- aprillil 2026 avaldas Euroopa Komisjon digitaalse tootepassi registri rakendusmääruse eelnõu (Ares(2026)4424976). Selles täpsustatakse ESPR-i artikli 13 lõiget 5 (määrus 2024/1781) ja määrab kindlaks, kuidas komisjoni hallatav register tehniliselt ja organisatsiooniliselt toimima hakkab.
Tekst on märgitud eelnõuna ja seda ei ole veel vastu võetud. Olulised mehhanismid on aga juba selgelt äratuntavad - ## janeil on otsesed tagajärjed igale tootjale, kes peab alates 2027. aastast väljastama DPP-d.
Mis on register - ja mis see ei ole
Esmalt üks selgitus: ELi register ei säilita DPP-andmeid ise. Tegemist on keskse registriteenusega, mis säilitab iga registreeringu kohta unikaalse ID, kaubakoodi, ettevõtja identiteedi, DPP-versiooni hash-väärtuse ja viite DPP-teenusepakkuja juures asuvale varukoopiale.
Põhjendus 3 nimetab seda „detraliseeritud mudeliks”: tooteandmed asuvad endiselt tootja või tema DPP-platvormi juures. Register on kanoniline aadressiloend, mitte andmesilo.
Funktsionaalselt koosneb register järgmisest:
- veebiliides ja API registreerimiseks
- ettevõtjate verifitseerimisplatvorm
- heakskiidetud DPP-teenusepakkujate nimekirjast
- semantilise andmehoidlast (mitmekeelne, DCAT-AP-struktureeritud), mis on viide andmeatribuutidele, mudelistruktuuridele ja rollidele
- logisüsteemist, millel on astmelised säilitustähtajad
Kinnitamine enne registreerimist
Ühtegi DPP-d ei lisata registrisse enne, kui registreerimistaotluse esitanud ettevõtja on registreeritud kinnitatud ettevõtjana (artikkel 4). Kinnitamine toimub otse registris ja selleks kasutatakse eIDAS-vahendeid määrus 910/2014:
- ELis asuv juriidiline isik: kvalifitseeritud elektrooniline pitser või elektrooniline atribuutide sertifikaat
- Füüsiline isik, kes tegutseb ELis füüsilisest isikust ettevõtjana: kvalifitseeritud elektrooniline allkiri, eID-tase „kõrge” või atribuutide sertifikaat
- Väljaspool ELi asuvad ettevõtjad: kvalifitseeritud allkiri või pitser või atribuutide sertifikaat
Kinnituse kehtivusaeg on maksimaalselt kolm aastat. Kui seda ei uuendata, muudetakse staatus „kinnitamata” ja kaotatakse õigus registreerida uusi DPP-sid või muuta olemasolevaid (artikkel 4(4)).
See kinnitamine on õiguslik eeltingimus. See toimub tootja ja komisjoni vahel - ning seda ei delegeerita isegi juhul, kui teenusepakkuja, nagu Transpareo, võtab enda kanda operatiivse registreerimise.
Täpsusaste: mudel, partii või toode
Artikkel 8 nõuab, et DPP-d registreeritaks vastava sektoripõhise õigusakti poolt ette nähtud täpsusastmel - mudel, partii või toode. Kui luuakse toote-DPP ja partii- või mudeli-ID-d on olemas, tuleb need kaasa võtta. Partiipõhiste DPP-de puhul kehtib sama mudeli-ID-de suhtes.
Tootjate jaoks tähendab see, et sisemistes põhiandmetes peab olema selge hierarhia mudeli, partii ja üksiktoote vahel. Ilma sellise seoseta ebaõnnestub registreerimise automaatne valideerimine.
Versioonimine, hash ja säilitamine
Iga DPP-versioon seotakse algse registreerimis-ID-ga. Iga muudatuse korral nõuab register praeguse DPP-versiooni hash-väärtust - see peab olema krüptograafiliselt kontrollitav, mitte käsitsi loodav.
Registreerimistõend (artikkel 9) on elektrooniline dokument, millele komisjon lisab kvalifitseeritud digitaalallkirja ja ajamärgi. Sisu peab sisaldama vähemalt järgmist: registreerimis-ID, kaubakood, osapoole identiteet, kuupäev ja viimase versiooni hash-väärtus. Kehtiv 90 päeva, uuendatav piiramatu arv kordi.
Standardne säilitamisaeg: 10 aastat alates registreerimisest, kui liidu õigus või sektoripõhine õigus ei näe ette muud tähtaega (DPP-registri rakendusmääruse artikli 10 lõige 3). Isegi tootja maksejõuetus või likvideerimine ei vabasta kättesaadavuskohustusest (ESPR artikli 11 punkt e).
Logisüsteem
Register logib andmeid kolmel tasandil (artikkel 14):
- Juurdepääsud ja autentimised: 6 kuud
- Andmete muudatused: registreerimise kehtivusaeg
- Haldustoimingud ja andmevahetus: 5 aastat
Riiklikud asutused saavad juurdepääsu juhtumite, auditite või pisteliste kontrollide korral.
Isikuandmed - mida komisjon salvestab
Artiklis 18 on loetletud andmed, mida säilitatakse ainult registris: iga kasutaja ees- ja perekonnanimi, sisselogimise andmed, autentimistokenid, postiaadress, e-post. Füüsiliste isikute puhul lisaks passi- või isikutunnistuse number, eID, maksukood. Need andmed ei puutu DPP-teenusepakkujatesse. Komisjon on nende kontode andmete vastutav töötleja, majandussubjekt jääb oma DPP-andmete vastutavaks töötlejaks.
Kuidas Transpareo nõudeid täidab
Enamik nõudeid puudutab arhitektuurilisi otsuseid, mida Transpareo on juba selles vormis teinud. Täpsemalt:
Detsentraliseeritud mudel. Transpareo on mitme kasutajaga platvorm, kus igal kliendil on oma eraldatud andmebaas. DPP-andmed asuvad ettevõtja andmebaasis, mitte keskandmebaasis - just selline arhitektuur, mida eeldab kaalutlus 3.
Töötleja roll on selgelt piiritletud. Artikli 19 lõige 5 ja artikli 20 lõige 3 näevad ette, et majandussubjekt jääb vastutavaks töötlejaks ka siis, kui ta volitab registreerimisega tegelema kolmanda isiku. Transpareo tegutseb juba täna töötlejana vastavalt töötlemislepingule - rollid on selged.
Stabiilne varukoopia-URL iga DPP kohta. Iga Transpareo DPP on kättesaadav püsiva URL-i kaudu, mis ei muutu ka versioonimuutuste korral. Just seda nõuab artikli 8 lõike 6 punkt d kui „link to the back-up hosted by a DPP-SP“.
Granulaarsus. Transpareo andmemudel eristab tootemudelit, partiid ja üksiktoodet ning võimaldab seoseid hierarhia ulatuses - see on artikli 8 lõigete 3 ja 4 täitmise eeltingimus.
Mitmekeelne semantiline kaardistamine. Komisjoni andmehoidla on mitmekeelne vastavalt DCAT-AP-le. Transpareo haldab iga andmepunkti 40 keeles, sealhulgas kõigis 24 ELi ametlikus keeles, kusjuures tõlkimine on hinna sisse arvestatud.
Versiooni hash. Deterministlik serialiseerimine vastavalt JSON-i kanoniseerimisskeemile (RFC 8785) ja üks SHA-256-hash iga DPP-versiooni kohta on juba kasutusele võetud. Lahtiseks on jäänud vaid ELi registri täpne hash-pinningu formaat; niipea kui komisjon selle avaldab, lisame ka selle.
DPP-teenusepakkuja nimekirja kandmine. Transpareo taotleb kandmist DPP-teenusepakkujate ametlikku nimekirja (ESPRi artikli 2 punkt 32) niipea, kui vastuvõtumenetlus avaldatakse.
Registreerimine volituse alusel. Me valmistame ette teenust, mille raames võtame enda kanda registreerimise volitatud klientide nimel - see ei mõjuta kliendi õiguslikku vastutust vastavalt artiklile 19 lõikele 4.
Ajakava
Jõustumist reguleerib artikkel 23: 20 päeva pärast avaldamist Euroopa Liidu Teatajas. Milline päev see täpselt on, sõltub sellest, millal komisjon lõpliku versiooni vastu võtab. ESPRi artikli 13 lõikes 5 sätestatud põhikohustus kehtib alates 19. juulist 2026 - selleks ajaks peab register olema valmis.
Register hakkab tõenäoliselt täielikult toimima alles 18. veebruaril 2027: sel päeval jõustub ELi patareimääruse 2023/1542 artikkel 77, ning DPP muutub kohustuslikuks tööstus-, elektriauto- ja LMT-akude puhul, mille võimsus ületab 2 kWh. Detailid ja rakendusaktidega seotud lahtised küsimused oleme kirja pannud ESPR-i 2027. aasta ajakavasse. Selleni on jäänud umbes üheksa kuud. Kes planeerib tarnelepinguid, põhiandmete ülekandmist ja sisemisi heakskiitmisi, teab: aega on napilt, mitte küllaga.
Mis jääb veel lahtiseks
Määrus ise kirjeldab organisatsioonilist raamistikku. Puudu on API tehniline spetsifikatsioon - täpne liidese formaat, skeemid ja valideerimisreeglid. Need avaldatakse eeldatavasti eraldi komisjoni suunisena vastavalt artikli 15 lõikele 1, tõenäoliselt veel 2026. aasta jooksul.
Kuni selle ajani on suund aga selge: detsentraliseeritud arhitektuur, verifitseeritud osapooled, kvalifitseeritud allkirjad, unikaalsed registreerimis-ID-d, versioonide ahel, semantiline koostalitlusvõime. Kõik need on kontseptsioonid, mis ei kao enam kuhugi.
Komisjoni ametlik konsultatsioonialgatus on kättesaadav aadressil Have Your Say.