Dla przedsiębiorców i programistów API to codzienne narzędzie pracy. Jednak jego udostępnianie i używanie nie pozostaje obojętne z punktu widzenia prawa. W tym poradniku wyjaśniamy, jak zabezpieczyć swoje interesy prawne przy udostępnianiu API, na co zwrócić uwagę w umowach oraz jakie obowiązki wynikają z nowych regulacji UE.
🧩 Czym jest API i dlaczego podlega ochronie prawnej?
API to zestaw reguł, funkcji i protokołów, które umożliwiają oprogramowaniu komunikowanie się ze sobą. Udostępniane przez Internet (tzw. WebAPI), pozwalają systemom wymieniać dane i realizować funkcje bez udziału człowieka.
🔐 Z prawnego punktu widzenia każda implementacja API to program komputerowy, który podlega ochronie na gruncie ustawy z 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych.
📄 Przepis prawny:
„Ochroną objęty jest każdy przejaw działalności twórczej o indywidualnym charakterze, ustalony w jakiejkolwiek postaci. Ochrona przysługuje twórcy niezależnie od spełnienia jakichkolwiek formalności.”
(art. 1 ust. 1 – ustawa o prawie autorskim i prawach pokrewnych)
Z kolei uruchomienie programu na serwerze w celu świadczenia usług (np. udostępnienia API) wymaga zgody właściciela praw autorskich:
„Zwielokrotnianie programu komputerowego wymaga zezwolenia uprawnionego z tytułu autorskich praw majątkowych”
(art. 74 ust. 4 pkt 1 – ustawa o prawie autorskim i prawach pokrewnych)
⚠️ Uwaga na licencje typu copyleft
W praktyce często wykorzystuje się gotowe komponenty open source. Jedną z najbardziej rygorystycznych licencji tego typu jest Affero General Public License (AGPL). Jej specyfika polega na tym, że wymaga udostępnienia kodu źródłowego nie tylko w przypadku dystrybucji programu, ale również wtedy, gdy jest on jedynie udostępniany przez Internet.
✔ Przykład:
Firma Netdane Sp. z o.o. wykorzystuje fragmenty kodu open source na licencji AGPL w swoim serwisie udostępniającym dane przez API. Musi wówczas udostępnić cały kod źródłowy – nawet części, które napisała samodzielnie.
📌 Jeśli nie chcesz udostępniać swojego kodu źródłowego:
- Nie używaj komponentów AGPL w części programu obsługującej API,
- Dokładnie analizuj licencje open source, zanim wdrożysz je do projektu produkcyjnego.
🤝 Korzystanie z API a prawo autorskie – kiedy nie potrzebujesz zgody?
Powstaje pytanie, czy samo wysłanie zapytania do API przez użytkownika narusza prawa autorskie do programu po stronie serwera. Przepisy nie są jednoznaczne, ale w doktrynie dominuje podejście, zgodnie z którym:
✅ Nie dochodzi do naruszenia, ponieważ:
- to udostępniający program decyduje, czy zapytanie zostanie obsłużone,
- użytkownik nie ma wpływu na działanie serwera ani nie wie, czy program się zwielokrotni.
Dlatego – co do zasady – sam fakt korzystania z API nie wymaga licencji autorskiej. Ograniczenia mogą jednak wynikać z umów lub regulaminów, a nie z prawa autorskiego.
Umowy i regulaminy korzystania z API – jak je przygotować?
Choć prawo autorskie nie zakazuje korzystania z publicznie dostępnego API, przedsiębiorca udostępniający taki interfejs powinien zadbać o uregulowanie warunków jego użycia – zarówno dla ochrony swojej infrastruktury, jak i przejrzystości relacji z użytkownikami.
📑 Udostępnianie API to świadczenie usług drogą elektroniczną
W większości przypadków publiczne API to usługa świadczona drogą elektroniczną – zgodnie z definicją zawartą w ustawie z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (dalej: u.ś.u.d.e.).
„Świadczenie usługi drogą elektroniczną – wykonanie usługi świadczonej bez jednoczesnej obecności stron (…), poprzez przekaz danych na indywidualne żądanie usługobiorcy.”
(art. 2 pkt 4 – ustawa o świadczeniu usług drogą elektroniczną)
To oznacza, że podmiot udostępniający API jako usługodawca:
- powinien przygotować regulamin świadczenia usługi (art. 8 u.ś.u.d.e.),
- musi udostępnić go nieodpłatnie przed zawarciem umowy i przez cały czas jej trwania,
- powinien zadbać o zgodność regulaminu z innymi przepisami, np. o prawach konsumenta.
🛠 Co powinien zawierać regulamin API?
Regulamin nie musi opisywać całej specyfikacji technicznej API. Powinien jednak jasno określać m.in.:
✅ Zakres świadczonej usługi
Przykład opisu usługi:
„Zapewnienie usługobiorcy automatycznego dostępu do danych pogodowych za pomocą interfejsu API”.
✅ Warunki techniczne dostępu
- wymagania sprzętowe i programowe po stronie usługobiorcy,
- format komunikacji (np. JSON, XML, REST),
- stosowane metody uwierzytelniania (np. klucz API).
✅ Zasady korzystania z klucza API
🔐 Dobra praktyka:
– nieudostępnianie klucza osobom trzecim,
– jego przechowywanie w sposób zabezpieczony,
– możliwość dezaktywacji w razie nadużyć.
✅ Limity i zakazy
- limit liczby zapytań (np. 1000 na dobę),
- zakaz testów penetracyjnych bez zgody,
- zakaz korzystania w sposób zakłócający działanie API.
✅ Gwarancje dostępności usługi
Przykład:
API ma być dostępne w 95% czasu miesięcznie – co oznacza dozwoloną niedostępność ok. 36 godzin w miesiącu.
📉 Co z odpowiedzialnością?
Zgodnie z Kodeksem cywilnym (art. 473 § 2 k.c.), usługodawca nie może wyłączyć odpowiedzialności za szkody wyrządzone umyślnie. Ale może:
- ograniczyć odpowiedzialność za przerwy w działaniu,
- uzależnić wysokość odszkodowania od wysokości opłat,
- wskazać prawo właściwe dla umowy.
📌 Dobrą praktyką jest zawarcie klauzuli modyfikacyjnej umożliwiającej zmianę regulaminu (art. 384¹ k.c.) oraz opisanie procedury wypowiedzenia.
👩⚖️ A co z konsumentami?
Jeśli API udostępniane jest osobom fizycznym (np. startup tworzy aplikację pogodową korzystającą z cudzego API), to mogą mieć oni status konsumentów (art. 221 k.c.) lub tzw. przedsiębiorców uprzywilejowanych.
Wówczas regulamin musi:
- spełniać wymogi ustawy o prawach konsumenta (u.p.k.),
- zawierać pełne informacje wymagane przez art. 12 u.p.k.,
- uwzględniać prawo do odstąpienia od umowy w terminie 14 dni (art. 27–38 u.p.k.),
chyba że konsument świadomie zrzeknie się tego prawa po uprzednim poinformowaniu.
📄 Przykład klauzuli:
„Wyrażam zgodę na rozpoczęcie świadczenia usługi przed upływem terminu do odstąpienia od umowy i jestem świadomy, że w ten sposób tracę prawo do odstąpienia od niej.”
Umowy i regulaminy korzystania z API (cz. 2) – dokumentacja, prawa własności, modyfikacje
W tej części poradnika skupimy się na szczegółowych postanowieniach, które warto uwzględnić w regulaminie API, aby uniknąć sporów i chronić interesy usługodawcy. Poruszymy m.in. kwestie dokumentacji technicznej, praw własności intelektualnej oraz zasad zmieniania interfejsu.
📚 Dokumentacja API a prawo autorskie
Każde profesjonalnie przygotowane API posiada dokumentację – opis funkcji, endpointów, parametrów, formatów danych, kodów błędów itd. Warto pamiętać, że taka dokumentacja również może podlegać ochronie prawem autorskim, jako utwór literacki lub naukowy (jeśli spełnia kryterium oryginalności).
W regulaminie należy jednoznacznie określić:
- czy korzystanie z dokumentacji jest objęte licencją,
- jaki zakres dozwolonego użytku przysługuje użytkownikom,
- czy możliwe jest jej kopiowanie, drukowanie lub wprowadzanie do systemów wewnętrznych.
✅ Dobra praktyka:
„Usługobiorcy przysługuje niewyłączna, nieprzenoszalna licencja na korzystanie z dokumentacji API w celu integracji i użytkowania API w ramach własnej działalności. Zabronione jest udostępnianie dokumentacji osobom trzecim oraz jej komercyjne rozpowszechnianie.”
🎓 Prawa własności intelektualnej – kto do czego ma prawa?
W zależności od modelu współpracy, API może:
- udostępniać cudze dane (np. dane meteorologiczne, rynkowe, lokalizacyjne),
- przyjmować dane od użytkownika (np. z aplikacji klienckiej),
- generować nowe dane, które mogą być chronione prawem (np. wykresy, modele predykcyjne).
Zarówno usługodawca, jak i usługobiorca mogą mieć prawa do tych treści – dlatego warto uregulować to precyzyjnie w regulaminie lub osobnej umowie.
Przykładowe klauzule:
- „Wszelkie dane przesłane przez usługobiorcę za pomocą API pozostają jego własnością. Usługodawca nie uzyskuje do nich żadnych praw poza niezbędnym zakresem umożliwiającym realizację usługi.”
- „Usługobiorca udziela usługodawcy niewyłącznej licencji na wykorzystanie przesłanych danych w celach statystycznych i analitycznych.”
🔁 Aktualizacje API – jak je uregulować?
Zmiany API są nieuniknione – z czasem zmieniają się potrzeby, technologie i zakres usług. Jednak dla użytkowników każda zmiana to potencjalne koszty i ryzyko przerwy w działaniu. Dlatego warto zadbać o:
- zdefiniowanie procedury informowania o zmianach (np. z 30-dniowym wyprzedzeniem),
- zapewnienie okresu przejściowego, gdy obie wersje API będą działać równolegle (tzw. wersjonowanie),
- określenie, co się dzieje z umową w razie zaprzestania działania starego API.
📌 Przykład:
„Usługodawca zastrzega sobie prawo do wprowadzania zmian do API. O planowanych zmianach, które mogą mieć wpływ na integrację po stronie usługobiorcy, usługodawca poinformuje co najmniej 30 dni przed ich wprowadzeniem. W razie istotnych zmian, usługobiorca może rozwiązać umowę z zachowaniem 14-dniowego okresu wypowiedzenia.”
📤 Wypowiedzenie umowy i zmiana regulaminu
Wzorzec umowny (regulamin) można zmieniać tylko wówczas, gdy taka możliwość została zastrzeżona. Klauzula modyfikacyjna powinna określać:
- w jakich sytuacjach możliwa jest zmiana,
- jak użytkownik zostanie poinformowany,
- kiedy zmiany wchodzą w życie,
- prawo użytkownika do wypowiedzenia umowy.
⚖️ W przypadku konsumentów, zmiana regulaminu podlega kontroli pod kątem klauzul abuzywnych (art. 385¹ k.c.).
Dla pełnej ochrony prawnej świadczenia usług za pomocą internetowego API, przedsiębiorca musi zadbać nie tylko o formalny regulamin, ale również o mechanizmy ograniczające swoją odpowiedzialność, właściwe prawo i zgodność z przepisami o ochronie konsumentów.
⚖️ Odpowiedzialność usługodawcy – co wolno ograniczyć?
Zasadą polskiego prawa cywilnego jest pełna odpowiedzialność odszkodowawcza – czyli obowiązek naprawienia szkody w pełnym zakresie (art. 361 § 2 Kodeksu cywilnego).
Jednak zgodnie z art. 473 § 2 k.c.:
„Zastrzeżenie wyłączające lub ograniczające odpowiedzialność dłużnika za szkodę wyrządzoną umyślnie jest nieważne.”
To oznacza, że:
- nie możesz wyłączyć odpowiedzialności za celowe działania, np. rażące naruszenie bezpieczeństwa API,
- możesz jednak ograniczyć odpowiedzialność za awarie, czasowe niedostępności czy działania osób trzecich.
✅ Przykładowe klauzule:
- „Usługodawca nie ponosi odpowiedzialności za szkody wynikłe z niedostępności API, jeśli nie przekroczyła ona ustalonego progu dostępności.”
- „Odpowiedzialność usługodawcy z tytułu niewykonania lub nienależytego wykonania umowy jest ograniczona do kwoty rocznej opłaty za dostęp do API.”
🌍 Prawo właściwe i jurysdykcja
Jeśli API udostępniane jest międzynarodowo, należy wskazać, które prawo reguluje umowę – np. prawo polskie.
📌 Przykładowy zapis:
„Do niniejszej umowy zastosowanie ma prawo polskie. Wszelkie spory będą rozstrzygane przez sąd właściwy miejscowo dla siedziby usługodawcy.”
Uwaga: w relacjach z konsumentami spoza Polski zastosowanie mogą mieć obowiązkowe przepisy ich lokalnego prawa – niezależnie od wyboru prawa umownego.
👥 Konsumenci i przedsiębiorcy uprzywilejowani
Niektóre osoby prowadzące działalność gospodarczą również mogą korzystać z ochrony konsumenckiej – dotyczy to tzw. przedsiębiorców uprzywilejowanych, o których mowa w art. 385⁵ k.c.
Jakie obowiązki ma usługodawca wobec konsumentów?
Zgodnie z ustawą z 30 maja 2014 r. o prawach konsumenta (u.p.k.), jeśli umowa zawierana jest na odległość (czyli przez Internet), usługodawca musi:
- poinformować konsumenta o wszystkich istotnych warunkach usługi (art. 12 u.p.k.),
- umożliwić mu odstąpienie od umowy w terminie 14 dni (art. 27 u.p.k.),
- uzyskać zgodę na rozpoczęcie świadczenia przed upływem 14 dni, jeśli chce wyłączyć to prawo.
📌 Praktyczne rozwiązanie:
„Zgadzam się na rozpoczęcie świadczenia usługi przed upływem 14 dni od zawarcia umowy i przyjmuję do wiadomości, że utracę prawo do odstąpienia od umowy.”
Czy dane API to „treści cyfrowe”?
Tak – dane udostępniane przez API (np. prognozy pogody, kursy walut, dane rynkowe) to treści cyfrowe w rozumieniu art. 2 pkt 5 u.p.k.
Nowe regulacje UE – API w świetle AI Act i Data Act
W 2025 roku wchodzą w życie kluczowe unijne regulacje, które znacząco wpłyną na obowiązki przedsiębiorców udostępniających API – szczególnie tych, którzy oferują rozwiązania oparte na sztucznej inteligencji lub przetwarzają dane pochodzące z urządzeń skomunikowanych. Mowa o dwóch aktach:
- AI Act – rozporządzenie w sprawie sztucznej inteligencji
- Data Act – rozporządzenie w sprawie dostępu do danych i ich wykorzystania
Oba akty wprost przewidują użycie API jako formy udostępniania usług lub danych. Dlatego każdy dostawca API musi być świadomy nowych obowiązków.
🤖 AI Act – API jako kanał dostarczania systemów AI
Rozporządzenie (UE) 2024/1689 (tzw. AI Act) uznaje, że udostępnienie systemu sztucznej inteligencji za pomocą API stanowi jego wprowadzenie do obrotu. To oznacza, że podmiot udostępniający model AI za pomocą API staje się „dostawcą” systemu AI (art. 3 pkt 3 AI Act).
Kogo dotyczy AI Act?
Regulacja obejmuje:
- dostawców systemów AI „ogólnego przeznaczenia” (np. LLM, chatboty, generatory obrazu),
- dostawców systemów AI wysokiego ryzyka (np. stosowanych w finansach, edukacji, zatrudnieniu),
- dystrybutorów i integratorów systemów AI,
- użytkowników komercyjnych systemów AI.
Przykład praktyczny:
Startup NeuroAPI oferuje przez API dostęp do modelu analizującego wyniki testów medycznych. API jest dostępne dla klientów z sektora zdrowia. Firma ta – mimo że nie udostępnia aplikacji, a jedynie API – jest uznawana za dostawcę systemu AI wysokiego ryzyka.
📋 Obowiązki dostawców API zawierających modele AI
Dostawca systemu AI ogólnego przeznaczenia udostępnianego przez API (np. modelu LLM) musi:
- Opracować dokumentację techniczną, która opisuje m.in. dane treningowe, zakres zastosowania i zagrożenia.
- Zapewnić przejrzystość działania modelu – w tym mechanizmy informowania użytkownika, że ma do czynienia z AI.
- Zgłosić model do rejestru unijnego prowadzonego przez Komisję Europejską.
- Utrzymywać zgodność z zasadami zarządzania ryzykiem i bezpieczeństwem.
- Spełniać obowiązki komunikacyjne wobec integratorów i użytkowników.
📅 Obowiązki te wchodzą w życie 2 sierpnia 2025 r. – dlatego warto przygotować się z wyprzedzeniem.
🧱 Co to oznacza dla regulaminu API?
Jeśli oferujesz API z dostępem do modelu AI:
- musisz uregulować zasady odpowiedzialności za decyzje podjęte na podstawie wyników AI,
- powinieneś udostępnić klientowi dokumentację modelu AI (albo co najmniej jej streszczenie),
- warto poinformować użytkownika końcowego o zastosowaniu algorytmu (np. „Wynik wygenerowany przez system AI”),
- należy zapewnić zgodność z wytycznymi dotyczącymi prywatności i wyjaśnialności AI.
Równolegle z AI Act, ogromne znaczenie dla przedsiębiorców korzystających z API będzie miało rozporządzenie Data Act – czyli rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z 13 grudnia 2023 r. w sprawie sprawiedliwego dostępu do danych i ich wykorzystywania. To fundament nowej polityki danych w Unii Europejskiej, której istotnym filarem są… interfejsy API.
📦 O co chodzi w Data Act?
Celem Data Act jest:
- zapewnienie użytkownikom lepszej kontroli nad danymi generowanymi przez urządzenia skomunikowane (IoT),
- ułatwienie wymiany danych pomiędzy firmami (B2B) i firmami a administracją (B2G),
- promowanie konkurencyjności i interoperacyjności usług cyfrowych.
Definicja urządzenia skomunikowanego:
To każde urządzenie, które zbiera dane i łączy się z siecią – np.:
- smartwatch,
- urządzenie przemysłowe,
- samochód z czujnikami,
- system inteligentnego budynku.
🔗 API jako podstawowy kanał dostępu do danych
W motywie 24 Data Act wprost wskazano, że API są preferowanym sposobem udostępniania danych użytkownikom.
Zatem – jeśli Twoja firma:
- gromadzi dane z urządzeń IoT,
- przechowuje dane w systemach chmurowych,
- udostępnia dane innym podmiotom,
…to najprawdopodobniej będzie zobowiązana do:
- udostępnienia tych danych poprzez interfejs API,
- zapewnienia interoperacyjności i aktualności danych,
- opisania technicznych warunków dostępu.
📜 Obowiązki wynikające z Data Act
- Użytkownik ma prawo do danych – producent urządzenia musi umożliwić użytkownikowi dostęp do danych przez API.
- Interfejs API musi być bezpieczny i czytelny – czyli zgodny z dobrymi praktykami IT (np. REST, GraphQL).
- Nie wolno nadużywać pozycji dominującej – np. przez sztuczne ograniczanie możliwości eksportu danych.
- W przypadku umów B2B – warunki udostępniania danych muszą być sprawiedliwe, przejrzyste i niedyskryminujące.
📌 Uwaga: API nie może być zbyt złożone technicznie, ani dostęp do niego zbyt drogi – to może być uznane za naruszenie przepisów Data Act.
👩💼 Przykład praktyczny
Firma FitSens sprzedaje opaski sportowe, które mierzą puls, dystans i czas ćwiczeń. Dane są zbierane na serwerze producenta.
Zgodnie z Data Act, użytkownik ma prawo zażądać udostępnienia tych danych przez API – np. w celu przeniesienia ich do aplikacji innego dostawcy.
FitSens musi więc:
- przygotować interfejs API,
- udostępnić jego dokumentację,
- zapewnić, że dane są aktualne i zgodne z wymaganiami interoperacyjności.
Przedsiębiorcy udostępniający internetowe API wchodzą w interakcję z licznymi obszarami prawa – od autorskiego, przez ochronę danych osobowych, po nowe regulacje Unii Europejskiej. Z poniższego podsumowania dowiesz się, na co zwrócić szczególną uwagę, aby działać legalnie, bezpiecznie i profesjonalnie.
🧠 Kluczowe wnioski z poradnika
🔒 1. Ochrona praw autorskich
- Kod obsługujący API podlega ochronie prawa autorskiego.
- Samo korzystanie z API przez wysłanie zapytania nie narusza praw autorskich.
- Uważaj na licencje typu AGPL – mogą wymagać ujawnienia kodu źródłowego, nawet własnego.
📃 2. Umowy i regulaminy są podstawą bezpieczeństwa prawnego
- API to świadczenie usług drogą elektroniczną – potrzebujesz regulaminu.
- Regulamin powinien zawierać: opis usługi, zasady korzystania, limity, zasady odpowiedzialności, politykę zmian.
- W relacjach z konsumentami musisz przestrzegać ustawy o prawach konsumenta – m.in. prawa do odstąpienia od umowy.
📘 3. Dokumentacja API i prawa własności intelektualnej
- Dokumentacja może być chroniona prawem autorskim – warto ją odpowiednio licencjonować.
- Jeśli API przyjmuje dane lub je generuje – konieczne jest uregulowanie praw do tych treści.
⚖ 4. Odpowiedzialność i prawo właściwe
- Możesz ograniczyć odpowiedzialność, ale nie za szkody umyślne.
- Określ w umowie prawo właściwe (np. polskie) i sąd właściwy do rozstrzygania sporów.
🌐 Nowe obowiązki na horyzoncie – bądź gotów na 2025 rok
🤖 AI Act – jeśli Twoje API udostępnia system AI:
- Jesteś „dostawcą” systemu AI i podlegasz nowym obowiązkom od sierpnia 2025 r.
- Musisz przygotować dokumentację, zadbać o przejrzystość, a w przyszłości również zgłosić system do rejestru UE.
📊 Data Act – jeśli Twoje API przetwarza dane z urządzeń:
- Masz obowiązek zapewnić dostęp do danych użytkownikowi końcowemu.
- API musi być zgodne z wymaganiami interoperacyjności i nie może być przeszkodą w przenoszeniu danych.
✅ Rekomendacje praktyczne dla przedsiębiorców
✔ Przygotuj regulamin API zgodny z u.ś.u.d.e. i u.p.k.
✔ Ustal zasady limitów, dostępności i bezpieczeństwa korzystania z API
✔ Nie używaj kodu AGPL, jeśli nie chcesz dzielić się źródłami
✔ Udostępniaj API przez bezpieczne i dobrze udokumentowane endpointy
✔ Śledź zmiany prawa – AI Act i Data Act będą mieć realne skutki biznesowe
✔ Zabezpiecz dane osobowe zgodnie z RODO – już na etapie projektowania API
📌 Podstawa prawna (w kolejności występowania)
- art. 1 ust. 1, art. 74 ust. 4 pkt 1 – ustawa z 4.02.1994 r. o prawie autorskim i prawach pokrewnych
- art. 2 pkt 4, art. 8 ust. 1–3 – ustawa z 18.07.2002 r. o świadczeniu usług drogą elektroniczną
- art. 385¹–385⁵, art. 473 § 2, art. 384¹ – ustawa z 23.04.1964 r. – Kodeks cywilny
- art. 12, art. 27–38 – ustawa z 30.05.2014 r. o prawach konsumenta
- rozporządzenie (UE) 2024/1689 – AI Act
- rozporządzenie (UE) 2023/2854 – Data Act
Tematy porad zawartych w poradniku
- prawo autorskie a API
- regulamin świadczenia API
- AI Act 2025 obowiązki dostawców
- Data Act i udostępnianie danych
- ochrona konsumenta w usługach API