Dostawco usług chmurowych czy Twoje umowy są zgodne z Data Act i gotowe na zmianę dostawcy przez klienta?
Czytaj więcej
Co zmienia nowelizacja UKSC? Część 4
Czytaj więcej
Będzie coraz trudniej o 8,5% ryczałt od przychodów ewidencjonowanych w branży IT?
Czytaj więcej
Shadow AI
Czytaj więcej
Objaśnienia, konsultacje, publikacje – czy termin wejścia w życie KSeF pozostaje realny?
Czytaj więcej
Co zmienia nowelizacja UKSC? Część 3
Czytaj więcej
Co zmienia nowelizacja UKSC? Część 2
Czytaj więcej
Lista samokontroli do umów cywilnoprawnych – czy pytania GIP dotyczące samozatrudnienia i B2B powinny być powodem do paniki?
Czytaj więcej
Pierwsze kroki ze start-upem, czyli co z tą polityką prywatności
Czytaj więcej
Encyclopaedia Britannica v. Perplexity AI: kolejny pozew przeciwko dostawcy modelu sztucznej inteligencji
Czytaj więcej
Co zmienia nowelizacja UKSC? Część 1
Czytaj więcej
Pierwszy pozew o kradzież głosu polskiego lektora przy wykorzystaniu AI
Czytaj więcej
Umowy inwestycyjne w start-upach, czyli jak negocjować i czego unikać – praktyczny przewodnik dla founderów
Czytaj więcej
Data Act – Rozwiązanie umowy na usługę chmurową
Czytaj więcej
GEMA wygrywa z OpenAI – czy to przełomowy wyrok?
Czytaj więcej
Standardowe klauzule umowne dla dostawców usług chmurowych
Czytaj więcej
Wyrok sądu w sprawie Getty Images przeciwko Stability AI – kluczowe skutki dla zarządzania IT oraz biznesu cyfrowego
Czytaj więcej
Exit plan w start-upie
Czytaj więcej
Sztuczna inteligencja w medycynie – nowe wyzwania prawne i praktyczne
Czytaj więcej
KSeF – to przede wszystkim wyzwanie informatyczne
Czytaj więcej
Finansowanie start-upów
Czytaj więcej
Nowe wyzwania prawne dla IT – prelekcja Mateusza Kozieła podczas warsztatów MMC Polska
Czytaj więcej
Założenia ustawy o sprawiedliwym dostępie do danych i ich wykorzystywaniu opublikowane
Czytaj więcej
Generatywna sztuczna inteligencja a prawo autorskie w UE – kluczowe wnioski z raportu EUIPO
Czytaj więcej
Obowiązek współdziałania w kontrakcie utrzymaniowym IT – dobre praktyki umowne
Czytaj więcej
Richard Kadrey v. Meta Platforms: kolejna decyzja w sprawie trenowania modeli AI oraz praw autorskich w Stanach Zjednoczonych
Czytaj więcej
Naruszenie praw autorskich i co dalej?
Czytaj więcej
ESOP czyli co? 
Czytaj więcej
Nowe prawo pokrewne w praktyce – jak chroni wydawców w erze platform cyfrowych?
Czytaj więcej
Bartz i in. vs. Anthropic: pierwsze zwycięstwo producentów modeli sztucznej inteligencji przeciwko autorom książek
Czytaj więcej
Open source w firmie: potencjał, obowiązki, ryzyko
Czytaj więcej
Jaką formę prawną wybrać dla start-upu?
Czytaj więcej
Nowe zasady gry w WHT – MF publikuje długo wyczekiwane objaśnienia do klauzuli rzeczywistego właściciela
Czytaj więcej
Nie tylko formalność – wpływ badania due diligence na decyzje transakcyjne
Czytaj więcej
Styl a prawo autorskie na tle generowania obrazów w stylu Ghibli
Czytaj więcej
Raport Copyright and Generative AI: sztuczna inteligencja a prawo autorskie
Czytaj więcej
Sztuczna inteligencja przed sądem – pierwszy spór przed TSUE
Czytaj więcej
Zgłaszać czy nie zgłaszać? Naruszenia ochrony danych osobowych po „nowemu”.
Czytaj więcej
Kiedy design łamie prawo – dark patterns w świetle przepisów
Czytaj więcej
Program komputerowy jako wkład do spółki – skutki podatkowe
Czytaj więcej
Prawa autorskie a utrzymanie systemu informatycznego – co powinien wiedzieć zamawiający? Cz. 3: Jak odzyskać swobodę zarządzania systemem – dostępne strategie i ich konsekwencje
Czytaj więcej
Program komputerowy jako wkład do spółki
Czytaj więcej
Prawa autorskie a utrzymanie systemu informatycznego – co powinien wiedzieć zamawiający? Cz. 2: Jak sprawdzić swoją sytuację prawną i techniczną?
Czytaj więcej
Prawa autorskie a utrzymanie systemu informatycznego – co powinien wiedzieć zamawiający? Cz. 1: Dlaczego zamawiający tracą wpływ na swoje systemy IT?
Czytaj więcej
Ulga na innowacyjnych pracowników a 50% koszty uzyskania przychodów – naczynia połączone?
Czytaj więcej
Czy czeka nas deregulacja RODO?
Czytaj więcej
Polski Akt o Dostępności – nowe obowiązki również dla e-commerce
Czytaj więcej
Zmiany w prawie autorskim – nowe uprawnienia twórców
Czytaj więcej
Zagrożona wirtualna tożsamość – spory o domeny internetowe
Czytaj więcej
26 kwietnia: Światowy Dzień Własności Intelektualnej
Czytaj więcej

Vibe coding a prawo

Vibe coding, spopularyzowany w lutym 2025 r. przez Andreja Karpathiego stanowi przełomową ewolucję w tworzeniu oprogramowań [1]. Umożliwia użytkownikom tworzenie kodu źródłowego do różnego rodzaju aplikacji za pomocą naturalnego języka przy wykorzystaniu modeli sztucznej inteligencji (ang. artificial intelligence, AI). Zamiast pisać tradycyjny kod źródłowy, przedsiębiorcy czy pomysłodawcy po prostu opisują w języku naturalnych pożądane zachowanie i „klimat” aplikacji. Choć vibe coding od 2025 r. zyskuje coraz większą popularność, należy zwrócić uwagę na potencjalne problemy prawne, które łączą się z tym zjawiskiem.

Z perspektywy średnich i dużych organizacji, w szczególności spółek technologicznych, instytucji finansowych oraz podmiotów z sektorów regulowanych, wykorzystanie vibe codingu nie jest jedynie kwestią efektywności wytwarzania oprogramowania. Wiąże się ono także z koniecznością zarządzania ryzykiem prawnym i regulacyjnym, odpowiednim ukształtowaniem procesów wewnętrznych (governance) oraz zapewnieniem zgodności z wymogami kontraktowymi klientów i inwestorów.

Stworzenie aplikacji w środowisku korporacyjnym jest złożonym i czasochłonnym procesem wymagającym nie tylko wiedzy z zakresu programowania czy projektowania, ale także spełnienia wymogów bezpieczeństwa IT, zgodności i wykonania obowiązków dokumentacyjnych. Przez dziesięciolecia przekształcenie idei w działającą aplikację wymagało wiedzy technicznej czy zatrudnienia programistów. Jednak obecne modele AI zrewolucjonizowały proces budowania aplikacji. Narzędzia takie jak Claude Code, Base44, Lovable AI czy Appy Pie pozwalają tworzyć aplikacje bez umiejętności kodowania, przyspieszając wdrożenia i upraszczając każdy etap pracy. W większych organizacjach narzędzia te są coraz częściej integrowane z istniejącymi pipeline’ami deweloperskimi, co dodatkowo komplikuje ocenę ryzyk prawnych związanych z ich użyciem. Należy zaznaczyć, że vibe coding ma zarówno swoich zwolenników, jak i przeciwników. Jest krytykowany głównie w branży IT m.in. z uwagi na niską jakość generowanego kodu.

Czym jest vibe coding w praktyce?

Vibe coding polega na budowaniu aplikacji przy użyciu narzędzia AI poprzez wykorzystanie promptów pisanych w języku naturalnym. Zamiast pisać kod, użytkownik opisuje w potocznym języku swoje wymagania dotyczące przyszłej aplikacji. Przykładowe prompty:

  • „stwórz aplikację skanującą regulaminy”;
  • „stwórz aplikację do nauki języków”;
  • „stwórz aplikację do tworzenia ankiet”;
  • „stwórz wirtualnego asystenta mody”;

 

Model AI Base44 do tworzenia aplikacji | Vibe coding a prawo

Model AI Base44 do tworzenia aplikacji [2].

Idea stworzenia aplikacji oraz prawnoautorska kwalifikacja promptu

Zanim aplikacja nabierze konkretnego kształtu, jej tworzenie jak każdy proces kreatywny rozpoczyna się od pomysłu – idei. Należy zauważyć, że zgodnie z art. 1 ust. 21 ustawy o prawie autorskim i prawach pokrewnych [3] „ochroną objęty może być wyłącznie sposób wyrażenia; nie są objęte ochroną odkrycia, idee, procedury, metody i zasady działania oraz koncepcje matematyczne”. Zatem sama idea stworzenia aplikacji np. do wyprowadzania psów nie będzie objęta ochroną prawnoautorską.

W praktyce, zwłaszcza w przypadku większych organizacji, istotne staje się więc uregulowanie statusu promptów w wewnętrznych politykach, w tym określenie, czy i na jakich zasadach pracownicy mogą wykorzystywać określone informacje lub treści w komunikacji z modelami AI. Brak takich zasad zwiększa ryzyko nieuprawnionego ujawnienia informacji biznesowo wrażliwych.

Kolejnym etapem jest skonstruowanie odpowiedniego polecenia (promptu) do modelu AI.

Zrzut ekranu z modelu AI – ChatGPT | Vibe coding a prawo
Zrzut ekranu z modelu AI – ChatGPT [4].

W kontekście interakcji z systemami AI prompt jest to fragment tekstu, który służy jako instrukcja dla systemu. Po wprowadzeniu promptu model AI analizuje dane wejściowe i generuje odpowiedź w oparciu o wzorce, które przyswoił podczas trenowania. Innymi słowy prompt to rodzaj polecenia wysyłanego do maszyny, aby dostarczyła założony przez użytkownika efekt. W kwestii kwalifikacji prawnej promptu istnieją dwie możliwości: pierwsza – uznanie promptu jako utworu i objęcie go ochroną prawnoautorską i druga – uznanie promptu za ideę, co będzie się wiązało z brakiem ochrony prawnoautorskiej. Prompty niekiedy wykazują pewien stopień twórczości oraz stanowią odzwierciedlenie autora, co wiąże się z tym, że stają się one czymś więcej niż prostym poleceniem użytkownika. Jeżeli zostaną spełnione przesłanki twórczości, indywidualności oraz ustalenia można zakwalifikować prompt jako utwór w rozumieniu pr. aut [5].

Prawa autorskie do oprogramowania aplikacji

Po wprowadzeniu promptu np. „stwórz aplikację do wyprowadzania psów” model AI generuje przykładowy kod źródłowy.


Zrzut ekranu z modelu AI – ChatGPT.

Zgodnie z art. 74 ust. 1 pr. aut. „programy komputerowe podlegają ochronie jak utwory literackie, o ile przepisy niniejszego rozdziału nie stanowią inaczej”. Program komputerowy podobnie jak każdy inny utwór musi spełniać takie same kryteria jego kwalifikacji jak przy ocenie dzieł literackich, jak również nie musi mieć postaci ukończonej, aby korzystać z autorskoprawnej ochrony (art. 1 ust. 3 pr. aut.). Należy podkreślić, że zgodnie z ustawodawstwem międzynarodowym, unijnym i krajowym twórcą może być jedynie człowiek.

W przypadku korzystania z vibe codingu do tworzenia aplikacji będziemy mieli do czynienia z tzw. purely AI-generated works albo inaczej machine-generated works. Wprowadzenie jedynie promptu w celu nakazania modelowi AI wygenerowanie konkretnego rezultatu (kodu źródłowego) nie będzie stanowiło przypadku twórczego udziału człowieka, a zatem brak będzie podstaw do przypisania autorstwa osobie fizycznej. Inaczej, kod źródłowy w całości wygenerowany przez model AI w celu stworzenia aplikacji nie będzie chroniony prawem autorskim. Często oznacza to konieczność rozróżniania w ramach portfela IP danej organizacji kodu tworzonego „tradycyjnie” od kodu powstającego z użyciem (w rożnym stopniu) technik vibe codingu. Brak takiej kwalifikacji może prowadzić do komplikacji na poziomie kontraktowym, ryzyk podatkowych a nawet zawyżonej wyceny aktywów IP i wynikających stąd zagrożeń dla transakcji M&A lub pozyskiwania finansowania.

Modele AI są trenowane na rozległych zbiorach danych, obejmujących m.in. kod źródłowy pochodzący z publicznie dostępnych repozytoriów, co rodzi ryzyko, że wygenerowane fragmenty oprogramowania będą powielać elementy objęte prawami osób trzecich lub będą objęte restrykcyjnymi licencjami open source, prowadząc do naruszenia prawa.

Dane osobowe

Wdrażając aplikację stworzoną z pomocą vibe codingu nie można zapomnieć o ochronie danych osobowych oraz o formalnych wymaganiach w zakresie rozliczalności. Jak wynika z badań 89% aplikacji tworzonych w ten sposób nie ma odpowiednich mechanizmów zgody [6]. RODO [7] nakłada na twórców aplikacji mobilnych szereg obowiązków związanych z ochroną danych osobowych. Wykorzystanie vibe codingu w większych podmiotach powinno być uwzględnione w rejestrze czynności przetwarzania (jako element sposobu tworzenia i utrzymania aplikacji), analizach DPIA dla systemów o podwyższonym ryzyku, a także politykach bezpieczeństwa informacji oraz procedurach zarządzania incydentami.
W praktyce oznacza to więc konieczność zaangażowania działów compliance już na etapie samego projektowania procesu developmentu opartego o narzędzia AI.

Governance użycia vibe codingu w większych organizacjach

W średnich i dużych organizacjach samo techniczne wdrożenie narzędzi vibe codingu jest niewystarczające. Konieczne jest zbudowanie ram zarządzania (tzw. governance), które obejmują co najmniej politykę korzystania z narzędzi AI (w tym listę narzędzi dozwolonych i zakazanych), procedury zatwierdzania nowych narzędzi (rola działu bezpieczeństwa, IT, compliance), zasady klasyfikacji i wprowadzania danych do modeli (np. zakaz używania danych osobowych i informacji „biznesowo wrażliwych” poza określonym, kontrolowanym środowiskiem), wymogi dokumentacyjne.
Brak takich ram może prowadzić do niekontrolowanego rozproszenia narzędzi AI w firmie (shadow AI) i utrudniać późniejsze wyjaśnianie incydentów lub sporów z jej klientami.

Ryzyka biznesowe

Poza omówionymi ryzykami prawnymi warto wspomnieć również o ryzykach biznesowych wiążących się z vibe codingiem:

  • przy procesie due diligence ze strony inwestorów / kupujących – brak jasnej dokumentacji, jak i w jakim zakresie użyto AI może wpłynąć na obniżenie wyceny spółki lub w nawet blokować transakcję, a w dużych grupach kapitałowych może nawet wymagać przeprowadzenia dedykowanego audytu AI, obejmującego przegląd procesów dewelopmentu, umów z dostawcami modeli oraz dokumentacji wewnętrznej.
  • coraz częściej w RFP (ang. request for proposal, zapytania ofertowe) pojawiają się postanowienia o zakazie lub kontroli użycia kodu generowanego przez AI lub obowiązku ujawnienia zakresu jego wykorzystania. Dla dostawców IT brak precyzyjnych odpowiedzi w tym zakresie coraz częściej skutkuje wykluczeniem z postępowań lub dodatkowymi obowiązkami audytowymi po stronie klienta.
  • vendor lock-in – należy zwrócić uwagę na ograniczenia w komercyjnym wykorzystaniu outputu (wygenerowanego wyniku). Skoro sama aplikacja powstała w ramach vibe codingu to również wszelkie zmiany / modyfikacje aplikacji będą wymagały użycia rozwiązania AI, co z kolei prowadzi do uzależnienia dostawcy od systemu AI. Ryzyko to należy uwzględniać w procesach zakupowych i w politykach zarządzania dostawcami (vendor management), w tym poprzez wymaganie od dostawców AI mechanizmów eksportu kodu oraz jasnych zasad dotyczących praw do wyników.
  • brak spójności pomiędzy politykami AI a umowami zawieranymi z klientami, w szczególności w zakresie gwarancji oryginalności kodu, bezpieczeństwa oraz lokalizacji przetwarzania danych.
  • ryzyka regulacyjne zwłaszcza w sektorach nadzorowanych (finanse, medycyna, infrastruktura krytyczna), gdzie wykorzystanie narzędzi AI w procesach wytwarzania oprogramowania może podlegać kontroli organów nadzoru.

Vibe coding a regulacje sektorowe i AI governance

Większe podmioty, w szczególności te należące do sektorów regulowanych, powinny traktować vibe coding jako element szerszego systemu zarządzania AI. W praktyce oznacza to konieczność:

  • włączenia narzędzi vibe codingu do rejestru systemów AI wykorzystywanych w organizacji,
  • oceny czy aplikacje tworzone z ich wykorzystaniem nie podlegają zaostrzonym wymogom prawnym (np. jako systemy wysokiego ryzyka w rozumieniu AI Act),
  • zapewnienia spójności pomiędzy politykami AI a obowiązkami wynikającymi z przepisów sektorowych oraz standardów bezpieczeństwa informacji.

Dla działów prawnych i compliance jest to więc dodatkowy obszar, który powinien zostać objęty regularnym przeglądem i audytem.

Sprzedaż i wdrożenie aplikacji stworzonych z użyciem vibe coding – na co zwrócić szczególną uwagę?

  1. Prawa autorskie – kod źródłowy w całości wygenerowany przez model AI nie będzie utworem w rozumieniu pr. aut. Sprzedającemu nie będą przysługiwały prawa autorskie do aplikacji. W transakcjach typu M&A lub przy sprzedaży rozwiązań enterprise konieczne jest zatem precyzyjne opisanie w dokumentacji transakcyjnej, jaka część kodu powstała z użyciem vibe codingu oraz jakie konsekwencje ma to dla charakteru i zakresu przenoszonych praw.
  2. Potencjalne naruszenie praw osób trzecich – wygenerowany kod źródłowy może naruszać prawa przysługujące innym osobom. Ważne jest, aby dokonać audytu wygenerowanego przez AI kodu, aby upewnić się, że nie zawiera on materiałów objętych prawami autorskimi innych osób. W większych projektach wdrożeniowych audyt taki powinien być elementem standardowego procesu quality assurance (QA) oraz podlegać udokumentowaniu, tak aby można było wykazać należytą staranność wobec klienta lub inwestora.
  3. Warunki licencyjne dostawcy modelu AI – należy zwrócić uwagę, że prawa przyznane użytkownikom modeli AI różnią się w zależności od platformy i indywidualnego planu. Na przykład warunki Midjourney [8] przyznają prawa do wygenerowanych przez nich wyników w najszerszym zakresie dozwolonym przez prawo, ale firmy o rocznych przychodach przekraczających 1 000 000 dolarów muszą posiadać określone plany, by mieć prawa do wygenerowanych wyników. Zatem nawet jeśli użytkownikowi zostaną przyznane prawa do wygenerowanego wyniku, może on być zobowiązany do udzielenia platformie licencji na zwielokrotnianie, wyświetlanie i rozpowszechnianie tych treści. Większe organizacje powinny również zapewnić jednolitość planów licencyjnych (enterprise, indywidualne konta pracowników) oraz zapewnić, że wykorzystanie narzędzi przez podwykonawców i zespoły rozproszone będzie mieścić się w ramach posiadanych licencji.
  4. Odpowiedzialność kontraktowa/deliktowa wobec kupującego – jeżeli w umowie zawarto postanowienie, że kod źródłowy jest oryginalny i wolny od wad, a okaże się, że jednak narusza cudze prawa to sprzedający może ponieść odpowiedzialność odszkodowawczą. Dlatego tak ważne jest uregulowanie w umowie kwestii rozkładu odpowiedzialności, czy będzie ją ponosił dostawca modelu, użytkownik vibe codingu czy reseller. W kontraktach, zwłaszcza tych o znaczącej wartości i krytycznym charakterze systemów, brak jasnego uregulowania sposobu wykorzystania AI do tworzenia kodu może prowadzić do zwiększenia ryzyka odpowiedzialności po stronie dostawcy, w tym w zakresie roszczeń z tytułu rękojmi, kar umownych oraz odpowiedzialności regresowej wobec podwykonawców.

Będziemy się przyglądać, czy vibe coding to tylko chwilowy trend, czy też na stałe zagości w świecie IT. Niezależnie od dalszego rozwoju już teraz warto mieć świadomość ryzyk biznesowych i prawnych, a decydując się na stworzenie aplikacji w takim modelu, należy wprowadzić odpowiednie zabezpieczenia kontraktowe.

Tworzysz produkty przy użyciu vibe codingu w ramach spółki technologicznej, instytucji finansowej lub podmiotu z sektora regulowanego? Zapraszamy do kontaktu z Kancelarią w celu zaprojektowania polityk AI, klauzul kontraktowych oraz procesów compliance dostosowanych do skali Twojego biznesu.

Źródła:

[1] P. Pajo, Vibe Coding: Revolutionizing Software Development with AI-Generated Code,
https://www.researchgate.net/publication/389848540_Vibe_Coding_Revolutionizing_Software_Development_with_AI-Generated_Code.

[2] Base44,
https://base44.com/lp-en?utm_source=bing&utm_medium=cpc&utm_campaign=506234441^1276534734671471^search%20-%20bing%20rest&experiment_id=no%20code%20app^b^^&msclkid=1cba6ced904b1523bddf057813d5f669.

[3] Ustawa z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (t.j. Dz. U. z 2025 r. poz. 24 z późn. zm.), dalej: pr. aut.

[4] ChatGPT,
https://chatgpt.com/?utm_source=microsoft&utm_medium=paidsearch_brand&utm_campaign=MSFT_C_SEM_BBR_Core_CHT_BAU_ACQ_PER_MIX_ALL_EMEA_PL_PL_110625&utm_term=chatgpt&utm_content=1178678455072246&utm_ad=&utm_match=e&msclkid=a00484501a311f590fe7edc5891575b5.

[5] Zgodnie z art. 1 ust. 1 pr. aut. przedmiotem prawa autorskiego jest każdy przejaw działalności twórczej o indywidualnym charakterze, ustalony w jakiejkolwiek postaci, niezależnie od wartości, przeznaczenia i sposobu wyrażenia (utwór).

[6] S. Greenwood, Data Privacy and Compliance Pitfalls for Non-Technical Vibe Coders,
https://ehga.org/data-privacy-and-compliance-pitfalls-for-non-technical-vibe-coders.

[7] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.).

[8] Midjourney,
Terms of Service, https://docs.midjourney.com/hc/en-us/articles/32083055291277-Terms-of-Service;
LegalClarity Team, Is Selling AI Art Legal?
The Key Legal Issues, https://legalclarity.org/is-selling-ai-art-legal-the-key-legal-issues/.

Joanna Kik | Barta & Partners

Joanna Kik

radca prawny
jkik@barta.pl
Agnieszka Kaczmarczyk | Barta & Partners

Agnieszka Kaczmarczyk

aplikant radcowski
akaczmarczyk@barta.pl