- aprila 2026 je Evropska komisija objavila osnutek izvedbene uredbe o registru DPP in hkrati odprla štiritedensko obdobje za oddajo pripomb. Do 27. maja 2026 lahko vsaka oseba in vsaka organizacija v EU in zunaj nje prek portala »Have Your Say« poda svoje mnenje. Pripombe so javne, vsaka je podpisana z imenom ali imenom organizacije, uradno pa se vključijo v končno različico uredbe.
Osnutek smo podrobno obravnavali tukaj na blogu. Ta prispevek posvečamo vprašanju, kaj smo Komisiji odgovorili.
Zakaj smo oddali štiri ločene prispevke
Portal sprejema 4 000 znakov na prispevek. Vse točke bi lahko stisnili v en dolg prispevek. To bi bilo za uslužbence Komisije, ki bodo maja prebirali na ducate prispevkov, manj prijetno za branje in težje za citiranje. Štiri posamezne pripombe so na javnem seznamu vsaka posebej najti, vsako pa je mogoče obravnavati ločeno - ali zavrniti - brez vpliva na druge točke.
Predložili smo naslednje štiri teme:
1. Opredelitev minimalnih zahtev za ponudnike storitev DPP
Osnutek uredbe pravilno opredeljuje decentralizirani model: Podatki DPP se nahajajo pri gospodarskem subjektu ali pri njegovem ponudniku storitev DPP, register Komisije pa shranjuje le sklice. Za ponudnike storitev DPP (člen 2, točka 32 Uredbe ESPR) je predviden uradni seznam odobrenih ponudnikov.
Manjka pa opredelitev, kaj mora ponudnik storitev dejansko izpolnjevati, da se uvrsti na ta seznam in na njem tudi ostane. Verjetno bodo bistvene obveznosti določene v delegiranem pravnem aktu v skladu s členom 4 matične uredbe ESPR. Register pa se bo začel uporabljati, še preden bo ta pravni akt objavljen.
Naš predlog: bodisi naj se minimalna merila za ponudnike storitev določijo neposredno v tej izvedbeni uredbi, bodisi naj se navede zavezujoč rok, do katerega bo delegirani pravni akt predložen. Med predlagane minimalne zahteve spadajo:
- razpoložljivost javnega vmesnika za branje DPP najmanj 99,5 odstotka na mesec
- sporazum o ravni storitev, ki določa, kako hitro mora nova različica DPP prispeti v varnostno kopijo (predlog: 24 ur ali v realnem času, kjer je to tehnično mogoče)
- obvezno kriptografsko preverjanje prejetih različic s strani ponudnika storitev
- objava javnih ključev gospodarskega subjekta na standardizirani poti (RFC 8615, predlog
/.well-known/dpp-keys/) - Opredeljen postopek zamenjave in insolventnosti, da se podatki DPP v primeru izpada enega ponudnika urejeno prenesejo k drugemu ponudniku
Te obveznosti resnemu ponudniku nič ne stanejo - saj jih tako ali tako izpolnjuje -, preprečujejo pa tekmovanje v zniževanju cen med poceni ponudniki, ki na koncu spodkopava verodostojnost seznama.
2. Dolgoročna preverljivost registriranih DPP-jev
Člen 9(4) omejuje razpoložljivost potrdila o registraciji na 90 koledarskih dni. V tem roku register na zahtevo ponovno izda potrdilo. To je v redu za tekoče poslovanje, vendar ne ustreza življenjskemu ciklu obveznosti DPP, ki stoji v ozadju: člen 10(3) določa standardno obdobje hrambe na 10 let od registracije, sektorska zakonodaja pa lahko zahteva daljše obdobje.
Organ za nadzor trga, carinski uradnik, podjetje za recikliranje ali raziskovalec v letu 2032 bi moral imeti možnost preveriti, ali je bil DPP, registriran leta 2026, resnično registriran, ne da bi bil odvisen od tega, ali prvotni gospodarski subjekt še obstaja in lahko zahteva novo potrdilo.
Naša dva predloga sta enostavna za izvedbo:
- Izrecno pojasniti, da se lahko dokazni bajti, ki jih je Komisija opremila s kvalificiranim pečatom, začasno shranjujejo, arhivirajo in posredujejo s strani gospodarskega subjekta ali ponudnika storitev. Kvalificirani pečat v skladu s členom 35(2) Uredbe eIDAS zagotavlja domnevo o celovitosti in izvoru, ne glede na to, kje se bajti nahajajo.
- Vzpostaviti javno, neavtentificirano končno točko za preverjanje v registru, ki za identifikacijsko številko registracije zagotovi podpisan odgovor. Danes vsaka tretja preveritev predpostavlja, da mora gospodarski subjekt aktivno ukrepati - to ni ustrezna oblika za dokazno listino, ki mora preživeti izdajatelja.
Poleg tega smo predlagali, da se tvorba hash-vrednosti določi deterministično: SHA-256 kot hash funkcijo, JSON Canonicalization Scheme (RFC 8785) kot serializacijo, zunaj bloka podpisa. V ekosistemu W3C je to kriptografski paket eddsa-jcs-2022, s katerim se Transpareo neposredno podpisuje. Brez te določitve »pinninga« bi dva ponudnika storitev isti DPP serializirala v različne hash-vrednosti, polje hash v potrdilu o registraciji pa ne bi bilo reproduktibilno.
3. Člen 17 ne sme omejevati dostopa do javnih podatkov DPP
Člen 17 navaja »masovno prenašanje podatkov« kot možno zlorabo registra. Za upravne metapodatke, ki se nahajajo v samem registru (identitete, dnevniki, revizijske sledi), je to pravilno - ti ne sodijo v masovno prenašanje podatkov.
Javni podatki DPP pri proizvajalcu ali ponudniku storitev pa so ravno tisto področje, ki ga želi ESPR široko odpreti. Reciklatorji, ki pridobivajo podatke o sestavi flote izdelkov; raziskovalci, ki navzkrižno analizirajo izjave o trajnosti; nadzor trga, ki izvaja primerjalne analize - vse to so oblike »masovnega prenosa podatkov« iz javne plasti DPP in vse so namenske uporabe, za katere je bila uredba napisana.
Naš predlog je pojasnjevalni stavek v členu 17, ki obseg veljavnosti omeji na podatke iz registrov, za podatke DPP pa napotuje na ustrezne sektorske delegirane pravne akte. V nasprotnem primeru se bodo ponudniki storitev ob zagonu soočili z izbiro: bodisi bodo zaradi varnosti agresivno omejili število poizvedb pri javnem dostopu - in s tem uničili uporabniško izkušnjo - bodisi ga bodo pustili odprtega in tvegali, da bo to kasneje opredeljeno kot zloraba v smislu člena 17.
4. Objava specifikacije OpenAPI in testnega okolja pred zagonom
Člen 3(b) zahteva API za registracije. Člen 8(5) ga določa kot enega od dveh kanalov za registracijo. Uredba pa ne navaja, kdaj mora biti pogodba o API objavljena.
Kdor avtomatizira registracijske delovne tokove - vsak ponudnik storitev in vsak gospodarski subjekt z obsežnejšim katalogom - potrebuje specifikacijo API-ja dovolj zgodaj pred zagonom, da jo lahko implementira in preizkusi na dejanskem končnem točki. Če se specifikacija najde šele teden pred začetkom veljavnosti, se tveganje integracije prenese na vse ponudnike v ekosistemu.
Zato smo predlagali:
- Objavo specifikacije OpenAPI 3.1 najmanj osem tednov pred začetkom veljavnosti - za začetek 19. julija 2026 torej do 24. maja 2026
- vzporedno vzpostaviti okolje »sandbox«, v katerem lahko ponudniki storitev in proizvajalci integrirajo svoje rešitve ter preizkušajo samodejno preverjanje v skladu s členom 8(6)
- uvesti politiko različiciranja po standardu Semver z najmanj 18-mesečnim odpovednim rokom
Dodatni predlogi za zasnovo: idempotentni ključi za registracijske klice, registracija v paketih za velike kataloge, asinhrona registracija s povratnim klicem prek webhooka ter strojno berljive kode napak za primere napak pri avtomatski verifikaciji.
Zakaj to počnemo
Posvetovanje ni igra za zbiranje točk. Če vsak prispevek prispeva k natančnejšemu besedilu v končni različici, je izpolnil svoj namen. Komisija te prispevke dejansko bere - izkušnje iz samega postopka ESPR kažejo, da tehnično utemeljeni prispevki pogosto pustijo sled v končnih besedilih.
Kandidaturo za vpis na seznam ponudnikov storitev DPP bomo vložili takoj, ko bo objavljen postopek vpisa. Zato je v našem neposrednem interesu, da so pravila, po katerih tekmujemo, natančna in opredeljujejo enakovredne pogoje. Ti štirje prispevki so naš konkreten način, da poskrbimo, da se seznam ne spremeni v zgolj marketinško oznako.
Kdo se želi pridružiti
Rok za oddajo povratnih informacij traja do 27. maja 2026. Prispevke je mogoče oddati v katerem koli uradnem jeziku EU, za to pa se je treba prijaviti na portalu; prispevki bodo javno vidni. Vsi, ki bodo izdajali ali preverjali DPP-je - proizvajalci, ponudniki storitev, podjetja za recikliranje, organi -, bi si morali vsaj enkrat prebrati informacije o pobudi na Have Your Say. Tudi kratek, strokovno natančen prispevek je pomemben.
Naše orodje za preverjanje Transpareo Time Machine že zdaj v odprtokodni praksi rešuje potrebo po preverjanju, omenjeno v točki 2: kdor želi neodvisno preveriti Transpareo-DPP, lahko to z orodjem stori že danes, ne da bi moral čakati na uradno vzpostavljeno točko za preverjanje v registru Komisije.