Firma z branży IT z Mazowsza wdraża nowy algorytm rekomendacyjny przez osiemnaście miesięcy. Pewnego dnia kluczowy inżynier odchodzi do konkurencji. Trzy miesiące później rywal rynkowy wprowadza identyczne rozwiązanie. Pytanie nie brzmi: „czy to kradzież?" – lecz: „co możemy udowodnić i co zaniedbaliśmy?"
Tajemnica przedsiębiorstwa to informacja techniczna, technologiczna, handlowa lub organizacyjna, która posiada wartość gospodarczą, nie jest powszechnie znana i wobec której przedsiębiorca podjął rozsądne działania w celu zachowania jej poufności. Ochronę reguluje ustawa z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (dalej: u.z.n.k.), znowelizowana w 2018 r. wdrożeniem dyrektywy Trade Secrets. Brak udokumentowanych środków ochrony oznacza brak ochrony prawnej – i nieodwracalną utratę przewagi konkurencyjnej.
Ten przewodnik przeprowadza przez cztery etapy budowania ochrony: identyfikację zasobów, wdrożenie procedur prawnych i technicznych, zarządzanie relacjami z pracownikami oraz reakcję na naruszenie. Każdy etap zawiera konkretne działania, terminy i pułapki, których unikają firmy dbające o swój majątek niematerialny.
Jakie informacje podlegają ochronie jako tajemnica przedsiębiorstwa?
Ochrona z u.z.n.k. przysługuje wyłącznie informacjom, które spełniają trzy przesłanki jednocześnie: wartość gospodarcza, poufność faktyczna i aktywne działania ochronne. Brak choćby jednej z nich oznacza, że informacja jest prawnie „jawna" – nawet jeśli firma traktuje ją jak skarb. Sąd Najwyższy konsekwentnie potwierdza tę interpretację.
Wartość gospodarcza nie musi być astronomiczna. Wystarczy, że ujawnienie informacji osłabiłoby pozycję konkurencyjną firmy lub dałoby rywalowi nieuzasadnioną przewagę. Dotyczy to baz klientów, algorytmów wyceny, receptur, planów ekspansji, a nawet struktury marż.
Poufność faktyczna oznacza, że informacja nie jest powszechnie dostępna w branży. Standardowa praktyka rynkowa opisana w podręczniku akademickim nie jest tajemnicą. Unikalna kombinacja znanych elementów – już może nią być.
Aktywne działania ochronne to warunek, który najczęściej zaniedbują polskie firmy. Chodzi o:
- klauzule poufności w umowach z pracownikami i kontrahentami,
- ograniczenia dostępu do systemów IT,
- fizyczne zabezpieczenia dokumentów,
- polityki wewnętrzne klasyfikujące informacje,
- szkolenia uświadamiające pracownikom charakter chronionych zasobów.
W praktyce – wiele firm o tym zapomina – wyrok sądu zależy od tego, czy przed naruszeniem istniały udokumentowane procedury. Brak polityki poufności to argument obrońcy naruszyciela, nie pokrzywdzonej spółki. Firmy z sektora finansowego regulowane przez DORA (Rozporządzenie UE 2022/2554) muszą dodatkowo spełniać wymogi zarządzania ryzykiem ICT – dokumentacja ochrony informacji wpisuje się bezpośrednio w te obowiązki.
Warto odróżnić tajemnicę przedsiębiorstwa od znaku towarowego i praw autorskich. Znak towarowy chroni identyfikatory rynkowe i wymaga rejestracji. Tajemnica przedsiębiorstwa chroni informacje i nie wymaga rejestracji – ale wymaga ciągłego działania. To ochrona dynamiczna, nie statyczna.
Jak zbudować skuteczną strategię ochrony krok po kroku?
Skuteczna strategia opiera się na czterech filarach: inwentaryzacji zasobów, architekturze prawnej, zabezpieczeniach technicznych i kulturze organizacyjnej. Każdy filar musi być wdrożony – brak jednego osłabia całość. Firmy, które przeszły przez audyt IP przed procesem sądowym, odzyskują znacznie więcej niż te, które zaczynają dokumentować dopiero po naruszeniu.
Krok 1 – Inwentaryzacja (termin: 30 dni). Zidentyfikuj wszystkie aktywa niematerialne: bazy danych klientów, know-how produkcyjne, algorytmy, modele cenowe, plany produktowe. Przypisz każdemu zasobowi poziom wrażliwości (np. „tajne", „poufne", „wewnętrzne"). Wynik: rejestr tajemnic przedsiębiorstwa.
Krok 2 – Architektura prawna (termin: 60 dni). Uzupełnij umowy o pracę o klauzule poufności. Zawrzyj umowy NDA z kontrahentami przed każdą wymianą informacji wrażliwych. Wprowadź regulamin ochrony tajemnicy przedsiębiorstwa jako wewnętrzny dokument normatywny. Zadbaj, by umowy z pracownikami obejmowały zakaz konkurencji po ustaniu stosunku pracy – art. 101² Kodeksu pracy wymaga formy pisemnej i ekwiwalentu pieniężnego.
Krok 3 – Zabezpieczenia techniczne (termin: 90 dni). Wdróż kontrolę dostępu opartą na zasadzie „need to know". Loguj dostęp do kluczowych systemów. Szyfruj dane w spoczynku i w transmisji. Firmy objęte RODO (Rozporządzenie UE 2016/679) mają obowiązek stosowania odpowiednich środków technicznych – ten wymóg nakłada się na ochronę tajemnicy przedsiębiorstwa i wzmacnia argumentację prawną.
Krok 4 – Kultura organizacyjna (ciągły). Szkolenia co najmniej raz w roku. Procedura offboardingu obejmująca odbiór dostępów i podpisanie oświadczenia o zniszczeniu kopii. Regularne przeglądy rejestru tajemnic – co 12 miesięcy lub po każdej istotnej zmianie struktury firmy.
Firma produkcyjna z Wielkopolski wdrożyła ten model jesienią 2024 r. Osiem tygodni po zakończeniu audytu i podpisaniu zaktualizowanych umów jeden z technologów złożył wypowiedzenie. Dzięki dokumentacji spółka uzyskała zabezpieczenie roszczenia przed sądem w ciągu 14 dni od złożenia wniosku – na podstawie art. 730 k.p.c.
Szczególną uwagę należy poświęcić programom motywacyjnym opartym na udziałach. Jeśli pracownicy mają dostęp do wrażliwych danych finansowych i jednocześnie uczestniczą w programach ESOP, klauzule poufności muszą obejmować zarówno dane operacyjne, jak i informacje o strukturze własnościowej spółki.
Jakie błędy niszczą ochronę tajemnicy przedsiębiorstwa?
Trzy błędy odpowiadają za większość przegranych spraw sądowych. Każdy z nich jest możliwy do uniknięcia – o ile firma nie czeka z działaniem do momentu naruszenia. Nieodwracalna utrata przewagi rynkowej zaczyna się zwykle nie od ataku z zewnątrz, lecz od zaniedbania wewnętrznego.
Błąd pierwszy: generyczne klauzule poufności. Klauzula w stylu „pracownik zobowiązuje się do zachowania poufności" bez wskazania kategorii chronionych informacji jest praktycznie bezużyteczna. Sąd musi wiedzieć, co konkretnie miało być chronione. Klauzula powinna odwoływać się do rejestru tajemnic lub przynajmniej enumeratywnie wymieniać kategorie.
Błąd drugi: brak procedury offboardingu. Odejście pracownika to moment najwyższego ryzyka. W Polsce nie istnieje obowiązek zwrotu danych przez byłego pracownika – chyba że umowa go przewiduje. Protokół offboardingu powinien obejmować: odbiór dostępów do systemów w dniu ostatniej pracy, zwrot nośników danych, podpisanie oświadczenia o braku kopii oraz przypomnienie o obowiązującym zakazie konkurencji.
Błąd trzeci: udostępnianie danych bez NDA. Rozmowy z potencjalnym inwestorem, dostawcą lub partnerem technologicznym często zaczynają się od prezentacji produktu. Bez podpisanego NDA przed spotkaniem firma traci ochronę prawną wobec tych informacji. Nawet ustne zapewnienie o poufności nie zastąpi pisemnej umowy.
Firma IT z Trójmiasta przekonała się o tym wiosną 2024 r. Podczas due diligence przed rundem finansowania ujawniła architekturę systemu potencjalnemu inwestorowi bez NDA. Inwestor wycofał się z transakcji, a sześć miesięcy później wprowadził konkurencyjne rozwiązanie. Brak dokumentacji uniemożliwił dochodzenie roszczeń z u.z.n.k.
Osobną kategorię stanowią systemy oparte na sztucznej inteligencji. AI Act (Rozporządzenie UE 2024/1689, w życie od 1 sierpnia 2024 r.) nakłada obowiązki dokumentacyjne na dostawców i użytkowników systemów wysokiego ryzyka. Modele AI trenowane na danych stanowiących tajemnicę przedsiębiorstwa wymagają szczególnej ochrony – zarówno na poziomie dostępu do danych treningowych, jak i zabezpieczenia samego modelu przed ekstrakcją wiedzy.
Dochodzenie roszczeń z tytułu naruszenia tajemnicy przedsiębiorstwa wymaga sprawnej reprezentacji procesowej. Więcej o zakresie usług kancelarii w obszarze IP i technologii znajdziesz na stronie praktyki IP/Tech KORDECKI & Partners.
Konkretna sytuacja Państwa firmy wymaga oceny, czy istniejące procedury są wystarczające do obrony w postępowaniu sądowym. Brak dokumentacji aktywnych działań ochronnych nieodwracalnie zamyka drogę do skutecznego dochodzenia roszczeń.
Jeśli Państwa spółka nie posiada rejestru tajemnic przedsiębiorstwa ani aktualnych klauzul poufności – przeprowadzimy audyt IP, zaktualizujemy dokumentację i przygotujemy strategię ochrony dostosowaną do Państwa modelu biznesowego: info@kordeckipartners.com.
Jak reagować na naruszenie tajemnicy przedsiębiorstwa?
Naruszenie tajemnicy przedsiębiorstwa uruchamia kilka równoległych ścieżek: cywilną, karną i zabezpieczającą. Wybór właściwej sekwencji działań w ciągu pierwszych 72 godzin decyduje o tym, czy postępowanie zakończy się sukcesem. Zwlekanie z zabezpieczeniem dowodów to błąd, którego nie można naprawić.
Ścieżka cywilna opiera się na art. 18 u.z.n.k. Uprawniony może żądać: zaniechania naruszenia, usunięcia skutków, naprawienia szkody, wydania bezpodstawnie uzyskanych korzyści, a w przypadku zawinionego naruszenia – zadośćuczynienia. Roszczenia przedawniają się w terminie 3 lat od dnia, w którym uprawniony dowiedział się o naruszeniu i osobie naruszyciela, nie później jednak niż 5 lat od naruszenia.
Zabezpieczenie roszczenia (art. 730 k.p.c.) to instrument, który pozwala sądowi nakazać natychmiastowe zaprzestanie korzystania z informacji jeszcze przed merytorycznym rozstrzygnięciem. Wniosek wymaga uprawdopodobnienia roszczenia i interesu prawnego. W sprawach tajemnicy przedsiębiorstwa sądy coraz częściej uwzględniają takie wnioski – pod warunkiem, że wnioskodawca przedstawia dokumentację aktywnych działań ochronnych.
Ścieżka karna – art. 23 u.z.n.k. przewiduje karę do 2 lat pozbawienia wolności za ujawnienie lub wykorzystanie tajemnicy przedsiębiorstwa. Postępowanie karne może być skuteczne, gdy naruszyciel jest byłym pracownikiem i działał w zamiarze bezpośrednim. Zawiadomienie do prokuratury wzmacnia pozycję w postępowaniu cywilnym i wywiera presję na naruszyciela.
Zabezpieczenie dowodów to priorytet numer jeden. Obejmuje: kopię logów systemowych, zrzuty ekranu, wiadomości e-mail, historię dostępów do plików. Dowody elektroniczne powinny być zabezpieczone przez biegłego lub notariusza – samodzielne kopiowanie może być zakwestionowane przez stronę przeciwną.
Firmy operujące w sektorach regulowanych przez DORA mają dodatkowy obowiązek raportowania incydentów ICT do KNF. Naruszenie tajemnicy przedsiębiorstwa poprzez cyberatak może jednocześnie stanowić incydent operacyjny wymagający notyfikacji w terminie 4 godzin od wykrycia.
Konkretna sytuacja naruszenia wymaga natychmiastowej oceny prawnej – każda godzina zwłoki może oznaczać utratę kluczowych dowodów i nieodwracalne pogorszenie pozycji procesowej.
Jeśli Państwa spółka podejrzewa lub stwierdziła naruszenie tajemnicy przedsiębiorstwa – przeprowadzimy analizę dowodów, złożymy wniosek o zabezpieczenie i poprowadzimy postępowanie przed sądem lub organem ścigania: info@kordeckipartners.com.
Często zadawane pytania
P: Czy umowa NDA z pracownikiem wystarczy do ochrony tajemnicy przedsiębiorstwa?
O: Sama umowa NDA nie wystarczy. Sąd ocenia, czy przedsiębiorca podjął całokształt rozsądnych działań ochronnych – klauzula umowna to jeden z elementów, obok ograniczeń dostępu do systemów, polityk wewnętrznych i szkoleń. Umowa bez faktycznych zabezpieczeń technicznych i organizacyjnych jest trudna do wyegzekwowania. Ustawowy wymóg z artykułu 11 ustęp 2 ustawy o zwalczaniu nieuczciwej konkurencji mówi wprost o „rozsądnych działaniach" – w liczbie mnogiej.
P: Ile kosztuje wdrożenie pełnej strategii ochrony tajemnicy przedsiębiorstwa?
O: Koszty zależą od skali firmy i złożoności zasobów. Dla małego przedsiębiorcy audyt IP i aktualizacja dokumentacji to zazwyczaj wydatek rzędu kilku tysięcy złotych. Dla spółki zatrudniającej ponad 100 osób z rozbudowanym portfolio know-how – kilkanaście do kilkudziesięciu tysięcy złotych. To ułamek kosztów sporu sądowego, który przy roszczeniu o wydanie bezpodstawnych korzyści może sięgać kilkuset tysięcy złotych opłat sądowych i honorariów.
P: Czy tajemnica przedsiębiorstwa chroni algorytm AI stworzony przez pracownika?
O: Co do zasady tak, pod warunkiem spełnienia trzech przesłanek: wartości gospodarczej, poufności faktycznej i aktywnych działań ochronnych. Algorytm stworzony w ramach stosunku pracy należy do pracodawcy jako utwór pracowniczy – prawa majątkowe przechodzą na pracodawcę z mocy ustawy o prawie autorskim. Ochrona jako tajemnica przedsiębiorstwa jest niezależna i komplementarna. Rozporządzenie AI Act nakłada dodatkowo obowiązki dokumentacyjne dla systemów wysokiego ryzyka, które warto uwzględnić w strategii ochrony.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony własności intelektualnej, wdrożeń regulacji technologicznych i sporów IP. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. Obsługujemy klientów z sektora IT, produkcji, finansów i e-commerce w zakresie strategii ochrony tajemnicy przedsiębiorstwa, compliance AI Act i DORA oraz dochodzenia roszczeń z tytułu nieuczciwej konkurencji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.