Firma z branży IT z Mazowsza odkrywa, że były pracownik – zatrudniony teraz u konkurencji – korzysta z listy klientów, algorytmów wyceny i wewnętrznych procedur, które przez lata budował cały zespół. Sprawa trafia do sądu. Problem: spółka nie wdrożyła żadnych formalnych środków ochrony tajemnicy przedsiębiorstwa. Sąd oddala powództwo.
Tajemnica przedsiębiorstwa podlega ochronie na podstawie ustawy o zwalczaniu nieuczciwej konkurencji, ale tylko wtedy, gdy przedsiębiorca podjął działania w celu zachowania jej poufności. Brak wdrożonych procedur – klauzul w umowach, polityk dostępu, rejestru aktywów – oznacza utratę ochrony prawnej. Szkody mogą być nieodwracalne: utracone kontrakty, skopiowane produkty, odejście klientów do konkurencji.
Ten alert wyjaśnia, kogo dotyczy problem, jakie zmiany w otoczeniu regulacyjnym (AI Act, DORA, RODO) zaostrzają wymagania, oraz jakie działania należy podjąć natychmiast – zanim dojdzie do naruszenia.
Czym jest tajemnica przedsiębiorstwa i kto traci ochronę?
Ustawa o zwalczaniu nieuczciwej konkurencji definiuje tajemnicę przedsiębiorstwa jako informacje techniczne, technologiczne, organizacyjne lub inne posiadające wartość gospodarczą – pod warunkiem, że przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności. To ostatnie zdanie decyduje o wszystkim. Sąd nie chroni informacji tylko dlatego, że są wartościowe. Chroni je, gdy firma aktywnie je zabezpieczyła.
W praktyce – wiele firm o tym zapomina – wystarczy jeden nieuregulowany dostęp, by sąd uznał, że informacja nie była traktowana jako poufna. Brak klauzuli poufności w umowie z pracownikiem, brak hasła na folderze z bazą klientów, brak polityki clean desk – każdy z tych braków może zniszczyć całą argumentację prawną. Termin na reakcję nie jest wyznaczony ustawowo, ale każdy dzień bez zabezpieczeń to dzień, w którym ochrona nie istnieje.
Nowe regulacje unijne zaostrzają ten obraz. RODO (Rozporządzenie UE 2016/679) wymaga od firm dokumentowania zasad dostępu do danych osobowych – te same rejestry mogą służyć jako dowód ochrony tajemnicy. DORA (Rozporządzenie UE 2022/2554), obowiązujące od 17 stycznia 2025 r. dla podmiotów finansowych, nakłada obowiązek zarządzania ryzykiem ICT, w tym ochrony informacji krytycznych. AI Act (Rozporządzenie UE 2024/1689), który wszedł w życie 1 sierpnia 2024 r., wymaga dokumentowania danych treningowych i modeli – to potencjalnie najcenniejsze tajemnice technologiczne nowej dekady.
Kogo dotyczy problem bezpośrednio? Przede wszystkim spółek technologicznych, produkcyjnych i usługowych zatrudniających powyżej 10 osób, które nie przeprowadziły audytu aktywów informacyjnych w ciągu ostatnich 24 miesięcy. Ale też każdej firmy, która korzysta z zewnętrznych dostawców IT, podwykonawców lub pracowników tymczasowych – bez pisemnych zobowiązań do zachowania poufności.
Jakie strategie ochrony działają w praktyce?
Skuteczna ochrona tajemnicy przedsiębiorstwa opiera się na trzech filarach: identyfikacji aktywów, kontroli dostępu i dokumentacji. Każdy filar musi być wdrożony – brak jednego osłabia pozostałe. Minimalny czas wdrożenia podstawowych środków to 14 dni roboczych dla małej firmy.
Pierwszym krokiem jest stworzenie rejestru aktywów informacyjnych. Lista klientów, baza dostawców, algorytmy cenowe, kod źródłowy, receptury, strategie handlowe – każdy z tych elementów powinien być zidentyfikowany, opisany i oznaczony jako poufny. Bez rejestru firma nie może udowodnić przed sądem, że konkretna informacja była chroniona. To błąd, który popełniła spółka z Mazowsza opisana na wstępie.
Drugi filar to umowy. Klauzule poufności w umowach o pracę, umowach B2B i umowach z podwykonawcami powinny precyzyjnie wskazywać kategorie chronionych informacji oraz okres obowiązywania po zakończeniu współpracy – zazwyczaj od 2 do 5 lat. Warto pamiętać, że pracownicy objęci EU Blue Card są często specjalistami z dostępem do kluczowych aktywów technologicznych – ich umowy wymagają szczególnej uwagi.
Trzeci filar to kontrola techniczna i organizacyjna:
- segmentacja dostępu do systemów IT (zasada minimalnych uprawnień)
- logi dostępu i audyty aktywności użytkowników
- polityka czystego biurka i szyfrowania nośników
- procedura offboardingu – odcięcie dostępów w dniu rozwiązania umowy
- oznaczanie dokumentów klauzulą "POUFNE" lub "TAJEMNICA PRZEDSIĘBIORSTWA"
Firmy wdrażające systemy AI powinny dodatkowo zadbać o ochronę modeli i danych treningowych zgodnie z wymogami AI Act. Znak towarowy chroni nazwę i logo – ale nie algorytm. Ten wymaga osobnej strategii. Kompleksową obsługę IP i tech w Polsce oferuje kancelaria IP Warszawa z doświadczeniem w ochronie aktywów cyfrowych.
Producent z Dolnego Śląska wdrożył w jesieni 2024 r. pełny system ochrony tajemnicy po tym, jak jeden z inżynierów przeszedł do konkurencji. Audyt wykazał 47 niezabezpieczonych aktywów informacyjnych. Po 6 tygodniach firma miała kompletny rejestr, zaktualizowane umowy i politykę dostępu. Koszt wdrożenia: ułamek wartości chronionych aktywów.
Uważamy, że bezpieczniejszym rozwiązaniem jest wdrożenie ochrony prewencyjnej niż reagowanie po naruszeniu. Postępowanie sądowe o naruszenie tajemnicy przedsiębiorstwa trwa średnio od 2 do 4 lat. Utracone kontrakty i skopiowane produkty nie czekają na wyrok.
Konkretna sytuacja Państwa firmy wymaga oceny, które aktywa informacyjne są faktycznie narażone i jakie środki ochrony są adekwatne. Każdy dzień bez wdrożonych zabezpieczeń to dzień, w którym naruszenie tajemnicy pozostaje bez skutecznej ochrony prawnej – a ta luka jest nieodwracalna, gdy sprawa trafia już do sądu.
Jeśli Państwa spółka nie przeprowadziła audytu aktywów informacyjnych w ciągu ostatnich 24 miesięcy lub zatrudnia pracowników z dostępem do kluczowych technologii bez aktualnych klauzul poufności – przeprowadzimy audyt ochrony tajemnicy, przygotujemy rejestr aktywów i zaktualizujemy umowy: info@kordeckipartners.com.
Często zadawane pytania
P: Czy sama klauzula poufności w umowie o pracę wystarczy do ochrony tajemnicy przedsiębiorstwa?
O: Nie. Klauzula poufności jest niezbędna, ale niewystarczająca. Sąd ocenia całokształt działań ochronnych: czy firma prowadziła rejestr aktywów, czy stosowała kontrolę dostępu technicznego, czy oznaczała dokumenty jako poufne. Sama klauzula bez tych elementów może nie wystarczyć do wykazania, że informacja była faktycznie chroniona. Wdrożenie pełnego systemu ochrony zajmuje zazwyczaj od 2 do 6 tygodni.
P: Czy ochrona tajemnicy przedsiębiorstwa koliduje z obowiązkami wynikającymi z RODO?
O: Nie koliduje – wręcz się uzupełnia. Rejestr czynności przetwarzania wymagany przez RODO (Rozporządzenie UE 2016/679) może służyć jako dowód systematycznego podejścia do ochrony informacji. Polityki dostępu do danych osobowych i polityki ochrony tajemnicy przedsiębiorstwa powinny być projektowane łącznie. To jedno z częstszych nieporozumień w praktyce – firmy traktują je jako oddzielne obszary compliance.
P: Jak AI Act wpływa na ochronę tajemnicy przedsiębiorstwa w firmach technologicznych?
O: Rozporządzenie UE 2024/1689 (AI Act), które weszło w życie 1 sierpnia 2024 roku, wymaga dokumentowania danych treningowych, architektur modeli i procesów walidacji dla systemów wysokiego ryzyka. Ta dokumentacja techniczna stanowi jednocześnie jeden z najcenniejszych aktywów informacyjnych firmy. Brak jej ochrony jako tajemnicy przedsiębiorstwa – przy jednoczesnym obowiązku jej tworzenia – to luka, którą wiele firm technologicznych jeszcze nie zauważyła.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony własności intelektualnej, technologii i regulacji cyfrowych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.