Firma z branży HR-tech z Warszawy podpisuje umowę SaaS z zagranicznym dostawcą. Klauzula SLA wydaje się rozsądna, dane osobowe pracowników trafią do chmury, a w umowie nie ma ani słowa o audycie bezpieczeństwa. Rok później – incydent, roszczenie klienta końcowego, brak możliwości rozwiązania umowy. Klasyczny scenariusz utraconej szansy na właściwe zabezpieczenie interesów przed podpisaniem.

Umowy SaaS na polskim rynku podlegają jednocześnie przepisom prawa polskiego, Rozporządzeniu RODO (Rozporządzenie UE 2016/679), a w przypadku podmiotów finansowych – Rozporządzeniu DORA (Rozporządzenie UE 2022/2554, w mocy od 17 stycznia 2025 r.). Brak odpowiednich klauzul nie tylko naraża firmę na kary finansowe, ale trwale zamyka drogę do dochodzenia roszczeń wobec dostawcy. Każda umowa SaaS powinna zawierać co najmniej pięć kluczowych elementów omówionych w tym przewodniku.

Poniżej znajdą Państwo przewodnik krok po kroku: od zakresu licencji i SLA, przez ochronę danych i prawa własności intelektualnej, po klauzule wyjścia i rozwiązywanie sporów. Trzy scenariusze biznesowe – producent, firma IT i inwestor zagraniczny – pokazują, jak te zasady działają w praktyce.

Jakie elementy licencji i SLA powinny znaleźć się w umowie SaaS?

Zakres licencji i parametry SLA to fundament każdej umowy SaaS. Licencja powinna precyzować: liczbę użytkowników, dozwolone sposoby korzystania z oprogramowania oraz zakaz sublicencjonowania bez zgody dostawcy. Brak tych elementów to otwarte drzwi do sporów o przekroczenie zakresu korzystania.

SLA (Service Level Agreement) definiuje minimalny poziom dostępności usługi. Standardem rynkowym jest dostępność na poziomie 99,5% miesięcznie, ale diabeł tkwi w szczegółach. Umowy często wyłączają z obliczeń planowane przerwy techniczne, awarie infrastruktury zewnętrznej czy ataki DDoS – co realnie obniża gwarantowaną dostępność do poziomu znacznie poniżej deklaracji.

Uważamy, że bezpieczniejszym rozwiązaniem jest negocjowanie SLA opartego na konkretnych oknach czasowych niedostępności – na przykład maksymalnie 4 godziny łącznie w miesiącu. Taki zapis jest weryfikowalny i daje podstawę do dochodzenia kar umownych. Kary umowne za naruszenie SLA warto ustalić na poziomie co najmniej 5–10% miesięcznego abonamentu za każdą godzinę ponad limit.

W praktyce – wiele firm o tym zapomina – SLA powinno obejmować nie tylko dostępność platformy, ale też czas reakcji na zgłoszenia (np. 4 godziny dla awarii krytycznej) i czas rozwiązania problemu (np. 24 godziny). Bez tych parametrów zapis o „wysokiej dostępności" jest marketingiem, nie zobowiązaniem prawnym.

Scenariusz: producent z Mazowsza wdrożył w 2024 r. system ERP w modelu SaaS. Umowa nie zawierała definicji „awarii krytycznej". Dostawca klasyfikował każdą przerwę jako planowaną. Po czterech miesiącach firma nie mogła wystawić faktur przez 18 godzin – i nie miała podstaw do żądania odszkodowania. Właściwa klauzula SLA z definicjami zamknęłaby tę lukę przed podpisaniem.

Jak umowa SaaS powinna regulować ochronę danych osobowych i zgodność z RODO?

RODO nakłada na administratora danych obowiązek zawarcia umowy powierzenia przetwarzania danych z każdym podmiotem przetwarzającym – w tym z dostawcą SaaS. Artykuł 28 Rozporządzenia UE 2016/679 precyzuje minimalne elementy takiej umowy. Brak ważnej umowy powierzenia to bezpośrednie naruszenie RODO, za które PUODO może nałożyć karę do 4% rocznego obrotu globalnego.

Umowa powierzenia powinna określać: cel i zakres przetwarzania, kategorie danych, obowiązki dostawcy w zakresie bezpieczeństwa oraz zasady korzystania z podprzetwarzających. Ten ostatni element jest szczególnie istotny – wielu dostawców SaaS korzysta z infrastruktury chmurowej AWS, Azure lub Google Cloud. Każda zmiana podprzetwarzającego powinna wymagać co najmniej 30-dniowego uprzedniego powiadomienia.

Dla umów transgranicznych – gdy dane trafiają poza EOG – niezbędne są mechanizmy transferu danych z Polski do jurysdykcji trzecich. Standardowe klauzule umowne (SCC) muszą być uzupełnione oceną transferu (TIA), a dostawca powinien zobowiązać się do niezwłocznego informowania o zmianie statusu prawnego w kraju odbiorcy.

Firmy z sektora finansowego muszą pamiętać o dodatkowej warstwie: Rozporządzenie DORA (UE 2022/2554) wymaga od podmiotów regulowanych zawierania umów z dostawcami ICT zawierających klauzule o prawie do audytu, obowiązku raportowania incydentów oraz prawie do rozwiązania umowy w przypadku naruszenia bezpieczeństwa. Termin wdrożenia DORA minął 17 stycznia 2025 r. – podmioty nadzorowane przez KNF, które tego nie zrobiły, są już w stanie naruszenia.

Scenariusz: firma fintech z Krakowa, korzystająca z platformy SaaS do analizy ryzyka kredytowego, nie miała w umowie klauzuli audytowej wymaganej przez DORA. Wiosną 2025 r. dostawca odmówił udostępnienia logów bezpieczeństwa po incydencie. Bez klauzuli audytowej firma nie miała instrumentów prawnych, by zmusić dostawcę do współpracy – i sama odpowiadała przed KNF za brak dokumentacji.

Jeśli Państwa firma przetwarza dane pracowników, klientów lub pacjentów w modelu SaaS – przeprowadźcie ocenę ryzyka dla każdego dostawcy. To nie formalność, lecz obowiązek wynikający z art. 32 RODO.

Aby usprawnić ocenę, warto skonsultować się z doświadczonym prawnikiem IP i technologicznym działającym na polskim rynku. Strategia ochrony danych i własności intelektualnej powinny być projektowane łącznie.

Kto jest właścicielem danych i kodu – jak chronić własność intelektualną w SaaS?

Własność intelektualna w umowach SaaS to obszar, w którym polskie firmy najczęściej tracą. Dostawca pozostaje właścicielem kodu źródłowego – to oczywiste. Jednak dane generowane przez użytkownika, konfiguracje, raporty, modele analityczne – tu własność bywa niejasna. Jeśli umowa milczy, dostawca może twierdzić, że dane wytworzone na platformie należą do niego.

Umowa powinna wprost stanowić, że wszelkie dane wprowadzone przez klienta lub wygenerowane w wyniku korzystania z usługi pozostają własnością klienta. Dostawca może je przetwarzać wyłącznie w celu świadczenia usługi. Zakaz wykorzystywania danych klienta do trenowania modeli AI lub benchmarkingu bez wyraźnej zgody to dziś standard – szczególnie w kontekście AI Act (Rozporządzenie UE 2024/1689, w mocy od 1 sierpnia 2024 r.).

AI Act wprowadza obowiązki dla dostawców systemów AI wysokiego ryzyka – m.in. w obszarze oceny kredytowej i rekrutacji HR. Jeśli platforma SaaS korzysta z takich modeli, umowa powinna zawierać oświadczenie dostawcy o zgodności z AI Act, obowiązek informowania o zmianach w algorytmach oraz prawo klienta do wyjaśnienia decyzji automatycznych.

Klauzula escrow kodu źródłowego to kolejny instrument wart rozważenia. Umożliwia klientowi dostęp do kodu w przypadku upadłości dostawcy lub zaprzestania świadczenia usługi. Dla systemów krytycznych – ERP, finanse, produkcja – brak escrow to nieodwracalne ryzyko utraty ciągłości działania. Koszt ustanowienia escrow to zazwyczaj kilka tysięcy złotych rocznie.

Firmy zagraniczne wchodzące na polski rynek powinny pamiętać, że polskie prawo autorskie chroni oprogramowanie jako utwór – ale tylko wtedy, gdy umowa nie przenosi praw autorskich w sposób wyraźny. Dla inwestora z zagranicy warto sprawdzić, czy klauzule IP są zgodne zarówno z prawem polskim, jak i prawem właściwym dla dostawcy. Więcej o ochronie IP na rynku polskim znajdą Państwo w naszym opracowaniu dotyczącym strategii IP dla firm technologicznych w Polsce.

Jak powinna wyglądać klauzula wyjścia i rozwiązywania sporów w umowie SaaS?

Klauzula wyjścia to element, o którym myśli się przy podpisaniu umowy najmniej – i którego brakuje najbardziej przy jej rozwiązaniu. Dobra klauzula wyjścia powinna regulować trzy kwestie: prawo do wypowiedzenia umowy ze skutkiem natychmiastowym w przypadku istotnego naruszenia, obowiązek dostawcy udostępnienia danych w standardowym formacie eksportu oraz czas, w jakim dane pozostają dostępne po zakończeniu umowy (minimum 30 dni).

Okres przejściowy po wypowiedzeniu umowy ma znaczenie krytyczne dla firm migrujących na nową platformę. Standardem rynkowym jest 90 dni dostępu do danych po zakończeniu umowy. Mniej niż 30 dni to klauzula, która powinna wzbudzić niepokój – szczególnie przy dużych wolumenach danych lub skomplikowanych integracjach.

Klauzula rozwiązywania sporów powinna wskazywać prawo właściwe i sąd. Dla umów B2B na polskim rynku – sąd powszechny lub arbitraż. Arbitraż bywa szybszy i bardziej poufny, ale wymaga precyzyjnego zapisu. Polecamy zapoznać się z naszym opracowaniem dotyczącym redagowania klauzul arbitrażowych w polskich umowach – błędy formalne mogą uniemożliwić wszczęcie postępowania.

Ograniczenie odpowiedzialności dostawcy (liability cap) to kolejny punkt sporny. Dostawcy standardowo ograniczają odpowiedzialność do wartości abonamentu z ostatnich 12 miesięcy. To może być kilkadziesiąt tysięcy złotych wobec szkody liczonej w milionach. Negocjuj wyłączenia z tego limitu – przynajmniej dla naruszeń RODO, naruszenia poufności i umyślnych działań dostawcy.

Checklist – co sprawdzić przed podpisaniem umowy SaaS:

  • Zakres licencji: liczba użytkowników, dozwolone użycie, zakaz sublicencji
  • SLA z konkretnymi parametrami: dostępność %, czas reakcji, kary umowne
  • Umowa powierzenia danych zgodna z art. 28 RODO, lista podprzetwarzających
  • Klauzula własności danych klienta i zakaz trenowania AI bez zgody
  • Klauzula wyjścia: format eksportu danych, minimum 30 dni dostępu po zakończeniu

Często zadawane pytania

P: Czy każda umowa SaaS musi zawierać umowę powierzenia przetwarzania danych?

O: Tak – jeśli dostawca SaaS przetwarza dane osobowe w imieniu klienta, artykuł 28 Rozporządzenia UE 2016/679 (RODO) nakłada bezwzględny obowiązek zawarcia umowy powierzenia. Dotyczy to nawet najprostszych systemów, takich jak CRM czy narzędzia do wysyłki e-mail. Brak takiej umowy to naruszenie RODO niezależnie od tego, czy doszło do incydentu. PUODO może wszcząć postępowanie z urzędu.

P: Ile kosztuje prawne przygotowanie lub weryfikacja umowy SaaS?

O: Koszt zależy od złożoności umowy i zakresu negocjacji. Weryfikacja standardowej umowy SaaS przez radcę prawnego to zazwyczaj od kilku do kilkunastu godzin pracy, w zależności od liczby klauzul i specyfiki branży. Dla umów z podmiotami regulowanymi (fintech, ubezpieczenia) lub umów o wartości przekraczającej 500 000 PLN rocznie – pełna analiza i negocjacje mogą zająć kilkanaście do kilkudziesięciu godzin. Koszt prawnika jest zawsze niższy niż koszt sporu lub kary regulacyjnej.

P: Czy klauzula ograniczenia odpowiedzialności dostawcy SaaS jest wiążąca w Polsce?

O: Co do zasady tak – w umowach B2B strony mają swobodę kształtowania odpowiedzialności kontraktowej. Jednak polskie sądy mogą zakwestionować klauzule rażąco nieproporcjonalne lub sprzeczne z dobrymi obyczajami. Wyłączenia odpowiedzialności za szkodę wyrządzoną umyślnie są bezwzględnie nieważne zgodnie z polskim Kodeksem cywilnym. Warto negocjować wyłączenia z liability cap dla naruszeń RODO, wycieku danych i umyślnych działań – te ryzyka są nieodwracalne.

Konkretna sytuacja Państwa firmy – zakres danych, branża, wartość umowy – wymaga indywidualnej oceny przed podpisaniem. Brak odpowiednich klauzul w umowie SaaS to ryzyko, które nieodwracalnie zamyka drogę do dochodzenia roszczeń wobec dostawcy po incydencie.

Jeśli Państwa spółka negocjuje lub weryfikuje umowę SaaS o wartości przekraczającej 100 000 PLN rocznie lub obejmującą dane osobowe pracowników bądź klientów – przeprowadzimy pełny audyt klauzul, przygotujemy rekomendacje negocjacyjne i zweryfikujemy zgodność z RODO, AI Act i DORA: info@kordeckipartners.com.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do prawa technologicznego, ochrony danych i własności intelektualnej. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.