Firma technologiczna z Mazowsza podpisuje umowę SaaS z zagranicznym dostawcą. Umowa liczy 40 stron, napisana jest po angielsku, a dział prawny dostaje ją dzień przed planowanym podpisaniem. W środku – klauzula wyłączająca odpowiedzialność dostawcy za naruszenie RODO, jednostronne prawo do zmiany funkcjonalności oraz brak SLA z konkretnymi wskaźnikami. Takie scenariusze zdarzają się częściej, niż można by sądzić.

Umowy SaaS na polskim rynku podlegają jednocześnie prawu polskiemu, Rozporządzeniu RODO (UE 2016/679), AI Act (Rozporządzenie UE 2024/1689) oraz – dla podmiotów finansowych – DORA (Rozporządzenie UE 2022/2554). Brak właściwych klauzul w umowie SaaS oznacza realne ryzyko odpowiedzialności wobec UODO, KNF i kontrahentów, a w skrajnych przypadkach – nieodwracalne skutki dla ciągłości działania firmy.

Ten alert wskazuje, które klauzule wymagają natychmiastowej weryfikacji, kogo dotyczą nowe obowiązki regulacyjne i jakie działania podjąć przed podpisaniem lub odnowieniem umowy SaaS.

Jakie zmiany regulacyjne wpływają na umowy SaaS w Polsce?

Od 1 sierpnia 2024 r. obowiązuje AI Act – pierwsze na świecie kompleksowe rozporządzenie regulujące systemy sztucznej inteligencji. Jeśli dostawca SaaS wbudowuje w swój produkt funkcje AI wysokiego ryzyka (np. scoring kredytowy, rekrutację, biometrię), umowa musi zawierać klauzule dotyczące oceny zgodności. Dostawca jest wówczas zobowiązany do przeprowadzenia conformity assessment przed wprowadzeniem systemu na rynek.

DORA weszła w życie 17 stycznia 2025 r. Obejmuje banki, ubezpieczycieli, firmy inwestycyjne i inne podmioty nadzorowane przez KNF. Dla tych podmiotów każda umowa z dostawcą ICT – w tym umowa SaaS – musi zawierać konkretne elementy: prawo do audytu, wymogi dotyczące ciągłości działania, procedury zarządzania incydentami i exit strategy. Brak tych elementów to naruszenie wymogów regulacyjnych, a nie tylko kwestia negocjacji handlowych.

RODO obowiązuje od 2018 r., ale praktyka pokazuje, że wiele umów SaaS nadal nie zawiera prawidłowej umowy powierzenia przetwarzania danych (DPA). Tymczasem każdy SaaS przetwarzający dane osobowe użytkowników klienta wymaga DPA zgodnej z art. 28 RODO. Brak DPA to bezpośrednie naruszenie przepisów, za które UODO może nałożyć karę do 4% globalnego obrotu rocznego.

  • AI Act – obowiązki dla systemów wysokiego ryzyka od 2 sierpnia 2026 r.
  • DORA – wymogi ICT dla podmiotów finansowych od 17 stycznia 2025 r.
  • RODO – DPA obowiązkowe przy każdym przetwarzaniu danych osobowych
  • Prawo polskie – ustawa o prawie autorskim reguluje licencje na oprogramowanie

Kancelaria IP Warszawa obsługująca klientów technologicznych widzi ten problem regularnie. Umowy podpisywane dwa lub trzy lata temu nie uwzględniają dziś obowiązujących regulacji. Każde odnowienie umowy SaaS to moment, w którym brak aktualizacji klauzul zamyka drogę do dochodzenia roszczeń.

Które klauzule w umowie SaaS są krytyczne i dlaczego?

Regulacje IP i licencyjne to fundament każdej umowy SaaS. Umowa powinna precyzować, czy klient otrzymuje licencję niewyłączną na korzystanie z oprogramowania, kto jest właścicielem danych wprowadzonych do systemu oraz co dzieje się z danymi po rozwiązaniu umowy. Brak klauzuli o własności danych klienta oznacza ryzyko utraty dostępu do własnych zasobów – to scenariusz nieodwracalny, jeśli dostawca ogłosi upadłość lub zostanie przejęty.

SLA (Service Level Agreement) musi zawierać konkretne liczby. Dostępność systemu na poziomie 99,5% to 43 godziny dopuszczalnego przestoju rocznie. Dostępność 99,9% to tylko 8,7 godziny. Różnica jest istotna dla firm, których procesy biznesowe zależą od ciągłości działania SaaS. Umowa bez mierzalnych wskaźników SLA i mechanizmu kredytów serwisowych to umowa bez realnej ochrony.

Klauzule dotyczące ochrony danych osobowych muszą spełniać wymogi RODO. DPA powinna określać: cel i zakres przetwarzania, kategorie danych, obowiązki procesora, zasady korzystania z podprocesorów oraz mechanizm powiadamiania o naruszeniach w ciągu 72 godzin. Wiele wzorców umów SaaS zawiera DPA jako załącznik – warto sprawdzić, czy jest on faktycznie podpisany i czy odpowiada aktualnemu stanowi przetwarzania.

Znak towarowy i elementy brandingowe klienta mogą być wykorzystywane przez dostawcę SaaS w materiałach marketingowych – jeśli umowa na to pozwala. Klauzula dotycząca prawa do używania nazwy i logo klienta powinna być wyraźna i ograniczona w czasie. W praktyce wiele firm odkrywa, że ich znak towarowy pojawia się w referencjach dostawcy bez zgody.

Klauzula exit strategy to element szczególnie zaniedbywany. Powinna określać: termin na eksport danych (minimum 30 dni od rozwiązania umowy), format eksportu (czytelny maszynowo), zobowiązanie do usunięcia danych przez dostawcę oraz potwierdzenie tego usunięcia na piśmie. Brak exit strategy oznacza, że po zakończeniu współpracy firma może zostać bez dostępu do własnych danych operacyjnych.

Spółka e-commerce z Trójmiasta renegocjowała umowę SaaS wiosną 2025 r. Odkryła, że dotychczasowy kontrakt nie zawierał klauzuli o eksporcie danych ani DPA. Koszt renegocjacji i wdrożenia nowych procedur wyniósł ułamek potencjalnej kary za naruszenie RODO. Dla porównania – firma logistyczna z Górnego Śląska zapłaciła w 2024 r. kilkaset tysięcy złotych za wdrożenie systemu SaaS, który okazał się niezgodny z wymogami DORA. Umowa nie przewidywała prawa do audytu dostawcy.

Podmioty finansowe podlegające DORA muszą zadbać o dodatkowe elementy. Umowa SaaS musi zawierać: prawo do przeprowadzenia audytu lub inspekcji u dostawcy, wymóg informowania o incydentach ICT, plan ciągłości działania po stronie dostawcy oraz klauzulę o prawie do wypowiedzenia w przypadku naruszenia wymogów regulacyjnych. KNF może żądać wglądu w umowy z dostawcami ICT w ramach nadzoru nad instytucjami finansowymi.

Szczegółowe informacje o kompleksowej obsłudze prawnej w zakresie IP i technologii znajdziesz na stronie praktyki IP/Tech KORDECKI & Partners.

Konkretna sytuacja Państwa firmy – szczególnie gdy umowa SaaS dotyczy danych osobowych lub systemów AI wysokiego ryzyka – wymaga indywidualnej oceny. Brak właściwych klauzul może mieć nieodwracalne skutki dla odpowiedzialności wobec UODO i kontrahentów.

Jeśli Państwa spółka stoi przed podpisaniem lub odnowieniem umowy SaaS i chce zweryfikować zgodność z RODO, AI Act lub DORA – przeprowadzimy przegląd umowy, wskażemy luki i przygotujemy rekomendacje negocjacyjne: info@kordeckipartners.com.

Co zrobić natychmiast – lista kontrolna dla firm korzystających z SaaS?

Działania prewencyjne są zawsze tańsze niż naprawa skutków naruszenia. Każda firma korzystająca z SaaS powinna w ciągu najbliższych 30 dni przeprowadzić podstawowy przegląd swoich umów. Dotyczy to szczególnie umów zawartych przed 2023 r. – przed wejściem w życie AI Act i DORA.

  • Zidentyfikuj wszystkie aktywne umowy SaaS i sprawdź, czy zawierają DPA zgodną z RODO
  • Oceń, czy dostawca przetwarza dane osobowe Twoich klientów lub pracowników
  • Sprawdź, czy umowa zawiera mierzalne wskaźniki SLA i mechanizm kredytów serwisowych
  • Zweryfikuj klauzulę exit strategy – termin eksportu danych i format pliku
  • Dla podmiotów finansowych: upewnij się, że umowa spełnia wymogi DORA (prawo do audytu, plan ciągłości)

Jeśli umowa SaaS dotyczy systemów AI, sprawdź klasyfikację ryzyka dostawcy zgodnie z AI Act. Systemy wysokiego ryzyka wymagają dokumentacji technicznej i oceny zgodności. Obowiązki te wchodzą w pełni w życie 2 sierpnia 2026 r. – pozostało mniej niż 18 miesięcy na dostosowanie.

Warto również przejrzeć klauzule dotyczące prawa właściwego i jurysdykcji. Wiele umów SaaS wskazuje prawo irlandzkie lub angielskie jako właściwe. W relacjach B2B jest to dopuszczalne, jednak może utrudniać dochodzenie roszczeń przed polskim sądem. Klauzula arbitrażowa lub prorogacyjna powinna być świadomą decyzją, a nie efektem przeoczenia.

Zagadnienia odpowiedzialności karnej skarbowej mogą pojawić się w kontekście umów SaaS, gdy dochodzi do nieprawidłowości w rozliczeniach podatkowych – więcej na ten temat w artykule o obronie w sprawach karnych skarbowych.

Konkretna weryfikacja umowy SaaS w kontekście aktualnych regulacji – RODO, AI Act, DORA – wymaga analizy dokumentu i okoliczności jego zawarcia. Brak reakcji na luki w umowie zamyka drogę do skutecznego dochodzenia roszczeń po wystąpieniu szkody.

Jeśli Państwa firma korzysta z SaaS przetwarzającego dane osobowe lub podlega nadzorowi KNF – umówimy przegląd umowy i wskażemy działania naprawcze w terminie do 14 dni: info@kordeckipartners.com.

Często zadawane pytania

P: Czy każda umowa SaaS wymaga umowy powierzenia przetwarzania danych?

O: Tak – jeśli dostawca SaaS przetwarza dane osobowe w imieniu klienta (np. dane pracowników, dane klientów końcowych), umowa powierzenia przetwarzania danych jest obowiązkowa na podstawie artykułu 28 Rozporządzenia RODO. Brak takiej umowy stanowi naruszenie przepisów, za które UODO może nałożyć karę do 4% globalnego obrotu rocznego. Wiele standardowych wzorców umów SaaS zawiera DPA jako załącznik – należy upewnić się, że jest on faktycznie podpisany i aktualny.

P: Jakie klauzule są obowiązkowe w umowie SaaS dla podmiotów finansowych?

O: Podmioty finansowe nadzorowane przez KNF podlegają od 17 stycznia 2025 roku wymogom DORA. Każda umowa z dostawcą ICT – w tym SaaS – musi zawierać: prawo do audytu dostawcy, wymogi dotyczące ciągłości działania, procedury zarządzania incydentami ICT oraz klauzulę exit strategy. Brak tych elementów to naruszenie wymogów regulacyjnych, które może skutkować sankcjami nadzorczymi. Przegląd umów powinien nastąpić niezwłocznie.

P: Czy powszechne jest przekonanie, że standardowy wzorzec umowy SaaS od dostawcy jest wystarczający?

O: To jeden z najczęstszych błędów. Standardowe wzorce umów SaaS są przygotowywane przez dostawcę – przede wszystkim w jego interesie. Często zawierają klauzule wyłączające odpowiedzialność za naruszenia danych, jednostronne prawo do zmiany funkcjonalności oraz brak mierzalnych wskaźników dostępności. Negocjacja klauzul kluczowych dla klienta – SLA, DPA, exit strategy, prawo właściwe – jest nie tylko możliwa, ale w wielu przypadkach niezbędna dla zapewnienia zgodności z polskim prawem i regulacjami unijnymi.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do prawa własności intelektualnej, technologii i regulacji cyfrowych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.