Prawo IT | Nowe Technologie

W skrócie: Prawo IT (prawo nowych technologii) to interdyscyplinarna gałąź prawa, która reguluje działalność firm cyfrowych: od RODO (kara dla Poczty Polskiej w 2025 r.: 27,1 mln zł), przez AI Act (rozporządzenie 2024/1689, wymogi dla systemów wysokiego ryzyka stosowane od 2 sierpnia 2026 r.), aż po NIS2 (ustawa o krajowym systemie cyberbezpieczeństwa obowiązuje od 3 kwietnia 2026 r., Dziennik Ustaw 2026 poz. 252). Kary łączne wymierzane przez UODO w 2025 r. wzrosły o 362% rok do roku, do 64,3 mln zł.

Kiedy warto zwrócić się o pomoc w sprawach prawa IT

Najczęściej zgłaszają się firmy w pięciu sytuacjach:

• Software house lub startup w trakcie due diligence przed rundą inwestycyjną (Series A i wyżej). Inwestor wymaga audytu RODO, przeglądu umów z deweloperami i sub-procesorami, audytu IP (kto realnie jest właścicielem kodu) w 4-8 tygodni od term sheet. Closing conditions formułowane na podstawie raportu prawnego.
• Średni przedsiębiorca (50-250 pracowników) ocenia, czy firma podlega obowiązkom NIS2 jako podmiot kluczowy lub ważny po wejściu w życie nowelizacji UKSC z 3 kwietnia 2026 r. Wymaga samoidentyfikacji w systemie S46 i wdrożenia polityk cyberbezpieczeństwa.
• Firma wprowadza system AI (chatbot obsługi klienta, AI w rekrutacji, scoring kredytowy, AI w diagnostyce) i potrzebuje oceny klasyfikacji ryzyka (niedopuszczalne / wysokie / ograniczone / minimalne) oraz przygotowania dokumentacji przed 2 sierpnia 2026 r.
• Klient otrzymał kontrolę UODO lub wezwanie po incydencie ochrony danych. Termin zgłoszenia naruszenia: 72 godziny. Decyzje podejmowane w pierwszej dobie często przesądzają o wysokości ewentualnej kary.
• Firma 50+ pracowników wdraża ochronę sygnalistów (od 25 września 2024 r. obowiązek z ustawy z 14 czerwca 2024 r.). Potrzebuje regulaminu, kanałów zgłoszeń, polityk ochrony, rejestru, szkoleń pracowników.

W tle wszystkich tych sytuacji powtarza się jeden wzorzec: regulacje 2024-2026 weszły szybko, kary są dotkliwe (do 35 mln EUR / 7% obrotu w AI Act), a większość polskich firm nie jest jeszcze przygotowana.

W czym pomagamy w sprawach prawa IT

W naszej Kancelarii Adwokackiej, którą prowadzi adwokat Joanna Jakubowska-Zawada (wpis na listę adwokatów: RZE/Adw/581, Okręgowa Rada Adwokacka w Rzeszowie), prowadzimy sprawy z zakresu prawa IT z perspektywy B2B: dla software house'ów, startup'ów, e-commerce, fintech, biotech, edtech, podmiotów leczniczych w obszarze cyfryzacji.

Zakres prowadzonych spraw obejmuje:

• Audyt RODO: pełny przegląd procesów przetwarzania, dokumentacji (DPA, ROPA, polityki bezpieczeństwa) i ryzyk, z pisemnym raportem i harmonogramem wdrożeń.
• AI Act readiness: inwentaryzacja systemów AI w firmie, klasyfikacja ryzyka (Załącznik II/III), dokumentacja techniczna, FRIA (Fundamental Rights Impact Assessment), polityki dla deployera.
• Audyt NIS2 i samoidentyfikacja w S46: ocena czy firma podlega ustawie (kluczowy / ważny / poza zakresem), opracowanie polityk cyberbezpieczeństwa, planu ciągłości działania, procedury raportowania incydentów (24h / 72h) do CSIRT.
• Wdrożenie ochrony sygnalistów: regulamin, kanały zgłoszeń (e-mail / telefon / formularz), polityki ochrony przed odwetem, rejestr zgłoszeń, szkolenia.
• Umowy IT: przygotowanie i negocjowanie umów z software house (T&M / Fixed Price / Success Fee), umów SaaS / PaaS / IaaS, NDA, SLA, DPA, umów outsourcingowych, umów z deweloperami B2B (z uwzględnieniem ryzyka ZUS).
• IP audit: przegląd umów z deweloperami i pracownikami pod kątem przeniesienia praw autorskich, wyceny portfolio IP, ryzyka kontaminacji licencji typu copyleft.
• Reprezentacja przed UODO w postępowaniach kontrolnych, sankcyjnych i odwoławczych.
• Odpowiedź na incydenty cyber: wsparcie prawne 24/7 w razie naruszenia ochrony danych (zgłoszenie do UODO w 72 godziny, do CSIRT w 24 godziny dla podmiotów NIS2).
• Doradztwo dla startup'ów w due diligence prawnym przed inwestorem (audyt RODO, IP, umów, polityk bezpieczeństwa).

Działamy w Rzeszowie i okolicach oraz zdalnie w całej Polsce. Stała obsługa firmy IT to zwykle ryczałt miesięczny: w jego ramach prowadzimy bieżące konsultacje z zarządem, opiniujemy umowy z dostawcami i klientami oraz monitorujemy zmiany regulacyjne istotne dla biznesu klienta. Większe wdrożenia (audyt RODO, NIS2, AI Act readiness) wyceniamy oddzielnie po analizie zakresu.

Jak wygląda współpraca krok po kroku

Twoja firma potrzebuje konsultacji? Napisz adwokat@jakubowskazawada.com lub zadzwoń +48 17 888 60 09.

---

Pełny przewodnik prawny: prawo IT w Polsce 2024-2026

Czym jest prawo IT i kogo dotyczy

Prawo IT (prawo nowych technologii) to interdyscyplinarna gałąź prawa, która łączy elementy prawa cywilnego, autorskiego, ochrony danych, konsumenckiego, pracowniczego i karnego, regulujące działalność związaną z technologią cyfrową, internetem i sztuczną inteligencją.

W praktyce dotyczy każdej firmy, która:

• przetwarza dane osobowe klientów lub pracowników (RODO),
• korzysta z usług cyfrowych (chmury, SaaS, marketing online),
• sprzedaje przez internet lub prowadzi platformę online (DSA, prawo konsumenckie),
• wdraża systemy sztucznej inteligencji (AI Act),
• jest podmiotem kluczowym lub ważnym dla cyberbezpieczeństwa (NIS2),
• zatrudnia 50+ pracowników (ochrona sygnalistów),
• tworzy oprogramowanie, ma własność intelektualną cyfrową lub współpracuje z deweloperami (umowy IT, prawo autorskie, IP).

Najczęściej obsługujemy: software house'y, startup'y technologiczne, e-commerce, fintech, biotech, edtech, podmioty lecznicze i firmy produkcyjne wdrażające cyfryzację.

Kluczowe obszary prawa IT

#### Ochrona danych osobowych (RODO)

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. (RODO) wraz z polską ustawą z 10 maja 2018 r. o ochronie danych osobowych (tekst jednolity: Dziennik Ustaw 2024 poz. 1050) tworzy fundament regulacji danych. Każda firma, która przetwarza jakiekolwiek dane osobowe (klientów, pracowników, kontrahentów), jest administratorem danych i podlega obowiązkom RODO.

Skala kar w 2025 r. (decyzje Urzędu Ochrony Danych Osobowych):

| Decyzja | Podmiot | Kwota | Przyczyna | |---------|---------|------:|-----------| | DKN.5131.1.2025 | Poczta Polska | 27 124 816 zł | Bezprawne przetwarzanie danych z rejestru PESEL ok. 30 mln obywateli | | DKN.5112.6.2020 | ING Bank Śląski | 18,4 mln zł | Masowe i nieuzasadnione skanowanie dowodów tożsamości | | DKN.5130.4179.2020 | McDonald's Polska | ~17 mln zł | Wyciek danych pracowników, brak adekwatnych środków technicznych |

Łączne kary UODO w 2025 r.: ponad 64,3 mln zł (wzrost 362% rok do roku). Trend potwierdzony przez Prezesa UODO: mniej decyzji, ale dotkliwsze sankcje w sprawach o dużej skali.

Najczęstsze przyczyny kar w 2024-2025:

• brak rzetelnej analizy ryzyka (art. 32 RODO),
• niezgłoszenie naruszenia ochrony danych do UODO w 72 godziny (art. 33),
• niepowiadomienie osób, których dane dotyczą (art. 34),
• niewdrożenie odpowiednich środków technicznych i organizacyjnych,
• konflikt interesów Inspektora Ochrony Danych,
• niezgodne z prawem prowadzenie monitoringu wizyjnego.

#### AI Act (Akt o sztucznej inteligencji)

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z 13 czerwca 2024 r. ustanawia pierwsze na świecie pełne zasady regulacji sztucznej inteligencji. Stosowanie etapowe.

Najważniejsze daty:

| Data | Co zaczyna obowiązywać | |------|------------------------| | 2 lutego 2025 | Zakazy systemów AI o niedopuszczalnym ryzyku (manipulacja podprogowa, social scoring, biometria w przestrzeni publicznej). Obowiązek AI literacy w firmach. | | 2 sierpnia 2025 | Reguły dla modeli ogólnego przeznaczenia (GPAI, np. GPT, Claude, Gemini). Egzekwowalne kary. | | 2 sierpnia 2026 | GŁÓWNA DATA, pełne stosowanie reguł dla systemów wysokiego ryzyka (Załącznik III). Kary do 35 mln EUR lub 7% globalnego obrotu, najwyższy próg w prawie UE. | | 2 sierpnia 2027 | Pozostałe systemy wysokiego ryzyka (Załącznik I, AI jako komponent bezpieczeństwa produktów). |

Klasy ryzyka systemów AI:

• Niedopuszczalne (zakaz całkowity): manipulacja podprogowa, social scoring, biometria w przestrzeni publicznej.
• Wysokiego ryzyka: scoring kredytowy, AI w rekrutacji (CV screening), AI w diagnostyce medycznej, infrastruktura krytyczna. Wymaga pełnej dokumentacji, oceny zgodności, znaku CE, nadzoru człowieka.
• Ograniczonego ryzyka: chatboty, deepfake, generatywna AI. Wymaga oznakowania treści i informacji dla użytkownika.
• Minimalnego ryzyka: większość zastosowań (filtry antyspamowe, AI w grach). Brak dodatkowych obowiązków poza RODO.

Polska ustawa wykonawcza, status na maj 2026: 31 marca 2026 r. Rada Ministrów przyjęła projekt ustawy o systemach sztucznej inteligencji. Projekt znajduje się obecnie w pracach sejmowych (pierwsze czytania w komisjach). Po uchwaleniu (spodziewane w II połowie 2026 r.) ustawa ustanowi Komisję Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (KRiBSI) jako organ nadzoru rynku AI. Do czasu jej uchwalenia organ nie działa, a kompetencje sprawują dotychczasowe organy w swoich obszarach (UODO, UOKiK, UKE).

Uwaga: w listopadzie 2025 r. Komisja Europejska opublikowała projekt zmian ("Digital Omnibus on AI"), który może opóźnić pełne stosowanie reguł dla systemów wysokiego ryzyka o do 16 miesięcy (do 2 grudnia 2027 r.). Pakiet nie został jeszcze przyjęty. Do czasu jego przyjęcia obowiązuje pierwotny harmonogram.

#### NIS2, cyberbezpieczeństwo

Najświeższa zmiana w polskim prawie IT. Ustawa z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa (Dziennik Ustaw 2026 poz. 252) transponuje dyrektywę UE 2022/2555 (NIS2) i obowiązuje od 3 kwietnia 2026 r.

Kogo dotyczy:

• Podmioty kluczowe (Załącznik I): energetyka, transport, bankowość, ochrona zdrowia, woda pitna, infrastruktura cyfrowa, administracja publiczna. Co do zasady duzi przedsiębiorcy (powyżej 250 pracowników lub obrót powyżej 50 mln EUR).
• Podmioty ważne (Załącznik II): usługi pocztowe i kurierskie, gospodarka odpadami, chemikalia, żywność, dostawcy usług cyfrowych (marketplace, wyszukiwarki, social media), placówki badawcze. Co do zasady średni przedsiębiorcy (50-250 pracowników).

Główne obowiązki:

1. Samoidentyfikacja i wpis do wykazu przez system S46 (zmiana wobec poprzedniej ustawy: firma sama ocenia, czy podlega, a nie czeka na decyzję organu).
2. Zarządzanie ryzykiem cyberbezpieczeństwa (polityki, procedury, środki techniczne).
3. Plan ciągłości działania i zarządzania kryzysowego.
4. Kontrola łańcucha dostaw ICT.
5. Raportowanie incydentów do CSIRT (CERT Polska, CSIRT MON, CSIRT GOV), pierwsze powiadomienie w 24 godziny, raport pełny w 72 godziny.
6. Polityka kryptograficzna i zarządzania incydentami.

Kary: do 10 mln EUR lub 2% rocznego obrotu dla podmiotów kluczowych; do 7 mln EUR lub 1,4% obrotu dla podmiotów ważnych. Plus odpowiedzialność osobista członków zarządu (sankcje administracyjne na decydentów).

#### DSA, Akt o usługach cyfrowych

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2065 stosowane od 17 lutego 2024 r. dla wszystkich pośredników internetowych (od 25 sierpnia 2023 r. dla bardzo dużych platform, VLOP/VLOSE).

Dotyczy: e-commerce, marketplace'ów, mediów społecznościowych, hostingowych, platform recenzji, ogłoszeń. Obowiązki obejmują: jasne warunki świadczenia usług, mechanizm zgłaszania nielegalnych treści, transparentność algorytmów, ochronę małoletnich, raporty roczne.

#### Ochrona sygnalistów

Ustawa z 14 czerwca 2024 r. o ochronie sygnalistów (Dziennik Ustaw 2024 poz. 928). Obowiązki dla firm:

• 50+ pracowników (próg liczony na 1 stycznia lub 1 lipca danego roku): od 25 września 2024 r. pełne stosowanie ustawy. Obowiązek wewnętrznej procedury zgłoszeń, kanałów (e-mail, telefon, formularz), rejestru zgłoszeń, polityki ochrony przed odwetem.
• Sankcje karne (przepisy karne ustawy): za działania odwetowe pozbawienie wolności do 3 lat (art. 56), za utrudnianie zgłoszenia do 2 lat (art. 55), za naruszenie poufności do 1 roku (art. 57).

W praktyce: każda firma 50+ musi mieć udokumentowaną procedurę przyjmowania zgłoszeń, wyznaczoną osobę odpowiedzialną i polityki ochrony sygnalisty.

#### Własność intelektualna w IT

Ochrona programów komputerowych jest uregulowana w art. 74-77² ustawy z 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (szczególny reżim). Bazy danych chronione są dodatkowo na podstawie ustawy z 27 lipca 2001 r. o ochronie baz danych (Dziennik Ustaw 2001 nr 128 poz. 1402).

Praktyczne tematy:

• Programy komputerowe: kto jest autorem (twórca, pracownik, freelancer), zakres przeniesienia praw, licencje wyłączne i niewyłączne.
• Open source: ryzyka kontaminacji licencji typu GPL przy łączeniu z kodem proprietary.
• AI a prawo autorskie: kto jest autorem treści wygenerowanych przez sztuczną inteligencję? Stanowisko polskich i unijnych sądów wciąż się kształtuje.
• Domeny internetowe i znaki towarowe: postępowania przed Sądem Polubownym przy Polskiej Izbie Informatyki i Telekomunikacji.

#### Umowy IT

Specyfika umów IT wymaga osobnego podejścia. Najczęstsze typy:

• Umowy z software house (Time & Material vs Fixed Price vs Success Fee), wybór wpływa na ryzyko opóźnień i jakości,
• Umowy o przeniesienie autorskich praw majątkowych vs licencja, różnica fundamentalna dla późniejszej kontroli nad kodem,
• SaaS, PaaS, IaaS, różnice prawne, podział odpowiedzialności, miejsca przechowywania danych,
• SLA (Service Level Agreement), gwarantowane parametry dostępności, kary umowne za niedotrzymanie,
• NDA, ochrona tajemnicy przedsiębiorstwa,
• Umowy outsourcingu IT, zawsze powiązane z RODO (powierzenie przetwarzania, art. 28 RODO),
• Umowy z deweloperami B2B, szczególnie po Polskim Ładzie 2022 r. wymagają weryfikacji pod kątem ZUS i podatków.

Najnowsze zmiany prawne 2024-2026

Rok 2024 i pierwsza połowa 2026 r. to lawina nowych regulacji unijnych i polskich. Najważniejsze daty:

• 17 lutego 2024 r., pełne stosowanie DSA dla wszystkich pośredników internetowych.
• 14 czerwca 2024 r., ustawa o ochronie sygnalistów (Dziennik Ustaw 2024 poz. 928).
• 13 czerwca 2024 r., przyjęcie AI Act (Rozporządzenie 2024/1689). Wejście w życie 1 sierpnia 2024 r.
• 2 lutego 2025 r., pierwsze obowiązki AI Act (zakazy + AI literacy).
• 2 sierpnia 2025 r., reguły dla GPAI, kary.
• 3 kwietnia 2026 r., nowelizacja UKSC (transpozycja NIS2) wchodzi w życie (Dziennik Ustaw 2026 poz. 252).
• 31 marca 2026 r., Rada Ministrów przyjmuje projekt polskiej ustawy o systemach sztucznej inteligencji.
• 2 sierpnia 2026 r., pełne stosowanie reguł AI Act dla systemów wysokiego ryzyka (chyba że Digital Omnibus przesunie do 2 grudnia 2027 r.).

Każda z tych regulacji wprowadza obowiązki, których brak realizacji oznacza milionowe kary. Według dostępnych analiz rynku ponad 70% polskich firm używa systemów AI bez pełnej świadomości obowiązków wynikających z AI Act, a w przypadku NIS2 i sygnalistów problem wygląda podobnie. Brak realizacji tych obowiązków oznacza wymierne kary administracyjne, a w niektórych obszarach również osobistą odpowiedzialność członków zarządu.

Powiązane usługi

• Prawo autorskie i własność intelektualna — ochrona praw twórców, znaki towarowe, AI Act, RODO w nowych technologiach

Najczęściej zadawane pytania