Euroopan komissio julkaisi 29. huhtikuuta 2026 luonnoksen digitaalisen tuotepassin rekisteriä koskevasta täytäntöönpanoasetuksesta (Ares(2026)4424976). Siinä täsmennetään ESPR:n 13 artiklan 5 kohtaa (asetus 2024/1781) ja määrittelee, miten komission ylläpitämä rekisteri toimii teknisesti ja organisatorisesti.
Teksti on merkitty luonnokseksi, eikä sitä ole vielä hyväksytty. Keskeiset mekanismit ovat kuitenkin jo selvästi tunnistettavissa - ja niillä on välittömiä seurauksia jokaiselle valmistajalle, jonka on annettava DPP vuodesta 2027 lähtien.
Mikä rekisteri on - ja mikä se ei ole
Ensinnäkin selvennys: EU:n rekisteri ei tallenna itse DPP-tietoja. Se on keskitetty hakemistopalvelu, joka säilyttää jokaisesta rekisteröinnistä yksilöllisen tunnisteen, tavarakoodin, talouden toimijan tunnistetiedot, DPP-version hajautusarvon sekä viittauksen DPP-palveluntarjoajan hallussa olevaan varmuuskopioon.
Perustelukohdassa 3 tätä kutsutaan ”hajautetuksi malliksi”: tuotetiedot säilyvät edelleen valmistajalla tai tämän DPP-alustalla. Rekisteri on virallinen osoiteluettelo, ei tietosilo.
Toiminnallisesti rekisteri koostuu seuraavista osista:
- verkkokäyttöliittymä ja rekisteröintejä varten tarkoitettu sovellusrajapinta (API)
- taloudellisten toimijoiden varmennusalusta
- luettelosta hyväksytyistä DPP-palveluntarjoajista
- semanttisesta tietovarastosta (monikielinen, DCAT-AP-rakenteinen), joka toimii viitteenä data-attribuuteille, mallirakenteille ja rooleille
- lokijärjestelmästä, jossa on porrastetut säilytysajat
Varmennus ennen rekisteröitymistä
Rekisteriin ei luoda DPP:tä ennen kuin rekisteröinnin tekevä talouden toimija on merkitty vahvistetuksi talouden toimijaksi (4 artikla). Varmennus tapahtuu suoraan rekisterissä, ja siinä hyödynnetään eIDAS-asetuksen 910/2014 mukaisia keinoja:
- Oikeushenkilö EU:ssa: pätevä sähköinen sinetti tai sähköinen attribuuttitodistus
- Luonnollinen henkilö yksityisyrittäjänä EU:ssa: pätevä sähköinen allekirjoitus, eID-taso ”korkea” tai attribuuttitodistus
- Toimijat EU:n ulkopuolella: pätevä allekirjoitus tai sinetti tai attribuuttitodistus
Varmennus on voimassa enintään kolme vuotta. Jos todistusta ei uusita, tila muuttuu ”todentamattomaksi” ja rekisteröijä menettää oikeuden rekisteröidä uusia DPP:itä tai muuttaa olemassa olevia (4 artiklan 4 kohta).
Tämä varmentaminen on lakisääteinen edellytys. Se on valmistajan ja komission välinen asia - eikä sitä delegoida edes silloin, kun palveluntarjoaja, kuten Transpareo, huolehtii rekisteröinnin operatiivisesta toteutuksesta.
Tarkkuustaso: malli, erä tai tuote
8 artiklassa vaaditaan, että DPP:t rekisteröidään sen tarkkuustason mukaisesti, jonka kyseinen alakohtainen säädös edellyttää - malli, erä tai tuote. Kun tuote-DPP luodaan ja erä- tai malli-tunnisteet ovat olemassa, ne on sisällytettävä rekisteröintiin. Erä-DPP:iden osalta sama pätee mallitunnisteisiin.
Valmistajille tämä tarkoittaa, että sisäisissä perustiedoissa on oltava selkeä hierarkia mallin, erän ja yksittäisen tuotteen välillä. Ilman tätä linkitystä rekisteröinnin automaattinen validointi epäonnistuu.
Versiointi, hajautusarvo ja säilytys
Jokainen DPP-versio linkitetään alkuperäiseen rekisteröintitunnukseen. Jokaisen muutoksen yhteydessä rekisteri vaatii nykyisen DPP-version hajautusarvon - kryptografisesti todennettavissa olevan, jota ei voi luoda manuaalisesti.
Rekisteröintitodistus (9 artikla) on sähköinen asiakirja, jonka komissio varmentaa ja varustaa aikaleimalla. Sen on sisällettävä vähintään seuraavat tiedot: rekisteröintitunnus, tavarakoodi, toimijan tunnistetiedot, päivämäärä sekä viimeisimmän version hajautusarvo. Voimassa 90 päivää, voidaan luoda uudelleen milloin tahansa.
Vakio säilytysaika: 10 vuotta rekisteröinnistä, ellei unionin lainsäädännössä tai alakohtaisessa lainsäädännössä ole määrätty toista määräaikaa (DPP-rekisterin täytäntöönpanoasetuksen 10 artiklan 3 kohta). Myöskään valmistajan konkurssi tai selvitystila ei vapauta saatavuusvelvollisuudesta (ESPR:n 11 artiklan e kohta).
Lokijärjestelmä
Rekisteri kirjaa tapahtumat kolmivaiheisesti (14 artikla):
- Käynnit ja tunnistautumiset: 6 kuukautta
- Tietojen muutokset: rekisteröinnin kesto
- Hallinnolliset toimet ja tietojen vaihto: 5 vuotta
Kansalliset viranomaiset saavat pääsyn ## tietoihintapaturmatapausten, auditointien tai pistokokeiden yhteydessä.
Henkilötiedot - mitä komissio tallentaa
18 artiklassa luetellaan, mitkä tiedot säilytetään yksinomaan rekisterissä: jokaisen käyttäjän etu- ja sukunimi, kirjautumistiedot, todennustunnukset, postiosoite, sähköpostiosoite. Luonnollisten henkilöiden osalta lisäksi passi- tai henkilötunnus, eID, verotunnus. Nämä tiedot eivät kuulu DPP-palveluntarjoajalle. Komissio on näiden tilitietojen rekisterinpitäjä, kun taas talouden toimija pysyy omien DPP-tietojensa rekisterinpitäjänä.
Miten Transpareo täyttää vaatimukset
Suurin osa vaatimuksista koskee arkkitehtuuripäätöksiä, jotka Transpareo on jo tehnyt tässä muodossa. Tarkemmin sanottuna:
Hajautettu malli. Transpareo on monikäyttäjäalusta, jossa jokaisella asiakkaalla on erillinen tietokanta. DPP-tiedot sijaitsevat taloudellisen toimijan omassa tietokannassa, eivät keskitetyssä tietovarastossa - juuri sellainen arkkitehtuuri, jota perustelukappale 3 edellyttää.
Tietojenkäsittelijän rooli on selkeästi rajattu. Artiklojen 19(5) ja 20(3) mukaan taloudellinen toimija pysyy rekisterinpitäjänä, vaikka se valtuuttaisikin kolmannen osapuolen rekisteröintiin. Transpareo toimii jo nyt tietojenkäsittelijänä AVV-sopimuksen nojalla - roolit ovat selkeät.
Vakaa varmuuskopio-URL jokaiselle DPP:lle. Jokainen Transpareon DPP on saavutettavissa pysyvän URL-osoitteen kautta, joka ei muutu versioiden vaihtuessakaan. Juuri tätä edellyttää 8 artiklan 6 kohdan d alakohta ”linkki DPP-palveluntarjoajan ylläpitämään varmuuskopioon”.
Tarkkuus. Transpareon tietomalli erottaa toisistaan tuotemallin, erän ja yksittäisen tuotteen ja mahdollistaa linkitykset hierarkian eri tasoilla - mikä on edellytys 8 artiklan 3 ja 4 kohdan vaatimusten täyttämiselle.
Monikielinen semanttinen kartoitus. Komission tietovarasto on monikielinen DCAT-AP-standardin mukaisesti. Transpareo ylläpitää jokaista datapistettä 39 kielellä, mukaan lukien kaikki 24 EU:n virallista kieltä, ja käännös sisältyy hintaan.
Versiohash. Deterministinen sarjoitus JSON Canonicalization Scheme -standardin (RFC 8785) mukaisesti ja yksi SHA-256-hash kutakin DPP-versiota kohti on jo toimitettu. Ainoastaan EU-rekisterin tarkka hash-pinnausmuoto on vielä avoinna; heti kun komissio julkaisee sen, otamme sen myös käyttöön.
Listaus DPP-palveluntarjoajana. Transpareo hakee paikkaa viralliselle DPP-palveluntarjoajien luettelolle (ESPR:n 2 artiklan 32 kohta) heti, kun hakumenettely julkaistaan.
Rekisteröinti asiakkaan puolesta. Valmistelemme palvelua, jonka avulla voimme hoitaa rekisteröinnin valtuutettujen asiakkaiden puolesta - tämä ei vaikuta asiakkaan oikeudelliseen vastuuseen 19 artiklan 4 kohdan mukaisesti.
Aikataulu
Voimaantuloa säännellään 23 artiklassa: 20 päivää virallisessa lehdessä julkaisemisen jälkeen. Mikä päivä se on, riippuu siitä, milloin komissio hyväksyy lopullisen version. ESPR:n 13 artiklan 5 kohdassa mainittu emomandaatti on päivätty 19. heinäkuuta 2026 - rekisterin on oltava valmiina siihen mennessä.
Rekisterin odotetaan alkavan toimia merkittävällä tavalla vasta 18. helmikuuta 2027: Tänä päivänä astuu voimaan EU:n akkuasetuksen 2023/1542 77 artikla, ja DPP tulee pakolliseksi yli 2 kWh:n teollisuus-, sähköauto- ja LMT-akuille. Olemme kirjanneet yksityiskohdat ja täytäntöönpanosäädöksiin liittyvät avoimet kysymykset ESPR-aikatauluun 2027. Siihen on jäljellä noin yhdeksän kuukautta. Ne, jotka suunnittelevat toimittajasopimuksia, perustietojen siirtoa ja sisäisiä hyväksyntöjä, tietävät: aikaa on niukasti, ei runsaasti.
Mitä on vielä avoinna
Asetuksessa itsessään kuvataan organisatorinen kehys. Puuttuu vielä API:n tekninen erittely - tarkka rajapintamuoto, skeemat ja validointisäännöt. Nämä julkaistaan todennäköisesti erillisenä komission ohjeena 15 artiklan 1 kohdan mukaisesti, luultavasti vielä vuoden 2026 aikana.
Siihen asti suuntaviivat ovat kuitenkin selkeät: hajautettu arkkitehtuuri, varmennetut toimijat, pätevät allekirjoitukset, yksilölliset rekisteröintitunnukset, versioketjut ja semanttinen yhteentoimivuus. Nämä ovat kaikki käsitteitä, jotka ovat tulleet jäädäkseen.
Komission virallinen kuulemisaloite on saatavilla osoitteessa Have Your Say.