BazaPrawa.
Kluczowe klauzule, które musi zawierać umowa SaaS w 2025 r. (prawo polskie)
zespół BazaPrawa | 29 grudnia 2024
Kluczowe klauzule, które musi zawierać umowa SaaS w 2025 r. (prawo polskie)
Od kwietnia 2023 r. zasady świadczenia usług online w Polsce kształtują już nie tylko RODO i klasyczny Kodeks cywilny, lecz także: • finalizowany EU AI Act (wdrożenie w PL w 2025 r.) (practiceguides.chambers.com) • przyjęty Cyber Resilience Act – obowiązki bezpieczeństwa od IX 2026, a docelowo od XII 2027 (exiger.com) • nowy schemat e-faktury FA(3) w KSeF-2.0 (pełny obowiązek od II 2026) (pillsburylaw.com) • zaostrzone wymogi DPA/RODO 2024 (zakaz łączenia zgody z usługą) (payproglobal.com, externer-datenschutzbeauftragter-dresden.de) Dlatego poniższa lista pokazuje, jak przełożyć te przepisy na konkretne zapisy kontraktowe.
| # | Klauzula "must-have" | Co dokładnie wpisać w 2025 r. | Dlaczego (podstawa) |
|---|---|---|---|
| 1 | Definicje & zakres | Sprecyzuj, że "Usługa" obejmuje udostępnianie funkcji software on-line (bez przeniesienia własności kodu). | Pozwala uniknąć roszczeń o kopię on-prem. (payproglobal.com) |
| 2 | SLA, KPI, przerwy serwisowe | • dostępność ≥ 99,9 % • okno maintenance (np. nd. 0-4 a.m.) • kredyty serwisowe (1 % opłaty/mies. za każde 0,1 pkt poniżej SLA). | Minimalny standard rynkowy; brak = rękojmia za wady (KC). |
| 3 | Opłaty & KSeF | • waluta, cykl rozliczeń, klauzula waloryzacji (CPI/12 M) • faktury wyłącznie w KSeF; identyfikator KSeF = akceptacja. | Od II 2026 wyjście poza KSeF grozi karami VAT 100 %. (pillsburylaw.com) |
| 4 | Security & Cyber Resilience | • dostawca spełnia art. 10 CRA (aktualizacje ≥ 5 lat, SBOM) • 24 h na zgłoszenie incydentu wysokiego ryzyka. | CRA nakłada wprost te obowiązki na "produkt cyfrowy". (exiger.com) |
| 5 | Dane & RODO / DPA | • załącznik DPA: rola stron, cele, podwykonawcy, transfery EE/EX • zakaz uzależniania usługi od marketingowej zgody. | Nowe wytyczne RODO 2024. (payproglobal.com, externer-datenschutzbeauftragter-dresden.de) |
| 6 | AI & automatyzacja | • oświadczenie, czy usługa jest "systemem wysokiego ryzyka AI"; jeśli tak → lista wymogów (rejestr, logi, oceny ryzyka). | Przygotowanie do AI Act. (practiceguides.chambers.com) |
| 7 | Własność intelektualna | • licencja SaaS niewyłączna, nieprzenoszalna • klient zachowuje prawa do swoich danych, dostawca – do kodu. | Standard IP – chroni przed kopiowaniem rozwiązania. |
| 8 | Eksport / usunięcie danych | • bezpłatny eksport JSON/CSV w 14 dni od rozwiązania • trwałe usunięcie kopii backup ≤ 60 dni. | Kluczowe dla zgodności z art. 32 RODO i CRA-lifecycle. |
| 9 | Odpowiedzialność & limity | • cap = 12-krotność opłaty rocznej • wyłączenie szkody pośredniej (utracone korzyści). | Pozwala zarządzać ryzykiem przy niskich marżach SaaS. |
| 10 | Siła wyższa & awarie | • lista zdarzeń (DDoS, awaria CSP, pandemia) • obowiązek DR-plan + RTO/RPO. | Wymagane przez audyty cyber-ubezpieczeń. |
| 11 | Zmiany produktu ("rolling release") | • prawo do modyfikacji UI bez utraty kluczowych funkcji; większe zmiany → 30-dniowe wypowiedzenie bez kar. | SaaS ewoluuje ciągle; klauzula równoważy interesy stron. |
| 12 | Audyt & compliance | • raz w roku zewnętrzny audyt ISO 27001/SOC 2, udostępnienie raportu • klient może przeprowadzić audyt na własny koszt (zapowiedź 30 dni). | Coraz częstszy wymóg kontrahentów korporacyjnych. |
| 13 | Poufność | NDA wzajemne min. 5 lat po rozwiązaniu; wyjątek – e-faktury w KSeF. | Standard w sektorze B2B. |
| 14 | Podwykonawcy (sub-processors) | • lista w DPA + prawo sprzeciwu; nowy podwykonawca → 30 dni na zgłoszenie sprzeciwu. | Wynika z art. 28 RODO. |
| 15 | Prawo i sąd | • prawo polskie, sąd właściwy miejscowo dla dostawcy lub arbitraż Lewiatan (on-line). | Uproszczenie e-postępowania gospodarczego. |
Dwie często pomijane klauzule
- "Change-of-Control" – gwarantuje, że po sprzedaży spółki SaaS nowy właściciel nie podniesie nagle cen ani nie przeniesie danych poza EOG.
- "Open-Source Disclosure" – dostawca deklaruje spis bibliotek OSS i zobowiązuje się do naprawy ewentualnych naruszeń licencji. To już dziś wymaga wielu due-diligence (SBOM w CRA). (exiger.com)
Szybka check-lista przed podpisaniem umowy
- Sprawdź, czy projekt zawiera SLA + kredyty.
- Upewnij się, że faktury będą wysyłane przez KSeF.
- Załącznik DPA jest kompletny i zgodny z najnowszymi wytycznymi RODO.
- W umowie jest odniesienie do Cyber Resilience Act i (opcjonalnie) AI Act.
- Limity odpowiedzialności nie przewyższają przewidywanych przychodów z kontraktu.
Dzięki tym zapisom Twoja umowa SaaS będzie "odporna na 2025 r." – zgodna z nadchodzącymi regulacjami i praktyczna biznesowo zarówno dla dostawcy, jak i klienta. Powodzenia przy negocjacjach!