square mask on article list

SaaS, PaaS i IaaS – co sprawdzić w umowie? Co warto wiedzieć w 2026 roku?

Ryzyka prawne SaaS, PaaS i IaaS w umowie z dostawcą chmury
Spis treści
1. Umowa SaaS, PaaS lub IaaS – jakie ryzyka prawne trzeba sprawdzić?
1.1. Certyfikat bezpieczeństwa dostawcy nie wystarczy. Co nadal obciąża klienta?
1.2. Umowa SaaS – na co zwrócić uwagę przed podpisaniem?
1.3. Jakie klauzule w umowie cloud mogą przesądzić o odpowiedzialności?
1.4. RODO w chmurze – kto odpowiada za naruszenie danych?
1.5. FAQ – najczęściej zadawane pytania
1.6. Podsumowanie

Umowa SaaS, PaaS lub IaaS – jakie ryzyka prawne trzeba sprawdzić?

Korzystanie z usług chmurowych w modelu SaaS, PaaS lub IaaS daje firmie elastyczność i obniża koszty infrastruktury, ale przenosi część odpowiedzialności na klienta nawet jeśli dostawca posiada certyfikaty bezpieczeństwa. Warto wiedzieć, jakie ryzyka prawne w SaaS, PaaS i IaaS pojawiają się w typowych umowach z dostawcami. Gdzie kończy się odpowiedzialność prawna, a zaczyna obowiązek klienta i jak zapewnić bezpieczeństwo prawne cloud computing w organizacji.

W tym artykule pokazujemy, gdzie najczęściej pojawiają się ryzyka prawne w umowach cloud. Wyjaśniamy, które zapisy warto sprawdzić przed podpisaniem kontraktu, jak działa model współdzielonej odpowiedzialności i dlaczego SLA, DPA oraz exit plan mogą przesądzić o bezpieczeństwie firmy.

Zobacz: Audyt prawny usług chmurowych

Certyfikat bezpieczeństwa dostawcy nie wystarczy. Co nadal obciąża klienta?

Główne ryzyka prawne SaaS to ograniczona odpowiedzialność dostawcy, restrykcyjne klauzule wyłączające odpowiedzialności oraz często brak realnego wpływu klienta na warunki umowy. Większość umów SaaS jest zawierana w trybie „bierz całość lub odrzuć”, klient otrzymuje gotowy wzór umowy w oczekiwaniu dostawcy, który powinien przyjąć w całości. Tak jednak w cale być nie musi, a negocjacje umowy pozwalają usunąć z niej najbardziej niekorzystne klauzule, gdyż nie tylko klientowi zależy na zawarciu umowy, ale także dostawca ma w tym swój jasny interes.  

W praktyce ryzyka prawne umowy w modelu SaaS obejmują:

  • limit odpowiedzialności – zwykle określony kwotowo, ograniczony do sumy opłat np. za ostatnie dwanaście miesięcy,
  • wyłączenia odpowiedzialności – brak odpowiedzialności za szkody pośrednie, utratę danych, utracone korzyści, naruszenie ochrony danych osobowych, 
  • SLA – brak określonych konkretnie czasów napraw lub parametrów dostępności, najczęściej dostawca działa na zasadzie „best effort”,
  • brak kontroli nad danymi – dostawca często zastrzega sobie prawo do korzystania z danych klienta, które znajdują się w systemie, w celu ich komercjalizacji lub ulepszania produktu,  
  • jednostronne zmiany umowy – dostawca zmienia dokumenty umowne poprzez powiadomienie o pojawieniu się nowej wersji, brak kontroli i wpływu – to z perspektywy RODO – na to gdzie znajdują się dane i przez kogo są przetwarzane, 

Skuteczna ochrona prawna wymaga audytu umowy przed jej podpisaniem inaczej dostawca SaaS zyskuje szerokie pole uprawnień wobec klienta. 

Umowa SaaS – na co zwrócić uwagę przed podpisaniem?

Różnice w ryzykach prawnych związanych z SaaS, PaaS i IaaS wynikają głownie z modelu współdzielonej odpowiedzialności,  im niższy poziom usługi, tym większa odpowiedzialność klienta za bezpieczeństwo i konfigurację. Model współdzielonej odpowiedzialności określa, gdzie kończy się odpowiedzialność dostawcy chmury IaaS, a gdzie zaczyna obowiązek klienta.

  • SaaS – klient zarządza tylko danymi i uprawnieniami; dostawca odpowiada za infrastrukturę, system operacyjny i aplikację. Główne ryzyko: zależność od jednego dostawcy, problem ze zmianą dostawcy i vendor lock-in.
  • PaaS – klient odpowiada za aplikację i dane; dostawca za platformę. Główne ryzyko: niejasna granica odpowiedzialności w razie incydentu.
  • IaaS – odpowiedzialność prawna po stronie klienta obejmuje konfigurację, system operacyjny, monitoring, backup. Główne ryzyko: większość incydentów wynika z niewłaściwej konfiguracji po stronie klienta.

Bez względu na model rozwiązania chmurowego to klient cały czas ma główne ryzyko związane z przetwarzaniem danych osobowych. Pozostaje on administratorem danych w rozumieniu RODO i na nim ciążą obowiązki notyfikacyjne wobec UODO.

Jakie klauzule w umowie cloud mogą przesądzić o odpowiedzialności?

Najważniejsze klauzule umowne w SaaS, PaaS, IaaS to klauzule: związane z odpowiedzialnością, SLA, umowa powierzenia danych (DPA), exit plan. Każda z nich wpływa na pozycję klienta względem dostawcy razie uzyskania odszkodowania lub wystąpienia incydentu RODO. Wskazane klauzule są w typowych umowach mocno ogólnikowe lub ograniczają odpowiedzialność dostawcy, dlatego należy je poddać je analizie, to podstawa audytu prawnego umowy z dostawcą.

Lista priorytetowych obszarów do weryfikacji:

  • odpowiedzialność kontraktowa – warto walczyć o jak najwyższy cap kwotowy i kategorie szkód wyjęte spod limitu odpowiedzialności, np. w zakresie RODO lub utraty danych,
  • umowa SLA – do ustalenia parametry napraw, wydajności, a nawet kary umowne za ich niedotrzymanie przez dostawcę, 
  • DPA – najważniejsze kwestie to terminy notyfikacji naruszeń (najczęściej 24-72h), prawo do audytu, zgoda na transfer danych poza UE, 
  • własność intelektualna w chmurze – do ustalenia co dostawcy wolno robić z danymi klienta, trenować AI, wykorzystywać komercyjnie, w tym do rozwoju usługi, budowania raportów rynkowych,
  • klauzule wyjścia (exit plan) – należy ustalić format i termin zwrotu danych, okres ich retencja przez dostawcę, możliwość wsparcia dostawcy przy migracji do innego dostawcy.

RODO w chmurze – kto odpowiada za naruszenie danych?

Za naruszenie danych w chmurze odpowiada przede wszystkim klient jako administrator danych w rozumieniu RODO. To klient ma obowiązek zgłoszenia naruszenia do UODO w ciągu 72 godzin oraz powiadomienia osób, których dane dotyczą, w razie wysokiego ryzyka. Naruszenie bezpieczeństwa danych w chmurze, za którą odpowiada dostawca, nie zwalnia klienta z tych obowiązków. Nawet jeśli incydent ma swoje źródło po stronie dostawcy to klient też może odpowiadać za braku nadzoru na dostawcą. Takie ryzyko zawsze istnieje, gdy klauzule umowne czynią nadzór klienta, jako administratora danych, iluzorycznym.  

Tytułem przykładu: dostawca chmury jako podmiot przetwarzający odpowiada na podstawie umowy powierzenia za zgłoszenie incydentu. Z perspektywy operacyjnej kluczowy jest w umowie termin notyfikacji incydentu oraz to co dostawca ma obowiązek zgłosić. Jeśli dostawca nie powiadamia klienta o incydentach, bo umowa pozwala mu na to, gdyż dostawca sam decyduje co jest incydentem, wówczas klient będzie ponosił odpowiedzialność za brak nadzoru. Tak samo, gdy incydent zostanie zaraportowany pod upływie kilku dni od jego wystąpienia.  

Ryzyko prawne outsourcingu IT do chmury to w istotnej mierze ryzyko niedopasowania procedur wewnętrznych klienta do realnych terminów wynikających z umowy z dostawcą. Dodatkowym obszarem jest vendor lock-in, oraz ryzyko prawne związane z odpowiedzialnością za migrację danych chmura po zakończeniu współpracy. 

Zobacz również: Audyt prawny umów IT.

FAQ – najczęściej zadawane pytania

Czy w modelu SaaS klient może w pełni przerzucić odpowiedzialność za dane na dostawcę?

Nie. Klient pozostaje administratorem danych w rozumieniu RODO niezależnie od modelu chmury. Dostawca odpowiada wyłącznie jako podmiot przetwarzający na zasadach umowy powierzenia.

Czy IaaS jest bezpieczniejszy prawnie niż SaaS?

Niekoniecznie. W IaaS klient ma większą kontrolę, ale jednocześnie większe obowiązki konfiguracyjne i organizacyjne. Większość incydentów w IaaS wynika z błędów po stronie klienta, nie dostawcy.

Czy umowy SaaS chronią dane osobowe klientów?

Standardowe DPA dostawców globalnych spełnia minimum z art. 28 RODO. Realny poziom ochrony zależy od konkretnych klauzul, terminów notyfikacji, podprocesorów i lokalizacji przetwarzania, które należy każdorazowo zweryfikować.

Podsumowanie

Ryzyka prawne SaaS, PaaS i IaaS są realne nawet wtedy, gdy dostawca posiada certyfikaty bezpieczeństwa. Bezpieczeństwo prawne cloud computing wymaga audytu konkretnej umowy z perspektywy klienta, zwłaszcza klauzul odpowiedzialności, SLA i exit planu. W razie wątpliwości warto skorzystać z konsultacji prawnej przed podpisaniem kontraktu z dostawcą chmury.

Zobacz inne artykuły

button aquamarine icon image Zobacz wszystkie
button aquamarine icon image Zobacz wszystkie

Zapisz się na newsletter




    Podając adres e-mail wyrażasz zgodę na otrzymywanie newslettera. Administratorem danych osobowych jest
    Łochowski.Legal, ul. Skawińska 15/6, 31-066 Kraków. W każdej chwili możesz zrezygnować z otrzymywania
    newslettera. Wycofanie zgody nie wpływa na ważność przetwarzania, które miało miejsce do tej chwili. Więcej informacji znajdziesz w Polityka prywatności.

    square mask on contact form