Firma technologiczna z Mazowsza wdraża nowy system ERP. Kod źródłowy powstaje w całości u klienta – programiści na umowach B2B, brak klauzul cesji praw, brak regulaminu pracy twórczej. Po roku okazuje się, że żaden z autorów nie przeniósł praw majątkowych na spółkę. Oprogramowanie wartości kilku milionów złotych formalnie należy do kilkunastu freelancerów. To nie jest scenariusz teoretyczny.

Ochrona oprogramowania w polskim prawie opiera się na ustawie o prawie autorskim i prawach pokrewnych z 4 lutego 1994 roku. Kod źródłowy jest chroniony jak utwór literacki – bez rejestracji, od chwili powstania. Prawa majątkowe do oprogramowania stworzonego przez pracownika przechodzą na pracodawcę z mocy prawa, ale wyłącznie przy umowie o pracę. Przy B2B – nie ma automatyzmu. Prawa pozostają przy twórcy.

Ten alert wyjaśnia, kto jest narażony na utratę praw do własnego oprogramowania, jakie przepisy decydują o tym, kto jest właścicielem kodu, oraz co zrobić w ciągu najbliższych 30 dni, żeby zamknąć luki prawne.

Kto jest właścicielem kodu – i dlaczego odpowiedź może zaskoczyć?

Ustawa o prawie autorskim i prawach pokrewnych (dalej: u.p.a.p.p.) traktuje oprogramowanie jako utwór. Ochrona powstaje automatycznie – nie trzeba rejestrować kodu w żadnym rejestrze, nie trzeba oznaczać plików symbolem ©. Wystarczy, że kod jest oryginalny i twórczy. To dobra wiadomość. Zła wiadomość jest inna: prawa majątkowe i prawa osobiste to dwie różne rzeczy, a ta różnica kosztuje firmy realne pieniądze.

Prawa osobiste – prawo do autorstwa, do nienaruszalności formy – są niezbywalne. Twórca nie może ich przenieść na nikogo. Prawa majątkowe – prawo do kopiowania, modyfikowania, dystrybucji, udzielania licencji – można przenosić. Ale wyłącznie w formie pisemnej, na wyraźnie wskazanych polach eksploatacji. Brak jednego pola eksploatacji w umowie oznacza brak prawa do korzystania z kodu w tym zakresie.

Przy umowie o pracę art. 74 ust. 3 u.p.a.p.p. przyznaje pracodawcy prawa majątkowe do oprogramowania stworzonego przez pracownika w ramach obowiązków służbowych. Mechanizm działa z mocy prawa – nie wymaga dodatkowych postanowień umownych. Przy umowie B2B, zleceniu lub o dzieło – mechanizm nie działa. Prawa pozostają przy programiście, chyba że umowa wyraźnie stanowi inaczej.

W praktyce wiele spółek technologicznych w Polsce zatrudnia programistów wyłącznie na B2B. Jeśli umowy nie zawierają klauzuli cesji praw autorskich na wszystkich polach eksploatacji – spółka korzysta z cudzego kodu bez tytułu prawnego. Urząd Patentowy RP nie prowadzi rejestru oprogramowania. Nie ma instytucji, która ostrzeże przed tym ryzykiem. KRS też nie.

Jakie zmiany przynoszą AI Act, DORA i RODO dla ochrony oprogramowania?

Trzy rozporządzenia unijne zmieniają sposób, w jaki firmy muszą podchodzić do praw autorskich w oprogramowaniu. AI Act (Rozporządzenie UE 2024/1689), DORA (Rozporządzenie UE 2022/2554) i RODO (Rozporządzenie UE 2016/679) nakładają nowe obowiązki dokumentacyjne i techniczne – a ich spełnienie wymaga, żeby firma miała pewny tytuł prawny do kodu, który wdraża.

AI Act wszedł w życie 1 sierpnia 2024 roku. Systemy AI wysokiego ryzyka – w tym narzędzia do rekrutacji, scoringu kredytowego i biometrii – wymagają dokumentacji technicznej i oceny zgodności. Firma, która wdraża taki system oparty na cudzym kodzie (bez cesji praw), nie może legalnie modyfikować go pod wymogi AI Act. Ryzyko: brak zgodności z rozporządzeniem i odpowiedzialność wobec PUODO lub krajowego organu nadzoru.

DORA obowiązuje od 17 stycznia 2025 roku dla podmiotów finansowych nadzorowanych przez KNF. Wymaga zarządzania ryzykiem ICT, w tym dokumentowania zależności od zewnętrznych dostawców oprogramowania. Jeśli bank lub firma inwestycyjna korzysta z oprogramowania, do którego nie posiada praw majątkowych – narusza wymogi DORA dotyczące ciągłości operacyjnej. Kara administracyjna może sięgać 1% średniego dziennego obrotu globalnego.

RODO z kolei wymaga, żeby systemy przetwarzające dane osobowe spełniały zasadę privacy by design. Firma, która nie kontroluje kodu przetwarzającego dane – bo nie ma do niego praw – nie może skutecznie wdrożyć tej zasady. PUODO może nałożyć karę do 20 milionów euro lub 4% globalnego obrotu. Więcej o powiązaniu compliance z ochroną IP – w naszym materiale o ESG i compliance w Polsce.

Osobną kwestią jest znak towarowy. Sama nazwa oprogramowania i jego logo mogą być chronione jako znak towarowy zarejestrowany w UPRP lub EUIPO. To odrębna warstwa ochrony – niezależna od praw autorskich. Firmy często zapominają, że ochrona danych i ochrona marki to dwa różne instrumenty, które powinny działać równolegle. Szczegóły dotyczące zarządzania ryzykiem ICT w kontekście DORA omawia nasz alert o DORA i zarządzaniu ryzykiem ICT.

Co zrobić teraz – lista działań na 30 dni

Ryzyko utraty praw do własnego oprogramowania jest realne i nieodwracalne w skutkach – jeśli twórca sprzeda prawa osobie trzeciej, odzyskanie ich wymaga postępowania sądowego. Działanie w ciągu 30 dni pozwala zamknąć większość luk bez kosztownych sporów. Poniżej lista priorytetów dla działu prawnego i CTO.

  • Audyt umów z programistami B2B – sprawdź, czy każda umowa zawiera klauzulę cesji praw majątkowych na wszystkich polach eksploatacji, w tym na polu modyfikacji i dystrybucji kodu.
  • Inwentaryzacja kodu – ustal, które moduły systemu zostały stworzone przez kogo i na jakiej podstawie prawnej; priorytet dla komponentów krytycznych.
  • Uzupełnienie umów – podpisz aneksy z aktualnymi współpracownikami; dla byłych – rozważ umowy przeniesienia praw lub licencje wyłączne.
  • Klauzule AI Act i DORA – dodaj do nowych umów postanowienia o prawie do modyfikacji kodu pod wymogi regulacyjne, w tym wymogi AI Act i DORA.
  • Rejestracja znaku towarowego – jeśli nazwa lub logo oprogramowania nie są zarejestrowane w UPRP lub EUIPO, złóż wniosek; procedura trwa około 6 miesięcy.

Spółka z Trójmiasta, która przeprowadziła taki audyt wiosną 2025 roku, odkryła braki w 11 z 18 umów B2B. Uzupełnienie dokumentacji zajęło 3 tygodnie i kosztowało ułamek wartości kodu. Alternatywą byłoby postępowanie sądowe – z niepewnym wynikiem i kosztami przekraczającymi 100 000 zł.

Warto pamiętać, że kancelaria IP Warszawa to nie tylko rejestracja znaków. Kompleksowa ochrona oprogramowania obejmuje audyt umów, cesję praw, licencjonowanie i dostosowanie do wymogów regulacyjnych – AI Act, DORA, RODO. Każdy z tych elementów wymaga osobnej analizy prawnej.

Konkretna sytuacja Państwa firmy – zwłaszcza jeśli oprogramowanie stanowi główny aktyw biznesowy – wymaga indywidualnej oceny. Brak cesji praw w jednej umowie B2B może zamknąć drogę do sprzedaży spółki lub pozyskania inwestora. Konsekwencja jest nieodwracalna, jeśli twórca zdąży rozporządzić prawami przed audytem.

Jeśli Państwa spółka korzysta z oprogramowania tworzonego przez programistów B2B i nie ma pewności co do tytułu prawnego do kodu – przeprowadzimy audyt umów, wskazanie luk i projekt aneksów: info@kordeckipartners.com.

Często zadawane pytania

P: Czy firma automatycznie nabywa prawa do kodu napisanego przez programistę B2B?

O: Nie. Przy umowie B2B prawa majątkowe pozostają przy programiście, chyba że umowa zawiera wyraźną klauzulę cesji na wskazanych polach eksploatacji. Artykuł 74 ustęp 3 ustawy o prawie autorskim dotyczy wyłącznie pracowników zatrudnionych na umowie o pracę. Brak klauzuli cesji oznacza, że firma korzysta z kodu bez tytułu prawnego – nawet jeśli za niego zapłaciła.

P: Ile kosztuje rejestracja znaku towarowego dla nazwy oprogramowania?

O: Opłata urzędowa za zgłoszenie znaku towarowego w UPRP wynosi 450 zł za jedną klasę towarową w trybie elektronicznym. Procedura trwa około 6 miesięcy. Rejestracja w EUIPO (ochrona na terenie całej UE) kosztuje od 850 euro za jedną klasę. Ochrona znaku towarowego jest niezależna od ochrony autorskoprawnej kodu i działa równolegle.

P: Czy RODO i AI Act wpływają na to, kto musi mieć prawa do oprogramowania?

O: Tak, pośrednio. RODO wymaga wdrożenia zasady privacy by design – co jest niemożliwe bez kontroli nad kodem przetwarzającym dane osobowe. AI Act nakłada obowiązek dokumentacji technicznej i oceny zgodności dla systemów wysokiego ryzyka. Firma, która nie posiada praw majątkowych do kodu, nie może legalnie go modyfikować pod te wymogi. Ryzyko to dotyczy szczególnie podmiotów finansowych objętych DORA, nadzorowanych przez KNF.

O kancelarii: KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony własności intelektualnej i prawa technologicznego. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Autor: Jakub Górski specjalizuje się w prawie własności intelektualnej, technologiach i regulacjach AI.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.