Startup z Wrocławia podpisuje umowę SaaS z dostawcą z Irlandii. Produkt działa sprawnie przez rok. Potem przychodzi awaria – dane klientów niedostępne przez 72 godziny, a umowa nie przewiduje żadnych kar umownych. Firma traci kontrakt z kluczowym odbiorcą. Prawnicy sprawdzają dokumentację i odkrywają: brak SLA, brak klauzuli przeniesienia danych, brak jurysdykcji polskiej. Umowa była ważna. Była bezużyteczna.

Umowy SaaS na polskim rynku podlegają jednocześnie polskiemu Kodeksowi cywilnemu, Rozporządzeniu UE 2016/679 (RODO), AI Act (Rozporządzenie UE 2024/1689) oraz – dla podmiotów finansowych – DORA (Rozporządzenie UE 2022/2554). Każda z tych regulacji nakłada konkretne obowiązki na strony umowy. Brak odpowiednich klauzul może oznaczać odpowiedzialność odszkodowawczą, kary administracyjne do 20 mln EUR lub utratę dostępu do danych po zakończeniu współpracy.

Ten przewodnik omawia krok po kroku, które klauzule są niezbędne, jakie błędy najczęściej popełniają polskie firmy i jak chronić swoje interesy – niezależnie od tego, czy jesteś dostawcą, czy odbiorcą usługi SaaS. Materiał uwzględnia trzy scenariusze biznesowe: firmę produkcyjną, spółkę IT oraz zagranicznego inwestora wchodzącego na rynek polski.

Czym różni się umowa SaaS od licencji – i dlaczego to ma znaczenie dla polskiego prawa?

Większość polskich firm traktuje umowę SaaS jak zakup oprogramowania. To błąd, który kosztuje. SaaS to usługa ciągła – nie przeniesienie prawa, lecz dostęp do funkcjonalności przez sieć. Polskie sądy coraz częściej kwalifikują taką umowę jako umowę o świadczenie usług z elementami licencji. Konsekwencja: inne przepisy o wypowiedzeniu, inne zasady odpowiedzialności, inne reguły ochrony danych.

Zgodnie z Rozporządzeniem UE 2016/679 (RODO), dostawca SaaS przetwarzający dane osobowe klientów odbiorcy działa jako podmiot przetwarzający. Wymaga to zawarcia odrębnej umowy powierzenia przetwarzania danych (DPA – Data Processing Agreement). Bez DPA każda ze stron ryzykuje karą administracyjną nakładaną przez PUODO – do 20 mln EUR lub 4% globalnego obrotu. W praktyce wiele umów SaaS zawiera DPA jako załącznik, który nikt nie czyta.

Dla firm z sektora finansowego – banków, towarzystw ubezpieczeniowych, firm inwestycyjnych – od 17 stycznia 2025 r. obowiązuje DORA (Rozporządzenie UE 2022/2554). Nakłada ona na dostawców ICT, w tym SaaS, obowiązek spełnienia wymogów dotyczących zarządzania ryzykiem ICT i raportowania incydentów do KNF. Więcej o tym, jak DORA zmienia relacje kontraktowe, opisujemy w analizie dotyczącej zarządzania ryzykiem ICT w polskich podmiotach.

Znak towarowy i prawa własności intelektualnej to kolejna pułapka. Dostawca SaaS często zastrzega, że wszelkie dane wygenerowane przez użytkownika w systemie należą do niego lub mogą być wykorzystywane do trenowania modeli AI. Kancelaria IP Warszawa regularnie spotyka się z klientami, którzy odkrywają tę klauzulę dopiero po zakończeniu umowy. Przy korzystaniu z systemów opartych na AI Act, zwłaszcza systemów wysokiego ryzyka, takich jak scoring kredytowy czy rekrutacja, klauzula dotycząca własności danych treningowych staje się fundamentalna.

Jakie klauzule SLA i odpowiedzialności chronią odbiorcę usługi?

SLA (Service Level Agreement) to serce każdej umowy SaaS. Dobry SLA określa trzy rzeczy: dostępność systemu wyrażoną w procentach (np. 99,5% miesięcznie), maksymalny czas reakcji na incydent (np. 4 godziny dla błędów krytycznych) oraz konsekwencje finansowe naruszenia. Bez tych elementów SLA jest marketingową deklaracją, a nie zobowiązaniem prawnym.

Kluczowe – i często pomijane – są klauzule ograniczenia odpowiedzialności. Dostawcy SaaS standardowo ograniczają odpowiedzialność do równowartości opłat za ostatnie 3 lub 6 miesięcy. Przy rocznym abonamencie 50 000 PLN oznacza to limit odpowiedzialności na poziomie 12 500–25 000 PLN, nawet jeśli awaria spowodowała szkodę 10-krotnie wyższą. Polskie prawo dopuszcza takie ograniczenia na podstawie art. 473 § 2 k.c., jednak klauzula nie może wyłączać odpowiedzialności za szkodę wyrządzoną umyślnie.

W praktyce – wiele firm o tym zapomina – klauzula SLA powinna zawierać definicję „czasu niedostępności". Czy niedostępność oznacza brak odpowiedzi serwera, czy dopiero potwierdzenie incydentu przez dostawcę? Różnica może wynosić kilkadziesiąt minut. Przy obliczaniu 99,5% dostępności miesięcznej dopuszczalny czas przerw wynosi około 3 godziny i 39 minut. Każda minuta poza tym limitem powinna generować konkretne upusty.

Trzy elementy, które powinny znaleźć się w każdej klauzuli SLA:

  • Definicja poziomów incydentów (krytyczny, wysoki, średni, niski) z czasami reakcji i naprawy
  • Automatyczny mechanizm naliczania kredytów usługowych – bez konieczności zgłaszania reklamacji
  • Prawo do rozwiązania umowy bez okresu wypowiedzenia po przekroczeniu określonej liczby naruszeń SLA w roku

Jak regulować przeniesienie i usunięcie danych po zakończeniu umowy SaaS?

Zakończenie umowy SaaS to moment, w którym brak odpowiednich klauzul ujawnia się najdotkliwiej. Odbiorca traci dostęp do systemu i – jeśli umowa milczy – do swoich danych. Dostawca technicznie może je zatrzymać, usunąć lub zablokować. Bez klauzuli data portability firma produkcyjna z Mazowsza może stracić wieloletnią historię zamówień, a spółka IT – bazę klientów budowaną przez 5 lat.

RODO nakłada na podmioty przetwarzające obowiązek zwrotu lub usunięcia danych po zakończeniu umowy (art. 28 ust. 3 lit. g RODO). Jednak samo RODO nie precyzuje formatu, terminu ani kosztów. Umowa SaaS powinna określać: format eksportu danych (np. CSV, JSON, XML), termin udostępnienia danych po zakończeniu (rekomendujemy 30 dni), kto ponosi koszt eksportu oraz co dzieje się z kopiami zapasowymi dostawcy.

Firma IT z Trójmiasta, z którą współpracowaliśmy wiosną 2024 r., odkryła po zakończeniu umowy z dostawcą SaaS, że eksport danych kosztuje 15 000 EUR – kwota nieuwzględniona w budżecie migracji. Klauzula w umowie dopuszczała „opłaty za usługi dodatkowe" bez górnego limitu. Negocjacja zajęła trzy miesiące i wymagała zaangażowania biegłych sądowych w zakresie wyceny danych. Więcej o roli biegłych w takich postępowaniach przeczytasz w artykule o biegłych sądowych w polskim postępowaniu.

Checklist – co powinna regulować klauzula zakończenia umowy SaaS:

  • Format i termin eksportu danych (maksymalnie 30 dni od zakończenia umowy)
  • Obowiązek usunięcia danych z systemów dostawcy i potwierdzenie tego faktu na piśmie
  • Zakaz wykorzystania danych odbiorcy do celów własnych dostawcy po zakończeniu współpracy
  • Ograniczenie kosztów eksportu lub ich z góry uzgodniona stawka
  • Dostęp do systemu w trybie „tylko do odczytu" przez co najmniej 14 dni po zakończeniu umowy

Dla podmiotów objętych DORA klauzula zakończenia musi dodatkowo regulować procedury wyjścia z umowy z dostawcą ICT – w tym plan przejścia do alternatywnego dostawcy i dokumentację techniczną wymaganą przez KNF.

Jakie klauzule dotyczące AI Act i ochrony danych są dziś niezbędne?

AI Act wszedł w życie 1 sierpnia 2024 r. Jego pełne stosowanie następuje etapowo do 2027 r., ale już teraz wpływa na umowy SaaS z elementami sztucznej inteligencji. Systemy AI wysokiego ryzyka – scoring kredytowy, rekrutacja, biometria – wymagają oceny zgodności przed wdrożeniem. Jeśli dostawca SaaS oferuje taki system, umowa musi precyzować, kto jest „dostawcą" w rozumieniu AI Act, a kto „podmiotem stosującym".

Podział ról ma znaczenie praktyczne. Podmiot stosujący (deployer) ponosi odpowiedzialność za sposób użycia systemu AI. Dostawca odpowiada za dokumentację techniczną i zgodność systemu z wymaganiami AI Act. Umowa SaaS powinna wprost wskazywać, kto dostarcza dokumentację techniczną, kto prowadzi rejestr zdarzeń (logi), kto odpowiada za nadzór ludzki wymagany dla systemów wysokiego ryzyka oraz jakie są procedury zgłaszania poważnych incydentów.

Ochrona danych w kontekście AI to osobny problem. Trenowanie modeli na danych klientów bez podstawy prawnej narusza RODO. Dostawcy SaaS coraz częściej wprowadzają klauzule zezwalające na anonimizację i wykorzystanie danych do ulepszania usługi. Uważamy, że bezpieczniejszym rozwiązaniem jest klauzula wyraźnie zakazująca trenowania modeli na danych identyfikowalnych lub pseudonimizowanych odbiorcy – chyba że odbiorca wyrazi na to osobną, konkretną zgodę.

Znak towarowy i inne prawa własności intelektualnej pojawiają się w umowach SaaS w nieoczekiwanych miejscach. Dostawcy zastrzegają prawo do prezentowania nazwy i logo odbiorcy w materiałach referencyjnych. Bez klauzuli ograniczającej takie użycie firma może odkryć, że jej marka jest reklamowana w kontekście, który jej nie odpowiada. Kancelaria IP Warszawa rekomenduje klauzulę wymagającą pisemnej zgody na każde użycie znaku towarowego odbiorcy.

Trzy scenariusze biznesowe – co negocjować w zależności od branży?

Firma produkcyjna z Małopolski wdraża SaaS do zarządzania łańcuchem dostaw. Przetwarza dane osobowe pracowników i kontrahentów. Priorytetem jest ciągłość działania – awaria systemu przez 24 godziny oznacza zatrzymanie linii produkcyjnej i straty rzędu 100 000 PLN dziennie. Kluczowe klauzule to: SLA z dostępnością 99,9%, kary umowne za każdą godzinę niedostępności powyżej limitu, prawo do audytu centrum danych dostawcy oraz DPA z klauzulą sub-procesorów.

Spółka IT z Warszawy dostarcza własne oprogramowanie i korzysta z SaaS jako infrastruktury (PaaS/IaaS). Jej umowy SaaS są jednocześnie umowami z podwykonawcą. Jeśli dostawca SaaS narusza RODO, spółka IT odpowiada wobec swoich klientów. Niezbędna jest klauzula przepływu odpowiedzialności (flow-down) oraz prawo do audytu dostawcy SaaS. DORA nakłada na spółki IT działające w sektorze finansowym obowiązek prowadzenia rejestru umów z dostawcami ICT i raportowania do KNF.

Zagraniczny inwestor – na przykład firma z Niemiec – wchodzi na rynek polski przez SaaS. Chce korzystać z polskiego systemu ERP oferowanego jako usługa. Ryzyko: umowa w języku polskim, jurysdykcja polska, prawo polskie. Dla inwestora zagranicznego rekomendujemy klauzulę wyboru prawa (art. 3 Rozporządzenia Rzym I), wskazanie języka umowy jako wiążącego, klauzulę arbitrażową (Sąd Arbitrażowy przy KIG lub ICC) zamiast sądu powszechnego oraz angielską wersję DPA zgodną z RODO.

Niezależnie od branży, trzy klauzule są absolutnie niezbędne w każdej umowie SaaS zawieranej na polskim rynku. Pierwsza: klauzula jurysdykcji i prawa właściwego – bez niej spór z dostawcą z innego państwa UE może trafić do sądu w Dublinie lub Amsterdamie. Druga: klauzula zmiany warunków – dostawcy zastrzegają prawo do jednostronnej zmiany regulaminu z 30-dniowym wyprzedzeniem; umowa B2B powinna przewidywać prawo do rozwiązania umowy bez kary w przypadku niekorzystnych zmian. Trzecia: klauzula audytu bezpieczeństwa – prawo do przeprowadzenia audytu lub żądania certyfikatu ISO 27001 co najmniej raz w roku.

Konkretna sytuacja Państwa firmy – niezależnie od tego, czy jesteście dostawcą, odbiorcą, czy inwestorem zagranicznym – wymaga analizy umowy SaaS pod kątem aktualnych regulacji. Brak odpowiednich klauzul może nieodwracalnie zamknąć drogę do dochodzenia roszczeń po awarii lub zakończeniu współpracy.

Jeśli Państwa spółka negocjuje lub weryfikuje umowę SaaS na polskim rynku – przeprowadzimy pełny przegląd klauzul, identyfikację ryzyk RODO, AI Act i DORA oraz przygotujemy rekomendacje negocjacyjne: info@kordeckipartners.com.

Często zadawane pytania

P: Czy umowa SaaS musi zawierać osobną umowę powierzenia danych (DPA)?

O: Tak, jeśli dostawca SaaS przetwarza dane osobowe w imieniu odbiorcy. Rozporządzenie UE 2016/679 (RODO) wymaga zawarcia umowy powierzenia przetwarzania danych określonej w artykule 28 ustęp 3. Brak DPA naraża obie strony na kary administracyjne nakładane przez PUODO – do 20 mln EUR lub 4% globalnego obrotu. DPA może być częścią umowy głównej lub odrębnym załącznikiem – ważne, by precyzowało zakres danych, cel przetwarzania, listę sub-procesorów i procedury po zakończeniu umowy.

P: Ile kosztuje prawne przygotowanie lub przegląd umowy SaaS?

O: Koszt przeglądu standardowej umowy SaaS przez kancelarię wynosi zwykle od 3 000 do 8 000 PLN netto, zależnie od złożoności dokumentacji i liczby regulacji do weryfikacji (RODO, AI Act, DORA). Przygotowanie umowy od podstaw, z DPA i klauzulami SLA, to koszt rzędu 8 000–20 000 PLN. Dla firm z sektora finansowego objętych DORA koszty są wyższe ze względu na wymogi dotyczące zarządzania ryzykiem ICT. Inwestycja ta jest wielokrotnie niższa niż koszty sporu sądowego lub kary administracyjnej wynikającej z braków w dokumentacji.

P: Czy polskie prawo chroni odbiorcę SaaS przed jednostronną zmianą warunków przez dostawcę?

O: W relacjach B2B ochrona jest ograniczona – Kodeks cywilny pozwala stronom ustalić zasady zmiany umowy w dowolny sposób. Jeśli umowa dopuszcza jednostronną zmianę warunków przez dostawcę, odbiorca jest nią związany. Dlatego umowy B2B powinny zawierać klauzulę przyznającą odbiorcy prawo do rozwiązania umowy bez kary w ciągu 30 dni od otrzymania powiadomienia o niekorzystnej zmianie. Inaczej wygląda sytuacja, gdy odbiorca jest konsumentem – wtedy stosuje się przepisy o niedozwolonych klauzulach umownych z Kodeksu cywilnego i ustawy o prawach konsumenta.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do prawa technologicznego, własności intelektualnej oraz regulacji AI Act, DORA i RODO. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.