Firma technologiczna z Mazowsza podpisała umowę SaaS z dostawcą chmurowym. Rok później odkryła, że klauzula SLA gwarantuje dostępność na poziomie 99,5% – ale wyłącznie w godzinach roboczych, z wyłączeniem weekendów i świąt. Przerwa w piątek wieczór trwała 14 godzin. Odszkodowanie? Zero złotych, bo umowa precyzyjnie wyłączała odpowiedzialność poza oknem serwisowym. To nie wyjątek – to reguła na polskim rynku SaaS.

Umowy SaaS regulują dostęp do oprogramowania w modelu subskrypcyjnym i podlegają w Polsce przepisom Kodeksu cywilnego, Rozporządzeniu UE 2016/679 (RODO), a od 2025 roku – Rozporządzeniu UE 2022/2554 (DORA) dla podmiotów finansowych. Kluczowe klauzule dotyczące SLA, odpowiedzialności, ochrony danych i praw własności intelektualnej wymagają weryfikacji przed podpisaniem. Brak właściwych zapisów zamyka drogę do dochodzenia roszczeń po awarii lub naruszeniu danych.

Ten alert wskazuje, które klauzule generują największe ryzyko, kogo dotyczą nowe obowiązki regulacyjne i jakie działania należy podjąć natychmiast. Struktura: co się zmieniło – kto jest zagrożony – co zrobić teraz.

Co zmieniło się w otoczeniu regulacyjnym umów SaaS?

Trzy regulacje unijne weszły w życie lub zaczęły być stosowane w ciągu ostatnich 18 miesięcy. Każda z nich nakłada nowe obowiązki na strony umów SaaS. Ignorowanie ich w treści kontraktu to błąd, który może kosztować miliony złotych.

DORA – Rozporządzenie UE 2022/2554 – obowiązuje od 17 stycznia 2025 roku. Dotyczy podmiotów finansowych: banków, ubezpieczycieli, firm inwestycyjnych i ich dostawców ICT. Umowy z zewnętrznymi dostawcami SaaS muszą teraz zawierać klauzule dotyczące zarządzania ryzykiem ICT, raportowania incydentów do KNF i prawa do audytu. Brak tych zapisów naraża instytucję finansową na sankcje nadzorcze. W praktyce – wiele firm o tym zapomina – dostawcy SaaS kierujący ofertę do sektora finansowego muszą dostosować swoje wzorce umowne do wymogów DORA natychmiast.

AI Act – Rozporządzenie UE 2024/1689 – wszedł w życie 1 sierpnia 2024 roku. Systemy AI wysokiego ryzyka stosowane w usługach SaaS (np. scoring kredytowy, rekrutacja, biometria) wymagają oceny zgodności. Jeśli Twoja spółka korzysta z platformy SaaS zawierającej moduł AI, umowa powinna precyzować, kto jest dostawcą systemu AI w rozumieniu AI Act i kto ponosi odpowiedzialność za zgodność.

RODO pozostaje fundamentem ochrony danych w każdej umowie SaaS. Dostawca SaaS przetwarza dane osobowe jako podmiot przetwarzający – art. 28 RODO nakłada obowiązek zawarcia umowy powierzenia przetwarzania danych (DPA). Brak DPA lub niekompletne klauzule to naruszenie, które PUODO może ukarać grzywną do 20 mln EUR lub 4% globalnego obrotu.

Zmiana jest systemowa. Umowa SaaS przestała być wyłącznie kontraktem handlowym – stała się dokumentem compliance.

Które klauzule SaaS generują największe ryzyko dla Państwa firmy?

Analiza typowych wzorców umownych stosowanych na polskim rynku wskazuje pięć obszarów, w których klauzule są najczęściej niekorzystne dla klienta. Każdy z nich może prowadzić do nieodwracalnej utraty praw lub roszczeń.

SLA i kary umowne. Standardowe umowy SaaS oferują dostępność 99,9% miesięcznie – co odpowiada zaledwie 43 minutom przestoju. Jednak definicja „dostępności" bywa zawężona do serwerów dostawcy, z wyłączeniem łączy, integracji i środowisk testowych. Kary umowne są często ograniczone do równowartości miesięcznej opłaty subskrypcyjnej. Dla firmy, której przestój kosztuje 50 000 PLN dziennie, taka kara to fikcja ochrony.

Prawa własności intelektualnej i dane. Kto jest właścicielem danych wprowadzonych do systemu SaaS? Kto jest właścicielem modeli AI wytrenowanych na tych danych? Standardowe klauzule często przyznają dostawcy szeroką licencję na dane klienta – w tym prawo do ich anonimizacji i wykorzystania do ulepszania produktu. Ochrona znaku towarowego i know-how klienta wymaga wyraźnych zapisów ograniczających te uprawnienia. Powiązane zagadnienia dotyczące ochrony własności intelektualnej omawia artykuł o naruszeniu znaku towarowego i środkach prawnych w Polsce.

Klauzule exit i przeniesienie danych. Co dzieje się z danymi klienta po rozwiązaniu umowy? Standardowe wzorce przewidują 30-dniowe okno na eksport danych, po którym dostawca je usuwa. Dla firmy z wieloletnim archiwum transakcji to katastrofa. Umowa powinna gwarantować co najmniej 90 dni na eksport w standardowym formacie (np. CSV, JSON) oraz potwierdzenie usunięcia danych zgodnie z RODO.

Jurysdykcja i prawo właściwe. Wiele platform SaaS stosuje prawo irlandzkie lub angielskie. Po Brexicie klauzule angielskie komplikują dochodzenie roszczeń przez polskie spółki. Uważamy, że bezpieczniejszym rozwiązaniem jest negocjowanie prawa polskiego lub co najmniej jurysdykcji sądów polskich – szczególnie gdy umowa dotyczy przetwarzania danych obywateli UE.

Zmiany cenowe i warunki umowy. Czy dostawca może jednostronnie zmienić cennik z 30-dniowym wyprzedzeniem? Wiele umów SaaS tak stanowi. Klauzula powinna przewidywać prawo do wypowiedzenia bez kary w przypadku podwyżki przekraczającej określony próg – np. 10% rocznie.

  • Zweryfikuj definicję „dostępności" w klauzuli SLA – czy obejmuje wszystkie komponenty usługi?
  • Sprawdź, czy umowa zawiera DPA zgodne z art. 28 RODO – brak DPA to natychmiastowe naruszenie.
  • Oceń klauzule dotyczące praw do danych i modeli AI – szczególnie przy platformach z funkcjami machine learning.
  • Ustal procedurę eksportu danych i termin po rozwiązaniu umowy – minimum 90 dni.
  • Negocjuj prawo właściwe i jurysdykcję przed podpisaniem, nie po awarii.

Analogiczne podejście do negocjacji klauzul ryzyka stosuje się w umowach najmu komercyjnego – więcej o tym w analizie kluczowych warunków umowy najmu komercyjnego w Polsce.

Konkretna sytuacja Państwa firmy – szczególnie gdy umowa SaaS dotyczy przetwarzania danych wrażliwych lub systemów krytycznych – wymaga indywidualnej oceny. Brak właściwych klauzul zamyka drogę do dochodzenia roszczeń w sposób nieodwracalny, gdy awaria już nastąpi.

Jeśli Państwa spółka korzysta z platform SaaS przetwarzających dane osobowe lub podlega wymogom DORA – przeprowadzimy audyt klauzul umownych, przygotujemy DPA i wynegocjujemy warunki z dostawcą: info@kordeckipartners.com.

Często zadawane pytania

P: Czy każda umowa SaaS musi zawierać umowę powierzenia przetwarzania danych?

O: Tak, jeśli dostawca SaaS przetwarza dane osobowe w imieniu klienta. Artykuł 28 Rozporządzenia UE 2016/679 (RODO) nakłada obowiązek zawarcia umowy powierzenia przetwarzania danych (DPA) przed rozpoczęciem przetwarzania. Brak DPA stanowi samodzielne naruszenie RODO, niezależnie od tego, czy doszło do wycieku danych. PUODO może nałożyć karę do 20 mln EUR.

P: Ile czasu zajmuje negocjacja umowy SaaS z dużym dostawcą?

O: Negocjacje z dostawcami oferującymi standardowe wzorce trwają zazwyczaj od 2 do 6 tygodni. Duże platformy (np. hyperscalerzy chmurowi) rzadko zgadzają się na zmiany w treści umowy głównej – negocjacje dotyczą wówczas załączników i Order Form. Warto rozpocząć proces co najmniej 8 tygodni przed planowanym wdrożeniem, aby uniknąć presji czasowej.

P: Czy klauzula ograniczenia odpowiedzialności do wartości rocznej subskrypcji jest standardem rynkowym?

O: To częsta praktyka dostawców, ale nie oznacza, że jest korzystna dla klienta. Ograniczenie odpowiedzialności do wartości rocznej subskrypcji może być niewystarczające, gdy przestój generuje straty wielokrotnie wyższe. Powszechnym błędem jest mylne przekonanie, że „standardowe" warunki są niezmienne – w praktyce kancelaria IP Warszawa regularnie negocjuje wyższe limity odpowiedzialności, szczególnie dla klientów korporacyjnych.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do prawa własności intelektualnej, technologii i regulacji cyfrowych, w tym AI Act, DORA i RODO. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.