Firma technologiczna z Mazowsza podpisała umowę SaaS z zagranicznym dostawcą. Po sześciu miesiącach okazało się, że dostawca jednostronnie zmienił warunki cenowe, a klauzula SLA nie przewidywała żadnych sankcji za przestoje. Klient stracił dostęp do danych przez 72 godziny w szczycie sezonu sprzedażowego. Roszczenie odszkodowawcze? Zablokowane przez klauzulę ograniczenia odpowiedzialności skrojoną wyłącznie na korzyść dostawcy.
Umowy SaaS na polskim rynku podlegają przepisom Kodeksu cywilnego, ustawy o świadczeniu usług drogą elektroniczną oraz regulacjom unijnym – RODO (Rozporządzenie UE 2016/679), AI Act (Rozporządzenie UE 2024/1689) i DORA (Rozporządzenie UE 2022/2554). Brak odpowiednich klauzul w umowie może oznaczać odpowiedzialność odszkodowawczą, utratę danych lub zablokowanie działalności operacyjnej – bez możliwości skutecznego dochodzenia roszczeń.
Przewodnik omawia pięć obszarów, które wymagają szczególnej uwagi przy negocjowaniu i zawieraniu umów SaaS: zakres licencji i prawa do danych, poziom usług (SLA), odpowiedzialność stron, ochronę danych osobowych oraz kwestie regulacyjne wynikające z DORA i AI Act. Każdy z tych obszarów zawiera konkretne mechanizmy ochronne – gotowe do wdrożenia w Państwa umowie.
Jak prawidłowo uregulować zakres licencji i prawa do danych w umowie SaaS?
Umowa SaaS nie przenosi własności oprogramowania – przyznaje jedynie licencję na korzystanie z niego. Zakres tej licencji, prawa do danych generowanych przez użytkownika oraz zasady przenoszenia danych po zakończeniu umowy to trzy elementy, które decydują o faktycznej pozycji klienta. Brak precyzyjnych zapisów w tym zakresie oznacza, że to dostawca zachowuje pełną kontrolę nad danymi i kodem.
Licencja powinna określać: pola eksploatacji (dostęp przez przeglądarkę, API, aplikacje mobilne), liczbę użytkowników lub jednostek organizacyjnych, zakaz sublicencjonowania oraz prawo do korzystania z danych analitycznych generowanych przez system. Szczególnie istotna jest klauzula dotycząca własności danych wejściowych (input data) – dane wprowadzone przez klienta powinny pozostawać jego własnością przez cały czas trwania umowy i po jej wygaśnięciu.
W praktyce – wiele firm o tym zapomina – umowy SaaS zawierają klauzule przyznające dostawcy szerokie prawo do wykorzystywania danych klienta w celach analitycznych, szkolenia modeli AI lub doskonalenia produktu. W kontekście AI Act taki zapis może oznaczać, że dane klienta trafiają do systemu wysokiego ryzyka bez jego wiedzy. Warto żądać jednoznacznego ograniczenia tych uprawnień.
Klauzula przenoszenia danych (data portability) powinna gwarantować eksport danych w standardowym formacie (np. CSV, JSON, XML) w terminie nie dłuższym niż 30 dni od rozwiązania umowy. Po tym terminie dostawca powinien mieć obowiązek usunięcia danych i potwierdzenia tego na piśmie. Brak takiego zapisu to ryzyko trwałej utraty dostępu do własnych danych operacyjnych.
Dla spółek z sektora finansowego obowiązują dodatkowe wymogi. DORA nakłada obowiązek uwzględnienia w umowach z zewnętrznymi dostawcami ICT klauzul dotyczących audytu, ciągłości działania i lokalizacji danych. Umowa SaaS zawarta przez bank lub firmę inwestycyjną musi spełniać wymogi art. 30 DORA – brak tych zapisów stanowi naruszenie regulacyjne, za które KNF może nałożyć sankcje.
Co powinna zawierać klauzula SLA i jak egzekwować jej postanowienia?
Klauzula SLA (Service Level Agreement) to umowna gwarancja dostępności systemu, czasu reakcji na incydenty i poziomu wsparcia technicznego. Rynkowy standard dla systemów biznesowych to dostępność na poziomie 99,5% miesięcznie – co odpowiada maksymalnie 3,6 godziny przestoju. Dla systemów krytycznych standard wynosi 99,9% (około 43 minuty przestoju miesięcznie). Bez jasno zdefiniowanego SLA klient nie ma podstawy do dochodzenia jakichkolwiek roszczeń za niedostępność usługi.
Dobrze skonstruowana klauzula SLA powinna definiować: metodę pomiaru dostępności (monitoring zewnętrzny czy wewnętrzny?), okna serwisowe wyłączone z obliczeń, kategorie incydentów z przypisanymi czasami reakcji (np. incydent krytyczny – odpowiedź w ciągu 1 godziny, rozwiązanie w ciągu 4 godzin) oraz mechanizm kredytów usługowych (service credits) za naruszenia. Kredyty usługowe powinny być automatyczne – nie wymagające złożenia odrębnego wniosku.
Mechanizm kredytów usługowych to jednak pułapka. Standardowe umowy SaaS ograniczają kredyty do 10–15% miesięcznej opłaty. Jeśli przestój kosztował klienta 200 000 PLN strat operacyjnych, a miesięczna opłata wynosi 5 000 PLN, kredyt pokryje co najwyżej 750 PLN. Dlatego klauzula SLA powinna być powiązana z klauzulą odpowiedzialności – lub przewidywać prawo do rozwiązania umowy ze skutkiem natychmiastowym po przekroczeniu określonego limitu przestojów.
Trzy scenariusze biznesowe pokazują różnicę w podejściu. Firma produkcyjna z Wielkopolski (wiosna 2025) wynegocjowała SLA z prawem do rozwiązania umowy po trzech naruszeniach w ciągu roku – i skorzystała z tego prawa, gdy dostawca nie dotrzymał terminów. Startup IT z Wrocławia zaakceptował standardowy SLA bez modyfikacji – i przez rok nie mógł dochodzić odszkodowania za powtarzające się przestoje. Inwestor zagraniczny wchodzący na rynek polski skonfigurował SLA z osobnym poziomem dla środowisk produkcyjnych i testowych – co pozwoliło na elastyczne zarządzanie kosztami wsparcia.
Przed podpisaniem umowy sprawdź, czy dostawca publikuje historyczne dane o dostępności (status page). Jeśli odmawia – to sygnał ostrzegawczy. Regulacja wyprzedza rynek, ale rynek weryfikuje dostawców skuteczniej niż jakikolwiek audyt.
Jak ograniczyć ryzyko związane z klauzulami odpowiedzialności i zmianą warunków?
Klauzule ograniczenia odpowiedzialności (limitation of liability) to najczęściej negocjowany element umów SaaS. Standardowy zapis ogranicza łączną odpowiedzialność dostawcy do kwoty opłat uiszczonych przez klienta w ciągu ostatnich 12 miesięcy. Dla klienta płacącego 3 000 PLN miesięcznie oznacza to pułap 36 000 PLN – niezależnie od rzeczywistej szkody. Takie ograniczenie jest dopuszczalne na gruncie Kodeksu cywilnego między podmiotami profesjonalnymi, ale wymaga świadomej akceptacji.
Negocjując klauzulę odpowiedzialności, warto dążyć do wyłączenia spod limitu: naruszeń poufności i ochrony danych osobowych, naruszenia własności intelektualnej, szkód wyrządzonych umyślnie lub wskutek rażącego niedbalstwa oraz roszczeń z tytułu naruszenia przepisów RODO. Naruszenia RODO mogą generować kary administracyjne do 20 mln EUR lub 4% globalnego obrotu – przeniesienie tego ryzyka na dostawcę wymaga wyraźnego zapisu w umowie.
Klauzula jednostronnej zmiany warunków (unilateral amendment) to drugi obszar ryzyka. Dostawcy SaaS często zastrzegają prawo do zmiany regulaminu z 30-dniowym wyprzedzeniem. W praktyce oznacza to możliwość podwyżki cen, zmiany zakresu usług lub modyfikacji zasad przetwarzania danych bez faktycznej zgody klienta. Umowa B2B powinna przewidywać: zakaz zmiany cen w trakcie okresu abonamentowego, prawo do rozwiązania umowy bez opłat w razie niekorzystnych zmian warunków oraz obowiązek uzyskania wyraźnej zgody na zmiany dotyczące przetwarzania danych.
Dla podmiotów objętych DORA – banków, firm ubezpieczeniowych, platform inwestycyjnych – klauzule odpowiedzialności muszą uwzględniać wymogi dotyczące zarządzania ryzykiem ICT. Dostawca świadczący usługi na rzecz podmiotu finansowego jest traktowany jako dostawca zewnętrzny ICT w rozumieniu DORA. Umowa powinna zawierać prawo do audytu, prawo do dostępu do danych w przypadku upadłości dostawcy oraz plan ciągłości działania. Brak tych klauzul to naruszenie regulacyjne – nie tylko ryzyko kontraktowe.
Powiązane zagadnienie to odpowiedzialność zarządu spółki za zawarcie niekorzystnej umowy SaaS. Jeśli brak odpowiednich klauzul doprowadził do szkody w spółce, członkowie zarządu mogą ponosić odpowiedzialność na podstawie art. 293 § 1 k.s.h. Więcej o odpowiedzialności osobistej w kontekście zobowiązań spółki – w analizie dotyczącej odpowiedzialności za zaległości podatkowe i art. 116 Ordynacji podatkowej.
Jakie obowiązki wynikają z RODO i AI Act dla stron umowy SaaS?
RODO (Rozporządzenie UE 2016/679) nakłada na strony umowy SaaS konkretne obowiązki formalne. Jeśli dostawca SaaS przetwarza dane osobowe w imieniu klienta, konieczne jest zawarcie umowy powierzenia przetwarzania danych (DPA – Data Processing Agreement). Brak DPA to naruszenie art. 28 RODO, za które PUODO może nałożyć karę administracyjną. Umowa powierzenia musi określać: cel i zakres przetwarzania, czas trwania, obowiązki dostawcy w zakresie bezpieczeństwa oraz zasady korzystania z podprzetwarzających.
Klauzule dotyczące podprzetwarzających (sub-processors) to szczególnie istotny element. Dostawcy SaaS korzystają zazwyczaj z infrastruktury chmurowej (AWS, Azure, Google Cloud) zlokalizowanej częściowo poza EOG. Każde przekazanie danych do państwa trzeciego wymaga odpowiedniego mechanizmu – standardowych klauzul umownych (SCC) lub decyzji o adekwatności Komisji Europejskiej. Klient powinien żądać listy aktualnych podprzetwarzających i prawa sprzeciwu wobec nowych.
AI Act (Rozporządzenie UE 2024/1689) wszedł w życie 1 sierpnia 2024 roku i wprowadza nowe wymogi dla systemów SaaS zawierających komponenty AI. Systemy wysokiego ryzyka (np. narzędzia do rekrutacji, oceny zdolności kredytowej, biometria) wymagają oceny zgodności przed wprowadzeniem na rynek. Dostawca SaaS oferujący takie funkcje musi dostarczyć dokumentację techniczną potwierdzającą zgodność z AI Act – a klient powinien żądać tej dokumentacji jako załącznika do umowy.
W praktyce wiele umów SaaS zawiera ogólnikowy zapis: „dostawca zapewnia zgodność z obowiązującymi przepisami prawa". Taki zapis jest bezużyteczny. Umowa powinna wprost wymieniać: RODO z obowiązkiem zawarcia DPA, AI Act z wymogiem dostarczenia dokumentacji dla systemów wysokiego ryzyka, oraz – dla podmiotów finansowych – DORA z prawem do audytu i wymogami dotyczącymi lokalizacji danych. W sprawach dotyczących ochrony znaku towarowego i praw własności intelektualnej w kontekście platform SaaS – zob. naruszenie znaku towarowego i środki prawne w Polsce.
Checklist minimalnych wymogów RODO/AI Act w umowie SaaS:
- Umowa powierzenia przetwarzania danych (DPA) jako załącznik do umowy głównej
- Lista aktualnych podprzetwarzających z prawem sprzeciwu wobec zmian
- Mechanizm transferu danych do państw trzecich (SCC lub decyzja o adekwatności)
- Dokumentacja techniczna AI Act dla systemów wysokiego ryzyka
- Procedura obsługi żądań podmiotów danych w terminie 30 dni
Na co zwrócić uwagę przy rozwiązywaniu umowy SaaS i przejściu do innego dostawcy?
Rozwiązanie umowy SaaS to moment, w którym ujawniają się wszystkie braki wcześniejszych negocjacji. Okres wypowiedzenia, zasady eksportu danych, opłaty za wcześniejsze rozwiązanie umowy i zobowiązania poufności po wygaśnięciu umowy – to cztery obszary generujące spory. Standardowe umowy SaaS przewidują wypowiedzenie z 90-dniowym wyprzedzeniem na koniec okresu rozliczeniowego. Dla dużych wdrożeń negocjuje się krótsze okresy lub prawo do rozwiązania natychmiastowego w razie naruszenia SLA.
Opłaty za wcześniejsze rozwiązanie umowy (early termination fees) mogą wynosić równowartość pozostałego okresu abonamentowego. Spółka z sektora e-commerce z Trójmiasta (jesień 2024) zapłaciła 180 000 PLN tytułem opłaty za wcześniejsze rozwiązanie umowy SaaS – bo klauzula była standardowa, a negocjacje skupiły się wyłącznie na cenie. Uważamy, że bezpieczniejszym rozwiązaniem jest negocjowanie prawa do rozwiązania umowy bez opłat w razie naruszenia SLA, zmiany warunków przez dostawcę lub jego przejęcia przez podmiot trzeci (change of control).
Klauzula change of control to szczególnie istotna ochrona. Jeśli dostawca SaaS zostanie przejęty przez konkurenta klienta lub podmiot z innej jurysdykcji, klient powinien mieć prawo do rozwiązania umowy bez konsekwencji finansowych. Brak takiej klauzuli oznacza, że dane klienta mogą trafić do podmiotu, z którym nie chciałby współpracować – bez żadnej możliwości prawnej reakcji w krótkim terminie.
Po rozwiązaniu umowy dostawca powinien: udostępnić eksport wszystkich danych w ciągu 30 dni, potwierdzić pisemnie usunięcie danych po eksporcie, zwolnić klienta z wszelkich zobowiązań licencyjnych oraz zachować poufność informacji handlowych przez okres wskazany w umowie (standardowo 3–5 lat). Klauzule poufności po wygaśnięciu umowy muszą być obustronne – dostawca nie może ujawniać danych klienta, ale klient nie może ujawniać know-how dostawcy.
Często zadawane pytania
P: Czy umowa SaaS zawarta z zagranicznym dostawcą podlega polskiemu prawu?
O: Strony umowy B2B mogą swobodnie wybrać prawo właściwe na podstawie Rozporządzenia Rzym I. Jednak nawet przy wyborze prawa obcego, przepisy RODO, AI Act i DORA stosują się bezpośrednio jako prawo unijne – niezależnie od klauzuli wyboru prawa. Umowa powinna wprost wskazywać sąd właściwy do rozstrzygania sporów lub klauzulę arbitrażową. Brak takiego zapisu może oznaczać konieczność prowadzenia postępowania w jurysdykcji dostawcy.
P: Ile kosztuje prawna analiza umowy SaaS przed podpisaniem?
O: Analiza standardowej umowy SaaS (do 30 stron) z rekomendacjami negocjacyjnymi zajmuje zazwyczaj 4–8 godzin pracy prawnika. Koszt zależy od złożoności umowy i zakresu regulacyjnego (czy dotyczy podmiotów objętych DORA, czy konieczna jest ocena zgodności z AI Act). Koszt analizy prawnej jest wielokrotnie niższy niż potencjalne straty wynikające z niedostępności systemu lub naruszenia danych osobowych – kary PUODO sięgają 20 milionów EUR.
P: Czy dostawca SaaS może jednostronnie zmienić cennik w trakcie trwania umowy?
O: To zależy od treści umowy. Wiele standardowych regulaminów SaaS przewiduje prawo dostawcy do zmiany cen z 30-dniowym wyprzedzeniem – co jest dopuszczalne w relacjach B2B, choć niekorzystne dla klienta. Bezpiecznym rozwiązaniem jest wynegocjowanie zakazu zmiany cen w trakcie okresu abonamentowego (zazwyczaj 12 lub 24 miesiące) oraz prawa do rozwiązania umowy bez opłat w razie podwyżki przekraczającej określony próg procentowy. Artykuł 384 Kodeksu cywilnego reguluje wzorce umowne, ale jego ochrona jest ograniczona w relacjach między przedsiębiorcami.
Konkretna sytuacja Państwa firmy – czy to negocjowanie nowej umowy SaaS, weryfikacja istniejących klauzul, czy wdrożenie wymogów DORA lub AI Act – wymaga analizy dostosowanej do specyfiki branży i skali ryzyka. Brak odpowiednich klauzul w umowie SaaS to nieodwracalna strata pozycji negocjacyjnej w przypadku sporu z dostawcą.
Jeśli Państwa spółka stoi przed podpisaniem umowy SaaS lub weryfikacją istniejących kontraktów pod kątem RODO, AI Act lub DORA – przeprowadzimy pełną analizę prawną z rekomendacjami negocjacyjnymi: info@kordeckipartners.com.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do prawa technologicznego, ochrony danych i regulacji cyfrowych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
O autorze
Jakub Górski specjalizuje się w prawie własności intelektualnej, technologiach i regulacjach AI.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.