W ostatnich latach rozwiązania low-code i no-code zdobyły ogromną popularność wśród przedsiębiorstw poszukujących szybkich sposobów na tworzenie aplikacji biznesowych. Z mojego doświadczenia wynika jednak, że prawne aspekty ich wykorzystania wciąż budzą sporo niepewności, zarówno po stronie zamawiających, jak i dostawców oprogramowania. W tym artykule wyjaśniam, czym są te technologie, na jakie kwestie prawne warto zwrócić uwagę przy zawieraniu umów oraz jakie ryzyka i rekomendacje powinny towarzyszyć decyzji o wykorzystaniu takich rozwiązań.
Czym są platformy low-code i no-code?
Rozwiązania low-code i no-code należą do kategorii Rapid Application Development (RAD), czyli narzędzi umożliwiających szybkie tworzenie oprogramowania bez potrzeby zaawansowanego kodowania. Choć często traktowane są jako jedno pojęcie, w rzeczywistości różnią się zakresem możliwości i grupą docelową.
Platformy low-code wymagają minimalnej znajomości programowania – umożliwiają tworzenie bardziej złożonych, dostosowanych do indywidualnych potrzeb aplikacji. Pozwalają na edycję kodu źródłowego i tworzenie niestandardowych funkcjonalności, co czyni je atrakcyjnym rozwiązaniem dla bardziej wymagających projektów.
Platformy no-code natomiast eliminują potrzebę jakiejkolwiek znajomości kodowania. Bazują na intuicyjnych interfejsach typu „przeciągnij i upuść”, co pozwala szybko tworzyć proste aplikacje i prototypy, choć kosztem ograniczonej personalizacji.
Do najpopularniejszych przykładów należą Appian, OutSystems, Mendix czy Microsoft Power Apps. Każda z tych platform oferuje różny poziom zaawansowania, licencjonowania oraz integracji z zewnętrznymi systemami.
Prawne aspekty własności i licencji
Chociaż pojęcia low-code i no-code nie funkcjonują wprost w systemie prawnym, do oceny zagadnień związanych z tymi rozwiązaniami stosujemy przepisy prawa autorskiego dotyczące programów komputerowych.
Własność praw autorskich – platforma vs. aplikacja
Kluczowe jest rozróżnienie między samą platformą (low-code/no-code) a aplikacjami, które użytkownicy na jej podstawie tworzą. Platforma jako oprogramowanie chroniona jest prawem autorskim. Użytkownik korzysta z niej na podstawie licencji, a nie nabywa do niej żadnych praw własności.
Natomiast aplikacje stworzone na platformie mogą być uznane za odrębne utwory, o ile spełniają kryteria oryginalności i indywidualności, czyli odzwierciedlają osobisty, twórczy wkład użytkownika. W przypadku wykorzystania chronionych elementów platformy mówimy o utworach zależnych, na których dalsze wykorzystywanie konieczna jest zgoda właściciela praw autorskich do pierwotnego programu.
Warto pamiętać, że zgodnie z wyrokiem Trybunału Sprawiedliwości UE w sprawie C-406/10 SAS Institute, funkcjonalność programów komputerowych nie podlega ochronie prawnoautorskiej. Ochrona obejmuje wyłącznie formę wyrażenia – a więc kod źródłowy, strukturę danych, interfejs użytkownika, ale nie ogólne idee czy funkcjonalności.
Utwory zależne – istota i skutki prawne
Jeżeli aplikacja tworzona w platformie wykorzystuje elementy chronione prawem autorskim (np. wbudowane komponenty, moduły, szablony), może zostać uznana za utwór zależny. W takim przypadku użytkownik, mimo twórczego wkładu, nie może swobodnie dysponować aplikacją bez zgody właściciela platformy.
Oznacza to, że przeniesienie praw do aplikacji, jej komercjalizacja czy nawet udostępnienie osobom trzecim wymaga dokładnego przeanalizowania warunków licencji udzielonej przez dostawcę platformy.
Umowy licencyjne i modele dostępu
Umowy dotyczące platform low-code i no-code opierają się na modelu licencyjnym – użytkownik uzyskuje prawo korzystania z oprogramowania na określonych warunkach, nie zaś jego własność.
Typowe modele licencyjne
Najczęściej spotykane modele obejmują:
- Licencję w modelu subskrypcyjnym, czyli opłatę abonamentową za dostęp do platformy i jej aktualizacji.
- Licencję ograniczoną do użytku wewnętrznego, co oznacza, że aplikacje mogą być wykorzystywane wyłącznie w ramach własnej organizacji.
- Zakaz komercyjnego wykorzystywania wyników pracy, szczególnie w przypadku wersji darmowych lub próbnych.
Często różnice w licencjonowaniu pomiędzy wersją darmową a płatną są zasadnicze – przykładowo, darmowa wersja może nie dopuszczać publikacji aplikacji poza określonym środowiskiem platformy lub ograniczać dostęp do funkcji zarządzania bezpieczeństwem danych.
Kluczowe ustalenia w umowie
Z mojego doświadczenia wynika, że przy zawieraniu umowy warto szczególnie zadbać o następujące ustalenia:
- Zakres praw do aplikacji: kto i w jakim zakresie nabywa prawa do efektów pracy stworzonych na platformie.
- Możliwość dalszej sprzedaży lub sublicencji: czy zamawiający może komercyjnie wykorzystać stworzone aplikacje.
- Ograniczenia wynikające z licencji platformy: np. zakaz reverse engineeringu, ograniczenia eksportu danych, restrykcje terytorialne.
Zrozumienie warunków licencji, ich zakresu i ograniczeń jest absolutnie kluczowe dla późniejszego bezproblemowego wykorzystania efektów pracy.
Ochrona danych osobowych
Wdrażając rozwiązania low-code i no-code, przedsiębiorcy często przetwarzają dane osobowe – nierzadko o wysokiej wrażliwości, zwłaszcza w sektorach takich jak FinTech czy MedTech. W związku z tym konieczne jest zapewnienie zgodności z przepisami o ochronie danych osobowych, w tym RODO (GDPR) oraz CCPA.
Kto przetwarza dane?
W przypadku korzystania z platform chmurowych to dostawca platformy pełni zwykle funkcję podmiotu przetwarzającego (procesora), a użytkownik końcowy pozostaje administratorem danych. Relację tę należy zawsze precyzyjnie uregulować w umowie o powierzenie przetwarzania danych osobowych (Data Processing Agreement, DPA).
Zabezpieczenia danych i subprocessing
Ważne jest także zwrócenie uwagi na:
- Standardy zabezpieczeń stosowane przez dostawcę (np. ISO 27001, SOC 2),
- Miejsce przechowywania danych (istotne przy transferach poza EOG),
- Podprocesorów: czy dostawca korzysta z dalszych podmiotów, gdzie się one znajdują i jakie stosują standardy bezpieczeństwa.
W przypadku rozwiązań dla branży finansowej, wymogi w zakresie ochrony danych osobowych są jeszcze bardziej rygorystyczne – regulacje takie jak DORA (Digital Operational Resilience Act) nakładają obowiązek zapewnienia wysokiej odporności operacyjnej i bezpieczeństwa infrastruktury IT.
Cyberbezpieczeństwo i odpowiedzialność
Korzystanie z gotowych platform niesie ze sobą ryzyko luk bezpieczeństwa, które mogą prowadzić do naruszeń ochrony danych lub innych incydentów cyberbezpieczeństwa.
Zalecam, aby w umowach zwrócić uwagę na:
- Obowiązek aktualizacji oprogramowania przez dostawcę.
- Regularne testy bezpieczeństwa (np. testy penetracyjne aplikacji).
- Wdrożenie polityk zarządzania dostępem i wieloskładnikowego uwierzytelniania.
- Odpowiedzialność za naruszenia ochrony danych wynikające z błędów platformy.
Dobrym rozwiązaniem jest także wprowadzenie klauzuli o obowiązku posiadania ubezpieczenia od cyberzagrożeń (cyber insurance), które może pokrywać koszty potencjalnych incydentów.
Praktyczne rekomendacje
Choć rozwiązania low-code i no-code są atrakcyjne pod względem kosztów i szybkości wdrożenia, w niektórych przypadkach warto rozważyć stworzenie aplikacji metodą klasyczną (high-code). Dotyczy to szczególnie sytuacji, gdy:
- wymagane są pełne prawa własności intelektualnej do kodu,
- aplikacja musi spełniać najwyższe standardy bezpieczeństwa,
- konieczna jest pełna kontrola nad środowiskiem hostingowym.
Na etapie wyboru rozwiązania i podpisywania umowy rekomenduję przeprowadzenie checklisty:
- Czy rozumiem warunki licencji platformy i ograniczenia komercyjnego wykorzystania?
- Czy prawa do aplikacji są odpowiednio uregulowane?
- Czy zawarłem umowę powierzenia danych osobowych?
- Czy dostawca gwarantuje określony poziom bezpieczeństwa danych?
- Czy określono odpowiedzialność za incydenty bezpieczeństwa?
- Czy sprawdzono politykę podprocesorów i lokalizację danych?
Moim zdaniem świadome podejście do kwestii prawnych już na etapie wyboru rozwiązania low-code lub no-code pozwala uniknąć wielu problemów w przyszłości. Praktyka pokazuje, że im dokładniej przygotujemy umowę i przeanalizujemy ryzyka, tym sprawniejsze i bezpieczniejsze będzie wdrożenie nowych technologii w naszym przedsiębiorstwie.
