Czym jest API i dlaczego wymaga oddzielnej umowy?

API (Application Programming Interface, interfejs programistyczny aplikacji) to zestaw protokołów i narzędzi umożliwiający komunikację między różnymi systemami informatycznymi. Dzięki API aplikacja klienta może korzystać z funkcji systemu dostawcy — np. wysyłać płatności, pobierać dane o kursach walut, weryfikować adresy w systemie pocztowym — bez dostępu do kodu źródłowego systemu dostawcy. API jest częścią oprogramowania, które podlega ochronie prawa autorskiego na podstawie art. 74 ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych. Korzystanie z API bez ważnej licencji narusza prawa majątkowe dostawcy. Odrębna pisemna umowa o dostęp do API jest konieczna, ponieważ reguluje zakres licencji, limity wywołań (rate limiting), poziom usług (SLA), klucze API, poufność, ochronę danych osobowych i odpowiedzialność za awarie — wszystkie kwestie, których ogólne przepisy KC i pr. aut. nie rozwiązują wystarczająco szczegółowo. Brak umowy oznacza, że spory między stronami muszą być rozstrzygane wyłącznie na podstawie ogólnych przepisów, co jest kosztowne i nieprzewidywalne dla obu stron.

Jakie są najważniejsze elementy SLA w umowie o dostęp do API?

Service Level Agreement (SLA) w umowie o dostęp do API to zestaw mierzalnych zobowiązań dostawcy dotyczących jakości usługi. Kluczowe elementy SLA w polskich umowach API obejmują: dostępność API — wyrażoną procentowo za miesiąc (np. 99,9%), obliczaną jako stosunek czasu działania do czasu całkowitego, z wyłączeniem zaplanowanych przerw konserwacyjnych; czas odpowiedzi — maksymalny czas, w jakim API musi odpowiedzieć na żądanie, zazwyczaj podawany jako percentyl 95. lub 99. dla wszystkich żądań w miesiącu (np. ≤ 500 ms dla 95% żądań); czas usunięcia awarii — podział na kategorie (krytyczna: blokuje działanie całej usługi; wysoka: blokuje kluczową funkcję; niska: utrudnia działanie) z maksymalnym czasem reakcji i naprawy dla każdej kategorii; procedura zgłaszania awarii — adres e-mail lub formularz zgłoszeniowy, godziny wsparcia technicznego i numeracja zgłoszeń. Brak spełnienia SLA daje klientowi podstawę do roszczeń z tytułu nienależytego wykonania umowy (art. 471 Kodeksu cywilnego) lub naliczenia kar umownych (art. 483 KC). Dobrze skonstruowane SLA jest dokumentacją wymagań podmiotowych umowy i podstawą ewentualnego postępowania sądowego przed Sądem Okręgowym — Sądem Gospodarczym.

Jak bezpiecznie zarządzać kluczami API w umowie i praktyce?

Klucze API (API keys) to poświadczenia uwierzytelniające, które identyfikują klienta i autoryzują jego dostęp do API. Bezpieczne zarządzanie kluczami API jest obowiązkiem zarówno dostawcy, jak i klienta — zaniedbania w tym zakresie mogą prowadzić do nieautoryzowanego dostępu do danych osobowych i naruszenia RODO. Umowa o dostęp do API powinna określać: zasady generowania i dystrybucji kluczy — klucze powinny być unikalne dla każdego klienta i generowane przez bezpieczny generator pseudolosowy; zasady przechowywania — klucze API muszą być przechowywane po stronie serwera, nigdy w kodzie aplikacji klienckiej widocznym po stronie front-endu (Javascript, mobile app), ponieważ stanowią tajemnicę przedsiębiorstwa (art. 11 u.z.n.k.); obowiązek powiadamiania o wycieku — klient zobowiązany jest niezwłocznie powiadomić dostawcę w razie podejrzenia wycieku klucza; procedurę rotacji kluczy — możliwość unieważnienia i ponownego wygenerowania klucza bez przerwy w działaniu integracji; prawo dostawcy do zawieszenia klucza — przy naruszeniu zasad bezpieczeństwa lub warunków umowy. Zawieszenie klucza API bez ostrzeżenia i bez podstawy umownej może natomiast stanowić nienależyte wykonanie umowy przez dostawcę, skutkujące roszczeniami klienta na podstawie art. 471 KC.

Kiedy umowa o dostęp do API wymaga osobnej umowy powierzenia RODO?

Umowa powierzenia przetwarzania danych osobowych zgodna z art. 28 rozporządzenia (UE) 2016/679 (RODO) jest wymagana za każdym razem, gdy poprzez API dochodzi do przetwarzania danych osobowych przez podmiot przetwarzający w imieniu administratora. W kontekście API dotyczy to na przykład: dostawcy API płatności, który przetwarza dane transakcyjne klientów e-commerce (dane płatnika, adres); dostawcy API weryfikacji tożsamości, który przetwarza dane osobowe weryfikowanych użytkowników; dostawcy API wysyłki SMS lub e-mail, który otrzymuje dane osobowe odbiorców wiadomości. Jeżeli klient integruje API i przekazuje dostawcy dane osobowe swoich użytkowników, klient jest administratorem, a dostawca — podmiotem przetwarzającym (procesorem), co wymaga umowy powierzenia. Umowa powierzenia musi zawierać elementy z art. 28 ust. 3 RODO: cel i przedmiot przetwarzania, czas trwania, charakter przetwarzania, kategorie danych, zobowiązania do poufności, środki bezpieczeństwa (art. 32 RODO), zasady podpowierzenia, pomoc administratorowi i usunięcie danych po zakończeniu umowy. Brak umowy powierzenia stanowi naruszenie RODO nadzorowane przez Prezesa Urzędu Ochrony Danych Osobowych (PUODO) i może skutkować karą finansową.

Jak działają limity wywołań API i jak uniknąć problemów z nimi związanych?

Limity wywołań API (rate limiting) to mechanizm ograniczający liczbę żądań wysyłanych do API przez klienta w określonym czasie — na przykład 100 żądań na minutę lub 10 000 żądań miesięcznie. Limity służą ochronie infrastruktury dostawcy przed przeciążeniem i stanowią podstawę modelu cenowego API. Umowa powinna precyzyjnie opisywać: limity miesięczne i minutowe (czy sekundowe), sposób pomiaru (okno stałe czy ruchome), zachowanie API po przekroczeniu limitu (błąd HTTP 429 Too Many Requests, blokada do końca okresu rozliczeniowego czy automatyczne naliczanie nadlimitu), ceny za przekroczenie limitu, mechanizm powiadamiania o zbliżaniu się do limitu (np. e-mail przy 80% zużycia) i możliwość zakupu dodatkowych wywołań. Klient, który zaplanował integrację na podstawie limitów opisanych w dokumentacji API, a dostawca obniżył te limity bez uprzedzenia, może mieć roszczenia z tytułu nienależytego wykonania umowy (art. 471 KC). Zmiany limitów powinny wymagać pisemnego powiadomienia z odpowiednim wyprzedzeniem — standardowo 30 dni dla zmian niekorzystnych dla klienta. Brak precyzyjnych postanowień o limitach jest jedną z najczęstszych przyczyn sporów B2B rozstrzyganych przed Sądem Okręgowym w ramach postępowania w sprawach gospodarczych.

Czy można zakazać dekompilacji API w umowie?

Tak, zakaz dekompilacji API jest standardowym elementem umowy o dostęp do API i ma podstawę w ustawie o prawie autorskim. Ustawa z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (pr. aut.) w art. 74 ust. 4 przewiduje ustawowe uprawnienie do dekompilacji programu komputerowego wyłącznie w celu osiągnięcia interoperacyjności z niezależnie stworzonym programem, gdy informacje niezbędne do interoperacyjności nie są dostępne od uprawnionego. Dostawca API może zatem zawrzeć w umowie szeroki zakaz dekompilacji, dezasemblacji i inżynierii wstecznej — z zastrzeżeniem, że ustawowego wyjątku interoperacyjności nie można wyłączyć umownie (art. 76 pr. aut.). W praktyce oznacza to, że klient nie może dekompilować API w celu odtworzenia jego logiki biznesowej ani tworzenia bezpośrednio konkurujących rozwiązań, ale może to robić w ograniczonym zakresie wyłącznie dla celów interoperacyjności z własnymi systemami. Naruszenie zakazu dekompilacji rodzi odpowiedzialność za naruszenie praw autorskich (art. 79 pr. aut.) i może stanowić podstawę do natychmiastowego wypowiedzenia umowy oraz dochodzenia odszkodowania przed Sądem Okręgowym — Sądem Gospodarczym.

Jak wygląda odpowiedzialność dostawcy API za awarie i przestoje?

Odpowiedzialność dostawcy API za awarie i przestoje regulują przepisy Kodeksu cywilnego i postanowienia umowne. Na podstawie art. 471 KC dłużnik — czyli dostawca API — zobowiązany jest do naprawienia szkody wynikłej z nienależytego wykonania umowy (awarii, przestoju), chyba że niewykonanie jest następstwem okoliczności, za które nie ponosi odpowiedzialności (np. siła wyższa, awaria centrum danych poza kontrolą dostawcy). Umowy API między przedsiębiorcami (B2B) standardowo ograniczają odpowiedzialność dostawcy do określonej kwoty — np. równowartości wynagrodzenia za ostatnie 3 miesiące — i wyłączają odpowiedzialność za utracone korzyści klienta. Ograniczenie to jest dopuszczalne w relacjach B2B (art. 473 KC), ale nie może dotyczyć szkody wyrządzonej umyślnie (art. 473 § 2 KC). Kary umowne za naruszenie SLA (art. 483 KC) są często korzystniejszym rozwiązaniem dla klienta, ponieważ nie wymagają udowadniania szkody — dostawca płaci umówioną kwotę niezależnie od tego, czy klient faktycznie poniósł stratę. Spory o odpowiedzialność za awarie API są rozstrzygane przed Sądem Okręgowym — Sądem Gospodarczym (art. 458[1] KPC) lub przed Sądem Arbitrażowym przy Krajowej Izbie Gospodarczej (KIG).

Umowa o dostęp do API

UMOWA O DOSTĘP DO API

zawarta w dniu [Data Zawarcia]

Strony umowy

§ 1. Strony umowy

1. Dostawca API: [Dostawca Api Nazwa], [Dostawca Api Dane], zwany dalej „Dostawcą”.

2. Klient: [Klient Api Nazwa], [Klient Api Dane], zwany dalej „Klientem”.

Przedmiot umowy

§ 2. Przedmiot umowy

3. Dostawca udostępnia Klientowi dostęp do interfejsu programistycznego (Application Programming Interface, API) o następujących cechach: [Opis Api].

4. Dostawca udziela Klientowi niewyłącznej, niezbywalnej licencji na korzystanie z API w zakresie: [Model Licencji]. Licencja obejmuje wyłącznie korzystanie z API — nie przenosi własności kodu źródłowego API ani innych praw własności intelektualnej Dostawcy. Klauzule dotyczące programów komputerowych podlegają art. 74 ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (pr. aut.).

5. Klient nie jest uprawniony do: dekompilacji, dezasemblacji ani inżynierii wstecznej API (art. 74 ust. 4 pr. aut. — z wyjątkami ustawowymi), udostępniania kluczy API osobom trzecim, odsprzedaży dostępu do API ani tworzenia produktów bezpośrednio konkurujących z API Dostawcy.

Wynagrodzenie i limity

§ 3. Wynagrodzenie i limity wywołań

6. Wynagrodzenie: [Wynagrodzenie].

7. Limity wywołań API (rate limiting): [Limity Wywolan].

8. Wynagrodzenie płatne jest przelewem na rachunek bankowy Dostawcy. W razie opóźnienia Dostawca uprawniony jest do odsetek ustawowych za opóźnienie w transakcjach handlowych zgodnie z ustawą z dnia 8 marca 2013 r. o przeciwdziałaniu nadmiernym opóźnieniom w transakcjach handlowych, a do roszczeń wynikających z prowadzenia działalności gospodarczej stosuje się 3-letni termin przedawnienia (art. 118 Kodeksu cywilnego, zwanego dalej „KC”).

Obowiązki techniczne i SLA

§ 4. Obowiązki techniczne i poziom usług

9. Poziom dostępności API (SLA): [Sla Api].

10. Klucze API i bezpieczeństwo: [Klucze Api]. Klient zobowiązany jest do niezwłocznego powiadomienia Dostawcy w razie podejrzenia wycieku lub nieautoryzowanego użycia klucza API.

11. Dostawca jest uprawniony do tymczasowego zawieszenia dostępu do API w przypadku naruszenia przez Klienta warunków umowy, podejrzenia ataku cybernetycznego lub przekroczenia limitu wywołań.

12. Dostawca świadczy usługi z należytą starannością profesjonalisty (art. 355 § 2 KC). Odpowiedzialność Dostawcy wobec Klienta-przedsiębiorcy z tytułu niewykonania lub nienależytego wykonania umowy ograniczona jest do równowartości wynagrodzenia zapłaconego przez Klienta w ciągu ostatnich 3 miesięcy poprzedzających zdarzenie wywołujące szkodę.

Ochrona danych osobowych

§ 5. Ochrona danych osobowych

13. Zasady przetwarzania danych osobowych: [Dane Osobowe].

14. Dane osobowe przetwarzane za pośrednictwem API podlegają rozporządzeniu (UE) 2016/679 (RODO) i ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych. Jeżeli Klient przetwarza za pomocą API dane osobowe, których administratorem jest Dostawca, Strony zobowiązują się do zawarcia umowy powierzenia przetwarzania danych osobowych zgodnie z art. 28 RODO.

Poufność i własność intelektualna

§ 6. Poufność i własność intelektualna

15. Klient zobowiązuje się do zachowania w tajemnicy dokumentacji API, kluczy API i wszelkich informacji technicznych przekazanych przez Dostawcę, stanowiących tajemnicę przedsiębiorstwa w rozumieniu art. 11 ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (u.z.n.k.).

16. Wszelkie prawa własności intelektualnej do API, dokumentacji i kodu źródłowego należą wyłącznie do Dostawcy. Klient nie nabywa żadnych praw własności intelektualnej poza licencją opisaną w § 2.

17. Za naruszenie poufności Klient zobowiązany jest do zapłaty kary umownej w wysokości 10 000 zł (dziesięć tysięcy złotych) za każde stwierdzone naruszenie, na zasadzie art. 483 § 1 KC. Dostawca zachowuje prawo do dochodzenia odszkodowania przewyższającego karę umowną.

Postanowienia końcowe

§ 7. Postanowienia końcowe

18. Umowę zawarto na czas nieokreślony z możliwością wypowiedzenia przez każdą ze Stron z 30-dniowym wyprzedzeniem. Dostawca może wypowiedzieć umowę ze skutkiem natychmiastowym w przypadku rażącego naruszenia jej warunków przez Klienta.

19. W sprawach nieuregulowanych stosuje się przepisy KC, pr. aut. i ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną.

20. Spory wynikające z umowy Strony zobowiązują się rozwiązywać polubownie. W razie braku porozumienia właściwy jest Sąd Okręgowy w Warszawie — Sąd Gospodarczy (sądy gospodarcze według art. 458[1] KPC). Strony mogą skierować spór do sądu polubownego przy Sądzie Arbitrażowym przy Krajowej Izbie Gospodarczej (KIG) zgodnie z art. 1161 KPC.

21. Wszelkie zmiany umowy wymagają formy pisemnej pod rygorem nieważności (art. 77 § 1 KC). Umowa sporządzona w dwóch egzemplarzach.

Podpisy

Dostawca API

________________

Signature

Klient (Integrator)

________________

Signature

Prowadzone przez Vladislav Sergienko, Założyciel·Szablon ostatnio zmodyfikowany: 2026-06-23·Zgłoś błąd

Czym jest Umowa o dostęp do API?

Umowa o dostęp do API w Polsce to dokument prawny regulujący warunki udostępniania interfejsu programistycznego aplikacji (Application Programming Interface) przez dostawcę API klientom-integratorom. Umowa o dostęp do API w Polsce jest umową nienazwaną opartą na zasadzie swobody umów (art. 353[1] Kodeksu cywilnego, ustawa z dnia 23 kwietnia 1964 r., Dz.U. 1964 nr 16 poz. 93 ze zm.), łączącą elementy umowy licencyjnej, umowy o świadczenie usług (art. 750 KC) i umowy SaaS. API to zestaw protokołów i narzędzi umożliwiający integrację systemu informatycznego dostawcy z systemem klienta bez dostępu do kodu źródłowego — klient korzysta z funkcjonalności dostawcy przez precyzyjnie zdefiniowane punkty dostępu (endpointy) i format wymiany danych (JSON, XML).

API jako element oprogramowania podlega ochronie prawa autorskiego — zgodnie z art. 74 ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (pr. aut.) programy komputerowe chronione są jak utwory literackie, a majątkowe prawa autorskie do programu stworzonego przez pracownika w ramach stosunku pracy przysługują pracodawcy. Udostępnienie API klientowi bez pisemnej umowy licencyjnej rodzi ryzyko naruszenia tych praw, a klient korzystający z API bez ważnej licencji naraża się na odpowiedzialność cywilną i karną z tytułu naruszenia praw autorskich. Licencja na korzystanie z API powinna precyzyjnie określać pola eksploatacji zgodnie z art. 41 ust. 2 pr. aut. — umowa przenosi prawa lub udziela licencji tylko w zakresie wyraźnie wymienionym.

Kluczowym elementem umowy o dostęp do API są limity wywołań (rate limiting) — mechanizm ograniczający liczbę żądań, jakie klient może wysłać do API w jednostce czasu. Limity chronią infrastrukturę dostawcy przed przeciążeniem i stanowią podstawę modelu cenowego wielu dostawców API (model pay-per-use lub tier-based). Umowa powinna precyzyjnie opisywać limity, zasady pomiaru zużycia, sposób powiadamiania o zbliżającym się limicie i opłaty za przekroczenie. Brak takich postanowień może prowadzić do sporów o wysokość należnego wynagrodzenia rozstrzyganych przed Sądem Okręgowym w ramach postępowania w sprawach gospodarczych.

Nieodłącznym elementem umowy o dostęp do API jest klauzula o poziomie usług (SLA — Service Level Agreement), określająca gwarantowaną dostępność API, czas odpowiedzi i procedurę zgłaszania awarii. SLA stanowi dokumentację wymagań podmiotowych umowy — brak jego spełnienia daje klientowi podstawę do roszczeń z tytułu nienależytego wykonania umowy (art. 471 KC) lub do naliczenia kar umownych (art. 483 KC). Kara umowna za naruszenie SLA jest instrumentem wymuszającym na dostawcy należytą staranność wymaganą od przedsiębiorcy (art. 355 § 2 KC) bez konieczności udowadniania szkody przez klienta.

Gdy API przetwarza dane osobowe użytkowników — np. dane transakcyjne, dane identyfikacyjne — umowa o dostęp do API musi regulować kwestie RODO. Strony muszą ustalić, kto jest administratorem danych, a kto podmiotem przetwarzającym, i zawrzeć umowę powierzenia przetwarzania danych osobowych zgodnie z art. 28 rozporządzenia (UE) 2016/679 (RODO). Nadzór nad przestrzeganiem RODO sprawuje Prezes Urzędu Ochrony Danych Osobowych (PUODO). Naruszenie przepisów RODO grozi karą pieniężną do 20 mln euro lub 4% globalnego obrotu rocznego.

Ochrona tajemnicy przedsiębiorstwa jest kolejnym kluczowym elementem umowy. Dokumentacja API, klucze API i struktury danych stanowią tajemnicę przedsiębiorstwa chronioną na podstawie art. 11 ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (u.z.n.k.). Klauzula poufności i kara umowna za jej naruszenie (art. 483 KC) są standardowymi elementami umów o dostęp do API w Polsce, zapewniającymi dostawcy ochronę przed nieautoryzowanym ujawnieniem i odsprzedażą dostępu do API.

Kiedy potrzebujesz Umowa o dostęp do API?

Umowa o dostęp do API w Polsce jest potrzebna zawsze, gdy podmiot udostępnia swoje API osobom trzecim — zarówno odpłatnie, jak i nieodpłatnie — oraz gdy integruje zewnętrzne API w swoich produktach lub usługach.

Udostępnianie publicznego API dla deweloperów. Dostawca platformy technologicznej, systemu płatności, map lub danych finansowych, który udostępnia API zewnętrznym deweloperom, potrzebuje umowy regulującej zakres licencji, limity wywołań, SLA i zasady odpowiedzialności. Bez umowy dostawca naraża się na naruszenie praw autorskich przez klientów i nie może skutecznie dochodzić roszczeń.

Integracja systemów w projekcie B2B. Firmy integrujące zewnętrzne API — płatności online (PayU, Stripe), wysyłkę SMS, mapy, dane weryfikacyjne KRS — w swoich aplikacjach powinny posiadać pisemną umowę licencyjną z dostawcą API, potwierdzającą zakres dozwolonego korzystania i zasady odpowiedzialności za awarie.

Rozwój produktów opartych na danych z API. Startupy i firmy produktowe budujące aplikacje oparte na danych z zewnętrznych API (np. dane giełdowe, dane meteorologiczne, dane o cenach nieruchomości) potrzebują umowy o dostęp do API określającej: zakaz odsprzedaży danych, wymagania dotyczące licencjonowania danych, ograniczenia terytorialne i zasady cytowania źródła.

Wdrożenie API w modelu white-label. Dostawcy oferujący API w modelu OEM lub white-label (klient integruje API pod własną marką) potrzebują szczegółowej umowy określającej zakres dozwolonej modyfikacji interfejsu, wymagania dotyczące atrybutu źródła i zasady sublicencji.

Zabezpieczenie przed nadużyciami API. Dostawca chcący skutecznie dochodzić roszczeń za scraping, nadmierne obciążenie API lub nieautoryzowany dostęp potrzebuje umowy z wyraźnymi zakazami, karami umownymi (art. 483 KC) i prawem do natychmiastowego zawieszenia dostępu. Umowa o zachowaniu poufności i ochronie tajemnicy przedsiębiorstwa (art. 11 u.z.n.k.) wzmacnia ochronę dokumentacji API.

Spełnienie wymogów RODO. Gdy API wymienia dane osobowe użytkowników między systemami, umowa o dostęp do API musi zawierać klauzulę RODO lub odesłanie do odrębnej umowy powierzenia przetwarzania (art. 28 RODO), którą kontroluje Prezes Urzędu Ochrony Danych Osobowych (PUODO).

Co powinien zawierać Umowa o dostęp do API

Umowa o dostęp do API w Polsce powinna zawierać poniższe klauzule, by skutecznie chronić obie strony i spełniać wymogi prawa autorskiego, RODO i Kodeksu cywilnego.

Oznaczenie stron. Pełne dane dostawcy API (firma, adres, NIP, REGON, KRS lub CEIDG) i klienta-integratora. Precyzyjne oznaczenie stron umożliwia dochodzenie roszczeń przed Sądem Okręgowym — Sądem Gospodarczym w trybie postępowania w sprawach gospodarczych (art. 458[1] KPC).

Opis API i zakres licencji. Szczegółowy opis API, dostępnych endpointów, obsługiwanych protokołów i formatów danych. Udzielenie niewyłącznej, niezbywalnej licencji z precyzyjnie określonymi polami eksploatacji (art. 41 ust. 2 pr. aut.) i dozwolonym przeznaczeniem. Zakaz dekompilacji, dezasemblacji i inżynierii wstecznej (art. 74 ust. 4 pr. aut.). Zakaz odsprzedaży dostępu do API.

Limity wywołań (rate limiting). Określenie limitów miesięcznych i minutowych, sposobu pomiaru zużycia, mechanizmu powiadamiania o zbliżaniu się do limitu i opłat za przekroczenie. Jasne limity chronią dostawcę przed przeciążeniem infrastruktury i stanowią podstawę modelu cenowego.

Wynagrodzenie i warunki płatności. Cena (netto + VAT 23%) lub opis planu darmowego, termin płatności i zasady wystawiania faktur VAT. Odsetki za opóźnienie zgodnie z ustawą z dnia 8 marca 2013 r. o przeciwdziałaniu nadmiernym opóźnieniom w transakcjach handlowych. forms-legal.com zaleca określenie 3-letniego terminu przedawnienia roszczeń pieniężnych z art. 118 KC.

Poziom usług (SLA). Gwarantowana dostępność API (%), czas odpowiedzi, procedura zgłaszania awarii i czas ich usunięcia. Kara umowna za naruszenie SLA (art. 483 KC) — np. proporcjonalne obniżenie wynagrodzenia lub stała kwota za każdą godzinę niedostępności powyżej progu.

Klucze API i bezpieczeństwo. Zasady wydawania, odnawiania i unieważniania kluczy API. Zakaz umieszczania kluczy po stronie klienta (front-end). Obowiązek niezwłocznego powiadomienia o podejrzeniu wycieku klucza. Prawo dostawcy do zawieszenia klucza przy naruszeniu zasad bezpieczeństwa.

Poufność i tajemnica przedsiębiorstwa. Klauzula poufności dotycząca dokumentacji API, kluczy API i danych technicznych jako tajemnicy przedsiębiorstwa (art. 11 u.z.n.k.). Kara umowna za naruszenie poufności (art. 483 KC).

Dane osobowe i RODO. Określenie ról administratora i podmiotu przetwarzającego. Odesłanie do umowy powierzenia przetwarzania danych (art. 28 RODO) lub zamieszczenie klauzuli powierzenia w umowie. Organ nadzoru — PUODO.

Rozwiązywanie sporów. Sąd Okręgowy — Sąd Gospodarczy lub klauzula arbitrażowa przy Sądzie Arbitrażowym Krajowej Izby Gospodarczej (KIG) zgodnie z art. 1161 KPC.

Jak wypełnić Umowa o dostęp do API

Umowę o dostęp do API w Polsce wypełnia się według poniższej procedury.

Krok 1 — strony umowy. Wpisz pełne dane dostawcy API i klienta-integratora. Dla podmiotów wpisanych do Krajowego Rejestru Sądowego (KRS) podaj numer KRS; dla jednoosobowej działalności — numer z CEIDG.

Krok 2 — opis API i licencja. Opisz API: endpointy, protokoły (REST, GraphQL, SOAP), formaty danych (JSON, XML). Określ zakres licencji niewyłącznej z wymienionymi polami eksploatacji (art. 41 ust. 2 pr. aut.) i zakazem dekompilacji (art. 74 pr. aut.).

Krok 3 — limity wywołań. Wpisz limity miesięczne i minutowe, zasady pomiaru i opłaty za przekroczenie. Zdecyduj, czy nadlimit blokuje dostęp, czy jest płatny na żądanie.

Krok 4 — wynagrodzenie. Wpisz wynagrodzenie netto + VAT 23% lub opis planu darmowego. Podaj termin płatności i zasady fakturowania. Uwzględnij odsetki za opóźnienie w transakcjach handlowych.

Krok 5 — SLA. Wpisz gwarantowaną dostępność API (np. 99,5% miesięcznie), czas odpowiedzi (percentyl 95.), czas usunięcia awarii krytycznej i niskiej, procedurę zgłaszania usterek. Opcjonalnie — kary umowne za naruszenie SLA (art. 483 KC).

Krok 6 — klucze API. Opisz zasady generowania, odnawiania i unieważniania kluczy. Wskaż obowiązek klienta co do bezpiecznego przechowywania klucza i zakaz umieszczania go po stronie front-endu.

Krok 7 — dane osobowe. Ustal, czy API przetwarza dane osobowe. Jeżeli tak — zawrzyj w umowie klauzulę powierzenia przetwarzania danych (art. 28 RODO) lub odesłanie do odrębnej umowy powierzenia. Wskaż PUODO jako organ nadzoru.

Krok 8 — poufność i kary umowne. Wpisz klauzulę poufności i karę umowną za jej naruszenie (art. 483 KC). Podaj datę zawarcia umowy i zbierz podpisy stron. Zmiana umowy wymaga formy pisemnej (art. 77 § 1 KC).

Wymogi prawne dla Umowa o dostęp do API

Umowa o dostęp do API w Polsce podlega przepisom Kodeksu cywilnego, prawa autorskiego, ustawy o zwalczaniu nieuczciwej konkurencji i RODO.

Kodeks cywilny — umowa nienazwana i wykonanie. Umowa o dostęp do API jest umową nienazwaną opartą na art. 353[1] KC (swoboda umów) z elementami zlecenia (art. 750 KC) i umowy o świadczenie usług. Dostawca świadczy usługi z należytą starannością profesjonalisty (art. 355 § 2 KC). Odpowiedzialność za nienależyte wykonanie — art. 471 KC. Kara umowna za zobowiązania niepieniężne — art. 483 KC. Odsetki za opóźnienie — art. 481 KC. Przedawnienie roszczeń B2B — 3 lata (art. 118 KC). Zmiany umowy w formie pisemnej (art. 77 § 1 KC).

Prawo autorskie. API jako oprogramowanie podlega ochronie art. 74 ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (pr. aut.). Licencja na korzystanie z API musi spełniać wymogi formalne — licencja wyłączna wymaga formy pisemnej pod rygorem nieważności (art. 67 ust. 5 pr. aut.), niewyłączna może być ustna, ale pisemna jest zalecana dla bezpieczeństwa prawnego. Pola eksploatacji muszą być wyraźnie wymienione (art. 41 ust. 2 pr. aut.). Zakaz dekompilacji wynika z art. 74 ust. 4 pr. aut., z wyjątkami ustawowymi dotyczącymi interoperacyjności.

Ustawa o zwalczaniu nieuczciwej konkurencji. Dokumentacja API, klucze i struktury danych chronione są jako tajemnica przedsiębiorstwa (art. 11 u.z.n.k. z dnia 16 kwietnia 1993 r.). Bezprawne ujawnienie lub wykorzystanie tajemnicy przedsiębiorstwa jest czynem nieuczciwej konkurencji rodzącym odpowiedzialność odszkodowawczą i karną.

RODO i u.o.d.o. Gdy API wymienia dane osobowe, strony muszą ustalić role administratora i podmiotu przetwarzającego. Umowa powierzenia przetwarzania z art. 28 RODO jest obowiązkowa, gdy klient przetwarza dane osobowe w imieniu dostawcy. Organ nadzoru — PUODO. Naruszenie RODO — kara do 20 mln euro lub 4% obrotu.

Ustawa o świadczeniu usług drogą elektroniczną. Udostępnianie API jako usługi elektronicznej podlega u.ś.u.d.e. — wymagane udostępnienie regulaminu i spełnienie obowiązków informacyjnych z art. 5 u.ś.u.d.e.

Przeciwdziałanie opóźnieniom w transakcjach handlowych. Do transakcji handlowych między przedsiębiorcami stosuje się ustawę z dnia 8 marca 2013 r. o przeciwdziałaniu nadmiernym opóźnieniom w transakcjach handlowych — odsetki ustawowe za opóźnienie w transakcjach handlowych i rekompensata 40/70/100 euro za koszty windykacji.

Najczęstsze błędy w Umowa o dostęp do API

Umowa o dostęp do API w Polsce często zawiera błędy prowadzące do sporów sądowych między dostawcą a klientem.

Błąd 1 — nieprecyzyjny zakres licencji. Brak wyraźnego wymienienia pól eksploatacji lub dozwolonego przeznaczenia powoduje, że klient może korzystać z API w sposób nieplanowany przez dostawcę. Zalecenie: wymień pola eksploatacji zgodnie z art. 41 ust. 2 pr. aut. i wskaż konkretne aplikacje lub systemy, w których API może być używane.

Błąd 2 — brak SLA z karami umownymi. Ogólne zapewnienia o „dostępności” bez konkretnych liczb i konsekwencji ich niedotrzymania nie chronią klienta. Zalecenie: podaj procentową dostępność, czas usunięcia awarii i kary umowne za naruszenie SLA (art. 483 KC), aby dostawca miał realną motywację do utrzymania usługi.

Błąd 3 — brak klauzuli RODO / umowy powierzenia. Gdy API wymienia dane osobowe, brak umowy powierzenia (art. 28 RODO) stanowi naruszenie RODO i może skutkować sankcją PUODO. Zalecenie: ustal role administratora i podmiotu przetwarzającego i zawrzyj umowę powierzenia przetwarzania danych.

Błąd 4 — nieaktualne klucze API. Brak procedury rotacji kluczy API w przypadku wycieku naraża obie strony na nieuprawniony dostęp do danych. Zalecenie: opisz procedurę unieważnienia klucza i wymagaj niezwłocznego powiadomienia o wycieku.

Błąd 5 — brak zakazu dekompilacji. Klient, który nie podpisał umowy zakazującej dekompilacji API, może próbować odwracać inżynierię oprogramowania. Zalecenie: zamieść wyraźny zakaz dekompilacji zgodnie z art. 74 ust. 4 pr. aut. z wyjątkami ustawowymi.

Błąd 6 — brak ograniczenia odpowiedzialności. Dostawca API odpowiada za nienależyte wykonanie umowy (art. 471 KC), a szkody wynikające z awarii API mogą być nieproporcjonalnie wysokie wobec pobranego wynagrodzenia. Zalecenie: ogranicz odpowiedzialność dostawcy do równowartości wynagrodzenia za ostatnie 3 miesiące, co jest standardową praktyką w umowach API B2B.

Cytuj tę stronę

Powołaj się na ten darmowy szablon w artykule, programie zajęć lub notatce badawczej:

APA

Forms Legal. (2026). Umowa o dostęp do API (Polska) [Legal document template]. Forms Legal. https://forms-legal.com/pl/polska/business/contracts/umowa-o-dostep-do-api

MLA

"Umowa o dostęp do API (Polska)." Forms Legal, 2026, https://forms-legal.com/pl/polska/business/contracts/umowa-o-dostep-do-api.

BibTeX

@misc{formslegal-umowa-o-dostep-do-api,
  author       = {{Forms Legal}},
  title        = {Umowa o dostęp do API (Polska)},
  year         = {2026},
  howpublished = {\url{https://forms-legal.com/pl/polska/business/contracts/umowa-o-dostep-do-api}},
  note         = {Free legal document template}
}

Najczęściej zadawane pytania

Szablon z odniesieniami do przepisów — Szablon ostatnio zmodyfikowano w czerwiec 2026

Niniejszy szablon ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. Przepisy różnią się w zależności od jurysdykcji i zmieniają się z czasem. W sprawie porady dostosowanej do Twojej sytuacji skonsultuj się z wykwalifikowanym prawnikiem.Pełne zastrzeżenie prawne

Znalazłeś błąd? Daj nam znać