Firma technologiczna z Mazowsza odkryła wiosną 2024 roku, że były pracownik działu R&D przekazał konkurentowi szczegółowy opis algorytmu wyceny – informację, którą spółka traktowała jako swój najcenniejszy zasób. Problem nie polegał na braku klauzul poufności. Problem polegał na tym, że klauzule istniały na papierze, ale system ochrony nie działał w praktyce.

Tajemnica przedsiębiorstwa w rozumieniu ustawy o zwalczaniu nieuczciwej konkurencji obejmuje informacje techniczne, handlowe i organizacyjne, które mają wartość gospodarczą, nie są powszechnie znane i wobec których przedsiębiorca podjął rozsądne działania ochronne. Trzy przesłanki muszą być spełnione łącznie. Brak choćby jednej – nawet przy najlepszych umowach – oznacza, że sąd odmówi ochrony.

Ten materiał opisuje anonimizowaną sprawę z Polski. Pokazuje strategię ochrony, proces jej wdrożenia i wnioski, które można przenieść na każdą organizację przetwarzającą wrażliwe informacje biznesowe.

Jakie było tło sprawy i gdzie leżał rzeczywisty problem?

Spółka zatrudniała 60 osób. Posiadała umowy NDA z pracownikami, partnerami i podwykonawcami. Mimo to – gdy sprawa trafiła do sądu – okazało się, że ochrona miała poważne luki. Pracownicy podpisywali NDA przy zatrudnieniu, ale nikt nie aktualizował zakresu chronionych informacji przez kolejne trzy lata. Algorytm wyceny powstał w tym czasie. Formalnie nie był objęty żadnym dokumentem.

Drugi problem był techniczny. Dostęp do repozytorium kodu był nieograniczony dla całego działu. Logi pokazywały, że były pracownik pobrał pliki 48 godzin przed rozwiązaniem umowy. Spółka nie miała procedury cofania uprawnień przed lub w momencie rozwiązania stosunku pracy. Sąd Okręgowy w Warszawie zwrócił uwagę na ten brak wprost w uzasadnieniu postanowienia o zabezpieczeniu.

Trzeci problem dotyczył RODO i zgodności z Rozporządzeniem UE 2016/679. Logi dostępu – kluczowy dowód – były przechowywane tylko przez 30 dni. Gdy spółka zorientowała się w sytuacji, część danych była już niedostępna. Krótki okres retencji, wdrożony w dobrej wierze jako środek minimalizacji danych, paradoksalnie osłabił pozycję dowodową.

Jak wyglądała strategia ochrony i co zmieniła?

Działania podzielono na trzy warstwy: prawną, techniczną i organizacyjną. Każda warstwa musiała działać samodzielnie i wzajemnie się wzmacniać. Pełna ochrona tajemnicy przedsiębiorstwa wymaga spójności – sąd ocenia nie sam dokument, lecz całokształt rozsądnych działań ochronnych.

Warstwa prawna objęła trzy zmiany. Po pierwsze, umowy NDA zastąpiono klauzulami zintegrowanymi z umowami o pracę i kontraktami B2B – z rejestrem chronionych kategorii informacji, aktualizowanym co 12 miesięcy. Po drugie, wprowadzono zakaz konkurencji z odszkodowaniem na poziomie 25% wynagrodzenia przez 12 miesięcy po rozwiązaniu umowy. Po trzecie, każdy nowy projekt R&D otrzymał osobny dokument klasyfikacji informacji, podpisywany przez wszystkich uczestników przed dostępem do materiałów.

Warstwa techniczna skupiła się na kontroli dostępu. Wdrożono zasadę minimalnych uprawnień – każdy pracownik ma dostęp wyłącznie do zasobów niezbędnych do wykonywania jego zadań. Logi dostępu są przechowywane przez 12 miesięcy. Procedura offboardingu obejmuje cofnięcie uprawnień najpóźniej w dniu ostatniego dnia pracy – niezależnie od trybu rozwiązania umowy. To rozwiązanie jest zgodne zarówno z wymogami RODO, jak i z wymaganiami operacyjnymi wynikającymi z DORA (Rozporządzenie UE 2022/2554) dla podmiotów z sektora finansowego.

Warstwa organizacyjna to szkolenia i kultura. Pracownicy działu R&D przeszli szkolenie z zakresu ochrony tajemnicy przedsiębiorstwa – 2 godziny rocznie, z testem wiedzy. Wynik testu jest odnotowywany w aktach osobowych. W praktyce – wiele firm o tym zapomina – samo szkolenie bez dokumentacji nic nie daje w sądzie.

  • Rejestr chronionych kategorii informacji aktualizowany co 12 miesięcy
  • Zasada minimalnych uprawnień i logi dostępu przez 12 miesięcy
  • Procedura cofania dostępów w dniu rozwiązania umowy
  • Zakaz konkurencji z odszkodowaniem 25% wynagrodzenia
  • Dokumentowane szkolenia z testem wiedzy dla działu R&D

Warto dodać, że spółki wdrażające systemy AI powinny uwzględnić wymogi AI Act – harmonogram wdrożenia dla polskich firm już na etapie klasyfikacji chronionych zasobów. Algorytmy wyceny mogą podlegać dodatkowym obowiązkom jako systemy wysokiego ryzyka w rozumieniu Rozporządzenia UE 2024/1689.

Konkretna sytuacja Państwa firmy – szczególnie gdy tajemnica przedsiębiorstwa krzyżuje się z regulacjami cyfrowymi – wymaga oceny, zanim dojdzie do naruszenia. Brak dokumentacji rozsądnych działań ochronnych jest nieodwracalnym błędem procesowym.

Jeśli Państwa spółka przetwarza wrażliwe dane techniczne lub handlowe i nie ma aktualnego rejestru chronionych kategorii informacji – przeprowadzimy audyt ochrony tajemnicy przedsiębiorstwa i przygotujemy dokumentację procesową: info@kordeckipartners.com.

Jakie wnioski można przenieść na inne organizacje?

Sprawa z Mazowsza pokazuje trzy wzorce, które powtarzają się w niemal każdym postępowaniu dotyczącym tajemnicy przedsiębiorstwa. Ich rozpoznanie pozwala uniknąć kosztownych błędów – zanim sprawa trafi do sądu.

Pierwszy wzorzec: NDA bez rejestru jest dokumentem bez treści. Sąd nie domyśla się, co strony miały na myśli. Zakres chronionych informacji musi być opisany konkretnie i aktualnie. Firma produkcyjna z Dolnego Śląska przegrała w 2023 roku sprawę o ochronę receptury produktu właśnie dlatego, że NDA nie wymieniało jej wprost – mimo że wszyscy pracownicy wiedzieli, że jest poufna.

Drugi wzorzec: dowody niszczą się szybciej niż sprawy się toczą. Logi dostępu, korespondencja e-mail, historia edycji dokumentów – wszystko ma ograniczony czas życia w systemach IT. Polityka retencji danych musi uwzględniać nie tylko RODO, ale też potencjalne postępowania sądowe. Minimum 12 miesięcy dla logów dostępu do zasobów wrażliwych to standard, który rekomendujemy. Zagadnienie to łączy się z wymogami dotyczącymi zmian proceduralnych od 2025 roku w zakresie dokumentacji przedsiębiorców.

Trzeci wzorzec: ochrona techniczna bez prawnej – i odwrotnie – nie wystarczy. Firma IT z Małopolski, jesienią 2024 roku, miała doskonałe systemy kontroli dostępu, ale nie miała zaktualizowanych umów z podwykonawcami. Podwykonawca ujawnił dokumentację projektową klientowi konkurencji. Sąd uznał, że spółka nie podjęła rozsądnych działań prawnych – mimo sprawnej infrastruktury technicznej.

Uważamy, że bezpieczniejszym rozwiązaniem jest wdrożenie systemu ochrony jako procesu ciągłego, nie jednorazowego projektu. Znak towarowy, patent czy klauzula NDA to punkty wejścia – nie gwarancja ochrony przez lata.

Konkretna sytuacja Państwa organizacji może wymagać innego rozłożenia akcentów między warstwą prawną, techniczną i organizacyjną. Brak spójności między tymi warstwami jest nieodwracalnym błędem – szczególnie gdy sprawa już trafiła do sądu.

Jeśli Państwa spółka stoi przed ryzykiem naruszenia tajemnicy przedsiębiorstwa lub właśnie wykryła potencjalny wyciek – przeprowadzimy analizę dowodową, ocenimy stan dokumentacji i przygotujemy strategię procesową: info@kordeckipartners.com.

Często zadawane pytania

P: Czy samo podpisanie NDA przez pracownika wystarczy do ochrony tajemnicy przedsiębiorstwa?

O: Nie. Ustawa o zwalczaniu nieuczciwej konkurencji wymaga, aby przedsiębiorca podjął rozsądne działania ochronne – i to łącznie w warstwie prawnej, technicznej i organizacyjnej. Sam dokument NDA bez aktualnego rejestru chronionych informacji, bez kontroli dostępu i bez procedur offboardingu jest niewystarczający. Sąd ocenia całokształt działań, nie pojedynczy dokument.

P: Jak długo należy przechowywać logi dostępu do chronionych zasobów?

O: Rekomendowane minimum to 12 miesięcy. Krótszy okres może kolidować z potrzebami dowodowymi w postępowaniu sądowym, które często zaczyna się kilka miesięcy po naruszeniu. Polityka retencji musi uwzględniać zarówno zasadę minimalizacji danych z artykułu 5 Rozporządzenia UE 2016/679 (RODO), jak i uzasadniony interes prawny przedsiębiorcy jako podstawę przetwarzania przez dłuższy czas.

P: Czy ochrona tajemnicy przedsiębiorstwa jest skuteczna wobec podwykonawców i partnerów B2B?

O: Jest skuteczna, ale wymaga odrębnych klauzul w każdej umowie B2B – z konkretnym opisem chronionych informacji i sankcjami za naruszenie. Ogólne odwołanie do poufności bez wskazania zakresu jest w praktyce trudne do wyegzekwowania. Zalecamy również klauzule dotyczące audytu bezpieczeństwa u podwykonawcy, szczególnie gdy powierza się im dostęp do kodu źródłowego lub dokumentacji technicznej.

O KORDECKI & Partners: KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony własności intelektualnej, tajemnicy przedsiębiorstwa i regulacji cyfrowych, w tym AI Act i DORA. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Autor: Jakub Górski specjalizuje się w prawie własności intelektualnej, technologiach i regulacjach AI.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.