Recite svoje mišljenje: Šta smo napisali Evropskoj komisiji u vezi sa Uredbom o Registru DPP
BlogRegulacija08/05/2026

Recite svoje mišljenje: Šta smo napisali Evropskoj komisiji u vezi sa Uredbom o Registru DPP

Četiri prijave na otvorenu konsultaciju: o definiciji obaveza pružatelja DPP usluga, o dugoročnoj provjerljivosti, o dijeljenju podataka prema članu 17. i o objavljivanju API-ja prije stupanja na snagu zakonodavstva.

Dana 29. aprila 2026. godine Evropska komisija je objavila nacrt provedbene uredbe o registru DPP⁠ i, istovremeno, otvorila četverosedmični period konsultacija. Do 27. maja 2026. godine, svaki pojedinac ili organizacija u EU i šire može dostaviti povratne informacije putem portala “Have Your Say”. Dostave su javne, svaka je potpisana imenom ili organizacijom, i bit će službeno uključene u konačnu verziju uredbe.

Detaljno smo razmotrili nacrt na ovom blogu. Ovaj post posvećujemo pitanju šta smo odgovorili Komisiji.

Zašto smo podnijeli četiri odvojena prijedloga

Portal prihvata 4.000 znakova po prijedlogu. Mogli smo sve naše stavke stisnuti u jedan dugi prijedlog. To bi osoblju Komisije - koje će u maju obrađivati desetine podnesaka - bilo teže za čitanje i citiranje. Četiri pojedinačna podneska mogu se zasebno pronaći na javnoj listi, a na svaki se može odgovoriti - ili ga odbaciti - pojedinačno, bez utjecaja na ostale tačke.

Podnijeli smo sljedeće četiri teme:

1. Definiranje minimalnih zahtjeva za pružatelje DPP usluga

Nacrt uredbe ispravno utvrđuje decentralizirani model: Podaci o DPP-u se nalaze kod ekonomskog operatera ili njihovog pružatelja DPP usluga; registar Komisije samo pohranjuje reference. Predviđa se službena lista ovlaštenih pružatelja usluga za DPP (član 2. stavak 32. ESPR-a).

Ono što nedostaje je definicija šta pružalac usluga zapravo mora učiniti da bi bio uključen na ovu listu i ostao na njoj. Pretpostavlja se da će suštinske obaveze biti utvrđene u delegiranom aktu u skladu sa članom 4. osnovne ESPR uredbe. Međutim, registar će biti pokrenut prije nego što ovaj delegirani akt bude objavljen.

Naš prijedlog: Ili utvrditi minimalne kriterije za pružatelje usluga direktno u ovoj provedbenoj uredbi, ili odrediti obavezni rok do kojeg delegirani akt mora biti dostavljen. Predloženi minimalni zahtjevi uključuju:

  • Dostupnost javnog DPP čitačkog interfejsa od najmanje 99,5 posto mjesečno
  • Ugovor o nivou usluge koji specificira koliko brzo nova verzija DPP-a mora biti uključena u sigurnosnu kopiju (prijedlog: 24 sata ili u stvarnom vremenu, gdje je tehnički moguće)
  • Obavezna kriptografska provjera dolaznih verzija od strane pružatelja usluga
  • Objavljivanje javnih ključeva gospodarskog operatera pod standardiziranom putanjom (RFC 8615, prijedlog /.well-known/dpp-keys/)
  • Definisan proces prelaska i insolventnosti kako bi se osiguralo da se DPP podaci uredno migriraju na drugog pružaoca usluga u slučaju neuspjeha pružaoca usluga

Ove obaveze uglednog pružaoca usluga ne koštaju ništa - ionako ih ispunjava - ali sprječavaju utrku u snižavanju standarda među jeftinim pružaocima usluga, što na kraju potkopava listu.

2. Dugoročna provjerljivost registrovanih DPP-ova

Član 9(4) ograničava dostupnost certifikata o registraciji na 90 kalendarskih dana. U tom periodu, registar će na zahtjev ponovo generisati certifikat. To je u redu za svakodnevne operacije, ali nije u skladu s životnim ciklusom temeljne obaveze DPP-a: član 10. stavak 3. utvrđuje standardni rok čuvanja od 10 godina od registracije, dok sektorsko zakonodavstvo može zahtijevati duže periode.

Nadležni organ za nadzor tržišta, carinski službenik, recikler ili istraživač 2032. godine trebali bi moći provjeriti da je DPP registrovan 2026. godine zaista registrovan, bez potrebe da se oslanjaju na to da originalni ekonomski operator još uvijek postoji i može zatražiti novi certifikat.

Naša dva prijedloga su isplativa za implementaciju:

  • Jasno navesti da dokazni bajtovi, koje je Komisija kvalificirala i zapečatila, mogu biti keširani, arhivirani i redistribuirani od strane ekonomskog operatera ili pružatelja usluga. Kvalificirani pečat prema članu 35(2) Uredbe eIDAS nosi pretpostavku cjelovitosti i porijekla bez obzira na to gdje se bajtovi nalaze.
  • Javna, neautentificirana tačka za provjeru u registru koja vraća potpisani odgovor za ID registracije. Trenutno, svaka provjera treće strane zahtijeva da ekonomski operator poduzme radnju - to nije pravi pristup za dokument o dokazu koji mora opstati i nakon izdavatelja.

Pored toga, predložili smo da se generisanje haša definiše deterministički: SHA-256 kao funkciju haširanja, JSON shemu kanonizacije (RFC 8785)⁠ kao serijalizaciju, izvan bloka potpisa. U W3C ekosistemu, to je kriptosuite eddsa-jcs-2022, koji Transpareo koristi za direktno potpisivanje. Bez ove specifikacije za pinovanje, dva pružatelja usluga bi serijalizirala isti DPP u različite hašove, a polje s hašom u certifikatu o registraciji ne bi bilo reproducibilno.

3. Član 17 ne smije ograničiti pristup javnim podacima o DPP-u

Član 17 navodi “masovno preuzimanje podataka” kao moguću zloupotrebu registra. To je tačno u vezi s administrativnim metapodacima pohranjenim unutar samog registra (identiteti, dnevnici, tragovi revizije) - oni ne spadaju u masovno preuzimanje.

Međutim, javni DPP podaci koje posjeduje proizvođač ili pružatelj usluga upravo su područje koje ESPR nastoji učiniti široko dostupnim. Reciklatori koji izdvajaju podatke o sastavu flota proizvoda; istraživači koji unakrsno analiziraju tvrdnje o održivosti; nadzor tržišta koji provodi komparativne analize - sve su to oblici “masovnog preuzimanja podataka” iz javnog sloja DPP-a i sve su namjeravane upotrebe za koje je Uredba sastavljena.

Naš prijedlog je rečenica za pojašnjenje u članu 17. koja ograničava opseg na podatke o registraciji i, za podatke iz DPP-a, upućuje na relevantne sektorske delegirane akte. U suprotnom, pružaoci usluga će se suočiti s izborom prilikom pokretanja: ili da agresivno ograniče stope pristupa za javni pristup kao mjeru predostrožnosti - čime bi se uništilo korisničko iskustvo - ili da ga ostave otvorenim i rizikuju da će kasnije biti klasificirano kao zloupotreba u smislu člana 17.

4. Objavite OpenAPI specifikaciju i sandbox prije pokretanja

Član 3. stavak (b) zahtijeva API za registracije. Član 8. stavak 5. određuje ga kao jedan od dva kanala za registraciju. Međutim, Uredba ne kaže ništa o tome kada treba objaviti API ugovor.

Svako ko automatizira tokove rada registracije - svaki pružatelj usluga i svaki ekonomski operator s velikim katalogom - treba specifikaciju API-ja mnogo prije pokretanja kako bi je implementirao i testirao na aktivnom krajnjem tačnom mjestu. Potreba da se specifikacija pronađe u sedmici prije stupanja na snagu Uredbe prebacuje rizik integracije na sve pružaoce usluga u ekosistemu.

Stoga smo predložili:

  • Objavljivanje OpenAPI 3.1 specifikacije najmanje osam sedmica prije stupanja na snagu propisa - za pokretanje 19. jula 2026. godine, to bi značilo do 24. maja 2026. godine
  • Paralelno sandbox okruženje na kojem pružaoci usluga i proizvođači mogu integrirati i testirati automatsku verifikaciju iz člana 8. stavka 6.
  • Politika verzioniranja koja koristi Semver, s periodom zastarijevanja od najmanje 18 mjeseci

Dodatni prijedlozi za dizajn: idempotentni ključevi za pozive za registraciju, grupna registracija za velike kataloge, asinkrona registracija s webhook pozivima za povratne informacije i mašinski čitljivi kodovi grešaka za slučajeve kada automatska verifikacija ne uspije.

Zašto ovo radimo

Konsultacija nije igra za sticanje bodova. Ako svaki prijedlog uspije učiniti jednu rečenicu u konačnoj verziji preciznijom, ispunio je svoju svrhu. Komisija zaista čita ove doprinose - iskustvo iz samog ESPR procesa pokazuje da tehnički kvalitetni prijedlozi često ostave svoj trag na konačnim tekstovima.

U svakom slučaju, podnijet ćemo zahtjev za uvrštenje na listu pružalaca usluga DPP-a čim bude objavljen postupak prijema. Stoga je u našem direktnom interesu da pravila po kojima se takmičimo budu precizna i da definiraju jednake uslove za sve. Četiri doprinosa su naš konkretan način da osiguramo da lista ne degeneriše u puku marketinšku oznaku.

Kako se uključiti

Rok za dostavljanje povratnih informacija je do 27. maja 2026. godine. Prijedlozi se mogu podnijeti na bilo kojem od službenih jezika EU; potrebno je da se registrujete na portalu, a vaš prijedlog će biti javno vidljiv. Svi koji će izdavati ili provjeravati DPP-ove - proizvođači, pružaoci usluga, recikleri, javna tijela - trebali bi barem pročitati inicijativu na stranici Have Your Say⁠. Čak i kratak, tehnički tačan prijedlog čini razliku.

Naš alat za provjeru Transpareo Time Machine već ispunjava zahtjev za verifikaciju naveden u tački 2 u praksi otvorenog koda: svako ko želi nezavisno provjeriti Transpareo DPP može to učiniti već danas koristeći ovaj alat, bez potrebe da čeka na formalno uspostavljenu tačku za verifikaciju u registru Komisije.

Ažuriranja Pravilnika o registru DPP-a

Čim Komisija odgovori na primljene povratne informacije, sažet ćemo ključne tačke i poslati ih u vaš inbox.