Firma SaaS z Warszawy podpisuje umowę z klientem korporacyjnym. Klient przesyła własny wzorzec – 47 stron, prawo angielskie, SLA na poziomie 99,5%. Dział prawny dostawcy nie istnieje. Termin na podpisanie: 72 godziny. To nie jest scenariusz wyjątkowy. To codzienność polskiego rynku oprogramowania jako usługi.

Umowy SaaS regulują jednocześnie licencję na oprogramowanie, przetwarzanie danych osobowych, poziom dostępności usługi i podział odpowiedzialności za awarie. W Polsce każda z tych warstw podlega odrębnym reżimom prawnym – Rozporządzeniu UE 2016/679 (RODO), ustawie o prawie autorskim, Kodeksowi cywilnemu oraz – od 2025 roku – Rozporządzeniu UE 2022/2554 (DORA) dla podmiotów finansowych. Błędna klauzula może oznaczać nieograniczoną odpowiedzialność lub utratę praw do własnego kodu.

Przewodnik prowadzi przez cztery obszary: strukturę licencji i własności IP, klauzule SLA i odpowiedzialności, wymogi RODO i AI Act, oraz pułapki negocjacyjne w trzech scenariuszach biznesowych. Na końcu – lista kontrolna i FAQ.

Jak działa licencja w umowie SaaS i kto jest właścicielem kodu?

Licencja SaaS to nie sprzedaż oprogramowania. Klient otrzymuje prawo dostępu do usługi, nie prawo do kodu źródłowego. To rozróżnienie ma fundamentalne znaczenie dla obu stron – i jest pierwszym źródłem sporów na polskim rynku.

Polska ustawa o prawie autorskim i prawach pokrewnych chroni kod jako utwór. Dostawca pozostaje właścicielem, jeśli umowa wyraźnie nie przenosi majątkowych praw autorskich. W praktyce – wiele firm o tym zapomina – klauzule o „przeniesieniu wszelkich praw" w umowach o dostosowanie (customization) mogą nieoczekiwanie objąć też rdzeń platformy. Bezpieczniejszym rozwiązaniem jest wyraźne wyłączenie kodu bazowego z zakresu cesji.

Trzy elementy licencji wymagają precyzji:

  • Zakres użytku – liczba użytkowników, lokalizacje, spółki zależne objęte licencją
  • Pola eksploatacji – art. 41 ust. 2 pr. aut. wymaga ich wyliczenia; brak wyliczenia oznacza brak licencji na dane pole
  • Sublicencja – czy klient może udostępnić system podmiotom powiązanym bez osobnej zgody dostawcy

Startup SaaS z Trójmiasta przekonał się latem 2024 roku, że umowa z integratorem nie zawierała zakazu sublicencji. Integrator odsprzedał dostęp do systemu konkurentom dostawcy. Spór trwał osiem miesięcy. Klauzula zajęłaby pięć linijek.

Dla firm z zagranicznym kapitałem – szczególnie ukraińskich i szwedzkich spółek technologicznych wchodzących na rynek polski – kwestia własności IP w umowach SaaS jest punktem krytycznym przy due diligence. Więcej o strategii ochrony IP dla takich podmiotów znajdą Państwo w materiale IP protection strategy for Ukraine tech companies in Poland.

Jakie klauzule SLA i odpowiedzialności chronią dostawcę przed nieograniczonym ryzykiem?

SLA (Service Level Agreement) to nie tylko deklaracja dostępności. To mechanizm alokacji ryzyka. Źle skonstruowane SLA zamienia każdą awarię w roszczenie odszkodowawcze bez górnego limitu. Na polskim rynku B2B Kodeks cywilny pozwala stronom swobodnie modyfikować zasady odpowiedzialności – ale tylko jeśli to zrobią wprost.

Dostępność na poziomie 99,9% brzmi dobrze. W praktyce oznacza dopuszczalne 8,7 godziny przerwy rocznie. Różnica między 99,5% a 99,9% to różnica między 43 a 8,7 godzinami niedostępności. Klient korporacyjny z sektora finansowego, objęty DORA (Rozporządzenie UE 2022/2554, obowiązujące od 17 stycznia 2025 r.), będzie wymagał parametrów zgodnych z wymogami ICT dotyczącymi ciągłości działania.

Cztery klauzule, bez których dostawca SaaS nie powinien podpisywać umowy:

  • Cap na odpowiedzialność – limit w wysokości 12-miesięcznego wynagrodzenia lub kwoty ubezpieczenia OC
  • Wyłączenie szkód pośrednich – utracone korzyści, szkody wynikowe (consequential damages) powinny być wyraźnie wyłączone
  • Scheduled maintenance – planowane okna serwisowe wyłączone z kalkulacji dostępności
  • Force majeure – lista zdarzeń, w tym awarie infrastruktury chmurowej dostawców trzecich (AWS, Azure, GCP)

Agencja rządowa z Mazowsza w 2023 roku podpisała umowę SaaS bez cap na odpowiedzialność. Po incydencie z utratą danych roszczenie wyniosło trzykrotność rocznej wartości kontraktu. Sprawa trafiła do arbitrażu. Korekta klauzuli na etapie negocjacji zajęłaby jeden dzień.

Uważamy, że bezpieczniejszym rozwiązaniem jest konstruowanie SLA jako osobnego załącznika z precyzyjną metodyką liczenia dostępności – nie jako ogólnych deklaracji w treści głównej umowy. Sąd łatwiej interpretuje liczby niż zapewnienia.

Jak spełnić wymogi RODO i AI Act w umowie SaaS?

Każda umowa SaaS, w której dostawca przetwarza dane osobowe klientów końcowych, wymaga umowy powierzenia przetwarzania danych (DPA – Data Processing Agreement). To nie opcja. To obowiązek wynikający z art. 28 RODO (Rozporządzenie UE 2016/679). Brak DPA oznacza naruszenie RODO po stronie administratora – czyli klienta – z potencjalną karą do 4% globalnego obrotu.

DPA musi określać: cel i zakres przetwarzania, czas przechowywania danych, listę podprzetwarzających (subprocessors) oraz mechanizm powiadamiania o naruszeniach w ciągu 72 godzin. Dla polskich podmiotów organem nadzorczym jest UODO (Urząd Ochrony Danych Osobowych) – i coraz częściej prowadzi postępowania wobec dostawców SaaS, nie tylko administratorów.

Od 2026 roku dochodzi nowa warstwa: AI Act (Rozporządzenie UE 2024/1689). Jeśli system SaaS wykorzystuje funkcje AI – rekomendacje, scoring, automatyczne decyzje – dostawca musi ocenić, czy system należy do kategorii wysokiego ryzyka. Systemy używane w rekrutacji, ocenie kredytowej lub przez podmioty publiczne wymagają conformity assessment. W umowie SaaS powinno się znaleźć oświadczenie o klasyfikacji ryzyka systemu AI oraz zobowiązanie do aktualizacji przy zmianie funkcjonalności.

Firmy z sektora finansowego podlegają dodatkowo DORA. Umowy z dostawcami ICT muszą zawierać klauzule o prawie do audytu, lokalizacji danych oraz procedurach wyjścia (exit plan) umożliwiających migrację danych w ciągu 30 dni od rozwiązania umowy. Brak tych klauzul skutkuje naruszeniem wymogów regulacyjnych wobec KNF.

Dla podmiotów korzystających z finansowania unijnego – w tym projektów KPO – umowy SaaS muszą być zgodne z wymogami compliance dotyczącymi zamówień i przetwarzania danych. Szczegóły w materiale EU funds compliance – KPO and RRF requirements in Poland.

Jakie pułapki negocjacyjne czekają na polskim rynku SaaS?

Trzy scenariusze – trzy różne zestawy ryzyk. Każdy wymaga innego podejścia negocjacyjnego.

Scenariusz 1: Polska firma produkcyjna wdraża SaaS ERP. Największe ryzyko to lock-in. Dostawca przechowuje dane produkcyjne przez 5 lat. Co się dzieje po rozwiązaniu umowy? Klauzule dotyczące eksportu danych, formatu pliku (CSV, XML, API) i okresu przechowania po zakończeniu umowy (minimum 90 dni) muszą być negocjowane przed podpisaniem – nie po pierwszej awarii.

Scenariusz 2: Startup IT sprzedaje SaaS klientom z UE. Prawo właściwe i jurysdykcja to pole minowe. Klient z Niemiec będzie chciał prawo niemieckie i sąd w Monachium. Klient z Francji – prawo francuskie. Dla polskiego dostawcy bezpieczniejszym rozwiązaniem jest klauzula arbitrażu (np. ICC lub Sąd Arbitrażowy przy KIG) z prawem polskim jako właściwym. Arbitraż w Warszawie jest znacznie szybszy niż postępowanie sądowe, które w sprawach B2B trwa średnio 24–36 miesięcy.

Scenariusz 3: Inwestor szwedzki wchodzi na rynek polski przez przejęcie dostawcy SaaS. Due diligence ujawnia umowy bez klauzul o zmianie kontroli (change of control). Klient korporacyjny może rozwiązać umowę w ciągu 30 dni od przejęcia. Portfel przychodów ARR przestaje istnieć. Klauzula change of control z zakazem wypowiedzenia przez 12 miesięcy to standard w transakcjach M&A – ale w polskich umowach SaaS pojawia się rzadko. Więcej o wejściu zagranicznych firm tech na rynek polski w materiale IP protection strategy for Sweden tech companies in Poland.

Cztery najczęstsze błędy w polskich umowach SaaS:

  • Brak definicji „awarii" i „degradacji usługi" – każda strona interpretuje je inaczej
  • Automatyczne przedłużenie umowy bez okresu wypowiedzenia (auto-renewal bez 30-dniowego notice)
  • Brak klauzuli o aktualizacjach – dostawca może zmienić funkcjonalność bez zgody klienta
  • Cennik jako załącznik bez mechanizmu waloryzacji – inflacja zjada marżę dostawcy w wieloletnich kontraktach

Lista kontrolna przed podpisaniem umowy SaaS:

  • Czy licencja zawiera wyliczenie pól eksploatacji zgodnie z prawem autorskim?
  • Czy DPA spełnia wymogi art. 28 RODO i zawiera listę subprocessors?
  • Czy SLA ma cap na odpowiedzialność i wyłączenie szkód pośrednich?
  • Czy umowa zawiera exit plan z 30-dniowym terminem eksportu danych?
  • Czy klauzula AI Act określa klasyfikację ryzyka systemu?

Konkretna sytuacja Państwa firmy – czy jako dostawcy, czy jako klienta SaaS – wymaga oceny, które z tych klauzul stwarzają nieodwracalne ryzyko prawne lub finansowe. Brak cap na odpowiedzialność zamyka drogę do obrony w razie sporu.

Jeśli Państwa spółka negocjuje umowę SaaS lub przegląda istniejący portfel kontraktów – przeprowadzimy audyt klauzul, przygotujemy wzorzec DPA i zidentyfikujemy ekspozycję na RODO, AI Act i DORA: info@kordeckipartners.com.

Często zadawane pytania

P: Czy polska firma SaaS musi stosować RODO, jeśli jej klienci są tylko w Polsce?

O: Tak, bezwarunkowo. Rozporządzenie UE 2016/679 (RODO) stosuje się do każdego przetwarzania danych osobowych osób fizycznych w UE, niezależnie od lokalizacji klientów biznesowych. Jeśli system SaaS przetwarza dane pracowników lub użytkowników końcowych klienta – a tak jest niemal zawsze – dostawca działa jako podmiot przetwarzający i musi zawrzeć umowę powierzenia przetwarzania danych. Brak tej umowy to naruszenie po stronie klienta (administratora), ale UODO może wszcząć postępowanie wobec obu stron. Kara dla administratora może wynieść do 4% globalnego rocznego obrotu.

P: Ile kosztuje i jak długo trwa negocjacja umowy SaaS z klientem korporacyjnym?

O: Czas negocjacji zależy od stopnia złożoności umowy i liczby stron. Standardowy cykl dla kontraktu B2B w Polsce to 4–8 tygodni, przy czym klienci z sektora finansowego (objęci DORA) wymagają dodatkowych 2–4 tygodni na weryfikację klauzul ICT. Koszt obsługi prawnej negocjacji po stronie dostawcy wynosi zazwyczaj od kilku do kilkunastu tysięcy złotych, w zależności od wartości kontraktu. Inwestycja ta jest wielokrotnie niższa niż koszt arbitrażu lub sporu sądowego – który przy roszczeniach powyżej 1 mln PLN generuje opłaty sądowe rzędu 5% wartości sporu (artykuł 13 ustęp 1 ustawy o kosztach sądowych w sprawach cywilnych).

P: Czy klauzula wyboru prawa angielskiego w umowie SaaS z polskim kontrahentem jest skuteczna?

O: Co do zasady tak – Rozporządzenie Rzym I (UE 593/2008) pozwala stronom B2B wybrać prawo właściwe. Jednak w praktyce polskie sądy będą stosować bezwzględnie obowiązujące przepisy prawa polskiego niezależnie od wyboru prawa – w tym przepisy RODO, prawa autorskiego i Kodeksu pracy w zakresie umów z pracownikami. Dla dostawcy SaaS bezpieczniejszym rozwiązaniem jest prawo polskie z klauzulą arbitrażową, co eliminuje ryzyko rozbieżnej interpretacji przez sądy zagraniczne i skraca czas ewentualnego postępowania.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do kontraktów technologicznych, licencji SaaS, zgodności z RODO i AI Act oraz sporów IP. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.