Umowy IT i SaaS
Umowy wdrożeniowe, vendor, B2B, SaaS, MSA, SOW, SLA, NDA, DPA, escrow kodu i licencje — szyte pod model komercyjny i ryzyko techniczne projektu.
Prawnik IT — partner technologiczny dla Twojej firmy
Pomagamy firmom IT, softwarehouse'om i dostawcom SaaS w umowach IT, RODO, AI Act, NIS2 i DORA. Łączymy wiedzę prawną z rozumieniem technologii i biznesu.
Marki, z którymi pracowaliśmy
zakres wsparcia prawnego dla firm IT
Doradztwo prawne, które rozumie produkt i architekturę: od kontraktów wdrożeniowych po regulacje sektorowe i transgraniczne. Pracujemy z założycielami, działami legal, project managementem i zespołami sprzedaży.
RODO i ochrona danych
Mapa przetwarzania, role administratora i procesora, DPA, transfery międzynarodowe, DPIA dla projektów AI/IT i obsługa incydentów.
AI Act i governance AI
Klasyfikacja systemów AI, AI inventory, dokumentacja dla high-risk, polityki użycia LLM, integracja z RODO i NIS2 oraz wsparcie produktów GenAI.
NIS2 i DORA
Kwalifikacja podmiotu, SZBI, raportowanie incydentów, third-party risk dla dostawców ICT instytucji finansowych i zgodność łańcucha dostaw.
Własność intelektualna i transfer technologii
Prawa autorskie do kodu, licencje open source, znaki towarowe, know-how, transfer technologii, R&D oraz umowy z kontrybutorami i podwykonawcami.
Spory i due diligence
Wsparcie przy sporach kontraktowych w IT, audyty due diligence przed inwestycją lub akwizycją oraz negocjacje z dużymi kontrahentami.
umowy IT — fundament każdego projektu technologicznego
Dobrze skonstruowana umowa IT chroni przed kosztownymi sporami, niedoszacowanym scope'em i ryzykiem regulacyjnym. Negocjujemy, drafty i obsługujemy realne wdrożenia.
Umowy wdrożeniowe i vendor
- Master Service Agreement (MSA) i Statement of Work (SOW)
- Definicja kamieni milowych, akceptacji odbioru i procedur zmian
- Service Level Agreement (SLA), kary umowne i mechanizmy eskalacji
- Limit odpowiedzialności, ubezpieczenie i podział ryzyka
Modele SaaS i B2B
- Umowy subskrypcyjne SaaS i licencje on-premise
- Order form, billing, mechanizmy retencji i churn
- Warunki usług (Terms of Service) i zasady korzystania
- Polityki acceptable use, fair use i ograniczenia odpowiedzialności
Ochrona danych i bezpieczeństwo
- Data Processing Agreement (DPA) i SCC dla transferów
- Załączniki bezpieczeństwa (security addendum) i audyty
- Procedury zgłaszania incydentów bezpieczeństwa do klienta
- Subprocesory, lokalizacja danych i exit strategy
Własność i licencje
- Prawa autorskie i pola eksploatacji do kodu i dokumentacji
- Open source: licencje MIT, Apache, GPL i compliance
- Source code escrow i prawa do gotowych komponentów
- Klauzule non-compete, non-solicit i tajemnica przedsiębiorstwa
regulacje, które dotyczą firm IT w 2026 roku
RODO, AI Act, NIS2, DORA i CRA tworzą jeden wzajemnie powiązany krajobraz compliance dla branży IT. Mapujemy i wdrażamy obowiązki tak, aby procesy i dokumenty nie dublowały się.
AI Act
Klasyfikacja systemów AI, AI inventory, polityki użycia LLM, dokumentacja dla high-risk i obowiązki dostawców GPAI. Integracja z RODO i procesem produktowym.
NIS2 / KSC
Kwalifikacja podmiotu, SZBI, raportowanie incydentów 24/72/1 mies., ryzyka łańcucha dostaw i obowiązki dla dostawców usług zarządzanych ICT.
DORA
Dla dostawców ICT instytucji finansowych: zarządzanie ryzykiem ICT, kontrakty z minimalnymi klauzulami, audyt, exit plan i raportowanie incydentów.
RODO / GDPR
Mapa procesów, role, DPA, transfery, DPIA dla projektów AI/IT, obsługa DSAR i zgłaszanie naruszeń. Audyt zgodności i outsourcing IOD.
Cyber Resilience Act
Obowiązki dla producentów oprogramowania i urządzeń z elementami cyfrowymi: ocena zgodności, vulnerability management, raportowanie i SBOM.
Data Act i Data Governance Act
Dostęp do danych z urządzeń IoT, switching providers, interoperacyjność, sektor publiczny i obowiązki przy data sharing oraz cloud portability.
ekspert prowadzący obszar IT
W projektach IT łączymy perspektywę prawną, biznesową i technologiczną. Znamy realia softwarehouse'ów, dostawców SaaS i firm produktowych — dlatego mówimy językiem inżynierów i zarządu.
Wsparcie eksperckie od pierwszego draftu umowy
- Negocjacje z dużymi kontrahentami i instytucjami finansowymi
- Praktyczna integracja zgodności z procesem produktowym
- Wsparcie przy due diligence inwestycyjnym i sprzedaży firmy
Atuty zespołu Legal Geek
- Doświadczenie w obsłudze softwarehouse'ów, fintechów i SaaS
- Spójna obsługa AI Act, NIS2, DORA, RODO i Cyber Resilience Act
- Wsparcie przy incydentach bezpieczeństwa i kontrolach organów
Kontakt w sprawie obsługi prawnej IT
Tomasz Klecor
Partner Zarządzający
Nawigator FinTechu. Prawnik.
Od 15 lat pomaga największym polskim i międzynarodowym fintechom rosnąć bezpiecznie i globalnie. Zaczynał jako prawnik - dziś łączy prawo, strategię i technologię, wspierając founderów i zarządy w podejmowaniu kluczowych decyzji: jak skalować biznes w zgodzie z regulacjami, jak prawidłowo wdrożyć DORA, MiCA czy AML oraz przygotować się na PSD3/PSR, i jak unikać regulatory killera, który potrafi zatrzymać rozwój.
LinkedIn
FAQ: najczęstsze pytania firm IT
Pytania, które słyszymy najczęściej od founderów, działów legal i project managementu w branży IT.
Czy moja firma IT podlega NIS2?
Wiele firm IT — szczególnie dostawcy usług zarządzanych, hosting, cloud, data center i providerzy DNS — wprost podlega NIS2 jako podmioty kluczowe lub istotne. Kwalifikacja zależy od rodzaju usług i progu zatrudnienia/obrotu, dlatego najlepiej zacząć od formalnej oceny.
Czy SaaS musi mieć regulamin i DPA?
Tak. Regulamin (Terms of Service) określa zasady korzystania z usługi i ogranicza odpowiedzialność dostawcy, a Data Processing Agreement (DPA) jest wymagane przez RODO za każdym razem, gdy SaaS przetwarza dane osobowe klientów biznesowych w roli procesora.
Co AI Act zmienia dla dostawców SaaS z LLM?
Dostawcy modeli ogólnego przeznaczenia (GPAI) mają obowiązki dokumentacyjne i transparentnościowe. Aplikacje wykorzystujące AI mogą trafić do high-risk lub wymagać oznaczeń. Niezbędna jest klasyfikacja systemów AI i polityka użycia LLM w organizacji.
Jak zabezpieczyć kod przy współpracy z podwykonawcą?
Standard to: pełne przeniesienie majątkowych praw autorskich z polami eksploatacji, klauzula non-compete adekwatna do projektu, NDA, ograniczenie wykorzystania komponentów open source i — przy większych kontraktach — escrow kodu źródłowego.
Jakie kary grożą za naruszenie DORA dla dostawcy ICT?
DORA pośrednio wymusza zgodność na dostawcach ICT przez minimalne klauzule kontraktowe i mechanizmy nadzoru ze strony instytucji finansowych. Brak zgodności może oznaczać utratę kontraktu, a dla dostawców kluczowych — nadzór bezpośredni unijnego organu.
Czy potrzebujemy DPIA przy każdym projekcie z AI?
Nie zawsze, ale często. DPIA jest obowiązkowe, gdy projekt może powodować wysokie ryzyko dla osób fizycznych — typowo: profilowanie, decyzje zautomatyzowane, monitoring na dużą skalę, przetwarzanie danych szczególnych. Warto zrobić wstępny screening dla każdego projektu AI.
Open source w komercyjnym produkcie — co sprawdzić?
Konkretne licencje (np. MIT vs Apache 2.0 vs GPL/AGPL), obowiązki copyleft, obowiązki atrybucji, kompatybilność licencji i ryzyko zarażenia. Dla wielu produktów krytyczne jest unikanie licencji GPL/AGPL w core'owym kodzie i prowadzenie SBOM.
Ile kosztuje obsługa prawna firmy IT?
Pracujemy w modelach: projekt (np. negocjacje konkretnej umowy), retainer (stała pula godzin miesięcznie) i ad hoc. Koszt zależy od skali firmy, branży klientów i regulacji sektorowych. Zaczynamy od bezpłatnej rozmowy diagnostycznej.
skontaktuj się w sprawie obsługi prawnej IT
Opisz krótko, czego potrzebujesz: konkretna umowa, wdrożenie regulacji albo stałe wsparcie zespołu — odezwiemy się w ciągu jednego dnia roboczego.