Firma z branży IT z Warszawy odkrywa, że były pracownik – zatrudniony teraz u konkurencji – wyniósł dokumentację techniczną, listę klientów i algorytmy wyceny. Pozew jest możliwy. Ale bez wcześniej wdrożonej strategii ochrony tajemnicy przedsiębiorstwa szanse na wygraną dramatycznie maleją. Sąd będzie pytał o jedno: czy spółka podjęła niezbędne kroki, zanim doszło do naruszenia?

Tajemnica przedsiębiorstwa podlega ochronie na podstawie ustawy z 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji. Ochrona działa jednak wyłącznie wtedy, gdy przedsiębiorca aktywnie zabezpieczył informacje – przez klauzule umowne, procedury wewnętrzne i środki techniczne. Brak tych elementów zamyka drogę do skutecznego dochodzenia roszczeń.

Ten alert wyjaśnia, co się zmieniło w otoczeniu regulacyjnym, kogo dotyczą nowe wymagania i jakie działania należy podjąć natychmiast. Regulacje AI Act, DORA i RODO tworzą dziś nową warstwę obowiązków, która bezpośrednio wpływa na strategie ochrony informacji poufnych w polskich firmach.

Co się zmieniło i kto jest narażony na utratę ochrony?

DORA, obowiązująca od 17 stycznia 2025 r., nakłada na podmioty finansowe obowiązek zarządzania ryzykiem ICT – w tym ryzykiem wycieku danych stanowiących tajemnicę przedsiębiorstwa. Firmy z sektora finansowego mają 30 dni na zgłoszenie poważnego incydentu do KNF. Brak procedur wewnętrznych oznacza, że incydent może pozostać niezidentyfikowany przez tygodnie.

AI Act wchodzi w życie etapami do 2027 r. Systemy wysokiego ryzyka – w tym narzędzia do oceny zdolności kredytowej czy rekrutacji – muszą przejść ocenę zgodności. Dokumentacja techniczna tych systemów to najczęściej najcenniejsza tajemnica przedsiębiorstwa firmy technologicznej. Bez jej formalnego oznaczenia i zabezpieczenia traci status chronionej informacji poufnej.

RODO pozostaje fundamentem. Jednak w kontekście tajemnicy przedsiębiorstwa PUODO wskazuje na rosnącą liczbę przypadków, gdzie naruszenie ochrony danych osobowych było jednocześnie wyciekiem tajemnicy handlowej. Dwie procedury – ochrony danych i ochrony tajemnicy – muszą działać równolegle, nie osobno.

Kto jest szczególnie narażony? Przede wszystkim firmy IT i SaaS przechowujące algorytmy i kod źródłowy, podmioty finansowe objęte DORA, przedsiębiorstwa prowadzące procesy rekrutacyjne z użyciem AI oraz każda spółka zatrudniająca powyżej 50 osób z dostępem do danych klientów. W praktyce – wiele firm o tym zapomina – naruszenie może popełnić nie tylko były pracownik, ale też aktualny kontrahent, który uzyskał dostęp do informacji w ramach due diligence lub negocjacji.

Jakie działania ochronne wdrożyć natychmiast?

Skuteczna ochrona tajemnicy przedsiębiorstwa wymaga trzech warstw: prawnej, technicznej i organizacyjnej. Każda z nich musi być wdrożona przed naruszeniem – nie po. Sąd Najwyższy wielokrotnie podkreślał, że retroaktywne oznaczanie dokumentów jako poufnych nie przywraca im statusu tajemnicy przedsiębiorstwa. Termin na działanie to teraz, nie po pierwszym incydencie.

Warstwa prawna obejmuje przede wszystkim aktualizację umów. Klauzule NDA podpisane przed 2020 r. często nie uwzględniają środowiska chmurowego, pracy zdalnej ani narzędzi AI. Umowy z pracownikami, współpracownikami B2B i kontrahentami powinny precyzyjnie definiować zakres informacji chronionych i przewidywać karę umowną – minimalnie 50 000 PLN – jako próg odstraszający. Przy umowach najmu komercyjnego, gdzie strony wymieniają wrażliwe dane finansowe, warto zadbać o odpowiednie klauzule poufności w umowie najmu komercyjnego.

Warstwa techniczna to klasyfikacja informacji i kontrola dostępu. Każdy dokument zawierający tajemnicę przedsiębiorstwa powinien być oznaczony – fizycznie lub cyfrowo – jako „POUFNE" lub „TAJEMNICA PRZEDSIĘBIORSTWA". Systemy IT muszą rejestrować, kto i kiedy uzyskał dostęp do chronionych zasobów. Logi dostępu to kluczowy dowód w postępowaniu sądowym.

Warstwa organizacyjna wymaga procedur i szkoleń. Pracownicy muszą wiedzieć, co jest tajemnicą przedsiębiorstwa w ich firmie. Szkolenie raz na 12 miesięcy, potwierdzone podpisem, buduje linię obrony w procesie. Firmy wdrażające systemy AI powinny dodatkowo zapoznać się z harmonogramem wdrożenia AI Act dla polskich firm, ponieważ dokumentacja techniczna systemów AI wymaga szczególnej ochrony.

Konkretna lista działań do wdrożenia w ciągu 30 dni:

  • Audyt umów z pracownikami i współpracownikami B2B pod kątem aktualności klauzul NDA
  • Klasyfikacja zasobów informacyjnych i oznaczenie dokumentów zawierających tajemnicę
  • Wdrożenie lub aktualizacja polityki bezpieczeństwa informacji zgodnej z RODO i DORA
  • Szkolenie pracowników z zakresu ochrony tajemnicy przedsiębiorstwa i procedur zgłaszania incydentów
  • Weryfikacja logów dostępu do systemów IT i repozytoriów kodu

Spółka z branży produkcyjnej z Małopolski, która w 2024 r. wdrożyła pełny system ochrony tajemnicy przed procesem o przejęcie know-how przez konkurenta, uzyskała zabezpieczenie roszczenia w ciągu 14 dni od złożenia wniosku. Firma bez dokumentacji – w analogicznej sprawie – czekała na rozstrzygnięcie ponad 18 miesięcy bez skutku. Różnica leżała wyłącznie w przygotowaniu.

Firma technologiczna z Trójmiasta, która jesienią 2024 r. straciła kontrakt wart kilkaset tysięcy złotych po wycieku algorytmu wyceny, odkryła, że jej NDA nie obejmowało środowiska chmurowego. Sąd odmówił zabezpieczenia. Znak towarowy był chroniony – tajemnica przedsiębiorstwa już nie. To nieodwracalna strata.

Uważamy, że bezpieczniejszym rozwiązaniem jest wdrożenie systemu ochrony etapami w ciągu jednego miesiąca niż czekanie na incydent i próba odbudowania ochrony post factum. Kancelaria IP Warszawa z doświadczeniem w prawie własności intelektualnej i regulacjach technologicznych może przeprowadzić taki audyt w ciągu 5 dni roboczych.

Konkretna sytuacja Państwa firmy wymaga oceny, które zasoby informacyjne są dziś faktycznie chronione, a które – mimo przekonania zarządu – nie mają statusu tajemnicy przedsiębiorstwa. Brak tej oceny to nieodwracalne ryzyko utraty możliwości dochodzenia roszczeń w przyszłości.

Jeśli Państwa spółka przetwarza dane klientów, kod źródłowy lub dokumentację techniczną systemów AI i nie ma aktualnych klauzul NDA ani polityki klasyfikacji informacji – przeprowadzimy audyt ochrony tajemnicy przedsiębiorstwa, zaktualizujemy umowy i wdrożymy procedury zgodne z AI Act, DORA i RODO: info@kordeckipartners.com.

Często zadawane pytania

P: Czy klauzula NDA w umowie o pracę wystarczy do ochrony tajemnicy przedsiębiorstwa?

O: Sama klauzula to warunek konieczny, ale niewystarczający. Ustawa o zwalczaniu nieuczciwej konkurencji wymaga, aby przedsiębiorca podjął niezbędne działania w celu zachowania poufności informacji. Oznacza to klasyfikację dokumentów, kontrolę dostępu i procedury wewnętrzne. Umowa bez tych elementów może nie wystarczyć do uzyskania zabezpieczenia lub wygrania procesu. Sądy oceniają całość systemu ochrony, nie tylko treść jednej klauzuli.

P: Jakie są koszty wdrożenia systemu ochrony tajemnicy przedsiębiorstwa?

O: Koszt audytu i wdrożenia podstawowego systemu ochrony dla firmy zatrudniającej do 100 osób wynosi zazwyczaj od kilku do kilkunastu tysięcy złotych. To ułamek kosztów postępowania sądowego, które może trwać 2–3 lata i pochłonąć kilkadziesiąt tysięcy złotych samych opłat sądowych i honorariów pełnomocników. Inwestycja w ochronę prewencyjną zwraca się przy pierwszym incydencie.

P: Czy ochrona tajemnicy przedsiębiorstwa i ochrona znaku towarowego to to samo?

O: Nie – to dwa odrębne instrumenty prawne. Znak towarowy chroni oznaczenia odróżniające produkty lub usługi i wymaga rejestracji w Urzędzie Patentowym. Tajemnica przedsiębiorstwa chroni informacje poufne – know-how, dane klientów, algorytmy – i nie wymaga rejestracji, ale wymaga aktywnych działań ochronnych. Wiele firm błędnie zakłada, że rejestracja znaku towarowego automatycznie chroni całą własność intelektualną. Ochrona danych i tajemnicy to osobne procedury.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony własności intelektualnej, wdrożeń AI Act i DORA oraz strategii ochrony tajemnicy przedsiębiorstwa. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.