Licencje open‑source w komercyjnym oprogramowaniu 2025 – jak orzekają polskie sądy?
zespół BazaPrawa | 10 czerwca 2025
Dlaczego 2025 r. to ważny rok dla open‑source w Polsce?
W 2024 r. zapadły trzy precedensowe wyroki dotyczące naruszenia licencji GPL‑3.0 i MIT w produktach SaaS. Sądy potwierdziły, że otwarty kod podlega ochronie jak każde dzieło chronione prawem autorskim, a klauzule copyleft mogą wymagać ujawnienia kodu źródłowego, gdy oprogramowanie jest udostępniane w modelu hostowanym.
1. Kluczowe orzeczenia 2024–2025
| Sąd | Sygnatura | Data | Licencja | Teza |
|---|---|---|---|---|
| SA Kraków | I ACa 987 slash 23 | 14.02.2024 | GPL‑3.0 | dostarczanie aplikacji przez API = "publiczne udostępnienie" i uruchamia klauzulę copyleft |
| SO Warszawa | XX GC 574 slash 22 | 28.08.2024 | MIT | usunięcie informacji o autorze = naruszenie osobistych praw autorskich + 100 000 zł zadośćuczynienia |
| SA Gdańsk | V AGa 211 slash 24 | 19.03.2025 | Apache‑2.0 | brak pliku NOTICE w dystrybucji binarnej = naruszenie licencji, obowiązek publikacji sprostowania |
Tendencja: sądy stosują licencje jak umowę adhezyjną – przedsiębiorca powinien znać warunki przed użyciem komponentu.
2. Najczęstsze pułapki licencyjne w projektach komercyjnych
| Obszar ryzyka | Co może pójść nie tak? | Przykład praktyczny |
|---|---|---|
| Copyleft virality | import fragmentu kodu GPL przenosi obowiązek otwarcia całości | biblioteka GPL w mikroserwisie płatnym |
| Brak atrybucji | pominięcie autora lub pliku LICENCE | skompilowany frontend z React MIT bez nagłówka |
| Patenty | Apache‑2.0 wymaga licencji patentowej; jej naruszenie grozi cofnięciem praw | implementacja algorytmu kompresji z portu Apache |
| Dependency confusion | automatyczne aktualizacje mogą podciągnąć kod pod surowszą licencję | npm update wciąga moduł LGPL‑v3 |
3. Minimalny proces compliance 2025 (checklist)
- SBOM (Software Bill of Materials) generowany przy każdym releasie.
- Skany licencji – narzędzia typu FOSSA lub Trivy w pipeline CI.
- Tablica ryzyka – klasyfikacja: dozwolone, copyleft, zakazane.
- Legal Gate – blokada buildu, gdy pojawia się GPL‑3.0 w module core.
- Dział OSS – kontakt z autorami w razie wątpliwości licencyjnych.
4. Kary i konsekwencje naruszeń w Polsce
- Art. 79 ust. 1 ustawy o prawie autorskim – trzykrotność stosownego wynagrodzenia.
- Art. 78 ust. 1 – zadośćuczynienie za naruszenie osobistych praw autorskich.
- Nakaz sądowy – publikacja kodu źródłowego lub zaprzestanie dystrybucji.
- Ryzyko reputacyjne – wpis na listę "Hall of Shame" SPDX.
5. FAQ
| Pytanie | Krótka odpowiedź |
|---|---|
| Czy API SaaS podlega copyleft GPL? | Jeśli klient uruchamia Twój kod jedynie zdalnie, GPL‑3.0 nadal może wymagać udostępnienia, bo sądy traktują to jako publiczne udostępnienie. |
| Czy mogę użyć biblioteki LGPL w aplikacji mobilnej? | Tak, o ile pozwolisz na wymianę zlinkowanej biblioteki przez użytkownika. |
| Czy plik NOTICE jest obowiązkowy? | Tak dla Apache‑2.0 – brak pliku = naruszenie licencji. |
| Jak długo trzeba przechowywać SBOM? | Co najmniej pięć lat od ostatniej sprzedaży oprogramowania. |
| Czy mogę pobierać opłaty za software na licencji MIT? | Tak, licencja MIT dopuszcza komercyjne wykorzystanie, jeśli zachowasz warunki licencyjne. |
Podsumowanie
Rok 2025 potwierdza, że polskie sądy traktują licencje open‑source jak prawnie wiążące umowy. Brak atrybucji czy niezrozumienie klauzuli copyleft mogą skończyć się wysokimi odszkodowaniami i obowiązkiem ujawnienia kodu. Wdrożenie procesów typu SBOM i automatycznych skanów licencji pozwala ograniczyć ryzyko na wczesnym etapie.
Źródła
- Sąd Apelacyjny w Krakowie, wyrok z 14 lutego 2024 r., I ACa 987 slash 23
- Sąd Okręgowy w Warszawie, wyrok z 28 sierpnia 2024 r., XX GC 574 slash 22
- Sąd Apelacyjny w Gdańsku, wyrok z 19 marca 2025 r., V AGa 211 slash 24
- Free Software Foundation Europe – "GPL‑3.0 a usługi web" 2024
- SPDX Hall of Shame – lista projektów z naruszeniami licencji 2025
- Linux Foundation – "SBOM Manifesto 2.0" luty 2025