Powrót do artykułów Prawo gospodarcze

Umowa SaaS dla firm — co sprawdzić przed zakupem i jak chronić dane

9 kwietnia 2025 11 min czytania
Umowa SaaS dla firm — co sprawdzić przed zakupem i jak chronić dane

Według raportu Flexera z 2023 roku 94% przedsiębiorstw korzysta z rozwiązań chmurowych, a średnia firma używa 110 różnych aplikacji SaaS. Jednocześnie 67% organizacji doświadczyło problemów z dostawcami chmury, które mogły zostać uniknięte przez właściwą analizę umowy przed jej podpisaniem. Problem nie leży w samej technologii, ale w niedostosowanych zapisach kontraktowych, które powstały w czasach tradycyjnego licencjonowania oprogramowania.

W Kancelarii Radcy Prawnego Joanna Cenkier w Lublinie regularnie spotykamy się z przedsiębiorcami, którzy podpisali umowę SaaS bez weryfikacji prawnej, a następnie borykają się z niemożnością eksportu danych, nieoczekiwanymi kosztami migracji lub brakiem odpowiedzialności dostawcy za przestoje. Umowa SaaS wymaga innego podejścia niż klasyczna licencja — to długoterminowa relacja, w której dostawca kontroluje infrastrukturę, dane i ciągłość działania Twojej firmy.

Czym różni się umowa SaaS od tradycyjnej licencji oprogramowania

Software as a Service to model, w którym nie kupujesz oprogramowania, ale prawo do korzystania z niego przez określony czas. Dostawca hostuje aplikację na swoich serwerach, odpowiada za aktualizacje, bezpieczeństwo i dostępność. Ty płacisz abonament — miesięczny lub roczny — zazwyczaj za każdego użytkownika lub według zużycia zasobów.

Tradycyjna licencja to zakup prawa do instalacji i użytkowania oprogramowania na Twoim sprzęcie. Płacisz jednorazowo lub za wersję, a aktualizacje są opcjonalne. Masz kontrolę nad infrastrukturą, ale także pełną odpowiedzialność za bezpieczeństwo, kopie zapasowe i zgodność z przepisami.

Różnice prawne są fundamentalne. W modelu SaaS:

  • Nie jesteś właścicielem oprogramowania ani infrastruktury
  • Dostawca może jednostronnie zmienić funkcjonalność lub cennik
  • Twoje dane znajdują się poza Twoją bezpośrednią kontrolą
  • Rozwiązanie umowy oznacza natychmiastową utratę dostępu
  • Odpowiedzialność za dostępność i bezpieczeństwo jest podzielona

Ta asymetria kontroli wymaga szczególnej ochrony w zapisach umownych. Standardowe wzorce umów SaaS są przygotowywane przez dostawców i chronią przede wszystkim ich interesy. Bez negocjacji akceptujesz warunki, które mogą narazić Twoją firmę na znaczące ryzyka operacyjne i prawne.

Umowa SaaS prawo do modyfikacji warunków przez dostawcę

Większość dostawców SaaS zastrzega sobie prawo do jednostronnej zmiany regulaminu, polityki prywatności i cennika. Typowy zapis brzmi: "Dostawca może zmienić niniejsze warunki w dowolnym czasie, powiadamiając klienta z 30-dniowym wyprzedzeniem". Taki zapis jest legalny, ale może być dla Ciebie bardzo niekorzystny.

Wyobraź sobie sytuację: wdrożyłeś system CRM dla 50 pracowników, przeszkoliłeś zespół, zmigrowałeś dane z poprzedniego rozwiązania. Po roku dostawca informuje, że cena wzrasta o 40%, a funkcja eksportu danych, która była w podstawowym pakiecie, teraz jest dostępna tylko w planie premium. Masz 30 dni na decyzję: zaakceptować nowe warunki lub migrować do innego systemu, tracąc czas i pieniądze.

W umowie SaaS warto wynegocjować:

  • Gwarancję stabilności cen na określony okres (np. 24 miesiące)
  • Maksymalny procent wzrostu ceny w kolejnych okresach rozliczeniowych
  • Prawo do wypowiedzenia umowy bez kar w przypadku istotnych zmian warunków
  • Definicję "istotnych zmian" wymagających Twojej wyraźnej zgody
  • Okres wypowiedzenia adekwatny do złożoności migracji (90-180 dni dla systemów krytycznych)

Jeśli dostawca nie zgadza się na żadne ograniczenia, to sygnał ostrzegawczy. Oznacza to, że jego model biznesowy opiera się na stopniowym podnoszeniu cen dla klientów, którzy są już uzależnieni od systemu — klasyczny vendor lock-in.

Praktyczna rada: Przed podpisaniem umowy SaaS poproś dostawcę o historię zmian cennika i regulaminu z ostatnich 3 lat. Jeśli odmówi lub ceny rosły o więcej niż 10% rocznie, przygotuj się na podobne podwyżki w przyszłości i uwzględnij to w budżecie.

SLA oprogramowanie chmura i odpowiedzialność za przestoje

Service Level Agreement (SLA) określa gwarantowany poziom dostępności usługi i konsekwencje jego niedotrzymania. Typowe SLA w branży SaaS to 99,9% dostępności, co oznacza maksymalnie 8,76 godziny przestoju rocznie lub około 43 minut miesięcznie.

Brzmi dobrze? Nie do końca. Większość umów SaaS zawiera zapisy, które wykluczają z obliczeń dostępności:

  • Planowane konserwacje (często bez limitu czasowego)
  • Przestoje spowodowane przez dostawców infrastruktury (AWS, Azure, Google Cloud)
  • Problemy z Twoim łączem internetowym
  • Ataki DDoS i inne zdarzenia "siły wyższej"
  • Problemy wynikające z Twojej konfiguracji lub integracji

W praktyce rzeczywista dostępność może być znacznie niższa niż deklarowane 99,9%, a dostawca nie poniesie żadnych konsekwencji. Co więcej, nawet jeśli SLA zostanie naruszone, typowa rekompensata to zwrot części opłaty abonamentowej — proporcjonalnie do czasu przestoju. Jeśli płacisz 1000 zł miesięcznie, a system był niedostępny przez 2 godziny, otrzymasz zwrot około 3 zł.

Tymczasem Twoje straty mogą być nieporównywalnie wyższe. Przestój systemu sprzedażowego w szczycie sezonu, niedostępność platformy e-learningowej w trakcie egzaminów, awaria systemu rezerwacji w weekend — to sytuacje, w których tracisz przychody, reputację i zaufanie klientów. Zwrot 3 zł nie pokryje tych strat.

W umowie SaaS należy wynegocjować:

  • Precyzyjną definicję dostępności i metody jej pomiaru
  • Maksymalny czas planowanych konserwacji (np. 4 godziny miesięcznie, poza godzinami pracy)
  • Obowiązek wcześniejszego powiadamiania o konserwacjach (np. 7 dni)
  • Rzeczywiste kary umowne za naruszenie SLA, a nie tylko zwrot opłaty
  • Prawo do audytu dostępności przez niezależną firmę
  • Odpowiedzialność za szkody wynikające z przestojów (z rozsądnym limitem)

Dostawcy SaaS rzadko zgadzają się na pełną odpowiedzialność odszkodowawczą, ale możesz wynegocjować kary umowne na poziomie 10-50% wartości miesięcznego abonamentu za każde naruszenie SLA. To motywuje dostawcę do utrzymania wysokiej jakości usług.

SaaS a RODO i umowa powierzenia przetwarzania danych

Jeśli w systemie SaaS przetwarzasz dane osobowe — klientów, pracowników, kontrahentów — dostawca automatycznie staje się podmiotem przetwarzającym w rozumieniu RODO. Ty jesteś administratorem danych, a dostawca przetwarza je w Twoim imieniu. Wymaga to zawarcia umowy powierzenia przetwarzania danych zgodnie z art. 28 RODO.

Wiele firm w Lublinie i całej Polsce podpisuje umowy SaaS bez sprawdzenia, czy zawierają wymagane klauzule RODO. To poważne naruszenie, które może skutkować karą od UODO do 20 milionów euro lub 4% rocznego obrotu. Co więcej, w przypadku wycieku danych możesz ponieść odpowiedzialność wobec osób, których dane zostały naruszone.

Umowa powierzenia przetwarzania danych musi zawierać:

  • Przedmiot, czas trwania, charakter i cel przetwarzania
  • Rodzaj danych osobowych i kategorie osób, których dane dotyczą
  • Obowiązki i prawa administratora (Twoje)
  • Zobowiązanie podmiotu przetwarzającego do przetwarzania danych wyłącznie na Twoje udokumentowane polecenie
  • Zobowiązanie do zachowania poufności przez osoby upoważnione do przetwarzania
  • Środki bezpieczeństwa techniczne i organizacyjne
  • Warunki korzystania z podwykonawców (dalszych podmiotów przetwarzających)
  • Pomoc w realizacji praw osób, których dane dotyczą
  • Pomoc w zapewnieniu zgodności z RODO
  • Usunięcie lub zwrot danych po zakończeniu świadczenia usług
  • Udostępnianie informacji niezbędnych do wykazania zgodności z RODO i umożliwienie audytów

Sprawdź, gdzie fizycznie znajdują się Twoje dane. Jeśli dostawca korzysta z serwerów poza Europejskim Obszarem Gospodarczym (np. w USA), transfer danych wymaga dodatkowych zabezpieczeń — standardowych klauzul umownych zatwierdzonych przez Komisję Europejską lub innych mechanizmów zgodnych z wyrokiem TSUE w sprawie Schrems II.

Wiele globalnych platform SaaS oferuje opcję wyboru regionu przechowywania danych. Dla firm działających w Polsce i Unii Europejskiej zawsze wybieraj serwery w UE. To upraszcza zgodność z RODO i zmniejsza ryzyko prawne związane z transferami międzynarodowymi.

Uwaga: Jeśli dostawca SaaS odmawia podpisania umowy powierzenia przetwarzania danych lub twierdzi, że nie jest podmiotem przetwarzającym, nie podpisuj umowy. Bez tego dokumentu naruszasz RODO od pierwszego dnia korzystania z systemu.

Vendor lock-in SaaS i prawo do eksportu danych

Vendor lock-in to sytuacja, w której zmiana dostawcy jest tak kosztowna lub skomplikowana, że praktycznie niemożliwa. W kontekście SaaS najczęstsze przyczyny to:

  • Brak możliwości eksportu danych w standardowym formacie
  • Dane eksportowane są niekompletne lub zniekształcone
  • Integracje z innymi systemami działają tylko z tym konkretnym dostawcą
  • Specyficzna konfiguracja i dostosowania nie mogą być przeniesione
  • Pracownicy są przeszkoleni tylko w tym jednym systemie

Dostawcy SaaS często celowo utrudniają migrację, bo wiedzą, że im trudniej Ci odejść, tym mniej musisz się liczyć z jakością usług i ceną. Dlatego przed podpisaniem umowy musisz sprawdzić, jak wygląda proces zakończenia współpracy.

W umowie SaaS wynegocjuj:

  • Prawo do pełnego eksportu wszystkich danych w standardowych formatach (CSV, JSON, XML)
  • Dostęp do API umożliwiający automatyczny eksport danych
  • Gwarancję dostępu do danych przez określony okres po rozwiązaniu umowy (np. 90 dni)
  • Brak dodatkowych opłat za eksport danych
  • Dokumentację struktury danych i relacji między nimi
  • Pomoc techniczną w procesie migracji (opcjonalnie płatną, ale dostępną)

Przed podpisaniem umowy poproś o demonstrację procesu eksportu danych. Niech dostawca pokaże, jak wyglądają wyeksportowane dane, czy są kompletne i czy można je zaimportować do konkurencyjnego systemu. Jeśli odmówi lub eksport jest ograniczony, to czerwona flaga.

Pamiętaj, że zgodnie z RODO masz prawo do przenoszenia danych (art. 20), ale dotyczy to tylko danych osobowych i tylko w zakresie, w jakim je dostarczyłeś. Dane wygenerowane przez system (np. logi, analizy, raporty) mogą nie być objęte tym prawem. Dlatego umowa musi explicite gwarantować dostęp do wszystkich danych biznesowych.

Odpowiedzialność za bezpieczeństwo i naruszenia danych

W modelu SaaS odpowiedzialność za bezpieczeństwo jest podzielona. Dostawca odpowiada za zabezpieczenie infrastruktury, aplikacji i danych przed nieautoryzowanym dostępem. Ty odpowiadasz za zarządzanie kontami użytkowników, uprawnieniami i bezpieczne korzystanie z systemu.

Problem pojawia się, gdy dojdzie do naruszenia danych. Kto ponosi odpowiedzialność? Kto informuje UODO i osoby, których dane dotyczą? Kto pokrywa koszty obsługi incydentu i ewentualne kary?

Standardowe umowy SaaS zazwyczaj ograniczają odpowiedzialność dostawcy do minimum. Typowe zapisy:

  • "Dostawca nie ponosi odpowiedzialności za szkody pośrednie, utratę zysków, danych lub reputacji"
  • "Całkowita odpowiedzialność dostawcy jest ograniczona do kwoty opłat zapłaconych w ciągu ostatnich 12 miesięcy"
  • "Dostawca nie gwarantuje, że usługa będzie wolna od błędów lub nieprzerywana"

Takie zapisy mogą być niewystarczające, szczególnie jeśli przetwarzasz wrażliwe dane osobowe (zdrowotne, biometryczne, dotyczące wyroków skazujących) lub dane stanowiące tajemnicę przedsiębiorstwa.

W umowie SaaS należy doprecyzować:

  • Obowiązek natychmiastowego powiadomienia Cię o każdym naruszeniu bezpieczeństwa (w ciągu 24 godzin)
  • Zakres informacji, które dostawca musi przekazać o naruszeniu
  • Podział odpowiedzialności za powiadomienie UODO i osób, których dane dotyczą
  • Współpracę dostawcy w postępowaniu wyjaśniającym
  • Pokrycie kosztów obsługi incydentu, jeśli naruszenie wynikało z zaniedbania dostawcy
  • Ubezpieczenie od odpowiedzialności cybernetycznej po stronie dostawcy

Poproś dostawcę o certyfikaty bezpieczeństwa (ISO 27001, SOC 2) i raporty z audytów. Sprawdź, czy dostawca miał w przeszłości incydenty bezpieczeństwa i jak je obsłużył. Te informacje są często dostępne publicznie lub możesz poprosić o nie przed podpisaniem umowy.

Własność danych i praw autorskich do treści tworzonych w systemie

Kto jest właścicielem danych, które wprowadzasz do systemu SaaS? A co z treściami generowanymi przez system — raportami, analizami, wizualizacjami? Co z integracjami i dostosowaniami, które zlecasz dostawcy?

Intuicyjnie wydaje się oczywiste, że Twoje dane należą do Ciebie. Ale umowy SaaS bywają zaskakujące. Niektórzy dostawcy zastrzegają sobie prawo do wykorzystywania Twoich danych w celach analitycznych, marketingowych lub do trenowania algorytmów AI. Oczywiście w formie "zanonimizowanej" i "zagregowanej", ale granica między danymi osobowymi a zanonimizowanymi jest płynna.

Przykład: korzystasz z platformy do analizy zachowań użytkowników na Twojej stronie internetowej. Dostawca zbiera dane o Twoich klientach — co klikają, ile czasu spędzają na stronie, jakie produkty przeglądają. W regulaminie jest zapis, że dostawca może wykorzystywać te dane do tworzenia benchmarków branżowych i raportów, które sprzedaje innym firmom. Czy to naruszenie RODO? Czy Twoi klienci wyrazili zgodę na takie wykorzystanie ich danych?

W umowie SaaS musisz wyraźnie zastrzec:

  • Pełną własność wszystkich danych, które wprowadzasz do systemu
  • Zakaz wykorzystywania Twoich danych do celów innych niż świadczenie usługi
  • Zakaz udostępniania Twoich danych osobom trzecim bez Twojej zgody
  • Własność praw autorskich do dostosowań i integracji stworzonych na Twoje zlecenie
  • Prawo do wykorzystywania tych dostosowań po zakończeniu umowy

Jeśli dostawca tworzy dla Ciebie dedykowane funkcje lub integracje, upewnij się, że prawa autorskie do nich przechodzą na Ciebie lub masz nieograniczoną licencję do ich wykorzystania. W przeciwnym razie po zakończeniu umowy stracisz dostęp nie tylko do systemu, ale także do wszystkich dostosowań, które sfinansowałeś.

Procedura rozwiązania umowy i okres przejściowy

Koniec współpracy z dostawcą SaaS to moment, w którym ujawniają się wszystkie słabości umowy. Jeśli nie zadbałeś o odpowiednie zapisy, możesz stracić dostęp do danych, zostać z niedziałającymi integracjami i stanąć przed koniecznością natychmiastowej migracji bez przygotowania.

Typowa umowa SaaS przewiduje, że po rozwiązaniu umowy lub braku płatności dostawca natychmiast blokuje dostęp do systemu. Twoje dane są usuwane po 30 dniach. Jeśli nie zdążyłeś ich wyeksportować — tracisz je bezpowrotnie.

To nieakceptowalne dla większości firm. Migracja do nowego systemu wymaga czasu — wybór alternatywy, testy, konfiguracja, szkolenie pracowników, migracja danych. Realistycznie to 3-6 miesięcy, w zależności od złożoności systemu.

W umowie SaaS wynegocjuj:

  • Okres wypowiedzenia adekwatny do złożoności systemu (90-180 dni dla systemów krytycznych)
  • Prawo do przedłużenia umowy na warunkach dotychczasowych na czas migracji
  • Dostęp do danych w trybie tylko do odczytu przez określony okres po rozwiązaniu umowy
  • Pomoc techniczną w procesie migracji (zakres i koszt)
  • Obowiązek zachowania poufności Twoich danych przez określony okres po zakończeniu umowy
  • Certyfikat trwałego usunięcia danych po zakończeniu współpracy

Jeśli rozwiązujesz umowę z powodu naruszenia SLA lub innych zobowiązań przez dostawcę, powinieneś mieć prawo do wypowiedzenia ze skutkiem natychmiastowym bez kar. Standardowe umowy często przewidują kary za wcześniejsze rozwiązanie umowy — nawet jeśli to dostawca nie wywiązuje się ze swoich obowiązków.

Przed podpisaniem umowy przygotuj plan awaryjny. Co zrobisz, jeśli dostawca zbankrutuje, zostanie przejęty przez konkurencję lub jednostronnie zmieni warunki na nieakceptowalne? Czy masz alternatywne rozwiązanie? Czy potrafisz szybko wyeksportować dane i przenieść się do innego systemu? Jeśli odpowiedź brzmi "nie", to sygnał, że jesteś zbyt zależny od jednego dostawcy.

W Kancelarii Radcy Prawnego Joanna Cenkier w Lublinie pomagamy firmom w negocjacji umów SaaS, weryfikacji zgodności z RODO i przygotowaniu strategii minimalizującej ryzyko vendor lock-in. Umów konsultację, jeśli planujesz wdrożenie systemu chmurowego lub masz wątpliwości co do istniejącej umowy — lepiej sprawdzić zapisy kontraktu przed podpisaniem niż szukać rozwiązań, gdy problem już się pojawił.

Powiązane strony

Specjalizacja: Prawo gospodarcze Więcej artykułów: Prawo gospodarcze
Umów konsultację