Firma technologiczna z Mazowsza – nazwijmy ją SpółkaTech – odkryła wiosną 2024 roku, że były pracownik działu R&D przekazał konkurencji szczegółowe specyfikacje autorskiego algorytmu. Dane opuściły firmę przez prywatny kanał chmurowy. Szkoda? Trudna do oszacowania, ale realna. Postępowanie sądowe? Możliwe – pod warunkiem, że SpółkaTech w ogóle miała wdrożoną ochronę tajemnicy przedsiębiorstwa.

Tajemnica przedsiębiorstwa podlega ochronie na podstawie ustawy z 16 kwietnia 1993 roku o zwalczaniu nieuczciwej konkurencji. Aby informacja mogła być uznana za tajemnicę, musi spełniać trzy warunki: mieć wartość gospodarczą, nie być powszechnie znana oraz być objęta rozsądnymi środkami ochrony przez przedsiębiorcę. Brak choćby jednego z tych elementów oznacza brak ochrony prawnej – niezależnie od wartości informacji.

Sprawa SpółkaTech to klasyczny przypadek pokazujący, gdzie kończy się dobra wola, a zaczyna odpowiedzialność prawna. W tym opracowaniu opisujemy strategię ochrony, którą wdrożyliśmy wspólnie z klientem: od audytu luk po postępowanie sądowe. Każdy etap niesie lekcje przydatne dla firm z sektora technologicznego, produkcyjnego i finansowego.

Jakie luki doprowadziły do wycieku informacji?

SpółkaTech zatrudniała 80 osób. Dział R&D liczył 12 specjalistów. Firma miała regulamin pracy, klauzule poufności w umowach i system kontroli dostępu. Na papierze – wyglądało to solidnie. W praktyce – wiele firm o tym zapomina – klauzule były ogólnikowe i nie wymieniały konkretnych kategorii informacji objętych ochroną.

Audyt przeprowadzony przez nasz zespół ujawnił trzy zasadnicze luki. Po pierwsze, umowy o pracę zawierały sformułowanie „zobowiązuję się do zachowania poufności informacji stanowiących tajemnicę przedsiębiorstwa" – bez definicji, co tą tajemnicą jest. Po drugie, brak było wewnętrznej polityki klasyfikacji danych. Po trzecie, systemy IT nie rejestrowały transferów plików na zewnętrzne nośniki ani konta chmurowe. Każda z tych luk samodzielnie osłabiała pozycję procesową firmy.

Kwestia RODO (Rozporządzenie UE 2016/679) okazała się tu podwójnie istotna. Dane techniczne algorytmu zawierały również dane osobowe użytkowników testowych. Wyciek naruszał więc nie tylko tajemnicę przedsiębiorstwa, ale też przepisy o ochronie danych. PUODO – jako organ nadzorczy – mógł wszcząć odrębne postępowanie. Firma miała 72 godziny na zgłoszenie naruszenia, czego nie dopełniła w terminie.

Jaką strategię ochrony zastosowaliśmy?

Strategia ochrony tajemnicy przedsiębiorstwa wymaga działania na trzech poziomach jednocześnie: prawnym, organizacyjnym i technicznym. Żaden z nich nie działa skutecznie w izolacji. Wdrożenie trwało 6 tygodni od momentu wykrycia wycieku do złożenia pozwu.

Na poziomie prawnym pierwszym krokiem było zabezpieczenie dowodów. Złożyliśmy wniosek o zabezpieczenie roszczeń na podstawie art. 730 k.p.c. – sąd uwzględnił go w ciągu 48 godzin. Równolegle zebraliśmy dokumentację potwierdzającą, że algorytm stanowił tajemnicę przedsiębiorstwa: wewnętrzne notatki z datą powstania, rejestry dostępu, korespondencję mailową. Uzyskanie tych dowodów ex post jest możliwe, ale kosztowne – szacunkowo o 40% droższe niż prowadzenie dokumentacji na bieżąco.

Na poziomie organizacyjnym firma wdrożyła politykę klasyfikacji informacji w czterech kategoriach: publiczna, wewnętrzna, poufna, ściśle tajna. Każda kategoria miała przypisane konkretne środki ochrony. Pracownicy działu R&D podpisali aneksy do umów z precyzyjnymi klauzulami zakazu konkurencji i zachowania poufności – z wyraźnym wskazaniem chronionych aktywów.

Warto tu odnotować związek z regulacją DORA (Rozporządzenie UE 2022/2554). SpółkaTech świadczyła usługi dla dwóch instytucji finansowych. Wyciek danych technicznych mógł narazić te podmioty na naruszenie wymogów DORA dotyczących zarządzania ryzykiem ICT. To dodatkowy argument za szybkim działaniem – i za tym, by ochrona tajemnicy przedsiębiorstwa była częścią szerszego systemu zarządzania ryzykiem cyfrowym.

Jak przebiegło postępowanie i jakie były jego wyniki?

Pozew wpłynął do Sądu Okręgowego w Warszawie w czerwcu 2024 roku. Roszczenia obejmowały: zaniechanie naruszeń, usunięcie skutków, odszkodowanie oraz publikację wyroku. Postępowanie przed sądem pierwszej instancji trwało 9 miesięcy. Wyrok zapadł w marcu 2025 roku – na korzyść SpółkaTech w zakresie zaniechania naruszeń i odszkodowania.

Kluczowym elementem wygranej była dokumentacja wewnętrzna. Sąd uznał, że firma wykazała podjęcie „rozsądnych środków ochrony" – mimo że były one wdrożone częściowo dopiero po wycieku. Decydujące okazały się: historia commitów w repozytorium kodu, logi dostępu z systemu IT oraz zeznania świadków potwierdzające obowiązujące procedury. Analogiczne postępowania zakończone egzekucją wyroku arbitrażowego opisujemy szczegółowo w materiale dotyczącym wykonania wyroku arbitrażowego w Polsce.

Były pracownik podnosił, że klauzula poufności była nieważna ze względu na brak ekwiwalentu. Sąd nie podzielił tego stanowiska – klauzula poufności w czasie trwania stosunku pracy nie wymaga dodatkowego wynagrodzenia. Inaczej sytuacja wygląda po rozwiązaniu umowy: zakaz konkurencji po ustaniu zatrudnienia musi być odpłatny, zgodnie z art. 1012 § 1 k.p.

Uważamy, że bezpieczniejszym rozwiązaniem jest łączenie klauzul poufności z wyraźnym wykazem chronionych aktywów. Ogólnikowe zobowiązania „do zachowania poufności" są w sporze sądowym słabym dowodem. Sąd patrzy na dowody, nie na intencje.

Jakie lekcje wynikają z tej sprawy dla firm technologicznych?

Sprawa SpółkaTech pokazuje, że ochrona tajemnicy przedsiębiorstwa to proces ciągły – nie jednorazowe działanie przy podpisaniu umowy z pracownikiem. Firmy z sektora IT, produkcyjnego i finansowego powinny traktować ten obszar jako element zarządzania ryzykiem operacyjnym.

Pierwsza lekcja: regularne audyty luk. Podobnie jak audyt RODO ujawnia najczęstsze luki w polskich firmach, audyt ochrony tajemnicy przedsiębiorstwa powinien obejmować zarówno warstwę prawną (umowy, regulaminy), jak i techniczną (systemy logowania, kontrola dostępu). Zalecamy przeprowadzanie takich audytów co 12 miesięcy.

Warto też pamiętać o rosnącej roli AI Act (Rozporządzenie UE 2024/1689). Firmy rozwijające systemy AI wysokiego ryzyka są zobowiązane do dokumentowania procesów treningowych i danych wejściowych. Ta dokumentacja sama w sobie może stanowić tajemnicę przedsiębiorstwa – i powinna być chroniona ze szczególną starannością. Brak ochrony może zamknąć drogę do dochodzenia roszczeń przed sądem.

Poniżej zestawienie kluczowych elementów skutecznej ochrony tajemnicy przedsiębiorstwa:

  • Precyzyjna definicja chronionych aktywów w umowach z pracownikami i kontrahentami
  • Wewnętrzna polityka klasyfikacji informacji z przypisanymi środkami ochrony
  • Systemy logowania transferów danych i kontrola dostępu do zasobów R&D
  • Regularne szkolenia pracowników z zakresu ochrony informacji poufnych
  • Procedura reagowania na incydenty – z terminem 72 godzin dla naruszeń RODO

Firma z Małopolski działająca w branży produkcyjnej – klient kancelarii z jesieni 2023 roku – wdrożyła podobny system po ujawnieniu, że dokumentacja technologiczna trafiła do dostawcy działającego równolegle dla konkurencji. Dzięki istniejącym logom systemowym zabezpieczenie roszczenia zajęło 3 dni. Bez tej dokumentacji postępowanie mogłoby trwać latami.

Ochrona znaku towarowego to odrębny, ale powiązany obszar. Firmy, które chronią zarówno tajemnicę przedsiębiorstwa, jak i prawa do znaku towarowego, budują spójną tarczę prawną wokół swoich aktywów intelektualnych. Brak koordynacji między tymi obszarami to typowa słabość, którą dostrzegamy w firmach technologicznych zatrudniających do 200 osób.

Konkretna sytuacja Państwa firmy wymaga oceny, zanim dojdzie do wycieku. Brak wdrożonych środków ochrony w momencie naruszenia może nieodwracalnie zamknąć drogę do skutecznego dochodzenia roszczeń przed sądem.

Jeśli Państwa spółka przetwarza dane techniczne, algorytmy lub know-how o wartości przekraczającej ryzyko operacyjne – przeprowadzimy audyt ochrony tajemnicy przedsiębiorstwa i opracujemy strategię zabezpieczenia aktywów: info@kordeckipartners.com.

Często zadawane pytania

P: Czy klauzula poufności w umowie o pracę wystarczy do ochrony tajemnicy przedsiębiorstwa?

O: Sama klauzula to za mało. Sąd ocenia, czy przedsiębiorca podjął „rozsądne środki ochrony" – a to wymaga łącznego spełnienia warunków: precyzyjnego wskazania chronionych informacji, wdrożenia środków organizacyjnych i technicznych oraz dokumentowania tych działań. Ogólnikowe zobowiązanie do zachowania poufności bez wymienienia chronionych aktywów jest słabym dowodem w postępowaniu sądowym. Zalecamy przegląd umów co najmniej raz na dwa lata.

P: Ile kosztuje wdrożenie skutecznej ochrony tajemnicy przedsiębiorstwa?

O: Koszt zależy od wielkości firmy i złożoności aktywów. Dla firmy zatrudniającej do 100 osób audyt prawny i wdrożenie polityki klasyfikacji informacji to zazwyczaj kilka tygodni pracy i koszty rzędu kilkunastu tysięcy złotych. To wielokrotnie mniej niż koszt postępowania sądowego po wycieku, który – jak pokazuje sprawa SpółkaTech – może trwać ponad 9 miesięcy i generować koszty procesowe liczone w dziesiątkach tysięcy złotych.

P: Czy ochrona tajemnicy przedsiębiorstwa obejmuje również dane przekazane podwykonawcom?

O: Tak, pod warunkiem zawarcia odpowiednich klauzul w umowach z podwykonawcami. Powszechnym błędem jest stosowanie standardowych klauzul NDA bez dostosowania ich do specyfiki przekazywanych informacji. Ustawa o zwalczaniu nieuczciwej konkurencji chroni tajemnicę przedsiębiorstwa niezależnie od tego, czy naruszenia dopuścił się pracownik, podwykonawca czy kontrahent – ale ciężar dowodu, że informacja była chroniona, zawsze spoczywa na przedsiębiorcy.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony własności intelektualnej, tajemnicy przedsiębiorstwa i regulacji technologicznych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.