Komisja Europejska konsultuje projekt rozporządzenia w sprawie centralnego rejestru DPP

Kontekst: dlaczego centralny rejestr cyfrowych paszportów produktów?

Cyfrowy paszport produktu (DPP) jest fundamentem europejskiego rozporządzenia w sprawie ekoprojektu dla zrównoważonych produktów (ESPR), które obowiązuje od lipca 2024 roku. Zobowiązuje ono producentów do udostępniania maszynowo odczytywalnych zbiorów danych dla rosnącej liczby kategorii produktów — od baterii i tekstyliów po elektronikę. Ale gdzie właściwie znajdują się odwołania do tych zbiorów? Właśnie tę kwestię reguluje nowe rozporządzenie wykonawcze.

29 kwietnia 2026 roku Komisja Europejska opublikowała projekt rozporządzenia wykonawczego w sprawie rejestru DPP, który jest obecnie poddany konsultacjom publicznym. Dokument opisuje, w jaki sposób scentralizowany rejestr będzie przechowywać unikalne identyfikatory produktów i łączyć je z danymi produktowymi przechowywanymi w sposób zdecentralizowany. Nie jest to baza samych danych produktowych — to katalog odwołań.

Ten wybór architektoniczny jest zamierzony: UE nie chce tworzyć monolitycznego silosu danych, lecz interoperacyjną sieć systemów producentów, którą można odnaleźć poprzez wspólny węzeł centralny.

Co projekt faktycznie nakazuje

Struktura: centralny rejestr, zdecentralizowane dane

Główna zasada projektu jest jasna: rejestr przechowuje wyłącznie unikalne identyfikatory (UID) oraz powiązane punkty końcowe resolvera — to znaczy adresy URL, pod którymi można pobrać właściwe dane DPP. Same dane produktowe pozostają u producenta lub wyznaczonego operatora danych.

Model ten jest koncepcyjnie ściśle zbieżny ze GS1 Digital Link, otwartym standardem, który łączy numery GTIN ze strukturyzowanymi identyfikatorami URI w sieci. Skaner lub organ nadzoru rynku może wykorzystać wpis w centralnym rejestrze, aby zlokalizować odpowiedzialny resolver i pobrać z niego kompletne dane paszportu.

Obowiązki rejestracyjne podmiotów gospodarczych

Projekt ustanawia, że producenci i importerzy są zobowiązani do zarejestrowania swoich produktów w rejestrze, zanim wprowadzą je do obrotu. Konkretnie muszą oni:

przekazać unikalny identyfikator produktu (UID),
podać punkt końcowy resolvera (URL), pod którym dostępny jest DPP,
dostarczyć metadane dotyczące kategorii produktu i odpowiedzialnego podmiotu gospodarczego.

Rejestracja ma odbywać się za pośrednictwem standaryzowanego API, którego specyfikacja techniczna jest nadal opracowywana przez ECLASS i inne organy normalizacyjne. Projekt odwołuje się do trwających prac CEN/CENELEC JTC 24, którego zadaniem jest harmonizacja modeli danych.

Prawa dostępu i ochrona danych

Jednym z kluczowych punktów spornych w konsultacjach będzie prawdopodobnie kwestia, kto może uzyskać dostęp do których danych rejestru. Projekt rozróżnia trzy klasy podmiotów:

Podmiot	Dostęp do odczytu	Dostęp do zapisu	Uwagi
Opinia publiczna / konsumenci	URL resolvera, kategoria produktu	Nie	Brak wrażliwych handlowo danych biznesowych
Organy nadzoru rynku	Pełny wpis wraz z metadanymi	Nie	Jednolity w całej UE
Podmioty gospodarcze (producenci, importerzy)	Własne wpisy	Tak	Uwierzytelnianie przez EU Login

Informacje wrażliwe handlowo — takie jak relacje z dostawcami czy ceny zakupu — w sposób wyraźny nie mają być przechowywane w rejestrze. W tym zakresie projekt wskazuje na możliwość zdefiniowania poziomów dostępu (Access Rights) w ramach samego DPP, jak przewidziano już w rozporządzeniu delegowanym ESPR dla baterii.

Implikacje techniczne dla producentów i dostawców usług IT

Integracja API i rejestracja masowa

Dla firm z dużymi portfelami produktów kluczowa jest kwestia rejestracji masowej. Projekt opisuje REST API, za pośrednictwem którego identyfikatory UID można przesyłać w partiach. Uproszczony przykład tego, jak takie wywołanie rejestracji mogłoby być zbudowane:

POST /registry/v1/products
Content-Type: application/json
Authorization: Bearer <EU-Login-Token>

{
  "uid": "https://id.gs1.org/01/04012345678901/21/ABC123",
  "resolverEndpoint": "https://dpp.example.com/resolver",
  "productCategory": "ESPR:TextileUpperGarment",
  "economicOperator": {
    "eori": "DE123456789",
    "name": "Muster GmbH"
  }
}

Sam identyfikator UID musi być zgodny z uznanym systemem identyfikacji — projekt wprost wymienia GS1 GTIN, a także kody zgodne z ISO/IEC 15459. Systemy własnościowe są dopuszczalne, ale muszą być globalnie unikalne i trwale rozwiązywalne.

Dla firm, które już pracują z narzędziami takimi jak qr3.app Bulk Import, zasadnicza idea nie zmienia się znacząco: strukturyzowane dostarczenie identyfikatorów UID i adresów URL resolvera w formacie CSV lub JSON może zostać odwzorowane na API rejestru. Prawdziwe wyzwanie tkwi w zarządzaniu (governance) — kto w organizacji odpowiada za utrzymanie wpisów, gdy zmieniają się adresy URL resolvera lub produkty są wycofywane z rynku?

Zarządzanie cyklem życia: wycofania i archiwizacja

Projekt odnosi się również do cyklu życia produktu po wprowadzeniu do obrotu. Producenci są zobowiązani do aktualizacji wpisów w rejestrze, gdy:

zmienia się punkt końcowy resolvera,
produkt zostaje wycofany (wpis musi wówczas zostać oznaczony jako „recalled”, ale nie usunięty),
firma zostaje rozwiązana lub przeniesiona.

Obowiązek archiwizacji ustalono na co najmniej 10 lat od ostatniego momentu wprowadzenia produktu do obrotu — wymóg, który stanowi szczególne wyzwanie dla MŚP nieposiadających własnej infrastruktury IT.

Harmonogram i kolejne kroki

Konsultacje publiczne nad projektem mają potrwać do końca czerwca 2026 roku. Uwagi można przesyłać za pośrednictwem portalu EU Have Your Say. Komisja zasygnalizowała zamiar przyjęcia ostatecznego rozporządzenia wykonawczego przed końcem 2026 roku, aby dostosować je do pierwszych rozporządzeń delegowanych ESPR specyficznych dla produktów — przede wszystkim dla tekstyliów (planowane na 2027 rok).

Dla rozporządzenia w sprawie baterii, które obowiązuje od lutego 2024 roku, obowiązuje rozwiązanie szczególne: system paszportu baterii początkowo działa poprzez odrębny mechanizm, ale w średnim terminie ma zostać zintegrowany z centralnym rejestrem.

Co firmy powinny zrobić już teraz

Choć rozporządzenie nie jest jeszcze ostateczne, istnieją kroki przygotowawcze, które można podjąć już dziś:

Zdefiniuj swoją strategię UID: Zdecyduj, czy oprzeć się na GS1 GTIN, czy na systemie alternatywnym. GS1 Digital Link ma tę zaletę, że identyfikator jednocześnie pełni funkcję rozwiązywalnego identyfikatora URI w sieci.
Zbuduj swoją infrastrukturę resolvera: Punkt końcowy resolvera musi być trwale dostępny i wersjonowany. Używaj stabilnych bazowych adresów URL — nie dynamicznych, skróconych linków.
Zdefiniuj procesy utrzymania danych: Kto w Twojej organizacji odpowiada za aktualizacje rejestru, gdy produkty się zmieniają lub są wycofywane?
Monitoruj konsultacje: Ostateczne rozporządzenie może różnić się od projektu — w szczególności w odniesieniu do specyfikacji API i praw dostępu.

Ocena: co rejestr robi — a czego nie robi

Centralny rejestr DPP nie jest certyfikatem jakości ani oceną zgodności. To usługa katalogowa — porównywalna z DNS dla identyfikatorów produktów. Za poprawność danych DPP odpowiadają nadal podmioty gospodarcze, a weryfikują ją organy nadzoru rynku.

Krytycy z kręgów branżowych — w tym BusinessEurope — już zauważyli, że dwuczęściowa struktura centralnego rejestru i zdecentralizowanego przechowywania danych zwiększa koszty zgodności bez znaczącej poprawy ochrony danych. Z kolei zwolennicy, w tym organizacje ekologiczne takie jak European Environmental Bureau, argumentują, że tylko centralny punkt wejścia może zapewnić egzekwowalność przez organy.

Faza konsultacji pokaże, czy Komisja utrzyma architekturę hybrydową, czy wprowadzi korekty. Dla firm, które już teraz rozpoczynają przygotowania techniczne, kluczowy wniosek jest następujący: fundamentalne zasady — unikalne identyfikatory, stabilne resolwery, strukturyzowane metadane — pozostaną aktualne niezależnie od ostatecznego brzmienia przepisów.