- április 29-én az Európai Bizottság közzétette a digitális termékigazolvány-nyilvántartásra vonatkozó végrehajtási rendelet tervezetét (Ares(2026)4424976). A tervezet konkretizálja az ESPR 13. cikkének (5) bekezdését (2024/1781 rendelet) 13. cikkének (5) bekezdését, és meghatározza, hogy a Bizottság által működtetett nyilvántartás műszakilag és szervezeti szempontból hogyan fog működni.
A szöveg tervezetként van megjelölve, és még nem került elfogadásra. A lényeges mechanizmusok azonban már jól felismerhetők - és közvetlen következményekkel járnak minden olyan gyártó számára, akinek 2027-től DPP-t kell kiállítania.
Mi is valójában a nyilvántartás - és mi nem az
Előzetes pontosítás: az uniós nyilvántartás nem tárolja magát a DPP-adatokat. Ez egy központi nyilvántartási szolgáltatás, amely minden regisztrációhoz egy egyedi azonosítót, az árucikket jelölő kódot, a gazdasági szereplő azonosító adatait, a DPP-verzió hash-értékét, valamint a DPP-szolgáltatónál tárolt biztonsági másolatra mutató hivatkozást tárol.
A 3. preambulumbekezdés ezt „decentralizált modellnek” nevezi: a termékadatok továbbra is a gyártónál vagy annak DPP-platformján találhatók. A nyilvántartás a kanonikus címlista, nem pedig adatsiló.
Funkcionálisan a nyilvántartás a következőkből áll:
- egy webes felület és egy API a regisztrációkhoz
- egy hitelesítési platform a gazdasági szereplők számára
- az engedélyezett DPP-szolgáltatók listájából
- egy szemantikai adattárból (többnyelvű, DCAT-AP szerkezetű), amely referenciaul szolgál az adatattribútumok, modellszerkezetek és szerepkörök számára
- egy, fokozatos megőrzési határidőket tartalmazó naplózási rendszerből
Ellenőrzés a regisztráció előtt
A nyilvántartásba egyetlen DPP sem kerül felvételre, amíg a kérelmet benyújtó gazdasági szereplő nem szerepel hitelesített gazdasági szereplőként (4. cikk). Az ellenőrzés közvetlenül a nyilvántartásnál történik, az 910/2014 rendelet szerinti eIDAS-eszközök felhasználásával:
- Jogi személy az EU-ban: minősített elektronikus pecsét vagy elektronikus attribútumigazolás
- Az EU-ban egyéni vállalkozóként működő természetes személy: minősített elektronikus aláírás, „magas” szintű eID vagy attribútumigazolás
- Az EU-n kívüli szereplők: minősített aláírás vagy pecsét, illetve attribútumigazolás
A hitelesítés legfeljebb három évig érvényes. Aki nem újítja meg, az „ellenőrizetlen” státuszba kerül, és elveszíti a jogot új DPP-k regisztrálására vagy a meglévők módosítására (4. cikk (4) bekezdés).
Ez a hitelesítés a jogi előfeltétel. A gyártó és a Bizottság között jön létre - és akkor sem ruházható át másra, ha egy szolgáltató, például a Transpareo, végzi el az operatív regisztrációt.
Részletességi szint: modell, tétel vagy cikk
A 8. cikk előírja, hogy a DPP-ket azon a részletességi szinten kell regisztrálni, amelyet az adott ágazati jogi aktus előír - modell, tétel vagy cikk. Ha cikk-DPP-t hoznak létre, és léteznek tétel- vagy modell-azonosítók, azokat is fel kell tüntetni. A tétel-DPP-k esetében ugyanez vonatkozik a modell-azonosítókra is.
A gyártók számára ez azt jelenti, hogy a belső törzsadatoknak világos hierarchiával kell rendelkezniük a modell, a tétel és az egyes termékek között. E kapcsolat hiányában a regisztráció automatikus érvényesítése sikertelen lesz.
Verziókezelés, hash és megőrzés
Minden DPP-verzió az eredeti regisztrációs azonosítóhoz van kapcsolva. Minden módosításkor a nyilvántartás megköveteli az aktuális DPP-verzió hash-értékét - amely kriptográfiailag ellenőrizhető, és nem hozható létre manuálisan.
A regisztrációs igazolás (9. cikk) egy elektronikus dokumentum, amelyet a Bizottság minősített pecséttel lát el és időbélyeggel ellát. Tartalma legalább: regisztrációs azonosító, árucikk-kód, szereplő azonosítója, a legutóbbi verzió dátuma és hash-értéke. 90 napig érvényes, tetszés szerint újragenerálható.
Alapértelmezett megőrzési idő: a regisztrációtól számított 10 év, amennyiben az uniós jog vagy az ágazati jog más határidőt nem ír elő (a DPP-nyilvántartás végrehajtási rendeletének 10. cikke (3) bekezdése). Még a gyártó fizetésképtelensége vagy felszámolása sem mentesít a rendelkezésre állási kötelezettség alól (ESPR 11. cikk (e) pont).
Naplózási rendszer
A nyilvántartás háromszintű naplózást végez (14. cikk):
- Hozzáférések és hitelesítések: 6 hónap
- Adatmódosítások: a regisztráció időtartama
- Adminisztratív műveletek és adatcsere: 5 év
A nemzeti hatóságok hozzáférést kapnak incidensek, auditok vagy mintavételek esetén.
Személyes adatok - mit tárol a Bizottság
A 18. cikk felsorolja, mely adatok kizárólag a nyilvántartásban találhatók: minden felhasználó kereszt- és vezetékneve, bejelentkezési adatai, hitelesítési tokenek, postai cím, e-mail cím. Természetes személyek esetében emellett útlevél- vagy személyi igazolvány-szám, eID, adóazonosító. Ezek az adatok nem tartoznak a DPP-szolgáltatóra. A Bizottság az adatkezelője ezeknek a fiókadatoknak, míg a gazdasági szereplő továbbra is a saját DPP-adatainak adatkezelője marad.
Hogyan felel meg a Transpareo a követelményeknek
A legtöbb követelmény olyan architektúra-döntéseket érint, amelyeket a Transpareo már jelenleg is így alkalmaz. Részletesen:
Decentralizált modell. A Transpareo egy többbérlős platform, amely ügyfelenként elkülönített adatbázissal rendelkezik. A DPP-adatok a gazdasági szereplő adatbázisában tárolódnak, nem pedig egy központi adattárban - pontosan ez az az architektúra, amelyet a 3. preambulumbekezdés előír.
Az adatfeldolgozói szerep egyértelműen elhatárolva. A 19. cikk (5) bekezdése és a 20. cikk (3) bekezdése előírja, hogy a gazdasági szereplő továbbra is adatkezelő marad, még akkor is, ha a regisztrációt egy harmadik félre bízza. A Transpareo már ma is adatfeldolgozóként működik az adatfeldolgozási megállapodás (AVV) alapján - a szerepek egyértelműek.
Stabil biztonsági mentési URL minden DPP-hez. Minden Transpareo-DPP egy állandó URL-en keresztül érhető el, amely a verzióváltozások ellenére sem változik. Pontosan ezt írja elő a 8. cikk (6) bekezdésének d) pontja, mint „link to the back-up hosted by a DPP-SP” (a DPP-szolgáltató által tárolt biztonsági mentésre mutató hivatkozás).
Részletesség. A Transpareo adatmodellje megkülönbözteti a termékmodellt, a tételt és az egyes termékeket, és lehetővé teszi a hierarchián belüli összekapcsolásokat - ez a 8. cikk (3) és (4) bekezdésének teljesítéséhez szükséges feltétel.
Többnyelvű szemantikai leképezés. A Bizottság adattára a DCAT-AP szerint többnyelvű. A Transpareo minden adatpontot 39 nyelven vezet, beleértve az EU mind a 24 hivatalos nyelvét, és a fordítás a díjcsomag részét képezi.
Verzió-hash. A JSON Canonicalization Scheme (RFC 8785) szerinti determinisztikus sorosítás és egy SHA-256 hash minden DPP-verzióhoz már rendelkezésre áll. Csak az EU-nyilvántartás pontos hash-rögzítési formátuma még nem ismert; amint a Bizottság közzéteszi, azt is beépítjük a rendszerbe.
Felvétel a DPP-szolgáltatók listájára. A Transpareo jelentkezni fog a DPP-szolgáltatók hivatalos listájára (az ESPR 2. cikke 32. pontja) amint a felvételi eljárás közzétételre kerül.
Regisztráció megbízás alapján. Előkészítjük azt a szolgáltatást, amelynek keretében megbízott ügyfelek nevében elvégezzük a regisztrációt - ez nem érinti az ügyfél jogi felelősségét a 19. cikk (4) bekezdése szerint.
Ütemezés
A hatálybalépésről a 23. cikk rendelkezik: a Hivatalos Lapban való közzétételtől számított 20 nap múlva. Hogy ez melyik napra esik, attól függ, mikor fogadja el a Bizottság a végleges változatot. Az ESPR 13. cikke (5) bekezdésében szereplő alapmegbízás 2026. július 19- én lép hatályba - addigra a nyilvántartásnak működőképesnek kell lennie.
A nyilvántartás várhatóan csak 2027. február 18-tól lesz érdemben működőképes: Ezen a napon lép hatályba az EU 2023/1542 számú akkumulátor-rendelet 77. cikke, és a DPP kötelezővé válik az ipari, elektromos jármű- és LMT-akkumulátorok esetében 2 kWh felett. A részleteket és a végrehajtási rendelettel kapcsolatos nyitott kérdéseket az ESPR 2027-es ütemtervében rögzítettük. Addig körülbelül kilenc hónapunk marad. Aki beszállítói szerződéseket, törzsadatok áttelepítését és belső jóváhagyásokat tervez, az tudja: ez szűkös idő, nem bőséges.
Ami még nyitott kérdés
Maga a rendelet a szervezeti keretet írja le. Ami hiányzik, az az API műszaki specifikációja - a pontos interfészformátum, a sémák és az érvényesítési szabályok. Ez várhatóan a 15. cikk (1) bekezdése szerinti külön bizottsági iránymutatás formájában fog megjelenni, feltehetően még 2026 folyamán.
Addig azonban az irány egyértelmű: decentralizált architektúra, hitelesített szereplők, minősített aláírások, egyedi regisztrációs azonosítók, verzióláncolás, szemantikai interoperabilitás. Mindezek olyan koncepciók, amelyek már nem fognak eltűnni.
A Bizottság hivatalos konzultációs kezdeményezése a Have Your Say oldalon érhető el.