Umowa subskrypcji SaaS

Umowa subskrypcji SaaS (Software as a Service) w Polsce to kontrakt regulujący dostęp klienta do oprogramowania udostępnianego przez dostawcę za pośrednictwem internetu w modelu subskrypcyjnym. Zamiast jednorazowego zakupu licencji na oprogramowanie instalowanego lokalnie, klient płaci cykliczną opłatę abonamentową za korzystanie z oprogramowania utrzymywanego na serwerach dostawcy. Model SaaS obejmuje takie rozwiązania jak platformy CRM, systemy ERP, narzędzia księgowe, systemy zarządzania projektami, platformy marketingowe czy inne aplikacje biznesowe dostępne przez przeglądarkę internetową lub aplikację mobilną.

Umowa subskrypcji SaaS jest umową o świadczenie usług w rozumieniu art. 750 Kodeksu cywilnego (ustawa z dnia 23 kwietnia 1964 r.), a usługa jest świadczona drogą elektroniczną na podstawie ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną. Oprogramowanie stanowi program komputerowy będący utworem chronionym na podstawie ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych — dostawca udziela klientowi niewyłącznej licencji na korzystanie z oprogramowania w ramach subskrypcji (art. 74 pr. aut.).

Kluczowym elementem umowy SaaS jest gwarantowany poziom dostępności usługi (Service Level Agreement, SLA). Dostawca zobowiązuje się utrzymywać oprogramowanie dostępne przez określony procent czasu — typowo 99% lub 99,5% miesięcznie — z zastrzeżeniem planowanych okien konserwacyjnych. Niedotrzymanie SLA uprawnia klienta do obniżki opłaty lub odszkodowania proporcjonalnego do czasu niedostępności.

Ochrona danych osobowych jest szczególnie istotna w umowach SaaS, ponieważ klient powierza dostawcy przetwarzanie danych swoich klientów, pracowników lub kontrahentów. Dostawca SaaS działa jako podmiot przetwarzający (procesor) w rozumieniu art. 4 pkt 8 rozporządzenia (UE) 2016/679 (RODO), a klient jest administratorem danych. Art. 28 ust. 3 RODO wymaga zawarcia pisemnej umowy powierzenia przetwarzania danych (DPA), precyzującej przedmiot, czas, charakter i cel przetwarzania, stosowane środki bezpieczeństwa (art. 32 RODO) oraz prawa do audytu. Nadzór nad ochroną danych sprawuje Prezes Urzędu Ochrony Danych Osobowych (PUODO).

Rozliczenia w modelu SaaS opierają się na cyklicznych fakturach VAT wystawianych z góry na kolejny okres subskrypcji. Do ceny netto doliczany jest podatek od towarów i usług (VAT 23%) na podstawie ustawy z dnia 11 marca 2004 r. o podatku od towarów i usług. W przypadku opóźnienia w płatności dostawca ma prawo do odsetek ustawowych za opóźnienie w transakcjach handlowych na podstawie ustawy z dnia 8 marca 2013 r. o przeciwdziałaniu nadmiernym opóźnieniom w transakcjach handlowych, a przy dłuższych zaległościach — do zawieszenia dostępu do oprogramowania.

Umowa SaaS powinna też regulować kwestię przenoszenia danych (data portability) po zakończeniu subskrypcji. Klient powinien mieć prawo do eksportu swoich danych przed zakończeniem umowy, a dostawca powinien zapewnić stosowny czas na ten eksport i usunięcie danych ze swoich serwerów po określonym terminie. Reguluje to prawo do przenoszenia danych z art. 20 RODO, choć jego zakres stosowania jest węższy niż potoczne rozumienie tego uprawnienia.

Umowa subskrypcji SaaS w Polsce jest potrzebna w każdym przypadku, gdy przedsiębiorca udostępnia oprogramowanie jako usługę w modelu subskrypcyjnym lub korzysta z takiej usługi.

Uruchomienie produktu SaaS. Każdy dostawca oprogramowania w chmurze uruchamiający komercyjną usługę SaaS powinien posiadać wzorzec umowy subskrypcji, który precyzuje zakres usługi, SLA, licencję, warunki płatności i kwestie RODO. Brak umowy naraża na spory z klientami dotyczące zakresu usługi i odpowiedzialności za przerwy.

Rejestracja pierwszych klientów biznesowych. Przy pozyskiwaniu klientów B2B — szczególnie większych firm — niezbędna jest formalna umowa SaaS, którą dział zakupów lub prawny klienta może zaakceptować. Wielu klientów instytucjonalnych wymaga podpisanej umowy DPA (RODO art. 28) jako warunku korzystania z oprogramowania.

Zwiększenie limitów lub zmiana planu. Gdy klient zmienia plan subskrypcji lub zwiększa liczbę użytkowników, konieczny jest aneks do umowy lub nowa umowa precyzująca nowe parametry subskrypcji i opłaty.

Spełnienie wymogów compliance i audytów. Firmy podlegające regulacjom branżowym (m.in. ustawa o rachunkowości, przepisy KAS, normy ISO 27001) wymagają umów SaaS z precyzyjnymi postanowieniami o bezpieczeństwie danych, lokalizacji serwerów (EOG) i audytach, aby spełnić wymogi własnych działów compliance.

Wymogi zamówień publicznych. Instytucje publiczne korzystające z oprogramowania SaaS zobowiązane są do zawarcia pisemnej umowy spełniającej wymogi ustawy z dnia 11 września 2019 r. Prawo zamówień publicznych (PZP), w tym umowy DPA dla przetwarzanych danych.

Zabezpieczenie przed sporami o dostępność i dane. Precyzyjna umowa SaaS z jasnym SLA i klauzulami odpowiedzialności chroni obie strony w razie awarii — klient wie, jakiego odszkodowania może żądać, a dostawca zna granicę swojej odpowiedzialności.

Umowa subskrypcji SaaS w Polsce powinna zawierać następujące elementy, aby prawidłowo regulować stosunki między dostawcą a klientem.

Strony umowy i dane rejestrowe. Pełne dane dostawcy i klienta — firma, adres, NIP, REGON, numer KRS — niezbędne do wystawiania faktur VAT i identyfikacji stron w sporach. Dostawca powinien zweryfikować dane klienta w KRS lub CEIDG.

Opis oprogramowania i zakres subskrypcji. Jasny opis funkcji oprogramowania i zakresu dostępu w ramach wybranego planu — liczba użytkowników, limity przestrzeni, dostępne moduły. Określenie środowiska technicznego dostępu (przeglądarka, aplikacja mobilna, API).

SLA — gwarantowana dostępność. Procent gwarantowanego czasu dostępności usługi (np. 99% lub 99,5% miesięcznie), definicja awarii i przestoju, sposób pomiaru czasu niedostępności, harmonogram planowanych okien konserwacyjnych i tryb informowania klientów. Skutki niedotrzymania SLA — obniżka opłaty lub kredyt usługowy.

Licencja na oprogramowanie. Udzielona klientowi niewyłączna, niezbywalną licencja na korzystanie z oprogramowania w ramach subskrypcji, oparta na art. 74 ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (program komputerowy). Zakazy: dekompilacja, modyfikacja, redystrybucja, sublicencjonowanie.

Opłaty, fakturowanie i VAT. Cena netto subskrypcji + VAT 23%, moment wystawiania faktur, termin płatności, metody płatności, odsetki za opóźnienie (ustawa z 8 marca 2013 r.) i prawo dostawcy do zawieszenia dostępu przy zaległościach. forms-legal.com rekomenduje precyzyjne opisanie zasad zwrotów lub ich braku przy wcześniejszej rezygnacji.

Ochrona danych (RODO). Zakres i cel przetwarzania danych powierzonych przez klienta, opis środków bezpieczeństwa (art. 32 RODO), lokalizacja serwerów (EOG), umowa DPA lub odesłanie do załącznika DPA spełniającego wymogi art. 28 ust. 3 RODO. Nadzór PUODO.

Poufność i tajemnica przedsiębiorstwa. Wzajemne zobowiązanie do zachowania poufności informacji wymienianych w toku realizacji umowy — w tym danych klienta i technologii dostawcy — z powołaniem na ustawę z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji.

Okres próbny i zakończenie umowy. Ewentualny bezpłatny okres próbny, warunki jego zakończenia i przejścia na płatną subskrypcję. Zasady rozwiązania umowy, eksport danych klienta i termin usunięcia danych z serwerów dostawcy po zakończeniu subskrypcji.

Odpowiedzialność i ograniczenie jej zakresu. Zakres odpowiedzialności dostawcy za szkody — zazwyczaj ograniczone do opłat subskrypcyjnych z ostatnich 3 miesięcy, z wyłączeniem szkód z umyślnego działania. Wyłączenie odpowiedzialności za utracone korzyści klienta.

Umowa subskrypcji SaaS w Polsce wypełniana jest według kolejnych kroków zapewniających prawidłowe uregulowanie stosunków dostawca-klient.

Krok 1 — wpisz dane stron. Podaj pełne dane rejestrowe dostawcy — firmę, adres, NIP, REGON, numer KRS — i pełne dane klienta. NIP jest niezbędny do prawidłowego wystawienia faktur VAT.

Krok 2 — opisz oprogramowanie. Jasno opisz, co oferuje oprogramowanie SaaS i w jakim zakresie klient uzyskuje dostęp w ramach wybranego planu. Wskaż, jak klient się loguje — przez przeglądarkę, aplikację mobilną lub API.

Krok 3 — wpisz plan i warunki subskrypcji. Opisz wybrany plan — liczbę użytkowników, limity przestrzeni, cykl rozliczeniowy. Opisz warunki automatycznego odnawiania i termin złożenia rezygnacji, aby klient nie był zaskoczony.

Krok 4 — wpisz SLA. Wpisz gwarantowany poziom dostępności (np. 99% lub 99,5% miesięcznie), zdefiniuj pojęcie awarii i okna konserwacyjne. Opisz skutki niedotrzymania SLA — obniżkę opłaty lub kredyt usługowy.

Krok 5 — opisz warunki płatności. Wpisz cenę netto, termin wystawiania faktur i termin płatności. Zaznacz stawkę VAT 23%. Opisz, czy przysługuje zwrot opłaty przy wcześniejszej rezygnacji i jakie są odsetki za opóźnienie.

Krok 6 — ureguluj dane osobowe. Opisz, jakie dane klienta dostawca przetwarza i w jakim celu, gdzie są przechowywane serwery (EOG) i jakie środki bezpieczeństwa stosuje dostawca (art. 32 RODO). Zadbaj o zawarcie umowy DPA (art. 28 RODO).

Krok 7 — zastrzeż poufność i odpowiedzialność. Wpisz wzajemne zobowiązanie do poufności. Ogranicz odpowiedzialność dostawcy do rozsądnego pułapu.

Krok 8 — wpisz datę zawarcia i złóż podpisy. Podaj datę zawarcia umowy i dopilnuj podpisów uprawnionych reprezentantów obu stron zgodnych z KRS.

Umowa subskrypcji SaaS w Polsce podlega przepisom Kodeksu cywilnego, prawa autorskiego, ustawy o świadczeniu usług drogą elektroniczną, RODO i przepisów podatkowych.

Umowa o świadczenie usług. Umowa SaaS jest umową o świadczenie usług w rozumieniu art. 750 Kodeksu cywilnego, do której stosuje się odpowiednio przepisy o zleceniu (art. 734 KC). Dostawca ma obowiązek starannego działania (art. 355 § 2 KC — należyta staranność przedsiębiorcy). Odpowiedzialność za nienależyte wykonanie umowy reguluje art. 471 KC.

Prawo autorskie i licencja. Oprogramowanie jest programem komputerowym w rozumieniu art. 74 ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych, korzystającym ze szczególnej ochrony. Autorskie prawa majątkowe do programu stworzonego w ramach stosunku pracy przysługują pracodawcy (art. 74 ust. 3 pr. aut.). Bez licencji klient nie ma prawa korzystać z oprogramowania. Licencja musi precyzować pola eksploatacji (art. 50 pr. aut.) — w tym przypadku uruchomienie i wyświetlanie programu.

Ustawa o świadczeniu usług drogą elektroniczną. Dostawca SaaS jest usługodawcą w rozumieniu ustawy z dnia 18 lipca 2002 r. i zobowiązany jest do udostępnienia regulaminu świadczenia usług, określenia wymagań technicznych oraz trybu reklamacyjnego. W relacjach B2B te obowiązki mogą być spełnione przez umowę SaaS i politykę prywatności.

RODO — umowa powierzenia przetwarzania. Art. 28 ust. 3 rozporządzenia (UE) 2016/679 (RODO) wymaga zawarcia pisemnej umowy powierzenia przetwarzania danych (DPA) między administratorem (klientem) a procesorem (dostawcą). Elementy obowiązkowe DPA: przedmiot, czas, charakter i cel przetwarzania, rodzaj danych, obowiązki dotyczące poufności, środki bezpieczeństwa (art. 32 RODO), warunki podpowierzenia, pomoc administratorowi przy realizacji praw osób, audyty i usunięcie danych po zakończeniu. Brak DPA stanowi naruszenie RODO.

VAT i transakcje handlowe. Usługa SaaS jest opodatkowana VAT 23%. Faktura VAT musi zawierać obowiązkowe elementy z art. 106e ustawy z dnia 11 marca 2004 r. o podatku od towarów i usług. Opóźnienia w płatności między przedsiębiorcami podlegają ustawie z dnia 8 marca 2013 r. o przeciwdziałaniu nadmiernym opóźnieniom w transakcjach handlowych — ustawowe odsetki za opóźnienie wynoszą stopę NBP + 10 p.p., a rekompensata za koszty odzyskiwania należności to 40 lub 70 euro.

Umowy subskrypcji SaaS w Polsce zawierają typowe błędy, które mogą prowadzić do sporów lub naruszeń prawa.

Błąd 1 — brak umowy DPA. Pominięcie umowy powierzenia przetwarzania danych (art. 28 RODO) jest naruszeniem przepisów i może skutkować karą Prezesa PUODO. Zalecenie: zawrzyj umowę DPA lub włącz jej postanowienia do umowy SaaS.

Błąd 2 — niejasne lub nieistniejące SLA. Umowy bez określonego poziomu dostępności nie dają klientowi żadnych gwarancji co do jakości usługi. Zalecenie: precyzyjnie określ gwarantowany uptime, definicję przestoju i skutki niedotrzymania SLA.

Błąd 3 — brak postanowień o eksporcie danych po zakończeniu umowy. Klient może stracić dostęp do swoich danych bez możliwości ich eksportu. Zalecenie: opisz procedurę eksportu danych i termin przechowywania po zakończeniu subskrypcji.

Błąd 4 — niejasne warunki automatycznego odnawiania. Brak wyraźnej informacji o automatycznym odnawianiu subskrypcji może prowadzić do sporów o płatności. Zalecenie: opisz warunki odnawiania i termin złożenia rezygnacji przed odnowieniem.

Błąd 5 — nadmierne ograniczenie odpowiedzialności. Klauzule wyłączające całą odpowiedzialność dostawcy za szkody mogą być niedozwolonymi klauzulami umownymi (art. 385[1] KC) wobec konsumentów lub być zakwestionowane przez klientów B2B. Zalecenie: ogranicz odpowiedzialność do rozsądnego pułapu, nie wyłączaj jej całkowicie.

Błąd 6 — brak informacji o lokalizacji serwerów. Brak wskazania, gdzie przechowywane są dane klienta, narusza wymogi RODO dotyczące transferu danych poza EOG. Zalecenie: precyzyjnie wskaż lokalizację serwerów (EOG) i warunki ewentualnego transferu danych.