- aprila 2026 je Evropska komisija objavila osnutek izvedbene uredbe o registru digitalnih potnih listov za izdelke (Ares(2026)4424976). Osnutek natančneje opredeljuje člen 13(5) ESPR (Uredba 2024/1781) ter določa, kako bo register, ki ga vodi Komisija, deloval s tehničnega in organizacijskega vidika.
Besedilo je označeno kot osnutek in še ni bilo sprejeto. Vendar so bistveni mehanizmi že jasno prepoznavni - in imajo neposredne posledice za vsakega proizvajalca, ki bo od leta 2027 moral izdati DPP.
Kaj je register - in kaj ni
Najprej pojasnilo: register EU ne shranjuje samih podatkov DPP. Gre za centralno imeniško storitev, ki za vsako registracijo hrani edinstveno identifikacijsko številko, blagovno oznako, identiteto gospodarskega subjekta, hash verzije DPP in sklic na varnostno kopijo pri ponudniku storitev DPP.
Uvodna izjava 3 to imenuje »decentraliziran model«: podatki o izdelkih ostajajo pri proizvajalcu ali na njegovi platformi DPP. Register je kanonični seznam naslovov, ne pa podatkovni silos.
Funkcionalno register sestavljajo:
- spletni vmesnik in API za registracije
- platforma za preverjanje gospodarskih subjektov
- seznama odobrenih ponudnikov storitev DPP
- semantičnega repozitorija (večjezičnega, strukturiranega po DCAT-AP) kot referenčnega vira za atribute podatkov, strukture modelov in vloge
- sistema dnevnikov z različnimi roki hrambe
Preverjanje pred registracijo
Nobena storitev DPP se ne vpiše v register, dokler gospodarski subjekt, ki jo predloži, ni vpisan kot preverjeni gospodarski subjekt (člen 4). Preverjanje poteka neposredno v registru in uporablja sredstva eIDAS iz Uredbe 910/2014:
- Pravna oseba v EU: kvalificirani elektronski pečat ali elektronsko potrdilo o atributih
- Fizična oseba kot samostojni podjetnik v EU: kvalificirani elektronski podpis, eID stopnje „visoka“ ali potrdilo o atributih
- Subjekti zunaj EU: kvalificirani podpis oziroma pečat ali potrdilo o atributih
Preverjanje velja največ tri leta. Kdor potrdila ne obnovi, bo označen kot »nepreverjen« in izgubi pravico do registracije novih DPP-jev ali spreminjanja obstoječih (člen 4(4)).
Ta preveritev je pravni pogoj. Poteka med proizvajalcem in Komisijo - in se ne prenese niti v primeru, ko operativno registracijo prevzame ponudnik storitev, kot je Transpareo.
Raven podrobnosti: model, serija ali izdelek
Člen 8 zahteva, da se DPP-ji registrirajo na ravni podrobnosti, ki jo predvideva zadevni sektorski pravni akt - model, serija ali izdelek. Če se ustvari DPP za izdelek in obstajajo identifikatorji serije ali modela, jih je treba vključiti. Pri DPP-jih za serijo velja enako za identifikatorje modelov.
Za proizvajalce to pomeni: notranji osnovni podatki morajo imeti jasno hierarhijo med modelom, serijo in posameznim izdelkom. Brez te povezave avtomatska validacija registracije ne bo uspešna.
Različice, hash in hramba
Vsaka različica DPP je povezana s prvotno identifikacijsko številko registracije. Pri vsaki spremembi register zahteva hash trenutne različice DPP - ki je kriptografsko preverljiv in ga ni mogoče ustvariti ročno.
Dokazilo o registraciji (člen 9) je elektronski dokument, ki ga Komisija opremi s kvalificiranim pečatom in časovnim žigom. Vsebina mora vsebovati vsaj: identifikacijsko številko registracije, kodo blaga, identiteto udeleženca, datum in hash zadnje različice. Veljaven 90 dni, lahko se poljubno ponovno ustvari.
Standardno obdobje hrambe: 10 let od registracije, če pravo Unije ali sektorsko pravo ne predvideva drugega roka (člen 10(3) izvedbene uredbe o registru DPP). Niti stečaj niti likvidacija proizvajalca ne odvezujeta od obveznosti zagotavljanja dostopnosti (ESPR, člen 11(e)).
Sistem beleženja
Register beleži na treh ravneh (člen 14):
- Dostopi in avtentifikacije: 6 mesecev
- spremembe podatkov: trajanje registracije
- upravne dejavnosti in izmenjava podatkov: 5 let
Nacionalni organi dobijo dostop v primeru incidentov, revizij ali naključnih pregledov.
Osebni podatki - kaj shranjuje Komisija
Člen 18 navaja, katere podatke hrani izključno register: ime in priimek vsakega uporabnika, prijavni podatki, avtentifikacijski žetoni, poštni naslov, e-pošta. Pri fizičnih osebah dodatno številka potnega lista ali osebne izkaznice, eID, davčna številka. Ti podatki ne zadevajo ponudnika storitev DPP. Komisija je upravljavec teh podatkov o računih, gospodarski subjekt pa ostaja upravljavec svojih podatkov DPP.
Kako Transpareo izpolnjuje zahteve
Večina zahtev zadeva arhitekturne odločitve, ki jih Transpareo že sprejema v tej obliki. Natančneje:
Decentraliziran model. Transpareo je platforma z več najemniki, ki ima za vsako stranko ločeno bazo podatkov. Podatki DPP se nahajajo v bazi podatkov gospodarskega subjekta, ne v centralnem skladišču - to je točno tista arhitektura, ki jo predvideva uvodna izjava 3.
Vloga obdelovalca podatkov je jasno razmejena. Člena 19(5) in 20(3) določata, da gospodarski subjekt ostane upravljavec, tudi če registracijo pooblasti tretjo osebo. Transpareo že danes deluje kot obdelovalec podatkov v skladu s pogodbo o obdelavi podatkov (AVV) - vloge so jasno razmejene.
Stabilni rezervni URL-ji za vsak DPP. Vsak DPP podjetja Transpareo je dostopen prek stalnega URL-ja, ki se ne spremeni niti ob spremembah različic. Točno to zahteva člen 8(6)(d) kot »povezavo do varnostne kopije, ki jo gosti ponudnik storitev DPP (DPP-SP)«.
Granularnost. Podatkovni model Transpareo razlikuje med modelom izdelka, serijo in posameznim izdelkom ter omogoča povezave vzdolž hierarhije - kar je pogoj za izpolnitev člena 8(3)/(4).
Večjezično semantično mapiranje. Repozitorij Komisije je večjezičen v skladu s standardom DCAT-AP. Transpareo vodi vsako podatkovno točko v 39 jezikih, vključno z vsemi 24 uradnimi jeziki EU, pri čemer je prevajanje vključeno v ceno.
Hash različice. Deterministična serializacija v skladu s shemo kanonizacije JSON (RFC 8785) in hash SHA-256 za vsako različico DPP sta že na voljo. Odprto ostaja le natančen format »hash-pinning« registra EU; takoj ko ga bo Komisija objavila, ga bomo dodatno vključili.
Uvrstitev na seznam ponudnikov storitev DPP. Transpareo se bo prijavil na uradni seznam ponudnikov storitev DPP (člen 2, točka 32 Uredbe o varstvu podatkov v EU), takoj ko bo objavljen postopek vpisa.
Registracija v imenu stranke. Pripravljamo storitev, s katero bomo prevzeli registracijo v imenu pooblaščenih strank - pravna odgovornost stranke v skladu s členom 19(4) ostaja nespremenjena.
Časovni načrt
Člen 23 ureja začetek veljavnosti: 20 dni po objavi v Uradnem listu. Kateri dan bo to, je odvisno od tega, kdaj bo Komisija sprejela končno različico. Glavni mandat iz člena 13(5) ESPR velja od 19. julija 2026 - do takrat mora biti register vzpostavljen.
Register bo predvidoma začel delovati šele 18. februarja 2027: Na ta dan začne veljati člen 77 Uredbe EU o baterijah 2023/1542, in DPP bo postal obvezen za industrijske baterije, baterije za električna vozila (EV) in baterije za mobilno opremo (LMT) z zmogljivostjo nad 2 kWh. Podrobnosti in odprta vprašanja v zvezi z izvedbenim aktom smo zapisali v časovnem načrtu ESPR 2027. Do takrat ostaja še približno devet mesecev. Kdor načrtuje pogodbe z dobavitelji, migracijo osnovnih podatkov in notranja odobritve, ve: časa je malo, ne veliko.
Kaj ostaja odprto
Uredba sama opisuje organizacijski okvir. Manjka pa tehnična specifikacija API - natančen format vmesnika, sheme in pravila za preverjanje veljavnosti. Ta bo predvidoma sledila kot ločena smernica Komisije v skladu s členom 15(1), verjetno še v letu 2026.
Do takrat pa je smer jasna: decentralizirana arhitektura, preverjeni akterji, kvalificirani podpisi, edinstvene identifikacijske številke za registracijo, veriga različic, semantična interoperabilnost. Vsi ti koncepti so tu, da ostanejo.
Uradna pobuda Komisije za posvetovanje je na voljo na Have Your Say.