Cypryjska spółka technologiczna wchodzi na rynek polski. Kod źródłowy pisany przez zespół w Limassol, algorytmy trenowane na danych z całej Europy, marka zarejestrowana gdzieś między Nikozją a Dublinem. A Polska? Polska to nagle rynek zbytu, centrum R&D albo baza dla klientów z CEE. I właśnie tutaj – między pierwszym polskim klientem a pierwszą polską umową – wiele firm traci kontrolę nad swoim najcenniejszym aktywem: prawami własności intelektualnej.

Strategia ochrony IP dla cypryjskiej firmy technologicznej działającej w Polsce wymaga połączenia trzech warstw: ochrony na poziomie unijnym (znaki towarowe EUIPO, wzory wspólnotowe), rejestracji krajowej w Urzędzie Patentowym RP oraz umów kontraktowych regulujących prawa do wyników pracy. Wdrożenie pełnej struktury zajmuje od 6 do 18 miesięcy. Koszt podstawowego pakietu ochronnego – od kilkunastu do kilkudziesięciu tysięcy złotych rocznie – jest wielokrotnie niższy niż koszt sporu sądowego o naruszenie IP.

Ten przewodnik przeprowadza cypryjskie firmy technologiczne przez cztery etapy: audyt aktywów IP, wybór instrumentów ochrony, wdrożenie w polskich strukturach oraz zarządzanie ryzykiem regulacyjnym (AI Act, DORA, RODO). Każdy etap zawiera konkretne terminy, koszty i pułapki, których uniknięcie decyduje o tym, czy IP zostanie w spółce – czy wycieknie do podwykonawcy.

Krok 1: Audyt aktywów IP – co firma z Cypru ma do ochrony w Polsce?

Zanim firma zarejestruje cokolwiek, musi wiedzieć, co posiada. Brzmi trywialnie – w praktyce większość cypryjskich spółek technologicznych nie ma aktualnej mapy swoich aktywów IP. Kod jest rozproszony między repozytoriami, umowy z freelancerami zawierane były bez klauzul cesji praw, a marka funkcjonuje pod różnymi wariantami w różnych krajach.

Audyt IP obejmuje cztery kategorie aktywów. Po pierwsze: oprogramowanie i kod źródłowy – kto je stworzył, na jakiej podstawie prawnej i czy prawa autorskie zostały skutecznie przeniesione na spółkę. Po drugie: znaki towarowe i nazwy domen – czy są zarejestrowane, gdzie i na jaki podmiot. Po trzecie: know-how i tajemnice przedsiębiorstwa – czy są odpowiednio zabezpieczone umowami NDA i procedurami wewnętrznymi. Po czwarte: dane i modele AI – to kategoria coraz częściej pomijana, choć w świetle AI Act (Rozporządzenie UE 2024/1689) staje się aktywem regulowanym.

W Polsce szczególne znaczenie ma prawo autorskie do oprogramowania. Zgodnie z polską ustawą o prawie autorskim i prawach pokrewnych, pracownik tworzący oprogramowanie w ramach stosunku pracy przenosi prawa na pracodawcę automatycznie. Przy umowach B2B (a w polskim sektorze IT to dominująca forma współpracy) – cesja musi być wyraźna i pisemna. Firma z Limassol zatrudniająca polskich programistów na kontrakty B2B bez klauzuli cesji praw może odkryć, że kod należy do programisty, nie do spółki.

Audyt warto przeprowadzić przed jakimkolwiek wejściem kapitałowym do Polski – czy to przez otwarcie oddziału, czy przez założenie spółki zależnej. Porównanie obu struktur dla grup cypryjskich opisujemy szczegółowo w analizie branch vs subsidiary in Poland – comparison for Cyprus groups.

Typowy audyt IP dla firmy zatrudniającej 20–50 osób zajmuje 4–6 tygodni. Koszt zewnętrzny: 8 000–20 000 PLN, zależnie od złożoności struktury kontraktowej.

Jakie instrumenty ochrony IP wybrać dla firmy technologicznej z Cypru?

Wybór instrumentu zależy od rodzaju aktywa, budżetu i horyzontu czasowego. Nie ma jednego słusznego rozwiązania – jest natomiast kilka błędów, które powtarzają się nagminnie. Pierwszym z nich jest rejestracja wyłącznie krajowa zamiast unijnej, co zostawia otwarte drzwi w 26 pozostałych państwach członkowskich.

Dla cypryjskiej firmy technologicznej wchodzącej do Polski rekomendowany zestaw instrumentów wygląda następująco:

  • Znak towarowy UE (EUIPO) – ochrona w całej UE, opłata za klasę towarową od 850 EUR, czas rejestracji 4–6 miesięcy przy braku sprzeciwu
  • Wzór wspólnotowy (EUIPO) – dla interfejsów UI/UX i produktów z elementem designu, opłata od 350 EUR, ochrona do 25 lat
  • Prawo autorskie – powstaje automatycznie, nie wymaga rejestracji; kluczowe są umowy cesji i licencji
  • Tajemnica przedsiębiorstwa – chroniona ustawą o zwalczaniu nieuczciwej konkurencji; wymaga procedur wewnętrznych i umów NDA
  • Patent europejski (EPO) – dla rozwiązań technicznych spełniających kryteria nowości i nieoczywistości; postępowanie trwa 3–5 lat, koszt od 30 000 EUR

Firmy SaaS i platformy cyfrowe rzadko patentują – koszty i czas postępowania nie odpowiadają cyklowi życia produktu. Skupiają się na znakach towarowych, prawie autorskim i tajemnicy przedsiębiorstwa. Firmy deep-tech (AI, biotech, hardware) patentują selektywnie, priorytetyzując zgłoszenia PCT dla kluczowych wynalazków.

Ważna kwestia dla struktur cypryjskich: IP Box. Polska umożliwia opodatkowanie dochodów z kwalifikowanych praw IP stawką 5% CIT (art. 24d–24s ustawy o CIT). Cypryjskie spółki holdingowe IP mogą optymalizować przepływy royalty między Cyprem a polską spółką operacyjną – pod warunkiem zachowania zgodności z przepisami o cenach transferowych i testem substancji ekonomicznej.

Firmy działające w sektorze finansowym muszą dodatkowo uwzględnić DORA (Rozporządzenie UE 2022/2554), które od 17 stycznia 2025 r. nakłada na podmioty finansowe wymogi dotyczące zarządzania ryzykiem ICT. Oprogramowanie dostarczane instytucjom finansowym w Polsce podlega tym regulacjom – co wpływa na strukturę umów licencyjnych i obowiązki dostawcy.

Jak wdrożyć ochronę IP w polskich strukturach – krok po kroku?

Wdrożenie ochrony IP w Polsce to nie jednorazowa rejestracja. To proces rozłożony na 12–18 miesięcy, obejmujący działania prawne, organizacyjne i techniczne. Firmy, które traktują go jako projekt jednorazowy, zwykle wracają do prawników po 2–3 latach – z problemem, który kosztuje wielokrotnie więcej niż zapobieganie.

Etap pierwszy (miesiące 1–3): zabezpieczenie umów. Wszystkie umowy z polskimi programistami, projektantami i podwykonawcami muszą zawierać klauzule cesji praw autorskich majątkowych na wszystkich znanych polach eksploatacji. Umowy o pracę – aktualizacja zgodnie z art. 12 ustawy o prawie autorskim. Umowy B2B – wyraźna cesja bez żadnych domniemań.

Etap drugi (miesiące 2–6): rejestracja znaków towarowych. Zgłoszenie znaku UE przez EUIPO – najlepiej w klasach 35, 42 i 45 (usługi IT, SaaS, konsulting). Równolegle warto sprawdzić, czy nazwa produktu nie koliduje z wcześniejszymi prawami w Polsce – baza UPRP jest publicznie dostępna. Jeden cypryjski startup z branży fintech stracił możliwość wejścia na rynek polski wiosną 2024 r., bo konkurent zarejestrował identyczny znak krajowy 6 miesięcy wcześniej.

Etap trzeci (miesiące 3–9): polityki wewnętrzne. Wdrożenie procedur ochrony tajemnicy przedsiębiorstwa: klasyfikacja dokumentów, polityka dostępu, procedura zgłaszania naruszeń. Zgodność z RODO (Rozporządzenie UE 2016/679) – szczególnie w zakresie danych treningowych modeli AI, które mogą zawierać dane osobowe. PUODO może nałożyć karę do 20 mln EUR lub 4% globalnego obrotu za naruszenia RODO.

Etap czwarty (miesiące 6–18): monitoring i egzekwowanie. Rejestracja w systemach monitoringu znaków towarowych (np. EUIPO Alert). Procedury reagowania na naruszenia: wezwania do zaprzestania, zabezpieczenia sądowe (art. 730 k.p.c. pozwala na uzyskanie zabezpieczenia przed wszczęciem postępowania głównego), powództwa o naruszenie IP przed sądem polskim.

Kwestie związane z transferem danych między strukturami cypryjskimi a polskimi warto skonsultować oddzielnie – mechanizmy prawne omawia szczegółowo analiza data transfer from Poland to Switzerland – legal mechanisms, która stanowi użyteczne tło porównawcze dla transferów wewnątrzgrupowych.

Jakie błędy popełniają cypryjskie firmy technologiczne w Polsce?

Na podstawie obsługi klientów z sektora technologicznego można wskazać pięć błędów, które powtarzają się niezależnie od wielkości firmy. Każdy z nich wiąże się z utratą aktywów IP lub kosztownym postępowaniem sądowym.

Błąd 1: Brak cesji praw przy umowach B2B. Polski programista zatrudniony na kontrakcie B2B bez klauzuli cesji zachowuje autorskie prawa majątkowe do napisanego kodu. Firma z Cypru, która kupiła jego czas, nie kupiła praw do efektów pracy. Odkrycie tego faktu przy due diligence przed rundą inwestycyjną potrafi zablokować transakcję na tygodnie.

Błąd 2: Rejestracja tylko na Cyprze. Cypryjski znak towarowy chroni wyłącznie na terytorium Cypru. W Polsce działa wyłącznie ochrona unijna (EUIPO) lub krajowa (UPRP). Firmy zakładające, że "rejestracja UE" wystarczy, mają rację – ale tylko jeśli faktycznie zarejestrowały znak w EUIPO, a nie wyłącznie na Cyprze jako państwie UE.

Błąd 3: Ignorowanie AI Act przy produktach AI. AI Act (Rozporządzenie UE 2024/1689) wszedł w życie 1 sierpnia 2024 r. Systemy AI wysokiego ryzyka – w tym narzędzia do scoringu kredytowego, rekrutacji HR i biometrii – wymagają oceny zgodności przed wprowadzeniem do obrotu w Polsce. Brak dokumentacji zgodności to ryzyko zakazu sprzedaży produktu na rynku UE.

Błąd 4: Niedostosowanie umów licencyjnych do DORA. Cypryjskie firmy dostarczające oprogramowanie polskim instytucjom finansowym muszą od 17 stycznia 2025 r. spełniać wymogi DORA jako ICT third-party service providers. Umowy licencyjne bez klauzul DORA (prawo do audytu, wymogi SLA, procedury incydentowe) mogą być kwestionowane przez KNF.

Błąd 5: Brak polityki trade secrets. Polska ustawa o zwalczaniu nieuczciwej konkurencji chroni tajemnice przedsiębiorstwa – ale tylko jeśli firma podjęła "rozsądne środki" w celu ich zachowania w poufności. Firma, która nie ma polityki klasyfikacji informacji, NDA z pracownikami i procedur bezpieczeństwa, może przegrać sprawę o kradzież know-how, bo sąd uzna, że tajemnica nie była należycie chroniona.

Trzy scenariusze biznesowe ilustrują te ryzyka w praktyce. Firma SaaS z Nikozji rozwijająca platformę HR z funkcjami AI (scenariusz 1) musi jednocześnie zadbać o znaki towarowe, cesję praw od polskiego zespołu R&D i dokumentację zgodności z AI Act dla modułu rekrutacyjnego – trzy różne procedury, trzy różne terminy. Startup fintech z Limassol (scenariusz 2) wchodzący do polskich banków musi wdrożyć wymogi DORA zanim podpisze pierwszą umowę z instytucją regulowaną przez KNF. Fundusz venture z Cypru (scenariusz 3) inwestujący w polskie spółki technologiczne powinien wymagać pełnego audytu IP jako warunku zamknięcia transakcji – luka w prawach autorskich to defekt tytułu prawnego do aktywa.

Strategie ochrony IP dla firm z innych jurysdykcji europejskich opisujemy w analizie IP protection strategy for Luxembourg tech companies in Poland – wiele rozwiązań jest bezpośrednio przekładalnych na struktury cypryjskie.

Konkretna sytuacja Państwa firmy – liczba aktywów IP, struktura zespołu w Polsce, produkty objęte AI Act lub DORA – wymaga indywidualnej oceny. Działanie bez tej oceny zamyka drogę do skutecznej ochrony i może prowadzić do nieodwracalnej utraty praw do kluczowych aktywów technologicznych.

Jeśli Państwa spółka z Cypru działa lub planuje działać w Polsce z produktami opartymi na oprogramowaniu, AI lub danych – przeprowadzimy audyt IP, dobierzemy instrumenty ochrony i wdrożymy strukturę kontraktową: info@kordeckipartners.com.

Często zadawane pytania

P: Czy cypryjska rejestracja znaku towarowego chroni markę w Polsce?

O: Nie. Cypryjski znak towarowy obowiązuje wyłącznie na terytorium Cypru. Ochrona w Polsce wymaga rejestracji unijnej w EUIPO (obejmuje całą UE, w tym Polskę) lub rejestracji krajowej w Urzędzie Patentowym RP. Zgłoszenie unijne kosztuje od 850 EUR za pierwszą klasę towarową i jest rozpatrywane w ciągu 4–6 miesięcy przy braku sprzeciwu.

P: Czy polska spółka zależna automatycznie nabywa prawa IP od spółki matki z Cypru?

O: Nie – prawa własności intelektualnej nie przechodzą automatycznie na spółkę zależną tylko dlatego, że jest ona w grupie kapitałowej. Przeniesienie praw lub udzielenie licencji wymaga pisemnej umowy, spełniającej wymogi zarówno prawa cypryjskiego, jak i polskiego. Umowa licencyjna między podmiotami powiązanymi podlega przepisom o cenach transferowych i powinna być zawarta na warunkach rynkowych.

P: Kiedy produkt AI cypryjskiej firmy wymaga oceny zgodności z AI Act w Polsce?

O: AI Act (Rozporządzenie UE 2024/1689) stosuje się do systemów AI wprowadzanych do obrotu lub używanych w UE, niezależnie od miejsca siedziby dostawcy. Systemy wysokiego ryzyka – w tym narzędzia do rekrutacji, scoringu kredytowego i identyfikacji biometrycznej – wymagają oceny zgodności i wpisu do unijnej bazy danych przed pierwszym wdrożeniem. Obowiązki dla dostawców systemów ogólnego przeznaczenia (GPAI) wchodzą w życie stopniowo do 2027 roku.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony własności intelektualnej, regulacji AI i technologii. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.