- aprillil 2026 avaldas Euroopa Komisjon digitaalse tootepassi registri rakendusmääruse eelnõu (Ares(2026)4424976). Selles täpsustatakse ESPR-i artikli 13 lõiget 5 (määrus 2024/1781) ja määrab kindlaks, kuidas komisjoni hallatav register tehniliselt ja organisatsiooniliselt toimima hakkab.
Tekst on märgitud eelnõuna ja seda ei ole veel vastu võetud. Olulised mehhanismid on aga juba selgelt äratuntavad - ## janeil on otsesed tagajärjed igale tootjale, kes peab alates 2027. aastast väljastama DPP-d.
Mis on register - ja mis see ei ole
Esmalt üks selgitus: ELi register ei säilita DPP-andmeid ise. Tegemist on keskse registriteenusega, mis säilitab iga registreeringu kohta unikaalse ID, kaubakoodi, ettevõtja identiteedi, DPP-versiooni hash-väärtuse ja viite DPP-teenusepakkuja juures asuvale varukoopiale.
Põhjendus 3 nimetab seda „detraliseeritud mudeliks”: tooteandmed asuvad endiselt tootja või tema DPP-platvormi juures. Register on kanoniline aadressiloend, mitte andmesilo.
Funktsionaalselt koosneb register järgmisest:
- veebiliides ja API registreerimiseks
- majandussubjektide verifitseerimisplatvorm
- heakskiidetud DPP-teenusepakkujate nimekirjast
- semantilise andmehoidlast (mitmekeelne, DCAT-AP-struktuuriga) andmeatribuutide, mudelistruktuuride ja rollide viitena
- logisüsteemist, millel on astmelised säilitustähtajad
Kinnitamine enne registreerimist
Ühtegi DPP-d ei lisata registrisse enne, kui registreerimistaotluse esitanud ettevõtja on registreeritud kinnitatud ettevõtjana (artikkel 4). Kinnitamine toimub otse registris ja selleks kasutatakse eIDAS-vahendeid määrus 910/2014:
- ELis asuv juriidiline isik: kvalifitseeritud elektrooniline pitser või elektrooniline atribuutide sertifikaat
- Füüsiline isik, kes tegutseb ELis füüsilisest isikust ettevõtjana: kvalifitseeritud elektrooniline allkiri, eID-tase „kõrge” või atribuutide sertifikaat
- ELi-välised ettevõtjad: kvalifitseeritud allkiri või pitser või atribuutide sertifikaat
Kinnituse kehtivusaeg on maksimaalselt kolm aastat. Kui seda ei uuendata, muudetakse staatus „kinnitamata” ja kaotatakse õigus registreerida uusi DPP-sid või muuta olemasolevaid (artikkel 4(4)).
See kinnitamine on õiguslik eeltingimus. See toimub tootja ja komisjoni vahel - ning seda ei delegeerita isegi juhul, kui teenusepakkuja, nagu Transpareo, võtab enda kanda operatiivse registreerimise.
Täpsusaste: mudel, partii või toode
Artikkel 8 nõuab, et DPP-d registreeritaks vastava sektoripõhise õigusakti poolt ette nähtud täpsusastmel - mudel, partii või toode. Kui luuakse toote-DPP ja partii- või mudeli-ID-d on olemas, tuleb need kaasa võtta. Partiipõhiste DPP-de puhul kehtib sama mudeli ID-de suhtes.
Tootjate jaoks tähendab see, et sisemistes põhiandmetes peab olema selge hierarhia mudeli, partii ja üksiktoote vahel. Ilma sellise seoseta ebaõnnestub registreerimise automaatne valideerimine.
Versioonimine, hash ja säilitamine
Iga DPP-versioon seotakse algse registreerimis-ID-ga. Iga muudatuse korral nõuab register praeguse DPP-versiooni hash-väärtust - see peab olema krüptograafiliselt kontrollitav, mitte käsitsi loodav.
Registreerimistõend (artikkel 9) on elektrooniline dokument, millele komisjon lisab kvalifitseeritud digitaalallkirja ja ajamärgise. Sisu peab sisaldama vähemalt järgmist: registreerimis-ID, kaubakood, osapoole identiteet, kuupäev ja viimase versiooni hash-väärtus. Kehtiv 90 päeva, uuendatav piiramatu arv kordi.
Standardne säilitamisaeg: 10 aastat alates registreerimisest, kui liiduõigus või sektoripõhine õigus ei näe ette muud tähtaega (DPP-registri rakendusmääruse artikli 10 lõige 3). Isegi tootja maksejõuetus või likvideerimine ei vabasta kättesaadavuskohustusest (ESPR artikli 11 punkt e).
Logisüsteem
Register logib andmeid kolmel tasandil (artikkel 14):
- Juurdepääsud ja autentimised: 6 kuud
- Andmete muudatused: registreerimise kehtivusaeg
- Haldustoimingud ja andmevahetus: 5 aastat
Riiklikud asutused saavad juurdepääsu juhtumite, auditite või pisteliste kontrollide korral.
Isikuandmed - mida komisjon salvestab
Artiklis 18 on loetletud andmed, mida säilitatakse ainult registris: iga kasutaja ees- ja perekonnanimi, sisselogimise andmed, autentimistokenid, postiaadress, e-post. Füüsiliste isikute puhul lisaks passi- või isikutunnistuse number, eID, maksukood. Need andmed ei kuulu DPP-teenusepakkujale. Komisjon on nende kontode andmete vastutav töötleja, majandussubjekt jääb oma DPP-andmete vastutavaks töötlejaks.
Kuidas Transpareo nõudeid täidab
Enamik nõudeid puudutab arhitektuurilisi otsuseid, mida Transpareo on selles vormis juba teinud. Täpsemalt:
Detsentraliseeritud mudel. Transpareo on mitme kasutajaga platvorm, kus igal kliendil on oma eraldatud andmebaas. DPP-andmed asuvad ettevõtja andmebaasis, mitte keskandmebaasis - just selline arhitektuur, mida eeldab kaalutlus 3.
Töötleja roll on selgelt piiritletud. Artiklid 19(5) ja 20(3) sätestavad, et majandussubjekt jääb vastutavaks töötlejaks ka siis, kui ta volitab registreerimisega kolmandat isikut. Transpareo tegutseb juba täna töötlejana vastavalt töötlemislepingule - rollid on selged.
Stabiilne varukoopia-URL iga DPP kohta. Iga Transpareo DPP on kättesaadav püsiva URL-i kaudu, mis ei muutu isegi versioonimuutuste korral. Just seda nõuab artikli 8 lõike 6 punkt d kui „link to the back-up hosted by a DPP-SP“.
Granulaarsus. Transpareo andmemudel eristab tootemudelit, partiid ja üksiktoodet ning võimaldab seoseid hierarhia ulatuses - see on eeldus artikli 8 lõigete 3 ja 4 täitmiseks.
Mitmekeelne semantiline kaardistamine. Komisjoni andmehoidla on mitmekeelne vastavalt DCAT-AP-le. Transpareo haldab iga andmepunkti 39 keeles, sealhulgas kõigis 24 ELi ametlikus keeles, kusjuures tõlkimine on hinna sisse arvestatud.
Versiooni hash. Deterministlik serialiseerimine vastavalt JSON-i kanoniseerimisskeemile (RFC 8785) ja üks SHA-256-hash iga DPP-versiooni kohta on juba kasutusele võetud. Lahtiseks on jäänud vaid ELi registri täpne hash-pinningu formaat; niipea kui komisjon selle avaldab, lisame ka selle.
DPP-teenusepakkuja nimekirja kandmine. Transpareo taotleb kandmist DPP-teenusepakkujate ametlikku nimekirja (ESPRi artikli 2 punkt 32) niipea, kui vastuvõtumenetlus avaldatakse.
Registreerimine volituse alusel. Me valmistame ette teenust, mille raames võtame enda kanda registreerimise volitatud klientide nimel - see ei mõjuta kliendi õiguslikku vastutust vastavalt artiklile 19 lõikele 4.
Ajakava
Jõustumist reguleerib artikkel 23: 20 päeva pärast avaldamist Euroopa Liidu Teatajas. Milline päev see täpselt on, sõltub sellest, millal komisjon lõpliku versiooni vastu võtab. ESPRi artikli 13 lõikes 5 sätestatud põhikohustus kehtib alates 19. juulist 2026 - selleks ajaks peab register olema valmis.
Eeldatavasti hakkab register märkimisväärselt toimima alles 18. veebruaril 2027: sel päeval jõustub ELi patareimääruse 2023/1542 artikkel 77, ning DPP muutub kohustuslikuks tööstus-, elektriauto- ja LMT-akude puhul, mille võimsus ületab 2 kWh. Detailid ja rakendusaktidega seotud lahtised küsimused oleme kirja pannud ESPR-i 2027. aasta ajakavasse. Selleni on jäänud umbes üheksa kuud. Kes planeerib tarnelepinguid, põhiandmete ülekandmist ja sisemisi heakskiitmisi, teab: aega on napilt, mitte küllaga.
Mis jääb veel lahtiseks
Määrus ise kirjeldab organisatsioonilist raamistikku. Puudu on API tehniline spetsifikatsioon - täpne liidese formaat, skeemid ja valideerimisreeglid. Need avaldatakse eeldatavasti eraldi komisjoni suunisena vastavalt artikli 15 lõikele 1, tõenäoliselt veel 2026. aasta jooksul.
Kuni selle ajani on suund aga selge: detsentraliseeritud arhitektuur, verifitseeritud osapooled, kvalifitseeritud allkirjad, unikaalsed registreerimis-ID-d, versioonide ahel, semantiline koostalitlusvõime. Kõik need on kontseptsioonid, mis ei kao enam kuhugi.
Komisjoni ametlik konsultatsioonialgatus on kättesaadav aadressil Have Your Say.