AB, 40 yıllık ürün sorumluluğu rejimini dijital çağın risklerine uyarladı. Yeni Direktif, yazılım ve yapay zekâ dâhil modern ürünlerde tüketiciyi korumayı, mağdurlar için ispat kolaylığı sağlamayı ve üretici–tüketici çıkarlarını dengelemeyi hedefliyor.
Temel Değişiklikler
Avrupa Birliği’nin yeni Ürün Sorumluluğu Direktifi (2024/2853), dijital çağın ihtiyaçlarına uyum sağlamak için kapsamlı değişiklikler getirdi. Artık yazılım, yapay zekâ sistemleri, dijital dosyaları ve belirli dijital hizmetler “ürün” olarak değerlendiriliyor. Üretici ve ithalatçılara ek olarak yetkili temsilciler, fulfilment sağlayıcılar, online platformlar ve yazılım geliştiriciler de sorumlu tutulabilecek. Fiziksel zararın yanında psikolojik zarar, kişisel veri kaybı ve buna bağlı mali kayıplar da tazminat kapsamına girdi. Defekt veya nedensellik bağının ispatı konusunda karine hükümleri getirildi ve mahkemelere teknik belgelerin ifşasını emretme yetkisi tanındı. Genel sorumluluk süresi 10 yıl iken, gizli zararlar için bu süre 25 yıla çıkarıldı. Ayrıca €500’lük dava eşiği kaldırıldı ve toplu dava mekanizmasıyla tüketici örgütlerinin kitlesel davalar açabilmesinin önü açıldı.
Yapay zekâya özgü olarak, yazılım ve AI sistemleri açıkça ürün kapsamına alındı; ancak ticari olmayan açık kaynak yazılımlar bu kapsam dışında tutuldu. Yazılım güncellemeleri ve siber güvenlik kusurları “defect” sayılabiliyor. Ayrıca AI’nin sürekli öğrenme kapasitesi nedeniyle beklenmedik davranışlardan üreticilerin sorumluluğu doğabiliyor. Direktif, 9 Aralık 2024’te yürürlüğe girdi ve üye devletlerin 9 Aralık 2026’ya kadar iç hukuklarına aktarmaları gerekiyor. Bu düzenlemeler özellikle ilaç, medikal cihaz, teknoloji ve gıda sektörlerinde dava riskini artırıyor. Şirketlerin uyum sağlamak için teknik dokümantasyonlarını, güvenlik testlerini, güncelleme politikalarını ve sözleşmelerini gözden geçirmesi; ayrıca sigorta ve tazminat stratejilerini yeniden tasarlayarak tedarikçi–entegratör–üretici arasındaki risk paylaşımını netleştirmesi gerekiyor.
Bu güncellenmiş çerçeve, zarar görenler için ispat yükünü hafifleten karineler (defekt ve illiyet bağına ilişkin), siber güvenlik kusurları ve güncelleme/upgrade yönetimini “defekt” değerlendirmesine dâhil eden hükümler ve yetkili temsilci/ithalatçı/ fulfillment sağlayıcıları gibi ek aktörleri sorumluluk zincirine katan yenilikler getiriyor. Direktif Aralık 2024’te yürürlüğe girdi; Üye Devletlerin iç hukuka aktarması sonrası 9 Aralık 2026’dan itibaren uygulanacak.
Defekt nedir? Defekt, ürünün beklenen güvenlik seviyesini karşılamaması demektir. Bir ürün piyasaya sürüldüğünde normal kullanıcının güvenlik beklentilerini karşılamıyorsa, bu durum defekt (kusur) olarak kabul edilir. Yazılım hataları, siber güvenlik açıkları veya AI’nin beklenmedik davranışları da bu kapsamda değerlendirilebilir.
Fulfilment provider nedir? Fulfilment sağlayıcı, genellikle e-ticaret lojistiğinde kullanılan bir kavramdır. Satıcı adına ürünlerin depolanması, paketlenmesi, gönderimi gibi süreçleri üstlenen üçüncü taraf firmaları ifade eder. Yeni Direktif bu aktörleri de sorumluluk zincirine dahil etmiştir.
Türkiye’deki şirketler için önemi:Direktif doğrudan AB üye ülkelerinde uygulanacak olsa da, Türkiye’den AB pazarına ürün veya yazılım sunan şirketleri de doğrudan ilgilendiriyor. Çünkü AB’de satış yapan her aktör, bu kurallara uymakla yükümlü olacak. Dolayısıyla Türkiye’de faaliyet gösteren ihracatçı şirketlerin de uyum süreci yürütmesi gerekiyor.
Direktif'in yapay zeka ve yazılım nedeniyle güncellenmesi neden önemli?
Modern ürünler artık kodla çalışıyor: gömülü yazılımlar, bulut bağlantıları, uzaktan güncellemeler ve makine öğrenmesi modelleri ürün davranışını dinamik olarak değiştiriyor. Eski rejimde yazılımın “ürün” sayılıp sayılmadığı, güncelleme veya veri seti kaynaklı hataların nasıl ele alınacağı muğlaktı. Yeni PLD, yazılımı (AI dâhil) ve güncellemeleri kapsama alarak, model sürümleri, patch’ler, konfigürasyonlar ve siber güvenlik açıkları gibi dijital unsurları doğrudan defekt analizinin bir parçası yapıyor. Bu, zarar görenin “hata kodda” dediği durumlarda kapıyı aralıyor.
AI’ye özgü belirsizlikler, opak karar mekanizmaları, veri kalitesi ve sürekli öğrenen sistemlerin öngörülemez davranışları ispatı zorlaştırıyordu. Yeni direktifin getirdiği bazı karineler ve bilgiye erişim hükümleri (ör. teknik belgeler) bu asimetrileri yumuşatıyor; üretici/tedarikçi tarafında güvenli tasarım, sağlam güncelleme politikaları ve olay kayıtları gibi “due diligence” pratiklerini fiilen teşvik ediyor. AILD’nin geri çekilmesiyle birlikte, AI kaynaklı zararların önemli bölümü için pratik yol haritası artık büyük ölçüde PLD üzerinden işleyecek.
PLD’ye aykırılık durumunda şikâyet mekanizması: Bir ürün veya yazılım nedeniyle zarar gören kişiler, ulusal mahkemelerde tazminat davası açabiliyor. Ayrıca tüketici örgütleri, temsilci davalar yoluyla toplu başvurular yapabiliyor. Dolayısıyla şikâyet, AB ülkelerindeki ulusal yargı mercileri üzerinden işletiliyor; bu süreçte mahkemeler hem PLD hükümlerini hem de AB’nin temsilci davalar direktifini dikkate alıyor.
Hangi Sektörleri ve Ekipleri Etkiliyor?
- Tüketici elektroniği & IoT (akıllı TV, beyaz eşya, giyilebilirler): Bu ürünlerde gömülü yazılım ve uzaktan güncellemeler artık doğrudan denetim altında. Siber güvenlik açıkları veya hatalı güncellemeler kusur sayılabilir. Bu nedenle ürün geliştirme, yazılım, güvenlik, kalite ve hukuk ekipleri etkileniyor.
- Otomotiv & mobilite: Otonom sürüş destek sistemleri ve yazılım tabanlı araç mimarileri doğrudan kapsamda. Tedarikçiler ve üreticiler arasındaki sorumluluk paylaşımı kritik hale geliyor. Güvenlik mühendisliği, siber güvenlik ve hukuk ekipleri burada öne çıkıyor.
- Sağlık teknolojileri: Tıbbi cihaz yazılımları ve yapay zekâ destekli medikal çözümler için model hataları veya veri önyargıları hasta zararına yol açabilir. Klinik, regülasyon ve yazılım ekipleri etkilenecek.
- Endüstriyel otomasyon & robotik: Yazılım hataları veya dijital üretim dosyalarındaki kusurlar iş kazalarına sebep olabilir. Operasyon güvenliği, sistem entegrasyonu ve sözleşme yönetimi bu noktada kritik.
- Platformlar & e-ticaret lojistiği: Ürünleri depolayan ve gönderen fulfilment sağlayıcılar ve bazı online platformlar sorumluluk zincirine dahil edildi. Pazar yeri güvenliği ve satıcı uyumu ekipleri öne çıkıyor.
- Yazılım/AI tedarikçileri: Ticari yazılımlar ve SaaS çözümleri artık açıkça ürün kapsamına giriyor. Bu da ürün geliştirme, hukuk, bilgi güvenliği ve müşteri sözleşmeleri üzerinde doğrudan etki yaratıyor.
Kaynak:
https://eur-lex.europa.eu/eli/dir/2024/2853/oj/eng
https://www.cov.com/en/news-and-insights/insights/2024/10/what-can-you-expect-from-the-new-product-liability-directive
https://www.lw.com/admin/upload/SiteAttachments/New-EU-Product-Liability-Directive-Comes-Into-Force.pdf
https://www.reedsmith.com/en/perspectives/2025/06/new-european-union-product-liability-implications-commercial-supply-chain
https://www.nortonrosefulbright.com/en/knowledge/publications/7052eff6/artificial-intelligence-and-liability