Förslag till nya regler om produktansvar och ansvarsregler gällande AI

EU-kommissionen har antagit två nya förslag som ska anpassa produktansvarsregler till den digitala utvecklingen på marknaden. Det ena förslaget avser ändringar i nu gällande produktansvarsregler emedan det andra förslaget innebär helt nya regler för harmonisering av nationella ansvarsregler i förhållande till AI.

Förslagen ska nu behandlas av EU parlamentet och ministerrådet. Med tanke på den korta övergångsperiod som föreslås gälla i förhållande till produktansvarsdirektivet - reglerna ska vara implementerade senast 12 månader från publicering i EU:s officiella tidning (EUT) - är det inte otänkbart att de nya produktansvarsreglerna kommer att träda ikraft under 2024/2025.

Implementationstiden för reglerna i AI-ansvarsdirektivet föreslås vara två år från publicering i EUT.
 

Nytt produktansvarsdirektiv

Reglerna i det nya produktansvarsdirektivet ("Nya PAD") avser ersätta nuvarande EU direktiv 85/374 om skadeståndsansvar för produkter med säkerhetsbrister. Det befintliga direktivet har införlivats i svensk rätt genom produktansvarslagen (1992:18).

Liksom tidigare omfattar reglerna strikt ansvar för skador som orsakas av produkter avsedda för konsumentändamål. Några av de förändringar som föreslås i Nya PAD följer nedan.

• Mjukvaror omfattas. För att anpassa reglerna till den digitala utvecklingen omfattas all typ av mjukvara av reglerna, såväl fristående som inbyggd, och digitala tjänster som påverkar funktionen i en produkt. Även digitala verktygsmodeller (till exempel 3D printers) omfattas av de nya reglerna. Detta medför att produkter som t.ex. drönare, robotar, navigeringssystem i bilar och mjukvaror i medicintekniska produkter kommer att omfattas av Nya PAD. Undantag görs för open source som utvecklas eller tillhandahålls i icke-kommersiell verksamhet. Utvecklare och tillverkare av programvaror kan alltså komma att hållas ansvariga vid säkerhetsbrister i mjukvaran som orsakar person- eller sakskada i egenskap av tillverkare enligt Nya PAD. Enligt nuvarande regler utgörs en produkt av en "lös sak" med följden att programvaror generellt sett ansetts undantagna från produktansvarsreglerna. Även förlust eller korruption av data omfattas av skadeståndsskyldigheten.
   
• Ansvar vid förändringar av produkter. Reglerna i Nya PAD säkerställer att tillverkare ska kunna hållas ansvariga vid ändringar som görs på produkter även efter det att produkten tillhandahållits på marknaden, till exempel vid mjukvaruuppdateringar eller maskininlärning. Även personer (fysiska eller juridiska) som genomför väsentliga ändringar i produkter utanför den ursprungliga tillverkarens kontroll ska anses utgöra tillverkare enligt Nya PAD och kan alltså hållas ansvariga för säkerhetsbrister vad gäller den utförda ändringen, vilket tidigare varit oklart i vissa jurisdiktioner. Reglerna införs som ett led i att säkerställa den pågående övergången till en mer cirkulär ekonomi.
   
• Fler ekonomiska aktörer kan hållas ansvariga. I syfte att säkerställa att konsumenter ska kunna hålla aktörer ansvariga vid säkerhetsbrister kommer även auktoriserade representanter att kunna hållas ansvariga jämte importörer enligt Nya PAD, om ingen tillverkare finns inom EES. S.k. "fulfillment service providers" kommer också att kunna hållas ansvariga i de fall där varken tillverkare, importör eller auktoriserad representant finns inom EES. Även online marknadsplatser ska, under vissa förhållanden, kunna hållas ansvariga för säkerhetsbrister i produkter som säljs via marknadsplatsen, vilket får anses utgöra en omfattande förändring gentemot vad som gäller idag. Vissa ekonomiska aktörer kommer därför förmodligen bland annat att behöva se över sina avtal med leverantörer i leveranskedjan för att säkerställa ett fullgott skydd vid krav från konsumenter.
   
• Ansvar för säkerhetsbrister pga uteblivna uppdateringar och uppgraderingar. Enligt nuvarande regler kan ekonomiska aktörer undgå produktansvar i vissa fall, t.ex. om man kan göra sannolikt att någon säkerhetsbrist inte fanns när produkten sattes i omlopp. Liknande undantag från ansvar föreslås även i Nya PAD. Däremot undgår ekonomiska aktörer inte ansvar i vissa fall, t.ex. om säkerhetsbristen beror på uteblivna uppdateringar eller uppgraderingar, förutsatt detta ligger inom tillverkarens kontroll. Ett större ansvar för tillverkare att övervaka hur deras produkter fungerar och för att pusha ut uppdateringar och uppgraderingar kommer därmed föreligga. För vissa produkter, t.ex. medicinteknik, finns idag redan krav på övervakningssystem, och dessa kommer därför förmodligen att spela en än mer kritisk roll för tillverkare.   
   
• Krav på att tillhandahålla information och presumtion för säkerhetsbrister. Då det ofta är svårt för en enskild att bevisa att det föreligger en säkerhetsbrist i en produkt, införs krav på att klaganden, med hjälp av domstol, ska tillhandahållas information från svaranden för att säkerställa klagandens tillgång till bevis. Tillhandahållande av sådan information kan medföra röjande av företagshemligheter och annan konfidentiell information, vilket ska beaktas av medlemsstaterna när reglerna införs i nationell lagstiftning. I syfte att säkerställa att reglerna om tillhandahållande av information efterlevs, införs dessutom en presumtion för att en säkerhetsbrist föreligger om informationen inte tillhandahålls av svaranden. En presumtion för att en säkerhetsbrist eller orsakssamband föreligger ska också anses vara förhanden i de fall då det skulle vara ovanligt svårt för klaganden att bevisa säkerhetsbristen eller orsakssambandet till följd av produktens tekniska eller vetenskapliga komplexitet. Detta oavsett om information tillhandahålls eller inte. Läkemedel, innovativa medicintekniska produkter eller produkter som använder maskininlärning kan troligen träffas av reglerna.
  
   

AI-ansvarsdirektivet

Det nya AI-ansvarsdirektivet avser harmonisera utomobligatoriska skadeståndsregler vid skador som orsakats av ett AI-system, såsom det definieras i förslaget till AI-förordningen (AI Act).

Direktivet innehåller liknande krav som i Nya PAD vad gäller skyldigheten att tillhandahålla information när det gäller skador som orsakats av AI-system med hög risk, och olika presumtionsregler beroende på klassificeringen av AI-systemet som föranlett skadan. Liksom i Nya PAD införs regler som medför att om svaranden inte tillhandahåller den begärda informationen, ska en presumtion för att svaranden inte varit aktsam föreligga. AI-ansvarsdirektivet innehåller även presumtionsregler vad gäller orsakssamband. Reglerna omfattar alla typer av skador som omfattas av nationell lagstiftning och omfattar anspråk från såväl fysiska som juridiska personer.

AI-ansvarsdirektivet ska även omfattas av bilaga 1 till EU direktivet 2020/1828 om grupptalan för att skydda konsumenters kollektiva intressen (Grupptalandirektivet), vilket medför att grupptalan kan väckas med avseende på näringsidkares överträdelser av de rättsakter som finns förtecknade i bilaga 1 till direktivet.

Ytterligare lagförslag från EU-kommissionen som rör digitalisering är under behandling och vi kommer alltså att se flera lagförslag framöver inom detta område.
 

DLA Piper bevakar utvecklingen på området för digitalisering. Vid frågor kontakta Fredrika Allard, Anna Jussil Broms eller Gustav Lundin.