Recite svoje mišljenje: Što smo napisali Europskoj komisiji u vezi s Uredbom o Registru DPP-a
BlogRegulacija08/05/2026

Recite svoje mišljenje: Što smo napisali Europskoj komisiji u vezi s Uredbom o Registru DPP-a

Četiri prijave na otvorenu konzultaciju: o definiranju obveza pružatelja usluga DPP-a, o dugoročnoj provjerljivosti, o dijeljenju podataka prema članku 17. i o objavljivanju API-ja prije stupanja na snagu.

Dana 29. travnja 2026. Europska komisija objavila je nacrt provedbene uredbe o registru DPP-a⁠ i istovremeno otvorila četverotjedni konzultacijski period. Do 27. svibnja 2026. svaka pojedinačna osoba ili organizacija u EU-u i izvan njega može poslati povratne informacije putem portala “Have Your Say”. Prijedlozi su javni, svaki je potpisan imenom ili nazivom organizacije i službeno će biti uključeni u konačnu verziju uredbe.

Nacrt smo detaljno raspravili ovdje na blogu. Ovaj post posvećujemo pitanju što smo odgovorili Komisiji.

Zašto smo podnijeli četiri odvojena prijedloga

Portal prihvaća 4000 znakova po prijedlogu. Svoje smo sve točke mogli stisnuti u jedan dugi prijedlog. To bi osoblju Komisije - koje će u svibnju prolaziti kroz desetke prijava - bilo teže za čitanje i cijepljenje. Četiri pojedinačne prijave mogu se zasebno pronaći na javnoj listi i na svaku se može odgovoriti - ili je odbiti - pojedinačno, bez utjecaja na ostale točke.

Podnijeli smo sljedeće četiri teme:

1. Definiranje minimalnih zahtjeva za pružatelje DPP usluga

Nacrt uredbe ispravno utvrđuje decentralizirani model: Podaci o DPP-u nalaze se kod gospodarskog operatera ili njihovog pružatelja DPP usluge; registar Komisije samo pohranjuje reference. Predviđa se službeni popis ovlaštenih pružatelja usluga za DPP (članak 2. stavak 32. ESPR-a).

Ono što nedostaje jest definicija onoga što pružatelj usluga zapravo mora činiti kako bi bio uključen na taj popis i ostao na njemu. Pretpostavlja se da će se materijalne obveze utvrditi u delegiranom aktu u skladu s člankom 4. temeljne Uredbe ESPR. Međutim, registar će biti pokrenut prije objave tog delegiranog akta.

Naš prijedlog: Ili utvrditi minimalne kriterije za pružatelje usluga izravno u ovoj provedbenoj uredbi ili odrediti obvezujući rok do kojeg delegirani akt mora biti podnesen. Predloženi minimalni zahtjevi uključuju:

  • Dostupnost javnog DPP sučelja za čitanje od najmanje 99,5 posto mjesečno
  • Ugovor o razini usluge koji specificira koliko brzo nova verzija DPP-a mora biti uključena u sigurnosnu kopiju (prijedlog: 24 sata ili u stvarnom vremenu, gdje je to tehnički moguće)
  • Obvezna kriptografska provjera dolaznih verzija od strane pružatelja usluga
  • Objavljivanje javnih ključeva gospodarskog operatera pod standardiziranom putanjom (RFC 8615, prijedlog /.well-known/dpp-keys/)
  • Definiran postupak prelaska i insolventnosti kako bi se osiguralo da se DPP podaci uredno migriraju na drugog pružatelja usluga u slučaju neuspjeha pružatelja usluga

Te obveze uglednog pružatelja usluga ne koštaju ništa - ionako ih ispunjava - ali sprječavaju utrku u snižavanju standarda među jeftinim pružateljima usluga, što na kraju potkopava popis.

2. Dugoročna provjerljivost registriranih DPP-ova

Članak 9. stavak 4. ograničava dostupnost certifikata o registraciji na 90 kalendarskih dana. U tom razdoblju registar će na zahtjev ponovno generirati certifikat. To je u redu za svakodnevno poslovanje, ali nije u skladu s životnim ciklusom temeljne obveze DPP-a: članak 10. stavak 3. utvrđuje standardni rok čuvanja od 10 godina od registracije, dok sektorsko zakonodavstvo može zahtijevati duža razdoblja.

Tijelo za nadzor tržišta, carinski službenik, recikler ili istraživač 2032. godine trebali bi moći provjeriti je li DPP registriran 2026. godine doista registriran, bez da se moraju oslanjati na to da originalni gospodarski subjekt još uvijek postoji i može zatražiti novi certifikat.

Naša su dva prijedloga isplativa za provedbu:

  • Izričito pojasniti da se bajtovi dokaza, koji su kvalificirani i zapečaćeni od strane Komisije, mogu predmemorirati, arhivirati i redistribuirati od strane gospodarskog subjekta ili pružatelja usluga. Kvalificirani pečat prema članku 35. stavku 2. Uredbe eIDAS nosi pretpostavku cjelovitosti i podrijetla bez obzira na to gdje se bajtovi nalaze.
  • Javna, neautentificirana točka za provjeru u registru koja vraća potpisani odgovor za ID registracije. Trenutno svaka provjera treće strane zahtijeva da gospodarski subjekt poduzme radnju - to nije pravi pristup za dokument o dokazu koji mora opstati i nakon izdavača.

Osim toga, predložili smo definirati determinističko generiranje haša: SHA-256 kao funkciju sažimanja, JSON Canonicalisation Scheme (RFC 8785)⁠ kao serijalizaciju, izvan blokova potpisa. U W3C ekosustavu to je kriptosuit eddsa-jcs-2022, koji Transpareo koristi za izravno potpisivanje. Bez ove specifikacije pinninga, dva pružatelja usluga serijalizirala bi isti DPP u različite hash vrijednosti, a polje s hash vrijednošću u certifikatu o registraciji ne bi bilo reproducibilno.

3. Članak 17. ne smije ograničiti pristup javnim podacima o DPP-u

Članak 17. navodi “masovno preuzimanje podataka” kao moguću zlouporabu registra. To je točno u odnosu na administrativne metapodatke pohranjene unutar samog registra (identitete, dnevnike, tragove revizije) - oni ne spadaju u masovno preuzimanje.

Međutim, javni DPP podaci koje posjeduje proizvođač ili pružatelj usluga upravo su područje koje ESPR nastoji učiniti široko dostupnim. Reciklanti koji izdvajaju podatke o sastavu flota proizvoda; istraživači koji unakrsno analiziraju tvrdnje o održivosti; nadzor tržišta koji provodi usporedne analize - svi su to oblici “masovnog preuzimanja podataka” iz javnog sloja DPP-a i sve su to namjenske upotrebe za koje je Uredba sastavljena.

Naš prijedlog je pojašnjavajuća rečenica u članku 17. koja ograničava opseg podataka za registraciju i, što se tiče DPP podataka, upućuje na relevantne sektorske delegirane akte. U suprotnom, pružatelji usluga suočit će se s izborom pri pokretanju: ili agresivno ograničiti stope pristupa za javni pristup kao mjeru opreza - čime bi se uništilo korisničko iskustvo - ili ga ostaviti otvorenim i riskirati da će kasnije biti klasificirano kao zlouporaba u smislu članka 17.

4. Objavite OpenAPI specifikaciju i sandbox prije pokretanja

Članak 3. stavak b) zahtijeva API za registracije. Članak 8. stavak 5. određuje ga kao jedan od dva kanala za registraciju. Međutim, Uredba ne govori ništa o tome kada se ugovor o API-ju treba objaviti.

Svatko tko automatizira tijekove rada registracije - svaki pružatelj usluga i svaki gospodarski subjekt s velikim katalogom - treba specifikaciju API-ja znatno prije pokretanja kako bi je mogao implementirati i testirati na aktivnom krajnjem točku. Potreba za pronalaženjem specifikacije u tjedan dana prije stupanja Uredbe na snagu prebacuje rizik integracije na sve pružatelje u ekosustavu.

Stoga smo predložili:

  • Objavu OpenAPI 3.1 specifikacije najmanje osam tjedana prije stupanja na snagu uredbe - za datum početka 19. srpnja 2026., to bi značilo do 24. svibnja 2026.
  • Paralelno sandbox okruženje na kojem pružatelji usluga i proizvođači mogu integrirati i testirati automatsku verifikaciju iz članka 8. stavka 6.
  • Politika verzioniranja koja koristi Semver, s razdobljem povlačenja iz upotrebe od najmanje 18 mjeseci

Dodatni prijedlozi za dizajn: idempotentni ključevi za pozive za registraciju, grupna registracija za velike kataloge, asinkrona registracija s pozivima povratne veze (webhook), te mašinski čitljivi kodovi pogrešaka za neuspjehe automatske verifikacije.

Zašto to radimo

Konsultacija nije igra za osvajanje bodova. Ako svaki prijedlog uspije učiniti jednu rečenicu u konačnoj verziji preciznijom, ispunio je svoju svrhu. Komisija doista čita te doprinose - iskustvo iz samog procesa ESPR-a pokazuje da tehnički utemeljeni prijedlozi često ostavljaju trag na konačnim tekstovima.

U svakom slučaju podnijet ćemo zahtjev za uvrštenje na popis pružatelja usluga DPP-a čim bude objavljen postupak za prijem. Stoga je u našem izravnom interesu da pravila po kojima se natječemo budu precizna i da definiraju jednake uvjete za sve. Četiri doprinosa naš su konkretan način da osiguramo da popis ne degenerira u puku marketinšku oznaku.

Kako se uključiti

Rok za dostavu povratnih informacija otvoren je do 27. svibnja 2026. Prijedlozi se mogu podnijeti na bilo kojem od službenih jezika EU-a; potrebno je registrirati se na portalu, a vaš će prijedlog biti javno vidljiv. Svi koji će izdavati ili provjeravati DPP-ove - proizvođači, pružatelji usluga, reciklatori, javna tijela - trebali bi barem pročitati inicijativu na stranici Have Your Say⁠. Čak i kratka, tehnički točna prijava čini razliku.

Naš alat za provjeru Transpareo Time Machine Već zadovoljava zahtjev za provjerom naveden u točki 2 u praksi otvorenog koda: svatko tko želi neovisno provjeriti Transpareo DPP može to učiniti već danas koristeći ovaj alat, bez potrebe za čekanjem na formalno uspostavljenu točku za provjeru u registru Komisije.

Ažuriranja Pravilnika o registru DPP-a

Čim Komisija odgovori na primljene povratne informacije, sažet ćemo ključne točke i poslati ih u vaš sandučić.