Firma technologiczna z Wrocławia wdraża platformę SaaS do zarządzania dokumentami. Kontrakt wydaje się standardowy. Po sześciu miesiącach okazuje się, że dostawca zmienił cennik z trzymiesięcznym wyprzedzeniem, dane klientów są przetwarzane na serwerach poza EOG, a klauzula ograniczenia odpowiedzialności wyklucza odszkodowanie za utratę danych. Firma jest zablokowana – zmiana dostawcy zajmie kolejne sześć miesięcy.

Umowy SaaS rządzą się własną logiką. Prawo polskie nie zawiera dedykowanego reżimu dla modelu subskrypcyjnego, co oznacza, że strony mają szeroką swobodę kształtowania stosunku prawnego – ale też pełną odpowiedzialność za każde pominięte postanowienie. Kluczowe obszary ryzyka to: zarządzanie danymi osobowymi pod RODO, ograniczenie odpowiedzialności dostawcy, ciągłość usługi (SLA) oraz prawo do przeniesienia danych po zakończeniu umowy. Każdy z tych obszarów może generować straty przekraczające wartość całego kontraktu.

Ten przewodnik omawia pięć bloków klauzul, bez których umowa SaaS na polskim rynku naraża odbiorcę usługi na nieodwracalne konsekwencje. Omawiamy kolejno: zakres licencji i własność danych, SLA i kary umowne, ochronę danych osobowych, ograniczenie odpowiedzialności oraz exit i przeniesienie danych.

Zakres licencji i własność danych – co tak naprawdę kupujesz?

Model SaaS nie przenosi własności oprogramowania. Odbiorca nabywa wyłącznie ograniczone prawo do korzystania z usługi – licencję niewyłączną, odwołalną i zależną od dalszego opłacania subskrypcji. To fundamentalna różnica wobec tradycyjnego zakupu licencji na oprogramowanie. Brak precyzyjnego opisu zakresu licencji oznacza, że dostawca może jednostronnie ograniczyć funkcjonalności bez naruszenia umowy.

Klauzula licencyjna powinna określać co najmniej cztery elementy: dozwolone sposoby korzystania, liczbę użytkowników lub instancji, zakaz sublicencjonowania oraz zakres terytorialny. W praktyce – wiele firm o tym zapomina – umowy SaaS zawierają ogólne sformułowanie "dostęp do platformy", które nie wyklucza ograniczenia dostępu do poszczególnych modułów po zmianie cennika.

Odrębną kwestią jest własność danych wprowadzanych do systemu. Umowa powinna expressis verbis stwierdzać, że wszystkie dane klienta pozostają jego własnością i że dostawca nie nabywa żadnych praw do tych danych – ani licencji, ani prawa do ich monetyzowania. Bez takiego zapisu dostawca może legalnie korzystać z danych w celach analitycznych lub szkolenia modeli AI.

Mikroprzedsiębiorstwo z Podkarpacia podpisało w jesieni 2024 r. umowę SaaS na system CRM. Kontrakt nie zawierał klauzuli własności danych. Po przejęciu dostawcy przez konkurencję dane klientów trafiły do systemu przejmującego – bez możliwości sprzeciwu.

Warto też sprawdzić, czy umowa zawiera zakaz używania danych klienta do trenowania algorytmów AI. W kontekście regulacji nowych technologii na rynku polskim ten aspekt nabiera szczególnego znaczenia. AI Act (Rozporządzenie UE 2024/1689) nakłada obowiązki na dostawców systemów AI wysokiego ryzyka – jeśli platforma SaaS przetwarza dane w sposób kwalifikujący ją jako taki system, odbiorca ponosi współodpowiedzialność za zgodność z regulacją.

Jakie parametry SLA chronią odbiorcę przed przestojami?

SLA (Service Level Agreement) to serce każdej umowy SaaS. Deklaracja dostępności na poziomie 99,9% brzmi imponująco – ale oznacza dopuszczalne 8,7 godziny przestoju rocznie. Dla systemu obsługującego transakcje finansowe to może być katastrofa. Kluczowe jest nie tylko zadeklarowanie poziomu dostępności, lecz precyzyjne określenie, co dzieje się, gdy dostawca go nie dotrzymuje.

Prawidłowa klauzula SLA powinna zawierać: definicję "niedostępności" (czy obejmuje degradację wydajności?), metodę pomiaru (monitoring po stronie dostawcy czy niezależny?), okno serwisowe wyłączone z pomiaru oraz mechanizm kredytów SLA. Kredyty SLA to rabaty na przyszłe subskrypcje – nie są odszkodowaniem za szkodę rzeczywistą. Bez dodatkowego postanowienia odbiorca nie może żądać naprawienia szkody ponad wartość kredytu.

Kary umowne za naruszenie SLA powinny być skonstruowane jako prawo do ich żądania przez odbiorcę – nie jako automatyczny mechanizm. Polskie prawo (art. 484 § 1 k.c.) pozwala zastrzec karę umowną niezależnie od poniesionej szkody, ale wymaga wyraźnego postanowienia umownego. Dobrą praktyką jest zastrzeżenie kary w wysokości 10–30% miesięcznej opłaty za każde 24 godziny niedostępności przekraczającej SLA.

Producent oprogramowania z Trójmiasta negocjował w wiosną 2025 r. umowę na platformę HR. Dzięki rozszerzeniu klauzuli SLA o definicję "degradacji wydajności" uzyskał prawo do kar umownych już przy dostępności poniżej 99,5% – nie dopiero przy całkowitym przestoju.

  • Zdefiniuj "niedostępność" – uwzględnij degradację wydajności, nie tylko całkowity przestój.
  • Określ metodę pomiaru niezależną od dostawcy lub weryfikowalną przez odbiorcę.
  • Zastrzeż kary umowne na podstawie art. 484 § 1 k.c. – nie tylko kredyty SLA.
  • Uwzględnij prawo do rozwiązania umowy po skumulowanej niedostępności (np. 72 godziny w miesiącu).
  • Wyłącz z okna serwisowego godziny krytyczne dla działalności klienta.

RODO w umowach SaaS – jakie obowiązki ciążą na odbiorcy?

Każda umowa SaaS, w ramach której dostawca przetwarza dane osobowe w imieniu klienta, wymaga zawarcia umowy powierzenia przetwarzania danych (UPD) zgodnie z art. 28 RODO. Brak UPD to naruszenie RODO po stronie administratora – czyli odbiorcy usługi. PUODO może nałożyć karę do 20 milionów euro lub 4% rocznego obrotu globalnego. To nie jest ryzyko teoretyczne.

UPD musi precyzować: cel i zakres przetwarzania, kategorie danych osobowych, czas przetwarzania, obowiązki podprocesora oraz mechanizm transferu danych poza EOG. Ten ostatni element jest szczególnie istotny przy platformach SaaS hostowanych na infrastrukturze chmurowej w USA lub Azji. Standardowe klauzule umowne (SCC) zatwierdzone przez Komisję Europejską są wymaganym mechanizmem transferu – ich brak uniemożliwia legalne przetwarzanie.

DORA (Rozporządzenie UE 2022/2554), obowiązujące od 17 stycznia 2025 r., nakłada na podmioty finansowe dodatkowe wymagania wobec dostawców ICT. Jeśli odbiorca usługi SaaS jest instytucją finansową nadzorowaną przez KNF, umowa musi zawierać klauzule dotyczące: prawa do audytu, planu ciągłości działania dostawcy, procedury zgłaszania incydentów oraz lokalizacji danych. Brak tych klauzul naraża instytucję na sankcje KNF.

W kontekście odpowiedzialności osobistej zarządu warto pamiętać, że naruszenia RODO mogą generować odpowiedzialność nie tylko spółki, ale i osób zarządzających – szczególnie gdy wynika ona z zaniedbania organizacyjnego. Zarząd odpowiada za wdrożenie odpowiednich środków technicznych i organizacyjnych.

Jak ograniczyć ryzyko exit i vendor lock-in?

Vendor lock-in to jedno z największych ryzyk operacyjnych w modelu SaaS. Gdy umowa nie zawiera klauzul exit, zmiana dostawcy może trwać od 3 do 12 miesięcy i generować koszty migracji wielokrotnie przekraczające wartość rocznej subskrypcji. Nieodwracalne konsekwencje lock-inu ujawniają się zwykle w najgorszym momencie – przy restrukturyzacji, przejęciu lub upadłości dostawcy.

Klauzula exit powinna regulować trzy obszary. Po pierwsze – prawo do eksportu danych w standardowym, czytelnym maszynowo formacie (np. CSV, JSON, XML) w terminie nie dłuższym niż 30 dni od zakończenia umowy. Po drugie – zobowiązanie dostawcy do utrzymania dostępu do danych przez co najmniej 90 dni po zakończeniu umowy, bez dodatkowych opłat. Po trzecie – zakaz niszczenia lub anonimizowania danych bez uprzedniej zgody klienta.

Interoperacyjność to odrębna kwestia. Umowa powinna gwarantować dostęp do API pozwalającego na integrację z alternatywnymi systemami. Dostawcy SaaS często ograniczają API w wyższych planach cenowych lub po zmianie regulaminu – bez wyraźnego postanowienia umownego klient nie ma skutecznego narzędzia prawnego do wymuszenia dostępu.

Checklist – co przygotować przed podpisaniem umowy SaaS:

  • Zweryfikuj format eksportu danych i termin jego realizacji po zakończeniu umowy.
  • Sprawdź, czy dostawca zobowiązuje się do utrzymania dostępu do danych przez 90 dni po wygaśnięciu subskrypcji.
  • Oceń zakres i dostępność API – czy umożliwia integrację z systemami alternatywnymi?
  • Przeanalizuj klauzulę zmiany warunków – ile dni wyprzedzenia wymaga dostawca?

W kontekście znaku towarowego i ochrony danych – jeśli platforma SaaS obsługuje własność intelektualną klienta (np. bazy treści, projekty graficzne), umowa powinna zawierać wyraźny zakaz używania tych zasobów przez dostawcę po zakończeniu współpracy. To szczególnie istotne dla kancelarii IP Warszawa i firm z branży kreatywnej.

Jakie klauzule ograniczenia odpowiedzialności są dopuszczalne w prawie polskim?

Klauzule ograniczenia odpowiedzialności (limitation of liability) to obszar, w którym interesy dostawcy i odbiorcy SaaS są najbardziej sprzeczne. Dostawca dąży do ograniczenia odpowiedzialności do wartości 12-miesięcznej subskrypcji lub niższej. Odbiorca – szczególnie w sektorze finansowym lub zdrowotnym – może ponieść straty wielokrotnie wyższe przy awarii systemu.

Polskie prawo cywilne dopuszcza ograniczenie odpowiedzialności za szkodę w stosunkach B2B, ale z istotnymi wyjątkami. Art. 473 § 2 k.c. stanowi, że nieważne jest postanowienie wyłączające odpowiedzialność za szkodę wyrządzoną umyślnie. Oznacza to, że całkowite wyłączenie odpowiedzialności dostawcy za działania celowe – np. umyślne usunięcie danych – jest bezskuteczne z mocy prawa.

Praktyczne podejście do negocjacji klauzuli limitation of liability obejmuje trzy kroki. Pierwszy – ustalenie katalogu wyłączeń spod ograniczenia: naruszenia RODO, naruszenia poufności, umyślne działania dostawcy. Drugi – wynegocjowanie pułapu odpowiedzialności na poziomie co najmniej 12-miesięcznej wartości kontraktu (nie 3-miesięcznej, jak proponują dostawcy). Trzeci – wyraźne wskazanie, że kary umowne z tytułu SLA nie wliczają się do tego pułapu.

Szczególną uwagę należy poświęcić wyłączeniu odpowiedzialności za utratę danych i utracone korzyści. Dostawcy SaaS standardowo wyłączają odpowiedzialność za oba typy szkód. W praktyce – przy awarii systemu ERP lub CRM – utracone korzyści mogą stanowić 80% rzeczywistej szkody klienta. Bez negocjacji tej klauzuli odbiorca pozostaje z niemal zerową ochroną prawną.

Często zadawane pytania

P: Czy umowa powierzenia przetwarzania danych jest obowiązkowa przy każdej umowie SaaS?

O: Tak – zawsze gdy dostawca SaaS przetwarza dane osobowe w imieniu klienta, umowa powierzenia przetwarzania jest wymagana przez artykuł 28 RODO. Brak takiej umowy stanowi naruszenie po stronie administratora, czyli klienta. Kara może wynieść do 20 milionów euro lub 4% rocznego obrotu. Wyjątek dotyczy sytuacji, gdy dostawca przetwarza dane wyłącznie na potrzeby własne – ale w modelu SaaS taka sytuacja jest rzadkością.

P: Ile kosztuje profesjonalny przegląd i negocjacja umowy SaaS?

O: Koszt przeglądu prawnego umowy SaaS w kancelarii specjalizującej się w prawie IT zależy od złożoności kontraktu i zakresu negocjacji. Standardowy przegląd umowy o wartości subskrypcji do 50 000 PLN rocznie to koszt od 2 000 do 5 000 PLN netto. Przy kontraktach enterprise z wartością powyżej 500 000 PLN rocznie – negocjacje mogą trwać 4–8 tygodni i kosztować od 10 000 PLN. To inwestycja, która wielokrotnie zwraca się przy pierwszym sporze z dostawcą.

P: Czy dostawca SaaS z siedzibą poza UE może legalnie przetwarzać dane polskich klientów?

O: Tak, ale wyłącznie przy spełnieniu wymogów rozdziału V RODO dotyczącego transferu danych do państw trzecich. Najczęściej stosowanym mechanizmem są standardowe klauzule umowne zatwierdzone przez Komisję Europejską. Samo zlokalizowanie serwerów w UE nie wystarczy – jeśli spółka matka dostawcy ma siedzibę poza EOG, transfer danych może nastąpić przez struktury korporacyjne. Umowa powinna precyzować, które podmioty z grupy mają dostęp do danych.

Konkretna sytuacja Państwa firmy – niezależnie od tego, czy jesteście odbiorcą usługi SaaS, czy jej dostawcą – wymaga analizy całego łańcucha ryzyk prawnych. Pominięcie jednej klauzuli może zamknąć drogę do odszkodowania lub narazić spółkę na nieodwracalne konsekwencje regulacyjne.

Jeśli Państwa spółka negocjuje lub weryfikuje umowę SaaS o wartości powyżej 50 000 PLN rocznie, lub jeśli kontrakt obejmuje przetwarzanie danych osobowych – przeprowadzimy pełny przegląd prawny, negocjacje klauzul odpowiedzialności i dostosowanie umowy powierzenia do wymogów RODO i DORA: info@kordeckipartners.com.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do umów technologicznych, ochrony danych i regulacji AI. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Autor: Jakub Górski specjalizuje się w prawie własności intelektualnej, technologiach i regulacjach AI.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.