technology

Kto może obsługiwać DPP? Wymogi UE dla operatorów

Jakie zasady przygotowuje UE dla operatorów infrastruktury DPP: certyfikacja, interoperacyjność, kopie zapasowe i zarządzanie platformą.

29.03.2026 · 9 min czytania · InfoDPP

Dlaczego ten temat jest teraz ważny

Komisja Europejska nie mówi już o Cyfrowym Paszporcie Produktu wyłącznie jako o narzędziu zgodności na poziomie produktu. Przygotowuje się również do uregulowania roli podmiotów, które będą obsługiwać infrastrukturę wokół DPP.

To istotna zmiana, ponieważ operator DPP to nie zwykły dostawca oprogramowania. W praktyce taki podmiot może przechowywać dane produktowe, zarządzać prawami dostępu, utrzymywać kopie zapasowe, wspierać wymianę danych między systemami, udostępniać interfejsy API i zapewniać dostępność danych paszportowych w czasie, gdy produkty przemieszczają się po rynku.

Dla firm wybierających platformę DPP zmienia to podejście z pytania „Czy ten dostawca wygeneruje kod QR?” na „Czy ta architektura prawdopodobnie pozostanie funkcjonalna, gdy zasady zarządzania UE staną się bardziej szczegółowe?”

Co Komisja faktycznie przygotowuje

Komisja Europejska uruchomiła dedykowaną inicjatywę dotyczącą zasad dla operatorów DPP w ramach rozporządzenia ESPR. Inicjatywa wyraźnie wskazuje, że Komisja zamierza przyjąć akt delegowany określający zasady działania operatorów DPP jako istotną część szerszego systemu zarządzania paszportami cyfrowymi.

Proces ten ma już widoczny harmonogram:

zaproszenie do zgłaszania uwag: 12 listopada – 10 grudnia 2024
konsultacje publiczne: 8 kwietnia – 1 lipca 2025
projekt aktu: w przygotowaniu
przyjęcie przez Komisję: planowane na IV kwartał 2026

Ostateczny kształt prawny nie został jeszcze opublikowany, ale kierunek jest już konkretny. Komisja zadała rynkowi szczegółowe pytania o przechowywanie danych, zarządzanie danymi oraz ewentualną potrzebę systemu certyfikacji operatorów.

Co jest już dziś jasne

Nawet przed publikacją finalnego aktu delegowanego kilka kwestii jest już wystarczająco klarownych.

1. Operatorzy DPP będą traktowani jako odrębna rola w systemie zarządzania

Komisja nie traktuje infrastruktury DPP jako niewidocznego zaplecza technicznego. Widzi ją jako funkcję wymagającą osobnych regulacji, ponieważ operatorzy znajdują się na styku podmiotów gospodarczych, organów regulacyjnych, konsumentów, systemów celnych i organów nadzoru rynku.

2. Debata nie dotyczy tego, czy potrzebne są zasady zarządzania

Debata dotyczy jak te zasady powinny wyglądać. To ważne rozróżnienie. Fundamentalna warstwa zarządzania jest już przedmiotem dyskusji. Otwarte pytania dotyczą certyfikacji, podziału ról, własności danych i wymagań technicznych.

3. Interoperacyjność jest kluczowa, nie opcjonalna

W materiałach konsultacyjnych jeden temat pojawia się wielokrotnie: operatorzy DPP nie powinni zamykać firm w systemach własnościowych. Otwarte standardy, przenoszalne identyfikatory i możliwość zmiany dostawcy należą do najsilniejszych, powtarzających się postulatów w zapisie konsultacji.

4. Kopie zapasowe i ciągłość będą ważne

Ramy ESPR już zawierają zasadę, że dane DPP muszą pozostać dostępne nawet po zniknięciu pierwotnego operatora lub podmiotu gospodarczego. Debata o operatorach czyni to operacyjnym: kto przechowuje kopie zapasowe, kiedy są udostępniane i czy rola backupu powinna być wydzielona.

Co pokazuje zapis konsultacji

Zaproszenie do zgłaszania uwag przyciągnęło 178 odpowiedzi — od dostawców platform, producentów, organizacji normalizacyjnych, stowarzyszeń branżowych, inicjatyw tworzenia przestrzeni danych i jednostek oceny zgodności. Nie daje to gotowej odpowiedzi prawnej, ale wyraźnie pokazuje, gdzie istnieje najsilniejszy konsensus.

Interoperacyjność i ochrona przed uzależnieniem od dostawcy — najsilniejszy wspólny mianownik

To najjaśniejszy wniosek ze wszystkich zgłoszonych odpowiedzi. Respondenci z bardzo różnych branż argumentują, że operatorzy DPP powinni opierać się na otwartych, międzynarodowo uznanych standardach i unikać architektur utrudniających zmianę dostawcy.

Dlaczego ma to znaczenie w praktyce:

W praktyce oznacza to, że:

firmy powinny móc eksportować swoje dane produktowe w użytecznej formie
identyfikatory i linki nie powinny psuć się przy zmianie operatora
dostawcy nie powinni polegać na zamkniętych protokołach tworzących bariery wyjścia
paszport cyfrowy powinien być przenoszalny między platformami i systemami

Zdecentralizowane zarządzanie ma silne poparcie

Kolejny powtarzający się postulat: dane DPP nie powinny być automatycznie koncentrowane w jednym centralnym repozytorium kontrolowanym przez zewnętrznego operatora. Szerokie grono respondentów opowiedziało się za modelem zdecentralizowanym, w którym podmiot gospodarczy zachowuje kontrolę nad swoimi danymi, a operator zapewnia hosting, wymianę i ciągłość — bez przejmowania własności nad całym systemem.

Nie oznacza to, że każda firma będzie wszystko hostować samodzielnie. Oznacza to, że model zarządzania powinien przewidywać miejsce na:

jasną własność danych po stronie podmiotu gospodarczego
hosting platformowy bez domyślnego przejęcia kontroli
przenoszalne rekordy i eksportowalne struktury
ograniczone i jasno zdefiniowane role backupowe

Certyfikacja jest na tapecie, ale nierozstrzygnięta

Konsultacje jasno pokazują, że część interesariuszy chce oficjalnego modelu certyfikacji ex ante, a inni preferują lżejszą lub bardziej elastyczną kontrolę. Pojawiają się odwołania do dojrzałości w zakresie bezpieczeństwa informacji (np. ISO 27001) jako praktycznego minimum.

część podmiotów opowiada się za formalną, niezależną certyfikacją jeszcze przed rozpoczęciem świadczenia usługi
inni wspierają certyfikację dobrowolną lub bazowe kryteria bezpieczeństwa zamiast ciężkiego modelu bramkującego
kilka odpowiedzi wskazuje na zarządzanie bezpieczeństwem informacji na poziomie zbliżonym do ISO 27001 jako praktyczną bazę

Ważne jest to: jakaś forma udokumentowanej wiarygodności i odporności jest prawdopodobna, ale dokładny mechanizm prawny nie został jeszcze sfinalizowany.

Kopie zapasowe to nie prosty temat przechowywania danych

Debata o backupach jest bardziej szczegółowa, niż się wydaje. Interesariusze pytają:

czy kopia zapasowa powinna być prowadzona przez tego samego operatora, czy przez oddzielny podmiot
czy kopia powinna zawierać żywe lustro danych, czy jedynie ostatni stan prawidłowy
kto może uzyskać do niej dostęp i na jakich warunkach
jak ciągłość powinna działać, gdy podmiot gospodarczy lub operator przestanie istnieć

To ważne, bo dostawca zaprojektowany wyłącznie pod frontendową prezentację może później mieć problem ze spełnieniem bardziej uporządkowanej logiki ciągłości i udostępniania danych.

Co pozostaje otwarte

W kilku ważnych kwestiach należy zachować ostrożność.

1. Ostateczny model certyfikacji nie został opublikowany

Nie wiadomo jeszcze, czy akt delegowany będzie wymagał pełnej certyfikacji ex ante, lżejszej oceny zgodności, certyfikacji dobrowolnej, czy modelu hybrydowego.

2. Granica między hostingiem głównym a kopią zapasową jest płynna

Prawne i operacyjne rozróżnienie między platformą aktywnie obsługującą DPP a podmiotem wyłącznie zapewniającym ciągłość danych jest wciąż dyskutowane.

3. Ostateczne wymagania techniczne nie zostały jeszcze skodyfikowane

Kierunek polityczny jest jednoznacznie prointeroperacyjny, ale akt delegowany nie zdefiniował jeszcze konkretnego stosu standardów, obowiązków systemowych ani mechanizmów weryfikacji operatorów.

4. Bariery finansowe i organizacyjne są nieustalone

Część respondentów ostrzegła, że nadmiernie rygorystyczne wymogi mogą wykluczyć mniejsze europejskie firmy programistyczne. Problem jest widoczny w konsultacjach, ale Komisja nie określiła jeszcze, jak zamierza go rozwiązać.

Co firmy mogą bezpiecznie zrobić już teraz

Fakt, że finalny akt delegowany nie został opublikowany, nie oznacza, że firmy muszą biernie czekać. Oznacza to, że powinny koncentrować się na decyzjach, które pozostaną wartościowe niezależnie od zmiany szczegółów.

1. Stawiaj na otwarte i przenoszalne dane produktowe

Nie buduj swojego procesu wokół platformy, która utrudnia eksport danych, ukrywa identyfikatory lub komplikuje migrację. Nawet bez finalnego aktu, przenoszalność jest jednym z najbezpieczniejszych założeń.

2. Pytaj operatorów o własność danych i logikę wyjścia

Poważny operator DPP powinien już teraz potrafić odpowiedzieć na pytania takie jak:

kto jest właścicielem danych produktowych
jak można je wyeksportować
co się dzieje po zakończeniu usługi
jak obsługiwane są kopie zapasowe i ciągłość

Jeśli te odpowiedzi są dziś niejasne, trudno oczekiwać, że staną się prostsze po przyjęciu aktu delegowanego.

3. Traktuj zarządzanie jako część wyboru dostawcy

Nie oceniaj operatorów wyłącznie na podstawie funkcji interfejsu. Oceniaj ich podejście do praw dostępu, audytowalności, podziału ról, strukturyzowanych danych i długotrwałej utrzymywalności.

4. Unikaj architektur, które trudno potem zmienić

Najbezpieczniejsze przygotowanie to nie zgadywanie dokładnego ostatecznego brzmienia przepisów. To unikanie budowania na założeniach, które już teraz są kwestionowane w konsultacjach — szczególnie vendor lock-in i słaba przenoszalność.

Dlaczego jest to ważne dla nabywców OriginPass

Dla producentów, importerów i właścicieli marek kluczowy wniosek nie polega na tym, że muszą stać się ekspertami od projektów aktów delegowanych. Kluczowy wniosek brzmi: wybór operatora staje się decyzją architektoniczną istotną z perspektywy compliance.

Najsilniejszy sygnał z obecnego procesu wskazuje, że zwycięski model DPP raczej nie będzie:

zamknięty
nieprzejrzysty
utrudniający eksport danych
lekceważący kopie zapasowe i logikę dostępu

Bardziej prawdopodobny kierunek to model oparty na:

ustrukturyzowanych rekordach
przenoszalnych identyfikatorach
jasnych granicach własności
interoperacyjności
zarządzaniu, które da się wyjaśnić i poddać audytowi

Czytaj dalej

Źródła oficjalne

Wybór platformy DPP nie jest już wyłącznie decyzją software’ową. Warto pracować z operatorem, który już teraz poważnie traktuje kwestie usługodawców, interoperacyjności i governance, zanim zasady UE zostaną domknięte. Tak OriginPass podchodzi do uporządkowanych rekordów produktowych i przenoszalnych workflow DPP.

← Wróć do Bloga