29 Nisan 2026 tarihinde Avrupa Komisyonu, Dijital Ürün Pasaportu Kayıt Sistemi’ne ilişkin Uygulama Yönetmeliği taslağını yayınladı (Ares(2026)4424976). Bu taslak, ESPR’nin 13(5) maddesini (2024/1781 sayılı Tüzük)’in 13(5) maddesini somutlaştırmakta ve Komisyon tarafından işletilen kayıt sisteminin teknik ve organizasyonel olarak nasıl işleyeceğini belirlemektedir.
Metin taslak olarak işaretlenmiştir ve henüz kabul edilmemiştir. Ancak temel mekanizmalar şimdiden açıkça görülebilmektedir ve bunlar, 2027’den itibaren bir DPP düzenlemek zorunda olan her üretici için doğrudan sonuçlar doğurmaktadır.
Kayıt Sistemi Nedir - Ve Ne Değildir
Öncelikle bir açıklığa kavuşturulacak nokta: AB Kayıt Sistemi, DPP verilerini kendisi depolamaz. Bu, her kayıt için benzersiz bir kimlik numarası, mal kodu, ekonomik aktörün kimliği, DPP sürümünün bir hash değeri ve DPP hizmet sağlayıcısındaki yedek kopyaya bir bağlantı barındıran merkezi bir dizin hizmetidir.
Gerekçe 3’te buna “merkezi olmayan model” denmektedir: Ürün verileri, üreticide veya üreticinin DPP platformunda kalmaya devam eder. Kayıt sistemi, standart adres listesidir; bir veri silosu değildir.
İşlevsel olarak kayıt defteri şunlardan oluşur:
- kayıtlar için bir web arayüzü ve bir API
- ekonomik aktörler için bir doğrulama platformu
- onaylanmış DPP hizmet sağlayıcılarının listesi
- veri öznitelikleri, model yapıları ve roller için referans niteliğinde semantik bir veri deposu (çok dilli, DCAT-AP yapısında)
- kademeli saklama sürelerine sahip bir kayıt sistemi
Kayıt Öncesi Doğrulama
Başvuruyu yapan ekonomik aktör, “doğrulanmış ekonomik operatör” olarak kaydedilmeden önce hiçbir DPP kayıt defterine eklenmez (Madde 4). Doğrulama işlemi doğrudan kayıt defterinde gerçekleştirilir ve 910/2014 sayılı Tüzük kapsamındaki eIDAS araçları kullanılır:
- AB’deki tüzel kişiler: nitelikli elektronik mühür veya elektronik özellik sertifikası
- AB’deki tek başına faaliyet gösteren gerçek kişiler: nitelikli elektronik imza, “yüksek” düzeyde eID veya özellik sertifikası
- AB dışındaki ekonomik operatörler: nitelikli imza veya mühür ya da özellik sertifikası
Doğrulama en fazla üç yıl geçerlidir. Yenileme yapmayanlar “doğrulanmamış” olarak işaretlenir ve yeni DPP’leri kaydetme veya mevcut olanları değiştirme hakkını kaybeder (Madde 4(4)).
Bu doğrulama, yasal bir ön koşuldur. Bu süreç, üretici ile Komisyon arasında gerçekleşir ve Transpareo gibi bir hizmet sağlayıcı operasyonel kayıt işlemlerini üstlense bile bu süreç devredilmez.
Ayrıntı Düzeyi: Model, Parti veya Ürün
- Madde, DPP’lerin ilgili sektörel mevzuatın öngördüğü ayrıntı düzeyinde (model, parti veya ürün) kaydedilmesini gerektirir. Bir ürün DPP’si oluşturulurken parti veya model kimlikleri mevcutsa, bunların da eklenmesi gerekir. Parti DPP’leri için de model kimlikleri konusunda aynı durum geçerlidir.
Üreticiler için bu, iç ana verilerde model, parti ve tekil ürün arasında net bir hiyerarşi olması gerektiği anlamına gelir. Bu bağlantı olmadan, kaydın otomatik olarak doğrulanması başarısız olur.
Sürümleme, Hash ve Saklama
Her DPP sürümü, orijinal kayıt kimliği ile ilişkilendirilir. Her değişiklikte, kayıt defteri güncel DPP sürümünün bir hash değerini talep eder; bu değer kriptografik olarak doğrulanabilir ve manuel olarak oluşturulamaz.
Kayıt belgesi (Madde 9), Komisyon tarafından nitelikli mühürle mühürlenen ve zaman damgası eklenmiş bir elektronik belgedir. İçeriği en azından şunları içermelidir: Kayıt kimliği, mal kodu, ilgili tarafın kimliği, tarih ve son sürümün hash değeri. 90 gün geçerlidir, istenildiği zaman yeniden oluşturulabilir.
Standart saklama süresi: Birlik hukuku veya sektör hukuku başka bir süre öngörmediği sürece, kayıttan itibaren 10 yıl (DPP Kayıt Uygulama Yönetmeliği Madde 10(3)). Üreticinin iflası veya tasfiyesi bile erişilebilirlik yükümlülüğünü ortadan kaldırmaz (ESPR Madde 11(e)).
Günlük Sistemi
Kayıt sistemi üç aşamalı olarak günlük tutar (Madde 14):
- Erişimler ve kimlik doğrulamalar: 6 ay
- Veri değişiklikleri: Kayıt süresi boyunca
- İdari işlemler ve veri alışverişi: 5 yıl
Ulusal makamlar, olaylar, denetimler veya rastgele kontroller sırasında erişim hakkına sahiptir.
Kişisel Veriler - Komisyonun sakladığı veriler
- madde, yalnızca kayıt defterinde tutulan verileri listeler: Her kullanıcının adı ve soyadı, oturum açma kimlik bilgileri, kimlik belirteçleri, posta adresi, e-posta. Gerçek kişiler için ek olarak pasaport veya kimlik numarası, e-kimlik, vergi kimlik numarası. Bu veriler DPP hizmet sağlayıcısını ilgilendirmez. Komisyon bu hesap verilerinin veri sorumlusudur; ekonomik aktör ise kendi DPP verilerinin veri sorumlusu olmaya devam eder.
Transpareo’nun gereklilikleri nasıl karşıladığı
Gerekliliklerin çoğu, Transpareo’nun halihazırda bu şekilde uyguladığı mimari kararlarla örtüşmektedir. Ayrıntılı olarak:
Merkezi olmayan model. Transpareo, her müşteri için ayrı bir veritabanına sahip çoklu kiracılı bir platformdur. DPP verileri merkezi bir havuzda değil, ekonomik aktörün veritabanında tutulur; bu, tam da (3) numaralı gerekçede öngörülen mimaridir.
Veri işleyici rolü net bir şekilde sınırlandırılmıştır. Madde 19(5) ve 20(3), ekonomik aktörün kayıt işlemini bir üçüncü tarafa devretse bile veri sorumlusu olarak kalmasını öngörmektedir. Transpareo halihazırda AVV kapsamında veri işleyici olarak çalışmaktadır; roller net bir şekilde belirlenmiştir.
Her DPP için sabit yedekleme URL’si. Her Transpareo DPP’sine, sürüm değişikliklerinden bağımsız olarak değişmeyen kalıcı bir URL üzerinden erişilebilir. Madde 8(6)(d), “bir DPP-SP tarafından barındırılan yedeğe bağlantı” olarak tam da bunu gerektirmektedir.
Ayrıntı düzeyi. Transpareo’nun veri modeli, ürün modeli, parti ve tekil ürün arasında ayrım yapar ve hiyerarşi boyunca bağlantılara izin verir; bu, Madde 8(3)/(4)’ü yerine getirmek için bir ön koşuldur.
Çok dilli semantik eşleme. Komisyonun veri havuzu, DCAT-AP uyarınca çok dillidir. Transpareo, her veri noktasını 24 AB resmi dili de dahil olmak üzere 39 dilde tutar ve çeviri, ücret paketinin bir parçasıdır.
Sürüm Hash’i. JSON Canonicalization Scheme (RFC 8785) uyarınca deterministik serileştirme ve her DPP sürümü için bir SHA-256 hash’i halihazırda sunulmaktadır. Sadece AB Kayıt Defteri’nin kesin hash sabitleme formatı henüz belli değildir; Komisyon bunu yayınlar yayınlamaz, biz de bunu ek olarak eşleştireceğiz.
DPP hizmet sağlayıcısı olarak listeye alınma. Transpareo, kabul prosedürü yayınlanır yayınlanmaz, DPP hizmet sağlayıcılarının resmi listesine (ESPR Madde 2, No. 32) başvuruda bulunacaktır.
Vekaleten kayıt. Yetkili müşteriler adına kayıt işlemlerini üstlenmek üzere hizmetimizi hazırlıyoruz; Madde 19(4) uyarınca müşterinin yasal sorumluluğu bundan etkilenmez.
Zaman Çizelgesi
Yürürlüğe giriş, Madde 23’te düzenlenmiştir: Resmi Gazete’de yayımlanmasından 20 gün sonra. Bunun hangi gün olacağı, Komisyon’un nihai metni ne zaman kabul edeceğine bağlıdır. ESPR’nin 13(5). maddesindeki ana yetki 19 Temmuz 2026 tarihine dayanmaktadır; kayıt sistemi o tarihe kadar faaliyete geçmelidir.
Kayıt sisteminin tam anlamıyla işlevsel hale gelmesi ise muhtemelen 18 Şubat 2027’de gerçekleşecektir: Bu tarihte AB Pil Yönetmeliği 2023/1542 Madde 77 yürürlüğe girecek ve DPP, 2 kWh’nin üzerindeki endüstriyel, elektrikli araç (EV) ve LMT piller için zorunlu hale gelecektir. Ayrıntıları ve Uygulama Yasası ile ilgili açık kalan soruları ESPR 2027 Zaman Çizelgesi ’nde özetledik. O tarihe kadar yaklaşık dokuz ayımız var. Tedarikçi sözleşmelerini, ana veri geçişini ve şirket içi onay süreçlerini planlayanlar bilir ki: bu süre kısıtlıdır, bol değildir.
Hala belirsiz olan hususlar
Yönetmelik, organizasyonel çerçeveyi tanımlamaktadır. Eksik olan ise API’nin teknik özellikleri: kesin arayüz formatı, şemalar ve doğrulama kuralları. Bunların, 15(1) maddesi uyarınca ayrı bir Komisyon kılavuzu olarak, muhtemelen 2026 yılı içinde yayınlanması bekleniyor.
Ancak o zamana kadar izlenecek yol net: merkezi olmayan mimari, doğrulanmış aktörler, nitelikli imzalar, benzersiz kayıt kimlikleri, sürüm zincirleme, anlamsal birlikte çalışabilirlik. Bunların hepsi artık ortadan kalkmayacak kavramlardır.
Komisyonun resmi danışma girişimi Have Your Say adresinden erişilebilir.