Ochrona oprogramowania – prawa autorskie w polskim

Firma technologiczna z Krakowa wdraża autorski system do zarządzania łańcuchem dostaw. Kod źródłowy powstał w ciągu 18 miesięcy. Inwestycja przekroczyła 2 miliony złotych. Po roku okazuje się, że kluczowy deweloper – zatrudniony na umowie B2B – sprzedał podobne rozwiązanie konkurencji. Umowa nie zawierała klauzuli przeniesienia praw autorskich majątkowych. Prawa do kodu pozostały przy programiście.

Ochrona oprogramowania w polskim prawie opiera się przede wszystkim na ustawie z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych. Oprogramowanie jest traktowane jak utwór literacki – ochrona powstaje automatycznie w chwili stworzenia, bez rejestracji. Jednak automatyzm ochrony nie zastępuje świadomego zarządzania prawami: bez właściwych umów firma może utracić prawa do własnego produktu.

Ten przewodnik omawia podstawy ochrony prawnoautorskiej kodu, pułapki przy umowach z deweloperami, wymogi regulacyjne (AI Act, DORA, RODO), aspekty transgraniczne oraz praktyczną listę kontrolną dla działów prawnych i technicznych.

Jak polskie prawo autorskie chroni oprogramowanie?

Oprogramowanie komputerowe podlega ochronie na gruncie ustawy o prawie autorskim i prawach pokrewnych jako utwór. Ochrona obejmuje kod źródłowy, kod wynikowy i – w ograniczonym zakresie – interfejs użytkownika. Nie obejmuje natomiast algorytmów, koncepcji ani języków programowania jako takich. To rozróżnienie ma fundamentalne znaczenie praktyczne.

Ochrona powstaje w momencie ustalenia utworu, czyli utrwalenia kodu w jakiejkolwiek postaci. Nie jest wymagana rejestracja ani oznaczenie symbolem ©. Minimalny próg twórczości jest niski – wystarczy, że kod stanowi przejaw indywidualnej twórczości autora. W praktyce oznacza to, że nawet krótkie moduły mogą korzystać z ochrony.

Ustawa wyróżnia prawa majątkowe i osobiste. Prawa osobiste – prawo do autorstwa, integralności utworu – są niezbywalne i nie wygasają. Prawa majątkowe można przenieść lub licencjonować. Czas ochrony praw majątkowych wynosi 70 lat od śmierci twórcy lub – przy utworach pracowniczych – 70 lat od pierwszego rozpowszechnienia.

Szczególna regulacja dotyczy programów tworzonych przez pracowników. Zgodnie z art. 74 ust. 3 ustawy, jeżeli program stworzono w wyniku wykonywania obowiązków pracowniczych, prawa majątkowe przysługują pracodawcy. Warunek: twórca musi być zatrudniony na umowie o pracę. Umowy B2B i zlecenia nie dają pracodawcy automatycznej ochrony – tu konieczna jest wyraźna klauzula cesji praw.

Instytucje takie jak UPRP (Urząd Patentowy RP) nie rejestrują programów komputerowych jako takich, choć możliwe jest zgłoszenie wynalazku implementowanego komputerowo. Sądy powszechne – w tym Sąd Najwyższy – wielokrotnie potwierdzały, że ochrona kodów źródłowych wynika bezpośrednio z przepisów prawa autorskiego, bez potrzeby dodatkowej rejestracji.

Jakie pułapki czyhają przy umowach z deweloperami?

Błędy kontraktowe przy współpracy z programistami to najczęstsze źródło sporów o prawa do oprogramowania w Polsce. Trzy scenariusze powtarzają się w praktyce kancelarii: brak klauzuli przeniesienia praw, niepełne określenie pól eksploatacji oraz pomijanie praw zależnych do modyfikacji kodu.

Przeniesienie praw autorskich majątkowych wymaga formy pisemnej pod rygorem nieważności. Umowa ustna lub mail nie wystarczą. Co więcej, przeniesienie musi wyraźnie wskazywać pola eksploatacji – czyli sposoby korzystania z programu. Jeśli umowa mówi tylko o „przeniesieniu praw", bez wyliczenia pól, sąd może uznać przeniesienie za ograniczone do pól znanych stronom w dniu zawarcia umowy.

Typowe pola eksploatacji dla oprogramowania obejmują: zwielokrotnianie technikami cyfrowymi, wprowadzanie do obrotu, najem, dzierżawę, publiczne udostępnianie w sieci (SaaS), modyfikację i tworzenie opracowań. Każde pole powinno być wymienione wprost. Brak jednego pola – na przykład prawa do modyfikacji – może uniemożliwić aktualizację produktu bez zgody pierwotnego dewelopera.

Firma IT ze Śląska odkryła wiosną 2024 roku, że umowy z czterema freelancerami nie obejmowały prawa do modyfikacji. Wdrożenie nowej wersji produktu wymagało renegocjacji z każdym z nich. Proces trwał 3 miesiące i kosztował kilkadziesiąt tysięcy złotych w dodatkowych wynagrodzeniach i obsłudze prawnej.

Osobna kwestia to prawa do oprogramowania open source wbudowanego w komercyjny produkt. Licencje GPL, LGPL i MIT nakładają różne obowiązki – od udostępnienia kodu źródłowego po zakaz komercjalizacji bez zachowania warunków licencji. Naruszenie licencji open source może prowadzić do roszczeń odszkodowawczych i konieczności wycofania produktu z rynku.

Warto też pamiętać o klauzulach poufności i zakazie konkurencji. Sama ochrona autorskoprawna nie chroni przed tym, że deweloper odtworzy funkcjonalnie podobne rozwiązanie od podstaw. Tu niezbędna jest odrębna umowa NDA oraz – przy umowach B2B – klauzula non-compete z odpowiednim wynagrodzeniem za jej stosowanie.

Uważamy, że bezpieczniejszym rozwiązaniem jest audyt umów z deweloperami co 12–18 miesięcy. Zmiany w strukturze współpracy, nowe moduły i aktualizacje często nie są objęte pierwotnymi umowami.

Jak AI Act, DORA i RODO wpływają na ochronę oprogramowania?

Regulacje unijne nakładają na oprogramowanie nowe warstwy wymogów. Nie zastępują prawa autorskiego, ale determinują warunki, na jakich oprogramowanie może być legalnie wdrożone i komercjalizowane. Trzy rozporządzenia mają tu szczególne znaczenie: AI Act, DORA i RODO.

AI Act – Rozporządzenie (UE) 2024/1689 – wszedł w życie 1 sierpnia 2024 roku. Wprowadza obowiązki dla dostawców systemów AI wysokiego ryzyka, w tym wymogi dotyczące dokumentacji technicznej, rejestrów systemów i ocen zgodności. Oprogramowanie klasyfikowane jako system AI wysokiego ryzyka – na przykład narzędzia do rekrutacji, scoringu kredytowego lub biometrii – musi spełniać wymogi AI Act niezależnie od ochrony autorskoprawnej. Dostawcy muszą prowadzić szczegółową dokumentację techniczną przez co najmniej 10 lat od wprowadzenia produktu na rynek.

DORA – Rozporządzenie (UE) 2022/2554 – obowiązuje od 17 stycznia 2025 roku dla podmiotów finansowych. Narzuca obowiązki w zakresie zarządzania ryzykiem ICT, testowania odporności cyfrowej i raportowania incydentów do KNF. Oprogramowanie używane przez banki, ubezpieczycieli i firmy inwestycyjne musi spełniać standardy DORA. Dostawcy oprogramowania dla sektora finansowego powinni uwzględnić te wymogi w umowach licencyjnych i SLA.

RODO – Rozporządzenie (UE) 2016/679 – wpływa na oprogramowanie przetwarzające dane osobowe. Privacy by design i privacy by default to obowiązki, które muszą być wbudowane w architekturę systemu. PUODO – Urząd Ochrony Danych Osobowych – może nałożyć karę do 4% globalnego obrotu za naruszenie zasad przetwarzania. Oprogramowanie SaaS dostępne przez internet to szczególnie wrażliwy obszar.

Firma z sektora fintech wdrożyła w Warszawie latem 2024 roku platformę do analizy ryzyka kredytowego. Po audycie okazało się, że system kwalifikuje się jako AI wysokiego ryzyka w rozumieniu AI Act. Konieczne było opracowanie dokumentacji technicznej, rejestru systemu i procedury oceny zgodności – prace trwały 4 miesiące i angażowały zarówno prawników, jak i architektów systemów.

Dla IP lawyer Warsaw obsługującego klientów z sektora technologicznego integracja prawa autorskiego z wymogami regulacyjnymi jest dziś standardem. Umowy licencyjne muszą uwzględniać nie tylko pola eksploatacji, ale też obowiązki compliance wynikające z AI Act i DORA.

Aspekt trademark jest często pomijany. Ochrona nazwy oprogramowania, logo i interfejsu graficznego jako znaku towarowego w UPRP lub EUIPO uzupełnia ochronę autorskoprawną. Rejestracja znaku towarowego w klasie 42 (usługi IT) daje ochronę przez 10 lat z możliwością przedłużania – niezależnie od tego, czy twórca żyje.

Jakie są aspekty transgraniczne ochrony oprogramowania w Polsce?

Polska jest częścią systemu ochrony praw autorskich opartego na Konwencji berneńskiej. Oznacza to wzajemne uznawanie ochrony przez ponad 180 państw-sygnatariuszy. Utwór chroniony w Polsce jest automatycznie chroniony w całej UE i większości rynków globalnych. Jednak warunki tej ochrony – czas trwania, zakres wyjątków, zasady licencjonowania – różnią się między jurysdykcjami.

Dla zagranicznych inwestorów wchodzących na rynek polski kluczowe jest zrozumienie, że polskie prawo autorskie nie wymaga rejestracji, ale umowy o przeniesienie praw muszą być zawarte w formie pisemnej i podlegają prawu polskiemu, jeśli strony go wybrały lub jeśli twórca ma miejsce zamieszkania w Polsce. Dyrektywa 2009/24/WE harmonizuje ochronę oprogramowania w UE, ale implementacja w poszczególnych krajach różni się w szczegółach.

Szczególnym wyzwaniem jest ochrona oprogramowania tworzonego przez zespoły rozproszone. Gdy deweloperzy pracują jednocześnie w Polsce, na Ukrainie i w Niemczech, prawa autorskie podlegają prawu miejsca stworzenia lub prawu wybranemu w umowie. Brak klauzuli wyboru prawa może oznaczać, że roszczenia o naruszenie praw autorskich będą rozpatrywane według różnych systemów prawnych.

Strategia ochrony IP dla firm technologicznych wchodzących na rynek polski powinna uwzględniać zarówno krajowe przepisy prawa autorskiego, jak i unijne regulacje dotyczące znaków towarowych i wzorów. Więcej o strategii ochrony IP dla firm technologicznych z perspektywy transgranicznej można znaleźć w naszym opracowaniu dla firm technologicznych z Hiszpanii działających w Polsce oraz dla firm technologicznych ze Szwecji działających w Polsce.

W kontekście transgranicznym warto też zwrócić uwagę na wymogi ESG due diligence w łańcuchach dostaw – coraz częściej obejmują one weryfikację, czy dostawcy oprogramowania dysponują czystymi tytułami do praw własności intelektualnej. Zagadnienie to omawiamy szczegółowo w naszym artykule o ESG due diligence w łańcuchach dostaw z perspektywy polskiej.

Naruszenia praw autorskich do oprogramowania w wymiarze transgranicznym są ścigane zarówno na drodze cywilnej, jak i karnej. Art. 116 ustawy o prawie autorskim przewiduje karę do 3 lat pozbawienia wolności za rozpowszechnianie cudzego utworu bez uprawnienia. W przypadku działania w celu osiągnięcia korzyści majątkowej – do 5 lat. Roszczenia cywilne obejmują odszkodowanie, wydanie bezpodstawnie uzyskanych korzyści i zakaz dalszego naruszania.

Konkretna sytuacja Państwa firmy – szczególnie gdy oprogramowanie jest tworzone przez zespoły w wielu krajach lub licencjonowane na rynki zagraniczne – wymaga indywidualnej analizy. Brak właściwej struktury praw może nieodwracalnie zamknąć drogę do ochrony kluczowych aktywów technologicznych.

Jeśli Państwa spółka tworzy lub licencjonuje oprogramowanie w Polsce lub za granicą i chcą Państwo upewnić się, że prawa są właściwie zabezpieczone – przeprowadzimy audyt umów, analizę pól eksploatacji i ocenę zgodności z AI Act oraz DORA: info@kordeckipartners.com.

Lista kontrolna: co przygotować, aby chronić oprogramowanie?

Skuteczna ochrona oprogramowania wymaga działania na kilku poziomach jednocześnie: umowy z twórcami, rejestracja znaków towarowych, dokumentacja techniczna i polityki wewnętrzne. Poniższa lista kontrolna pozwala zidentyfikować luki w ciągu 30 minut.

Umowy z deweloperami: czy każda umowa – o pracę, B2B, zlecenie – zawiera klauzulę przeniesienia praw majątkowych z wyliczeniem wszystkich pól eksploatacji, w tym prawa do modyfikacji i dystrybucji w modelu SaaS?
Prawa zależne: czy firma posiada prawo do tworzenia opracowań (modyfikacji, aktualizacji) kodu oraz do udzielania sublicencji?
Open source: czy przeprowadzono audyt komponentów open source i zidentyfikowano licencje GPL, LGPL, MIT oraz ich ograniczenia dla komercjalizacji?
Znaki towarowe: czy nazwa produktu i logo są zarejestrowane jako znaki towarowe w UPRP lub EUIPO w klasie 42?
Zgodność regulacyjna: czy oprogramowanie zostało ocenione pod kątem AI Act (ryzyko wysokie / ograniczone / minimalne), DORA (jeśli klient jest podmiotem finansowym) i RODO (privacy by design)?

Brak choćby jednego elementu z tej listy może oznaczać, że firma nie jest właścicielem praw do własnego produktu lub nie może legalnie go komercjalizować na wybranych rynkach. W praktyce – wiele firm o tym zapomina – audyt praw IP powinien być elementem każdego due diligence przed inwestycją lub przejęciem.

Trzy scenariusze biznesowe ilustrują skalę ryzyka. Producent z branży przemysłowej automatyzuje linie produkcyjne – oprogramowanie sterujące tworzy zewnętrzny integrator. Bez cesji praw firma nie może samodzielnie modyfikować systemu ani zmienić dostawcy. Spółka IT wdraża platformę SaaS – jeśli licencja nie obejmuje pola eksploatacji „publiczne udostępnianie w sieci", każde uruchomienie przez klienta może być naruszeniem umowy z deweloperem. Inwestor zagraniczny przejmuje polską spółkę technologiczną – brak czystego tytułu do praw autorskich blokuje zamknięcie transakcji lub obniża wycenę o kilkadziesiąt procent.

Konkretna sytuacja Państwa firmy może wymagać pilnego działania. Nieodwracalne skutki braku właściwej dokumentacji praw ujawniają się najczęściej dopiero w momencie sporu, transakcji lub kontroli regulacyjnej – gdy czas na korektę jest najkrótszy.

Aby otrzymać ocenę stanu ochrony oprogramowania w Państwa firmie – umów spotkanie z naszym zespołem IP/Tech: info@kordeckipartners.com.

Często zadawane pytania

P: Czy firma automatycznie nabywa prawa autorskie do oprogramowania zamówionego u zewnętrznego dewelopera?

O: Nie. Automatyczne przejście praw majątkowych na pracodawcę dotyczy wyłącznie programów stworzonych przez pracownika w ramach obowiązków pracowniczych – na podstawie artykułu 74 ustęp 3 ustawy o prawie autorskim. Przy umowach B2B, zlecenia lub o dzieło prawa pozostają przy twórcy, jeśli umowa nie zawiera wyraźnej klauzuli przeniesienia praw z wyliczeniem pól eksploatacji. Umowa przeniesienia praw wymaga formy pisemnej pod rygorem nieważności.

P: Ile kosztuje i jak długo trwa rejestracja znaku towarowego dla oprogramowania w Polsce?

O: Zgłoszenie znaku towarowego w UPRP kosztuje od 450 PLN (jedna klasa, tryb elektroniczny). Postępowanie trwa standardowo od 6 do 12 miesięcy. Ochrona po rejestracji trwa 10 lat i może być przedłużana. Rejestracja w EUIPO (znak unijny) kosztuje od 850 EUR i obejmuje wszystkie 27 państw UE jednocześnie – co jest ekonomicznie uzasadnione dla firm działających na rynkach zagranicznych.

P: Czy algorytm lub metoda działania oprogramowania może być chroniona prawem autorskim?

O: Nie. Prawo autorskie chroni konkretny kod – jego wyraz, a nie ideę, algorytm ani metodę działania. To częste nieporozumienie. Algorytm jako taki nie podlega ochronie autorskoprawnej. Może natomiast podlegać ochronie patentowej jako wynalazek implementowany komputerowo, jeśli spełnia wymogi zdolności patentowej. W Polsce takie zgłoszenia rozpatruje UPRP, a na poziomie europejskim – Europejski Urząd Patentowy. Ochrona patentowa trwa 20 lat od daty zgłoszenia.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony własności intelektualnej i regulacji technologicznych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.