Oferowanie usługi informatycznych w modelu software as a service na rynku USA poprzez europejski podmiot może być atrakcyjnym źródłem dochodu. Przed szybkim rozpoczęciem dostarczeniem usług SaaS na rynku USA warto zapoznać się z przepisami prawnymi i podatkowymi w USA celu uniknięcia wysokich i często nie przewidywalnych kar w USA.
Na czym polega usługa SaaS
Usługa SaaS to model dystrybucji oprogramowania, w którym oprogramowanie jest trzymane na zewnętrznym serwerze i które jest udostępniane użytkownikom za pośrednictwem Internetu. W modelu SaaS użytkownicy mają dostęp do oprogramowania za pomocą przeglądarki internetowej, nie potrzebując instalować, utrzymywać ani zarządzać oprogramowaniem samodzielnie. Oprogramowanie nie jest instalowane na urządzeniu klienta końcowego, a podmiot korzystający z usług SaaS nie jest właścicielem oprogramowania, jedynie jego użytkownikiem.
Użytkownicy korzystający z usługi SaaS zazwyczaj płacą abonament za dostęp do oprogramowania na miesięcznej lub rocznej zasadzie. Oprogramowanie potrzebne do świadczenia usług SaaS może być zainstalowane na lokalnym serwerze właściciela oprogramowania lub na serwerze obsługiwanym przed podmiot trzeci.
Usługi SaaS w USA- wybrane kwestie podatkowe
Oferowanie usług SaaS będzie powiązane z obowiązkami naliczania i rozliczania się z podatków w Stanach Zjednoczonych.
Opodatkowanie serwisu SaaS w USA będzie regulowane stanowymi przepisami podatkowymi. Pięćdziesiąt amerykańskich stanów oznacza 50 różnych scenariuszy w celu określenia obowiązków podatkowych właściciela oferowanego oprogramowania. W niektórych amerykańskich stanach usługa SaaS jest uznawana jako usługa informatyczna. Inne urzędy podatkowe zwracają uwagę na takie czynnik jak dostęp użytkownika do oferowanego oprogramowania, lub rodzaj usług dostarczanych przez SaaS. Usługi SaaS podlegają stanowemu opodatkowaniu w stanach: Arizona, Hawaii, Iowa, Maine, Missisipi, New Mexico, New York, Pensylwania, i Texas.
Indywidualne prawo stanowe reguluje kary podatkowe, które będą naliczone za zaległości podatkowe, Europejski podmiot oferujący usługi SaaS na rynku USA powinien za ogólną zasadę przyjąć, iż kary podatkowe mogą być naliczane nawet do 6 lat wstecz. Dodatkowo, stanowy urząd podatkowy może doliczyć ponad 30% karę podatkową. W przypadku zagranicznego podmiotu sprzedającego usługi SaaS w parunastu amerykańskich stanach, kary administracyjne mogą narosnąć do milionowych sum.
Dochód generowany z rynku USA jest opodatkowany na poziomie federalnym i stanowym. W przypadku polskiego podmiotu oferującego usługi SaaS na rynku USA Ustawa o Unikaniu Podwójnego Opodatkowania z 1974 Roku może być mało pomocna w uniknięciu opodatkowania dochodu w USA generowanego przez SaaS. Ustawa z 1974 jest umową rządową pomiędzy Stanami Zjednoczonymi a Polską która mówi:
Warto pamiętać iż w przypadku zagranicznej firny IT nie posiadającej oddziału firmy w USA ale korzystającej z data center w USA ciągle może istnieć obowiązek pobierana podatków w Stanach Zjednoczonych.
Oferowanie usług informatycznych a ochrona danych w USA
System ochrony prywatności w Stanach Zjednoczonych ma charakter rozproszony i opiera się na kombinacji regulacji federalnych, stanowych oraz sektorowych. W przeciwieństwie do większości państw UE nie istnieje jeden, kompleksowy akt prawny regulujący ochronę danych osobowych konsumentów na poziomie federalnym.
Kluczową rolę odgrywa Federalna Komisja Handlu, FTC, która egzekwuje ochronę prywatności i bezpieczeństwo danych przede wszystkim na podstawie Sekcji 5 Ustawy o FTC. Przepis ten zakazuje „nieuczciwych lub wprowadzających w błąd działań lub praktyk”. W praktyce oznacza to m.in. odpowiedzialność za mylące polityki prywatności, niewystarczające zabezpieczenia danych oraz niedotrzymywanie złożonych deklaracji dotyczących sposobu wykorzystywania danych.
Obok ogólnych kompetencji FTC funkcjonują wyspecjalizowane regulacje branżowe, z których najważniejsze to:
- HIPAA. Ochrona informacji zdrowotnych.
- GLBA. Regulacja przetwarzania danych finansowych.
- COPPA. Ochrona danych dzieci poniżej 13. roku życia.
Do 2026 roku dwadzieścia stanów wprowadziło własne, kompleksowe ustawy o ochronie prywatności konsumentów. Najbardziej rygorystyczne pozostają kalifornijskie regulacje CCPA, która w wielu przypadkach obejmują także dane pracowników oraz dane B2B.
Z dniem 1 stycznia 2026 r. weszły w życie nowe ustawy w Indianie, Kentucky i Rhode Island, co podnosi łączną liczbę stanów z takimi regulacjami do dwudziestu. Virginia, Kolorado, Connecticut opiera się na podobnym modelu ochrony.
Zakres stosowania ustaw stanowych zależy zazwyczaj od wielkości przychodów firmy oraz liczby przetwarzanych rekordów danych lub kombinacji obu kryteriów. Szczególnie nisko ustalone progi w Rhode Island powodują, że prawo to obejmuje znacznie większą liczbę mniejszych firm SaaS niż regulacje innych stanów.
Większość stanowych ustaw przyznaje jednostkom zbliżony katalog praw, choć szczegółowe rozwiązania mogą się nieznacznie różnić. Do najważniejszych należą:
- prawo dostępu do informacji o gromadzonych danych i celach ich przetwarzania,
- prawo do usunięcia lub sprostowania danych,
- prawo do rezygnacji ze „sprzedaży” lub „udostępniania” danych (w tym na potrzeby reklamy ukierunkowanej i behawioralnej),
- prawo do ograniczenia przetwarzania danych wrażliwych (m.in. zdrowotnych, biometrycznych, precyzyjnej lokalizacji),
- ochrona przed dyskryminacją z powodu wykonania powyższych praw.
Europejski podmiot oferujące usługi SaaS na rynku USA powinien w szczególności:
- zapewnić jasne, zrozumiałe i dostępne informacje o prywatności najpóźniej w momencie zbierania danych,
- terminowo odpowiadać na żądania osób fizycznych (standardowo w ciągu 45 dni, z możliwością jednorazowego przedłużenia o kolejne 45 dni),
- przeprowadzać oceny skutków dla ochrony danych w przypadku operacji wysokiego ryzyka, takich jak sprzedaż danych, reklama ukierunkowana czy stosowanie zautomatyzowanego podejmowania decyzji (w tym systemów AI.
Każdy amerykański stan ma własne przepisy dotyczące obowiązku powiadamiania o naruszeniach bezpieczeństwa danych. Firmy SaaS muszą w stosunkowo krótkim terminie poinformować swoich klientów, a w niektórych przypadkach także właściwe organy publiczne.
Powyższe informacje powinny służyć jedynie do celów informacyjnych. Sytuacja każdego podmiotu jest inna i wymaga szczegółowej analizy.