Firma z sektora SaaS podpisuje umowę z polskim klientem korporacyjnym. Kontrakt wygląda standardowo – kilkanaście stron, angielski oryginał, polskie tłumaczenie w załączniku. Po sześciu miesiącach klient żąda zwrotu całości opłat za ostatni rok, powołując się na brak klauzuli SLA i naruszenie RODO. Spór trafia do sądu. Koszt? Znacznie wyższy niż cały przychód z tej umowy.

Umowy SaaS funkcjonujące na polskim rynku podlegają jednocześnie polskiemu prawu cywilnemu, RODO (Rozporządzenie UE 2016/679), AI Act (Rozporządzenie UE 2024/1689) i – w przypadku podmiotów finansowych – DORA (Rozporządzenie UE 2022/2554). Brak choćby jednej z kluczowych klauzul może oznaczać nieograniczoną odpowiedzialność dostawcy, nieważność postanowień ograniczających tę odpowiedzialność lub utratę praw do własności intelektualnej. Termin na dostosowanie istniejących umów do AI Act upływa etapami – pierwsze obowiązki weszły w życie już 2 sierpnia 2025 roku.

Ten przewodnik omawia strukturę umowy SaaS krok po kroku: od licencji i SLA, przez ochronę danych i prawa IP, po klauzule ograniczenia odpowiedzialności i rozwiązanie umowy. Każdy rozdział zawiera konkretne wskazówki, typowe błędy i scenariusze z polskiej praktyki.

Jakie przepisy regulują umowy SaaS w Polsce?

Umowa SaaS to w Polsce umowa nienazwana. Kodeks cywilny nie przewiduje dla niej odrębnego reżimu. Stosuje się przepisy ogólne o zobowiązaniach, przepisy o świadczeniu usług oraz – zależnie od treści – przepisy o licencji z prawa autorskiego. To nie jest problem akademicki. Brak ustawowego wzorca oznacza, że to strony kształtują zakres obowiązków, a sąd wypełnia luki przez analogię. Sąd Najwyższy i sądy apelacyjne rozstrzygają spory SaaS od kilku lat – linia orzecznicza nie jest jeszcze stabilna.

Trzy rozporządzenia unijne nakładają na dostawców SaaS obowiązki niezależne od treści umowy. RODO wymaga zawarcia umowy powierzenia przetwarzania danych (art. 28 RODO) przy każdej usłudze, w ramach której dostawca przetwarza dane osobowe klientów lub ich pracowników. Brak takiej umowy to naruszenie samo w sobie – PUODO może nałożyć karę do 20 mln EUR lub 4% globalnego obrotu. AI Act dotyczy dostawców systemów AI wbudowanych w platformy SaaS – pierwsze obowiązki dla systemów zakazanych obowiązują od 2 lutego 2025 roku. DORA obejmuje podmioty finansowe i ich dostawców ICT od 17 stycznia 2025 roku.

W praktyce dostawcy SaaS działający w Polsce powinni uwzględnić co najmniej cztery warstwy regulacyjne:

  • Kodeks cywilny – ogólne zasady umów i odpowiedzialności
  • Prawo autorskie – klauzule licencyjne i prawa do oprogramowania
  • RODO – umowa powierzenia i klauzule dotyczące danych osobowych
  • AI Act / DORA – jeśli platforma przetwarza dane lub wdraża funkcje AI

Dla zagranicznych dostawców wchodzących na rynek polski – szczególnie ze Stanów Zjednoczonych lub Szwajcarii – dodatkowym wyzwaniem jest dostosowanie standardowych wzorców umownych do polskich wymogów. Firmy technologiczne z USA mogą zapoznać się z naszym opracowaniem dotyczącym strategii ochrony IP dla firm technologicznych ze Stanów Zjednoczonych działających w Polsce.

Co powinna zawierać klauzula SLA i jak chronić prawa IP w umowie SaaS?

Klauzula SLA (Service Level Agreement) to serce każdej umowy SaaS. Określa minimalny poziom dostępności usługi, sposób pomiaru przestojów, procedurę zgłaszania incydentów i konsekwencje niedotrzymania parametrów. Bez precyzyjnej klauzuli SLA klient może twierdzić, że jakakolwiek przerwa w dostępie stanowi nienależyte wykonanie umowy – a to otwiera drogę do roszczeń odszkodowawczych bez ograniczeń kwotowych.

Dobra klauzula SLA powinna określać dostępność jako procent miesięczny (typowo 99,5% lub 99,9%), definiować pojęcie „przestoju" wyłączając z niego planowane przerwy konserwacyjne, wskazywać okno czasowe na zgłoszenie incydentu (zazwyczaj 24 lub 48 godzin) i przewidywać wyłączne środki zaradcze – kredyty usługowe zamiast odszkodowania. Ten ostatni element jest często pomijany. Jeśli umowa nie stanowi, że kredyt SLA jest jedynym środkiem za niedotrzymanie poziomu usług, klient może dochodzić pełnego odszkodowania na zasadach ogólnych k.c.

Prawa do własności intelektualnej to drugi krytyczny obszar. Oprogramowanie jako utwór podlega ochronie prawa autorskiego. Dostawca SaaS nie przenosi własności kodu – udziela licencji. Umowa powinna precyzować:

  • zakres licencji (pola eksploatacji: wyświetlanie, używanie, przechowywanie danych)
  • terytorialność i wyłączność licencji
  • prawa do danych generowanych przez klienta w platformie
  • co dzieje się z danymi po rozwiązaniu umowy – termin i format eksportu

Mikro-case z praktyki: producent z Wielkopolski wiosną 2024 r. odkrył, że po zakończeniu subskrypcji platforma SaaS usunęła dane analityczne z 18 miesięcy działalności – bez możliwości eksportu. Umowa nie przewidywała okresu retencji danych po wygaśnięciu licencji. Straty operacyjne przekroczyły PLN 200,000. Wystarczyła jedna klauzula o 90-dniowym oknie eksportu danych.

W zakresie ochrony znaków towarowych i marki – jeśli platforma SaaS pozwala na white-labeling lub integrację z produktami klienta, umowa powinna wyraźnie regulować prawa do używania znaków towarowych obu stron. IP lawyer Warsaw z doświadczeniem w prawie technologicznym zidentyfikuje ryzyka, które standardowy wzorzec przemilcza.

Jak prawidłowo uregulować RODO i AI Act w umowie SaaS?

RODO Poland to nie opcja – to obowiązek. Każda umowa SaaS, w ramach której dostawca przetwarza dane osobowe w imieniu klienta, wymaga zawarcia umowy powierzenia przetwarzania zgodnie z art. 28 RODO. Umowa powierzenia musi określać przedmiot, czas trwania, charakter i cel przetwarzania, rodzaj danych osobowych i kategorię osób, których dane dotyczą. Pominięcie któregokolwiek z tych elementów to naruszenie RODO, niezależnie od tego, czy doszło do wycieku danych.

W praktyce – wiele firm o tym zapomina – umowa powierzenia powinna być integralną częścią umowy SaaS, nie osobnym dokumentem podpisywanym „przy okazji". Rozdzielenie tych dokumentów utrudnia egzekwowanie obowiązków i może prowadzić do niespójności w zakresie podprzetwarzających (sub-processors). Dostawca SaaS korzystający z infrastruktury chmurowej (AWS, Azure, Google Cloud) automatycznie angażuje podprzetwarzających – klient musi wyrazić na to zgodę, ogólną lub szczegółową.

AI Act (Rozporządzenie UE 2024/1689) wprowadza nowe obowiązki dla dostawców SaaS wbudowujących systemy AI. Od 2 sierpnia 2025 roku obowiązują przepisy dotyczące systemów AI ogólnego przeznaczenia (GPAI). Dostawca platformy SaaS korzystającej z modeli językowych lub systemów rekomendacyjnych musi ocenić, czy jego rozwiązanie kwalifikuje się jako system wysokiego ryzyka. Jeśli tak – wymagana jest ocena zgodności przed wprowadzeniem na rynek. Klauzule umowne powinny jasno określać, która strona odpowiada za tę ocenę.

Dla podmiotów z sektora finansowego korzystających z platform SaaS dodatkowym wymogiem jest DORA compliance. Od 17 stycznia 2025 roku dostawcy ICT świadczący usługi na rzecz instytucji finansowych muszą spełniać wymogi dotyczące zarządzania ryzykiem ICT, raportowania incydentów do KNF i przeprowadzania testów odporności. Umowa SaaS z klientem finansowym powinna zawierać klauzule dotyczące prawa do audytu, minimalnych wymagań bezpieczeństwa i procedury obsługi incydentów – zgodnie ze standardami DORA.

Mikro-case: firma IT z Mazowsza latem 2024 r. straciła kontrakt z bankiem wartości EUR 150,000 rocznie, ponieważ jej umowa SaaS nie zawierała klauzuli audytowej wymaganej przez DORA. Bank nie mógł podpisać umowy bez tej klauzuli – wymóg regulacyjny, nie negocjacyjny kaprys. Dodanie jednego paragrafu zajęłoby jeden dzień pracy prawnika.

Firmy szwajcarskie wchodzące na rynek polski z platformami SaaS stają przed podobnymi wyzwaniami w zakresie zgodności z RODO i AI Act. Więcej na temat specyfiki tego rynku w naszym opracowaniu o strategii ochrony IP dla firm technologicznych ze Szwajcarii działających w Polsce.

Jak ograniczyć odpowiedzialność i co powinna zawierać klauzula rozwiązania umowy SaaS?

Klauzula ograniczenia odpowiedzialności (limitation of liability) to element, który decyduje o tym, czy dostawca SaaS może prowadzić przewidywalny biznes. Bez niej każda awaria platformy naraża dostawcę na roszczenia odszkodowawcze obejmujące utracone korzyści klienta – potencjalnie wielokrotność rocznej wartości kontraktu. Polskie prawo cywilne dopuszcza ograniczenie odpowiedzialności między przedsiębiorcami, ale z istotnymi zastrzeżeniami.

Ograniczenie odpowiedzialności jest nieskuteczne w przypadku szkody wyrządzonej umyślnie (art. 473 § 2 k.c.) oraz – w relacjach B2C – w zakresie niedozwolonych postanowień umownych (klauzul abuzywnych). W relacjach B2B między polskimi przedsiębiorcami ograniczenie do wartości 12-miesięcznych opłat za usługę jest powszechnie stosowane i co do zasady skuteczne. Wyłączenie odpowiedzialności za utracone korzyści (lucrum cessans) jest dopuszczalne, ale powinno być wyraźnie sformułowane.

Trzy elementy skutecznej klauzuli ograniczenia odpowiedzialności w umowie SaaS:

  • cap kwotowy – zazwyczaj równowartość opłat z ostatnich 12 miesięcy
  • wyłączenie utraconych korzyści i szkód pośrednich
  • carve-outy – wyłączenia z ograniczenia dla naruszeń RODO, naruszenia praw IP i umyślnego działania

Klauzula rozwiązania umowy powinna regulować co najmniej cztery sytuacje: wypowiedzenie przez każdą stronę z zachowaniem okresu wypowiedzenia (zazwyczaj 30–90 dni), rozwiązanie za porozumieniem stron, rozwiązanie z winy – ze wskazaniem katalogu naruszeń materialnych, oraz skutki wygaśnięcia. Te ostatnie są najczęściej zaniedbywane. Umowa powinna precyzować: co dzieje się z danymi klienta (termin usunięcia lub eksportu – rekomendujemy minimum 30 dni), jak rozliczane są opłaty za okres wypowiedzenia i czy dostawca ma prawo zawiesić dostęp przed formalnym rozwiązaniem.

Kwestia cen transferowych pojawia się, gdy dostawca SaaS jest podmiotem powiązanym z klientem – np. w grupach kapitałowych z polską spółką córką. W takich przypadkach stawki licencyjne SaaS podlegają weryfikacji przez KAS pod kątem zasady ceny rynkowej. Szczegółowe zasady opisujemy w opracowaniu dotyczącym bezpiecznych przystani w cenach transferowych według polskiego prawa.

Uważamy, że bezpieczniejszym rozwiązaniem jest negocjowanie klauzuli rozwiązania umowy jako pakietu – razem z klauzulą danych po wygaśnięciu i klauzulą SLA. Rozdzielanie tych elementów prowadzi do luk, które ujawniają się dopiero w sporze.

Trzy scenariusze biznesowe i lista kontrolna

Umowy SaaS wyglądają inaczej w zależności od branży i modelu biznesowego. Poniżej trzy scenariusze ilustrujące, które klauzule są priorytetowe w każdym przypadku. Każdy scenariusz to inny punkt wyjścia – ale wspólny mianownik to konieczność dostosowania umowy do polskich realiów regulacyjnych.

Scenariusz 1: Firma produkcyjna (manufacturing). Producent z południa Polski wdraża platformę SaaS do zarządzania łańcuchem dostaw. Priorytety: SLA z wysoką dostępnością (minimum 99,9%), klauzula danych operacyjnych (dane produkcyjne to tajemnica przedsiębiorstwa), ograniczenie odpowiedzialności z carve-outem dla naruszeń bezpieczeństwa, umowa powierzenia RODO dla danych pracowników. Ryzyko: integracja z systemami ERP – umowa powinna regulować odpowiedzialność za błędy interfejsu API.

Scenariusz 2: Firma IT / startup technologiczny. Polski startup oferuje platformę SaaS z funkcjami AI dla klientów z sektora HR. AI Act bezpośrednio dotyczy tego scenariusza – systemy AI w rekrutacji to kategoria wysokiego ryzyka. Umowa z klientem korporacyjnym musi zawierać klauzule dotyczące oceny zgodności AI Act, podziału obowiązków między dostawcą a wdrożeniowcem, oraz prawa klienta do audytu algorytmu. Prawa IP do modeli AI wytrenowanych na danych klienta wymagają osobnej regulacji.

Scenariusz 3: Zagraniczny inwestor (foreign investor). Dla inwestora zagranicznego wchodzącego na rynek polski z platformą SaaS największym wyzwaniem jest wybór prawa właściwego. Klauzula wyboru prawa polskiego jest rekomendowana przy kontraktach z polskimi podmiotami – sądy polskie lepiej stosują polskie prawo, a klauzule napisane z myślą o prawie angielskim lub amerykańskim mogą okazać się nieskuteczne. Klauzula jurysdykcyjna powinna wskazywać sąd w Polsce lub arbitraż (np. Sąd Arbitrażowy przy KIG).

Lista kontrolna – co przygotować przed podpisaniem umowy SaaS:

  • Weryfikacja, czy umowa zawiera umowę powierzenia przetwarzania danych (RODO, art. 28)
  • Sprawdzenie klauzuli SLA – definicja przestoju, parametry dostępności, wyłączne środki zaradcze
  • Analiza klauzuli IP – zakres licencji, prawa do danych klienta, procedura eksportu po wygaśnięciu
  • Ocena klauzuli ograniczenia odpowiedzialności – cap kwotowy, wyłączenia, carve-outy
  • Weryfikacja zgodności z AI Act i DORA (jeśli dotyczy branży klienta)

Konkretna sytuacja Państwa firmy wymaga oceny, które z tych elementów są priorytetowe – a pominięcie nawet jednego może zamknąć drogę do skutecznej ochrony przed roszczeniami kontrahenta lub regulatora. Nieodwracalne skutki braku klauzuli RODO lub SLA ujawniają się dopiero po incydencie.

Jeśli Państwa spółka negocjuje lub wdraża umowę SaaS na polskim rynku – przeprowadzimy audyt klauzul, przygotujemy umowę powierzenia i dostosujemy kontrakt do wymogów AI Act oraz DORA: info@kordeckipartners.com.

Często zadawane pytania

P: Czy umowa SaaS musi być zawarta na piśmie?

O: Polskie prawo cywilne nie wymaga formy pisemnej dla umów SaaS pod rygorem nieważności. Jednak umowa powierzenia przetwarzania danych osobowych na podstawie artykułu 28 RODO musi być zawarta na piśmie lub w formie elektronicznej. W praktyce zalecamy formę pisemną lub elektroniczną dla całej umowy SaaS – ułatwia to dowodzenie treści zobowiązań w razie sporu. Umowy zawierane przez kliknięcie przycisku „akceptuję" (clickwrap) są co do zasady ważne między przedsiębiorcami, ale ich treść musi być dostępna przed akceptacją.

P: Ile kosztuje przegląd prawny umowy SaaS i jak długo trwa?

O: Koszt przeglądu standardowej umowy SaaS przez kancelarię wyspecjalizowaną w prawie technologicznym wynosi zazwyczaj od PLN 3,000 do PLN 8,000 netto, w zależności od złożoności i objętości dokumentu. Czas realizacji to zazwyczaj 3 do 7 dni roboczych. Przegląd obejmujący ocenę zgodności z AI Act i DORA może wymagać dodatkowego czasu. Koszt przeglądu jest wielokrotnie niższy niż koszt sporu wynikającego z wadliwej umowy – w polskich sądach postępowanie gospodarcze trwa średnio od 18 do 36 miesięcy.

P: Czy polskie sądy uznają klauzule wyboru prawa obcego w umowach SaaS?

O: Tak, między przedsiębiorcami wybór prawa obcego jest co do zasady skuteczny na podstawie rozporządzenia Rzym I. Jednak RODO, AI Act i DORA stosują się niezależnie od wybranego prawa – są przepisami wymuszającymi swoje zastosowanie (lois de police). Oznacza to, że wybór prawa angielskiego lub amerykańskiego nie zwalnia stron z obowiązków wynikających z tych rozporządzeń. Ponadto klauzule abuzywne w relacjach B2C podlegają ocenie według prawa polskiego, jeśli konsument ma miejsce zwykłego pobytu w Polsce.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do prawa technologicznego, umów SaaS, ochrony IP i zgodności z AI Act oraz DORA. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.