Izteiciet savu viedokli: Ko mēs rakstījām ES Komisijai par DPP reģistra regulu
BlogsRegulējums08/05/2026

Izteiciet savu viedokli: Ko mēs rakstījām ES Komisijai par DPP reģistra regulu

Četri ieteikumi atklātajā apspriešanā: par DPP pakalpojumu sniedzēju pienākumu definīciju, par ilgtermiņa pārbaudāmību, par datu nodošanu saskaņā ar 17. pantu un par API publicēšanu pirms stāšanās spēkā.

  1. gada 29. aprīlī Eiropas Komisija publicēja DPP reģistra īstenošanas regulas projektu⁠ un vienlaikus atvēra četru nedēļu ilgu atsauksmju iesniegšanas periodu. Līdz 2026. gada 27. maijam ikviena persona un organizācija ES un ārpus tās var iesniegt atsauksmes, izmantojot portālu «Have Your Say». Atsauksmes ir publiski pieejamas, katra ir parakstīta ar vārdu vai organizācijas nosaukumu, un tās tiek oficiāli iekļautas regulas galīgajā redakcijā.

Mēs esam šo projektu sīki apsprieduši šeit, blogā. Šo ierakstu veltām jautājumam, ko mēs atbildējām Komisijai.

Kāpēc mēs iesniedzām četrus atsevišķus viedokļus

Portāls pieņem vienu ierakstu, kas sastāv no 4 000 rakstzīmēm. Mēs varējām visus punktus saspiest vienā garā ierakstā. Tas būtu bijis neērti lasāms un grūtāk citējams Komisijas darbiniekiem, kuri maijā izskatīs desmitiem ierakstu. Četri atsevišķi ieraksti publiskajā sarakstā ir viegli atrodami, un uz katru no tiem var atbildēt - vai noraidīt - atsevišķi, neietekmējot pārējos punktus.

Mēs iesniedzām šādus četrus jautājumus:

1. Noteikt minimālās prasības DPP pakalpojumu sniedzējiem

Regulas projektā ir pareizi definēts decentralizētais modelis: DPP dati atrodas pie ekonomikas dalībnieka vai pie viņa DPP pakalpojumu sniedzēja, bet Komisijas reģistrs glabā tikai atsauces. DPP pakalpojumu sniedzējiem (ESPR 2. panta 32. punkts) ir paredzēts oficiāls atļauto sniedzēju saraksts.

Trūkst noteikuma par to, ko pakalpojumu sniedzējam faktiski ir jādara, lai tiktu iekļauts šajā sarakstā un tajā paliktu. Iespējams, būtiskās saistības tiks noteiktas deleģētajā aktā saskaņā ar ESPR pamatregulas 4. pantu. Tomēr reģistrs sāks darboties, pirms šis tiesību akts tiks publicēts.

Mūsu priekšlikums: vai nu tieši šajā īstenošanas regulā noteikt minimālās prasības pakalpojumu sniedzējiem, vai arī norādīt saistošu termiņu, līdz kuram jāiesniedz deleģētais tiesību akts. Starp ierosinātajām minimālajām prasībām ietilpst:

  • publiskās DPP lasīšanas saskarnes pieejamība vismaz 99,5 procentu apmērā mēnesī
  • pakalpojuma līmeņa līgums, kas nosaka, cik ātri jaunajai DPP versijai jānonāk drošības kopijā (priekšlikums: 24 stundu laikā vai reāllaikā, ja tas ir tehniski iespējams)
  • obligāta ienākošo versiju kriptogrāfiskā pārbaude, ko veic pakalpojuma sniedzējs
  • ekonomikas dalībnieka publisko atslēgu publicēšana saskaņā ar standartizētu ceļu (RFC 8615, priekšlikums /.well-known/dpp-keys/)
  • Noteikta pārejas un maksātnespējas procedūra, lai DPP dati pakalpojuma sniedzēja darbības pārtraukšanas gadījumā tiktu sistemātiski pārnesti uz citu pakalpojuma sniedzēju

Šīs saistības nopietnam pakalpojumu sniedzējam neko nemaksā - viņš tās tāpat pilda - , taču tās novērš „cenu sacensību” starp lētiem pakalpojumu sniedzējiem, kas galu galā grauj saraksta uzticamību.

2. Reģistrēto DPP ilgtermiņa pārbaudāmība

  1. panta 4. punkts nosaka, ka reģistrācijas apliecinājuma pieejamības termiņš ir 90 kalendārās dienas. Šajā termiņā reģistrs pēc pieprasījuma atjauno apliecinājumu. Tas ir pieņemami ikdienas darbībai, taču neatbilst DPP pienākuma dzīves ciklam: 10. panta 3. punktā standarta glabāšanas termiņš ir noteikts 10 gadi no reģistrācijas brīža, savukārt nozares tiesību akti var paredzēt ilgāku termiņu.

Tirgus uzraudzības iestādei, muitas ierēdnim, pārstrādātājam vai pētniekam 2032. gadā vajadzētu būt iespējai pārbaudīt, vai 2026. gadā reģistrētais DPP patiešām bija reģistrēts, nepaļaujoties uz to, ka sākotnējais tirgus dalībnieks joprojām pastāv un var pieprasīt jaunu apliecinājumu.

Mūsu divi priekšlikumi ir viegli īstenojami:

  • Nepārprotami precizēt, ka Komisijas kvalificēti apzīmogotie apliecinājuma baiti drīkst tikt pagaidu uzglabāti, arhivēti un tālāk izplatīti gan no saimnieciskās darbības veicēja, gan no pakalpojuma sniedzēja puses. Kvalificētais zīmogs saskaņā ar eIDAS regulas 35. panta 2. punktu garantē integritātes un izcelsmes prezumpciju neatkarīgi no tā, kur atrodas šie baiti.
  • Izveidot reģistrā publisku, neautentificētu verifikācijas galapunktu, kas sniedz parakstītu atbildi, norādot reģistrācijas identifikatoru. Šobrīd jebkura trešās puses pārbaude prasa, lai uzņēmējs rīkotos aktīvi - tas nav pareizais risinājums apliecinošam dokumentam, kam jāpārdzīvo tā izdevējs.

Turklāt mēs esam ierosinājuši deterministiski noteikt haša veidošanu: SHA-256 kā haša funkciju, JSON kanonizācijas shēmu (RFC 8785)⁠ kā serializāciju ārpus paraksta bloka. W3C ekosistēmā tā ir kriptosuite eddsa-jcs-2022, ar kuru Transpareo tiek parakstīts tieši. Bez šīs „pinning” noteikšanas divi pakalpojumu sniedzēji vienu un to pašu DPP serializētu ar atšķirīgiem hašiem, un reģistrācijas apliecinājuma haša lauks nebūtu reproducējams.

3. 17. pants nedrīkst ierobežot piekļuvi publiskajiem DPP datiem

  1. pants min „masveida datu lejupielādi” kā iespējamu reģistra ļaunprātīgu izmantošanu. Attiecībā uz reģistrā pašā esošajiem administratīvajiem metadatiem (identitātes, žurnāli, revīzijas izsekojamība) tas ir pareizi - tie nav paredzēti masveida lejupielādēm.

Taču publiskie DPP dati pie ražotāja vai pakalpojumu sniedzēja ir tieši tā joma, kuru ESPR vēlas padarīt plaši pieejamu. Pārstrādātāji, kas apkopo datus par produktu klāstiem; pētniecība, kas šķērsgriezumā izvērtē ilgtspējas apgalvojumus; tirgus uzraudzības iestādes, kas veic salīdzinošās analīzes - tas viss ir „masveida datu lejupielādes” veidi attiecībā uz publisko DPP slāni, un visi šie ir mērķtiecīgi izmantošanas veidi, kuru dēļ tika izstrādāta šī regula.

Mūsu priekšlikums ir iekļaut 17. pantā precizējošu teikumu, kas piemērošanas jomu ierobežo ar reģistra datiem un attiecībā uz DPP datiem norāda uz attiecīgajiem nozarei specifiskajiem deleģētajiem tiesību aktiem. Pretējā gadījumā pakalpojumu sniedzējiem sākumā nāksies izdarīt izvēli: vai nu drošības labad agresīvi ierobežot publiskās piekļuves limitu - tādējādi sabojājot patērētāju pieredzi - , vai arī atstāt to atvērtu un riskēt, ka vēlāk to klasificēs kā ļaunprātīgu izmantošanu 17. panta izpratnē.

4. Pirms darbības uzsākšanas publicēt OpenAPI specifikāciju un testēšanas vidi

  1. panta b) apakšpunkts paredz API reģistrācijām. Savukārt 8. panta 5. punkts to nosaka kā vienu no diviem reģistrācijas kanāliem. Tomēr regulā nav norādīts, kad API līgums ir jāpublicē.

Ikvienam, kas automatizē reģistrācijas darba plūsmas - ikvienam pakalpojumu sniedzējam un ikvienam tirgus dalībniekam ar plašāku katalogu - , API specifikācija ir nepieciešama krietni pirms palaišanas, lai to ieviestu un pārbaudītu, izmantojot reālu galapunktu. Ja specifikācija tiek publicēta nedēļu pirms stāšanās spēkā, integrācijas risks tiek novirzīts uz visiem ekosistēmas pakalpojumu sniedzējiem.

Tāpēc mēs esam ierosinājuši:

  • publicēt OpenAPI 3.1 specifikāciju vismaz astoņas nedēļas pirms stāšanās spēkā - tātad, ja sākums ir 2026. gada 19. jūlijā, tad līdz 2026. gada 24. maijam
  • paralēli izveidot „sandbox” vidi, kurā pakalpojumu sniedzēji un ražotāji varētu veikt integrāciju un pārbaudīt 8. panta 6. punkta automātisko verifikāciju
  • ieviest versiju pārvaldības politiku saskaņā ar Semver, paredzot vismaz 18 mēnešu paziņošanas termiņu

Papildu dizaina ieteikumi: idempotences atslēgas reģistrācijas izsaukumos, partiju reģistrācija lieliem katalogiem, asinhronā reģistrācija ar Webhook atgriezenisko izsaukumu un mašīnlasāmi kļūdu kodi automātiskās verifikācijas kļūdu gadījumiem.

Kāpēc mēs to darām

Konsultācija nav spēle, kurā vāc punktus. Ja katrs ieteikums palīdz padarīt vienu teikumu galīgajā redakcijā precīzāku, tas ir sasniedzis savu mērķi. Komisija šos ierakstus patiešām izlasa - pieredze, kas gūta pašā ESPR procesā, liecina, ka tehniski pamatoti ieraksti bieži vien atstāj pēdas galīgajos tekstos.

Mēs jau tāpat pieteiksimies iekļaušanai DPP pakalpojumu sniedzēju sarakstā, tiklīdz tiks publicēta uzņemšanas procedūra. Tāpēc ir mūsu tiešās interesēs, lai noteikumi, saskaņā ar kuriem mēs piedalāmies, būtu precīzi un nodrošinātu vienlīdzīgus konkurences apstākļus. Šie četri ieteikumi ir mūsu konkrētais veids, kā nodrošināt, ka saraksts nekļūst par vienkāršu mārketinga etiķeti.

Kas vēlas piedalīties

Atsauksmju iesniegšanas termiņš ir līdz 2026. gada 27. maijam. Ieguldījumus var iesniegt jebkurā ES oficiālajā valodā, taču ir nepieciešams reģistrēties portālā, un tie būs publiski pieejami. Tiem, kas izsniegs vai verificēs DPP - ražotājiem, pakalpojumu sniedzējiem, pārstrādātājiem, iestādēm - , vismaz reizi būtu jāiepazīstas ar iniciatīvu vietnē Have Your Say⁠. Arī īss, profesionāli precīzs ieraksts ir noderīgs.

Mūsu verifikācijas rīks „Transpareo Time Machine“ starp citu jau tagad atbilst 2. punktā minētajai verifikācijas nepieciešamībai atvērtā koda vidē: ikviens, kurš vēlas neatkarīgi pārbaudīt Transpareo-DPP, to var izdarīt jau šodien, negaidot, kamēr Komisijas reģistrā tiks oficiāli izveidots verifikācijas galapunkts.

Jaunākā informācija par DPP reģistra regulu

Tiklīdz Komisija būs atbildējusi uz saņemtajām atsauksmēm, mēs apkopsim svarīgāko informāciju un nosūtīsim to uz jūsu e-pasta pastkasti.