Dana 29. travnja 2026. Europska komisija objavila je nacrt Izvršne uredbe o Registru digitalne putovnice proizvoda (Ares(2026)4424976). Određuje detalje članka 13. stavka 5. ESPR-a ([Uredba 2024/1781])(https://eur-lex.europa.eu/eli/reg/2024/1781/oj)) i utvrđuje kako će registar, kojim upravlja Komisija, funkcionirati s tehničkog i organizacijskog stajališta.
Tekst je označen kao nacrt i još nije usvojen. Međutim, ključni mehanizmi su već jasno vidljivi - i imaju neposredne posljedice za svakog proizvođača koji će od 2027. godine nadalje biti obvezan izdati DPP.
Što je registar - a što nije
Prvo, pojašnjenje: EU registar ne pohranjuje same podatke DPP-a. To je središnja direktorijska usluga koja za svaku registraciju vodi jedinstveni ID, šifru proizvoda, identitet gospodarskog subjekta, hash verzije DPP-a i referencu na sigurnosnu kopiju koju posjeduje pružatelj usluga DPP-a.
Uvodna izjava 3 to naziva “decentraliziranim modelom”: podaci o proizvodu ostaju kod proizvođača ili na njihovoj DPP platformi. Registar je kanonski popis adresa, a ne silo podataka.
Funkcionalno, registar se sastoji od:
- web-sučelja i API-ja za registracije
- platforme za provjeru gospodarskih subjekata
- popis ovlaštenih pružatelja DPP usluga
- semantičko spremište (višjezichno, strukturirano prema DCAT-AP) kao referenca za atribute podataka, strukture modela i uloge
- sustav za evidentiranje s više razina razdoblja čuvanja
Verifikacija prije registracije
Nijedan DPP se ne upisuje u registar sve dok gospodarski subjekt koji ga podnosi nije naveden kao provjereni gospodarski subjekt (čl. 4.). Verifikacija se provodi izravno putem registra i koristi mjere eIDAS-a navedene u Uredbi 910/2014:
- Pravna osoba unutar EU: kvalificirani elektronički pečat ili elektronički certifikat atributa
- Fizička osoba koja posluje kao samostalni poduzetnik u EU: kvalificirani elektronički potpis, eID razine “visoka” ili certifikat atributa
- Operateri izvan EU: kvalificirani potpis ili pečat ili certifikat atributa
Verifikacija je važeća najviše tri godine. Svatko tko ne obnovi svoju provjeru bit će označen kao “neprovjeren” i izgubit će pravo na registraciju novih DPP-ova ili izmjenu postojećih (čl. 4. st. 4.).
Ova provjera je zakonski zahtjev. To je pitanje između proizvođača i Komisije - i ne delegira se čak i ako pružatelj usluga kao što je Transpareo obavlja operativnu registraciju.
Razina detalja: model, serija ili artikl
Članak 8. zahtijeva da se DPP-ovi registriraju na razini detalja koju propisuje relevantno sektorsko zakonodavstvo - model, serija ili artikl. Kada se stvara DPP za artikl, a postoje ID-ovi serije ili modela, oni se moraju uključiti. Isto se odnosi na ID-ove modela u slučaju DPP-ova za serije.
Za proizvođače to znači da interna osnovna podacima moraju imati jasnu hijerarhiju između modela, serije i pojedinačnog proizvoda. Bez te poveznice automatska provjera registracije neće uspjeti.
Verziranje, hash i pohrana
Svaka verzija DPP-a povezana je s izvornim ID-om registracije. Za svaku promjenu, registar zahtijeva hash trenutačne verzije DPP-a - kriptografski provjerljiv, a ne ručno generiran.
Dokaz o registraciji (čl. 9.) je elektronički dokument koji Komisija zapečati kvalificiranim pečatom i vremenskim žigom. Mora sadržavati najmanje sljedeće: ID registracije, kod proizvoda, identitet operatera, datum i hash najnovije verzije. Valja 90 dana; može se ponovno generirati prema potrebi.
Standardni rok čuvanja: 10 godina od registracije, osim ako zakon Unije ili sektorsko zakonodavstvo ne propisuje drugačiji rok (članak 10. stavak 3. Uredbe o provedbi registra DPP-a). Čak ni insolventnost ili likvidacija proizvođača ne oslobađa ih obveze osiguravanja dostupnosti (članak 11. točka e) Uredbe o ESPR-u).
Sustav evidencije
Registar bilježi podatke u tri faze (članak 14.):
- Pristupi i provjere autentičnosti: 6 mjeseci
- Promjene podataka: tijekom trajanja registracije
- Administrativne radnje i razmjena podataka: 5 godina
Nacionalnim se vlastima odobrava pristup u slučaju incidenata, revizija ili nenajavljenih provjera.
Osobni podaci - što Komisija pohranjuje
Članak 18. navodi podatke koje vodi isključivo registar: ime i prezime svakog korisnika, vjerodajnice za prijavu, tokene za autentifikaciju, poštansku adresu, adresu e-pošte. Za fizičke osobe to također uključuje broj putovnice ili osobne iskaznice, eID i porezni broj. Ove podatke pružatelj usluge DPP-a ne može dohvatiti. Komisija je voditelj obrade za ove podatke o korisničkom računu; gospodarski subjekt ostaje voditelj obrade za svoje podatke DPP-a.
Kako Transpareo ispunjava zahtjeve
Većina zahtjeva odnosi se na arhitektonske odluke koje je Transpareo već implementirao u ovom obliku. Konkretno:
Decentralizirani model. Transpareo je platforma za više korisnika s izoliranom bazom podataka za svakog klijenta. Podaci DPP-a nalaze se u bazi podataka gospodarskog subjekta, a ne u središnjem skladištu - upravo ona arhitektura koju zahtijeva Uvodna izjava 3.
Jasno definirana uloga obrađivača podataka. Članci 19. stavak 5. i 20. stavak 3. propisuju da gospodarski subjekt ostaje voditelj obrade čak i ako angažira treću stranu za obavljanje registracije. Transpareo već djeluje kao obrađivač podataka na temelju ugovora o obradi podataka (DPA) - uloge su jasno definirane.
Stalni URL-ovi za sigurnosne kopije za svaki DPP. Svaki Transpareo DPP dostupan je putem trajnog URL-a koji ostaje nepromijenjen čak i pri ažuriranjima verzija. Upravo to članak 8. stavak 6. točka (d) zahtijeva kao “poveznicu na sigurnosnu kopiju koju hostira DPP-SP”.
Granularnost. Transpareov model podataka razlikuje model proizvoda, seriju i pojedinačni proizvod te omogućuje poveznice kroz cijelu hijerarhiju - što je preduvjet za usklađenost s člankom 8. stavcima 3. i 4.
Višejezično semantičko mapiranje. Repozitorij Komisije je višejezičan u skladu s DCAT-AP. Transpareo održava svaku točku podataka na 39 jezika, uključujući svih 24 službena jezika EU-a, pri čemu je prijevod uključen u naknadu za uslugu.
Hash verzije. Deterministička serijalizacija u skladu sa shemom kanonizacije JSON-a (RFC 8785) i SHA-256 hash za svaku verziju DPP-a već su osigurani. Jedino preostalo pitanje je točan format vezanja hashova za registar EU; čim ga Komisija objavi, i mi ćemo ga implementirati.
Uvrštenje na popis pružatelja DPP usluga. Transpareo će podnijeti zahtjev za uvrštenje na službeni popis pružatelja DPP usluga (članak 2. stavak 32. ESPR-a) čim bude objavljen postupak prijema.
Registracija u ime klijenata. Pripremamo uslugu za obavljanje registracije u ime ovlaštenih klijenata - pravna odgovornost klijenta ostaje nepromijenjena u skladu s člankom 19. stavkom 4.
Vremenski raspored
Članak 23. utvrđuje datum stupanja na snagu: 20 dana nakon objave u Službenom listu. Točan datum ovisit će o tome kada Komisija usvoji konačnu verziju. Roditeljski mandat prema članku 13. stavku 5. ESPR-a datiran je s 19. srpnja 2026. - do tada registar mora biti operativan.
Ne očekuje se da će registar u potpunosti postati operativan do 18. veljače 2027.: Na taj datum stupaju na snagu članak 77. Uredbe o baterijama EU 2023/1542, i DPP će postati obvezan za industrijske, električne (EV) i LMT baterije čija energija prelazi 2 kWh. Detalje i preostala pitanja provedbenog zakona iznijeli smo u ESPR vremenskom rasporedu 2027. Do tada je ostalo oko devet mjeseci. Svatko tko planira ugovore s dobavljačima, migraciju glavnih podataka i interne odobrenja zna da je to kratak, a ne velikodušan rok.
Što treba razjasniti
Sama Uredba utvrđuje organizacijski okvir. Ono što nedostaje jest tehnička specifikacija API-ja - točan format sučelja, sheme i pravila provjere. Očekuje se da će to uslijediti kao zasebno smjernice Komisije prema članku 15. stavku 1., vjerojatno kasnije tijekom 2026. godine.
Do tada je, međutim, smjer jasan: decentralizirana arhitektura, provjereni sudionici, kvalificirani potpisi, jedinstveni identifikatori registracije, lančanje verzija, semantička interoperabilnost. To su svi koncepti koji su tu da ostanu.
Službena inicijativa Komisije za savjetovanje dostupna je na Have Your Say.