Firma softwarowa z Trójmiasta odkrywa, że jej flagowy algorytm rekomendacyjny – rozwijany przez trzy lata – został sklonowany przez konkurenta. Zgłoszenie do UPRP trwa miesiące. Umowy z programistami nie zawierają klauzuli o przeniesieniu praw autorskich. Ochrona, która miała być, nigdy nie powstała.

Strategia ochrony IP dla firm technologicznych w Polsce wymaga dziś trzech równoległych działań: zabezpieczenia praw autorskich do kodu, rejestracji znaków towarowych i patentów w UPRP oraz dostosowania modelu do nowych regulacji – AI Act, DORA i RODO. Obowiązek stosowania AI Act wobec systemów wysokiego ryzyka wszedł w życie 2 sierpnia 2026 roku. DORA obowiązuje od 17 stycznia 2025 roku. Firmy, które nie działają teraz, ryzykują utratę aktywów niematerialnych bezpowrotnie.

Ten alert wyjaśnia, co się zmieniło w otoczeniu regulacyjnym, kogo dotyczą nowe progi i jakie działania należy podjąć w ciągu najbliższych 30 dni. Trzy obszary: prawo autorskie do oprogramowania, rejestracja IP i zgodność z regulacjami cyfrowymi.

Co się zmieniło w ochronie IP firm technologicznych?

AI Act – Rozporządzenie UE 2024/1689 – klasyfikuje systemy sztucznej inteligencji według poziomu ryzyka. Systemy wysokiego ryzyka, stosowane w rekrutacji, scoringu kredytowym czy biometrii, wymagają oceny zgodności przed wprowadzeniem na rynek. Dla firmy technologicznej oznacza to obowiązek dokumentowania modeli AI, prowadzenia rejestrów i poddania się audytowi. Naruszenie może skutkować karą do 30 milionów EUR lub 6% rocznego obrotu – co jest wyższe.

DORA – Rozporządzenie UE 2022/2554 – obowiązuje od 17 stycznia 2025 roku i dotyczy podmiotów finansowych oraz ich dostawców ICT. Jeśli Twoja spółka technologiczna dostarcza oprogramowanie bankom, towarzystwom ubezpieczeniowym lub domom maklerskim, podlega wymogom DORA jako podmiot trzeci. KNF sprawuje nadzór nad wdrożeniem. Brak umów o poziomie usług spełniających wymogi DORA naraża na rozwiązanie kontraktów przez klientów finansowych w trybie natychmiastowym.

RODO – Rozporządzenie UE 2016/679 – nie jest nowością, ale PUODO zaostrzyło egzekwowanie. Firmy technologiczne przetwarzające dane osobowe w modelach AI muszą przeprowadzić ocenę skutków dla ochrony danych (DPIA). Brak DPIA przy wdrożeniu nowego produktu AI to ryzyko kary administracyjnej do 20 milionów EUR. Więcej o trendach egzekwowania RODO przez PUODO znajdą Państwo w naszej analizie kar RODO w Polsce.

W praktyce – wiele firm o tym zapomina – zmiana regulacyjna uderza nie tylko w compliance, ale bezpośrednio w wartość IP. Inwestor podczas due diligence sprawdza dziś nie tylko rejestry UPRP i EUIPO, ale też dokumentację AI Act i umowy DORA. Brak tych dokumentów obniża wycenę spółki lub blokuje transakcję.

Kogo dotyczą nowe progi i jakie są terminy?

Nie każda firma technologiczna jest w identycznej sytuacji. Progi regulacyjne różnicują obowiązki. Znajomość tych progów pozwala ustalić priorytety działań na najbliższe 30 dni.

AI Act stosuje się etapowo. Od 2 lutego 2025 roku obowiązuje zakaz systemów AI niedopuszczalnego ryzyka – m.in. systemów oceniania społecznego. Od 2 sierpnia 2026 roku wchodzą obowiązki dla systemów wysokiego ryzyka. Firmy rozwijające modele AI w obszarach HR, finansów lub bezpieczeństwa muszą już teraz wdrożyć systemy zarządzania ryzykiem, bo 18 miesięcy na przygotowanie mija szybko.

DORA obowiązuje od 17 stycznia 2025 roku bez okresu przejściowego dla podmiotów finansowych. Dostawcy ICT – w tym polskie firmy softwarowe obsługujące sektor finansowy – powinni mieć podpisane umowy spełniające wymogi Rozporządzenia UE 2022/2554 już teraz. Jeśli kontrakt z bankiem lub ubezpieczycielem nie zawiera klauzul o zarządzaniu incydentami ICT i prawie do audytu, klient finansowy ma podstawę do wypowiedzenia umowy.

Znak towarowy i patent nie mają progów regulacyjnych, ale mają progi rynkowe. Rejestracja znaku w UPRP kosztuje około 450 PLN za jedną klasę i trwa 4–6 miesięcy. Rejestracja w EUIPO – ochrona w 27 państwach UE – to koszt od 850 EUR. Każdy miesiąc bez rejestracji to ryzyko, że konkurent zarejestruje zbliżony znak pierwszy. Zasada pierwszeństwa działa bezwzględnie.

Szczególną uwagę powinny zwrócić firmy planujące ekspansję zagraniczną lub pozyskanie inwestora. Kwestie transferu danych do Wielkiej Brytanii po Brexicie – istotne dla firm z klientami brytyjskimi – omówiliśmy w analizie mechanizmów transferu danych z Polski do UK. Firmy z udziałem zagranicznym powinny też sprawdzić, czy nabycie aktywów IP nie podlega kontroli inwestycji zagranicznych przez UOKiK – szczegóły w materiale o uprawnieniach UOKiK.

Startup z Poznania wdrożył w lecie 2025 roku narzędzie AI do analizy CV dla klienta z sektora bankowego. Brak DPIA i dokumentacji AI Act spowodował wstrzymanie projektu przez klienta na 6 tygodni. Koszt opóźnienia przekroczył 200 tysięcy PLN. Dokumentacja, której brakowało, zajęłaby prawnikowi 2–3 dni pracy.

Jakie działania podjąć natychmiast?

Ochrona IP firmy technologicznej to nie jednorazowy projekt. To proces, który wymaga przeglądu co 12 miesięcy. Jednak kilka działań jest pilnych i powinny zostać wykonane w ciągu 30 dni.

Lista kontrolna – co zrobić teraz:

  • Sprawdzić umowy z programistami i podwykonawcami – czy zawierają klauzulę o przeniesieniu autorskich praw majątkowych do kodu na pracodawcę lub zamawiającego.
  • Złożyć wniosek o rejestrację znaku towarowego w UPRP lub EUIPO – jeśli znak nie jest jeszcze zarejestrowany, każdy dzień zwłoki to ryzyko utraty pierwszeństwa.
  • Przeprowadzić klasyfikację systemów AI według AI Act – ustalić, czy produkty spółki mieszczą się w kategorii wysokiego ryzyka i jakie obowiązki dokumentacyjne z tego wynikają.
  • Zweryfikować umowy z klientami finansowymi pod kątem wymogów DORA – klauzule o zarządzaniu incydentami ICT, prawie do audytu i ciągłości działania.
  • Wykonać DPIA dla nowych produktów przetwarzających dane osobowe – obowiązek wynikający z RODO, egzekwowany przez PUODO.

Agencja produktowa z Wrocławia przeprowadziła audyt IP w jesieni 2025 roku przed rundą finansowania. Okazało się, że 40% kodu kluczowego produktu powstało na podstawie umów o dzieło bez klauzuli przeniesienia praw. Uzupełnienie umów z byłymi współpracownikami zajęło dwa miesiące i opóźniło zamknięcie rundy. Inwestor obniżył wycenę o 15%.

Uważamy, że bezpieczniejszym rozwiązaniem jest przeprowadzenie audytu IP przed każdą transakcją – nie po jej rozpoczęciu. Koszt audytu jest wielokrotnie niższy niż koszt naprawy błędów wykrytych przez inwestora lub organ regulacyjny.

Konkretna sytuacja Państwa spółki – profil produktów AI, model dystrybucji, baza klientów – decyduje o tym, które regulacje mają zastosowanie i w jakiej kolejności należy działać. Opóźnienie w klasyfikacji systemów AI lub brak rejestracji znaku może mieć skutki nieodwracalne: utratę pierwszeństwa, kary regulacyjne lub zablokowanie transakcji.

Jeśli Państwa spółka technologiczna wdraża systemy AI, obsługuje klientów z sektora finansowego lub planuje pozyskanie inwestora – przeprowadzimy audyt IP, klasyfikację AI Act i przegląd umów: info@kordeckipartners.com.

Często zadawane pytania

P: Czy prawo autorskie do kodu powstaje automatycznie, bez rejestracji?

O: Tak – prawo autorskie do oprogramowania powstaje w chwili stworzenia kodu, bez żadnej rejestracji. Problem pojawia się przy ustaleniu, kto jest uprawnionym. Jeśli kod napisał programista na podstawie umowy o dzieło lub jako freelancer, prawa autorskie majątkowe przysługują twórcy – nie firmie – chyba że umowa wyraźnie przenosi te prawa. Brak klauzuli przeniesienia praw w umowie to jeden z najczęstszych błędów w polskich firmach technologicznych.

P: Ile kosztuje i jak długo trwa rejestracja znaku towarowego w Polsce?

O: Rejestracja znaku towarowego w Urzędzie Patentowym Rzeczypospolitej Polskiej kosztuje około 450 PLN za jedną klasę towarową lub usługową. Procedura trwa od 4 do 6 miesięcy przy braku sprzeciwów. Rejestracja unijnego znaku towarowego w EUIPO obejmuje wszystkie 27 państw UE i kosztuje od 850 EUR za jedną klasę. Ochrona trwa 10 lat i podlega odnowieniu. Rejestracja w EUIPO jest szczególnie zalecana firmom planującym ekspansję na rynek europejski.

P: Czy każda firma technologiczna musi stosować AI Act?

O: Rozporządzenie UE 2024/1689 stosuje się do podmiotów wprowadzających systemy AI na rynek UE lub oddających je do użytku w UE – niezależnie od miejsca siedziby firmy. Polskie firmy technologiczne są objęte regulacją, jeśli ich produkty AI trafiają do użytkowników w Unii Europejskiej. Zakres obowiązków zależy od klasyfikacji systemu: systemy niedopuszczalnego ryzyka są zakazane od 2 lutego 2025 roku, systemy wysokiego ryzyka podlegają pełnym wymogom od 2 sierpnia 2026 roku. Firmy rozwijające narzędzia AI do rekrutacji, scoringu lub biometrii powinny przeprowadzić klasyfikację natychmiast.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony własności intelektualnej, regulacji technologicznych i compliance cyfrowego. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.