Dne 29. dubna 2026 zveřejnila Evropská komise návrh prováděcího nařízení k registru digitálních pasů výrobků (Ares(2026)4424976). Tento návrh konkretizuje čl. 13 odst. 5 nařízení o registru digitálních pasů produktů (nařízení 2024/1781) a stanoví, jak bude registr spravovaný Komisí fungovat z technického a organizačního hlediska.
Text je označen jako návrh a dosud nebyl přijat. Základní mechanismy jsou však již jasně rozpoznatelné - a mají bezprostřední důsledky pro každého výrobce, který bude od roku 2027 povinen vystavovat DPP.
Co je to registr - a co není
Nejprve jedno upřesnění: Registr EU neukládá samotná data DPP. Jedná se o centrální adresářovou službu, která pro každou registraci uchovává jedinečné ID, kód zboží, identitu hospodářského subjektu, hash verze DPP a odkaz na záložní kopii u poskytovatele služby DPP.
Odůvodnění č. 3 to označuje jako „decentralizovaný model“: Údaje o produktech zůstávají i nadále u výrobce nebo na jeho platformě DPP. Registr je kanonický seznam adres, nikoli datové úložiště.
Funkčně se registr skládá z:
- webového rozhraní a API pro registrace
- ověřovací platformy pro hospodářské subjekty
- seznamu schválených poskytovatelů služeb DPP
- sémantického úložiště (vícejazyčného, strukturovaného podle DCAT-AP) jako reference pro datové atributy, modelové struktury a role
- systému protokolování s odstupňovanými lhůtami uchovávání
Ověření před registrací
Žádná služba DPP nebude do registru zapsána, dokud nebude hospodářský subjekt, který žádost podává, veden jako ověřený hospodářský subjekt (čl. 4). Ověření se provádí přímo v registru a využívá prostředky eIDAS podle nařízení 910/2014:
- Právnická osoba v EU: kvalifikovaná elektronická pečeť nebo elektronické osvědčení o atributech
- Fyzická osoba jako živnostník v EU: kvalifikovaný elektronický podpis, eID úrovně „vysoká“ nebo osvědčení o atributech
- Subjekty mimo EU: kvalifikovaný podpis nebo pečeť, případně osvědčení o atributech
Ověření platí maximálně tři roky. Kdo si ověření neobnoví, bude označen jako „neověřený“ a ztratí právo registrovat nové DPP nebo měnit stávající (čl. 4 odst. 4).
Toto ověření je zákonnou podmínkou. Je záležitostí mezi výrobcem a Komisí - a není delegováno ani v případě, že operativní registraci provádí poskytovatel služeb, jako je Transpareo.
Úroveň detailnosti: model, šarže nebo položka
Článek 8 vyžaduje, aby byly DPP registrovány na úrovni detailnosti, kterou stanoví příslušný sektorový právní předpis - model, šarže nebo položka. Pokud se vytváří DPP pro položku a existují identifikátory šarže nebo modelu, musí být uvedeny. U DPP na úrovni šarže platí totéž pro identifikátory modelu.
Pro výrobce to znamená: Interní kmenová data musí mít jasnou hierarchii mezi modelem, šarží a jednotlivým produktem. Bez tohoto propojení selže automatická validace registrace.
Verzování, hash a uchovávání
Každá verze DPP je propojena s původním registračním ID. Při každé změně registr vyžaduje hash aktuální verze DPP - kryptograficky ověřitelný, nelze jej vytvořit ručně.
Důkaz o registraci (čl. 9) je elektronický dokument, který Komise opatří kvalifikovaným pečetí a časovým razítkem. Obsahuje minimálně: registrační ID, kód zboží, identitu účastníka, datum a hash poslední verze. Platnost 90 dní, lze libovolně obnovit.
Standardní doba uchovávání: 10 let od registrace, pokud právo Unie nebo odvětvové právo nestanoví jinou lhůtu (čl. 10 odst. 3 prováděcího nařízení o registru DPP). Ani insolvence či likvidace výrobce nezbavuje povinnosti zajistit dostupnost (ESPR čl. 11 písm. e)).
Systém protokolování
Registr vede protokolování ve třech úrovních (čl. 14):
- Přístupy a ověření: 6 měsíců
- Změny údajů: po dobu trvání registrace
- Administrativní úkony a výměna údajů: 5 let
Vnitrostátní orgány získávají přístup v případě incidentů, auditů nebo namátkových kontrol.
Osobní údaje - co Komise uchovává
Článek 18 uvádí, které údaje jsou uloženy výhradně v registru: jméno a příjmení každého uživatele, přihlašovací údaje, autentizační tokeny, poštovní adresa, e-mail. U fyzických osob navíc číslo pasu nebo občanského průkazu, eID, daňové identifikační číslo. Tyto údaje se poskytovatele služeb DPP netýkají. Správcem těchto údajů o účtu je Komise, zatímco hospodářský subjekt zůstává správcem svých údajů DPP.
Jak Transpareo splňuje tyto požadavky
Většina požadavků se týká architektonických rozhodnutí, která Transpareo již v této podobě realizuje. Konkrétně:
Decentrální model. Transpareo je multi-tenantní platforma s izolovanou databází pro každého zákazníka. Údaje DPP jsou uloženy v databázi hospodářského subjektu, nikoli v centrálním fondu - což je přesně ta architektura, kterou předpokládá důvod 3.
Role zpracovatele je jasně vymezena. Články 19(5) a 20(3) stanoví, že hospodářský subjekt zůstává správcem i v případě, že pověří registrací třetí stranu. Transpareo již dnes působí jako zpracovatel na základě smlouvy o zpracování osobních údajů (AVV) - role jsou jasně vymezeny.
Stabilní záložní URL pro každý DPP. Každý DPP společnosti Transpareo je přístupný prostřednictvím trvalé URL, která se nemění ani při změnách verzí. Právě to vyžaduje čl. 8 odst. 6 písm. d) jako „odkaz na zálohu hostovanou poskytovatelem DPP (DPP-SP)“.
Granularita. Datový model Transpareo rozlišuje mezi modelem produktu, šarží a jednotlivým produktem a umožňuje propojení v rámci hierarchie - což je předpoklad pro splnění článku 8 odst. 3 a 4.
Vícejazyčné sémantické mapování. Repozitář Komise je vícejazyčný podle standardu DCAT-AP. Transpareo vede každý datový bod v 39 jazycích, včetně všech 24 úředních jazyků EU, přičemž překlad je součástí cenové nabídky.
Hash verze. Deterministická serializace podle JSON Canonicalization Scheme (RFC 8785) a hash SHA-256 pro každou verzi DPP jsou již k dispozici. Zbývá pouze upřesnit přesný formát hash-pinningu registru EU; jakmile jej Komise zveřejní, začleníme jej do našich služeb.
Zařazení na seznam poskytovatelů služeb DPP. Společnost Transpareo podá žádost o zařazení na oficiální seznam poskytovatelů služeb DPP (čl. 2 bod 32 nařízení ESPR), jakmile bude zveřejněn postup pro zařazení na tento seznam.
Registrace jménem klienta. Připravujeme službu, která zajistí registraci jménem zmocněných klientů - právní odpovědnost klienta tím zůstává nedotčena v souladu s čl. 19 odst. 4.
Časový plán
Účinnost upravuje článek 23: 20 dní po zveřejnění v Úředním věstníku. Který den to bude, závisí na tom, kdy Komise přijme finální znění. Hlavní lhůta stanovená v článku 13 odst. 5 nařízení ESPR je 19. července 2026 - do té doby musí být registr zprovozněn.
Registr se pravděpodobně stane plně funkčním až 18. února 2027: V tento den vstoupí v platnost článek 77 nařízení EU o bateriích 2023/1542, a DPP se stane povinným pro průmyslové baterie, baterie elektromobilů a baterie pro lehká motorová vozidla s kapacitou nad 2 kWh. Podrobnosti a otevřené otázky týkající se prováděcího aktu jsme zaznamenali v harmonogramu ESPR 2027. Do té doby zbývá přibližně devět měsíců. Kdo plánuje smlouvy s dodavateli, migraci kmenových dat a interní schvalovací procesy, ten ví: času je málo, ne dost.
Co zůstává otevřené
Samotné nařízení popisuje organizační rámec. Chybí však technická specifikace API - přesný formát rozhraní, schémata a pravidla validace. Ta pravděpodobně následují jako samostatné pokyny Komise podle čl. 15 odst. 1, zřejmě ještě v průběhu roku 2026.
Do té doby je však směr jasný: decentralizovaná architektura, ověření účastníků, kvalifikované podpisy, jednoznačná registrační ID, řetězení verzí, sémantická interoperabilita. To vše jsou koncepty, které už nezmizí.
Oficiální konzultační iniciativa Komise je dostupná na Have Your Say.