W dniu 29 kwietnia 2026 r. Komisja Europejska opublikowała projekt rozporządzenia wykonawczego w sprawie rejestru cyfrowych paszportów produktów (Ares(2026)4424976). Projekt ten konkretyzuje art. 13 ust. 5 rozporządzenia w sprawie rejestru cyfrowych paszportów produktów (ESPR) (ROZPORZĄDZENIE 2024/1781) oraz określa, w jaki sposób rejestr prowadzony przez Komisję będzie funkcjonował pod względem technicznym i organizacyjnym.
Tekst ma charakter projektu i nie został jeszcze przyjęty. Jednak główne mechanizmy są już wyraźnie rozpoznawalne - i mają bezpośrednie konsekwencje dla każdego producenta, który od 2027 r. będzie musiał wystawiać DPP.
Czym jest rejestr - a czym nie jest
Na wstępie należy wyjaśnić: rejestr UE nie przechowuje samych danych DPP. Jest to centralna usługa katalogowa, która dla każdej rejestracji przechowuje unikalny identyfikator, kod towaru, tożsamość podmiotu gospodarczego, skrót wersji DPP oraz odniesienie do kopii zapasowej u dostawcy usług DPP.
W motywie 3 określa się to jako „model zdecentralizowany”: dane dotyczące produktów nadal znajdują się u producenta lub na jego platformie DPP. Rejestr jest kanoniczną listą adresową, a nie silosem danych.
Pod względem funkcjonalnym rejestr składa się z:
- interfejsu internetowego i interfejsu API do rejestracji
- platformy weryfikacyjnej dla podmiotów gospodarczych
- listy zatwierdzonych dostawców usług DPP
- repozytorium semantycznego (wielojęzycznego, o strukturze zgodnej z DCAT-AP) jako punktu odniesienia dla atrybutów danych, struktur modeli i ról
- systemu logów z różnymi okresami przechowywania
Weryfikacja przed rejestracją
Żadna usługa DPP nie zostanie wpisana do rejestru, dopóki podmiot gospodarczy składający wniosek nie zostanie uznany za zweryfikowanego podmiotu gospodarczego (art. 4). Weryfikacja odbywa się bezpośrednio w rejestrze i wykorzystuje środki przewidziane w rozporządzeniu eIDAS ROZPORZĄDZENIE 910/2014:
- Osoba prawna w UE: kwalifikowana pieczęć elektroniczna lub elektroniczne zaświadczenie o atrybutach
- Osoba fizyczna prowadząca jednoosobową działalność gospodarczą w UE: kwalifikowany podpis elektroniczny, eID na poziomie „wysokim” lub certyfikat atrybutów
- Podmioty spoza UE: kwalifikowany podpis lub pieczęć elektroniczna albo certyfikat atrybutów
Weryfikacja jest ważna maksymalnie przez trzy lata. Kto nie odnowi weryfikacji, zostanie oznaczony jako „niezweryfikowany” i utraci prawo do rejestrowania nowych DPP lub zmiany istniejących (art. 4 ust. 4).
Weryfikacja ta stanowi wymóg prawny. Odbywa się ona między producentem a Komisją - i nie podlega delegowaniu, nawet jeśli usługa rejestracji operacyjnej jest realizowana przez podmiot taki jak Transpareo.
Poziom szczegółowości: model, partia lub artykuł
Artykuł 8 wymaga, aby DPP były rejestrowane na poziomie szczegółowości przewidzianym w odpowiednim akcie prawnym danego sektora - model, ## partialub artykuł. Jeśli tworzony jest DPP dla artykułu, a istnieją identyfikatory partii lub modelu, należy je uwzględnić. W przypadku DPP partii to samo dotyczy identyfikatorów modeli.
Dla producentów oznacza to, że wewnętrzne dane podstawowe muszą charakteryzować się przejrzystą hierarchią między modelem, partią a pojedynczym produktem. Bez tego powiązania automatyczna walidacja rejestracji zakończy się niepowodzeniem.
Wersjonowanie, skrót i przechowywanie
Każda wersja DPP jest powiązana z pierwotnym identyfikatorem rejestracji. Przy każdej zmianie rejestr wymaga skrótu aktualnej wersji DPP - weryfikowalnego kryptograficznie, którego nie można wygenerować ręcznie.
Potwierdzenie rejestracji (art. 9) jest dokumentem elektronicznym, który Komisja opatrzy kwalifikowanym pieczęcią i znacznikiem czasu. Zawiera co najmniej: identyfikator rejestracji, kod towaru, tożsamość podmiotu, datę oraz skrót ostatniej wersji. Ważny przez 90 dni, z możliwością dowolnego ponownego wygenerowania.
Standardowy okres przechowywania: 10 lat od daty rejestracji, o ile prawo unijne lub prawo sektorowe nie przewiduje innego terminu (art. 10 ust. 3 rozporządzenia wykonawczego w sprawie rejestru DPP). Nawet upadłość lub likwidacja producenta nie zwalnia z obowiązku zapewnienia dostępności (art. 11 lit. e) rozporządzenia ESPR).
System logowania
Rejestr prowadzi trzypoziomowe logowanie (art. 14):
- Dostępy i uwierzytelnienia: 6 miesięcy
- zmiany danych: przez cały okres rejestracji
- czynności administracyjne i wymiana danych: 5 lat
Organy krajowe uzyskują dostęp w przypadku zdarzeń, audytów lub kontroli wyrywkowych.
Dane osobowe - co przechowuje Komisja
Artykuł 18 wymienia dane przechowywane wyłącznie w rejestrze: imię i nazwisko każdego użytkownika, dane logowania, tokeny uwierzytelniające, adres pocztowy, adres e-mail. W przypadku osób fizycznych dodatkowo numer paszportu lub dowodu osobistego, eID, numer identyfikacji podatkowej. Dane te nie są udostępniane dostawcy usług DPP. Komisja jest administratorem danych dotyczących kont, natomiast podmiot gospodarczy pozostaje administratorem swoich danych DPP.
W jaki sposób Transpareo spełnia te wymagania
Większość wymagań dotyczy decyzji architektonicznych, które Transpareo już podejmuje w tej formie. W szczególności:
Model zdecentralizowany. Transpareo jest platformą wielodostępną (multi-tenant) z izolowaną bazą danych dla każdego klienta. Dane DPP znajdują się w bazie danych podmiotu gospodarczego, a nie w centralnej puli - jest to dokładnie ta architektura, której wymaga motyw 3.
Rola podmiotu przetwarzającego dane jest wyraźnie wyodrębniona. Artykuły 19 ust. 5 i 20 ust. 3 przewidują, że podmiot gospodarczy pozostaje administratorem danych, nawet jeśli zleca rejestrację stronie trzeciej. Transpareo już dziś działa jako podmiot przetwarzający dane na podstawie umowy o przetwarzaniu danych (AVV) - role są jasno określone.
Stałe adresy URL kopii zapasowych dla każdego DPP. Każdy DPP w systemie Transpareo jest dostępny za pośrednictwem stałego adresu URL, który nie ulega zmianie nawet w przypadku aktualizacji wersji. Właśnie tego wymaga art. 8 ust. 6 lit. d) jako „link do kopii zapasowej hostowanej przez dostawcę usług DPP (DPP-SP)”.
Szczegółowość. Model danych Transpareo rozróżnia model produktu, partię i pojedynczy produkt oraz umożliwia tworzenie powiązań w ramach hierarchii - co stanowi warunek spełnienia wymogów art. 8 ust. 3 i 4.
Wielojęzyczne mapowanie semantyczne. Repozytorium Komisji jest wielojęzyczne zgodnie ze standardem DCAT-AP. Transpareo udostępnia każdy punkt danych w 39 językach, w tym we wszystkich 24 językach urzędowych UE, a tłumaczenie jest wliczone w cenę.
Skrót wersji. Deterministyczna serializacja zgodnie ze schematem kanonizacji JSON (RFC 8785) oraz skrót SHA-256 dla każdej wersji DPP są już dostarczane. Jedynym otwartym zagadnieniem pozostaje dokładny format przypisania skrótu (hash-pinning) w rejestrze UE; gdy tylko Komisja go opublikuje, uwzględnimy go w naszym systemie.
Wpis na listę dostawców usług DPP. Transpareo złoży wniosek o wpis na oficjalną listę dostawców usług DPP (art. 2 nr 32 rozporządzenia ESPR), gdy tylko procedura przyjmowania zostanie opublikowana.
Rejestracja w imieniu klienta. Przygotowujemy usługę polegającą na przejęciu rejestracji w imieniu upoważnionych klientów - zgodnie z art. 19 ust. 4 nie ma to wpływu na odpowiedzialność prawną klienta.
Harmonogram
Termin wejścia w życie określa art. 23: 20 dni po opublikowaniu w Dzienniku Urzędowym. To, który to będzie dzień, zależy od tego, kiedy Komisja przyjmie ostateczną wersję. Termin określony w art. 13 ust. 5 rozporządzenia ESPR to 19 lipca 2026 r. - do tego czasu rejestr musi być gotowy.
Rejestr zacznie prawdopodobnie funkcjonować w pełni dopiero od 18 lutego 2027 r.: Tego dnia wejdzie w życie art. 77 rozporządzenia UE w sprawie baterii 2023/1542, a DPP stanie się obowiązkowy dla akumulatorów przemysłowych, do pojazdów elektrycznych (EV) oraz do urządzeń przenośnych (LMT) o pojemności powyżej 2 kWh. Szczegóły oraz nierozstrzygnięte kwestie dotyczące aktów wykonawczych przedstawiliśmy w harmonogramie ESPR na rok 2027. Do tego czasu pozostało około dziewięciu miesięcy. Każdy, kto planuje umowy z dostawcami, migrację danych podstawowych i wewnętrzne zatwierdzenia, wie: to mało, a nie dużo.
Co pozostaje do wyjaśnienia
Samo rozporządzenie opisuje ramy organizacyjne. Brakuje natomiast specyfikacji technicznej API - dokładnego formatu interfejsu, schematów oraz reguł walidacji. Zostaną one prawdopodobnie opublikowane w formie odrębnych wytycznych Komisji zgodnie z art. 15 ust. 1, najprawdopodobniej jeszcze w ciągu 2026 roku.
Do tego czasu kierunek działań jest jednak jasny: architektura zdecentralizowana, zweryfikowani uczestnicy, kwalifikowane podpisy, unikalne identyfikatory rejestracyjne, łańcuchowanie wersji, interoperacyjność semantyczna. Wszystkie te koncepcje pozostaną na stałe.
Oficjalna inicjatywa konsultacyjna Komisji jest dostępna na stronie Have Your Say.