Firma technologiczna z Mazowsza traci kluczowego inżyniera. Kilka tygodni później konkurent wprowadza na rynek produkt niemal identyczny z rozwiązaniem, nad którym pracował przez trzy lata. Dowód? Brak klauzuli poufności, brak rejestru dostępów, brak procedury. Sprawa odpada na etapie zabezpieczenia. To nie jest scenariusz teoretyczny – to wzorzec powtarzający się w polskich sądach.

Tajemnica przedsiębiorstwa to informacja techniczna, technologiczna, handlowa lub organizacyjna, która ma wartość gospodarczą, nie jest powszechnie znana i wobec której przedsiębiorca podjął rozsądne działania w celu zachowania poufności. Ochronę reguluje ustawa z 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji. Skuteczna ochrona wymaga wdrożenia trzech warstw: prawnej, technicznej i organizacyjnej – i to zanim dojdzie do naruszenia.

Ten alert wskazuje, co zmieniło się w otoczeniu regulacyjnym, kogo zmiany dotyczą bezpośrednio i jakie działania należy podjąć w ciągu najbliższych 30 dni. Nowe regulacje – AI Act, DORA, RODO – tworzą dodatkowe obowiązki, ale też nowe narzędzia ochrony informacji wrażliwych.

Co się zmieniło i kogo dotyczą nowe obowiązki?

Od 1 sierpnia 2024 r. obowiązuje AI Act (Rozporządzenie UE 2024/1689). Dla przedsiębiorców rozwijających systemy AI oznacza to konieczność dokumentowania zbiorów danych treningowych. Te zbiory często zawierają know-how o wartości wielomilionowej. Bez odpowiedniej klasyfikacji informacji – kto ma dostęp, na jakich zasadach, z jakim logowaniem – firma traci możliwość powołania się na tajemnicę przedsiębiorstwa w razie wycieku.

DORA (Rozporządzenie UE 2022/2554) weszła w życie 17 stycznia 2025 r. dla podmiotów finansowych nadzorowanych przez KNF. Nakłada obowiązek zarządzania ryzykiem ICT, w tym ryzykiem wycieku danych do dostawców zewnętrznych. W praktyce każda umowa z dostawcą oprogramowania lub chmury musi zawierać klauzule poufności dostosowane do wymogów DORA. Brak takich klauzul to luka zarówno regulacyjna, jak i w ochronie tajemnicy.

RODO (Rozporządzenie UE 2016/679) nie jest nowe, ale PUODO zaostrzyło praktykę egzekwowania. Rejestry czynności przetwarzania, które firmy prowadzą na potrzeby RODO, stają się jednocześnie dowodem w sprawach o naruszenie tajemnicy. Firma, która prowadzi rzetelny rejestr dostępów do danych, ma gotowy materiał dowodowy. Firma bez rejestru – nie ma nic.

Zmiany dotyczą bezpośrednio: firm technologicznych i IT, podmiotów finansowych pod DORA, każdego pracodawcy zatrudniającego powyżej 50 osób (ustawa o sygnalistach nakłada dodatkowe wymogi na kanały raportowania, które mogą obejmować informacje poufne), a także spółek prowadzących działalność badawczo-rozwojową korzystających z ulgi IP Box.

Jakie strategie ochrony są skuteczne w 2026 roku?

Skuteczna ochrona tajemnicy przedsiębiorstwa opiera się na trzech filarach. Każdy z nich musi działać równolegle – luka w jednym niweluje pozostałe. Sądy coraz częściej weryfikują, czy firma rzeczywiście podjęła „rozsądne działania" w rozumieniu ustawy o zwalczaniu nieuczciwej konkurencji. Samo podpisanie NDA nie wystarczy.

Filar prawny to przede wszystkim umowy. Klauzule poufności muszą być precyzyjne: określać kategorie informacji chronionych, okres obowiązywania po rozwiązaniu umowy (standardowo 3–5 lat), karę umowną oraz zakaz konkurencji. Umowy z pracownikami podlegają art. 1011–1014 k.p. – zakaz konkurencji po ustaniu stosunku pracy wymaga odszkodowania. Umowy B2B z kontraktorami dają większą swobodę, ale wymagają staranniejszego sformułowania. Warto odnotować: znak towarowy i prawa autorskie chronią formę, nie treść – tajemnica przedsiębiorstwa chroni właśnie treść, czyli know-how.

Filar techniczny to kontrola dostępów. Każdy zasób zawierający informacje wrażliwe powinien mieć przypisaną klasę poufności i listę osób uprawnionych. Logi dostępów przechowywane przez minimum 12 miesięcy stanowią dowód w postępowaniu sądowym. Systemy DLP (Data Loss Prevention) wykrywają nieautoryzowane transfery danych. W środowiskach chmurowych – szczególnie istotnych po DORA – szyfrowanie end-to-end i zarządzanie kluczami powinny być standardem, nie opcją.

Filar organizacyjny to procedury i szkolenia. Pracownicy muszą wiedzieć, co jest tajemnicą – bez tego nie można im przypisać winy umyślnej. Procedura offboardingu powinna obejmować: odbiór sprzętu, cofnięcie dostępów w ciągu 24 godzin od zakończenia stosunku pracy, podpisanie oświadczenia o zwrocie danych oraz przypomnienie o obowiązujących zakazach. Firma z Pomorza odzyskała odszkodowanie przekraczające PLN 800,000 właśnie dlatego, że miała udokumentowany protokół offboardingu i logi pokazujące masowe kopiowanie plików w ostatnim tygodniu pracy pracownika.

Osobna kwestia to ochrona danych w kontekście regulacji MiCA dotyczącej kryptoaktywów w Polsce – firmy z sektora fintech operujące na rynku kryptoaktywów muszą chronić algorytmy wyceny i dane transakcyjne jako tajemnicę przedsiębiorstwa równolegle z obowiązkami wynikającymi z MiCA.

Co zrobić w ciągu 30 dni?

Złożoność nowego otoczenia regulacyjnego sprawia, że wiele firm odkłada audyt ochrony tajemnicy „na później". To błąd, który może kosztować więcej niż koszt wdrożenia. Poniżej lista działań priorytetowych:

  • Przeprowadzić inwentaryzację zasobów informacyjnych i sklasyfikować je według stopnia poufności – do 14 dni.
  • Przejrzeć wszystkie umowy z pracownikami i kontraktorami pod kątem klauzul poufności i zakazu konkurencji – do 21 dni.
  • Wdrożyć lub zaktualizować procedurę offboardingu z logami dostępów – do 21 dni.
  • Dostosować rejestry RODO do funkcji dowodowej w sprawach o naruszenie tajemnicy – do 30 dni.
  • Sprawdzić zgodność umów z dostawcami IT i chmury z wymogami DORA (jeśli firma jest podmiotem finansowym) – niezwłocznie.

Dla firm korzystających z ulgi IP Box dodatkowe ryzyko polega na tym, że brak ochrony know-how może podważyć prawo do preferencyjnej stawki 5% CIT (art. 24d–24s ustawy o CIT). Urząd skarbowy może zakwestionować, czy dane rozwiązanie stanowi kwalifikowane prawo własności intelektualnej, jeśli firma nie potrafiła go chronić. Szczegóły dotyczące wymogów technicznych fakturowania w środowiskach cyfrowych – istotnych przy dokumentowaniu transakcji IP – opisujemy w materiale o wymaganiach technicznych faktury ustrukturyzowanej FA(3).

Kancelaria IP Warszawa z doświadczeniem w sprawach technologicznych powinna być pierwszym kontaktem przy ocenie, czy obecne zabezpieczenia spełniają standard „rozsądnych działań" wymagany przez sądy. Regulacja wyprzedza rynek – firmy, które wdrożą strategie ochrony teraz, unikają nieodwracalnych strat dowodowych w przyszłości.

Konkretna sytuacja Państwa firmy – liczba kontraktorów, zakres know-how, ekspozycja na DORA lub AI Act – wymaga indywidualnej oceny. Brak działania teraz zamyka drogę do skutecznego dochodzenia roszczeń w przyszłości.

Jeśli Państwa spółka operuje w sektorze technologicznym lub finansowym i nie przeprowadziła audytu ochrony tajemnicy przedsiębiorstwa w ostatnich 12 miesiącach – przeprowadzimy przegląd umów, klasyfikację zasobów i ocenę zgodności z AI Act i DORA: info@kordeckipartners.com.

Często zadawane pytania

P: Czy samo podpisanie NDA z pracownikiem wystarczy do ochrony tajemnicy przedsiębiorstwa?

O: Nie. Sądy wymagają wykazania, że firma podjęła rozsądne działania w celu zachowania poufności – w praktyce oznacza to kombinację umów, kontroli dostępów i procedur organizacyjnych. Sama umowa o zachowaniu poufności bez towarzyszących środków technicznych i organizacyjnych jest niewystarczająca. Koszty wdrożenia pełnego systemu ochrony są wielokrotnie niższe niż koszty postępowania sądowego bez odpowiedniego materiału dowodowego.

P: Jak długo powinna obowiązywać klauzula poufności po zakończeniu współpracy?

O: Ustawa o zwalczaniu nieuczciwej konkurencji nie określa maksymalnego okresu. Standardem w umowach z pracownikami jest 3 lata, z kontraktorami B2B – do 5 lat. Okres powinien być proporcjonalny do wartości i „żywotności" chronionej informacji. Zbyt długi okres może być uznany za nieważny jako sprzeczny z zasadami współżycia społecznego, zbyt krótki – za niewystarczający do ochrony rzeczywistego interesu.

P: Czy AI Act wprowadza nowe obowiązki wprost dotyczące tajemnicy przedsiębiorstwa?

O: Artykuł 70 AI Act (Rozporządzenie UE 2024/1689) nakłada na organy nadzorcze obowiązek ochrony tajemnic handlowych uzyskanych w toku nadzoru. Pośrednio AI Act wymusza dokumentację danych treningowych i algorytmów, co tworzy nowe zasoby informacyjne wymagające ochrony. Firmy rozwijające systemy wysokiego ryzyka powinny objąć dokumentację techniczną wymaganą przez AI Act zakresem polityki poufności.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony własności intelektualnej, tajemnicy przedsiębiorstwa i regulacji technologicznych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.