileri, işleme amaçları, alıcı kategorileri, planlanan saklama süreleri ve güvenlik önlemlerinin açıklaması. Bu belgeleme ayrıca ESPR hesap verebilirlik yükümlülüklerinizi de destekler.
Çoğu küçük markanın DPP'si çok az kişisel veri içerecektir. Bireysel tüketici taramalarını takip etmeyen ve ürün verileri yalnızca şirket adlarına (bireylere değil) referans veren bir DPP platformu kullanıyorsanız, GDPR maruziyetiniz minimumdur. Uyum çabanızı orantılı olarak odaklayın — kişisel veri olmayan veriler üzerinde gizlilik kontrollerini aşırı mühendisleştirmeyin.
## DPP GDPR Uyumluluk Kontrol Listesi
DPP uygulamanız genelinde GDPR uyumluluğunu sistematik olarak doğrulamak için bu kontrol listesini kullanın. Her öğe belirli bir GDPR yükümlülüğüne eşlenir. Çoğu küçük marka için bu öğelerin çoğunluğu hızlı onaylar olacaktır — tipik bir DPP'deki kişisel veri yüzey alanı küçüktür.
Veri Haritalama
- DPP sisteminizdeki tüm kişisel verileri belirleyin — Gerçek bir kişiyi tanımlayabilecek her veri alanını listeleyin (sorumlu kişi adı/e-posta, şahıs işletmesi ayrıntıları, fabrika irtibat kişileri)
- Tüketici tarama veri toplamayı haritalayın — Birisi QR kodu taradığında DPP barındırma platformunuzun hangi üst verileri yakaladığını belgeleyin (IP adresi, cihaz türü, konum, zaman damgası)
- Her veri alanını ESPR erişim kademesine göre sınıflandırın — Kişisel verilerin uygun kademeye (tedarik zinciri veya düzenleyici) kısıtlandığını ve rıza olmadan kamuya açık kademede gösterilmediğini onaylayın
Yasal Dayanak
- Her kişisel veri kategorisi için yasal dayanak oluşturun — Meşru menfaat ekonomik operatör irtibat bilgilerini kapsayabilir; tüketici tarama takibi genellikle rıza gerektirir
- Tüketici takibi için rıza mekanizması uygulayın — Platformunuz bireysel tarama verilerini kayıt altına alıyorsa, GDPR uyumlu bir rıza banner'ı ekleyin (web sitesi çerez rızası gereksinimlerine özdeş)
- Şahıs işletmesi maruziyetini gözden geçirin — Şahıs işletmesiyseniz, DPP'deki adınız ve adresiniz kişisel veri oluşturur — bu yayın için yasal bir dayanağınız olduğunu onaylayın
Anlaşmalar ve Belgeler
- DPP hizmet sağlayıcınızla Veri İşleme Sözleşmeleri (VİS) imzalayın — Kapsam: hangi kişisel veriler işleniyor, amaç, süre, işleyici güvenlik yükümlülükleri, veri sahibi hakları prosedürleri
- Kişisel verileri sisteme akan tedarik zinciri ortaklarıyla VİS imzalayın — DPP verilerinde adı geçen fabrika irtibat kişileri, kalite denetçileri, sertifika denetçileri
- GDPR 30. Madde uyarınca İşleme Faaliyetlerinin Kayıtlarını (ROPA) tutun — Kişisel veri kategorileri, amaçlar, alıcılar, saklama süreleri, güvenlik önlemleri
Veri Sahibi Hakları
- Veri sahibi erişim talepleri için süreç oluşturun — DPP'nizde adı geçen bireyler (sorumlu kişiler, tedarikçi irtibat kişileri) kişisel verilerine erişme, düzeltme ve silme talebinde bulunma hakkına sahiptir
- Kişisel veriler için veri saklama takvimleri tanımlayın — Ürün veri saklamadan ayrı (ESPR ürün yaşam boyu gereksinimlerini takip eder). Kişisel verileri yıllık olarak gözden geçirin; bireyler görev değiştirdiğinde güncelleyin.
Güvenlik
- DPP platformu güvenlik önlemlerini onaylayın — Şifreleme, erişim kontrolleri, AB veri ikamet etme (uygulanabilirse)
- ESPR 10. Madde uyumluluğunu doğrulayın — Müşteri kişisel verileri açık rıza olmadan DPP'de saklanamaz. Sisteminizin bunu uyguladığını onaylayın.
Web siteleri ve müşteri verileri için halihazırda GDPR uyumlu olan markalar için bu öğelerin çoğu mevcut süreçlerin uzantılarıdır, yeni yetenekler değil. DPP için artan GDPR çabası, sisteminizdeki kişisel veri miktarıyla orantılıdır — çoğu küçük marka için bu minimaldir.
Bu Markanız İçin Ne Anlama Geliyor?
DPP ve GDPR yükümlülüklerinin örtüşme alanı ilk göründüğünden daha dardır. DPP verilerinin büyük çoğunluğu — malzeme bileşimi, çevresel metrikler, sertifikalar, geri dönüşüm talimatları — ürün verisidir, kişisel veri değildir ve tamamen GDPR kapsamı dışında kalır.
GDPR'nin uygulandığı yerlerde — tüketici tarama analitiği, sorumlu kişi irtibat bilgileri, adı geçen tedarik zinciri bireyleri — yükümlülükler yönetilebilir ve iyi tanımlanmıştır. Web siteleri ve müşteri verileri için halihazırda GDPR uyumlu olan markalar, DPP ile ilgili kişisel verileri yeni bir şey inşa etmeden mevcut süreç ve altyapılarıyla yönetebilir. Türkiye'de KVKK kapsamında veri koruma yükümlülüklerini yerine getiren firmalar da benzer süreçleri AB tarafı için adapte edebilir.
Önemli olan, ürün şeffaflığını kişisel veri ile karıştırmamaktır. Bir tişörtün %95 organik pamuktan yapıldığını ve Portekiz'de üretildiğini söyleyen bir DPP, gizlilik sorunu değildir. Ancak bir tüketici QR kodu taradığında IP adresini ve konumunu sessizce kaydeden bir DPP platformu, gizlilik sorunudur.
Farkı bilin ve DPP uygulamanızı buna göre oluşturun. Maliyet veya operasyonel karmaşıklık bir endişeyse, DPP zorlukları rehberimiz küçük markaların karşılaştığı 7 büyük engeli — veri kalitesi dahil — kapsar. Markanızın hem ürün verileri hem de uyumluluk hazırlığı konusunda nerede durduğunu değerlendirmek için DPP Hazırlık Kontrolü'müzü kullanın.
Sık Sorulan Sorular
7 GDPR gereksinimi nedir?
7 GDPR ilkesi şunlardır: hukuka uygunluk, dürüstlük ve şeffaflık; amaca bağlılık; veri minimizasyonu; doğruluk; saklama süresi sınırlaması; bütünlük ve gizlilik; ve hesap verebilirlik. DPP bağlamında bunlar esas olarak tüketici tarama verilerine (IP adresleri, cihaz bilgileri), ekonomik operatör irtibat bilgilerine (gerçek bir kişiyi tanımladıklarında) ve sistemde adı geçen tedarik zinciri bireylerine uygulanır. Çoğu DPP ürün verisi — malzeme bileşimi, çevresel metrikler, sertifikalar — kişisel veri değildir ve bu ilkelerin kapsamı dışında kalır.
DPP QR kodunu taramak kişisel veri toplar mı?
Barındırma platformunun uygulamasına bağlı olarak toplayabilir. Bir tüketici QR kodu taradığında, barındırma platformu IP adresini, cihaz türünü, işletim sistemini ve yaklaşık konumu yakalayabilir — bunların hepsi ABAD'ın Breyer kararına (C-582/14) göre GDPR kapsamında kişisel veridir. Platform yalnızca DPP sayfasını bireysel ziyaretçi verilerini kaydetmeden sunuyorsa, kişisel veri toplanmaz. DPP sağlayıcınızın gizlilik belgelerini kontrol ederek neyi yakaladıklarını anlayın.
Tedarikçilerimin kişisel verileri bir DPP'de yer alabilir mi?
DPP sisteminiz tedarikçi kuruluşlarından isimleri geçen bireyleri — fabrika irtibat kişileri, kalite denetçileri, sertifika denetçileri — içeriyorsa evet. Yalnızca şirket adlarına ve tesis adreslerine belirli kişileri tanımlamadan referans veriyorsa, kişisel veri söz konusu olmaz. Bireysel adların sisteme aktığı durumlarda, bu tedarik zinciri ortaklarıyla veri işleme sözleşmelerine ihtiyacınız vardır ve veriler tedarik zinciri veya düzenleyici erişim kademelerine sınırlandırılmalıdır — hiçbir zaman kamuya açık kademede görünür olmamalıdır.
GDPR kapsamında DPP verileri ne kadar süre saklanmalıdır?
ESPR, DPP verilerinin ürünün beklenen yaşam süresi boyunca kalıcı olmasını gerektirir ki bu yıllar veya on yıllar olabilir. Bu, GDPR'nin saklama süresi sınırlaması ilkesiyle gerilim yaratabilir. Çözüm, ürün verilerini (ESPR'nin gerektirdiği şekilde tam ürün yaşam döngüsü boyunca sakla) kişisel verilerden (düzenli olarak gözden geçir ve minimuma indir) ayırmaktır. Bir sorumlu kişinin irtibat bilgileri, kişi görev değiştirdiğinde güncellenmeli; tüketici tarama verilerinin tanımlanmış bir saklama süresi olmalı, genellikle analiz amaçları için gerekli olandan uzun olmamalıdır.
DPP'm için DPIA yapmam gerekir mi?
DPP sisteminiz büyük ölçekte kişisel veri işliyorsa veya sistematik izleme içeriyorsa — örneğin birden fazla ürün veya bölgede tüketici taramalarını takip etme — GDPR 35. Madde kapsamında Veri Koruma Etki Değerlendirmesi yasal olarak zorunludur. Yalnızca ürün verisi ve şirket düzeyinde bilgiler içeren basit bir DPP'ye sahip küçük bir marka için DPIA yasal olarak gerekli olmayabilir, ancak yine de iyi uygulama olarak önerilir. Veri akışlarını haritalamaya ve riskleri sorun haline gelmeden önce belirlemeye zorlar.
DPP'de kişisel veriye 5 örnek nedir?
DPP bağlamında ortaya çıkabilecek beş kişisel veri örneği şunlardır: (1) ürün irtibat kişisi olarak listelenen sorumlu kişinin adı ve e-posta adresi, (2) QR kodu taradığında yakalanan tüketicinin IP adresi, (3) tedarik zinciri belgelerinde kayıtlı bir fabrika kalite denetçisinin adı, (4) üretici adresi olarak kullanılan şahıs işletme sahibinin ev adresi ve (5) tüketici tarama analitiğinden cihaz conum verileri. Bunlardan yalnızca birincisi ve dördüncüsü DPP'nin kendisinde saklanır — diğerleri etkileşimler sırasında barındırma platformu tarafından üretilir.
