Have Your Say: Čo sme napísali Európskej komisii k nariadeniu o registri DPP
BlogRegulácia08/05/2026

Have Your Say: Čo sme napísali Európskej komisii k nariadeniu o registri DPP

Štyri príspevky v rámci verejnej konzultácie: k definícii povinností poskytovateľov služieb DPP, k dlhodobej overiteľnosti, k sprístupňovaniu údajov podľa článku 17 a k zverejneniu API pred nadobudnutím účinnosti.

  1. apríla 2026 Európska komisia zverejnila návrh vykonávacieho nariadenia o registri DPP⁠ a zároveň otvorila štvortýždňové obdobie na predkladanie pripomienok. Do 27. mája 2026 môže každá osoba a každá organizácia v EÚ aj mimo nej zaslať pripomienky prostredníctvom portálu „Have Your Say“. Pripomienky sú verejné, každá je podpísaná menom alebo názvom organizácie a oficiálne sa zapracujú do konečného znenia nariadenia.

Návrh sme podrobne rozoberali tu na blogu. Tento príspevok venujeme otázke, čo sme Komisii odpísali.

Prečo sme podali štyri samostatné príspevky

Portál akceptuje 4 000 znakov na jeden príspevok. Mohli sme všetky body vtesnať do jedného dlhého príspevku. Pre zamestnancov Komisie, ktorí v máji prechádzajú desiatky príspevkov, by to bolo nepríjemnejšie na čítanie a ťažšie na citovanie. Štyri samostatné príspevky sa dajú v zozname verejne vyhľadať každý zvlášť a na každý z nich je možné odpovedať - alebo ho zamietnuť - izolovane, bez toho, aby to ovplyvnilo ostatné body.

Predložili sme nasledujúce štyri témy:

1. Definovať minimálne požiadavky na poskytovateľov služieb DPP

Návrh nariadenia správne definuje decentralizovaný model: Údaje DPP sú uložené u hospodárskeho subjektu alebo u jeho poskytovateľa služieb DPP, register Komisie ukladá iba odkazy. Pre poskytovateľov služieb DPP (čl. 2 bod 32 nariadenia ESPR) je stanovený oficiálny zoznam schválených poskytovateľov.

Chýba však stanovenie toho, čo musí poskytovateľ služieb skutočne splniť, aby sa dostal na tento zoznam a zostal na ňom. Predpokladá sa, že podstatné povinnosti budú stanovené v delegovanom právnom akte podľa článku 4 rámcového nariadenia ESPR. Register sa však spustí skôr, ako bude tento právny akt uverejnený.

Náš návrh: Buď priamo v tomto vykonávacom nariadení stanoviť minimálne kritériá pre poskytovateľov služieb, alebo určiť záväznú lehotu, do ktorej bude delegovaný právny akt dodatočne predložený. Medzi navrhované minimálne požiadavky patria:

  • Dostupnosť verejného rozhrania na čítanie DPP minimálne 99,5 percenta za mesiac
  • Dohoda o úrovni služieb, ktorá stanovuje, ako rýchlo sa musí nová verzia DPP dostať do bezpečnostnej kópie (návrh: 24 hodín alebo v reálnom čase, ak je to technicky možné)
  • Povinné kryptografické overovanie prichádzajúcich verzií zo strany poskytovateľa služieb
  • Zverejnenie verejných kľúčov hospodárskeho subjektu na štandardizovanej adrese (RFC 8615, návrh /.well-known/dpp-keys/)
  • Definovaný proces prechodu a riešenia platobnej neschopnosti, aby sa údaje DPP v prípade zlyhania jedného poskytovateľa riadne migrovali k inému poskytovateľovi

Tieto povinnosti seriózneho poskytovateľa nič nestojú - splní ich tak či tak -, zabraňujú však „závodu ku dnu“ medzi lacnými poskytovateľmi, ktorý by nakoniec podkopal dôveryhodnosť zoznamu.

2. Dlhodobá overiteľnosť registrovaných DPP

Článok 9 ods. 4 obmedzuje dostupnosť potvrdenia o registrácii na 90 kalendárnych dní. V rámci tejto lehoty register na požiadanie potvrdenie znovu vygeneruje. Pre bežnú prevádzku je to v poriadku, nezodpovedá to však životnému cyklu príslušnej povinnosti týkajúcej sa DPP: článok 10 ods. 3 stanovuje štandardnú dobu uchovávania na 10 rokov od registrácie, pričom sektorové právne predpisy môžu vyžadovať dlhšiu dobu.

Orgán dohľadu nad trhom, colný úradník, recyklačná spoločnosť alebo výskumník by v roku 2032 mali mať možnosť overiť, či DPP zaregistrovaný v roku 2026 bol skutočne zaregistrovaný, bez toho, aby boli odkázaní na to, že pôvodný hospodársky subjekt ešte existuje a môže požiadať o nové potvrdenie.

Naše dva návrhy sú z hľadiska implementácie výhodné:

  • Výslovne upresniť, že bajty s dôkazom, ktoré Komisia kvalifikovane opečiatkovala, smie hospodársky subjekt alebo poskytovateľ služieb dočasne ukladať, archivovať a ďalej distribuovať. Kvalifikovaná pečať podľa článku 35 ods. 2 nariadenia eIDAS zaručuje prezumpciu integrity a pôvodu bez ohľadu na to, kde sa bajty nachádzajú.
  • Zriadiť verejný, neautentifikovaný overovací koncový bod v registri, ktorý k registračnému identifikačnému číslu poskytuje podpísanú odpoveď. V súčasnosti každá kontrola treťou stranou predpokladá, že hospodársky subjekt musí konať aktívne - to je nesprávna forma pre dôkazný dokument, ktorý musí prežiť svojho vystaviteľa.

Okrem toho sme navrhli deterministicky stanoviť tvorbu hashovej hodnoty: SHA-256 ako hašovaciu funkciu, JSON Canonicalization Scheme (RFC 8785)⁠ ako serializáciu, mimo bloku podpisu. V ekosystéme W3C ide o kryptosúpravu eddsa-jcs-2022, pomocou ktorej sa priamo podpisuje Transpareo. Bez tohto pevného nastavenia by dvaja poskytovatelia služieb serializovali ten istý DPP do rôznych hashových hodnôt a pole s hashovou hodnotou v potvrdení o registrácii by nebolo reprodukovateľné.

3. Článok 17 nesmie obmedzovať prístup k verejným údajom DPP

Článok 17 uvádza „masívne sťahovanie údajov“ ako možné zneužitie registra. V prípade administratívnych metadát nachádzajúcich sa v samotnom registri (identity, protokoly, audítorské stopy) je to správne - tie nepatria do masových sťahovaní.

Verejné údaje DPP u výrobcu alebo poskytovateľa služieb sú však práve tou oblasťou, ktorú chce ESPR sprístupniť širokej verejnosti. Recyklačné podniky, ktoré získavajú kompozičné údaje o flotilách výrobkov; výskum, ktorý krížovo vyhodnocuje vyhlásenia o udržateľnosti; orgány dohľadu nad trhom, ktoré vykonávajú porovnávacie analýzy - to všetko sú formy „masívneho sťahovania údajov“ z verejnej vrstvy DPP a všetko sú to účelové využitia, pre ktoré bolo nariadenie vypracované.

Naším návrhom je doplniť do článku 17 objasňujúcu vetu, ktorá obmedzí rozsah pôsobnosti na údaje z registrov a v prípade údajov DPP odkazuje na príslušné sektorovo špecifické delegované právne akty. V opačnom prípade budú poskytovatelia služieb pri spustení stáť pred voľbou: buď z bezpečnostných dôvodov agresívne obmedzia počet požiadaviek na verejný prístup - a tým zničia spotrebiteľský zážitok - alebo ho nechajú otvorený a riskujú, že neskôr bude ich konanie klasifikované ako zneužitie v zmysle článku 17.

4. Zverejnenie špecifikácie OpenAPI a sandboxu pred spustením

Článok 3 písm. b) vyžaduje API pre registráciu. Článok 8 ods. 5 z neho robí jeden z dvoch kanálov pre registráciu. Nariadenie však neuvádza, kedy sa má zverejniť zmluva o API.

Kto automatizuje registračné pracovné postupy - každý poskytovateľ služieb a každý hospodársky subjekt s rozsiahlejším katalógom - potrebuje špecifikáciu API s dostatočným predstihom pred spustením, aby ju mohol implementovať a otestovať na skutočnom koncovom bode. Ak sa špecifikácia objaví až týždeň pred nadobudnutím účinnosti, riziko integrácie sa prenesie na všetkých poskytovateľov v ekosystéme.

Preto sme navrhli:

  • Zverejniť špecifikáciu OpenAPI 3.1 najmenej osem týždňov pred nadobudnutím účinnosti - v prípade spustenia 19. júla 2026 teda do 24. mája 2026
  • Paralelne vytvoriť sandboxové prostredie, v ktorom budú môcť poskytovatelia služieb a výrobcovia integrovať svoje riešenia a testovať automatickú verifikáciu podľa článku 8 ods. 6
  • Zaviesť politiku verzionovania podľa Semver s výpovednou lehotou minimálne 18 mesiacov

Ďalšie návrhy týkajúce sa dizajnu: idempotentné kľúče pri volaniach registrácie, hromadná registrácia pre veľké katalógy, asynchrónna registrácia s webhook callbackom a strojovo čitateľné kódy chýb pre prípady zlyhania automatickej verifikácie.

Prečo to robíme

Konzultácia nie je hra na zbieranie bodov. Ak každý príspevok prispeje k presnejšiemu zneniu aspoň jednej vety v konečnom znení, splnil svoj účel. Komisia tieto príspevky skutočne číta - skúsenosti zo samotného procesu ESPR ukazujú, že technicky podložené príspevky sa často odzrkadľujú v konečných textoch.

Aj tak sa uchádzame o zaradenie do zoznamu poskytovateľov služieb DPP, hneď ako bude zverejnený postup prijímania. Je teda v našom priamom záujme, aby pravidlá, podľa ktorých súťažíme, boli presné a vymedzovali rovnaké podmienky pre všetkých. Tieto štyri príspevky sú našim konkrétnym spôsobom, ako zabezpečiť, aby sa zoznam nezmenil na obyčajnú marketingovú nálepku.

Kto sa chce zapojiť

Lehota na zasielanie pripomienok trvá do 27. mája 2026. Príspevky je možné zasielať v ktoromkoľvek úradnom jazyku EÚ, vyžadujú registráciu na portáli a budú verejne viditeľné. Každý, kto bude vydávať alebo overovať DPP - výrobcovia, poskytovatelia služieb, recyklačné spoločnosti, orgány verejnej správy -, by si mal aspoň raz prečítať informácie o tejto iniciatíve na stránke Have Your Say⁠. Aj krátky, odborný a presný príspevok má význam.

Náš overovací nástroj Transpareo Time Machine mimochodom už v praxi s otvoreným zdrojovým kódom rieši potrebu overovania, o ktorej sme sa zmienili v bode 2: Kto chce nezávisle overiť Transpareo-DPP, môže tak urobiť už dnes pomocou tohto nástroja, bez toho, aby musel čakať na formálne zriadený overovací bod v registri Komisie.

Aktualizácie týkajúce sa nariadenia o registri DPP

Hneď ako Komisia zareaguje na doručené pripomienky, zhrnieme najdôležitejšie informácie a pošleme vám ich do vašej e-mailovej schránky.