Have Your Say: Mitä olemme kirjoittaneet EU:n komissiolle DPP-rekisteriasetuksesta
BlogiSääntely08/05/2026

Have Your Say: Mitä olemme kirjoittaneet EU:n komissiolle DPP-rekisteriasetuksesta

Neljä kannanottoa avoimeen kuulemiseen: DPP-palveluntarjoajien velvollisuuksien määrittelystä, pitkäaikaisesta todennettavuudesta, 17 artiklan mukaisesta tietojen luovuttamisesta sekä API:n julkaisemisesta ennen säännösten voimaantuloa.

  1. huhtikuuta 2026 Euroopan komissio julkaisi luonnoksen DPP-rekisteriä koskevaksi täytäntöönpanoasetukseksi⁠ ja avasi samanaikaisesti neljän viikon mittaisen palautusjakson. 27. toukokuuta 2026 asti kuka tahansa henkilö ja organisaatio EU:ssa ja sen ulkopuolella voi antaa palautetta ”Have Your Say” -portaalin kautta. Lausunnot ovat julkisia, jokainen on allekirjoitettu nimellä tai organisaation nimellä, ja ne otetaan virallisesti huomioon asetuksen lopullisessa versiossa.

Olemme käsitelleet luonnosta yksityiskohtaisesti tässä blogissa. Tämä kirjoitus keskittyy siihen, mitä olemme vastanneet komissiolle.

Miksi teimme neljä erillistä kannanottoa

Portaali hyväksyy 4 000 merkkiä per kannanotto. Olisimme voineet tiivistää kaikki kohdat yhteen pitkään kannanottoon. Se olisi ollut hankalampaa lukea ja vaikeampaa siteerata komission työntekijöille, jotka käyvät toukokuussa läpi kymmeniä kannanottoja. Neljä erillistä kannanottoa ovat julkisesti luettelossa erikseen löydettävissä, ja jokaiseen voidaan vastata - tai hylätä - erikseen vaikuttamatta muihin kohtiin.

Olemme toimittaneet seuraavat neljä aihetta:

1. DPP-palveluntarjoajia koskevien vähimmäisvaatimusten määritteleminen

Asetusehdotuksessa määritellään hajautettu malli oikein: DPP-tiedot sijaitsevat talouden toimijan tai tämän DPP-palveluntarjoajan hallussa, ja komission rekisteri tallentaa vain viitteet. DPP-palveluntarjoajille (ESPR:n 2 artiklan 32 kohta) on tarkoitus laatia virallinen luettelo hyväksytyistä palveluntarjoajista.

Puuttuu kuitenkin määritelmä siitä, mitä palveluntarjoajan on tosiasiassa suoritettava päästäkseen luetteloon ja pysyäkseen siinä. Oletettavasti olennaiset velvoitteet määritellään ESPR-perusasetuksen 4 artiklan mukaisessa delegoidussa säädöksessä. Rekisteri otetaan kuitenkin käyttöön ennen kuin tämä säädös on julkaistu.

Ehdotuksemme: joko vahvistetaan palveluntarjoajia koskevat vähimmäisvaatimukset suoraan tässä täytäntöönpanoasetuksessa tai määritetään sitova määräaika, johon mennessä delegoitu säädös on toimitettava. Ehdotettuihin vähimmäisvaatimuksiin kuuluvat:

  • DPP:n julkisen luku-rajapinnan käytettävyys vähintään 99,5 prosenttia kuukaudessa
  • Palvelutasosopimus siitä, kuinka nopeasti uuden DPP-version on saavuttava varmuuskopioon (ehdotus: 24 tuntia tai reaaliaikaisesti, mikäli teknisesti mahdollista)
  • Palveluntarjoajan velvollisuus suorittaa saapuvien versioiden kryptografinen varmennus
  • Taloudellisen toimijan julkisten avainten julkaiseminen standardoidussa polussa (RFC 8615, ehdotus /.well-known/dpp-keys/)
  • Määritelty vaihto- ja konkurssiprosessi, jotta DPP-tiedot siirtyvät järjestelmällisesti toiselle palveluntarjoajalle, jos palveluntarjoaja lakkasi toimimasta

Nämä velvoitteet eivät aiheuta kustannuksia vakavalle palveluntarjoajalle - se täyttää ne joka tapauksessa -, mutta ne estävät halpapalveluntarjoajien välisen alaspäin suuntautuvan kilpailun, joka lopulta heikentää luetteloa.

2. Rekisteröityjen DPP:iden pitkäaikainen todennettavuus

9 artiklan 4 kohdassa rekisteröintitodistuksen saatavuus on rajattu 90 kalenteripäivään. Tämän määräajan kuluessa rekisteri luo todistuksen uudelleen pyynnöstä. Tämä sopii juoksevaan toimintaan, mutta ei vastaa taustalla olevan DPP-velvoitteen elinkaarta: 10 artiklan 3 kohdassa asetetaan vakiovarastointiaikaksi 10 vuotta rekisteröinnistä lukien, ja alakohtaisessa lainsäädännössä voidaan vaatia pidempää aikaa.

Markkinavalvontaviranomaisen, tullivirkailijan, kierrättäjän tai tutkijan tulisi vuonna 2032 pystyä tarkistamaan, että vuonna 2026 rekisteröity DPP oli todella rekisteröity, ilman että heidän tarvitsee luottaa siihen, että alkuperäinen talouden toimija on edelleen olemassa ja voi pyytää uuden todistuksen.

Kaksi ehdotustamme ovat edullisia toteuttaa:

  • Selvitetään nimenomaisesti, että komission pätevästi sinetöimät todistusbittit saa tallettaa väliaikaisesti, arkistoida ja jakaa edelleen talouden toimijan tai palveluntarjoajan toimesta. eIDAS-asetuksen 35 artiklan 2 kohdan mukainen pätevä varmenne takaa eheyden ja alkuperän olettaman riippumatta siitä, missä tavut sijaitsevat.
  • Luodaan rekisteriin julkinen, ei-todennettu varmennuspäätelaite, joka toimittaa allekirjoitetun vastauksen rekisteröintitunnuksen perusteella. Nykyään jokainen kolmannen osapuolen suorittama tarkastus edellyttää, että talouden toimija ryhtyy aktiivisiin toimenpiteisiin - tämä on väärä malli todistusasiakirjalle, jonka on säilyttävä myöntäjän kuoleman jälkeenkin.

Lisäksi olemme ehdottaneet, että hajautusfunktio määritetään deterministisesti: SHA-256 hash-funktiona, JSON Canonicalization Scheme (RFC 8785)⁠ serialisoinniksi, allekirjoituslohkon ulkopuolella. W3C-ekosysteemissä tämä on salauspaketti eddsa-jcs-2022, jolla Transpareo allekirjoittaa suoraan. Ilman tätä kiinnitysmäärittelyä kaksi palveluntarjoajaa serialisoisi saman DPP:n eri hajautuksiksi, eikä rekisteröintitodistuksen hajautuskenttää voitaisi toistaa.

3. 17 artikla ei saa rajoittaa pääsyä julkisiin DPP-tietoihin

17 artiklassa mainitaan ”massiivinen tietojen lataaminen” mahdollisena rekisterin väärinkäyttönä. Tämä pätee rekisterissä itsessään oleviin hallinnollisiin metatietoihin (tunnukset, lokit, tarkastusjäljet) - niitä ei tule ladata massoittain.

Valmistajan tai palveluntarjoajan hallussa olevat julkiset DPP-tiedot ovat kuitenkin juuri se alue, jonka ESPR haluaa tuoda laajasti saataville. Kierrättäjät, jotka keräävät koostumustietoja tuotevalikoimista; tutkimus, joka analysoi kestävän kehityksen väitteitä poikittain; markkinavalvonta, joka suorittaa vertailuanalyysejä - nämä ovat kaikki ”massiivisen datan lataamisen” muotoja julkisen DPP-tason suhteen, ja ne ovat kaikki tarkoituksenmukaisia käyttötarkoituksia, joita varten asetus on laadittu.

Ehdotuksemme on selventävä lause 17 artiklaan, joka rajoittaa soveltamisalan rekisteritietoihin ja viittaa DPP-tietojen osalta kyseisiin alakohtaisiin delegoituihin säädöksiin. Muussa tapauksessa palveluntarjoajat joutuvat käynnistysvaiheessa valinnan eteen: joko rajoittaa julkista pääsyä turvallisuussyistä aggressiivisesti pyyntörajoituksilla - ja pilata kuluttajakokemuksen - tai jättää se avoimeksi ja ottaa riskin, että se luokitellaan myöhemmin 17 artiklan mukaiseksi väärinkäytökseksi.

4. Julkaistaan OpenAPI-spesifikaatio ja testausympäristö ennen käynnistystä

3 artiklan b kohdassa vaaditaan rekisteröintejä varten API:ta. 8 artiklan 5 kohdassa se määritellään yhdeksi kahdesta rekisteröintikanavasta. Asetuksessa ei kuitenkaan mainita, milloin API-sopimus julkaistaan.

Jokainen, joka automatisoi rekisteröintiprosessit - jokainen palveluntarjoaja ja jokainen talouden toimija, jolla on laaja tuotevalikoima - tarvitsee API-spesifikaation selvästi ennen käynnistystä, jotta se voidaan toteuttaa ja testata todellista päätepistettä vastaan. Jos spesifikaatio löytyy vasta voimaantuloviikolla, integraatioriski siirtyy kaikille ekosysteemin palveluntarjoajille.

Olemme siksi ehdottaneet seuraavaa:

  • OpenAPI 3.1 -spesifikaation julkaiseminen vähintään kahdeksan viikkoa ennen voimaantuloa - eli 19. heinäkuuta 2026 alkavan voimaantulon osalta viimeistään 24. toukokuuta 2026
  • Luodaan rinnakkain sandbox-ympäristö, jossa palveluntarjoajat ja valmistajat voivat integroida järjestelmänsä ja testata 8 artiklan 6 kohdan mukaista automaattista varmennusta
  • Otetaan käyttöön Semver-versiointikäytäntö, jossa irtisanomisaika on vähintään 18 kuukautta

Lisäsuunnitteluehdotuksia: idempotenssiavaimet rekisteröintikutsuissa, erärekisteröinti suurille luetteloille, asynkroninen rekisteröinti webhook-takaisinsoitolla sekä koneellisesti luettavat virhekoodit automaattisen varmennuksen virhetapauksia varten.

Miksi teemme tämän

Kuuleminen ei ole pisteidenkeruupeli. Jos jokainen kommentti onnistuu tarkentamaan yhtä ainoaa lausetta lopullisessa versiossa, se on täyttänyt tarkoituksensa. Komissio lukee nämä kommentit todellakin - ESPR-prosessista saadut kokemukset osoittavat, että teknisesti perustellut kommentit näkyvät usein lopullisissa teksteissä.

Hakeudumme joka tapauksessa DPP-palveluntarjoajien luetteloon heti, kun hakumenettely julkaistaan. On siis suoraan meidän etumme, että säännöt, joiden mukaan kilpailemme, ovat tarkat ja määrittelevät tasapuoliset toimintaedellytykset. Nämä neljä kommenttia ovat konkreettinen tapamme varmistaa, ettei luetteloa alenneta pelkäksi markkinointitunnukseksi.

Kuka haluaa osallistua

Palautteen antamisaika kestää 27. toukokuuta 2026 asti. Lausuntoja voi jättää millä tahansa EU:n virallisella kielellä, niiden jättämiseen vaaditaan rekisteröityminen portaaliin ja ne julkaistaan julkisesti. Niiden, jotka tulevat myöntämään tai varmentamaan DPP:itä - valmistajat, palveluntarjoajat, kierrättäjät, viranomaiset -, tulisi lukea aloitteesta ainakin kerran Have Your Say⁠. Myös lyhyt, asiallisesti tarkka kommentti on arvokas.

Vahvistustyökalumme Transpareo Time Machine ratkaisee muuten jo avoimen lähdekoodin käytännössä kohdassa 2 mainitun varmennusvaatimuksen: kuka tahansa, joka haluaa tarkistaa Transpareo-DPP:n riippumattomasti, voi tehdä sen jo nyt tämän työkalun avulla ilman, että tarvitsee odottaa virallisesti vahvistettua varmennuspistettä komission rekisterissä.

DPP-rekisteriasetuksen päivitykset

Heti kun komissio on vastannut saapuisiin palautteisiin, teemme yhteenvedon tärkeimmistä asioista ja lähetämme sen sähköpostiosoitteeseesi.