Firma technologiczna z Mazowsza odkrywa, że były pracownik – zatrudniony teraz u bezpośredniego konkurenta – korzysta z algorytmu, który jego poprzedni pracodawca rozwijał przez trzy lata. Umowa o pracę nie zawierała klauzuli o tajemnicy przedsiębiorstwa. Baza klientów, kod źródłowy i model wyceny trafiły do konkurencji. Odzyskanie przewagi rynkowej zajmie miesiące. Szkoda może sięgnąć setek tysięcy złotych.
Tajemnica przedsiębiorstwa podlega ochronie na podstawie ustawy z dnia 16 kwietnia 1993 roku o zwalczaniu nieuczciwej konkurencji (u.z.n.k.), znowelizowanej w 2018 roku wskutek implementacji dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/943 o ochronie niejawnego know-how i niejawnych informacji handlowych. Aby informacja korzystała z ochrony, musi spełniać trzy warunki: mieć wartość gospodarczą, nie być powszechnie znana i być objęta rozsądnymi środkami zachowania poufności. Brak choćby jednego z tych elementów – szczególnie tego ostatniego – pozbawia przedsiębiorcę ochrony prawnej.
Niniejszy przewodnik prowadzi przez cztery etapy budowania strategii ochrony: identyfikację zasobów wymagających ochrony, wdrożenie instrumentów prawnych i organizacyjnych, zabezpieczenie w środowisku cyfrowym (z uwzględnieniem wymogów AI Act, DORA i RODO) oraz postępowanie w razie naruszenia. Każdy etap zawiera konkretne terminy, koszty i typowe błędy.
Jakie informacje stanowią tajemnicę przedsiębiorstwa i jak je zidentyfikować?
Punkt wyjścia strategii ochrony to audyt informacyjny. Przedsiębiorca musi wiedzieć, co chroni – zanim zacznie to chronić. Art. 11 ust. 2 u.z.n.k. definiuje tajemnicę przedsiębiorstwa jako informację techniczną, technologiczną, organizacyjną lub handlową, która posiada wartość gospodarczą, nie jest ujawniona do wiadomości publicznej i wobec której przedsiębiorca podjął działania w celu zachowania jej poufności. Każda z tych przesłanek musi być spełniona łącznie.
W praktyce katalog chronionych zasobów jest szeroki. Obejmuje listy klientów i dostawców, modele wyceny, algorytmy, kod źródłowy, receptury, plany ekspansji, dane finansowe, wyniki badań i developmentu. Ważne: ochrona nie wymaga rejestracji ani zgłoszenia – w odróżnieniu od znaku towarowego czy patentu. Wystarczy faktyczne podjęcie rozsądnych środków ochrony.
Audyt powinien przybrać formę pisemnego rejestru aktywów informacyjnych. Dla każdej kategorii należy określić: kto ma do niej dostęp, w jakiej formie jest przechowywana, jakie środki ją zabezpieczają. Rejestr aktualizuje się co najmniej raz w roku – zmiany organizacyjne (nowi pracownicy, nowe systemy IT) zmieniają profil ryzyka. Wdrożenie rejestru zajmuje zazwyczaj od dwóch do czterech tygodni.
Mikro-case: producent maszyn z Wielkopolski przeprowadził audyt wiosną 2024 roku i odkrył, że dokumentacja technologiczna była dostępna dla całego działu handlowego – bez żadnych ograniczeń. Po zawężeniu dostępu i oznaczeniu dokumentów jako poufnych, spółka uzyskała podstawę do skutecznego roszczenia, gdy jeden z handlowców odszedł do konkurencji trzy miesiące później. Bez audytu sąd mógłby uznać, że przedsiębiorca nie podjął rozsądnych środków ochrony.
- Sporządź pisemny rejestr aktywów informacyjnych z klasyfikacją poufności.
- Określ krąg osób mających dostęp do każdej kategorii danych.
- Zidentyfikuj luki: co jest przechowywane w chmurze, kto ma dostęp zdalny.
- Uwzględnij dane osobowe – RODO nakłada równoległe obowiązki ochrony danych.
- Zaktualizuj rejestr po każdej zmianie struktury organizacyjnej.
Instytucje takie jak PUODO (organ nadzorczy RODO w Polsce) czy Urząd Patentowy RP mogą stanowić punkt odniesienia przy klasyfikacji, choć tajemnica przedsiębiorstwa pozostaje poza ich właściwością. Ochrona danych osobowych i ochrona tajemnicy przedsiębiorstwa mogą się nakładać – np. gdy lista klientów zawiera dane osobowe. W takim przypadku działania muszą być spójne z wymogami RODO.
Jakie instrumenty prawne i umowne skutecznie zabezpieczają tajemnicę?
Audyt informacyjny jest bezużyteczny bez warstwy prawnej. Podstawowym instrumentem są klauzule poufności (NDA – Non-Disclosure Agreement) oraz postanowienia umów o pracę i umów B2B. Skuteczna klauzula musi precyzyjnie definiować zakres informacji poufnych, okres obowiązywania, sankcje za naruszenie i zasady zwrotu lub zniszczenia materiałów. Ogólnikowe sformułowania „pracownik zobowiązuje się do zachowania poufności" nie przejdą testu sądowego.
W stosunkach pracowniczych klauzula poufności może obowiązywać bezterminowo w zakresie tajemnicy przedsiębiorstwa – nawet po ustaniu stosunku pracy, bez konieczności wypłacania odszkodowania. To istotna różnica w porównaniu z zakazem konkurencji, który po ustaniu zatrudnienia wymaga wynagrodzenia (art. 1012 § 2 k.p. przewiduje minimum 25% wynagrodzenia). Obie klauzule warto łączyć, ale nie można ich mylić.
W umowach B2B z kontrahentami – szczególnie przy outsourcingu IT, współpracy z podwykonawcami lub due diligence przed transakcją M&A – NDA powinno być zawarte przed jakimkolwiek ujawnieniem informacji. Termin: podpisanie NDA najpóźniej na dzień przed pierwszym spotkaniem merytorycznym. Wiele firm o tym zapomina i ujawnia wrażliwe dane na wstępnych rozmowach bez żadnej umowy.
Trzy scenariusze biznesowe ilustrują zakres zastosowania:
Firma produkcyjna: Receptury i parametry procesów technologicznych należy objąć klauzulami w umowach z dostawcami surowców i pracownikami produkcji. Zalecany okres ochrony po rozwiązaniu umowy: 5 lat.
Firma IT / startup: Kod źródłowy, architektura systemu i dane treningowe modeli AI wymagają klauzul zarówno w umowach z programistami (UoP i B2B), jak i z inwestorami. W kontekście praktyki IP/Tech kancelarii – systemy AI podlegają dodatkowo regulacjom AI Act (Rozporządzenie UE 2024/1689), co wpływa na zakres ujawnień wymaganych przez organy nadzorcze.
Inwestor zagraniczny: Przy wejściu na rynek polski przez przejęcie lub joint venture – procedury due diligence generują masowe ujawnienia. Każdy uczestnik procesu powinien podpisać NDA przed dostępem do data room. Więcej o transgranicznych strukturach korporacyjnych: transgraniczne połączenie spółek a dyrektywa UE o mobilności.
Koszty wdrożenia warstwy umownej są relatywnie niskie. Przygotowanie kompletu klauzul (NDA, postanowienia umów o pracę, regulamin ochrony tajemnicy) to koszt jednorazowy. Wielokrotnie niższy niż koszty postępowania sądowego, które w sprawach o naruszenie tajemnicy przedsiębiorstwa mogą przekroczyć 100 000 PLN tylko w zakresie opłat sądowych (5% wartości przedmiotu sporu).
Jak chronić tajemnicę przedsiębiorstwa w środowisku cyfrowym – AI Act, DORA i RODO?
Cyfryzacja procesów biznesowych radykalnie zmienia profil ryzyka. Tajemnica przedsiębiorstwa nie trafia dziś do konkurencji wyłącznie przez nieszczelne umowy – trafia przez nieautoryzowany dostęp do systemów IT, wycieki danych w chmurze, luki w zabezpieczeniach aplikacji i – coraz częściej – przez modele AI trenowane na wewnętrznych danych firmy.
Trzy regulacje unijne nakładają konkretne obowiązki, które jednocześnie wzmacniają ochronę tajemnicy przedsiębiorstwa:
RODO (Rozporządzenie UE 2016/679) – wymaga wdrożenia środków technicznych i organizacyjnych adekwatnych do ryzyka. W praktyce oznacza to szyfrowanie, kontrolę dostępu, rejestr czynności przetwarzania i procedury reagowania na naruszenia. Organ nadzorczy – PUODO – może nałożyć kary do 20 mln EUR lub 4% rocznego obrotu globalnego. Środki wdrożone na potrzeby RODO często jednocześnie chronią tajemnicę przedsiębiorstwa.
DORA (Rozporządzenie UE 2022/2554) – od 17 stycznia 2025 roku obowiązuje podmioty finansowe i ich kluczowych dostawców ICT. Wymaga zarządzania ryzykiem ICT, testowania odporności cyfrowej i raportowania incydentów do KNF. Firmy technologiczne obsługujące sektor finansowy muszą uwzględnić wymogi DORA w swoich politykach bezpieczeństwa – w tym w zakresie ochrony informacji poufnych klientów.
AI Act (Rozporządzenie UE 2024/1689) – wszedł w życie 1 sierpnia 2024 roku. Dla systemów AI wysokiego ryzyka wymaga dokumentacji technicznej, rejestracji i oceny zgodności. Paradoks: przepisy o przejrzystości AI mogą wymagać ujawnienia elementów, które przedsiębiorca uważa za tajemnicę. Należy z wyprzedzeniem zidentyfikować, które elementy systemu AI podlegają obowiązkowemu ujawnieniu, a które mogą pozostać poufne.
Mikro-case: spółka fintech z Trójmiasta jesienią 2024 roku wdrożyła model scoringowy oparty na ML. Podczas przygotowań do audytu DORA odkryła, że model był trenowany na danych klientów bez odpowiedniej anonimizacji. Konieczna była jednoczesna korekta pod kątem RODO, AI Act i wewnętrznej polityki ochrony tajemnicy. Koszt naprawy był trzykrotnie wyższy niż koszt prawidłowego wdrożenia od początku.
Środki techniczne minimalne to: szyfrowanie danych w spoczynku i transmisji, wieloskładnikowe uwierzytelnianie (MFA), logowanie dostępu do zasobów poufnych, segmentacja sieci i regularne testy penetracyjne (co 12 miesięcy). W firmach poniżej 50 pracowników wdrożenie tych środków zajmuje od 4 do 8 tygodni i kosztuje od 15 000 do 50 000 PLN.
Warto przy tym pamiętać, że ochrona danych i ochrona tajemnicy przedsiębiorstwa to dwa odrębne reżimy prawne. Spełnienie wymogów RODO nie zastępuje działań wymaganych przez u.z.n.k. – i odwrotnie. Oba systemy muszą działać równolegle.
Co zrobić, gdy tajemnica przedsiębiorstwa zostanie naruszona?
Naruszenie tajemnicy przedsiębiorstwa uruchamia kilka równoległych ścieżek. Wybór właściwej zależy od charakteru naruszenia, sprawcy i celu – czy priorytetem jest zatrzymanie szkody, uzyskanie odszkodowania, czy ściganie karne. Art. 11 ust. 1 u.z.n.k. kwalifikuje bezprawne ujawnienie, wykorzystanie lub pozyskanie tajemnicy przedsiębiorstwa jako czyn nieuczciwej konkurencji. Odpowiedzialność cywilna obejmuje roszczenia o zaniechanie, usunięcie skutków, naprawienie szkody i wydanie bezpodstawnie uzyskanych korzyści.
Pierwsza czynność po wykryciu naruszenia: zabezpieczenie dowodów. Oznacza to natychmiastowe wykonanie kopii logów systemowych, wiadomości e-mail, historii dostępu do plików i wszelkich dokumentów potwierdzających fakt ujawnienia. Dowody cyfrowe są ulotne – można je usunąć w ciągu minut. Każda godzina zwłoki zwiększa ryzyko ich utraty.
Równolegle należy rozważyć wniosek o zabezpieczenie roszczenia w trybie art. 730 k.p.c. Sąd może wydać postanowienie o zabezpieczeniu przed doręczeniem go drugiej stronie, jeśli uprawdopodobniono roszczenie i wykazano interes prawny. W sprawach o tajemnicę przedsiębiorstwa zabezpieczenie może obejmować zakaz korzystania z informacji, zajęcie nośników danych lub zobowiązanie do złożenia dokumentów do depozytu. Wniosek należy złożyć bez zbędnej zwłoki – sądy oceniają pilność.
Ścieżka karna: art. 23 u.z.n.k. przewiduje odpowiedzialność karną za ujawnienie lub wykorzystanie tajemnicy przedsiębiorstwa. Kara pozbawienia wolności do 2 lat, a przy działaniu w celu wyrządzenia szkody – do 3 lat. Zawiadomienie do prokuratury warto złożyć równolegle z postępowaniem cywilnym – postępowanie karne może ułatwić pozyskanie dowodów (przeszukania, zatrzymania dokumentów).
Checklist działań po naruszeniu:
- Zabezpiecz dowody cyfrowe (logi, e-maile, historia dostępu) – w ciągu 24 godzin.
- Oceń zakres naruszenia: co zostało ujawnione, komu i w jaki sposób.
- Rozważ wniosek o zabezpieczenie roszczenia (art. 730 k.p.c.) przed wniesieniem pozwu.
- Złóż zawiadomienie do prokuratury, jeśli działanie było umyślne (art. 23 u.z.n.k.).
- Poinformuj PUODO, jeśli naruszenie obejmuje dane osobowe (72 godziny od wykrycia).
Czas gra kluczową rolę. Roszczenia z u.z.n.k. przedawniają się w terminie 3 lat od dnia, w którym uprawniony dowiedział się o naruszeniu i osobie odpowiedzialnej – nie dłużej jednak niż 10 lat od naruszenia. Bierność w pierwszych dniach po wykryciu naruszenia może nieodwracalnie pogorszyć pozycję procesową.
Uważamy, że bezpieczniejszym rozwiązaniem jest przygotowanie planu reagowania na naruszenie z wyprzedzeniem – analogicznie do procedur DORA dla incydentów ICT. Firma, która wie co robić w pierwszych 48 godzinach, ma realną przewagę procesową nad tą, która reaguje improwizując.
Konkretna sytuacja Państwa firmy wymaga oceny, które ścieżki są dostępne i które rokują najlepiej. Zwłoka w podjęciu działań może nieodwracalnie zamknąć drogę do skutecznego roszczenia lub utraty kluczowych dowodów.
Jeśli Państwa spółka wykryła naruszenie tajemnicy przedsiębiorstwa lub chce zbudować strategię ochrony przed ryzykiem wycieku – przeprowadzimy audyt informacyjny, przygotujemy dokumentację i poprowadzimy postępowanie zabezpieczające: info@kordeckipartners.com.
Często zadawane pytania
P: Czy tajemnica przedsiębiorstwa musi być zarejestrowana, żeby podlegała ochronie?
O: Nie – w odróżnieniu od znaku towarowego czy patentu, tajemnica przedsiębiorstwa nie wymaga rejestracji ani zgłoszenia do żadnego urzędu. Ochrona powstaje automatycznie, gdy spełnione są trzy przesłanki z artykułu 11 ustęp 2 ustawy o zwalczaniu nieuczciwej konkurencji: informacja ma wartość gospodarczą, nie jest powszechnie znana i przedsiębiorca podjął rozsądne środki w celu zachowania jej poufności. Brak tych środków – nawet przy spełnieniu pozostałych warunków – pozbawia ochrony.
P: Ile kosztuje wdrożenie pełnej strategii ochrony tajemnicy przedsiębiorstwa?
O: Koszty zależą od wielkości firmy i stopnia skomplikowania struktury. W małej i średniej firmie (do 100 pracowników) kompleksowe wdrożenie – audyt informacyjny, dokumentacja prawna, szkolenia i środki techniczne – mieści się zazwyczaj w przedziale od 20 000 do 60 000 PLN. To wielokrotnie mniej niż koszty jednego postępowania sądowego o naruszenie tajemnicy, gdzie sama opłata sądowa może przekroczyć 50 000 PLN przy roszczeniu milionowym. Inwestycja w prewencję jest ekonomicznie racjonalna.
P: Czy pracownik może być zobowiązany do zachowania tajemnicy po zakończeniu zatrudnienia, bez dodatkowego wynagrodzenia?
O: Tak, w zakresie tajemnicy przedsiębiorstwa – tak. Klauzula poufności może obowiązywać bezterminowo po ustaniu stosunku pracy i nie wymaga wypłaty odszkodowania. To fundamentalna różnica w stosunku do zakazu konkurencji po ustaniu zatrudnienia, który zgodnie z artykułem 1012 paragraf 2 Kodeksu pracy wymaga wynagrodzenia w wysokości co najmniej 25% wynagrodzenia pracownika. Wiele firm nieprawidłowo łączy obie instytucje lub stosuje tylko zakaz konkurencji, rezygnując z klauzuli poufności – co jest błędem kosztownym w skutkach.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony własności intelektualnej, tajemnicy przedsiębiorstwa i regulacji technologicznych (AI Act, DORA, RODO). Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. Szczegóły oferty w zakresie IP i technologii: praktyka IP/Tech dla Polski. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Autor
Jakub Górski specjalizuje się w prawie własności intelektualnej, technologiach i regulacjach AI.
Data publikacji: 17.02.2026
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.