Firma technologiczna z Mazowsza traci kluczowego inżyniera w lipcu 2025 r. Trzy miesiące później odkrywa, że konkurent wprowadził na rynek produkt oparty na jej niezarejestrowanym algorytmie. Postępowanie sądowe trwa. Szanse na wygraną – ograniczone, bo spółka nie wdrożyła żadnych formalnych procedur ochrony tajemnicy przedsiębiorstwa.
Tajemnica przedsiębiorstwa to informacja techniczna, technologiczna, handlowa lub organizacyjna, która ma wartość gospodarczą, nie jest powszechnie znana i wobec której przedsiębiorca podjął działania w celu zachowania poufności. Ochronę reguluje ustawa z 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (u.z.n.k.). Skuteczna ochrona wymaga wdrożenia trzech warstw: prawnej, technicznej i organizacyjnej – zanim dojdzie do naruszenia.
Ten alert wyjaśnia, co zmieniło się w otoczeniu regulacyjnym od 2024 r., kogo dotyczą nowe obowiązki i jakie działania należy podjąć natychmiast. Regulacje AI Act, DORA i RODO tworzą nowe ryzyka ujawnienia tajemnicy przedsiębiorstwa – często przez własnych pracowników lub podwykonawców IT.
Co zmieniło się w otoczeniu regulacyjnym i kogo to dotyczy?
Od 1 sierpnia 2024 r. obowiązuje AI Act (Rozporządzenie UE 2024/1689). Nakłada on obowiązek dokumentowania systemów AI wysokiego ryzyka – w tym modeli predykcyjnych, narzędzi rekrutacyjnych i systemów scoringowych. Dokumentacja ta może zawierać elementy stanowiące tajemnicę przedsiębiorstwa. Organy nadzoru mają prawo do jej wglądu. Jeśli spółka nie oznaczy tych materiałów jako poufne przed przekazaniem, traci ochronę prawną.
DORA (Rozporządzenie UE 2022/2554) obowiązuje od 17 stycznia 2025 r. Podmioty finansowe – banki, firmy ubezpieczeniowe, instytucje płatnicze – muszą przekazywać KNF szczegółowe raporty o incydentach ICT. Raporty te obejmują opisy architektury systemów i procedur wewnętrznych. Bez klauzul poufności w umowach z dostawcami technologicznymi, dane te mogą trafić do osób nieuprawnionych.
RODO (Rozporządzenie UE 2016/679) funkcjonuje od 2018 r., ale PUODO konsekwentnie wskazuje na nowe wektory ryzyka. Audyt RODO ujawnia często, że najczęstsze luki w polskich firmach dotyczą właśnie dostępu do baz danych klientów i algorytmów przetwarzania – czyli rdzenia tajemnicy przedsiębiorstwa. Brak kontroli dostępu to jednocześnie naruszenie RODO i u.z.n.k.
Kogo dotyczą te zmiany? Przede wszystkim firm technologicznych, fintech, podmiotów z sektora finansowego oraz każdego przedsiębiorcy, który korzysta z modeli AI lub outsourcuje procesy IT. W praktyce – większości polskich spółek zatrudniających powyżej 50 pracowników.
Jakie strategie ochrony tajemnicy przedsiębiorstwa działają w praktyce?
Skuteczna ochrona opiera się na trzech filarach: identyfikacji zasobów, zabezpieczeniu umownym i procedurach wewnętrznych. Każdy z nich musi być wdrożony przed naruszeniem – nie po. Sądy konsekwentnie odmawiają ochrony informacjom, wobec których przedsiębiorca nie podjął żadnych działań zabezpieczających.
Pierwszy krok to inwentaryzacja. Spółka powinna sporządzić rejestr informacji poufnych – z podziałem na kategorie: know-how technologiczne, dane klientów, modele cenowe, strategie handlowe. Każda kategoria wymaga przypisania poziomu dostępu i osoby odpowiedzialnej. Bez rejestru trudno udowodnić przed sądem, że dana informacja była traktowana jako tajemnica.
Drugi filar to zabezpieczenie umowne. Klauzule NDA (non-disclosure agreement) muszą być zawierane z pracownikami, współpracownikami B2B i dostawcami IT – przed rozpoczęciem współpracy, nie w jej trakcie. Klauzule powinny precyzować: zakres informacji objętych tajemnicą, czas obowiązywania po zakończeniu współpracy (optymalnie 3–5 lat) oraz konsekwencje naruszenia. Ogólne sformułowania w stylu "zobowiązuję się do zachowania poufności" są niewystarczające.
Trzeci filar to procedury techniczne i organizacyjne. Obejmują one:
- segmentację dostępu do systemów IT według zasady minimalnych uprawnień
- logowanie i audyt dostępu do wrażliwych zasobów
- szyfrowanie dokumentów zawierających know-how
- szkolenia pracowników – minimum raz w roku
- procedurę offboardingu z checklistą odbioru dostępów i urządzeń
W praktyce – wiele firm o tym zapomina – szczególnie niebezpieczny jest moment odejścia pracownika. Badania spraw sądowych z 2023–2024 r. pokazują, że do większości naruszeń dochodzi w ciągu 30 dni przed lub po rozwiązaniu stosunku pracy. Procedura offboardingu powinna być uruchamiana natychmiast po złożeniu wypowiedzenia.
Warto też pamiętać o ochronie znaku towarowego jako uzupełnieniu strategii. Znak towarowy chroni oznaczenie, nie know-how – ale zarejestrowany znak wzmacnia pozycję procesową i ułatwia identyfikację naruszenia. Kancelaria IP Warszawa może przeprowadzić kompleksowy audyt ochrony własności intelektualnej łącznie z oceną tajemnicy przedsiębiorstwa.
Osobna kwestia to postępowania przetargowe. Jeśli Państwa spółka uczestniczy w przetargach publicznych i składa oferty zawierające elementy know-how, należy oznaczyć te fragmenty jako tajemnicę przedsiębiorstwa w trybie art. 18 ust. 3 ustawy Prawo zamówień publicznych. Termin na zastrzeżenie upływa z chwilą złożenia oferty – nie można tego naprawić po otwarciu kopert. W przypadku sporu z zamawiającym o prawidłowość zastrzeżenia, odwołania do KIO mają ściśle określone terminy i procedurę – 10 dni od powiadomienia o czynności zamawiającego.
Konkretna sytuacja Państwa firmy wymaga oceny, które zasoby są narażone i czy obecne procedury zapewniają wystarczającą ochronę. Brak formalnych zabezpieczeń może nieodwracalnie zamknąć drogę do skutecznego dochodzenia roszczeń z u.z.n.k.
Jeśli Państwa spółka korzysta z modeli AI, przetwarza dane klientów lub zatrudnia pracowników z dostępem do know-how – przeprowadzimy audyt ochrony tajemnicy przedsiębiorstwa, przygotujemy klauzule NDA i rejestr informacji poufnych: info@kordeckipartners.com.
Często zadawane pytania
P: Czy sama klauzula poufności w umowie o pracę wystarczy do ochrony tajemnicy przedsiębiorstwa?
O: Nie. Klauzula poufności w umowie o pracę to tylko jeden element systemu ochrony. Sądy wymagają, by przedsiębiorca wykazał, że podjął działania w celu zachowania poufności – co oznacza konieczność wdrożenia procedur technicznych, organizacyjnych i dokumentacyjnych. Sama klauzula bez faktycznych zabezpieczeń jest trudna do wyegzekwowania. Ustawa o zwalczaniu nieuczciwej konkurencji wymaga wielowarstwowego podejścia, a nie jednego dokumentu.
P: Ile czasu zajmuje wdrożenie skutecznej ochrony tajemnicy przedsiębiorstwa?
O: Podstawowy pakiet – inwentaryzacja zasobów, klauzule NDA, procedura offboardingu – można wdrożyć w ciągu 4–6 tygodni. Pełny system obejmujący segmentację IT, szkolenia i polityki bezpieczeństwa wymaga zazwyczaj 3 miesięcy. Każdy tydzień zwłoki to ryzyko, że naruszenie nastąpi przed wdrożeniem ochrony. Uważamy, że bezpieczniejszym rozwiązaniem jest wdrożenie etapowe – zaczynając od zabezpieczenia umów z pracownikami i kluczowymi dostawcami.
P: Czy ochrona danych osobowych (RODO) zastępuje ochronę tajemnicy przedsiębiorstwa?
O: Nie – to dwa odrębne reżimy prawne. RODO chroni dane osobowe i jest egzekwowane przez PUODO. Tajemnica przedsiębiorstwa chroniona jest przez ustawę o zwalczaniu nieuczciwej konkurencji i dotyczy informacji o wartości gospodarczej – niekoniecznie danych osobowych. W praktyce baza klientów może być jednocześnie danymi osobowymi i tajemnicą przedsiębiorstwa. Naruszenie takiej bazy generuje odpowiedzialność na obu podstawach prawnych.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony własności intelektualnej, tajemnicy przedsiębiorstwa i regulacji technologicznych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.