Ochrona oprogramowania – prawa autorskie w polskim

Firma z Mazowsza wdraża autorski system ERP przez trzy lata. Produkt trafia na rynek – a kilka miesięcy później pojawia się konkurencja z niemal identycznym interfejsem i logiką biznesową. Czy polskie prawo daje narzędzia do obrony? Tak. Jednak wiele firm dowiaduje się o nich dopiero wtedy, gdy szkoda jest już wyrządzona.

Oprogramowanie jest chronione w Polsce na podstawie ustawy o prawie autorskim i prawach pokrewnych jako utwór literacki – ochrona powstaje automatycznie, bez rejestracji, z chwilą ustalenia kodu. Zakres tej ochrony obejmuje kod źródłowy, kod wynikowy i dokumentację, ale nie obejmuje idei, algorytmów ani interfejsów użytkownika jako takich. Naruszenie może skutkować roszczeniami o zaniechanie, odszkodowaniem i wydaniem bezpodstawnie uzyskanych korzyści.

Ten przewodnik omawia kolejno: podstawy prawne ochrony, najważniejsze instrumenty egzekwowania praw, pułapki kontraktowe i compliance, aspekty transgraniczne oraz listę kontrolną dla właścicieli praw. Każda sekcja zawiera co najmniej jeden konkretny termin lub próg liczbowy, który ma znaczenie w praktyce.

Na czym polega ochrona oprogramowania w polskim prawie?

Polska ustawa o prawie autorskim i prawach pokrewnych z 4 lutego 1994 r. implementuje dyrektywę 2009/24/WE w sprawie ochrony prawnej programów komputerowych. Ochrona przysługuje twórcy z chwilą ustalenia utworu – nawet jeśli jest on niedokończony. Nie trzeba zgłaszać kodu do żadnego rejestru, nie trzeba oznaczać go symbolem ©. Ochrona trwa przez całe życie twórcy i 70 lat po jego śmierci.

Co konkretnie podlega ochronie? Kod źródłowy, kod wynikowy, przygotowawczy materiał projektowy oraz dokumentacja techniczna. Interfejs graficzny może być chroniony odrębnie – jako utwór plastyczny lub audiowizualny – ale nie jako program komputerowy. Algorytmy, metody matematyczne i koncepcje biznesowe leżą poza zakresem ochrony autorskoprawnej. Tu pojawia się pierwsza pułapka: wiele firm myli ochronę implementacji z ochroną pomysłu.

Instytucją kluczową dla egzekwowania praw jest sąd powszechny – w sprawach z zakresu własności intelektualnej właściwe są wyspecjalizowane wydziały (Sąd Okręgowy w Warszawie, Gdańsku, Poznaniu, Lublinie, Katowicach i Wrocławiu). Urząd Patentowy RP nie rejestruje programów komputerowych, jednak może chronić wynalazki wspomagane komputerowo, jeśli spełniają przesłanki zdolności patentowej. Warto też pamiętać o UPRP jako instytucji właściwej dla znaków towarowych – logo produktu i nazwa oprogramowania mogą być chronione równolegle jako znak towarowy.

W praktyce – wiele firm o tym zapomina – ochrona autorskoprawna nie zastępuje zabezpieczenia kontraktowego. Domyślne reguły ustawy są często niekorzystne dla zamawiającego oprogramowanie. Umowa musi precyzować, kto nabywa autorskie prawa majątkowe i na jakich polach eksploatacji.

Jakie instrumenty prawne chronią Twoje oprogramowanie?

Polski system prawa własności intelektualnej oferuje kilka warstw ochrony, które mogą działać równocześnie. Prawo autorskie chroni konkretną ekspresję kodu. Tajemnica przedsiębiorstwa – na podstawie ustawy o zwalczaniu nieuczciwej konkurencji – chroni know-how, algorytmy i architekturę systemu, pod warunkiem że firma podjęła działania zachowania ich w poufności. Ochrona tajemnicy nie ma ograniczenia czasowego, w odróżnieniu od praw autorskich.

Umowy licencyjne to trzecia warstwa. Licencja wyłączna, zawarta na piśmie, daje licencjobiorcy prawo do dochodzenia roszczeń samodzielnie. Licencja niewyłączna tego prawa nie daje – naruszenie może ścigać wyłącznie licencjodawca. To rozróżnienie ma ogromne znaczenie w modelu SaaS, gdzie oprogramowanie jest udostępniane tysiącom użytkowników.

Czwarta warstwa to regulacje sektorowe. DORA (Rozporządzenie UE 2022/2554), które weszło w życie 17 stycznia 2025 r., nakłada na podmioty finansowe obowiązek zarządzania ryzykiem ICT, w tym weryfikacji łańcucha dostaw oprogramowania. Dostawcy software'u obsługujący banki, firmy ubezpieczeniowe i domy maklerskie muszą spełniać wymogi bezpieczeństwa i audytowalności. Niedostosowanie zamyka drogę do kontraktów z sektorem finansowym. Więcej o wymogach DORA i terminach wdrożenia przeczytasz w naszej analizie: DORA – kto musi wdrożyć i do kiedy.

AI Act (Rozporządzenie UE 2024/1689) wszedł w życie 1 sierpnia 2024 r. Jeśli Twoje oprogramowanie zawiera komponenty sztucznej inteligencji zaliczone do kategorii wysokiego ryzyka – np. systemy oceny zdolności kredytowej lub narzędzia rekrutacyjne – wymagana jest ocena zgodności przed wprowadzeniem na rynek. Brak takiej oceny to nie tylko ryzyko administracyjne, ale też argument w sporze z kontrahentem o wadliwość produktu.

Warto też uwzględnić RODO (Rozporządzenie UE 2016/679). Oprogramowanie przetwarzające dane osobowe musi być zaprojektowane zgodnie z zasadą privacy by design. PUODO może nałożyć karę do 20 mln EUR lub 4% globalnego obrotu. Dla twórców oprogramowania to ryzyko bezpośrednie – wadliwa architektura danych w produkcie może skutkować roszczeniami od klientów-administratorów danych.

Konkretny przykład: firma IT z Trójmiasta, wiosna 2024 r. – dostawca platformy HR nie zawarł w umowie klauzuli o przekazaniu praw autorskich. Po zakończeniu współpracy zamawiający nie mógł modyfikować systemu bez zgody byłego wykonawcy. Spór trwał osiem miesięcy. Uniknięcie go kosztowałoby jedno zdanie w umowie.

Kluczowe instrumenty ochrony – zestawienie:

Prawa autorskie majątkowe – automatyczne, 70 lat po śmierci twórcy
Tajemnica przedsiębiorstwa – bezterminowa, wymaga aktywnych środków ochrony
Licencja wyłączna – daje samodzielną legitymację do dochodzenia roszczeń
Znak towarowy UPRP – chroni nazwę i logo produktu, ważność 10 lat z możliwością przedłużenia
Umowne NDA i klauzule non-compete – uzupełniają ochronę wobec pracowników i podwykonawców

Konkretna sytuacja Państwa firmy może wymagać zastosowania kilku warstw jednocześnie. Brak jednej z nich nieodwracalnie osłabia pozycję w sporze – odtworzenie dowodów po naruszeniu jest wielokrotnie trudniejsze niż ich zabezpieczenie z wyprzedzeniem.

Jeśli Państwa spółka tworzy lub wdraża oprogramowanie i nie ma pewności, czy prawa majątkowe zostały prawidłowo przeniesione na zamawiającego – przeprowadzimy audyt umów i praw, ocenimy luki w ochronie i zaproponujemy konkretne działania naprawcze: info@kordeckipartners.com.

Jakie pułapki kontraktowe i compliance czyhają na twórców oprogramowania?

Umowa o stworzenie oprogramowania to jeden z najbardziej skomplikowanych kontraktów w obrocie gospodarczym. Ustawa domyślnie przyznaje autorskie prawa majątkowe twórcy – czyli programiście lub firmie programistycznej, nie zamawiającemu. Przeniesienie praw wymaga wyraźnego postanowienia umownego, wskazującego pola eksploatacji, za które płaci zamawiający. Ogólne sformułowanie „przekazuję wszelkie prawa" jest w polskim prawie nieskuteczne.

Pola eksploatacji muszą być wymienione wprost. Ustawa wskazuje m.in.: zwielokrotnianie, obrót oryginałem lub egzemplarzami, najem, użyczenie, nadanie, reemisję, publiczne udostępnianie w sieci. Pominięcie choćby jednego pola – np. prawa do tworzenia dzieł zależnych – może uniemożliwić zamawiającemu rozbudowę systemu bez zgody twórcy. W praktyce spory o to dotyczą kwot od kilkudziesięciu do kilkuset tysięcy złotych rocznie za zastrzeżone licencje.

Kolejna pułapka to prawa pracownicze. Jeśli oprogramowanie tworzy pracownik w ramach stosunku pracy, pracodawca nabywa prawa autorskie majątkowe z chwilą przyjęcia utworu – ale tylko w granicach wynikających z umowy o pracę i celu zatrudnienia. Jeśli programista napisał moduł wykraczający poza zakres jego obowiązków, prawa do tego modułu pozostają przy nim. Warto to uregulować wprost w umowie o pracę lub regulaminie wynagradzania.

Compliance w zakresie ochrony danych to osobny obszar ryzyka. RODO wymaga, aby oprogramowanie przetwarzające dane osobowe spełniało wymogi privacy by design i privacy by default. Brak oceny skutków dla ochrony danych (DPIA) przed wdrożeniem systemu wysokiego ryzyka może skutkować postępowaniem przed PUODO. Termin na przeprowadzenie DPIA to moment przed rozpoczęciem przetwarzania – nie po incydencie.

Dla firm wdrażających AI Act wchodzi kolejna warstwa obowiązków. Systemy wysokiego ryzyka muszą posiadać dokumentację techniczną, rejestr zdarzeń i mechanizm nadzoru ludzkiego. Faza stosowania tych przepisów dla większości systemów wysokiego ryzyka zaczyna się w sierpniu 2026 r. Firmy, które nie rozpoczęły przygotowań, mają mniej niż 18 miesięcy.

Mikroprzedsiębiorcy i startupy często korzystają z open-source. Tu pojawia się ryzyko licencyjne: kod na licencji GPL wymaga, by oprogramowanie pochodne było udostępniane na tych samych warunkach. Włączenie komponentu GPL do komercyjnego produktu zamkniętego może „zainfekować" całą bazę kodu i narazić firmę na roszczenia. Audyt zależności open-source przed przejęciem firmy lub przed IPO to dziś standard due diligence.

Jak wygląda ochrona oprogramowania w kontekście transgranicznym?

Dla zagranicznego inwestora wchodzącego na rynek polski – np. z Niemiec lub Ukrainy – ochrona oprogramowania w Polsce opiera się na prawie krajowym, ale jest mocno zharmonizowana z prawem unijnym. Dyrektywa 2009/24/WE obowiązuje w całej UE, co oznacza, że poziom ochrony jest porównywalny w Berlinie i Warszawie. Różnice tkwią w szczegółach egzekwowania.

Spory transgraniczne o naruszenie praw autorskich do oprogramowania toczą się przed sądami krajowymi. Na podstawie Rozporządzenia Bruksela I bis (1215/2012) orzeczenie polskiego sądu jest automatycznie uznawane i wykonywane w innych państwach UE – bez postępowania exequatur. To istotna przewaga nad sporami z podmiotami spoza UE, gdzie egzekwowanie wyroku może trwać latami.

Firmy z Ukrainy i krajów WNP działające na rynku polskim powinny pamiętać, że Polska jest stroną Konwencji berneńskiej i Porozumienia TRIPS. Ochrona autorskoprawna przysługuje twórcom z tych krajów na zasadzie wzajemności. Jednak przeniesienie praw na polską spółkę musi być dokonane na piśmie – umowa zawarta za granicą musi spełniać wymogi formy obowiązujące w miejscu jej zawarcia lub w Polsce, w zależności od wyboru prawa.

Kwestia ochrony danych w kontekście transgranicznym to osobny obszar. Przekazywanie kodu źródłowego zawierającego dane osobowe (np. logi testowe) do państwa trzeciego wymaga podstawy prawnej zgodnej z RODO – standardowych klauzul umownych (SCC) lub decyzji o adekwatności. Naruszenie tego obowiązku może skutkować karą nałożoną przez PUODO.

Przykład: spółka IT z Krakowa, jesień 2023 r. – przekazała podwykonawcy na Białorusi dostęp do repozytorium kodu zawierającego logi z danymi użytkowników. Brak SCC i brak DPIA. Ryzyko kary administracyjnej i roszczeń od klientów. Sytuacja wymagała natychmiastowego audytu i wdrożenia środków naprawczych w terminie 72 godzin.

Dla podmiotów działających w sektorze finansowym – banków, firm płatniczych, dostawców oprogramowania dla instytucji kredytowych – DORA nakłada obowiązek weryfikacji dostawców ICT z państw trzecich. Umowy z takimi dostawcami muszą zawierać klauzule audytowe i prawo do wypowiedzenia w razie naruszenia wymogów bezpieczeństwa. KNF jest organem nadzorczym właściwym do egzekwowania tych obowiązków w Polsce.

Jeśli Państwa spółka prowadzi projekty software'owe z udziałem podmiotów zagranicznych lub przekazuje kod do repozytoriów poza UE – przeprowadzimy analizę ryzyka transgranicznego, ocenimy zgodność umów z RODO i DORA oraz zaproponujemy strukturę kontraktową minimalizującą ekspozycję: info@kordeckipartners.com.

Lista kontrolna: co przygotować, by chronić oprogramowanie skutecznie?

Ochrona oprogramowania to nie jednorazowe działanie, lecz ciągły proces. Poniższa lista kontrolna obejmuje pięć obszarów, które powinien zweryfikować każdy właściciel praw do kodu – niezależnie od tego, czy jest twórcą, zamawiającym, czy inwestorem przejmującym spółkę technologiczną.

Dokumentacja praw: czy umowy z programistami i podwykonawcami zawierają wyraźne postanowienie o przeniesieniu autorskich praw majątkowych ze wskazaniem pól eksploatacji? Ogólne sformułowania nie wystarczą.
Audyt open-source: czy w bazie kodu nie ma komponentów na licencjach GPL, LGPL lub AGPL, które mogłyby objąć całość produktu? Audyt powinien być przeprowadzany przed każdą transakcją M&A i przed każdym nowym wdrożeniem.
Ochrona tajemnicy przedsiębiorstwa: czy firma wdrożyła procedury poufności – NDA z pracownikami, ograniczony dostęp do repozytoriów, politykę haseł i szyfrowania? Bez tych działań tajemnica przedsiębiorstwa nie jest chroniona.
Zgodność z RODO i AI Act: czy oprogramowanie przetwarzające dane osobowe przeszło DPIA? Czy systemy AI wysokiego ryzyka mają dokumentację techniczną zgodną z wymogami do sierpnia 2026 r.?
Znak towarowy i domena: czy nazwa produktu i logo są zarejestrowane w UPRP lub EUIPO? Rejestracja w EUIPO daje ochronę we wszystkich 27 państwach UE za jedną opłatę, ważność 10 lat.

Brak któregokolwiek z tych elementów nie jest błędem administracyjnym – to luka, którą może wykorzystać konkurent lub naruszyciel. Odtworzenie dowodów po fakcie jest zawsze droższe i mniej skuteczne niż prewencja.

Konkretna sytuacja Państwa firmy – szczególnie jeśli planujecie transakcję M&A, wejście na nowy rynek lub wdrożenie systemu AI – wymaga indywidualnej oceny. Każda luka w ochronie praw może nieodwracalnie wpłynąć na wycenę spółki lub zamknąć drogę do kluczowego kontraktu.

Jeśli Państwa spółka tworzy, sprzedaje lub wdraża oprogramowanie i chcecie mieć pewność, że ochrona prawna jest kompletna – przeprowadzimy audyt IP, zweryfikujemy umowy z wykonawcami i dostarczymy gotowe klauzule kontraktowe: info@kordeckipartners.com.

Często zadawane pytania

P: Czy muszę rejestrować oprogramowanie, żeby było chronione prawem autorskim?

O: Nie – ochrona autorskoprawna powstaje automatycznie z chwilą ustalenia kodu, bez żadnej rejestracji. Warto jednak zadbać o dowody daty powstania utworu: oznaczenie wersji w repozytorium, notarialne poświadczenie daty, depozyt u notariusza. W sporze sądowym ciężar dowodu co do autorstwa i daty ustalenia spoczywa na osobie dochodzą ochrony. Brak dokumentacji może wydłużyć postępowanie o wiele miesięcy i podnieść jego koszty.

P: Ile kosztuje i jak długo trwa sprawa o naruszenie praw autorskich do oprogramowania?

O: Opłata sądowa w sprawach majątkowych wynosi 5% wartości przedmiotu sporu. Postępowanie przed sądem okręgowym trwa przeciętnie od 12 do 36 miesięcy w pierwszej instancji. Alternatywą jest arbitraż lub mediacja – te procedury mogą skrócić czas rozstrzygnięcia do 3–6 miesięcy. Warto rozważyć wniosek o zabezpieczenie roszczenia na podstawie artykułu 730 Kodeksu postępowania cywilnego – sąd może zakazać naruszycielowi dalszego korzystania z kodu jeszcze przed wydaniem wyroku w sprawie głównej.

P: Czy pracownik może zachować prawa autorskie do kodu napisanego w ramach stosunku pracy?

O: To częste nieporozumienie. Jeśli pracownik stworzył oprogramowanie w ramach swoich obowiązków pracowniczych, pracodawca nabywa autorskie prawa majątkowe z chwilą przyjęcia utworu – na polach eksploatacji określonych w umowie o pracę lub wynikających z jej celu. Jednak kod napisany poza zakresem obowiązków, w czasie wolnym, na własnym sprzęcie, należy do pracownika. Granica bywa płynna. Zalecamy precyzyjne określenie zakresu obowiązków w umowie o pracę oraz odrębną klauzulę o przenoszeniu praw do wszelkich utworów tworzonych w związku z wykonywaną pracą.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony własności intelektualnej i technologii. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. Obsługujemy projekty z zakresu ochrony oprogramowania, licencjonowania, AI Act, DORA i RODO – zarówno na etapie projektowania produktu, jak i w sporach sądowych. Dla klientów z sektora nieruchomości oferujemy również wsparcie w zakresie oprogramowania zarządzającego portfelem nieruchomości – więcej o naszej praktyce nieruchomościowej: Prawo nieruchomości w Polsce. W sprawie Państwa sytuacji: info@kordeckipartners.com.