Rekabet Kurumu Başkanlığından,
Dosya SAYI:
2018-2-34 (Devralma)
Karar SAYI:
18-29/486-237
A. TOPLANTIYA KATILAN ÜYELER
B. RAPORTÖRLER: Bülent GÖKDEMİR, Betül AYHAN, Selçuk YILMAZ
C. BİLDİRİMDE
BULUNAN: - Thales S.A.
- Gemalto N.V.
Temsilcileri: Av. Gönenç GÜRKAYNAK,
Av. Hakan ÖZGÖKÇEN, Av. Esen ERGÜL
Çitlenbik Sok. No: 12 Yıldız Mah. Beşiktaş/İstanbul
(1) D. DOSYA KONUSU: Gemalto N.V.’nin tek kontrolünün Thales S.A. tarafından
devralınması işlemine izin verilmesi talebi.
(2) E. DOSYA EVRELERİ: Kurum kayıtlarına 09.07.2018 tarih ve 5058 sayı ile giren ve
eksiklikleri 30.07.2018 tarihinde tamamlanan bildirim üzerine düzenlenen 10.08.2018
tarih ve 2018-2-34/Öİ sayılı Devralma Ön İnceleme Raporu görüşülerek karara
bağlanmıştır.
(3) F. RAPORTÖR GÖRÜŞÜ: İlgili raporda, bildirim konusu işleme izin verilmesinde
sakınca bulunmadığı ifade edilmiştir.
G. İNCELEME VE DEĞERLENDİRME
G.1. Taraflar
G.1.1. Devralan: Thales S.A. (Thales)
(4) Thales; merkezi Fransa’da bulunan çokuluslu bir şirkettir. Ana hissedarları Fransız
Devleti, Dassault Aviation ve Thales çalışanları olan şirket, küresel çapta havacılık,
uzay, kara taşımacılığı, savunma ve güvenlik olmak üzere beş ana alanda faaliyet
göstermektedir. Thales’in Türkiye’deki faaliyetlerini ise benzer şekilde havacılık, uzay,
taşımacılık, savunma ve güvenlik ol uşturmaktadır. Thal es Türkiye cirosunu, diğer
ülkelerdeki iştirakleri aracılığıyla Türkiye’ye yapılan ithalat ve Türk iştirakleri Thales
International Ankara Yönetim ve Tanıtım Hizmetleri A.Ş. (Thales International Ankara),
Thales Ulaşım Sistemleri ve Tica ret A.Ş. (Thales Ulaşım) ve Yaltes Elektronik ve Bilgi
Sistemleri Üretim ve Ticaret A.Ş. (Yaltes Elektronik) aracılığıyla elde etmektedir.
(5) Söz konusu iştiraklerinden Thales I nternational Ankara’nın temel faaliyeti yönetim
danışmanlığı hizmetleri olup; öze llikle bilgisayar sistemleri ve iletişim sistemleri ile
bunlara ilişkin bileşenler ve parçalar olmak üzere her türlü elektronik ve elektrik
sistemlerinin ithalatı, ihracatı ve yerel toptan ticareti alanlarında faaliyet
göstermektedir. Diğer bir iştiraki ol an Thales Ulaşım’ın ana faaliyet alanlarını ; yangın
ve güvenlik sistemleri başlığı altında demiryolu sinyalizasyonu, telekomünikasyonu,
bilgisayar tabanlı mekanik, elektronik ve elektrikli ekipman ve sistemleri, mekanik
18-29/486-237
2/6
asansör bakımı, ısıtma, sağlık hizme ti ve alarm sistemleri, yangın geciktirici ve
iklimlendirme ekipmanı ile sistemlerine ilişkin mühendislik, tasarım, imalat, ithalat,
satış, ihracat, tedarik, kiralama, kurulum, entegrasyon, yeniden yapılandırma, hizmete
açma, bakım ve onarım, yapısal kablo lama, bina inşaatı ve bilg isayar hizmetleri,
ayrıca ekipman ve sistemlerin yanı sıra danışmanlık ve o perasyonel hizmetler teşkil
etmektedir. Thales’in savunma sektöründe yerel bir iştiraki olan Yaltes Elektronik’in
temel faaliyet alanı ise deniz savunma sistemleridir.
G.1.2. Devredilen: Gemalto N.V. (Gemalto)
(6) Gemalto; Hollanda’da kurulu uluslararası bir dijital güvenlik şirketi olup, herhangi bir
gerçek kişi ya da ekonomik bütünlük tarafından kontrol edilmemektedir. Gemalto
küresel çapta mobil platform ve h izmetler, mobil bütünleşik yazılım ve ürünler, ödeme,
devlet programları, makineden makineye (nesnelerin interneti), kurumsal güvenlik
olmak üzere altı temel alanda faaliyet göstermektedir. Gemalto’nun Türkiye’deki
faaliyetlerini ise akıllı kart (ağırlıklı olarak ödeme kartları ve SIM kartları) ve ePasaport
(elektronik pasaport) çözümleri ile ilgili ürünler ve hizmetlerin satışı oluşturmaktadır.
(7) Gemalto ilgili ürünleri tek kontrolüne sahip olduğu Türk iştiraki olan Plastikkart Akıllı
Kart İletişim Sistemle ri San. ve Tic. A.Ş. aracılığıyla satmakla birlikte, birtakım küçük
hacimli satışları yabancı iştirakleri aracılığıyla gerçekleştirmektedir. Gemalto’nun
Türkiye’de Gemalto Kart ve Terminaller Ltd. Şti. (Gemalto Kart ve Terminaller) unvanlı
ikinci bir iştir aki daha bulunmaktadır. Ancak söz konusu şirket Türkiye’deki üçüncü
taraflara herhangi bir ürün veya hizmet sağlamamaktadır1. G.2. İlgili Pazar
G.2.1. Pazar Hakkında Genel Bilgiler
(8) Kurumsal anahtar yönetimi, yaşam döngü leri boyunca şifreleme anahtarlarını n
yönetimi için bir dizi işlem i içermektedir. Şifreleme; elektronik veri, program, görüntü
veya diğer bilgileri n, bir kişi veya bir bilgisayar tarafından anlaşılmayan bir formata
(şifre metni) dönüştürülmesini içermektedir. Şifreleme, bir şifreleme algorit masının ve
en az bir şifreleme anahtarının kullanılmasını gerektirmektedir. Bu anahtar yönetimi
faaliyeti özellikle anahtar üretimi, kaydı, depolanması, dağıtımı, kurulumu, kullanımı,
rotasyonu, yedekle nmesi, kurtar ılması, iptal i, askıya al ınması ve sil inmesi işlemlerini
içermektedir. Kuruluşlar, şifreleme anahtarlarını çeşitli şekillerde oluşturabilir,
depolayabilir ve yönetebilir ler. Anahtar yönetimi çözümleri, anahtar yönetim
becerilerine sahip şifreleme yazılımı veya donanımını, özel anahtar yönetim yazılımını,
sunucu bazlı genel amaçlı donanımsal güvenlik modülleri, sunucu bazlı ödeme
donanımsal güvenlik modülleri, hizmet olarak donanımsal güvenlik modülleri, anahtar
yönetim becerilerine sahip bulut tabanlı anahtar yönetimi çözümleri, güvenilir platform
modülleri ve anahtar yönetim becerilerine sahip mikro işlemcilerdir. Son yıllarda
şifreleme kullanımının giderek yaygınlaşması, kurumlarda anahtarların çoğalmasına
yol açmıştır.
(9) Bir şifreleme algoritması ve şifreleme anahtarları kullanılarak veri şifrele me ve şifre
kırılması işlemleri ise şifreleme yazılımı aracılığıyla gerçekleştirilmektedir. Şifreleme
yazılımı; kullanımda olmayan veriler 2, kullanımdaki veriler 3 ve hareketli veriler 4 olmak
1 Gemalto Kart ve Terminaller, Gemalto S.A.’nın adına, Gemalto S.A.’nın (Turkcell, Garanti Bankası,
Türkiye Cumhuriyeti Devleti gibi) müşterileri için danışmanlık, eğitim, pazarlama ve ürün reklamı gibi
hizmetler sunmaktadır.
2 Cihazdan cihaza veya ağdan ağa aktif olarak aktarılmayan ancak tek bir yerde depolanan verilerdir.
3 Bilgisayar hafızasında veya işlenen uygulamalarda kalıcı olmayan bir dijital durumda saklanan ve
genellikle birkaç kişi ve cihaz tarafından erişilebilir olan verilerdir.
18-29/486-237
3/6
üzere üç temel veri türü nü korumak için tasarlan mıştır. Taraflar hareketli veriler için
şifreleme yazılımı hizmeti sunmamaktadır. Kurumsal şifreleme yazılımı, özellikle
depolama/disk, dosya/klasör, veritabanı ve uygulama düzeyinde olmak üzere çeşitli
düzeylerde ve katmanlarda kullanımda olan/olmayan verileri şifrelemektedir.
G.2.2. İlgili Ürün Pazarı
(10) Bildirim Formunda devre konu, Gemalto’nun Türkiye’deki faaliyetleri doğrultusunda
ilgili ürün pazarlarının kurumsal anahtar yönetimi, kurumsal şifreleme yazılımları,
plastik kartlar ve elektronik pasaport çözümleri olarak tanımlanabileceği ifade
edilmekle birlikte, tarafların Türkiye’deki faaliyetleri yalnızca kurumsal anahtar yönetimi
ve kurumsal şifreleme yazılımları pazarlarında yatay anlamda örtüşmektedir.
(11) Kurumsal anahtar yönetimi pazarının, genel amaçlı donanım sal güvenlik modülleri ve
ödeme donanımsal güvenlik modülleri olmak üzere iki temel alt segmenti
bulunmaktadır. Söz konusu iki alt ürün segmentine talep ikamesi açısından
bakıldığında; müşterilerin anahtarlarını yönetmek ve saklamak için birçok farklı
anahtar yönetimi çözümlerine geçiş yapabileceği görülmektedir. Bu çerçevede Bildirim
Formunda anahtar yönetim çözümlerinin tamamının; anahtar üretim, depolama ve
dönüştürmeden silme işlemlerine kadar tüm anahtar kullanım süresini yönettiği, çeşitli
anahtar yön etim çözümlerinin benzer performans seviyeleri, işlevsellik ve müşteri
desteği sunduğu ve ortak uluslararası standarda uyduğu, kuruluşların herhangi bir
belirli standarda göre onaylanmış ürünleri seçme veya herhangi bir anahtar yönetim
ürününü satın almakla yükümlü olmadığı, mevzuat ın da genellikle teşebbüslerin belirli
bir ürünü kullanmalarını öngörmediği, kuruluşların yeni uygulamalar için donanımsal
güvenlik modülü dışındaki anahtar yönetim çözümlerine yöneldiği, iş yüklerinin sunucu
bazlıdan buluta yönelmesi ile fiziksel donanımsal güvenlik ve sanallaştırılmış çözümler
tarafından sunulan anahtar yönetimi uygulamalarının kullanımına büyük bir yönelim
olduğunun görüldüğü ifade edilmektedir.
(12) Arz ikamesi açısından ise; satıcıların kurumsal anahtar yönetimi p azarında çeşitli
seçenekler sunduğu ve anahtar yönetim çözümlerinde benzer yazılımlar kullanıldığı
için başka anahtar yönetim ürünlerine kolayca geçiş yapabildikleri, yeniden satıcıların
da genellikle çeşitli anahtar yönetimi çözümlerini bir arada sunduğu ve müşteri
ihtiyaçlarına göre farklı anahtar yönetimi çözümleri arasından seçim yapmalarına
yardımcı oldukları belirtilmektedir.
(13) Bu bilgiler ışığında, genel amaçlı donanımsal güvenlik modülleri ve ödeme
donanımsal güvenlik modülleri pazar larının özellikle arz ikamesi açısından birbirine
ikame olduğu dikkate alınarak, ilgili ürün pazarlarından biri “kurumsal anahtar yönetimi
pazarı” olarak belirlenmiştir.
(14) Söz konusu işlem kapsamında Türkiye’de yatay örtüşmenin söz konusu olduğu bir
diğer pazar kurumsal şifre leme yazılımı pazarıdır. Bildir im Formunda kullanımda
olmayan/olan verileri koruyan kurumsal şifreleme yazılımı çözümlerinin alt segmentleri
bulunmakla birlikte, bu verileri şifrelemek için birçok seçeneğe sahip ol unması,
müşterilerin hangi şifreleme yazılımını satın alacağına karar verirken genel olarak veri
yığınının farklı seviyelerinde çalışan birçok rakip çözümü değerlendirebileceği bu
bakımdan talep ikamesi yönünden söz konusu alt segmentlerin birbirlerine ikame
oldukları, ayrıca veri yığının farklı seviyelerinde veri şifreleyebilen tek bir ürün sunan
birçok tedarikçi nin bulunması bakımından arz yönünden de ikame oldukları
4 Aynı zamanda “transit” olarak da adlandırılır, aktif olarak bir y erden başka bir yere (internet, özel ağ
veya bulut gibi) hareket eden verilerdir.
18-29/486-237
4/6
belirtilmektedir. Bu çerçevede diğer ilgili ürün pazarı “kurumsal şifreleme yazılımı
pazarı” olarak belirlenmiştir.
G.2.3. İlgili Coğrafi Pazar
(15) Bildirim Formunda küresel çaptaki müşterilerin genel olarak küresel çapta faaliyet
gösteren firmalardan ürün satın aldığı, anahtar yönetimi çözümlerinin bölgeler
genelinde genel olarak homojen olduğu, te darikçilerin küresel tedarik zincirleri ile
küresel çapta aynı markaları sunduğu ve ürünleri sattığı, standartların uluslararası
olarak benzer olduğu, fiyatlar ve kullanım maliyetlerinin küresel çapta genel olarak
tutarlı olduğu ifade edilmektedir.
(16) Bununla birlikte alıcıların ilgili ürünleri Türkiye’de faaliyeti bulunmayan ve küresel
ölçekte faal olan teşebbüslerden satın alınmasını engelleyen herhangi bir düzenleyici
ve yasal engel bulunmamaktadır. Söz konusu alımların bu şekilde yapılması alıcıların
maliyetlerinde herhangi bir artışa yol açmamaktadır. İlaveten, Türkiye'de pazarda
ithalatı etkileyebilecek önemli taşıma maliyetleri, kota uygulamaları, tarife
düzenlemeleri veya herhangi bir kısıtlama bulunmamaktadır.
(17) Taraflar da da hil olmak üzere, Türkiye' deki kurumsal anahtar yönetimi pazarında
faaliyet gösteren AWS, Microsoft, Ultra Electronic, Utimaco, Atos, Google, IBM,
Keynexus ve Salesforce gibi küresel oyuncuların ürünlerinin büyük bir çoğunluğu
Türkiye'ye ithal edilmektedir. Nitekim Thales de Türkiy e'de çoğunlukla distribütörler ve
yeniden satıcılar aracılığıyla kurumsal anahtar yönetimi ve kurumsal şifreleme
yazılımları ürünlerini satmaktadır.
(18) Bu bilgiler doğrultusunda rekabetçi dinamikleri küresel çapta şekillenen ilgili ürün
pazarları bakımından işlemin Türkiye’ye olan etkileri değerlendirileceğinden ilgili
coğrafi pazar “Türkiye” şeklinde tanımlanmıştır.
G.3. Değerlendirme
(19) İşlem sonucunda Gemalto’nun tek kontrolü Thales’e geçecek ve kontrol yapısında
kalıcı değişiklik meydana gelecektir. Bu nedenle anılan işlem 2010/4 sayılı Tebliğ’in 5.
maddesi çerçevesinde bir devralma işlemidir. Ayrıca, t arafların ciroları incelendiğinde,
aynı Tebliğ’in 7. maddesinin birinci fıkrasının (a) ve (b) bendinde yer alan eşiklerin
aşıldığı, dolayısıyla işlemin izne tabi olduğu anlaşılmıştır.
(20) Aşağıdaki tabloda işlem taraflarının ve rakip teşebbüslerin Türkiye’deki faaliyet
alanlarından biri olan kurumsal anahtar yönetimi pazarındaki 2017 yılına ait pazar payı
bilgilerine yer verilmektedir.
Tablo-1: Kurumsal Anahtar Yönetimi Pazarındaki Pazar Payları
Teşebbüs Pazar Payı (%)
Thales S.A. (…..)
Gemalto N.V. (…..)
AWS (…..)
Microsoft (…..)
Ultra Elektronics (…..)
Utimaco (…..)
Atos (…..)
Diğerleri (Google, IBM/Garanti Bank, Keynexus, Salesforce) (…..)
Toplam (…..)
Kaynak: Bildirim Formu
(21) Tablo-1’den işlem sonrası tarafların kurumsal anahtar yönetimi pazarındaki toplam
pazar payı nın yaklaşık olarak % (…..) oranına ulaşacağı görülmektedir. Bununla
18-29/486-237
5/6
birlikte dosyadaki bilgilerden, küresel oyuncuların birçoğunun Türkiye’de faaliyet
gösterdiği, ASELSAN ve TÜBİTAK gibi yerel oyuncuların da hâlihazırda pazarda
bulunduğu ve yakın gelecekte de anahtar yönetim becerilerine sahip bulut tabanlı
şifreleme çözümleri sun acak yerel oyuncuların pazara girmesinin bek lediği
anlaşılmaktadır. Ayrıca, tarafların Türkiye’deki toplam pazar paylarının 2015 yılından
bu yana düştüğü ve rakiplerinin pazar paylarının ise son üç yılda artış gösterdiği ifade
edilmektedir.
(22) Türkiye’de söz konusu pazara girmek isteyen potansiyel teşe bbüslerin önünde engel
teşkil eden herhangi bir düzenleyici veya yasal engel bulunmamaktadır. Pek çok
anahtar yönetimi çözümü nün açık kaynak ürünlere dayan ması nedeniyle pazara yeni
giren teşebbüsler şifreleme yazılımı ürünlerini geliştirmek ve satmak için bu tür
patentlere veya diğer mülkiyet haklarına erişim elde etmek zorunda değildir.
(23) Pazara yeni girişleri kolaylaştıran bir başka faktör ise pazarda kapasite kısıtının
bulunmamasıdır. Anahtar yönetimi çözümlerinin birçoğu tedarikçilerin marjinal
maliyetlerinin sıfıra yakın olduğu yazılım temellidir . Donanımsal güvenlik modülleri ve
diğer donanım tabanlı çözümler bakımından, sağlayıcılar genellikle herhangi bir
kapasite kısıtı olmaksızın üçüncü taraf tedarikçilerden önemli don anımları tedarik
edebilmektedir.
(24) Sağlayıcıların satış yaptıkları ülkelerin tamamında satış temsilcilikleri
bulunmamaktadır. Çoğu sağlayıcı merkezi bir satış yapısına sahiptir ve dünya çapında
bir veya birkaç satış merkeziyle faaliyet göstermektedir. Türkiye’deki anahtar yönetimi
ürünlerinin tedarik edilmesi için satıcıların Türkiye’de herhangi bir yerel satış varlığına
sahip olması gerekmemektedir. Bunun yanı sıra distribütörlerle ortaklıkların
geliştirilmesi noktasında zorluk bulunmamaktadır. Nitekim işlem tarafların her ikisi ve
rakiplerin bir kısmı Türkiye’de distribütörleri vasıtasıyla faaliyet göstermektedir.
Distribütörler genellikle sağlayıcılar ile münhasır anlaşmalar akdetmedikleri için birkaç
sağlayıcının anahtar yönetim çözümlerini bir arada sağlayabilmektedirler. Dolayısıyla
küresel pazarda faaliyet gösterip Türkiye’de faaliyet göstermeyen teşebbüslerin
pazara girmesinin önünde bir engel bulunmamaktadır.
(25) Kurumsal anahtar yönetimi pazarındaki 2017 yılı satışları, Thales’in aynı yıl Türkiye
cirosunun % (…..)’ini, Gemalto’nun is e benzer şekilde % (…..)’ini oluşturmaktadır.
Dolayısıyla tarafların söz konusu pazardaki satışları toplam satışlarının yalnızca küçük
bir kısmını teşkil etmektedir. Bununla birlikte Türkiye’de ilgili pazarlar görece
küçüktür5.
(26) Yukarıda yer verilen bilgile r ışığında, Thales ve Gemalto’nun işlem sonrası kurumsal
anahtar yönetimi pazarındaki toplam pazar paylarının yüksek olduğu, ancak pazarın
toplam büyüklüğünün çok düşük olması, pazarda faaliyet gösteren ciddi rakiplerin
varlığı ve pazara yön elik ciddi bir giriş engelinin bulunma dığı göz önüne alındığında,
işlem sonrasında Thales’in rakiplerinden bağımsız bir biçimde ekonomik parametreleri
belirleyebilme gücüne sahip olamayacağı kanaatine varılmıştır.
(27) Tarafların Türkiye’deki faaliyetleri arasında yatay ört üşmenin söz konusu olduğu bir
diğer pazar olan kurumsal şifreleme yazılımı pazarında işlem taraflarının ve rakip
teşebbüslerin 2017 yılına ait pazar payı bilgileri aşağıdaki tabloda yer almaktadır.
5 Bildirim kapsamında, tarafların yüksek pazar payına sahip olduğu kurumsal anahtar yönetimi
pazarının Türkiye’deki toplam pazar büyüklüğünün yalnızca (…..) Euro olduğu, bakım ve hizmet
gelirlerinin hariç tutulması halinde rakamın (…..) Euro’nun altında olacağı belirtilmiştir.
18-29/486-237
6/6
Tablo-2: Kurumsal Şifreleme Yazılımı Pazarındaki Pazar Payları
Teşebbüs Pazar Payı (%)
Thales S.A. (…..)
Gemalto N.V. (…..)
Oracle (…..)
Microsoft (…..)
Dell (…..)
IBM (…..)
Diğerleri (Cardtek, Imperva, Informatica, McAfee, Micro Focus,
PKWARE, Protegrity) (…..)
Toplam (…..)
Kaynak: Bildirim Formu
(28) Tarafların işlem sonrası kurumsal şifreleme yazılımı pazarındaki toplam pazar payları
%(…..)’in altında gerçekleşecektir. Dolayısıyla, kurumsal şifreleme yazılımı pazarında
da hâkim durum yaratılması veya mevcut hâkim durumun güçlendirilmesi söz ko nusu
olmayacaktır.
(29) Düzenlenen rapora ve incelenen dosya kapsamına göre; bildirim konusu işlemin 4054
sayılı Kanun’un 7. maddesi ve bu maddeye dayanılarak çıkarılan 2010/4 sayılı
Rekabet Kurulundan İzin Alınması Gereken Birleşme ve Devralmalar Hakkında Tebliğ
kapsamında izne tabi olduğuna; işlem sonucunda aynı Kanun maddesinde
yasaklanan nitelikte hâkim durum yaratılmasının veya mevcut hâkim durumun
güçlendirilmesinin ve böylece rekabetin önemli ölçüde azaltılması nın söz konusu
olmaması nedeniyle işleme izin verilmesine, gerekçeli kararın tebliğinden itibaren 60
gün içinde Ankara İdare Mahkemelerinde yargı yolu açık olmak üzere, OYBİRLİĞİ ile
karar verilmiştir.