Produktansvarsdirektivet

AI Liability Act ble trukket tilbake av EU-kommisjonen, noe som vesentlig har økt betydningen av Product Liability Directive. Uten spesifikk lovgivning som adresserer ansvar knyttet til AI, forblir Product Liability Directive en viktig ramme for å fastsette ansvar og kompensasjon i tilfeller som involverer AI-produkter. Dette direktivet sikrer at produsenter og utviklere holdes ansvarlige for skader forårsaket av defekte produkter, inkludert de som inneholder AI-teknologier. Den store forskjellen er imidlertid at denne kun gjelder B2C, og ikke B2B.

Formål: Det nye produktansvarsdirektivet moderniserer EUs regelverk for produktansvar, og erstatter det gamle produktansvarsdirektivet fra 1985. Det nye direktivet tar for seg de nye utfordringene knyttet til digitalisering og kunstig intelligens. I tillegg styrker det forbrukervernet og utvider ansvaret for virksomheter som plasserer produkter på EU-markedet. Hovedformålet med direktivet er å tilpasse reglene for produktansvar til nye digitale fremskritt, med eksplisitt regulering av programvare, AI-systemer og digitale tjenester. Direktivet skal samtidig sikre et velfungerende indre marked, høy grad av forbrukervern og bedre rettssikkerhet for næringslivet.

Betydning for Norge: Som EØS-medlem er Norge forpliktet til å implementere direktivet i nasjonal rett. Dette vil ha betydelig innvirkning på norske virksomheter. Direktivet utvider hvilke aktører som kan holdes ansvarlige, og hva som omfattes av begrepet «produkt». Norske virksomheter må derfor vurdere om de omfattes av de nye reglene og eventuelt tilpasse sine ansvarsrutiner og strategier for compliance.

Omfang: Direktivet får anvendelse på alle produkter som plasseres på EU-markedet eller tas i bruk fra og med 9. desember 2026. Produktbegrepet er utvidet fra det forrige direktivet og omfatter nå:

  • Innebygd og frittstående programvare, med unntak for programvare med fri og åpen kildekode utviklet eller distribuert uten kommersielt formål
  • Digitale produksjonsfiler (f.eks. filer til 3D-printere)
  • Digitale tjenester som er integrert i eller koblet til et produkt, og som er nødvendige for dets funksjonalitet (f.eks. navigasjon i autonome kjøretøy)
  • Komponenter av et produkt
  • AI-systemer og produkter med integrert AI
  • Produkter som er vesentlig modifisert (f.eks. gjennom remanufacturing)

I likhet med det tidligere direktivet, er produsenten av et defekt produkt erstatningsansvarlig ved skader forårsaket av det defekte produktet. Det nye direktivet utvider imidlertid kretsen av økonomiske aktører som kan holdes ansvarlige, herunder:

  • Produsenter av defekte komponenter
  • Produsenter som har foretatt vesentlige modifikasjoner av et produkt utenfor den opprinnelige produsentens kontroll
  • Importører og autoriserte representanter for produsenter etablert utenfor EU
  • Onlineplattformer som opptrer som økonomiske aktører

Erstatning etter direktivet kan kun kreves av fysiske personer – direktivet omfatter ikke skader påført selskaper.

Viktige forpliktelser: I likhet med det tidligere direktivet, er en virksomhet ansvarlig når:

  • Produktet er defekt
  • Skadelidte har lidt skade, og
  • Det foreligger årsakssammenheng mellom defekten og skaden

Skaden trenger ikke å være forårsaket av uaktsomhet eller skyld hos virksomheten. I det nye direktivet omfattes også psykisk skade, samt. ødeleggelse eller tap av data (så lenge disse ikke brukes profesjonelt). I tillegg er det tidligere erstatningstaket for enkeltpersoner fjernet.

En ytterligere endring i det oppdaterte direktivet er at produsenter kan holdes ansvarlige for defekter som forelå ved lansering av programvare eller AI-systemer, men som først viste seg i ettertid – for eksempel som følge av programvareoppdateringer, svak cybersikkerhet eller maskinlæring.

Ved vurderingen av om et produkt er defekt, må relevante lover og regler til produktsikkerhet tas i betraktning. Dette innebærer at virksomheter må sikre at deres produkter oppfyller sikkerhetskravene fastsatt i regelverk, som for eksempel AI-forordningen.

Selv om bevisbyrden fortsatt ligger på den skadelidte, innfører direktivet en presumsjon for at et produkt er defekt der:

  • Virksomheten unnlater å fremlegge relevant dokumentasjon
  • Skadelidte påviser at produktet ikke er i samsvar med gjeldende produktsikkerhetskrav fastsatt i EU-retten eller nasjonal rett, som for eksempel AI-forordningen
  • Skaden skyldes en åpenbar funksjonsfeil ved normal bruk
  • Skadelidte har urimelige vanskeligheter med å bevise defekten, grunnet produktets tekniske kompleksitet

Denne presumsjonen er særlig relevant for produsenter av produkter som benytter kunstig intelligens, da slike produkter ofte er svært kompliserte, som gir en såkalt «Black Box» effekt, der kompleksiteten og manglende transparens gjør det vanskelig å vurdere hvordan AI-systemet treffer sine beslutninger og om defekten på produktet kan knyttes til AI-systemet

Virksomheter som kan holdes ansvarlige, plikter også å fremlegge relevant dokumentasjon dersom en skadelidt fremmer krav om erstatning. Dokumentasjonen skal gjøres tilgjengelig i et format som er lett tilgjengelig og forståelig, så langt dette er rimelig med hensyn til kostnader og innsats. Dette innebærer at virksomheter må etablere nye rutiner for slik dokumentasjon.

Økonomiske aktører er ansvarlige for defekte produkter i en periode på 10 år fra produktet ble plassert på markedet. Dersom produktet er vesentlig modifisert, løper en ny 10-årsperiode fra tidspunktet det modifiserte produktet igjen ble markedsført. Ved visse typer latente skader kan ansvarsperioden forlenges til 25 år.

Korte fakta
  • Europaparlaments- og rådsdirektiv (EU) 2024/2853 av 23. oktober 2024 om produktansvar og om oppheving av rådsdirektiv 85/374/EØF
  • Directive – 2024/2853 – EN – EUR-Lex
  • Dato for ikrafttredelse i EU: Trådde i kraft i EU den 8 desember 2024, med krav om implementering i nasjonal rett fra 9 desember 2026.
  • Status/rute for Norge: EØS-relevant