Dne 18. listopadu 2024 vstoupila v platnost nová směrnice EU o odpovědnosti za vadné výrobky, která nahrazuje téměř 40 let starou legislativu. Tato změna přináší zásadní dopady zejména pro firmy vyvíjející software a systémy umělé inteligence (AI). Pro české podnikatele a manažery v IT sektoru je nezbytné porozumět těmto novým pravidlům a přizpůsobit své procesy, aby minimalizovali rizika plynoucí z odpovědnosti za vadný výrobek.

Software je nově výrobek

Jedním z nejvýznamnějších bodů nové směrnice je, že software je nyní výslovně považován za výrobek. Tato změna se týká:

• Samostatného softwaru i softwaru integrovaného do zařízení,

• Cloudových i on-premise řešení,

• Systémů umělé inteligence, včetně těch, které se dále učí po uvedení na trh.

Výjimkou je pouze open source software, který je poskytován mimo rámec podnikatelské činnosti. Pokud však software poskytujete výměnou za platbu nebo osobní údaje, směrnice se na vás vztahuje.

Přísnější požadavky na bezpečnost

Firmy budou muset zajistit, aby jejich produkty splňovaly očekávanou úroveň bezpečnosti, což zahrnuje i kybernetickou bezpečnost. Důležitou roli budou hrát:

• Prezentace produktu: Přehnané marketingové sliby nebo nejasná dokumentace mohou zvýšit riziko právních sporů.

• Technická dokumentace: Nedostatečně popsané funkce, aktualizace nebo možnosti softwaru mohou být použity proti vám v případě sporu.

U systémů AI je třeba zohlednit i jejich schopnost dalšího učení, která může ovlivnit bezpečnost po uvedení na trh.

Škody a odpovědnost

Spotřebitelé mají podle nové směrnice nárok na náhradu škod způsobených vadným výrobkem. Tyto škody zahrnují:

• Škody na zdraví (fyzické i psychické),

• Škody na majetku,

• Ztrátu nebo poškození dat.

Dříve platná hranice 500 EUR pro minimální škodu na majetku byla zrušena. Náhrada se vztahuje i na nemajetkovou újmu, pokud ji národní právo umožňuje. Práva nelze vůči spotřebitelům smluvně omezit ani vyloučit.

Kaskádová odpovědnost v dodavatelském řetězci

Směrnice zavádí širší odpovědnost, která se postupně přesouvá na další subjekty v dodavatelském řetězci:

• Výrobci softwaru nebo součástek,

• Dovozci a distributoři,

• Osoby, které významně modifikují produkt a uvedou jej na trh.

Pokud výrobce nebo dovozce nelze identifikovat, může být odpovědný i distributor.

Povinnost zpřístupnit důkazy

Novinkou je povinnost firmy zpřístupnit relevantní důkazy na žádost soudů. To zahrnuje například záznamy o testování, aktualizacích nebo dokumentaci k funkcím softwaru. Zároveň však soudy musí zajistit ochranu vašich obchodních tajemství.

Hromadné žaloby – nové riziko

Nová směrnice EU umožňuje hromadné žaloby, kdy oprávněné subjekty mohou podávat žaloby jménem skupiny spotřebitelů. To znamená vyšší riziko pro firmy v případě rozsáhlých problémů s bezpečností či funkčností softwaru.

Klíčová opatření pro české IT firmy

Pro minimalizaci rizik by firmy měly:

• Revidovat vývojové procesy: Zaměřte se na testování bezpečnosti a pravidelný audit systémů, zejména AI.

• Zajistit jasnou dokumentaci: Poskytujte přesné informace o funkcích a aktualizacích softwaru.

• Přehodnotit marketingová sdělení: Vyhněte se přehnaným proklamacím o schopnostech produktů.

• Připravit smluvní dokumenty: Jasně definujte odpovědnost v rámci subdodavatelského řetězce.

• Monitorovat legislativní vývoj: Sledujte implementaci směrnice do českého práva, což má být dokončeno do dvou let.

Co dál?

Směrnice začíná platit dvacátým dnem po publikaci, ale jednotlivé státy EU mají dva roky na její implementaci do národních legislativ. Pro české firmy je to příležitost začít včas připravovat interní procesy a vyhnout se možným právním sporům a finančním ztrátám.

Pokud vaše firma vyvíjí software nebo AI systémy, je nyní ten pravý čas provést důkladnou revizi bezpečnostních standardů, technické dokumentace a smluvní dokumentace. Nečekejte na první problém – předejděte rizikům s dostatečným předstihem.