Dne 29. dubna 2026 Evropská komise zveřejnila návrh prováděcího nařízení týkajícího se registru DPP a současně zahájila čtyřtýdenní lhůtu pro podávání připomínek. Do 27. května 2026 může každá osoba a každá organizace v EU i mimo ni zaslat zpětnou vazbu prostřednictvím portálu „Have Your Say“. Připomínky jsou veřejné, každá je podepsána jménem nebo názvem organizace a budou oficiálně zapracovány do konečného znění nařízení.
Návrh jsme podrobně rozebírali zde na blogu. Tento příspěvek věnujeme otázce, co jsme Komisi odpověděli.
Proč jsme podali čtyři samostatné připomínky
Portál akceptuje 4 000 znaků na jeden příspěvek. Mohli jsme všechny body vtěsnat do jednoho dlouhého příspěvku. Pro zaměstnance Komise, kteří v květnu procházejí desítky příspěvků, by to bylo nepříjemnější na čtení a obtížnější k citování. Čtyři samostatné příspěvky lze ve veřejném seznamu najít každý zvlášť a na každý z nich lze odpovědět - nebo jej zamítnout - izolovaně, aniž by to ovlivnilo ostatní body.
Předložili jsme následující čtyři témata:
1. Definovat minimální požadavky na poskytovatele služeb DPP
Návrh nařízení správně definuje decentralizovaný model: Údaje DPP jsou uloženy u hospodářského subjektu nebo u jeho poskytovatele služeb DPP, registr Komise ukládá pouze odkazy. Pro poskytovatele služeb DPP (čl. 2 bod 32 nařízení ESPR) je předpokládán oficiální seznam schválených poskytovatelů.
Chybí však stanovení toho, co musí poskytovatel služeb vlastně splnit, aby se na tento seznam dostal a zůstal na něm. Podstatné povinnosti budou pravděpodobně stanoveny v delegovaném právním aktu podle článku 4 mateřského nařízení ESPR. Registr však bude spuštěn ještě před zveřejněním tohoto právního aktu.
Náš návrh: Buď přímo v tomto prováděcím nařízení stanovit minimální kritéria pro poskytovatele služeb, nebo uvést závaznou lhůtu, do kdy bude delegovaný právní akt dodatečně předložen. Mezi navrhované minimální požadavky patří:
- Dostupnost veřejného rozhraní pro čtení DPP v rozsahu minimálně 99,5 procenta za měsíc
- Dohoda o úrovni služeb (SLA) stanovující, jak rychle musí být nová verze DPP doručena do záložní kopie (návrh: do 24 hodin nebo v reálném čase, je-li to technicky možné)
- Povinné kryptografické ověření příchozích verzí poskytovatelem služeb
- Zveřejnění veřejných klíčů hospodářského subjektu pod standardizovanou cestou (RFC 8615, návrh
/.well-known/dpp-keys/) - Definovaný proces změny poskytovatele a řešení platební neschopnosti, aby v případě výpadku jednoho poskytovatele došlo k řádné migraci dat DPP k jinému poskytovateli
Tyto povinnosti seriózního poskytovatele nic nestojí - plní je tak jako tak -, zabraňují však „závodu ke dnu“ mezi levnými poskytovateli, který by nakonec podkopal celý seznam.
2. Dlouhodobá ověřitelnost registrovaných DPP
Článek 9 odst. 4 omezuje dostupnost dokladu o registraci na 90 kalendářních dnů. V rámci této lhůty registr na žádost doklad znovu vygeneruje. To je v pořádku pro běžný provoz, ale neodpovídá to životnímu cyklu související povinnosti týkající se DPP: článek 10 odst. 3 stanoví standardní dobu uchovávání na 10 let od registrace, přičemž odvětvové právní předpisy mohou vyžadovat delší dobu.
Úřad pro dohled nad trhem, celní úředník, recyklační podnik nebo výzkumník by v roce 2032 měli mít možnost ověřit, zda byl DPP registrovaný v roce 2026 skutečně registrován, aniž by byli odkázáni na to, že původní hospodářský subjekt ještě existuje a může si vyžádat nový doklad.
Naše dva návrhy jsou z hlediska provádění výhodné:
- Výslovně ujasnit, že bajty dokladů s kvalifikovaným pečetěním Komise mohou být dočasně uloženy, archivovány a dále šířeny hospodářským subjektem nebo poskytovatelem služeb. Kvalifikovaný pečeť podle čl. 35 odst. 2 nařízení eIDAS nese presumpci integrity a původu bez ohledu na to, kde se bajty nacházejí.
- Zřídit veřejný, neautentizovaný ověřovací koncový bod v registru, který k registračnímu ID poskytne podepsanou odpověď. V současné době každá kontrola třetí stranou předpokládá, že hospodářský subjekt musí aktivně jednat - to je nesprávná forma pro doklad, který musí přežít svého vystavitele.
Dále jsme navrhli deterministicky stanovit tvorbu hashů: SHA-256 jako hashová funkce, JSON Canonicalization Scheme (RFC 8785) jako serializace, mimo podpisový blok. V ekosystému W3C se jedná o kryptosadu eddsa-jcs-2022, kterou Transpareo přímo používá k podepisování. Bez tohoto určení pinningu by dva poskytovatelé služeb serializovali stejný DPP do různých hashů a pole s hashem v osvědčení o registraci by nebylo reprodukovatelné.
3. Článek 17 nesmí omezovat přístup k veřejným údajům DPP
Článek 17 uvádí „masivní stahování dat“ jako možné zneužití registru. U administrativních metadat uložených přímo v registru (identity, protokoly, auditní stopy) je to správné - ty do hromadného stahování nepatří.
Veřejná data DPP u výrobce nebo poskytovatele služeb však představují přesně tu oblast, kterou chce ESPR široce zpřístupnit. Recyklační firmy, které shromažďují kompoziční údaje o produktových flotilách; výzkum, který napříč odvětvími vyhodnocuje prohlášení o udržitelnosti; orgány dohledu nad trhem, které provádějí srovnávací analýzy - to vše jsou formy „hromadného stahování dat“ z veřejné vrstvy DPP a jedná se o účelové využití, pro které bylo nařízení vytvořeno.
Naším návrhem je doplnit do článku 17 upřesňující větu, která omezí působnost na údaje z registrů a v případě údajů DPP odkazuje na příslušné odvětvové delegované právní akty. V opačném případě budou poskytovatelé služeb při spuštění služby stát před volbou: buď z bezpečnostních důvodů agresivně omezit počet dotazů při veřejném přístupu - a tím zkazit uživatelský zážitek - nebo jej nechat otevřený a riskovat, že bude později klasifikován jako zneužití ve smyslu článku 17.
4. Zveřejnit specifikaci OpenAPI a sandbox před spuštěním
Článek 3 písm. b) vyžaduje API pro registrace. Článek 8 odst. 5 z něj činí jeden ze dvou kanálů pro registraci. Nařízení však neuvádí, kdy má být smlouva o API zveřejněna.
Kdokoli automatizuje registrační procesy - každý poskytovatel služeb a každý hospodářský subjekt s rozsáhlejším katalogem - potřebuje specifikaci API s dostatečným předstihem před spuštěním, aby ji mohl implementovat a otestovat na skutečném koncovém bodě. Zveřejnění specifikace teprve týden před vstupem nařízení v platnost přesouvá riziko integrace na všechny poskytovatele v ekosystému.
Proto jsme navrhli:
- Zveřejnit specifikaci OpenAPI 3.1 nejméně osm týdnů před vstupem v platnost - pro zahájení 19. července 2026 tedy do 24. května 2026
- Paralelně zřídit sandboxové prostředí, ve kterém budou moci poskytovatelé služeb a výrobci provádět integraci a testovat automatickou verifikaci podle čl. 8 odst. 6
- Zavést politiku verzování podle Semver s výpovědní lhůtou minimálně 18 měsíců
Další návrhy k designu: idempotentní klíče pro registrační volání, hromadná registrace pro rozsáhlé katalogy, asynchronní registrace s webhookovým zpětným voláním a strojově čitelné kódy chyb pro případy selhání automatické verifikace.
Proč to děláme
Konzultace není hra na sbírání bodů. Pokud každý příspěvek přispěje k tomu, že se jediná věta v konečném znění stane přesnější, splnil svůj účel. Komise tyto příspěvky skutečně čte - zkušenosti z procesu ESPR samy o sobě ukazují, že technicky podložené příspěvky se v konečných textech často odrážejí.
O zařazení na seznam poskytovatelů služeb DPP se stejně budeme ucházet, jakmile bude zveřejněn přijímací postup. Je tedy v našem přímém zájmu, aby pravidla, podle nichž soutěžíme, byla přesná a definovala rovné podmínky. Tyto čtyři příspěvky jsou naším konkrétním způsobem, jak zajistit, aby se seznam nezvrhl v pouhou marketingovou nálepku.
Kdo se chce zapojit
Lhůta pro zasílání připomínek trvá do 27. května 2026. Příspěvky lze zasílat v jakémkoli úředním jazyce EU, je nutné se přihlásit na portálu a budou zveřejněny. Kdokoli bude vydávat nebo ověřovat DPP - výrobci, poskytovatelé služeb, recyklační firmy, úřady -, měl by si alespoň jednou přečíst informace o této iniciativě na stránce Have Your Say. I krátký, odborně přesný příspěvek má svou váhu.
Náš ověřovací nástroj Transpareo Time Machine mimochodem již v praxi s otevřeným zdrojovým kódem řeší potřebu ověření zmíněnou v bodě 2: Kdo chce nezávisle ověřit Transpareo-DPP, může tak učinit již dnes pomocí tohoto nástroje, aniž by musel čekat na formálně zavedený ověřovací bod v registru Komise.