Firma technologiczna z Mazowsza traci kluczowego inżyniera. Trzy miesiące później konkurent wprowadza na rynek produkt łudząco podobny do rozwiązania, które ten inżynier współtworzył. Postępowanie sądowe trwa. Szanse na wygraną – ograniczone, bo spółka nigdy nie wdrożyła formalnych procedur ochrony tajemnicy przedsiębiorstwa.
Tajemnica przedsiębiorstwa to informacja techniczna, technologiczna, handlowa lub organizacyjna, która ma wartość gospodarczą, nie jest powszechnie znana i wobec której przedsiębiorca podjął należyte działania w celu zachowania jej poufności. Podstawą prawną jest ustawa z 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (u.z.n.k.), znowelizowana w 2018 r. wdrożeniem dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/943 o ochronie niejawnego know-how. Brak dokumentacji tych działań zamyka drogę do skutecznej ochrony – nawet jeśli naruszenie jest oczywiste.
Ten alert wskazuje, co się zmieniło w praktyce ochrony tajemnicy przedsiębiorstwa, kogo dotyczą nowe ryzyka i jakie działania należy podjąć natychmiast – zanim dojdzie do wycieku.
Co zmieniło się w otoczeniu prawnym i technologicznym?
Nowelizacja u.z.n.k. z 2018 r. przesunęła ciężar dowodu. Dziś to przedsiębiorca musi wykazać, że podjął należyte działania ochronne. Sąd nie domniema ochrony – domniema jej brak. W praktyce oznacza to, że spółka bez wdrożonego systemu ochrony tajemnicy przegrywa sprawę jeszcze przed merytoryczną oceną naruszenia.
Równolegle pojawiły się nowe wektory ryzyka. Umowy SaaS z zewnętrznymi dostawcami oprogramowania coraz częściej obejmują przetwarzanie danych stanowiących tajemnicę przedsiębiorstwa. RODO (Rozporządzenie UE 2016/679) nakłada obowiązek ochrony danych osobowych, ale nie zastępuje ochrony know-how – te dwa reżimy działają równolegle i wymagają odrębnych procedur. Firmy mylące jedno z drugim narażają się na lukę w ochronie.
DORA (Rozporządzenie UE 2022/2554), obowiązujące od 17 stycznia 2025 r. dla podmiotów finansowych, wymaga zarządzania ryzykiem ICT – w tym ryzykiem wycieku informacji przez systemy informatyczne. Dla sektora finansowego ochrona tajemnicy przedsiębiorstwa stała się więc elementem compliance regulacyjnego, nie tylko prawa cywilnego. Naruszenie może skutkować jednocześnie roszczeniem cywilnym i sankcją nadzorczą KNF.
AI Act (Rozporządzenie UE 2024/1689), który wszedł w życie 1 sierpnia 2024 r., wprowadza dodatkowe ryzyko. Modele sztucznej inteligencji trenowane na wewnętrznych danych spółki mogą nieumyślnie „ujawniać" tajemnicę przedsiębiorstwa w odpowiedziach generowanych dla użytkowników zewnętrznych. To nowy, niedoceniany wektor wycieku – szczególnie istotny dla firm z branży IT i R&D.
Kogo dotyczą ryzyka i jakie są progi odpowiedzialności?
Ochrona tajemnicy przedsiębiorstwa dotyczy każdego podmiotu prowadzącego działalność gospodarczą – niezależnie od wielkości. Nie ma progu zatrudnienia ani przychodu. Jednak praktyka sądowa pokazuje, że największe ryzyko ponoszą trzy kategorie podmiotów.
Pierwsza to spółki technologiczne i R&D, których głównym aktywem jest know-how. Utrata jednego kluczowego pracownika może oznaczać utratę przewagi konkurencyjnej na lata. Druga kategoria to firmy przechodzące procesy M&A – podczas due diligence ujawniają informacje potencjalnym nabywcom, często bez odpowiednich klauzul NDA lub z NDA zbyt ogólnymi, by były skuteczne. Trzecia to podmioty finansowe objęte DORA, dla których wyciek danych operacyjnych może skutkować sankcją nadzorczą do 1% rocznego obrotu.
Odpowiedzialność za naruszenie tajemnicy przedsiębiorstwa jest wielotorowa. Na gruncie u.z.n.k. poszkodowany może żądać zaniechania naruszenia, usunięcia skutków, odszkodowania oraz wydania bezpodstawnie uzyskanych korzyści. Roszczenia te nie przedawniają się z upływem roku – termin wynosi 3 lata od dnia, w którym poszkodowany dowiedział się o naruszeniu. Równolegle możliwe jest postępowanie karne z art. 23 u.z.n.k. – grozi kara pozbawienia wolności do 2 lat.
W sporach sądowych kancelaria IP Warszawa lub Kraków może skutecznie dochodzić roszczeń, ale tylko wtedy, gdy spółka dysponuje dokumentacją potwierdzającą podjęcie należytych działań ochronnych. Bez niej – spór sądowy jest z góry utrudniony. Sąd ocenia, czy środki ochrony były proporcjonalne do wartości informacji i skali działalności.
Jakie działania podjąć natychmiast?
Ochrona tajemnicy przedsiębiorstwa to proces, nie jednorazowy dokument. Wymaga wdrożenia warstwy prawnej, organizacyjnej i technicznej – i to w określonej kolejności.
Pierwszym krokiem jest inwentaryzacja aktywów informacyjnych. Spółka musi zidentyfikować, które informacje stanowią tajemnicę przedsiębiorstwa i nadać im klasyfikację (np. „ściśle poufne", „poufne"). Bez tej listy nie można skutecznie argumentować przed sądem, że konkretna informacja była objęta ochroną.
Checklist – co przygotować w ciągu 30 dni:
- Inwentaryzacja i klasyfikacja informacji poufnych (lista aktywów informacyjnych)
- Aktualizacja umów o pracę i kontraktów B2B – klauzule poufności z konkretnym zakresem i sankcją umowną
- Wdrożenie NDA dla partnerów, dostawców i potencjalnych inwestorów – ze wskazaniem kategorii chronionych informacji
- Audyt dostępów do systemów IT – zasada minimalnych uprawnień i logi dostępu
- Procedura reagowania na incydenty – kto decyduje o zgłoszeniu naruszenia i w jakim terminie
Klauzule poufności w umowach o pracę wymagają szczególnej uwagi. Ogólne sformułowanie „pracownik zobowiązuje się do zachowania poufności" nie wystarczy. Klauzula musi wskazywać kategorie chronionych informacji, okres obowiązywania po ustaniu zatrudnienia (zazwyczaj 2–3 lata) oraz sankcję – najlepiej karę umowną w określonej wysokości. Znak towarowy i inne prawa własności intelektualnej warto rejestrować odrębnie – ochrona tajemnicy przedsiębiorstwa i ochrona IP to różne reżimy prawne, które się uzupełniają.
Firmy korzystające z narzędzi AI powinny dziś – nie za rok – wprowadzić politykę dopuszczalnego użycia AI w kontekście danych wewnętrznych. AI Act nakłada obowiązki na dostawców systemów wysokiego ryzyka, ale odpowiedzialność za wyciek know-how przez model AI pozostaje po stronie przedsiębiorcy, który ten model wdrożył.
Konkretna sytuacja Państwa firmy – profil działalności, liczba pracowników z dostępem do kluczowych informacji, struktura umów z zewnętrznymi dostawcami – decyduje o tym, które działania są pilne, a które mogą poczekać. Brak oceny tej sytuacji dziś może oznaczać nieodwracalną utratę aktywów informacyjnych jutro.
Jeśli Państwa spółka nie posiada aktualnej dokumentacji ochrony tajemnicy przedsiębiorstwa lub przechodzi proces M&A, reorganizację albo wdraża narzędzia AI – przeprowadzimy audyt prawny i wdrożymy niezbędne procedury: info@kordeckipartners.com.
Często zadawane pytania
P: Czy umowa o zachowaniu poufności (NDA) wystarczy do ochrony tajemnicy przedsiębiorstwa?
O: NDA to niezbędny element, ale nie jedyny. Ustawa o zwalczaniu nieuczciwej konkurencji wymaga wykazania „należytych działań" – co obejmuje zarówno dokumentację prawną, jak i środki organizacyjne oraz techniczne. Sama umowa bez procedur wewnętrznych i kontroli dostępu może okazać się niewystarczająca przed sądem. Termin na wniesienie roszczenia wynosi 3 lata od dnia powzięcia wiadomości o naruszeniu.
P: Czy pracownik, który odszedł z firmy rok temu, nadal jest związany obowiązkiem poufności?
O: To zależy od treści umowy. Jeśli klauzula poufności wskazuje okres obowiązywania po ustaniu zatrudnienia – pracownik jest nią związany przez ten czas. Jeśli umowa milczy w tej kwestii, ochrona opiera się wyłącznie na przepisach ustawy o zwalczaniu nieuczciwej konkurencji, co znacznie utrudnia dochodzenie roszczeń. Powszechnym błędem jest przekonanie, że stosunek pracy sam w sobie zapewnia trwałą ochronę know-how.
P: Jak ochrona tajemnicy przedsiębiorstwa ma się do RODO i ochrony danych osobowych?
O: To dwa odrębne reżimy prawne. RODO (Rozporządzenie UE 2016/679) chroni dane osobowe i jest nadzorowane przez UODO. Tajemnica przedsiębiorstwa chroni wartościowe informacje gospodarcze – niezależnie od tego, czy zawierają dane osobowe. Informacja może być jednocześnie daną osobową i tajemnicą przedsiębiorstwa – wtedy wymagane jest spełnienie wymogów obu reżimów. Firmy, które wdrożyły wyłącznie procedury RODO, często mają lukę w ochronie know-how.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony własności intelektualnej, wdrożeń AI Act i DORA oraz sporów o tajemnicę przedsiębiorstwa. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.