Firma technologiczna z Mazowsza odkrywa, że były pracownik – miesiąc po odejściu – oferuje konkurentom dokładnie ten sam model wyceny, który przez dwa lata budował jej dział analityczny. Dokumentacja jest nieopatrzona klauzulą poufności. Umowa o pracę milczy na temat know-how. Postępowanie sądowe jest możliwe, lecz szanse na wygraną – bez wcześniejszego systemu ochrony – są nikłe.
Tajemnica przedsiębiorstwa podlega ochronie na podstawie ustawy z 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (dalej: u.z.n.k.). Aby informacja korzystała z tej ochrony, przedsiębiorca musi podjąć niezbędne działania w celu zachowania jej poufności – wymogu tego nie spełnia samo przekonanie, że dana wiedza jest wartościowa. Brak udokumentowanych środków ochrony zamyka drogę do skutecznego dochodzenia roszczeń.
Ten przewodnik przeprowadza przez cztery etapy budowania systemu ochrony: identyfikację aktywów, wdrożenie procedur, zabezpieczenie w relacjach pracowniczych i kontraktowych oraz reakcję na naruszenie. Każdy etap zawiera konkretne działania, terminy i pułapki, które kosztują firmy czas i pieniądze.
Co chroni ustawa o zwalczaniu nieuczciwej konkurencji i kiedy ochrona nie działa?
Ochrona tajemnicy przedsiębiorstwa opiera się na trzech kumulatywnych przesłankach z art. 11 u.z.n.k. Informacja musi mieć wartość gospodarczą, nie może być powszechnie znana ani łatwo dostępna oraz – i tu pojawia się największy problem praktyczny – przedsiębiorca musi podjąć działania w celu zachowania jej poufności. Brak choćby jednej przesłanki oznacza brak ochrony. Sąd Najwyższy (SN) wielokrotnie podkreślał, że samo przeświadczenie o wartości informacji nie wystarczy.
Zakres podmiotowy jest szeroki. Ochronie podlegają wzory, receptury, algorytmy, listy klientów, strategie cenowe, plany produktowe i wyniki badań – o ile spełnione są wspomniane warunki. Nie chroni się natomiast wiedzy ogólnodostępnej ani umiejętności zawodowych pracownika, które nabył w toku zatrudnienia i które stanowią część jego osobistego doświadczenia zawodowego.
W praktyce – wiele firm o tym zapomina – ochrona „aktywuje się" dopiero w momencie naruszenia, ale jej skuteczność zależy od działań podjętych przed naruszeniem. Jeśli przedsiębiorca nie prowadził rejestru aktywów, nie stosował klauzul poufności i nie szkolił pracowników, sąd uzna, że nie dochował należytej staranności. Postępowanie przed sądem powszechnym lub Urzędem Ochrony Konkurencji i Konsumentów (UOKiK) kończy się wtedy oddaleniem powództwa.
Warto też wiedzieć, że ochrona tajemnicy przedsiębiorstwa nie zastępuje prawa własności intelektualnej. Znak towarowy, patent czy prawo autorskie chronią inaczej i niezależnie. Regulacje dotyczące aktywów cyfrowych – w tym MiCA – pokazują, że ochrona wartości niematerialnych wymaga dziś podejścia wielowarstwowego, łączącego prawo IP z procedurami compliance.
Jak zbudować rejestr aktywów i system klasyfikacji poufności?
Pierwszy krok to inwentaryzacja. Firma powinna w ciągu 30 dni od podjęcia decyzji o wdrożeniu systemu sporządzić rejestr aktywów informacyjnych. Rejestr identyfikuje każdy zasób, przypisuje mu kategorię poufności (np. „ściśle tajne", „poufne", „do użytku wewnętrznego") oraz wskazuje właściciela i osoby uprawnione do dostępu. Bez tego dokumentu trudno wykazać przed sądem, że konkretna informacja była traktowana jako tajna.
Klasyfikacja powinna być prosta – maksymalnie trzy poziomy. Zbyt rozbudowane systemy nie są stosowane w praktyce. Każdy zasób otrzymuje etykietę fizyczną lub cyfrową oraz określony tryb udostępniania. Dostęp na zasadzie „need to know" ogranicza ryzyko wycieku i ułatwia późniejsze dochodzenie odpowiedzialności.
Micro-case I – firma produkcyjna z Dolnego Śląska, wiosna 2024 r.: po przeprowadzeniu audytu okazało się, że receptury produktów były przechowywane na współdzielonym dysku bez żadnych ograniczeń dostępu. Wdrożenie systemu klasyfikacji i ograniczenia dostępu zajęło 6 tygodni. Dzięki temu w późniejszym sporze z byłym partnerem handlowym firma była w stanie wykazać, że podjęła działania ochronne przed ujawnieniem informacji.
Rejestr aktywów powinien być aktualizowany co najmniej raz na 12 miesięcy oraz każdorazowo przy wprowadzeniu nowego produktu, usługi lub modelu biznesowego. Firmy działające w środowiskach regulowanych – na przykład podlegające DORA (Rozporządzenie UE 2022/2554 w zakresie zarządzania ryzykiem ICT) – powinny zsynchronizować rejestr z wymogami dotyczącymi zarządzania aktywami informacyjnymi wynikającymi z tego rozporządzenia. Obowiązek ten dotyczy podmiotów finansowych od 17 stycznia 2025 r.
Checklist – co przygotować przed wdrożeniem systemu ochrony:
- Rejestr aktywów informacyjnych z przypisanymi kategoriami poufności
- Mapa dostępów – kto i na jakiej podstawie ma dostęp do każdego zasobu
- Procedura oznaczania dokumentów (fizycznych i cyfrowych)
- Polityka korzystania z narzędzi zewnętrznych (chmura, AI, komunikatory)
- Harmonogram przeglądów rejestru (minimum raz na rok)
Jakie klauzule i umowy chronią tajemnicę w relacjach pracowniczych i kontraktowych?
Relacja pracownicza to najczęstsze źródło naruszenia tajemnicy przedsiębiorstwa. Kodeks pracy nakłada na pracownika podstawowy obowiązek dbałości o dobro zakładu pracy, lecz nie zastępuje on precyzyjnej umowy o zachowaniu poufności. Pracodawca powinien zawrzeć taką umowę najpóźniej w dniu podpisania umowy o pracę – nie po okresie próbnym, nie „przy okazji" następnego przeglądu dokumentacji.
Klauzula NDA (non-disclosure agreement) powinna określać: zakres chronionych informacji przez odesłanie do rejestru aktywów, czas trwania obowiązku (w trakcie zatrudnienia i po jego ustaniu – typowo 2–3 lata), zakaz korzystania z informacji dla własnych celów oraz sankcję umowną. Kara umowna w rozsądnej wysokości – np. równowartość 6-miesięcznego wynagrodzenia – jest egzekwowalna i działa odstraszająco.
Zakaz konkurencji po ustaniu zatrudnienia (art. 1012 k.p.) wymaga odrębnej umowy i wypłaty odszkodowania w wysokości co najmniej 25% wynagrodzenia za każdy miesiąc obowiązywania zakazu. Bez odszkodowania zakaz jest nieważny. Wiele firm zapomina o tym wymogu, zawierając klauzule, które następnie okazują się bezskuteczne.
W relacjach B2B – z podwykonawcami, doradcami, partnerami – NDA powinno poprzedzać każdą wymianę informacji. Podpisanie NDA po przekazaniu dokumentacji jest działaniem spóźnionym. Umowa powinna precyzować, że informacje ujawnione przed podpisaniem NDA są objęte tym samym reżimem, o ile strony tak postanowią. Wymogi raportowania ESG w ramach CSRD pokazują analogiczny mechanizm: wartość procedury zależy od momentu jej wdrożenia, nie od jej formalnej doskonałości po fakcie.
Micro-case II – spółka IT z Trójmiasta, jesień 2023 r.: umowy z freelancerami nie zawierały klauzul poufności, ponieważ dział HR uznał, że „to jednorazowe zlecenia". Jeden z wykonawców przekazał specyfikację techniczną konkurentowi. Brak NDA uniemożliwił skuteczne dochodzenie roszczeń na drodze cywilnej – sprawa zakończyła się ugodą za ułamek rzeczywistej szkody.
Jak RODO, AI Act i DORA wpływają na ochronę tajemnicy przedsiębiorstwa?
Trzy regulacje unijne zmieniają krajobraz ochrony informacji poufnych w sposób, którego wiele firm jeszcze nie dostrzega. RODO (Rozporządzenie UE 2016/679) nakłada obowiązek wdrożenia środków technicznych i organizacyjnych adekwatnych do ryzyka. Środki te – szyfrowanie, kontrola dostępu, pseudonimizacja – są jednocześnie najlepszym dowodem, że przedsiębiorca podjął działania ochronne w rozumieniu u.z.n.k. Inspekcja PUODO i roszczenie z tytułu naruszenia tajemnicy przedsiębiorstwa mogą dotyczyć tego samego zdarzenia.
AI Act (Rozporządzenie UE 2024/1689), który wszedł w życie 1 sierpnia 2024 r., nakłada na dostawców i użytkowników systemów AI wysokiego ryzyka obowiązek prowadzenia dokumentacji technicznej. Firmy, które trenują modele na własnych danych, powinny zadbać, aby dane treningowe – często stanowiące know-how – były objęte odpowiednimi procedurami ochrony informacji. Udostępnienie modelu AI bez zabezpieczenia leżących u jego podstaw danych może oznaczać ujawnienie tajemnicy przedsiębiorstwa.
DORA (Rozporządzenie UE 2022/2554), obowiązujące od 17 stycznia 2025 r., wymaga od podmiotów finansowych zarządzania ryzykiem ICT, w tym ryzykiem związanym z dostawcami zewnętrznymi. Wymóg ten bezpośrednio przekłada się na potrzebę weryfikacji, czy dostawcy usług chmurowych i IT spełniają standardy ochrony informacji poufnych. Raportowanie incydentów do Komisji Nadzoru Finansowego (KNF) może ujawnić naruszenia tajemnicy przedsiębiorstwa, które dotąd pozostawały niezauważone.
Uważamy, że bezpieczniejszym rozwiązaniem jest zsynchronizowanie polityki ochrony tajemnicy przedsiębiorstwa z wymaganiami RODO, AI Act i DORA w jednym dokumencie. Trzy osobne procedury oznaczają trzy razy więcej szans na lukę. Jeden zintegrowany system zarządzania informacją poufną jest łatwiejszy do utrzymania i bardziej przekonujący dla sądu lub regulatora.
Co robić po wykryciu naruszenia tajemnicy przedsiębiorstwa?
Czas działa przeciwko poszkodowanemu przedsiębiorcy. Roszczenia z tytułu czynów nieuczciwej konkurencji przedawniają się z upływem 3 lat od dnia, w którym poszkodowany dowiedział się o naruszeniu i osobie sprawcy – nie dłużej jednak niż 10 lat od dnia naruszenia. Pierwsze 72 godziny po wykryciu są decydujące dla zabezpieczenia dowodów.
Działania natychmiastowe po wykryciu naruszenia:
- Zabezpieczenie dowodów cyfrowych – logi systemowe, e-maile, historia dostępu (najlepiej przez notariusza lub biegłego IT)
- Identyfikacja zakresu ujawnionych informacji i kręgu osób, które mogły je otrzymać
- Ocena, czy naruszenie stanowi jednocześnie incydent RODO wymagający zgłoszenia do PUODO w ciągu 72 godzin
- Analiza, czy konieczne jest wezwanie do zaprzestania naruszenia przed złożeniem pozwu
Na drodze sądowej dostępne są roszczenia z art. 18 u.z.n.k.: zaniechanie niedozwolonych działań, usunięcie skutków naruszenia, złożenie oświadczenia, naprawienie szkody oraz wydanie bezpodstawnie uzyskanych korzyści. Sąd może też orzec na wniosek powoda zabezpieczenie roszczenia na podstawie art. 730 k.p.c. – dostępne już przed wszczęciem postępowania, jeśli roszczenie jest uprawdopodobnione i istnieje interes prawny. Zabezpieczenie może polegać na zajęciu dokumentacji lub zakazie korzystania z informacji do czasu wyroku.
Postępowanie karne jest możliwe, gdy naruszenie wyczerpuje znamiona przestępstwa z art. 23 u.z.n.k. – ujawnienie lub wykorzystanie cudzej tajemnicy przedsiębiorstwa zagrożone jest karą grzywny, ograniczenia wolności albo pozbawienia wolności do 2 lat. Zgłoszenie do organów ścigania działa odstraszająco i może przyspieszyć zabezpieczenie dowodów przez prokuraturę.
Trzy scenariusze biznesowe pokazują różne podejścia do reakcji na naruszenie. Firma produkcyjna (sektor przemysłowy) zazwyczaj koncentruje się na zabezpieczeniu dokumentacji technicznej i roszczeniu odszkodowawczym. Spółka IT priorytetyzuje nakaz sądowy zakazujący korzystania z kodu lub algorytmu. Inwestor zagraniczny wchodzący na rynek polski – np. z Niemiec lub Ukrainy – musi uwzględnić możliwość równoległego postępowania w kilku jurysdykcjach, co wymaga koordynacji z sieciowymi partnerami kancelarii.
Często zadawane pytania
P: Ile kosztuje wdrożenie systemu ochrony tajemnicy przedsiębiorstwa w małej firmie?
O: Koszty zależą od skali działalności i istniejącej dokumentacji. Dla firmy zatrudniającej do 50 osób minimalny system – rejestr aktywów, wzory NDA, procedura oznaczania dokumentów – można wdrożyć w ciągu 4–6 tygodni. Koszt obsługi prawnej przy kompleksowym wdrożeniu wynosi zwykle od kilku do kilkunastu tysięcy złotych. Koszt braku ochrony – jak pokazuje praktyka sądowa – bywa wielokrotnie wyższy.
P: Czy tajemnica przedsiębiorstwa chroni algorytmy i modele AI trenowane na własnych danych?
O: Tak, pod warunkiem spełnienia przesłanek z artykułu 11 ustawy o zwalczaniu nieuczciwej konkurencji – wartości gospodarczej, braku powszechnej dostępności i podjęcia działań ochronnych. Sama architektura modelu może być dodatkowo chroniona prawem autorskim jako utwór. Artykuł 28j ustawy o CIT (estoński CIT) i preferencje IP Box (artykuł 24d ustawy o CIT) mogą obniżyć opodatkowanie dochodów z takich aktywów do 5%, co czyni ich ochronę jeszcze bardziej opłacalną ekonomicznie.
P: Czy NDA podpisane przez pracownika przy zatrudnieniu jest skuteczne po ustaniu stosunku pracy?
O: Obowiązek zachowania poufności co do zasady obowiązuje również po ustaniu zatrudnienia, jeśli umowa wyraźnie to przewiduje. Nie należy jednak mylić NDA z zakazem konkurencji – ten drugi wymaga odrębnej umowy i wypłaty odszkodowania w wysokości co najmniej 25% wynagrodzenia za każdy miesiąc obowiązywania zakazu, zgodnie z przepisami Kodeksu pracy. Bez tego odszkodowania zakaz konkurencji jest nieważny, choć samo NDA pozostaje w mocy.
Konkretna sytuacja Państwa firmy – niezależnie od tego, czy chodzi o wyciek know-how, lukę w umowach z pracownikami, czy brak procedur ochrony informacji – wymaga indywidualnej oceny. Każda nieusunięta luka jest potencjalnym wektorem ataku, który może nieodwracalnie pozbawić firmę przewagi konkurencyjnej budowanej przez lata.
Jeśli Państwa spółka przetwarza informacje o wartości gospodarczej i nie ma jeszcze udokumentowanego systemu ochrony tajemnicy przedsiębiorstwa – przeprowadzimy audyt aktywów, przygotujemy dostosowane wzory NDA oraz procedury reagowania na naruszenia: info@kordeckipartners.com.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony własności intelektualnej, tajemnicy przedsiębiorstwa i regulacji technologicznych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Jakub Górski specjalizuje się w prawie własności intelektualnej, technologiach i regulacjach AI. Doradza klientom w zakresie AI Act, DORA, ochrony danych oraz strategii zabezpieczania know-how w środowiskach cyfrowych. Działa z biur kancelarii w Warszawie.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.