- априла 2026. године Европска комисија је објавила нацрт имплементационе уредбе о регистру ДПП и истовремено отворила четворонедељни консултациони период. До 27. маја 2026. године, сваки појединац или организација у ЕУ и шире може да достави повратне информације преко портала “Have Your Say”. Доставке су јавне, свака је потписана именом или организацијом, и званично ће бити укључене у коначну верзију уредбе.
Овај нацрт смо детаљно размотрили овде на блогу. Ову објаву посвећујемо питању шта смо одговорили Комисији.
Зашто смо поднели четири одвојене пријаве
Портал прихвата 4.000 знакова по пријави. Могли смо да склопимо све наше тачке у једну дугу пријаву. То би било теже за особље Комисије - које ће у мају проучавати десетине поднесака - да прочита и теже да цитира. Четири појединачна поднеска могу се засебно пронаћи на јавном списку, и на сваки се може одговорити - или га одбацити - одвојено, без утицаја на остале тачке.
Поднели смо следеће четири теме:
1. Дефинисање минималних захтева за пружаоце DPP услуга
Нацрт уредбе исправно утврђује децентрализовани модел: Подаци о DPP-у се налазе код економског оператора или његовог пружаоца DPP услуга; регистар Комисије само чува референце. Предвиђена је званична листа овлашћених пружалаца услуга за DPP (члан 2 став 32 ESPR-а).
Оно што недостаје јесте дефиниција шта пружалац услуга заправо мора да уради да би био укључен у ову листу и остао на њој. Вероватно ће материјалне обавезе бити утврђене у делегираном акту у складу са чланом 4 главне Уредбе о ЕСПР. Међутим, регистар ће бити покренут пре објављивања овог делегираног акта.
Наш предлог: или утврдити минималне критеријуме за пружаоце услуга директно у овом имплементационом пропису, или одредити обавезни рок до када делегирани акт мора бити донет. Предложени минимални захтеви укључују:
- Доступност јавног DPP интерфејса за читање од најмање 99,5 одсто месечно
- Уговор о нивоу услуге којим се утврђује колико брзо нова верзија DPP-а мора бити укључена у резервну копију (предлог: 24 сата или у реалном времену, где је то технички могуће)
- Обавезна криптографска верификација долазећих верзија од стране пружаоца услуге
- Објављивање јавних кључева економског оператора под стандардизованом путањом (RFC 8615, предлог
/.well-known/dpp-keys/) - Дефинисан процес преласка и неплаћености како би се обезбедило да се DPP подаци уредно мигрирају на другог провајдера у случају неспособности провајдера
Ове обавезе реномираног пружаоца услуга ништа не коштају - он их ионако испуњава - али спречавају трку ка дну међу јефтиним пружаоцима услуга, што на крају поткопава листу.
2. Дугорочна проверљивост регистрованих ДПО
Члан 9(4) ограничава доступност сертификата о регистрацији на 90 календарских дана. У том периоду, регистар ће по захтеву поново генерисати сертификат. Ово је у реду за свакодневне послове, али није у складу са животним циклусом основне обавезе ДПО: члан 10 став 3 утврђује стандардни рок чувања од 10 година од регистрације, док специфично секторско законодавство може захтевати дужа раздобља.
Орган за надзор тржишта, царински службеник, рециклатер или истраживач 2032. године требало би да могу да провере да ли је ДПО регистрована 2026. године заиста била регистрована, без потребе да се ослањају на то да оригинални економски оператер још увек постоји и да може да затражи нови сертификат.
Наша два предлога су једноставна за спровођење:
- Експлицитно разјаснити да доказни бајтови, које је Комисија квалификовала и запечатила, могу бити кеширани, архивирани и редистрибуирани од стране економског оператора или пружаоца услуга. Квалификовани печат према члану 35(2) Уредбе eIDAS носи презумпцију интегритета и порекла без обзира на то где се бајтови налазе.
- Јавни, неаутентиковани ендпоинт за верификацију у регистру који враћа потписан одговор за идентификациони број регистрације. Тренутно свака верификација од стране трећег лица захтева да економски оператор предузме радњу - то није прави приступ за документ о доказивању који мора да опстане и после издаваоца.
Поред тога, предложили смо детерминистичко дефинисање генерисања хаша: SHA-256 као хеш-функцију, JSON Canonicalisation Scheme (RFC 8785) као сериализацију, ван блока потписа. У W3C екосистему, то је крипто-суит eddsa-jcs-2022, који Transpareo користи за директно потписивање. Без ове спецификације за фиксирање, два пружаоца услуга би серијелизовали исти DPP у различита хешове, и поље за хеш у сертификату о регистрацији не би било репродуцибилно.
3. Члан 17 не сме ограничити приступ јавним DPP подацима
Члан 17 наводи “масовне преузимања података” као потенцијалну злоупотребу регистра. Ово је тачно у вези са административним метаподацима који се чувају у самом регистру (идентитети, логови, трагови ревизије) - они не спадају у масовна преузимања.
Међутим, јавни подаци о ДПП-у које поседују произвођач или пружалац услуга управо су она област коју ESPR има за циљ да учини широко доступном. Рециклажери који извлаче податке о саставу флоте производа; истраживачи који унакрсно анализирају тврдње о одрживости; надзор над тржиштем који спроводи упоредне анализе - све су то облици “масовних преузимања података” из јавног слоја DPP-а и све су намењене употребе за које је Уредба сачињена.
Наш предлог је појашњавајућа реченица у члану 17 која ограничава обим на податке за регистрацију и, када је реч о DPP подацима, упућује на релевантне секторске делеговане акте. У супротном, пружаоци услуга ће се при покретању суочити са избором: или да агресивно ограниче стопе приступа за јавни приступ као мере предострожности - чиме би се покварило искуство потрошача - или да га оставe отвореним и ризикују да ће касније бити класификовано као злоупотреба у смислу члана 17.
4. Објавити OpenAPI спецификацију и песочнић пре покретања
Члан 3(б) захтева АПИ за регистрације. Члан 8(5) га одређује као један од два канала за регистрацију. Међутим, Уредба не говори ништа о томе када треба објавити АПИ уговор.
Сви који аутоматизују токове регистрације - сваки пружалац услуга и сваки економски оператор са великим каталогом - требају спецификацију API-ја много пре покретања како би је имплементирали и тестирали на живом ендпоинту. То што је потребно пронаћи спецификацију у недељи пре ступања на снагу Уредбе пребацује ризик интеграције на све пружаоце у екосистему.
Стога смо предложили:
- Објављивање OpenAPI 3.1 спецификације најмање осам недеља пре ступања на снагу прописа - за покретање 19. јула 2026. године, то би значило до 24. маја 2026. године
- Паралелно окружење за тестирање (sandbox) на коме пружаоци услуга и произвођачи могу да интегришу и тестирају аутоматску верификацију из члана 8(6)
- Политика верзионисања коришћењем Semver-а, са периодом укидања подршке од најмање 18 месеци
Додатни предлози за дизајн: идепотенцијски кључеви за позиве за регистрацију, групна регистрација за велике каталоге, асинхрона регистрација са вебхук позивима за повраћај информација и машински читљиви кодови грешака за случајеве када аутоматска верификација не успе.
Зашто ово радимо
Консултација није игра за освајање поена. Ако свака поднеска успе да учини једну реченицу у коначној верзији прецизнијом, она је испунила своју сврху. Комисија заправо чита ове доприносе - искуство из самог процеса ESPR показује да технички исправне пријаве често остављају траг на коначним текстовима.
У сваком случају, поднећемо захтев за укључивање на листу пружалаца услуга DPP чим буде објављен поступак за пријем. Стога је у нашем директном интересу да правила по којима се такмичимо буду прецизна и да обезбеде равноправне услове. Четири доприноса су наш конкретан начин да обезбедимо да листа не дегенерише у пуку маркетиншку ознаку.
Како се укључити
Рок за достављање повратних информација је 27. мај 2026. године. Доприносе можете доставити на једном од званичних језика ЕУ; морате се регистровати на порталу, а ваш допринос ће бити јавно доступан. Сви који ће издавати или проверавати ДПП - произвођачи, пружаоци услуга, рециклажери, јавне власти - требало би барем да се упознају са иницијативом на Have Your Say. Чак и кратак, технички тачан допринос прави разлику.
Наш алат за верификацију Transpareo Time Machine већ испуњава захтев за верификацију наведен у тачки 2 у пракси отвореног кода: свако ко жели да независно провери Transpareo DPP може то учинити већ данас користећи овај алат, без чекања на формално успостављено верификационо одредиште у регистру Комисије.