FőoldalTudástár › Adatvédelem
Adatvédelem

Ki látja az adataimat? — DPP hozzáférési szintek és üzleti titok

Az ESPR átláthatóságot ír elő — de nem tesz mindent nyilvánossá. Így fér össze a termékútlevél az üzleti titokkal és a rétegzett hozzáféréssel.

⏱️ 8 perc olvasás

A legelterjedtebb félelem a digitális termékútlevéllel szemben egyetlen mondatba sűríthető: „ha mindent beleírok, a versenytárs kimásolja a receptet, a beszállítóim listáját és a haszonkulcsomat.” A jó hír: ez félreértés. A digitális termékútlevél nem egy nyilvános kirakat, ahol minden adat mindenki előtt csupaszon áll. Az ESPR pontosan azért épít rétegzett, szerep-alapú hozzáférésre, hogy az átláthatóság és az üzleti titok egyszerre teljesülhessen. A kérdés nem az, hogy „lássák-e az adataimat”, hanem hogy ki, mit és meddig.

Az átláthatóság nem meztelenség

Az uniós ökodesign-rendelet (ESPR, (EU) 2024/1781) a termékútlevelet a III. fejezetében szabályozza, és a hozzáférés alapelvét már a preambulum is kimondja: a DPP-t úgy kell kialakítani, hogy különböző gazdasági szereplők és érdekeltek eltérő hozzáférési jogokkal rendelkezzenek, az adott termék és értéklánc kontextusához igazítva. Vagyis a rendelet kiindulópontja nem az, hogy minden adat nyilvános, hanem hogy az adatok differenciált, „need-to-know” elven érhetők el.

Ez döntő különbség. Aki azt hiszi, hogy a termékútlevél = egy QR-kód mögötti nyilvános adatlap, az a kép felét látja. A valóságban a QR-kód (pontosabban az adathordozó és a GS1 Digital Link) csak a belépő: hogy mögötte ki mit lát, azt a mögöttes rendszer és a jogosultsági szintek döntik el. A fogyasztó a nyilvános réteget kapja; a hivatásos javító többet; a piacfelügyeleti hatóság a legtöbbet. Ugyanaz a kód, más-más adathalmaz.

Az ESPR ráadásul kifejezetten elismeri a feszültséget az átláthatóság és a szellemi tulajdon (IPR), az üzleti titok és a bizalmas kereskedelmi információ között — és nem az átláthatóság javára billenti egyoldalúan. A rendelet szerint a szabadon (nyilvánosan) elérhető adatok nem tartalmazhatnak üzleti titkot vagy IPR-t, és a delegált aktusok nem írhatnak elő olyan adatot nyilvánosként, amely a termékhamisítást megkönnyítené. Az átláthatóság tehát a rendeletben eleve korlátozott fogalom.

Ki melyik réteget látja?

A jelenlegi iparági és jogi konszenzus — az akkumulátor-útlevél négyszintű modelljét mintaként követve — nagyjából három-négy hozzáférési kört különít el. Fontos: a lenti besorolás illusztratív; a pontos, mezőnkénti kiosztást nem a keretrendelet, hanem a termékcsoportonkénti delegált aktusok rögzítik majd.

SzereplőJellemzően mit látCél
Nyilvánosság / fogyasztóÁltalános fenntarthatósági és anyagösszetételi információ, használati, javítási és ártalmatlanítási útmutatóTájékozott vásárlói döntés, körforgásos használat
Javítók, felújítók, újrahasznosítók („jogos érdekű” szereplők)Részletes szétszerelési útmutató, alkatrészlista, diagnosztika, az aggasztó anyagok pontos helyeJavíthatóság, biztonságos szétszerelés, anyag-visszanyerés
Piacfelügyeleti és vámhatóságok, BizottságA legteljesebb adatkör: műszaki dokumentáció, megfelelőségi és jogszabályi adatokEllenőrzés, végrehajtás, importkontroll

A jogosultak köre ennél tágabb is lehet: gyártók, importőrök, forgalmazók, viszonteladók, független szereplők, sőt civil szervezetek és szakszervezetek is megjelenhetnek — mindegyik a maga rétegével. A logika mindig ugyanaz: a szerep határozza meg a láthatóságot, nem a puszta hozzáférés a kódhoz.

Mi az, ami titok maradhat?

Az üzleti titok védelme nem jóindulatú ígéret, hanem a rendelet szövetébe szőtt elv. Több egymást erősítő szabály együtt őrzi:

  • A nyilvános réteg tiszta: a szabadon elérhető adatok nem tartalmazhatnak üzleti titkot vagy szellemi tulajdont. Ami érzékeny, az legfeljebb korlátozott (restricted) rétegben, jogosultsághoz kötve jelenhet meg.
  • A delegált aktusok önkorlátozása: a termékcsoportonkénti szabályok kialakításánál kifejezett elv, hogy IPR-t vagy üzleti titkot feltáró, illetve a hamisítást megkönnyítő adatokat ne írjanak elő nyilvánosként.
  • A szolgáltatói adatzár: a DPP-t hosztoló szolgáltatók a tárolt adatot nem adhatják el, nem használhatják újra és nem dolgozhatják fel a szolgáltatás nyújtásához szükséges mértéken túl, hacsak a piacra vivő gazdasági szereplő ehhez kifejezetten hozzá nem járul. Ez megakadályozza, hogy egy platform a te értéklánc-adatodat pénzzé tegye.

Praktikusan: a teljes recept, a beszerzési árak, a beszállítói szerződések feltételei vagy a gyártási know-how nem tartozik a nyilvános rétegbe. Amit a rendelet nyilvánosnak szán, az jellemzően az anyag-összetétel megfelelő szintű leírása, a tartósság és javíthatóság, az aggasztó anyagok jelenléte és a körforgásos kezelés — nem a bizalmas üzleti belső.

Ki dönti el, melyik mező milyen szintű?

Itt a legfontosabb üzenet a türelem. A keretrendelet csak a generikus elveket rögzíti: egyedi azonosító, adathordozó, gépi olvashatóság, differenciált hozzáférés, központi nyilvántartás és webportál. Azt, hogy egy konkrét termékcsoportnál melyik mező nyilvános, melyik korlátozott, és ki viheti be vagy frissítheti, a felhatalmazáson alapuló jogi aktusok (delegated acts) fogják termékcsoportonként meghatározni.

A rendelet a felhatalmazás mandátumát a 9. cikkben adja meg, a rétegzett hozzáférés alapelvét — hogy mely feleknek van hozzáférésük mely adatokhoz, és mely felek vihetnek be vagy frissíthetnek adatot — pedig a 10. cikk rögzíti. Épp ezeket a kérdéseket kell a termékcsoportonkénti aktusoknak konkrétan eldönteniük. Az EU kutatóközpontjának (JRC) módszertana és az uniós finanszírozású CIRPASS projektek pontosan ezt készítik elő. Ezért igaz óvatosan: a végleges, mezőnkénti besorolás textilre, elektronikára vagy bútorra még alakul. Aki ma azt állítja, hogy pontosan ismeri a végső listát, az többet ígér, mint amit a jog jelenleg lefektet. A határidők és a bevezetés ütemezése is ezt a fokozatosságot tükrözi.

Az adathordozó és a jogosultságok — technikailag

Egy gyakori tévhit, hogy „a QR-kód szűri a hozzáférést”. Nem. Az adathordozó (jellemzően QR-kód) mindössze egy tartós, egyedi termékazonosítóhoz kapcsolja a DPP-t — az azonosító pedig egy szabvány szerinti (ISO/IEC 15459 vagy azzal egyenértékű, a gyakorlatban gyakran GS1 GTIN + sorozatszám) séma, GS1 Digital Link URI-ba kódolva. Maga a szűrés a mögöttes rendszerben történik: a registry, a feloldó végpont és a delegált aktusban rögzített jogosultságok döntik el, hogy a beolvasó ki, és ennek megfelelően melyik réteget kapja.

A hozzáférés architektúrája jellemzően három elemből áll:

ElemSzerepKi használja elsősorban
Adathordozó + egyedi azonosítóA fizikai terméket a digitális útlevélhez köti; a hozzáférés innen oldódik felMindenki, aki beolvassa
Központi EU-nyilvántartás (registry)Nem magát az adatot, hanem az azonosítókat és feloldó végpontokat tároljaPiacfelügyelet, vámhatóság (importkontroll)
Nyilvános webportálA nyilvános réteget teszi kereshetővé, összehasonlíthatóváFogyasztók, érdekeltek

Egy elv itt is kőbe vésett: a kötelező DPP-adatokhoz a nyilvános réteg hozzáférése ingyenes — de „ingyenes” nem azt jelenti, hogy „mindenki mindent lát”. A public és restricted kategóriák szétválasztása pontosan a bizalmas adatot védi.

És ha személyes adat is bekerül?

A DPP főszabály szerint nem személyesadat-tár: jellemzően termékmodell- vagy tétel-szintű, nem vevő-szintű. Ám bizonyos esetekben — például javítási vagy regisztrációs adatoknál — mégis felmerülhet személyes adat. Erre a rendelet egyértelmű: ügyfélhez köthető személyes adat nem tárolható a termékútlevélben a vevő kifejezett hozzájárulása nélkül. A rendelet szövege itt a „vevő” (customer) hozzájárulásáról szól (ESPR 10. cikk (1) bekezdés e) pont) — nem valamiféle tágabb „végfelhasználó” fogalomról, és épp e két kifejezés jogi értelmezése körül van vita a szakirodalomban —, összhangban a GDPR ((EU) 2016/679) jogalap-szabályaival. Ahol hatóság kezel személyes adatot, ott a GDPR szerint kell eljárnia, kiemelt figyelemmel a beépített és alapértelmezett adatvédelem elvére.

A gyakorlati következtetés: a termékútlevél tervezésekor alapból ne tegyél bele személyes adatot. Ha egy folyamat mégis megkívánja (pl. tulajdonlás-követés a másodpiacon), akkor az legyen külön, hozzájáruláshoz kötött, korlátozott rétegben — soha ne a nyilvánosban.

Gyakorlati tanács: mit tegyél nyilvánossá, mit tarts korlátozottan?

Amíg a delegált aktusok véglegesednek, egy egyszerű döntési logika jó iránytű:

  1. Nyilvánosba az, ami vásárlói döntést és körforgásos használatot szolgál: anyag-összetétel megfelelő szintű leírása, tartósság, javíthatóság, gondozás, ártalmatlanítás, aggasztó anyagok jelenléte.
  2. Korlátozottba az, ami szakmai jogosultsághoz kötött: részletes szétszerelési útmutató, alkatrész- és diagnosztikai adat, az aggasztó anyagok pontos helye — a javítóknak és újrahasznosítóknak, nem a nagyvilágnak.
  3. Hatósági rétegbe a megfelelőségi bizonyíték: műszaki dokumentáció, tesztek, jogszabályi hivatkozások.
  4. Sehová a nyers üzleti titok: beszerzési árak, szerződéses feltételek, teljes gyártási know-how. Ha egy adat feltárása a versenytársnak adna másolható előnyt, kérdezd meg: valóban szükséges-e a jogszabály által előírt mezőhöz? Ha nem, ne tedd be.

Ez a fegyelmezett rétegzés nemcsak véd, hanem versenyelőnyt is teremt: a bizonyított — nem csupán állított — fenntarthatóság ma piaci értéket hordoz, miközben a bizalmas belső védve marad.

A Veridyn réteges hozzáférése a gyakorlatban

A Veridyn platform pontosan erre a modellre épül. A termékútleveled mezőit hozzáférési szintekre osztod: nyilvános, korlátozott (partner/szakmai) és belső. Ugyanaz a QR-kód a fogyasztónak a tiszta nyilvános réteget, a jogosult partnernek a bővebb adatkört mutatja — mezőnkénti szűréssel, tehát nem egész oldalak, hanem egyes mezők szintjén.

Ahol egy hatóságnak vagy egy konkrét partnernek eseti, teljesebb betekintésre van szüksége, ott a Veridyn lejáró token-linkeket ad ki: egy időben korlátozott, célzott hozzáférési link, amely a megadott réteget nyitja meg, majd magától érvényét veszti. Így az érzékeny adat nem kerül tartósan a nyilvánosba, a hozzáférés visszakövethető, a bizalmas belső pedig zárt marad — miközben a jogszabályi átláthatóság maradéktalanul teljesül.

A besorolás nem véglegesíthetetlen: ahogy a delegált aktusok termékcsoportonként kikristályosodnak, a rétegek finomhangolhatók. A cél mindig ugyanaz — annyit mutatni, amennyit a jog és a bizalom megkíván, egy mezővel sem többet.

Ha érdekel, hogyan néz ki mindez a saját termékkategóriádban, nézd meg a termékútlevél alap-útmutatóját, a textilipari megoldásunkat, vagy indíts egy próba-útlevelet. Kérdés esetén keress minket — a rétegzést együtt szabjuk a te értékláncodra.

Készítsd el az első termékútleveledet

Pár perc alatt, kódolás nélkül — szabványos, többnyelvű passport és nyomtatható QR. Ingyen kipróbálható.

Kezdjük ingyen →