Firma IT z Krakowa finalizuje kontrakt z zachodnim klientem. W ostatniej chwili okazuje się, że umowa nie rozstrzyga, kto jest właścicielem kodu – zamawiający czy deweloper. Podobny scenariusz rozgrywa się co tydzień w polskich spółkach technologicznych. Skutki bywają nieodwracalne: utrata praw do produktu, który budowało się miesiącami.

Ochrona oprogramowania w Polsce opiera się na ustawie z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych. Program komputerowy jest chroniony jak utwór literacki – automatycznie, od momentu ustalenia, bez rejestracji. Autorskie prawa majątkowe trwają 70 lat od śmierci twórcy lub – przy pracach zbiorowych – od pierwszego rozpowszechnienia.

Ten przewodnik prowadzi krok po kroku przez kluczowe zagadnienia: od podstaw ochrony, przez prawa pracownicze i kontraktowe, po pułapki przy wdrożeniach AI i wymagania DORA oraz RODO. Każda sekcja zawiera konkretne wskazówki dla trzech typowych scenariuszy: firmy produkcyjnej, spółki IT i zagranicznego inwestora.

Jakie prawa autorskie chronią oprogramowanie w Polsce?

Ochrona powstaje automatycznie. Nie trzeba rejestrować kodu w żadnym urzędzie – ani w KRS, ani w Urzędzie Patentowym RP. Wystarczy, że program komputerowy zostaje ustalony, czyli zapisany w jakiejkolwiek postaci: pliku źródłowym, skompilowanym binarnym, a nawet pseudokodzie na kartce. To fundamentalna różnica względem patentu, który wymaga zgłoszenia i badania nowości.

Ustawa o prawie autorskim przyznaje twórcy dwa rodzaje praw. Autorskie prawa osobiste są niezbywalne – twórca zawsze może żądać oznaczenia dzieła swoim nazwiskiem. Autorskie prawa majątkowe można natomiast przenosić i licencjonować. W praktyce każda umowa dotycząca oprogramowania powinna precyzyjnie określać, które pola eksploatacji są przenoszone.

Pola eksploatacji dla oprogramowania obejmują m.in.: trwałe lub czasowe zwielokrotnianie kodu, tłumaczenie i adaptację, wprowadzanie do obrotu oraz najem lub użyczenie oryginału. Przeniesienie praw „do wszelkich celów" nie jest skuteczne – polska ustawa wymaga wyliczenia konkretnych pól. To pułapka, w którą wpada wielu zagranicznych inwestorów wchodzących na rynek przez spółkę zależną.

Ochrony nie podlegają pomysły, koncepcje, zasady ani algorytmy jako takie. Chroniona jest konkretna implementacja – kod, struktura, interfejs użytkownika w zakresie, w jakim stanowi oryginalny wyraz twórcy. Dla spółki IT z Warszawy oznacza to, że konkurent może napisać własną wersję podobnej funkcji, o ile nie kopiuje dosłownie jej kodu.

Instytucje takie jak Urząd Patentowy RP, sądy powszechne i – w sprawach o naruszenie RODO – PUODO tworzą krajowy ekosystem ochrony własności intelektualnej. W sprawach transgranicznych ważnym punktem odniesienia jest mechanizm transferu danych z Polski do Niderlandów, który bezpośrednio wpływa na to, jak przechowywać kod źródłowy w chmurach zagranicznych.

Kto jest właścicielem kodu – pracownik, zleceniobiorca czy spółka?

To pytanie rozstrzyga więcej sporów niż jakiekolwiek inne w praktyce IP. Odpowiedź zależy od podstawy prawnej współpracy. Przy umowie o pracę prawa majątkowe przechodzą na pracodawcę z mocy ustawy – o ile program powstał w wyniku wykonywania obowiązków pracowniczych. Twórca zachowuje jednak prawa osobiste i – jeśli umowa milczy – prawo do wynagrodzenia za każde pole eksploatacji.

Przy umowie B2B lub umowie o dzieło sytuacja jest odwrotna. Prawa pozostają przy twórcy, chyba że umowa wyraźnie je przenosi. Wiele spółek technologicznych odkrywa ten problem dopiero przy due diligence przed transakcją M&A – nagle okazuje się, że kluczowy moduł systemu należy do freelancera, który pracował dla nich trzy lata temu.

Micro-case 1: Spółka SaaS z Trójmiasta, wiosna 2024 r. Podczas audytu prawnego przed rundą finansowania inwestor wykrył, że czterech kluczowych deweloperów pracowało na kontraktach B2B bez klauzuli przeniesienia praw. Umowy wymagały renegocjacji – co opóźniło zamknięcie rundy o 6 tygodni i wygenerowało dodatkowe koszty doradztwa rzędu kilkudziesięciu tysięcy złotych.

Dla zagranicznego inwestora wchodzącego do Polski przez spółkę z o.o. kluczowe jest zrozumienie, że art. 74 ust. 3 ustawy o prawie autorskim reguluje prawa pracodawcy do programu pracowniczego, ale nie obejmuje automatycznie wkładów zleceniobiorców. Każda umowa z kontrahentem zewnętrznym wymaga osobnej klauzuli cesji praw lub licencji wyłącznej.

Zagadnienie komplikuje się przy pracy zdalnej. Gdy deweloper pracuje z zagranicy, do umowy może wchodzić prawo obce. Szczegółowe zasady dotyczące modelu pracy zdalnej w Polsce omawia nasz artykuł o ramach prawnych pracy zdalnej w polskim prawie pracy – warto go przeczytać przed podpisaniem umowy z programistą pracującym spoza biura.

Jakie błędy popełniają firmy przy ochronie oprogramowania?

Pierwszy i najczęstszy błąd to brak inwentaryzacji IP. Spółki nie wiedzą, co posiadają. Kod rośnie organicznie, twórcy się zmieniają, a umowy nie nadążają za rzeczywistością. Audyt IP powinien poprzedzać każdą transakcję – sprzedaż spółki, pozyskanie inwestora, wejście na nowy rynek.

Drugi błąd to mylenie licencji open source. Użycie biblioteki na licencji GPL w komercyjnym produkcie może wymusić ujawnienie całego kodu źródłowego. Wiele spółek IT z Mazowsza i Małopolski dowiaduje się o tym dopiero w trakcie negocjacji z zagranicznym nabywcą. Skutek: obniżenie wyceny lub zerwanie transakcji.

Trzeci błąd to nieaktualizowanie umów przy zmianie modelu biznesowego. Firma, która zaczęła jako software house, a przekształciła się w dostawcę SaaS, nadal może działać na umowach przenoszących własność kodu do klienta – zamiast udzielać licencji. To fundamentalna różnica ekonomiczna.

  • Checklist – co przygotować przed audytem IP oprogramowania:
  • Rejestr wszystkich twórców kodu z podstawą ich zatrudnienia (umowa o pracę, B2B, zlecenie)
  • Kopie umów z klauzulami dotyczącymi praw autorskich i polami eksploatacji
  • Lista komponentów open source z identyfikacją typów licencji (MIT, GPL, Apache)
  • Dokumentacja wewnętrzna: specyfikacje, commity, historia wersji jako dowód pierwszeństwa
  • Umowy z klientami – weryfikacja, czy przenoszą własność czy udzielają licencji

Czwarty błąd dotyczy ochrony tajemnicy przedsiębiorstwa. Sam kod chroniony prawem autorskim to za mało – architektura systemu, know-how i dokumentacja wymagają odrębnej ochrony na podstawie ustawy o zwalczaniu nieuczciwej konkurencji. Strategie łączenia obu reżimów omawia nasz materiał o ochronie tajemnicy przedsiębiorstwa w polskim prawie.

Jak AI Act, DORA i RODO wpływają na ochronę oprogramowania?

Regulacja wyprzedza rynek – i to zdanie nigdzie nie jest bardziej aktualne niż w obszarze oprogramowania AI. AI Act (Rozporządzenie UE 2024/1689) wszedł w życie 1 sierpnia 2024 r. Systemy wysokiego ryzyka – takie jak narzędzia do rekrutacji, scoringu kredytowego czy biometrii – wymagają oceny zgodności przed wdrożeniem. To nie jest kwestia dobrej praktyki. To obowiązek prawny z sankcjami do 30 mln EUR lub 6% globalnego obrotu.

Dla spółki IT rozwijającej oprogramowanie AI pytanie o prawa autorskie nakłada się na pytanie o odpowiedzialność za system. Kto jest dostawcą systemu wysokiego ryzyka w rozumieniu AI Act? Kto ponosi odpowiedzialność za błędną decyzję algorytmu? Umowy z klientami muszą te kwestie rozstrzygać wprost – i to zanim produkt trafi na rynek.

DORA (Rozporządzenie UE 2022/2554) obowiązuje od 17 stycznia 2025 r. Dotyczy instytucji finansowych i ich dostawców ICT. Jeśli Twoja spółka dostarcza oprogramowanie bankowi lub towarzystwu ubezpieczeniowemu, możesz być objęty obowiązkami DORA jako zewnętrzny dostawca usług ICT. Wymogi obejmują m.in. klauzule umowne dotyczące bezpieczeństwa, prawa do audytu i plany ciągłości działania. Nadzór w Polsce sprawuje KNF.

Micro-case 2: Warszawska spółka fintech, jesień 2024 r. Po wejściu w życie DORA jej klient – bank krajowy – zażądał renegocjacji umowy licencyjnej na oprogramowanie. Nowe klauzule wymagały prawa do audytu kodu, dostępu do dokumentacji architektury i 72-godzinnego okna reakcji na incydenty. Spółka nie miała przygotowanych procedur. Renegocjacja trwała 3 miesiące.

RODO (Rozporządzenie UE 2016/679) wpływa na oprogramowanie przede wszystkim przez zasadę privacy by design. Każda aplikacja przetwarzająca dane osobowe musi uwzględniać ochronę prywatności już na etapie projektowania. PUODO może nałożyć karę do 20 mln EUR lub 4% globalnego obrotu za naruszenia. Dla spółki IT oznacza to, że architektura systemu jest równocześnie decyzją prawną.

Warto też pamiętać o znaku towarowym. Sama nazwa oprogramowania i logo mogą być chronione jako trademark – niezależnie od ochrony kodu. Rejestracja w Urzędzie Patentowym RP lub EUIPO to inwestycja, która zamyka drogę konkurentom do pasożytowania na wypracowanej marce. IP lawyer Warsaw z doświadczeniem w rejestracji znaków towarowych powinien być zaangażowany już na etapie nadawania nazwy produktowi.

Jak wygląda dochodzenie roszczeń za naruszenie praw do oprogramowania?

Naruszenie praw autorskich do programu komputerowego może uzasadniać trzy ścieżki: cywilną, karną i administracyjną. W praktyce najszybsza bywa ścieżka zabezpieczenia roszczenia – sąd może w trybie art. 730 k.p.c. nakazać wstrzymanie dystrybucji naruszającego oprogramowania jeszcze przed wydaniem wyroku w sprawie głównej.

Ścieżka cywilna pozwala dochodzić odszkodowania na zasadach ogólnych albo – co istotne – zryczałtowanego wynagrodzenia w wysokości dwukrotności stosownego wynagrodzenia licencyjnego. Ta opcja jest szczególnie atrakcyjna, gdy trudno udowodnić dokładny rozmiar szkody. Postępowanie przed sądem okręgowym w sprawach o wartości powyżej 75 000 PLN trwa zazwyczaj od 12 do 24 miesięcy.

Ścieżka karna obejmuje art. 116 i następne ustawy o prawie autorskim. Grożą kary do 3 lat pozbawienia wolności, a przy działaniu w celu osiągnięcia korzyści majątkowej – do 5 lat. Organy ścigania i prokuratura rzadko podejmują sprawy bez wyraźnego interesu pokrzywdzonego, dlatego zawiadomienie o przestępstwie powinno być poprzedzone profesjonalną oceną dowodów.

Dla firmy produkcyjnej z Małopolski, która odkrywa, że dostawca systemu ERP skopiował jej moduł raportowania: pierwszym krokiem jest zabezpieczenie dowodów – zrzuty ekranu, logi, wersje kodu z datami. Następnie wezwanie do zaprzestania naruszeń z 14-dniowym terminem. Jeśli naruszyciel nie reaguje – wniosek o zabezpieczenie roszczenia. Cały cykl od wykrycia do uzyskania postanowienia zabezpieczającego może zająć od 4 do 8 tygodni.

Koszty postępowania sądowego w sprawach IP są proporcjonalne do wartości roszczenia – opłata sądowa wynosi 5% wartości przedmiotu sporu zgodnie z art. 13 ust. 1 ustawy o kosztach sądowych w sprawach cywilnych. Przy roszczeniu 500 000 PLN opłata sądowa to 25 000 PLN. Do tego dochodzą koszty biegłego z zakresu informatyki śledczej – zazwyczaj od 5 000 do 20 000 PLN zależnie od złożoności sprawy.

Alternatywą jest arbitraż – szczególnie przy sporach transgranicznych, gdzie strony chcą uniknąć długotrwałego postępowania przed polskim sądem powszechnym. Umowa arbitrażowa musi być zawarta na piśmie zgodnie z art. 1154 k.p.c. Sąd Arbitrażowy przy KIG w Warszawie rozpatruje takie sprawy średnio w ciągu 12–18 miesięcy.

Często zadawane pytania

P: Czy muszę rejestrować oprogramowanie, żeby było chronione prawem autorskim w Polsce?

O: Nie. Ochrona autorskoprawna powstaje automatycznie w chwili ustalenia utworu – wystarczy zapisanie kodu w jakiejkolwiek postaci. Nie istnieje w Polsce obowiązkowy rejestr oprogramowania. Warto jednak prowadzić wewnętrzną dokumentację: historię commitów, datowane specyfikacje i korespondencję projektową – jako dowód pierwszeństwa w ewentualnym sporze. Deponowanie kodu u notariusza lub w zaufanym repozytorium z kwalifikowanym znacznikiem czasu to dodatkowe zabezpieczenie, które kosztuje od kilkuset do kilku tysięcy złotych.

P: Czy pracodawca automatycznie nabywa prawa do kodu napisanego przez pracownika?

O: Co do zasady tak – jeśli program powstał w wyniku wykonywania obowiązków pracowniczych, artykuł 74 ustęp 3 ustawy o prawie autorskim przyznaje prawa majątkowe pracodawcy. Jest jednak kilka wyjątków. Po pierwsze, prawa osobiste zawsze pozostają przy twórcy. Po drugie, jeśli pracownik napisał kod poza godzinami pracy i bez użycia zasobów pracodawcy – sytuacja jest niejednoznaczna. Po trzecie, przy umowach B2B ta zasada w ogóle nie obowiązuje i prawa pozostają przy kontraktorze bez wyraźnej klauzuli cesji.

P: Jak długo trwa i ile kosztuje dochodzenie roszczeń za naruszenie praw autorskich do oprogramowania?

O: Czas i koszt zależą od wybranej ścieżki. Wniosek o zabezpieczenie roszczenia sąd rozpatruje zazwyczaj w ciągu 2–4 tygodni – to najszybsza opcja. Pełne postępowanie cywilne przed sądem okręgowym trwa od 12 do 24 miesięcy. Opłata sądowa wynosi 5% wartości roszczenia. Koszty obsługi prawnej w sprawach IP o średniej złożoności mieszczą się zazwyczaj w przedziale od 20 000 do 80 000 PLN za instancję. Arbitraż jest droższy na wejściu, ale szybszy – i pozwala zachować poufność, co w sprawach dotyczących kodu źródłowego bywa decydujące.

Konkretna sytuacja Państwa firmy – niezależnie od tego, czy chodzi o audyt IP przed transakcją, renegocjację umów z deweloperami, czy dochodzenie roszczeń za naruszenie kodu – wymaga oceny, zanim nieodwracalne decyzje biznesowe zostaną podjęte. Brak właściwej dokumentacji zamyka drogę do skutecznej ochrony praw w sądzie.

Jeśli Państwa spółka wdraża oprogramowanie, planuje transakcję lub zmaga się z naruszeniem praw autorskich – przeprowadzimy audyt IP, zidentyfikujemy luki w umowach i przygotujemy strategię ochrony: info@kordeckipartners.com.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony własności intelektualnej, prawa technologicznego i regulacji AI. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

O autorze

Jakub Górski specjalizuje się w prawie własności intelektualnej, technologiach i regulacjach AI.

Zastrzeżenie prawne

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.