Nova pravila igre za odgovornost softvera i sigurnost podataka

Regulatorni krajolik Europske unije doista prolazi kroz jednu od najvećih promjena nakon GDPR-a, ali ne kroz jedan jedini paket, nego kroz preklapanje više propisa koji zajedno mijenjaju način na koji se softver razvija, stavlja na tržište i pravno procjenjuje. Važno je odmah razjasniti da takozvani Digital Omnibus u 2026. nije paket koji “uključuje” novu Product Liability Directive. PLD je već usvojen u listopadu 2024., stupio je na snagu 8. prosinca 2024., a države članice imaju dvije godine za prijenos u nacionalno zakonodavstvo. Zasebno od toga, Digital Omnibus on AI u 2026. odnosi se na pojednostavljenje provedbe pravila povezanih s umjetnom inteligencijom i dio je šireg simplifikacijskog paketa o kojem je Vijeće EU postiglo stajalište u ožujku 2026.

Najveća promjena koju donosi novi PLD jest to da se pojam proizvoda izričito proširuje na softver. No nije precizno reći da se softver tretira kao “fizički proizvod”. Točnije je reći da ga europsko pravo sada izrijekom uključuje u režim odgovornosti za neispravne proizvode. Službena stranica Europske komisije navodi da su obuhvaćene sve vrste softvera, uključujući aplikacije, operativne sustave i AI sustave, a Vijeće EU dodatno potvrđuje da se definicija proizvoda proširuje na softver i digitalne proizvodne datoteke. Time se europska pravila prilagođavaju digitalnom dobu, ali bez brisanja razlike između materijalnog i nematerijalnog u svakodnevnom pravnom smislu.

Jednako je važno precizno odrediti opseg odgovornosti. Novi PLD olakšava položaj oštećenih osoba jer uvodi alate za pristup dokazima i omogućuje sudovima da ublaže teret dokazivanja kada je dokazivanje neispravnosti ili uzročne veze pretjerano teško, osobito kod složenih digitalnih tehnologija. Međutim, nije točno reći da developer automatski snosi “punu pravnu odgovornost” za svaki bug ili sigurnosni propust poput proizvođača automobila za neispravne kočnice. Direktivom se i dalje traži da postoji neispravan proizvod, nastala šteta i uzročna veza, ali se položaj žrtve bitno jača. Uz fizičku i psihološku ozljedu te štetu na imovini, novi režim izrijekom obuhvaća i uništenje ili korupciju podataka.

Treba korigirati i tvrdnju o neizravnoj šteti u poslovnim sustavima. Komisija izrijekom navodi da PLD ne pokriva situacije u kojima je žrtva poduzeće, iako pojedine države članice mogu imati vlastita nacionalna pravila za takve slučajeve. To znači da se iz samog PLD-a ne može jednostavno izvesti zaključak da će developer zbog softverskog kvara automatski odgovarati za prekid proizvodnje u tvornici kao poslovnu štetu poduzeća. Preciznije je reći da novi okvir jača odgovornost za štetu prema fizičkim osobama i pojedinim zaštićenim kategorijama štete, dok će pitanje čiste poslovne štete i dalje u velikoj mjeri ovisiti o nacionalnom pravu, ugovornim odnosima i drugim primjenjivim režimima odgovornosti.

U izvornom tekstu pomiješana je i tema digitalne putovnice proizvoda. Digital Product Passport nije instrument iz PLD-a ni alat za evidenciju podrijetla koda, open-source komponenti i povijesti zakrpa u softveru. Taj se koncept razvija kroz Ecodesign for Sustainable Products Regulation i širu regulaciju održivosti proizvoda, gdje služi za podatke o proizvodu, usklađenosti, održivosti i sljedivosti kroz lanac vrijednosti. Drugim riječima, digitalna putovnica proizvoda jest važan regulatorni alat EU-a, ali nije pravni mehanizam koji zamjenjuje SBOM ili sigurnosnu dokumentaciju softverskog lanca opskrbe.

Kad je riječ o sigurnosti digitalnih proizvoda, ključni propis nije PLD nego Cyber Resilience Act. CRA je stupio na snagu 10. prosinca 2024. i uvodi obvezne kibernetičke zahtjeve za proizvode s digitalnim elementima tijekom planiranja, dizajna, razvoja i održavanja, uključujući upravljanje ranjivostima kroz životni ciklus proizvoda. No i tu treba biti precizan: glavne obveze primjenjuju se od 11. prosinca 2027., dok obveze prijave aktivno iskorištavanih ranjivosti i incidenata počinju vrijediti od 11. rujna 2026. Stoga nije točno da u travnju 2026. već postoji opći zakonski rok iz ovog akta po kojem svaki proizvođač softvera odmah mora izdati zakrpu ili automatski snosi “ogromne kazne”. Točnije je reći da EU već sada postavlja okvir u kojem secure by design i upravljanje ranjivostima prelaze iz dobre prakse u regulatornu obvezu s prijelaznim rokovima.

General Product Safety Regulation također treba staviti u pravi kontekst. GPSR se primjenjuje od 13. prosinca 2024. i za proizvode obuhvaćene tom uredbom traži da postoji odgovorni gospodarski subjekt unutar EU-a. To jest važan signal za tržišni nadzor i online prodaju, ali nije precizno reći da GPSR sam po sebi pogađa “svaki digitalni proizvod” ili sve aplikacije izvan Europske unije. On je prije svega horizontalni okvir sigurnosti potrošačkih proizvoda, dok se za mnoge proizvode s digitalnim elementima paralelno primjenjuju specifičniji sektorski propisi, uključujući CRA.

Regulatorni fokus pomiče se s minimalne ugovorne zaštite prema dokazivoj kvaliteti proizvoda, tehničkoj dokumentaciji, upravljanju ranjivostima, sljedivosti komponenti i većoj sposobnosti da se pred kupcem, regulatorom ili sudom pokaže kako je sigurnost ugrađena u proizvod od početka. Drugim riječima, safe by design više nije samo tržišna prednost nego postupno postaje očekivani standard europskog digitalnog tržišta, a usklađenost, testiranje i dokazivost procesa sve će više odlučivati o konkurentnosti dobavljača, osobito u radu s javnim sektorom, kritičnom infrastrukturom i međunarodnim klijentima.