Firma technologiczna z Mazowsza wdraża nowy system zarządzania magazynem. Kod źródłowy piszą trzej programiści – jeden na umowie o pracę, drugi na B2B, trzeci jako podwykonawca przez spółkę zewnętrzną. Po roku okazuje się, że prawa do oprogramowania należą do trzech różnych podmiotów. Sąd rozstrzyga spór przez 18 miesięcy. Scenariusz ten powtarza się w polskich firmach technologicznych częściej, niż można by przypuszczać.
Ochrona oprogramowania w polskim prawie opiera się na ustawie o prawie autorskim i prawach pokrewnych z 4 lutego 1994 roku. Kod źródłowy jest chroniony jak utwór literacki – bez rejestracji, od chwili powstania. Prawa majątkowe do programu stworzonego przez pracownika przechodzą na pracodawcę z mocy prawa, jednak w przypadku umów B2B i podwykonawstwa wymaga to wyraźnych postanowień umownych.
Ten alert wyjaśnia, kto i na jakich warunkach nabywa prawa do oprogramowania, jakie ryzyka niesie brak precyzyjnych umów oraz co zrobić, gdy firma działa w środowisku regulacyjnym AI Act i DORA. Trzy sekcje – co obowiązuje, kogo dotyczy, co zrobić teraz.
Jakie przepisy chronią oprogramowanie w Polsce i co się zmieniło?
Ustawa o prawie autorskim chroni oprogramowanie automatycznie. Nie ma rejestru, nie ma zgłoszenia, nie ma opłaty – ochrona powstaje w momencie ustalenia utworu. To odróżnia prawo autorskie od patentu czy znaku towarowego, który wymaga rejestracji w Urzędzie Patentowym RP. Ochrona trwa 70 lat od śmierci twórcy lub – przy programach tworzonych przez osoby prawne – od pierwszego udostępnienia.
Przepisy szczególne dotyczące programów komputerowych zawarte są w art. 74–77 ustawy. Regulują one zakres dozwolonego użytku, prawa do dekompilacji oraz – co najważniejsze – zasady nabycia praw przez pracodawcę. Zgodnie z art. 74 ust. 3, pracodawca nabywa autorskie prawa majątkowe do programu stworzonego przez pracownika w wyniku wykonywania obowiązków ze stosunku pracy. Warunek: program musi powstać w ramach obowiązków służbowych, a nie przy okazji pracy.
Krajowy i unijny kontekst regulacyjny zmienił się istotnie w ostatnich dwóch latach. RODO – Rozporządzenie UE 2016/679 – od lat nakłada obowiązki związane z ochroną danych przetwarzanych przez oprogramowanie. Nowe wyzwanie to AI Act (Rozporządzenie UE 2024/1689), który wszedł w życie 1 sierpnia 2024 roku. Systemy AI wysokiego ryzyka – w tym narzędzia do rekrutacji, scoringu kredytowego i biometrii – wymagają oceny zgodności i dokumentacji technicznej. To bezpośrednio wpływa na prawa do kodu leżącego u podstaw tych systemów.
DORA (Rozporządzenie UE 2022/2554) obowiązuje od 17 stycznia 2025 roku podmioty finansowe nadzorowane przez KNF. Wymaga zarządzania ryzykiem ICT, w tym dokumentowania zależności od zewnętrznych dostawców oprogramowania. Brak jasnych praw do kodu używanego przez bank lub firmę ubezpieczeniową może oznaczać naruszenie wymogów DORA – z konsekwencjami nadzorczymi.
Kogo dotyczą luki w ochronie oprogramowania i jakie ryzyko ponosi firma?
Największe ryzyko ponoszą firmy, które korzystają z oprogramowania tworzonego przez osoby na umowach B2B lub przez podwykonawców. W takim przypadku art. 74 ust. 3 ustawy o prawie autorskim nie ma zastosowania – prawa majątkowe pozostają przy twórcy, chyba że umowa wyraźnie stanowi inaczej. Cesja praw autorskich wymaga formy pisemnej pod rygorem nieważności. Brak tego postanowienia w kontrakcie B2B to jedna z najczęstszych luk w polskich firmach technologicznych.
W praktyce – wiele firm o tym zapomina – samo zlecenie wykonania oprogramowania nie przenosi praw. Deweloper na fakturze może opisać usługę jako „tworzenie systemu IT", ale bez wyraźnej klauzuli cesji pozostaje właścicielem kodu. Firma może go używać na podstawie licencji dorozumianej, jednak jej zakres jest ograniczony i trudny do udowodnienia przed sądem.
Trzy scenariusze ryzyka, które pojawiają się najczęściej:
- Programista B2B odchodzi i żąda wynagrodzenia za dalsze korzystanie z kodu – firma nie ma tytułu prawnego do oprogramowania produkcyjnego.
- Spółka zewnętrzna, przez którą zatrudniony był podwykonawca, rości sobie prawa do modułu systemu – blokuje aktualizacje i integracje.
- Inwestor podczas due diligence stwierdza brak dokumentacji praw do kodu – transakcja M&A zostaje wstrzymana lub wycena spada o kilkanaście procent.
Spółka technologiczna z Pomorza straciła latem 2024 roku kontrakt wart kilkaset tysięcy złotych, gdy potencjalny nabywca odkrył, że prawa do kluczowego modułu nie zostały formalnie przeniesione na spółkę. Deweloper – już po zakończeniu współpracy – zażądał dodatkowego wynagrodzenia. Negocjacje trwały cztery miesiące.
Ochrona danych osobowych przetwarzanych przez oprogramowanie to osobna warstwa ryzyka. RODO wymaga, by każdy system przetwarzający dane osobowe był zaprojektowany zgodnie z zasadą privacy by design. Jeśli firma nie ma praw do kodu, nie może go legalnie modyfikować w celu zapewnienia zgodności z RODO – a PUODO może nałożyć karę do 20 milionów euro lub 4% globalnego obrotu. Podobna sytuacja dotyczy podmiotów objętych DORA: brak kontroli nad kodem to brak kontroli nad ryzykiem ICT. Rejestracja spółki lub fundacji rodzinnej w KRS to moment, w którym warto też uregulować prawa do aktywów niematerialnych – w tym oprogramowania stanowiącego wkład niepieniężny.
Firmy wdrażające systemy AI wysokiego ryzyka w rozumieniu AI Act muszą dysponować pełną dokumentacją techniczną kodu. Bez tytułu prawnego do oprogramowania – niemożliwe jest spełnienie wymogów art. 11 AI Act dotyczących dokumentacji technicznej. To nie jest kwestia teoretyczna: pierwsze kontrole zgodności z AI Act spodziewane są w 2026 roku.
Co zrobić teraz – lista działań dla firm technologicznych?
Działania naprawcze mają sens tylko wtedy, gdy są podjęte przed sporem, audytem lub transakcją. Każde opóźnienie zawęża pole manewru. Poniżej lista priorytetowych kroków – do wdrożenia w ciągu 30 dni.
- Przeprowadź audyt umów z programistami B2B i podwykonawcami – zidentyfikuj brak klauzul cesji praw autorskich.
- Uzupełnij umowy o wyraźne postanowienie przenoszące autorskie prawa majątkowe na wszystkich polach eksploatacji wskazanych w art. 50 ustawy o prawie autorskim.
- Zadbaj o odrębne postanowienia dotyczące prawa do wykonywania zależnych praw autorskich – niezbędne przy modyfikacjach i rozbudowie systemu.
- Sporządź rejestr oprogramowania używanego w firmie z oznaczeniem tytułu prawnego: własność, licencja, open source.
- Oceń, czy oprogramowanie przetwarza dane osobowe lub stanowi system AI wysokiego ryzyka – i czy dokumentacja techniczna spełnia wymogi RODO i AI Act.
Firmy objęte DORA mają dodatkowy obowiązek: umowy z zewnętrznymi dostawcami ICT muszą zawierać klauzule dotyczące dostępu do kodu, audytu i ciągłości działania. KNF może żądać okazania tych umów w ramach nadzoru. Termin na dostosowanie kontraktów z dostawcami ICT minął 17 stycznia 2025 roku – firmy, które jeszcze tego nie zrobiły, działają z naruszeniem rozporządzenia.
Kancelaria IP Warszawa powinna być pierwszym kontaktem dla firm, które nie mają pewności co do zakresu posiadanych praw. Audyt prawny oprogramowania trwa zazwyczaj od 5 do 10 dni roboczych i obejmuje przegląd umów, weryfikację łańcucha nabycia praw oraz rekomendacje dotyczące uzupełnień. Koszt audytu jest wielokrotnie niższy niż koszt sporu sądowego o prawa do kodu – który przed sądem okręgowym może trwać od 12 do 24 miesięcy.
Konkretna sytuacja Państwa firmy wymaga oceny indywidualnej. Brak tytułu prawnego do oprogramowania produkcyjnego to ryzyko nieodwracalne – nie można go wyeliminować po wszczęciu sporu ani w trakcie due diligence.
Jeśli Państwa spółka korzysta z oprogramowania tworzonego przez programistów B2B lub podwykonawców i nie ma pewności co do zakresu posiadanych praw – przeprowadzimy audyt umów, zidentyfikujemy luki i przygotujemy dokumentację zgodną z wymogami AI Act i DORA: info@kordeckipartners.com.
Często zadawane pytania
P: Czy firma automatycznie nabywa prawa do oprogramowania stworzonego przez programistę na umowie B2B?
O: Nie. Artykuł 74 ustęp 3 ustawy o prawie autorskim dotyczy wyłącznie pracowników zatrudnionych na podstawie stosunku pracy. W przypadku umowy B2B prawa majątkowe pozostają przy twórcy, chyba że umowa zawiera wyraźną klauzulę cesji w formie pisemnej. Brak takiej klauzuli oznacza, że firma korzysta z kodu na podstawie licencji dorozumianej – o niepewnym zakresie i trudnej do obrony pozycji procesowej.
P: Ile kosztuje i jak długo trwa uzupełnienie umów o klauzule dotyczące praw autorskich?
O: Przygotowanie standardowej klauzuli cesji praw autorskich do umowy B2B zajmuje od 1 do 3 dni roboczych. Audyt całego portfolio umów w firmie zatrudniającej od 10 do 30 programistów trwa zazwyczaj od 5 do 10 dni. Koszt zależy od liczby umów i stopnia skomplikowania struktury podwykonawstwa. Zawarcie aneksów z aktualnymi współpracownikami jest możliwe w każdym momencie trwania współpracy.
P: Czy oprogramowanie open source jest wolne od ograniczeń prawnoautorskich?
O: To częste nieporozumienie. Oprogramowanie open source jest chronione prawem autorskim – twórcy jedynie udzielają licencji na określonych warunkach. Licencje copyleft, takie jak GPL, mogą wymagać udostępnienia kodu modyfikacji na tych samych warunkach. Włączenie komponentu GPL do oprogramowania komercyjnego bez analizy prawnej może oznaczać obowiązek ujawnienia całego kodu źródłowego produktu.
O kancelarii: KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony własności intelektualnej, prawa technologicznego i regulacji AI. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.