Umowa wdrożeniowa IT a AI Act – jak zabezpieczyć Software House przed nowymi regulacjami?
Dodatkowo EU AI Act, który właśnie zaczyna wywierać realne skutki, stwarza spore ryzyko prawne, którego większość standardowych umów wdrożeniowych po prostu nie uwzględnia. W tym artykule pokażę Ci – językiem praktyka – jakie konkretne klauzule powinna zawierać Twoja umowa wdrożeniowa IT, żebyś nie został z wielomilionowym roszczeniem. Każda rekomendacja jest podparta przepisami oraz odpowiednimi poglądami doktryny. Omawiamy prawne aspekty umowy wdrożeniowej, własność intelektualną kodu AI, zgodność z RODO i kluczowe elementy prawne umowy wdrożeniowej w erze sztucznej inteligencji.
Prawo nowych technologii w 2026 roku – dlaczego stare umowy IT już nie wystarczą?
Jeszcze kilka lat temu typowa umowa wdrożeniowa systemu IT miała prostą konstrukcję: zakres (przedmiot umowy IT), harmonogram prac, kary umowne, przeniesienie praw autorskich, rękojmia. Taki szablon świetnie działał przy klasycznych projektach IT typu „napiszemy Wam aplikację od zera". Problem w tym, że dziś większość nowych projektów IT w jakimś stopniu wykorzystuje komponenty AI – od integracji z API modeli językowych, przez systemy rekomendacyjne, po pełne rozwiązania AI decyzyjne.
To całkowicie zmienia rozkład ryzyk w relacji dostawca–zamawiający. W klasycznym projekcie, jeśli kod zawierał błąd, odpowiedzialność była w miarę jasna, w oparciu o art. 471 KC, który nakładał na dostawcę obowiązek naprawienia szkody wynikłej z nienależytego wykonania zobowiązania.1 Ale co, gdy system AI generuje nieprzewidywalny output? Kto odpowiada za „halucynację", która prowadzi klienta Twojego zamawiającego do błędnej decyzji finansowej?
Do tego dochodzą trzy nowe warstwy regulacyjne, których stare umowy po prostu nie znają: obowiązki compliance z AI Act (art. 9–15 oraz art. 16 Rozporządzenia), niejasny status prawnoautorski kodu generowanego przez algorytmy sztucznej inteligencji,2 a także wymogi RODO w kontekście trenowania modeli na danych klientów. Każda umowa wdrożeniowa musi dziś adresować te zagadnienia – inaczej zostawia dostawcę bez ochrony.
EU AI Act w pigułce – co musisz wiedzieć jako dostawca oprogramowania?
AI Act (Rozporządzenie Parlamentu Europejskiego i Rady, Dz.U.UE.L.2024.1689) to pierwszy na świecie kompleksowy akt prawny regulujący technologie sztucznej inteligencji. Wbrew pozorom, nie jest to kwestia przyszłości – pierwsze przepisy obowiązują od 2 lutego 2025 r., a kolejne wchodzą etapami:
| Data | Zakres stosowania | Status / Uwaga |
|---|---|---|
| 2 lutego 2025 r. | Zakaz stosowania zabronionych praktyk AI (m.in. manipulacja podprogowa, social scoring) | Już obowiązuje |
| 2 sierpnia 2025 r. | Przepisy o organach nadzorczych, modele AI ogólnego przeznaczenia (GPAI), przepisy o karach (rozdz. XII) | Już obowiązuje |
| 2 sierpnia 2026 r. | Większość przepisów – obowiązki dla systemów wysokiego ryzyka z Załącznika III (m.in. HR-tech, scoring kredytowy, edukacja) | Nadchodzący – dotyczy HR-tech! |
| 2 sierpnia 2027 r. | Systemy AI z art. 6 ust. 1 AI Act (Załącznik I) – produkty objęte przepisami o bezpieczeństwie produktów (np. wyroby medyczne, maszyny) | Dotyczy regulowanych sektorów (MDR, maszyneria) |
Kary za naruszenie AI Act (art. 99) – trzy progi:
| Rodzaj naruszenia | Kara maksymalna | % obrotu |
|---|---|---|
| Zakazane praktyki AI (art. 5) | do 35 000 000 EUR | 7% globalnego obrotu |
| Pozostałe naruszenia (np. systemy high-risk) | do 15 000 000 EUR | 3% globalnego obrotu |
| Nieprawidłowe / wprowadzające w błąd informacje dla organów nadzoru | do 7 500 000 EUR | 1,0 % globalnego obrotu |
Warto zwrócić uwagę na mechanizm stosowania powyższych progów. Zgodnie z art. 99 ust. 3 AI Act, kara za naruszenie zakazu praktyk z art. 5 wynosi do 35 000 000 EUR lub – jeżeli sprawcą jest przedsiębiorstwo – do 7% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Analogicznie skonstruowane są pozostałe progi. Praktyczna konsekwencja jest następująca: dla dużych podmiotów (gdzie procent obrotu przekracza kwotę bezwzględną) realnym pułapem jest stawka procentowa; dla MŚP i startupów – kwota bezwzględna, jako ta niższa.
Należy przy tym pamiętać, że art. 99 AI Act ustanawia jedynie ramy sankcyjne na poziomie unijnym. Konkretne procedury nakładania kar i tryb postępowania muszą zostać uregulowane przez każde państwo członkowskie w prawie krajowym – w Polsce stosowna ustawa wdrożeniowa jest na dzień publikacji tego artykułu w toku.
Systemy wysokiego ryzyka (High-Risk AI) – czy Twój projekt IT znajduje się na celowniku?
AI Act dzieli systemy sztucznej inteligencji na kategorie ryzyka. Najsurowsze wymagania dotyczą systemów wysokiego ryzyka, wymienionych w Załącznikach I i III Rozporządzenia. Jeśli Twój Software House buduje rozwiązanie, które podpada pod jedną z tych kategorii umowa wdrożeniowa musi to uwzględniać od pierwszego dnia – bo wymogi mają bezpośredni wpływ na architekturę systemu, dokumentację i przedmiot umowy IT.
Załącznik III obejmuje osiem obszarów zastosowań, w tym: zarządzanie infrastrukturą krytyczną, edukację i szkolenia zawodowe, zatrudnienie i zarządzanie pracownikami, dostęp do podstawowych usług prywatnych i publicznych (np. scoring kredytowy), ściganie przestępstw, zarządzanie migracją i kontrolą granic oraz pomoc w interpretacji i stosowaniu prawa. Pełne obowiązki z AI Act dotyczą tych systemów sztucznej inteligencji od 2 sierpnia 2026 r. Z kolei Załącznik I (produkty objęte przepisami o bezpieczeństwie – np. wyroby medyczne, maszyny) – od 2 sierpnia 2027 r.
Praktyczny przykład: Twój klient – firma HR-tech – zamawia system AI do preselekcji CV kandydatów. To system wysokiego ryzyka (kategoria: zatrudnienie, Załącznik III). Jeśli Twoja umowa wdrożeniowa nie rozkłada obowiązków między dostawcę a zamawiającego – domyślnie cały ciężar spada na tego, kto system „wprowadza do obrotu".
Poniżej matryca obowiązków AI Act, którą umowa wdrożeniowa musi odzwierciedlać:
| Art. AI Act | Obowiązek | Typowy realizator |
|---|---|---|
| Art. 9 | System zarządzania ryzykiem (bieżąca aktualizacja) | Dostawca (Software House) |
| Art. 10 | Jakość i reprezentatywność danych treningowych | Obaj (zależy, kto dostarcza dane) |
| Art. 11 | Dokumentacja techniczna | Dostawca (Software House) |
| Art. 13 | Przejrzystość systemu | Dostawca (Software House) |
| Art. 14 | Nadzór ludzki (human oversight) | Zamawiający |
| Art. 15 | Dokładność, solidność, cyberbezpieczeństwo | Dostawca (Software House) |
| Art. 71 | Rejestracja systemu w unijnej bazie danych EU AI (obowiązek często pomijany!) | Zamawiający (operator) |
Umowa wdrożeniowa oprogramowania z AI – obszary największego ryzyka
Poniżej omawiamy pięć obszarów, które wydają się najbardziej problematyczne przy umowach wdrożeniowych. Oczywiście nie jest to katalog zamknięty. Biorąc pod uwagę szybkość rozwoju całej infrastruktury AI oraz specyfikę niektórych rozwiązań, stworzenie listy „5 klauzul must have" byłoby rozwiązaniem dalekim od rzeczywistych i praktycznych problemów.
1. Odpowiedzialność z art. 471 KC za halucynacje AI
Halucynacje AI – czyli sytuacje, w których model generuje nieprawdziwe, zmyślone lub niespójne treści – to jedno z najbardziej charakterystycznych ryzyk systemów sztucznej inteligencji opartych na dużych modelach językowych. W polskim prawie nie ma (jeszcze) odrębnej regulacji odpowiedzialności za błędy sztucznej inteligencji. Stosujemy więc ogólne reżimy odpowiedzialności z Kodeksu cywilnego.4
Art. 471 KC stanowi, że dłużnik jest zobowiązany do naprawienia szkody wynikłej z niewykonania lub nienależytego wykonania zobowiązania, chyba że wykaże, iż było to następstwem okoliczności, za które nie ponosi odpowiedzialności. Zgodnie z art. 472–474 KC, gdy strony nie uregulowały tego odmiennie, dłużnik odpowiada za niedochowanie należytej staranności – a więc na zasadzie winy w postaci niedbalstwa.
W literaturze wskazuje się na problem tzw. liability gap – luki w odpowiedzialności przy systemach AI, gdzie trudno przypisać winę konkretnemu podmiotowi.5 To kluczowy prawny aspekt umowy wdrożeniowej z komponentem AI. Umowa wdrożeniowa powinna precyzyjnie określać:
- Standard akceptacji outputu AI – jakie metryki jakości (np. accuracy, hallucination rate) musi spełniać system, żeby output był uznany za „zgodny z umową"
- Cap odpowiedzialności – czy dostawca odpowiada za pełną szkodę wynikłą z halucynacji, czy odpowiedzialność jest ograniczona kwotowo
- Obowiązek walidacji po stronie zamawiającego – np. human-in-the-loop przed wdrożeniem outputu AI w procesie decyzyjnym
Warto też pamiętać o art. 435 KC – odpowiedzialności na zasadzie ryzyka. W doktrynie (K. Panfil, L. Jantowski) wskazuje się, że objęcie dyspozycją art. 435 KC przedsiębiorstw opartych na AI jest „wręcz nieuchronną koniecznością", bo kategoria przedsiębiorstwa wprawianego w ruch za pomocą sił przyrody jest zmienna i zależy od postępu technologicznego. To oznacza, że Twój klient – jako operator systemu AI – może odpowiadać na zasadzie ryzyka, bez konieczności wykazywania winy. A potem zwróci się z regresem do Ciebie.
2. Prawa autorskie i własność intelektualna a kod wygenerowany przez algorytm AI
To obszar podwyższonego ryzyka prawnego, z którego wielu dyrektorów technologicznych (CTO) po prostu nie zdaje sobie sprawy. Zgodnie z art. 1 ust. 1 ustawy o prawie autorskim i prawach pokrewnych (dalej: UPrAut), przedmiotem ochrony prawa autorskiego jest „każdy przejaw działalności twórczej o indywidualnym charakterze". Kluczowe jest słowo twórczej – odwołujące się do ludzkiej kreatywności. W literaturze podkreśla się, że ochrona prawa autorskiego obejmuje wyłącznie formy wyrażenia własnej intelektualnej twórczości autora – człowieka.6
Kluczowy wniosek: Kod źródłowy wygenerowany wyłącznie przez AI (np. przez GitHub Copilot, ChatGPT, Claude) nie jest utworem w rozumieniu prawa autorskiego i nie podlega ochronie. AI nie posiada zdolności twórczej w rozumieniu prawnym, co oznacza, że taki kod trafia zasadniczo do domeny publicznej. Należy jednak mieć na uwadze, iż w doktrynie istnieją rozbieżności w tej kwestii.
Co to oznacza w praktyce? Jeśli w umowie zapiszesz standardową klauzulę przeniesienia praw autorskich do kodu źródłowego – a część tego kodu została wygenerowana przez algorytm AI – przenosisz prawa, których de facto nie posiadasz (w przypadku utworów „mieszanych" tworzonych „przy pomocy AI", a nie wyłącznie przez AI sprawa jest trochę bardziej skomplikowana). Zamawiający nie uzyskuje skutecznej ochrony własności intelektualnej, bo nie ma czego chronić. Dlatego umowa wdrożeniowa musi zawierać:
- Deklarację udziału AI w tworzeniu kodu – oświadczenie Wykonawcy o zakresie użycia narzędzi generatywnych
- Rozróżnienie warstw IP – osobno kod napisany przez ludzi (pełna ochrona praw własności intelektualnej), osobno kod wygenerowany przez AI (ochrona kontraktowa i tajemnica przedsiębiorstwa)
- Wyraźne wskazanie pól eksploatacji (art. 41 i 50 UPrAut) – w tym zwielokrotnianie (art. 50 pkt 1 UPrAut), kluczowe w kontekście dalszego wykorzystania kodu
Warto mieć też na uwadze art. 74 UPrAut, który reguluje ochronę programów komputerowych jako utworów. Sam algorytm AI – jako oprogramowanie stworzone przez programistów – jest chroniony prawem autorskim. Twórca narzędzia AI ma prawo do ochrony kodu źródłowego i struktury algorytmu, nie ma natomiast prawa do treści generowanych przez to narzędzie na żądanie użytkowników.
Text and Data Mining (art. 26² i art. 26³ UPrAut). Nowelizacja UPrAut z 2024 r. (wejście w życie: 20 września 2024 r.) wprowadziła dwa przepisy dotyczące eksploracji tekstów i danych (TDM): art. 26² UPrAut – niekomercyjne TDM dla instytucji naukowych i dziedzictwa kulturowego (węższy zakres podmiotowy) oraz art. 26³ UPrAut – komercyjne TDM (istotny dla Software House'ów i modeli AI). Umowa wdrożeniowa musi regulować, czy zamawiający zastrzega zakaz wykorzystania danych do TDM.
3. Kary umowne, harmonogram prac i zwłoka w kontekście AI Act
Kwestia terminowości realizacji projektu to stały punkt zapalny w umowach IT. Konieczność wdrożenia dodatkowych procedur wynikających z AI Act sprawia, że staje się to obecnie głównym źródłem potencjalnych roszczeń z tytułu kar umownych.
Art. 483 KC pozwala na zastrzeżenie kary umownej za niewykonanie lub nienależyte wykonanie zobowiązania niepieniężnego, a art. 484 KC daje sądowi prawo do miarkowania (obniżenia) kary, jeśli zobowiązanie zostało w znacznej części wykonane lub kara jest rażąco wygórowana.
Kluczowe pytanie: czy niedostosowanie systemu do wymogów AI Act może stanowić przesłankę egzoneracyjną – czyli zwolnić dostawcę z kary umownej? Moim zdaniem nie, skoro terminy wejścia w życie AI Act są znane od 2024 roku, sądy mogą odmówić uznania konieczności dostosowania za siłę wyższą (art. 471 KC in fine). Dostawca miał czas na przygotowanie. Dlatego umowa wdrożeniowa musi wprost regulować:
- Podział odpowiedzialności za compliance z AI Act – kto zapewnia zgodność z wymogami: dostawca, zamawiający, czy obaj w zdefiniowanym zakresie
- Harmonogram dostosowania do AI Act – jako integralny element harmonogramu projektu, z osobnymi milestone'ami
- Klauzulę zmiany regulacyjnej – procedurę aneksowania umowy w przypadku nowych wytycznych organów nadzorczych
Warto też uzgodnić w umowie model wynagrodzenia za prace związane z dostosowaniem do AI Act. Czy compliance wchodzi w zakres wynagrodzenia ryczałtowego, czy stanowi osobny element wyceniany w modelu T&M (Time & Materials)? W projektach IT, które trafiają do nas po eskalacji konfliktu z klientem, ten punkt – model wynagrodzenia za compliance – pojawia się niemal zawsze.
4. Obowiązki informacyjne, rejestracja w bazie EU AI i compliance
AI Act nakłada na dostawców systemów sztucznej inteligencji wysokiego ryzyka szereg obowiązków operacyjnych (art. 9–15 oraz art. 16–20 AI Act). Do najważniejszych należą: opracowanie systemu zarządzania ryzykiem podlegającego bieżącej aktualizacji, zapewnienie dokumentacji technicznej, prowadzenie automatycznych rejestrów zdarzeń (logów), a także współpraca z organami nadzoru. Dla Software House'u prowadzącego obsługę projektów IT oznacza to konieczność jasnego określenia w umowie, kto realizuje te obowiązki.
Rekomendacja: umowa wdrożeniowa musi zawierać matrycę obowiązków AI Act – tabelaryczny podział wskazujący, który z wymogów realizuje dostawca (Software House), a który zamawiający.
Obowiązek rejestracji w bazie EU AI (art. 71 AI Act). Istotny, a często pomijany obowiązek operacyjny: rejestracja systemów AI wysokiego ryzyka w unijnej bazie danych EU AI. Baza jest publicznie dostępna i ma na celu zapewnienie przejrzystości rynku. Obowiązek rejestracji ciąży na operatorze (zamawiającym), jednak dokumentację niezbędną do rejestracji przygotowuje z reguły dostawca techniczny (Software House). Klauzula umowna powinna jasno wskazywać, kto odpowiada za dostarczenie danych do rejestracji i w jakim terminie.
5. Przetwarzanie danych osobowych, RODO i trenowanie modeli AI
Kwestia trenowania modeli AI na danych klientów to jeden z najbardziej wrażliwych punktów współpracy B2B w branży IT. RODO wymaga podstawy prawnej do przetwarzania danych osobowych – a trenowanie modelu na danych klienta to przetwarzanie w pełnym tego słowa znaczeniu. Ochrona danych osobowych i prawidłowe uzyskanie zgody na przetwarzanie danych to fundament każdej umowy wdrożeniowej usług IT opartych na narzędziach opartych o AI. W umowie wdrożeniowej musisz zaadresować co najmniej trzy kwestie:
- Czy dane zamawiającego będą wykorzystywane do trenowania lub fine-tuningu modeli AI – i jeśli tak, na jakiej podstawie prawnej. Wymaga to uregulowania zgody na przetwarzanie danych oraz precyzyjnego określenia zakresu przetwarzania danych w umowie wdrożeniowej usług IT
- Kto jest administratorem danych, a kto procesorem – to ma istotne znaczenie dla odpowiedzialności za naruszenia. Umowa powierzenia przetwarzania danych (art. 28 RODO) jest obowiązkowa
- Co dzieje się z modelem po zakończeniu współpracy – czy model „zapomina" dane klienta (model unlearning), czy klient ma prawo żądać usunięcia danych z modelu
Art. 10 AI Act nakłada dodatkowe wymagania dotyczące jakości danych treningowych dla systemów wysokiego ryzyka, w tym obowiązek analizy potencjalnych uprzedzeń (bias). Te wymogi powinny być odzwierciedlone w umowie. Ponadto umowa powierzenia przetwarzania danych musi precyzyjnie określać zakres przetwarzania danych osobowych, cel i okres retencji – zwłaszcza gdy dane są wykorzystywane do trenowania algorytmów sztucznej inteligencji. Brak takiej umowy to gotowe naruszenie RODO, za które grożą kary do 20 mln EUR lub 4% globalnego obrotu.
Obsługa prawna branży IT – jak przygotować firmę na unijne regulacje?
Skala zmian, które AI Act wprowadza w ekosystemie umów wdrożeniowych IT, wymaga nie tylko jednorazowej korekty dokumentacji, ale wiąże się z koniecznością ciągłego monitoringu regulacyjnego i aktywnego dostosowywania dokumentacji. Pytanie brzmi: co zrobić teraz?
Krok 1: Audyt obecnych umów. Przegląd wzorców umów wdrożeniowych, umów ramowych i SLA pod kątem problematyki prawnej wynikającej z AI Act (porównując je na przykład z wyżej przedstawionym obszarami ryzyka). Kompleksowa obsługa prawna firm IT obejmuje identyfikację luk i przygotowanie rekomendacji naprawczych.
Krok 2: Klasyfikacja projektów. Mapowanie portfela projektów pod kątem kategorii ryzyka AI Act. Które z Twoich rozwiązań AI mogą zostać zakwalifikowane jako systemy wysokiego ryzyka? Pamiętaj: Załącznik III (m.in. HR-tech) – od 2026 r., Załącznik I (produkty bezpieczeństwa) – od 2027 r.
Krok 3: Przygotowanie nowych wzorców umów. Opracowanie klauzul dostosowanych do specyfiki Twojej firmy – uwzględniających model wynagrodzenia (body leasing vs. fixed price vs. T&M), typy technologii sztucznej inteligencji i profil klientów.
Sprawdź, czy Twoja umowa wdrożeniowa IT jest gotowa na AI Act
Większość umów wdrożeniowych oprogramowania, które trafiają do nas do audytu, ma ten sam problem: zostały napisane przed 2023 rokiem i nie adresują ani prawnych aspektów umowy wdrożeniowej z komponentem AI, ani obowiązków wynikających z AI Act. Jeśli Twój Software House buduje rozwiązania AI dla klientów – preselekcję CV, scoring, systemy rekomendacyjne – i nie masz pewności, czy Twój wzorzec umowy rozkłada odpowiedzialność compliance prawidłowo, możemy to sprawdzić. Zakres typowego audytu obejmuje: weryfikację przedmiotu umowy IT pod kątem klasyfikacji ryzyka AI Act, ocenę klauzul dotyczących własności intelektualnej kodu generowanego przez AI oraz zgodność z RODO w kontekście trenowania modeli.
Skonsultuj umowę z radcą prawnym Adamem PiotrowskimFAQ – Prawo nowych technologii i AI Act
Jakie dziedziny reguluje prawo nowych technologii?
Prawo nowych technologii to interdyscyplinarny obszar obejmujący regulacje dotyczące sztucznej inteligencji (AI Act), ochrony danych osobowych (RODO/GDPR), cyberbezpieczeństwa (dyrektywa NIS2), ochrony prawa autorskiego w środowisku cyfrowym (w tym art. 26² i art. 26³ UPrAut o TDM), handlu elektronicznego (DSA, DMA), podpisu elektronicznego (eIDAS) oraz odpowiedzialności za produkty cyfrowe. W kontekście branży IT szczególne znaczenie ma prawo umów wdrożeniowych, prawo zamówień publicznych na systemy IT, prawo własności intelektualnej oraz regulacje sektorowe – np. w fintechu (PSD2/PSD3) czy medtechu (MDR).
Kto odpowiada za błędy sztucznej inteligencji w projektach IT?
W polskim prawie nie istnieje odrębna podmiotowość prawna sztucznej inteligencji – AI nie może być stroną umowy ani ponosić odpowiedzialności. Odpowiada przedsiębiorca, który zarządza systemem AI, niezależnie od stopnia autonomii algorytmu AI. Na gruncie art. 471 KC odpowiedzialność ponosi dostawca za nienależyte wykonanie zobowiązania. Na gruncie art. 415 KC możliwa jest odpowiedzialność deliktowa. W doktrynie rozważa się również stosowanie art. 435 KC (odpowiedzialność na zasadzie ryzyka) do przedsiębiorstw opartych na AI. Uwaga: przepisy o produkcie niebezpiecznym (art. 449¹ § 2 KC) odnoszą się do „rzeczy ruchomych", więc ich bezpośrednie zastosowanie do oprogramowania AI jest problematyczne.
Czy kod napisany przez AI ma prawa autorskie?
W doktrynie dominuje pogląd, że kod wygenerowany wyłącznie przez AI nie stanowi utworu i nie jest objęty ochroną prawnoautorską. Art. 1 ust. 1 UPrAut wymaga „indywidualnego charakteru" dzieła – cechy, którą można przypisać wyłącznie ludzkiej twórczości. Trybunał Sprawiedliwości UE (m.in. C-5/08 Infopaq, C-145/10 Painer) konsekwentnie wiąże oryginalność z „własną intelektualną twórczością autora" – co zakłada istnienie człowieka jako twórcy. Natomiast samo narzędzie AI (algorytm AI) jest chronione na podstawie art. 74 UPrAut jako program komputerowy. Sytuacja, w której programista aktywnie współtworzy kod z pomocą AI (human-in-the-loop), może generować utwór – o ile udział człowieka nosi cechy indywidualnej twórczości. Kwestia ta nie została jeszcze jednoznacznie rozstrzygnięta w orzecznictwie.
Jaki jest przedmiot umowy wdrożeniowej IT z komponentem AI?
Przedmiot umowy IT z komponentem AI jest znacznie szerszy niż w tradycyjnych projektach. Oprócz standardowych elementów (kod źródłowy, dokumentacja, wdrożenie) obejmuje: dostarczenie i konfigurację modeli AI, przygotowanie i walidację danych treningowych, wdrożenie mechanizmów nadzoru ludzkiego (human-in-the-loop), obsługę prawną projektów IT w zakresie compliance z AI Act, przygotowanie dokumentacji wymaganej przez Rozporządzenie oraz – w przypadku systemów sztucznej inteligencji wysokiego ryzyka – rejestrację w bazie EU AI. Precyzyjne określenie przedmiotu umowy IT jest fundamentem ochrony obu stron.
Czy umowa wdrożeniowa musi zawierać umowę powierzenia przetwarzania danych?
Tak – jeśli w ramach wdrożenia dostawca uzyskuje dostęp do danych osobowych zamawiającego (np. dane klientów, pracowników, użytkowników systemu), umowa powierzenia przetwarzania danych (art. 28 RODO) jest obowiązkowa. Ochrona danych osobowych wymaga, by umowa ta precyzyjnie określała zakres przetwarzania danych, cel, okres retencji oraz środki bezpieczeństwa. W kontekście narzędzi opartych o AI szczególnie istotne jest uregulowanie, czy dane mogą być wykorzystywane do trenowania lub fine-tuningu modeli – wymaga to wyraźnej zgody na przetwarzanie danych w tym konkretnym celu.
1. Tak np. M. Rogalski [w:] K. Kawałek, W. Krupa, M. Wach, M. Rogalski, Prawo komunikacji elektronicznej. Komentarz, Warszawa 2025, art. 376.
2. J. Ożegalska-Trybalska, B. Widła [w:] Prawo autorskie. Komentarz do znowelizowanych przepisów ustaw, Warszawa.
3. K. Jeromin [w:] AI Act. Akt w sprawie sztucznej inteligencji. Komentarz, red. M. Jędrzejczak, L. Szoszkiewicz, J. Wydra, Warszawa 2025, art. 16.
4. M. Dziedzic, Zastosowanie systemów sztucznej inteligencji we współczesnej bankowości, „Europejski Przegląd Prawa i Stosunków Międzynarodowych" 2022, nr 1, s. 76.
5. P. Kaniewski, K. Kowacz, Odpowiedzialność cywilna za szkody spowodowane funkcjonowaniem sztucznej inteligencji, Palestra 11/2024.
6. A. Bar, Prawo autorskie w erze sztucznej inteligencji. Uwagi na tle historii „Portretu Edmonda de Belamy", repozytorium.uni.wroc.pl.
Artykuł ma charakter informacyjny i nie stanowi porady prawnej. W celu uzyskania indywidualnej opinii prawnej dotyczącej Twojej sytuacji, skontaktuj się z kancelarią.
Umowa wdrożeniowa IT a AI Act – jak zabezpieczyć Software House przed nowymi regulacjami?
Blog Umowa wdrożeniowa IT a AI Act – jak zabezpieczyć Software House przed nowymi regulacjami? Zarządzając Software House’em lub agencją IT w 2026 roku, z pewnością mierzysz się z nowym standardem rynku: klienci masowo oczekują integracji sztucznej inteligencji w swoich systemach. O ile operacyjnie, czy też technologicznie to po prostu kolejne zadanie, o tyle z […]
Stała obsługa prawna w praktyce. 4 sytuacje, w których radca prawny z Gdańska chroni Twój biznes
Wielu przedsiębiorców myśli o prawniku jak o pogotowiu — dzwoni się tylko wtedy, gdy coś się już posypało. Kontrola skarbowa, pozew do sądu, komornik. Tymczasem w praktyce największe straty finansowe w biznesie rzadko biorą się z wielkich, spektakularnych spraw. Biorą się z codziennych, pozornie drobnych błędów — umowy podpisanej bez czytania, zwolnienia przeprowadzonego o jeden […]
Rzeczywista likwidacja stanowiska pracy – czyli wygrana w sporze pracowniczym o odszkodowanie za „niesłuszne” wypowiedzenie umowy o pracę.
Blog Likwidacja stanowiska pracy a odszkodowanie – Wygrana pracodawcy (2025) Czy pracownikowi zawsze należy się odszkodowanie za likwidację stanowiska pracy? W przestrzeni publicznej często pojawia się dogmat o dominującej pozycji pracownika w sporze sądowym. Ostatnie rozstrzygnięcie Sądu Okręgowego w Gdańsku stanowi jednak zaprzeczenie tej tezy i świadczy o tym, że skuteczna obrona interesów pracodawcy jest […]