1. Uvod: šta je Digital Product Passport (DPP)?
Digital Product Passport (DPP) je digitalni „dosije“ proizvoda (digitalni pasoš proizvoda) koji sadrži strukturisane podatke o njegovom poreklu, sastavu, načinu proizvodnje, upotrebi i zbrinjavanju na kraju životnog ciklusa. Ideja je da svaka roba, od baterija i tekstila do elektronike i građevinskog materijala, ima jedinstveni digitalni identitet povezan, na primer, preko QR koda, bar‑koda ili RFID taga, kojim se pristupa relevatnim informacijama u toku celog životnog ciklusa proizvoda. Digitalni pasoš proizvoda je poput „lične karte“ za stvari koje kupujemo. Zamislite da skenirate QR kod na novim patikama, telefonu ili bateriji i odmah saznate sve: od toga gde su napravljeni i koji su materijali korišćeni, do toga kako ih možete popraviti ili pravilno reciklirati.
DPP je jedan od ključnih alata EU za prelazak sa linearnog (uzmi–proizvedi–baci) na cirkularni model ekonomije, u kome se resursi zadržavaju što duže u upotrebi, a otpad i emisije se minimizuju. U tom smislu, DPP je i tehnički i regulatorni instrument: povezuje podatke, aktere u lancu snabdevanja i obaveze iz niza EU propisa.
2. Regulativa: ESPR, EU Green Deal i taksonomija
Digital Product Passport je obavezan element Ecodesign for Sustainable Products Regulation (ESPR), centralnog propisa kojim EU uvodi jedinstvena pravila ekodizajna za širok spektar proizvoda. ESPR je jedan od stubova Circular Economy Action Plan (CEAP), koji pak predstavlja integralni deo EU Green Deal‑a – sveobuhvatne strategije klimatske neutralnosti i održivog rasta do 2050. godine.
ESPR predviđa da proizvodi iz određenih, prioritetnih kategorija moraju imati DPP kako bi se obezbedila transparentnost, mogućnost popravke, reciklaže i ponovne upotrebe, kao i dokazivost usklađenosti sa ekološkim standardima. Istovremeno, podaci iz DPP‑a postaju važan izvor za izveštavanje o održivosti i za usklađivanje sa EU taksonomijom – klasifikacionim sistemom koji definiše koje ekonomske aktivnosti se smatraju ekološki održivim.
Za finansijske institucije i investitore, DPP obezbeđuje kvalitetnije, proverljive podatke o ugljeničnom otisku, resursnoj efikasnosti i cirkularnosti proizvoda i lanaca snabdevanja. Time DPP postaje most između operativnog nivoa (proizvod, fabrika, dobavljač) i finansijskog nivoa (ESG izveštavanje, zelene obveznice, održivo finansiranje po EU taksonomiji).
3. Ko sve mora da implementira DPP?
ESPR postepeno širi obavezu uvođenja DPP‑a na više sektora. Prema trenutnom okviru, prvi talas obuhvata:
- gvožđe i čelik
- aluminijum
- tekstil (posebno odeća i obuća)
- nameštaj
- pneumatike (gume)
- deterdžente
- boje
- maziva
- hemikalije
- proizvode koji troše energiju (sa ekodizajn zahtevima)
- ICT opremu i drugu elektroniku
Posebno je značajan primer baterija: od 2026. svaka industrijska i EV baterija u EU mora imati tzv. „battery passport“, što je specifična primena DPP‑a sa fokusom na sigurnost, reciklirani sadržaj, trajnost i mogućnosti ponovne upotrebe.
DPP je deo digitalne revolucije u Evropi. On nije samo „nalepnica“ na proizvodu, već deo velikog plana EU da se podaci slobodno i sigurno razmenjuju između različitih industrija. Umesto da svaka fabrika ili prodavnica čuva informacije samo za sebe, DPP omogućava da podaci o putu proizvoda, od sirovine do police u prodavnici, budu povezani i svima razumljivi. Na taj način, digitalna tehnologija direktno pomaže da privreda postane zelenija i transparentnija.
4. Koje informacije sadrži Digital Product Passport?
Detaljni zahtevi za sadržaj DPP‑a definišu se kroz ESPR i prateće Delegirane akte po sektorima, ali ključni elementi su već jasni:
- Jedinstveni identifikator proizvoda
Svaki DPP je vezan za jedinstveni ID proizvoda (model, serija, batch ili pojedinačni komad), pristupa se preko data‑nosača (QR kod, bar‑kod, RFID, sl.). - Usklađenost sa globalnim standardima
Identifikacija prati ISO/IEC 15459:2015 i druge relevantne standarde, kako bi se obezbedila globalna interoperabilnost i konzistentnost kvaliteta podataka. - Strukturisani, mašinski čitljivi podaci
Informacije su organizovane u otvorenim, mašinski čitljivim formatima, što omogućava pretraživanje, analitiku i integraciju sa ERP, PLM, LCA i drugim sistemima. - Sveobuhvatne informacije o proizvodu
U DPP‑u se mogu naći: sastav materijala, poreklo sirovina, sertifikati (npr. ISCC, ekološki standardi), parametri potrošnje energije, emisije CO₂, uputstva za upotrebu, održavanje, popravku, rastavljanje, reciklažu, kao i podaci o usklađenosti sa propisima. - Kontrolisan pristup informacijama (access rights)
Pristup DPP podacima (šta je javno, šta je samo za inspekciju, šta je vidljivo partnerima u lancu snabdevanja) definiše se po grupama proizvoda, u skladu sa ESPR, kako bi se balansirala transparentnost sa zaštitom poslovno osetljivih informacija.
Kod baterija, na primer, DPP obavezno pokriva i: izvor sirovina, ugljenični otisak, procenat recikliranih materijala, podatke o performansama i trajnosti, kao i uputstva za repurposing i reciklažu.
5. Implementacija DPP sistema: tehnologija, procesi i izazovi
Implementacija DPP‑a je za većinu kompanija veliki transformacioni projekat, jer zahteva:
- mapiranje i standardizaciju podataka kroz ceo lanac snabdevanja
- integraciju postojećih IT sistema (ERP, MES, PLM, LCA alati)
- uvođenje novih data‑nosača na proizvode i pakovanja
- uspostavljanje interoperabilne, bezbedne infrastrukture za razmenu i čuvanje podataka
Ipak, tehnički se DPP može relativno efikasno implementirati kroz:
- korišćenje postojećih tehnologija identifikacije (bar‑kodovi, QR kodovi, RFID)
- traceability softver koji standardizuje podatke iz različitih sistema i dobavljačkih slojeva
- automatizovan prenos podataka (APIs, integracije) koji minimizuju ručni unos i administrativni teret
Najveći izazov je obično ne tehnologija, već organizaciona i međusektorska saradnja, kako internu (sustainability, IT, operacije, pravna služba), tako i eksternu (dobavljači, logistički partneri, recikleri, nadležna tela).
6. Infrastruktura podataka: centralizovano, decentralizovano i enkripcija
Zbog ozbiljnih zahteva za zaštitu poslovnih tajni i sigurnosti, arhitektura DPP sistema je ključna:
- Centralizovana rešenja (gde jedna institucija ili provajder čuva podatke) lakša su za upravljanje, ali nose rizik od centralne tačke kompromitacije i slabije skalabilnosti.
- Decentralizovani sistemi, često zasnovani na modernim blockchain tehnologijama, omogućavaju da podaci ostanu kod njihovog vlasnika (npr. kod proizvođača komponente), dok se kroz kriptografske metode i protokole razmenjuju samo potrebni atributi ili dokazi usklađenosti.
Za zaštitu podataka koriste se različiti oblici enkripcije (RSA, end‑to‑end), ali za slučajeve kada se moraju dokazati „zelene tvrdnje“ bez otkrivanja punih receptura ili know‑how‑a, poseban značaj imaju:
- zero‑knowledge proofs (ZKP) – omogućavaju da kompanija dokaže da ispunjava određene kriterijume (npr. procenat recikliranog materijala, vrednost emisija ispod praga) bez otkrivanja kompletnih podataka.
DPP je otvoren sistem koji povezuje sve učesnike, ali strogo čuva poslovne tajne. To znači da su podaci dostupni onima kojima su potrebni, dok poverljive informacije o proizvodnji i recepturama ostaju zaštićene. Na taj način se podstiče saradnja, a da niko ne gubi svoju prednost na tržištu.
7. Poslovne prilike i koristi od DPP‑a
Iako kompanije često DPP prvo doživljavaju kao regulatorno opterećenje, njegovo strateško korišćenje otvara niz mogućnosti:
- Konkurentska prednost: proizvodi sa verifikovanim, transparentnim podacima o održivosti mogu da se diferenciraju na tržištu i da opravdaju premium cenu.
- Novi cirkularni poslovni modeli: bolja sledljivost i kontakt sa proizvodom tokom životnog ciklusa olakšava modele zasnovane na servisu, najmu, povratnim šemama (take‑back), reparaciji i remontu.
- Optimizacija troškova i resursa: dublji uvid u tokove materijala i energije omogućava identifikaciju neefikasnosti, manji otpad i uštede.
- Pripremljenost za buduću regulativu: ranim ulaganjem u DPP, firme se bolje pozicioniraju za naredne talase propisa (CSRD, dodatni sektorski akti, nacionalne implementacije).
8. Važnost za zaštitu podataka o ličnosti
Iako je DPP primarno usmeren na podatke o proizvodu, u praksi se često oslanja na digitalne naloge korisnika i interakcije putem onlajn platformi, pa je usklađenost sa pravilima o zaštiti podataka o ličnosti (posebno GDPR) od ključnog značaja. Transparentno informisanje potrošača o tome koje lične podatke sistemi prikupljaju prilikom pristupa DPP‑u, kao i minimalizacija i pseudonimizacija tih podataka, neophodni su da bi DPP podržao, a ne ugrozio digitalna prava građana.
9. Zaštita potrošača
DPP značajno jača položaj potrošača jer im omogućava da na jednostavan način provere sastav, poreklo, ekološki otisak i bezbednosne karakteristike proizvoda koje kupuju, daje im uvek potrebnu transparentnost. Uz to, DPP otežava obmanjujući marketing, jer proizvođači moraju da potkrepe svoje izjave konkretnim, proverljivim podacima dostupnim kroz pasoš proizvoda. Naravno da će se više verovati proizvodima koji imaju DPP dostupan. To će postati prodajni, marketinški alat čak.
10. DPP i e‑Trgovina
U kontekstu e‑Trgovine, DPP će postati ključni izvor strukturisanih informacija koje onlajn platforme mogu automatski da preuzmu i prikažu uz proizvod, čime se smanjuje rizik od netačnih ili nepotpunih opisa. Integracija DPP‑a u e‑prodavnice i markeplace‑ove omogućava kupcima da donose informisane odluke bez dodatnog istraživanja, a trgovcima olakšava usklađenost sa propisima o informisanju potrošača i održivosti.
Autor: Denis Tul
Napomena: Test predstavlja stavove autora izrođene istraživanjem predmetne teme i provlačenje istih kroz sito dubljeg poznavanja IT prava. Tekst ne predstavlja zamenu za angažovanje stručnog konsultanta za compliance, niti advokata u slučaju spora.
Da li je moguće zajedničko usklađivanje sa GDPR‑om i AI Act‑om – i da li se isplati?
Evropski propisi o podacima i veštačkoj inteligenciji postaju sve kompleksniji. Posle GDPR‑a, koji je već godinama „zlatni standard“ za zaštitu podataka, na scenu stupa EU AI Act, prvi sveobuhvatni zakon o veštačkoj inteligenciji na svetu.
Logično pitanje svakog biznisa je: da li možemo da radimo zajedničko (sjedinjeno) usklađivanje sa GDPR‑om i AI Act‑om, ili to moraju biti dva potpuno odvojena kompanijska projekta?
Kratak odgovor je: zajedničko usklađivanje je moguće i često vrlo pametno, ali ima i svoje zamke. U nastavku analiziramo:
koje su sličnosti i razlike između GDPR‑a i AI Act‑a,
prednosti integrisanog pristupa usklađivanju,
mane i rizike takvog pristupa,
na šta bi kompanije praktično trebalo da obrate pažnju.
GDPR i AI Act: sličnosti koje „vuku“ ka zajedničkom usklađivanju
Iako su pravno i konceptualno različiti, GDPR i AI Act dele nekoliko ključnih tačaka koje olakšavaju integrisani pristup:
1. Fokus na zaštiti osnovnih prava i odgovornoj upotrebi tehnologije
Oba propisa imaju zajednički cilj:
sprečiti da tehnologija ugrozi osnovna prava ljudi, bilo kroz zloupotrebu podataka, diskriminaciju, netransparentne algoritme ili rizične AI sisteme.
GDPR štiti lične podatke i privatnost,
AI Act štiti širi spektar osnovnih prava u kontekstu AI sistema (nediskriminacija, bezbednost, ljudsko dostojanstvo…).
2. Zajednički principi: transparentnost, odgovornost, sigurnost
I GDPR i AI Act:
podstiču transparentnost (jasne informacije korisnicima, objašnjivost odluka tamo gde je moguće),
insistiraju na odgovornosti (accountability) – organizacija mora ne samo da bude usklađena, već i da to može da dokaže,
traže mere bezbednosti i kontrolu rizika (tehničke i organizacione mere, procene rizika, praćenje sistema u praksi).
Zbog toga već postojeće GDPR programe usklađivanja (DPIA, evidencije obrade, politike privatnosti, procedure za prava lica) možemo delimično iskoristiti i kao osnovu za AI governance.
GDPR i AI Act: ključne razlike koje moramo imati na umu
Da ne bude zabune – AI Act nije „još jedan GDPR“.
1. Predmet regulacije
GDPR se primenjuje samo kad se obrađuju lični podaci.
AI Act se primenjuje na AI sisteme kao tehnologiju, čak i kad ne obrađuju lične podatke (npr. AI za optimizaciju industrijske opreme).
To znači da ćete imati AI sisteme koji padaju pod AI Act, ali ne nužno i pod GDPR, i obrnuto – neke obrade podataka bez AI biće ipak samo GDPR tema.
2. Tip zahteva: „principi“ naspram „tehničkih specifikacija“
GDPR uvodi šire principe (zakonitost, pravičnost, minimizacija podataka, ograničenje svrhe, integritet i poverljivost).
AI Act je mnogo granularniji:
traži konkretne tehničke i organizacione zahteve za high‑risk AI sisteme (kvalitet podataka, ljudski nadzor, robusnost, testiranje, logovanje, dokumentaciju, CE označavanje i dr.).
Ako pravite AI model visokog rizika, AI Act zahteva mnogo detaljniji „tehnički dosije“ od onoga što tipičan GDPR program obično podrazumeva.
3. Pristup zasnovan na riziku
Oba propisa koriste rizik‑bazirani pristup, ali na različit način:
GDPR procenjuje rizik za prava i slobode lica na koje se podaci odnose,
AI Act uvodi kategorizaciju AI sistema po riziku:
neprihvatljiv rizik (zabranjeni sistemi),
high‑risk AI (najjače obaveze),
ograničeni rizik (npr. AI chatbot – transparentnost da je u pitanju AI),
minimalni rizik (većina „običnih“ AI alata).
Ove razlike su važne da ne bismo mešali alate i procedure, ali upravo zato ima smisla praviti jedinstven, ali dobro dizajniran governance okvir.
Da li je moguće sjedinjeno usklađivanje sa GDPR i AI Actom?
Da, moguće je i ima smisla.
Mnoge kompanije se već odlučuju za integrisani program „data & AI compliance“, umesto dva potpuno odvojena projekta.
U praksi to često znači:
jedan centralni inventar sistema i obrada (data & AI inventory),
jedinstveni proces procene rizika koji objedinjuje:
GDPR DPIA,
AI Act procenu rizika / procenu uticaja na osnovna prava,
zajedničke politike i procedure (data governance, AI governance, sigurnost, incident management),
jedinstvenu governance strukturu (odbor za podatke i AI, uloga DPO‑a, uloga AI governance ili risk menadžera).
Ali da bi sve to radilo, program mora da bude dobro isplaniran, ne samo formalno „lepljenje“ dva propisa u jedan dokument.
Prednosti sjedninjenog (integrisanog) usklađivanja sa GDPR‑om i AI Act‑om
1. Manje dupliranja, više efikasnosti
Ako se sve radi odvojeno, rizikujete:
dupliranje procena rizika (poseban DPIA, pa poseban AI risk assessment),
dva seta politika koje su slične, ali nisu usklađene,
konfuziju kod timova, ne znaju kome da se jave i kojim putem da guraju projekte,
neki dokumenti mogu zahtevati poznavanje uređenosti ove oblasti (na primer: EULA).
Integrisani pristup omogućava:
jedan proces mapiranja podataka i AI sistema,
jedan centralni registar obrada i AI use‑case‑ova,
ujednačene procedure: kako se pokreće novi AI projekat, kako se proveravaju rizici, ko daje „zeleno svetlo“.
2. Bolji pregled rizika i upravljanje celinom
Kada posmatrate GDPR i AI Act zajedno, dobijate kompletnu sliku rizika:
rizika po privatnost i zaštitu podataka,
rizika po osnovna prava zbog same prirode AI modela (diskriminacija, netransparentne odluke, manipulacija…).
Integrisani pristup olakšava:
da uočite gde vam se javljaju kombinovani rizici (npr. automatizovano odlučivanje temeljeno na ličnim podacima kroz high‑risk AI sistem),
da dizajnirate jednu strategiju ublažavanja rizika, umesto seta nepovezanih mera.
3. Jasnija odgovornost i governance
Kad postoji jedan krovni okvir, lakše je:
jasno definisati ko je odgovoran za šta (DPO, CISO, AI lead, pravna služba, IT, data science),
izbeći „sive zone“ tipa: „da li je ovo GDPR tema, AI Act tema ili IT bezbednost?“.
S tačke gledišta uprave, lakše je:
pratiti napredak,
zahtevati izveštaje,
pokazati nadzornim organima da postoji ozbiljan sistem upravljanja usklađenošću, a ne skup ad hoc dokumenata.
4. Reputacija, poverenje i konkurentska prednost
Sve više klijenata, partnera i investitora postavlja pitanja o:
zaštiti podataka,
odgovornoj upotrebi veštačke inteligencije,
etici i transparentnosti.
Ako možete da komunicirate da imate jedinstven, dobro uređen program usklađivanja sa GDPR‑om i AI Act‑om, to postaje:
signal poverenja,
praktična konkurentska prednost u odnosu na organizacije koje AI uvode stihijski i bez jasnih pravila.
Mane i rizici integrisanog usklađivanja
Naravno, zajednički program nije magično rešenje. Postoje i ozbiljni izazovi.
1. Rizik „prevelikog spajanja“ – gubi se specifičnost propisa
Ako pokušamo da sve „utrpamo“ u jedan proces i jedan set dokumenata, postoji opasnost da:
zanemarimo specifične zahteve AI Act‑a (npr. detaljna tehnička dokumentacija, obaveze za high‑risk AI sisteme, CE označavanje),
ili da razvodnimo GDPR obaveze, tretirajući ga samo kao jedan „od propisa“.
U praksi je važno:
praviti integrisan okvir, ali zadržati jasne module:
„ovo su zahtevi po GDPR‑u“,
„ovo su specifični zahtevi po AI Act‑u“,
„ovde se preklapaju i možemo ih rešavati zajednički“.
2. Veća složenost za početak
Za organizacije koje tek uvode compliance kulturu, integrisani program može delovati:
previše kompleksno,
kao „ogroman projekat“ koji nikad neće biti završen (a znamo da zadovoljstvo dolazi iz toga što zatvorimo neki projekat i osećamo da je nešto urađeno).
Nekad je praktičnije:
početi od osnovnog GDPR usklađivanja (ako još nije stabilno),
pa postepeno nadograđivati AI governance sloj – ali uz jasno planiranje da se to na kraju spoji u celinu.
3. Opasnost od „check‑the‑box“ pristupa
Ako se sve svede na:
nekoliko checkbox‑ova,
generičke template‑e,
formalno „usklađivanje na papiru“,
rizikujete da:
stvarna praksa u organizaciji ne prati politike,
zaposleni koriste AI alate „ispod radara“,
istinski rizici ostanu neadresirani.
Regulatori su već vrlo jasni: demonstracija usklađenosti ne znači samo postojanje politika, već i to da se one zaista sprovode.
Na šta konkretno obratiti pažnju ako želite zajedničko usklađivanje?
Ako želite da gradite sjedinjeni GDPR + AI Act okvir, razmislite o sledećim koracima:
Napravite zajednički inventar:
obrada ličnih podataka (GDPR),
AI sistema i use‑case‑ova (AI Act).
Uvedite objedinjenu procenu rizika:
DPIA po GDPR‑u,
procena rizika / uticaja na osnovna prava po AI Act‑u,
sa jedinstvenom metodologijom i matricom rizika.
Definišite jasnu governance strukturu:
kako se odobravaju novi AI projekti,
gde se proveravaju pravni i etički aspekti,
kako se uključuju DPO, pravni tim, IT bezbednost, data science.
Standardizujte dokumentaciju:
zajednički policy za podatke i AI,
šabloni za procene rizika, tehničku dokumentaciju, evidencije, logove,
jasne procedure za incidente i kršenje prava.
Obezbedite obuke i „AI & privacy awareness“ (ovo može biti deo šire obuke o zaštiti podataka):
da ljudi razumeju ne samo GDPR, već i osnove AI rizika i obaveza,
da znaju šta smeju, a šta ne smeju, sa podacima i AI alatima.
Zaključak: isplati li se zajedničko usklađivanje sa GDPR‑om i AI Act‑om?
Ako biste morali da sažete priču u jednu rečenicu, ona bi mogla da glasi:
Da, sjedinjeno usklađivanje sa GDPR‑om i AI Act‑om je moguće i često veoma racionalno – pogotovo ako govorimo o zajedničkoj proceni rizika jer ona predstavlja integralno rešenje koje ujedno obrađuje podatke i koristi AI u obradi istih. Naravno, ovo može biti uspešno pod uslovom da je dobro dizajnirano i da ne briše razlike između ta dva propisa i ako se koristi samo u kompanijama gde je ovo integralni sistem ili samo na taj deo sistema poslovanja kompanije.
Prednosti su:
manji troškovi i manje dupliranja,
bolja preglednost i upravljanje rizicima,
jača reputacija i poverenje klijenata i partnera.
Mane su:
složenije planiranje,
rizik da se izgubi specifičnost zahteva svakog propisa,
mogućnost da sve ostane na formalnom nivou, bez stvarne promene prakse.
Za većinu ozbiljnih organizacija, naročito onih koje već imaju razvijen GDPR program i aktivno uvode AI u poslovanje, integrisani pristup je logičan sledeći korak.
Ključ je u tome da se usklađivanje ne shvati kao „još jedan pravni trošak“, već kao prilika da se izgradi odgovoran, transparentan i održiv okvir za podatke i veštačku inteligenciju.
NAPOMENA: Ovaj tekst predstavlja stav autora teksta, vezan za istraživanje kroz pripremu doktorske disertacije, kao jedna stavka ovog istraživanja. Ovaj metod se testira u praksi, na poslovanju jedne kompanije sa kojom autor teksta razvija proces. Stavovi iz teksta nemaju karakter pravnog savetovanja, pogotovo nemaju ništa sa pravosudnom delatnošću ili advokatskom strukom u okviru iste. U slučaju da imate sporni predmet koji se odvija pred pravosudnim organima, predlog je da kontaktirate advokata.
AUTOR teksta: Denis Tul