Кажете го своето: Што напишавме до Европската комисија во врска со Регулативата за регистарот на ДПП
БлогРегулација2026.05.08

Кажете го своето: Што напишавме до Европската комисија во врска со Регулативата за регистарот на ДПП

Четири поднесоци за јавната консултација: за дефинирањето на обврските на давателите на услуги на DPP, за долгорочната проверливост, за споделувањето на податоци според член 17 и за објавувањето на API-јата пред стапувањето во сила на законодавството.

На 29 април 2026 година, Европската комисија ја објави нацрт-извршната уредба за регистарот на ДПП⁠ и, истовремено, отвори четиринеделен консултативен период. До 27 мај 2026 година, секој поединец или организација во ЕУ и пошироко може да достави повратни информации преку порталот “Have Your Say”. Доставените предлози се јавни, секој е потпишан со име или организација и тие официјално ќе бидат вклучени во конечната верзија на регулативата.

Детално го дискутиравме нацрт-предлогот овде на блогот. Овој пост го посветуваме на прашањето што ѝ одговоривме на Комисијата.

Зошто поднесовме четири одделни предлози

Порталот прифаќа 4.000 знаци по поднесок. Можевме да ги собереме сите наши точки во еден долг поднесок. Тоа би било потешко за вработените во Комисијата - кои во мај ќе обработуваат десетици поднесоци - да го прочитаат и потешко да цитираат од него. Четирите поединечни поднесоци може посебно да се најдат во јавната листа и на секој од нив може да се одговори - или да се отфрли - одделно, без да се влијае на другите точки.

Ги доставивме следните четири теми:

1. Дефинирање на минимални барања за давателите на услуги на ДПП

Нацрт-регулативата правилно го утврдува децентрализираниот модел: Податоците за DPP се чуваат кај економскиот оператор или кај нивниот давател на услуги за DPP; регистарот на Комисијата само ги складира референците. За давателите на услуги за DPP е предвидена официјална листа на овластени даватели (член 2, став 32 од ESPR).

Она што недостасува е дефиниција за тоа што давателот на услуги всушност мора да направи за да биде вклучен во оваа листа и да остане на неа. Веројатно, суштинските обврски ќе бидат утврдени во делегиран акт во согласност со член 4 од главната Уредба ESPR. Сепак, регистарот ќе биде отворен пред да биде објавен овој делегиран акт.

Нашиот предлог: или да се утврдат минимални критериуми за давателите на услуги директно во оваа имплементирачка уредба, или да се одреди обврзувачки рок до кој мора да се достави делегираниот акт. Предложените минимални барања вклучуваат:

  • Достапност на јавниот DPP интерфејс за читање од најмалку 99,5 проценти месечно
  • Договор за ниво на услуга со кој се специфицира колку брзо новата верзија на DPP мора да се вклучи во резервната копија (предлог: 24 часа или во реално време, каде што е технички можно)
  • Задолжителна криптографска верификација на дојдовните верзии од страна на давателот на услуги
  • Објавување на јавните клучеви на економскиот оператор под стандардизиран пат (RFC 8615, предлог /.well-known/dpp-keys/)
  • Дефиниран процес на премин и неплатежна способност за да се обезбеди дека податоците на DPP се мигрираат на уреден начин кај друг давател на услуги во случај на неуспех на давателот на услуги

Овие обврски не чинат ништо за угледен давател на услуги - тој и онака ги исполнува - но спречуваат трка кон дното меѓу евтините даватели на услуги, што на крајот ја поткопува листата.

2. Долгорочна проверливост на регистрираните ДПО

Член 9(4) го ограничува достапноста на сертификатот за регистрација на 90 календарски дена. Во овој период, регистарот ќе го регенерира сертификатот на барање. Ова е во ред за секојдневната работа, но не е во согласност со животниот циклус на основната обврска за ДПО: Член 10, став 3 го утврдува стандардниот рок за чување на 10 години од регистрацијата, додека законодавството специфично за секторот може да бара подолги периоди.

Орган за пазарен надзор, царински службеник, рециклиер или истражувач во 2032 година треба да може да провери дека ДПО регистриран во 2026 година навистина бил регистриран, без да мора да се потпира на тоа дека првобитниот економски оператор сè уште постои и може да побара нов сертификат.

Нашите два предлога се едноставни за спроведување:

  • Експлицитно да се разјасни дека доказовните бајтови, кои се квалификувани и запечатени од страна на Комисијата, може да се кешираат, архивираат и редистрибуираат од страна на економскиот оператор или давателот на услуги. Квалификуваниот печат според член 35, став 2 од Регулативата eIDAS ја носи презумпцијата за интегритет и потекло без оглед на тоа каде се наоѓаат бајтовите.
  • Јавна, неаутентицирана точка за верификација во регистарот што враќа потпишан одговор за идентификациски број за регистрација. Во моментов, секоја верификација од трета страна бара економскиот оператор да преземе дејство - ова е погрешен пристап за документ за докажување кој мора да опстои подолго од издавачот.

Дополнително, предложивме детерминистичко дефинирање на генерирањето на хеш: SHA-256 како хеш-функција, JSON Canonicalisation Scheme (RFC 8785)⁠ како сериализација, надвор од блокот за потпис. Во екосистемот на W3C, ова е крипто-библиотеката eddsa-jcs-2022, која Transpareo ја користи за директно потпишување. Без оваа спецификација за фиксирање, два даватели на услуги би го сериализирале истиот DPP во различни хашови, а полето за хаш во сертификатот за регистрација не би било репродуцирано.

3. Членот 17 не смее да го ограничува пристапот до јавните податоци за DPP

Членот 17 ги наведува “масовното преземање податоци” како потенцијална злоупотреба на регистарот. Ова е точно во однос на административните метаподатоци зачувани во самиот регистар (идентитети, логови, траги од ревизија) - тие не спаѓаат во масовно преземање.

Меѓутоа, јавните податоци за ППД што ги поседуваат производителот или давателот на услуги се токму областа што ЕСПР има за цел да ја направи широко достапна. Рециклирачи кои извлекуваат податоци за составот на флотата на производи; истражувачи кои вршат вкрстена анализа на тврдењата за одржливост; надзор на пазарот кој спроведува споредбени анализи - сите овие се форми на “масовно преземање податоци” од јавниот слој на DPP и се сите наменски употреби за кои е изготвена Уредбата.

Нашиот предлог е појаснувачка реченица во член 17 што го ограничува опсегот на податоци за регистрација и, за податоците од ДПО, се повикува на релевантните секторски делегирани акти. Во спротивно, давателите на услуги ќе се соочат со избор при стартувањето: или агресивно да ги ограничат стапките на пристап за јавен пристап како мерка на претпазливост - со што ќе го уништат корисничкото искуство - или да го остават отворено и да ризикуваат подоцна да се класифицира како злоупотреба во смисла на член 17.

4. Објавете ја спецификацијата OpenAPI и песочницата пред лансирањето

Членот 3(б) бара API за регистрации. Членот 8(5) го одредува како еден од двата канали за регистрација. Сепак, Регулативата не вели ништо за тоа кога договорот за API треба да се објави.

На секој што ги автоматизира работниот тек за регистрација - секој давател на услуги и секој економски оператор со голем каталог - му е потребна спецификацијата на API-то многу пред лансирањето за да може да ја имплементира и да ја тестира на активен краен пункт. Потребата да се најде спецификација во неделата пред да стапи на сила Регулативата го префрла ризикот од интеграција на сите даватели во екосистемот.

Затоа, ние предложивме:

  • Објавување спецификација OpenAPI 3.1 најмалку осум недели пред регулативата да стапи на сила - за стартување на 19 јули 2026 година, ова би значело до 24 мај 2026 година
  • Паралелна сандбокс-околина на која давателите на услуги и производителите можат да ја интегрираат и тестираат авто-верификацијата од член 8, став 6
  • Политика за верзионирање со користење на Semver, со период на застарување од најмалку 18 месеци

Дополнителни предлози за дизајн: идепотентни клучеви за повици за регистрација, групна регистрација за големи каталози, асинхрона регистрација со повици за повратни повици (webhook), и машински читливи кодови за грешки за случаи кога автоматската верификација не успее.

Зошто го правиме ова

Консултацијата не е игра за освојување поени. Ако секоја поднесена забелешка успее да направи една реченица во конечната верзија попрецизна, таа ја исполнила својата цел. Комисијата навистина ги чита овие придонеси - искуството од самиот процес на ESPR покажува дека техничките пријави често оставаат свој белег на конечните текстови.

Во секој случај, ќе аплицираме за вклучување во листата на даватели на услуги на DPP штом ќе биде објавена процедурата за прием. Затоа, во наш директен интерес е правилата според кои се натпреваруваме да бидат прецизни и да обезбедат еднакви услови за сите. Четирите придонеси се нашиот конкретен начин да се осигураме дека листата нема да дегенерира во обична маркетинг-етикета.

Како да се вклучите

Рокот за коментари е отворен до 27 мај 2026 година. Придонеси може да се поднесат на кој било од официјалните јазици на ЕУ; мора да се регистрирате на порталот, а вашиот придонес ќе биде јавно видлив. Секој што ќе издава или проверува ДПП - производители, даватели на услуги, рециклирачи, јавни власти - треба барем да ја прочита иницијативата на Have Your Say⁠. Дури и кратка, технички точна пријава прави разлика.

Нашиот алат за верификација Transpareo Временска машина Веќе го исполнува условот за верификација наведен во точка 2 во практиката на отворен код: секој што сака независно да го провери ТДП на Transpareo може да го направи тоа со користење на алатката денес, без да чека формално воспоставен краен пункт за верификација во регистарот на Комисијата.

Ажурирања на Правилникот за регистарот на ДПП

Штом Комисијата одговори на добиените повратни информации, ќе ги сумираме клучните точки и ќе ги испратиме во вашето сандаче.