- априла 2026. године Европска комисија је објавила нацрт Извршне уредбе о регистру дигиталног пасоша производа (Ares(2026)4424976). Утврђује детаље члана 13 став 5 ESPR-а ([Уредба 2024/1781])(https://eur-lex.europa.eu/eli/reg/2024/1781/oj)) и утврђује како ће регистар, којим управља Комисија, функционисати са техничке и организационе тачке гледишта.
Текст је означен као нацрт и још увек није усвојен. Међутим, кључни механизми су већ јасно уочљиви - и они имају непосредне последице по сваког произвођача који ће бити у обавези да издаје DPP од 2027. године па надаље.
Шта је регистар - а шта није
Прво, појашњење: регистар ЕУ сам по себи не чува податке DPP-а. То је централна директоријумска услуга која за сваку регистрацију води јединствени ИД, код производа, идентитет економског оператора, хеш верзије ДПП-а и референцу на резервну копију коју чува пружалац услуге ДПП-а.
Уводни став 3 назива ово “децентрализованим моделом”: подаци о производу остају код произвођача или на његовој DPP платформи. Регистар је канонска адресарна листа, а не силос података.
Функционално, регистар се састоји од:
- веб интерфејса и API-ја за регистрације
- платформе за верификацију економских оператера
- списак овлашћених пружалаца услуга DPP
- семантичко репозиторијум (мултијезички, структурисан према DCAT-AP) као референца за атрибуте података, структуре модела и улоге
- систем евидентирања са више нивоа рокова задржавања
Верификација пре регистрације
Ниједан DPP се не уноси у регистар док подносилац, економски оператор, није наведен као проверен економски оператор (члан 4). Верификација се спроводи директно преко регистра и користи еIDAS мере прописане у Уредби 910/2014:
- Правно лице унутар ЕУ: квалификовани електронски печат или електронски сертификат атрибута
- Физичко лице које послује као самостални предузетник у ЕУ: квалификовани електронски потпис, ниво еИД “висок” или сертификат са атрибутима
- Оператори ван ЕУ: квалификовани потпис или печат или сертификат са атрибутима
Верификација важи највише три године. Свако ко не обнови своју верификацију биће означен као “неверификован” и изгубиће право да региструје нове ДПП или мења постојеће (члан 4(4)).
Ова верификација је законски захтев. То је питање између произвођача и Комисије - и не делегира се чак и ако пружалац услуга као што је Transpareo обавља оперативну регистрацију.
Ниво детаља: модел, серија или артикал
Члан 8 захтева да се ДПО региструју на нивоу детаља који одређује релевантно секторско законодавство - модел, ## серијаили артикал. Када се креира ДПО за артикал и постоје ИД серије или модела, они морају бити укључени. Исто важи и за идентификационе бројеве модела у случају ДПП-ова за серије.
За произвођаче, ово значи да интерни основни подаци морају имати јасну хијерархију између модела, серије и појединачног производа. Без ове везе, аутоматска валидација регистрације ће бити неуспешна.
Верзионирање, хаш и задржавање
Свака верзија ДПО-а повезана је са оригиналним идентификационим бројем регистрације. За сваку промену, регистар захтева хаш тренутне верзије ДПО-а - који се може криптографски проверити, а не може се генерисати ручно.
Доказ о регистрацији (члан 9) је електронски документ који Комисија запечаћује квалификованим печатом и временским жигом. Он мора да садржи најмање следеће: ИД регистрације, код производа, идентитет оператора, датум и хеш најновије верзије. Важи 90 дана; може се поново генерисати онолико пута колико је потребно.
Стандардни рок чувања: 10 година од регистрације, осим ако право Уније или секторско законодавство не предвиђа другачији рок (члан 10. став 3. Извршне уредбе о регистратору ДПП). Чак ни insolventnost или ликвидација произвођача не ослобађа их обавезе да обезбеде доступност (ESPR чл. 11(е)).
Систем евиденције
Регистар евидентира податке у три фазе (чл. 14):
- Приступи и аутентификације: 6 месеци
- Промене података: током трајања регистрације
- Административне радње и размена података: 5 година
Националним властима се одобрава приступ у случају инцидената, ревизија или насумичних провера.
Лични подаци - шта Комисија чува
Члан 18 наводи податке које води искључиво регистар: име и презиме сваког корисника, акредитиве за пријаву, токене за аутентификацију, поштанску адресу, адресу електронске поште. За физичка лица, ово такође укључује број пасоша или личне карте, е-идентификациони број (eID) и порески идентификациони број. Ови подаци нису доступни пружаоцу услуге DPP. Комисија је контролор података за ове податке о налогу; економски оператор остаје контролор података за своје DPP податке.
Како Transpareo испуњава захтеве
Већина захтева односи се на архитектонске одлуке које је Transpareo већ имплементирао у овом облику. Конкретно:
Децентрализовани модел. Transpareo је платформа за више корисника са изолованом базом података за сваког клијента. DPP подаци се налазе у бази података економског оператора, а не у централизованом складишту - управо онаква архитектура која је предвиђена у Резолуцији 3.
Јасно дефинисана улога обрађивача података. Чланови 19(5) и 20(3) прописују да економски оператор остаје контролор чак и ако ангажује треће лице да обави регистрацију. Transpareo већ послује као обрађивач података на основу уговора о обради података (DPA) - улоге су јасно дефинисане.
Стабилни URL-ови за резервне копије за сваког DPP-а. Сваки Transpareo DPP доступан је преко трајног URL-а који остаје непромењен чак и при ажурирањима верзија. Управо то захтева члан 8(6)(d) као “везу ка резервној копији коју хостује DPP-SP”.
Грануларност. Модел података Transpareo-а разликује између модела производа, серије и појединачног производа и омогућава везе кроз целу хијерархију - предуслов за усаглашеност са чланом 8(3)/(4).
Вишејезично семантичко мапирање. Репозиторијум Комисије је вишејезичан у складу са DCAT-AP. Transpareo одржава сваку тачку података на 39 језика, укључујући свих 24 званична језика ЕУ, а превод је укључен у цену услуге.
Хеш верзије. Детерминистичка серијска обрада у складу са шемом канонизације JSON-а (RFC 8785) и SHA-256 хеш за сваку верзију DPP-а су већ обезбеђени. Једини преостали проблем је тачан формат везивања хашова регистра ЕУ; чим га Комисија објави, ми ћемо га такође имплементирати.
Упис као пружаоца DPP услуга. Transpareo ће поднети захтев за упис на званичну листу пружалаца DPP услуга (члан 2(32) ESPR-а) чим буде објављен поступак пријема.
Регистрација у име клијената. Припремамо услугу за обављање регистрације у име овлашћених клијената - правна одговорност клијента остаје непромењена у складу са чланом 19(4).
Временски распоред
Члан 23. утврђује датум ступања на снагу: 20 дана након објављивања у Службеном листу. Тачан датум ће зависити од тога када Комисија усвоји коначну верзију. Главни мандат према члану 13(5) ESPR-а је 19. јул 2026. године - регистар мора до тада бити оперативан.
Не очекује се да ће регистар у потпуности постати оперативан до 18. фебруара 2027. године: На овај датум ступа на снагу члан 77 Регулатива ЕУ о батеријама 2023/1542, а DPP ће постати обавезан за индустријске, електричне возила и LMT батерије чија прекорачи капацитет од 2 kWh. Детаље и отворена питања у вези са Извршним актом изложили смо у ESPR распореду за 2027. До тада је остало око девет месеци. Сви који планирају уговоре са добављачима, миграцију мастер података и интерна одобрења знају да је ово тесан распоред, а не издашан.
Шта остаје да се разјасни
Сама Уредба утврђује организациони оквир. Оно што недостаје јесте техничка спецификација API-ја - тачан формат интерфејса, шеме и правила валидације. Очекује се да ће то уследити као засебна смерница Комисије у складу са чланом 15(1), вероватно касније 2026. године.
До тада је, међутим, смер јасан: децентрализована архитектура, проверени актери, квалификовани потписи, јединствени регистрациони ИД-ови, ланац верзија, семантичка интероперабилност. То су сви концепти који су ту да остану.
Званична иницијатива Комисије за консултације доступна је на Have Your Say.