Firma z branży fintech z Warszawy podpisuje umowę SaaS z dostawcą z USA. Po sześciu miesiącach okazuje się, że klauzula SLA gwarantuje dostępność na poziomie 99,5% – ale mierzoną metodą, która wyklucza nocne okna serwisowe i weekendy. W praktyce system mógł nie działać przez 40 godzin miesięcznie bez żadnych konsekwencji dla dostawcy. Klient dowiedział się o tym dopiero przy pierwszej poważnej awarii.

Umowy SaaS na polskim rynku podlegają jednocześnie polskiemu prawu zobowiązań, Rozporządzeniu UE 2016/679 (RODO), a od 2025 roku – w sektorze finansowym – wymogom DORY (Rozporządzenie UE 2022/2554). Klauzule dotyczące SLA, danych osobowych, własności intelektualnej i odpowiedzialności mogą przesądzić o tym, czy Twoja spółka poniesie straty niemożliwe do odrobienia. Dobrze skonstruowana umowa SaaS to nie formalność – to narzędzie zarządzania ryzykiem.

Ten przewodnik omawia pięć grup klauzul, które w polskiej praktyce kontraktowej najczęściej decydują o wyniku sporu. Znajdziesz tu scenariusze dla producenta, firmy IT i zagranicznego inwestora, listę błędów i FAQ z odpowiedziami na pytania, które zadają klienci przed podpisaniem umowy.

Czym różni się umowa SaaS od klasycznej licencji i dlaczego to ma znaczenie dla polskiego prawa?

Umowa SaaS nie przenosi licencji na oprogramowanie – dostarcza dostęp do usługi przez sieć. To rozróżnienie ma bezpośrednie skutki prawne. Polskie sądy (w tym Sąd Najwyższy) traktują umowy SaaS jako umowy o świadczenie usług w rozumieniu Kodeksu cywilnego, nie jako umowy licencyjne objęte ustawą o prawie autorskim i prawach pokrewnych. Brak wyraźnej kwalifikacji w umowie oznacza, że strony mogą spierać się o reżim odpowiedzialności przez lata.

Kwalifikacja prawna determinuje też zasady wypowiedzenia. Umowa o świadczenie usług zawarta na czas nieokreślony może zostać wypowiedziana w każdym czasie – chyba że umowa wyraźnie ogranicza to prawo. Dostawca, który zapomniał o tej zasadzie, może stracić wieloletniego klienta bez okresu wypowiedzenia dłuższego niż 2 tygodnie. Klient, który o tym nie wie, może być zaskoczony nagłym wyłączeniem dostępu.

Trzy elementy BLUF dla tej sekcji: (1) umowa SaaS to umowa o usługę, nie licencja; (2) reżim k.c. stosuje się domyślnie; (3) brak klauzuli wypowiedzenia może oznaczać utratę dostępu w ciągu 14 dni. Dla spółek regulowanych – banków, firm inwestycyjnych, zakładów ubezpieczeń – dochodzi wymóg art. 5 DORY dotyczący udokumentowania łańcucha dostawców ICT. Rejestr dostawców ICT musi być gotowy od 17 stycznia 2025 roku. Niedopatrzenie w tym zakresie to ryzyko sankcji KNF, a nie tylko spór z kontrahentem.

W praktyce – wiele firm o tym zapomina – kwalifikacja umowy SaaS pojawia się dopiero przy próbie dochodzenia odszkodowania. Wtedy sąd musi rozstrzygnąć, czy stosuje przepisy o zleceniu, o dziele, czy o usługach ciągłych. Każdy z tych reżimów inaczej reguluje przedawnienie, odpowiedzialność i zasady zwrotu świadczeń.

  • Umowa SaaS = usługa ciągła, nie jednorazowe świadczenie
  • Reżim licencyjny stosuje się tylko do oprogramowania zainstalowanego lokalnie
  • Spółki finansowe: obowiązek rejestracji dostawcy ICT od 17 stycznia 2025 r.
  • Brak klauzuli wyboru prawa → ryzyko zastosowania prawa obcego

Jakie klauzule SLA i dostępności chronią klienta w polskiej umowie SaaS?

SLA (Service Level Agreement) to serce każdej umowy SaaS. Bez precyzyjnych definicji „dostępności", „przestoju" i „okna serwisowego" klauzula SLA jest dekoracyjna. Najczęstszy błąd: umowa gwarantuje 99,9% uptime, ale definicja uptime wyklucza godziny 22:00–6:00 oraz weekendy. W miesiącu 30-dniowym daje to ponad 200 godzin poza gwarancją – czyli niemal 9 pełnych dób.

Trzy elementy, które muszą znaleźć się w klauzuli SLA: (1) precyzyjna metoda pomiaru dostępności – najlepiej z zewnętrznym narzędziem monitorującym; (2) definicja „incydentu krytycznego" z czasem reakcji nie dłuższym niż 4 godziny; (3) mechanizm kredytów serwisowych – automatyczny, nie wymagający reklamacji. Kredyty serwisowe bez automatyzmu są w praktyce martwe – klient musi pamiętać o złożeniu wniosku w terminie, często 5–7 dni roboczych od incydentu.

Micro-case z Trójmiasta, jesień 2024 roku: firma e-commerce straciła dostęp do platformy SaaS przez 18 godzin w czasie kampanii Black Friday. Umowa przewidywała kredyty serwisowe, ale wymagała zgłoszenia w ciągu 5 dni roboczych od incydentu. Klient, zajęty obsługą sprzedaży, złożył wniosek w dniu szóstym. Dostawca odmówił wypłaty kredytu. Sąd – po 14 miesiącach postępowania – przyznał klientowi rację, ale koszty procesu pochłonęły połowę zasądzonej kwoty.

Dla podmiotów objętych DORA (Rozporządzenie UE 2022/2554) klauzula SLA musi spełniać dodatkowe wymogi: umowa z zewnętrznym dostawcą ICT musi zawierać postanowienia o ciągłości działania, lokalizacji danych i prawie do audytu. Brak tych klauzul to nie tylko ryzyko kontraktowe – to ryzyko decyzji administracyjnej KNF. Termin: od 17 stycznia 2025 roku.

Jak uregulować własność intelektualną i dane w umowie SaaS zgodnie z RODO?

Własność intelektualna w umowie SaaS obejmuje dwie warstwy: oprogramowanie dostawcy i dane wytwarzane przez klienta. Dostawca zachowuje prawa do kodu. Klient powinien zachować pełną własność danych wejściowych, danych przetwarzanych i danych wynikowych. Bez wyraźnej klauzuli własności danych dostawca może twierdzić, że dane „zagregowane" lub „zanonimizowane" należą do niego – i może ich używać do trenowania modeli AI.

To szczególnie istotne w kontekście AI Act (Rozporządzenie UE 2024/1689), który wszedł w życie 1 sierpnia 2024 roku. Jeśli dostawca SaaS używa danych klienta do trenowania systemu AI wysokiego ryzyka – np. w obszarze HR lub scoringu kredytowego – brak klauzuli zakazującej takiego użycia może narazić klienta na odpowiedzialność jako współadministratora danych. Ocena zgodności z AI Act powinna być częścią due diligence przed podpisaniem umowy.

RODO nakłada na klienta-administratora danych obowiązek zawarcia umowy powierzenia przetwarzania (DPA) z dostawcą-procesorem. Umowa powierzenia musi spełniać wymogi art. 28 RODO – w tym określać cel, zakres, czas i lokalizację przetwarzania. Jeśli dostawca SaaS przetwarza dane poza EOG – np. w USA lub Szwajcarii – konieczne są dodatkowe mechanizmy transferu. Dla transferów do Wielkiej Brytanii stosuje się decyzję o adekwatności, a dla transferów do Szwajcarii – odrębne mechanizmy prawne omówione w naszym przewodniku. Dla transferów do Wielkiej Brytanii – analogiczny przewodnik po mechanizmach transferu danych.

Micro-case z Mazowsza, wiosna 2025 roku: spółka HR-tech wdrożyła platformę SaaS do rekrutacji. Dostawca – firma z USA – nie zawarł w umowie klauzuli zakazującej używania danych kandydatów do trenowania własnego modelu AI. Po 8 miesiącach klient odkrył, że dane kandydatów – w tym dane wrażliwe – trafiły do zbioru treningowego systemu AI klasyfikowanego jako wysokiego ryzyka na mocy AI Act. PUODO wszczął postępowanie. Kara administracyjna: do 4% globalnego obrotu.

  • Wyraźna klauzula własności danych klienta – w tym danych zagregowanych
  • Zakaz używania danych do trenowania AI bez zgody klienta
  • Umowa powierzenia przetwarzania (DPA) zgodna z art. 28 RODO
  • Mechanizm transferu danych poza EOG – SCCs lub decyzja o adekwatności
  • Klauzula lokalizacji danych – serwery w EOG lub audytowalne centrum danych

Uważamy, że bezpieczniejszym rozwiązaniem jest włączenie DPA jako załącznika do umowy głównej – nie jako osobnego dokumentu. Zmiana warunków umowy głównej bez aktualizacji DPA to jeden z najczęstszych błędów prowadzących do niezgodności z RODO.

Jakie klauzule odpowiedzialności i wypowiedzenia są bezpieczne dla polskiego klienta SaaS?

Klauzule ograniczenia odpowiedzialności (liability cap) to pole największych negocjacji w umowach SaaS. Dostawcy standardowo ograniczają odpowiedzialność do wartości opłat uiszczonych w ciągu ostatnich 12 miesięcy. Dla klienta, który płaci 5 000 PLN miesięcznie, oznacza to cap na poziomie 60 000 PLN – nawet jeśli awaria systemu kosztowała go 2 miliony PLN utraconych przychodów. To nie jest hipotetyczne ryzyko.

Polskie prawo (art. 473 § 2 k.c.) zakazuje wyłączenia odpowiedzialności za szkodę wyrządzoną umyślnie. Oznacza to, że klauzula całkowitego wyłączenia odpowiedzialności jest nieważna w zakresie winy umyślnej. Jednak ograniczenie odpowiedzialności do określonej kwoty – przy braku winy umyślnej – jest w pełni skuteczne. Klient, który nie negocjował podwyższenia capu, nie może liczyć na sąd.

Trzy elementy negocjacyjne dla klauzuli odpowiedzialności: (1) wyłączenie z capu naruszeń RODO i IP – te roszczenia powinny być nieograniczone; (2) podwyższenie capu do minimum 200% rocznych opłat; (3) wyraźne włączenie utraconych korzyści w zakresie naruszeń bezpieczeństwa. Bez tych elementów klauzula odpowiedzialności działa wyłącznie na korzyść dostawcy.

Klauzule wypowiedzenia i „exit" są równie ważne. Umowa powinna przewidywać: (1) prawo klienta do wypowiedzenia z 30-dniowym wyprzedzeniem bez kary; (2) obowiązek dostawcy do udostępnienia danych klienta w formacie eksportowalnym przez minimum 90 dni po zakończeniu umowy; (3) zakaz „data hostage" – sytuacji, w której dostawca blokuje dostęp do danych jako narzędzie nacisku w sporze. W praktyce brak klauzuli data portability to jedno z najpoważniejszych ryzyk vendor lock-in na polskim rynku.

Dla firm objętych wymogami ESG i compliance – w tym raportowaniem CSRD – dostęp do historycznych danych SaaS jest niezbędny do weryfikacji danych niefinansowych. Więcej o powiązaniu compliance z kontraktami IT znajdziesz w naszym omówieniu praktyki ESG i compliance w Polsce.

Trzy scenariusze biznesowe: producent, firma IT i zagraniczny inwestor

Różne modele biznesowe wymagają różnych priorytetów kontraktowych. Poniżej trzy scenariusze z praktyki – każdy z innym zestawem ryzyk i rekomendacją klauzul.

Scenariusz 1 – Producent z branży przemysłowej. Firma produkcyjna z Małopolski wdraża SaaS do zarządzania łańcuchem dostaw. Główne ryzyko: ciągłość operacyjna. Priorytetowe klauzule: SLA z gwarancją dostępności 99,9% mierzoną 24/7, klauzula disaster recovery z RTO nie dłuższym niż 4 godziny i RPO nie dłuższym niż 1 godzina, oraz klauzula eskalacji z bezpośrednim dostępem do inżyniera wsparcia. Koszt wdrożenia prawnego: 8 000–15 000 PLN za negocjacje umowy.

Scenariusz 2 – Firma IT jako klient SaaS. Spółka software house z Wrocławia korzysta z platformy SaaS do zarządzania projektami i przechowuje w niej kod źródłowy klientów. Główne ryzyko: własność IP i bezpieczeństwo danych. Priorytetowe klauzule: zakaz sublicencjonowania danych klienta, klauzula security breach notification (maksimum 24 godziny od wykrycia incydentu), oraz wyraźne wyłączenie danych klienta z zakresu umowy powierzenia dostawcy z podmiotem trzecim. Brak tej ostatniej klauzuli może narazić software house na roszczenia własnych klientów.

Scenariusz 3 – Zagraniczny inwestor wchodzący na rynek polski. Dla niemieckiego inwestora wdrażającego SaaS w polskiej spółce zależnej kluczowe jest ustalenie prawa właściwego i jurysdykcji. Klauzula wyboru prawa polskiego i sądu polskiego chroni inwestora przed koniecznością prowadzenia sporu za granicą. Jednocześnie – jeśli dostawca SaaS jest spółką z EOG – warto rozważyć klauzulę arbitrażową z siedzibą w Wiedniu lub Zurychu. Koszt postępowania arbitrażowego przy roszczeniu do 500 000 EUR: około 30 000–50 000 EUR (opłaty arbitrażowe ICC lub SCC).

Często zadawane pytania

P: Czy umowa SaaS musi zawierać umowę powierzenia przetwarzania danych?

O: Tak, jeśli dostawca SaaS przetwarza dane osobowe w imieniu klienta. Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 (RODO) nakłada obowiązek zawarcia umowy powierzenia spełniającej wymogi artykułu 28. Brak takiej umowy naraża administratora – czyli klienta – na karę PUODO do 4% globalnego obrotu rocznego. Umowa powierzenia powinna być załącznikiem do umowy głównej SaaS, nie osobnym dokumentem.

P: Jak długo trwa negocjacja umowy SaaS z pomocą prawnika i ile to kosztuje?

O: Standardowa negocjacja umowy SaaS z udziałem radcy prawnego lub adwokata trwa od 2 do 6 tygodni, w zależności od złożoności i gotowości dostawcy do negocjacji. Koszt obsługi prawnej po stronie klienta: od 5 000 PLN za przegląd i komentarz do 20 000 PLN za pełne negocjacje z wieloma rundami. Inwestycja ta jest uzasadniona przy rocznej wartości umowy przekraczającej 100 000 PLN lub przy przetwarzaniu danych szczególnych kategorii.

P: Czy klauzula ograniczenia odpowiedzialności do 12-miesięcznych opłat jest standardem rynkowym w Polsce?

O: Tak, to standard w umowach dostawców SaaS – ale standard korzystny dla dostawcy, nie dla klienta. Polskie prawo nie zakazuje takiego ograniczenia (poza szkodą wyrządzoną umyślnie, gdzie artykuł 473 paragraf 2 Kodeksu cywilnego wyłącza skuteczność takiej klauzuli). Negocjacja podwyższenia capu do 200% rocznych opłat lub wyłączenia z niego naruszeń RODO i IP jest możliwa i zalecana. Klienci z silną pozycją negocjacyjną – duże zamówienia, długi kontrakt – uzyskują te ustępstwa regularnie.

Lista kontrolna przed podpisaniem umowy SaaS

  • Czy umowa zawiera definicję dostępności mierzonej 24/7, bez wyłączeń weekendowych?
  • Czy klauzula SLA przewiduje automatyczne kredyty serwisowe bez konieczności reklamacji?
  • Czy umowa powierzenia przetwarzania (DPA) spełnia wymogi artykułu 28 RODO i jest załącznikiem do umowy głównej?
  • Czy własność danych klienta – w tym danych zagregowanych – jest wyraźnie zastrzeżona na rzecz klienta?
  • Czy umowa zawiera klauzulę data portability z 90-dniowym oknem eksportu po zakończeniu umowy?

Konkretna sytuacja Państwa firmy wymaga oceny, które z tych klauzul mają dla niej priorytetowe znaczenie. Brak odpowiednich postanowień w umowie SaaS może nieodwracalnie ograniczyć możliwość dochodzenia roszczeń po awarii lub naruszeniu bezpieczeństwa danych.

Jeśli Państwa spółka negocjuje lub weryfikuje umowę SaaS o wartości przekraczającej 100 000 PLN rocznie lub przetwarzającą dane osobowe – przeprowadzimy przegląd prawny, wskazanie ryzyk i negocjacje klauzul krytycznych: info@kordeckipartners.com.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do prawa własności intelektualnej, technologii, AI Act i DORA. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

O autorze

Jakub Górski specjalizuje się w prawie własności intelektualnej, technologiach i regulacjach AI.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.