Firma technologiczna z Mazowsza odkrywa, że były pracownik – specjalista ds. produktu – zabrał ze sobą bazę klientów, dokumentację wdrożeniową i fragmenty kodu źródłowego. Nowy pracodawca konkurenta wprowadza produkt na rynek w ciągu trzech miesięcy. Okno możliwości zamknęło się bezpowrotnie.
Tajemnica przedsiębiorstwa to informacja techniczna, technologiczna, handlowa lub organizacyjna posiadająca wartość gospodarczą, nieujawniona publicznie i chroniona przez przedsiębiorcę z należytą starannością. Podstawę prawną stanowi ustawa z 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji, znowelizowana w 2018 r. Skuteczna ochrona wymaga trzech elementów: identyfikacji zasobów, procedur utajnienia i egzekwowania.
Poniższe studium przypadku ilustruje, jak spółka z sektora IT odbudowała ochronę tajemnicy przedsiębiorstwa po incydencie i jakie wnioski mają zastosowanie w każdej firmie – niezależnie od branży i skali działania.
Tło sprawy – co poszło nie tak?
Spółka z ograniczoną odpowiedzialnością z Mazowsza, zatrudniająca około 80 pracowników, przez lata traktowała ochronę informacji jako zadanie działu IT. Brakowało polityki klasyfikacji dokumentów. Umowy o pracę zawierały standardową klauzulę poufności – bez listy chronionych zasobów, bez mechanizmu egzekwowania i bez klauzuli zakazu konkurencji.
Były pracownik skopiował dane na prywatny nośnik w ostatnim tygodniu zatrudnienia. Monitoring dostępu do systemów nie rejestrował operacji eksportu plików. Spółka dowiedziała się o wycieku dopiero po tym, jak klient zgłosił, że konkurent przedstawił mu ofertę opartą na identycznej architekturze rozwiązania. Czas reakcji wyniósł ponad 90 dni od daty zdarzenia – co bezpośrednio ograniczyło możliwości dowodowe.
Trzy słabości okazały się krytyczne. Brak inwentaryzacji tajemnic uniemożliwił wykazanie, które informacje podlegały ochronie. Brak technicznego śladu utrudnił ustalenie zakresu wycieku. Brak klauzuli zakazu konkurencji zamknął drogę do roszczeń z tego tytułu. Sprawa trafiła ostatecznie na drogę sądową, lecz wynik był znacznie trudniejszy do osiągnięcia, niż gdyby spółka działała prewencyjnie.
Jaką strategię ochrony wdrożono po incydencie?
Strategia ochrony tajemnicy przedsiębiorstwa musi obejmować trzy warstwy: prawną, organizacyjną i techniczną. Wdrożenie zajęło spółce 12 tygodni. Każda warstwa jest konieczna – żadna nie wystarczy samodzielnie.
Warstwa prawna objęła rewizję umów o pracę i kontraktów B2B. Wprowadzono klauzule poufności z precyzyjną listą chronionych kategorii informacji: kod źródłowy, baza klientów, roadmapa produktu, algorytmy wyceny. Dodano klauzule zakazu konkurencji na 12 miesięcy po ustaniu zatrudnienia, z odszkodowaniem w wysokości 25% miesięcznego wynagrodzenia za każdy miesiąc zakazu. Umowy z podwykonawcami uzupełniono o postanowienia NDA zgodne z RODO (Rozporządzenie UE 2016/679) – z uwzględnieniem zasady minimalizacji danych i obowiązku zwrotu nośników.
Warstwa organizacyjna to polityka klasyfikacji dokumentów – cztery poziomy: publiczny, wewnętrzny, poufny, ściśle tajny. Każdy pracownik podpisał oświadczenie o zapoznaniu się z polityką. Dostęp do zasobów poufnych przyznawano na zasadzie „need to know". Procedura offboardingu obejmuje teraz inwentaryzację dostępów, zwrot sprzętu i pisemne potwierdzenie zniszczenia kopii. W praktyce – wiele firm o tym zapomina – to właśnie offboarding jest najsłabszym ogniwem.
Warstwa techniczna objęła wdrożenie systemu DLP (Data Loss Prevention) monitorującego eksport plików, szyfrowanie dysków i logowanie operacji na zasobach oznaczonych jako poufne. Zgodność z wymogami DORA (Rozporządzenie UE 2022/2554) – obowiązującego od 17 stycznia 2025 r. – wymusiła jednocześnie dokumentację incydentów ICT, co wzmocniło zdolność dowodową spółki na przyszłość.
Uważamy, że bezpieczniejszym rozwiązaniem jest wdrożenie tych warstw równolegle, nie sekwencyjnie. Każdy tydzień zwłoki to kolejne ryzyko, którego nie można cofnąć.
Jak przebiegło postępowanie i jakie były jego rezultaty?
Spółka wniosła powództwo o zaniechanie czynów nieuczciwej konkurencji oraz odszkodowanie. Podstawą był art. 11 ustawy o zwalczaniu nieuczciwej konkurencji. Sąd Okręgowy w Warszawie zabezpieczył roszczenie w trybie art. 730 k.p.c. – wstrzymując dystrybucję produktu konkurenta do czasu rozstrzygnięcia. Wniosek o zabezpieczenie złożono w 14. dniu od zlecenia audytu prawnego.
Postępowanie ujawniło ograniczenia dowodowe wynikające z braku wcześniejszej dokumentacji. Biegły sądowy nie był w stanie jednoznacznie potwierdzić tożsamości kodu, ponieważ spółka nie prowadziła wersjonowania z sygnaturami kryptograficznymi. Ostatecznie strony zawarły ugodę – konkurent zapłacił kwotę zbliżoną do rocznych przychodów z produktu, lecz spółka nie uzyskała trwałego zakazu. Gdyby dokumentacja techniczna była kompletna, wynik mógł być korzystniejszy. Sprawa z dziedziny sporów sądowych w Polsce pokazuje, że jakość dowodów rozstrzyga o wyniku – nie sama racja.
Równolegle spółka zgłosiła znak towarowy obejmujący nazwę produktu i kluczowe elementy interfejsu. Ochrona znaku towarowego działa niezależnie od tajemnicy przedsiębiorstwa i zamknęła drugą linię obrony przed dalszym kopiowaniem.
Jakie wnioski mają zastosowanie w Państwa firmie?
Studium przypadku dostarcza czterech lekcji, które mają zastosowanie niezależnie od branży. Ochrona danych i tajemnicy przedsiębiorstwa to system naczyń połączonych – luka w jednym miejscu osłabia całość.
Pierwsza lekcja: inwentaryzacja poprzedza ochronę. Nie można chronić tego, czego nie zidentyfikowano. Lista chronionych zasobów musi istnieć przed incydentem – nie po nim. Druga lekcja: klauzule poufności bez listy zasobów są trudne do wyegzekwowania. Sąd oczekuje konkretności. Trzecia lekcja: AI Act (Rozporządzenie UE 2024/1689), obowiązujący od 1 sierpnia 2024 r., nakłada dodatkowe wymogi na systemy wysokiego ryzyka – algorytmy wyceny i systemy rekrutacyjne mogą wymagać dokumentacji zgodności, która jednocześnie wzmacnia ochronę tajemnicy. Czwarta lekcja: kancelaria IP Warszawa powinna być włączona w projekt wdrożeniowy – nie tylko w momencie sporu.
- Sporządź inwentarz tajemnic przedsiębiorstwa z klasyfikacją wartości gospodarczej
- Zrewiduj klauzule poufności w umowach o pracę i kontraktach B2B
- Wdróż procedurę offboardingu z potwierdzeniem zwrotu i zniszczenia danych
- Uruchom monitoring eksportu plików i logowanie dostępów do zasobów poufnych
- Zarejestruj znak towarowy jako niezależną linię ochrony
Firmy z sektora finansowego podlegają jednocześnie DORA – warto sprawdzić, czy wymogi dotyczące zarządzania ryzykiem ICT nie nakładają się z obowiązkami w zakresie ochrony tajemnicy. Więcej o tym, kto musi wdrożyć DORA i do kiedy, opisujemy w osobnym materiale.
Spółka produkcyjna z Podkarpacia, z którą pracowaliśmy wiosną 2025 r., zinwentaryzowała 34 kategorie informacji chronionych w ciągu czterech tygodni. Rewizja umów z 120 pracownikami zajęła kolejne trzy tygodnie. Koszt projektu był wielokrotnie niższy niż minimalne koszty sporu sądowego.
Konkretna sytuacja Państwa firmy wymaga oceny, które zasoby są rzeczywiście narażone i czy istniejące umowy zapewniają skuteczną ochronę. Brak tej oceny to nieodwracalna strata przewagi konkurencyjnej – szczególnie gdy informacja trafi do konkurenta, zanim zdążą Państwo zareagować.
Jeśli Państwa spółka nie posiada aktualnej inwentaryzacji tajemnic przedsiębiorstwa lub zamierza zrewidować klauzule poufności – przeprowadzimy audyt prawny, przygotujemy dokumentację i wesprzemy wdrożenie: info@kordeckipartners.com.
Często zadawane pytania
P: Czy sama klauzula poufności w umowie o pracę wystarczy do ochrony tajemnicy przedsiębiorstwa?
O: Klauzula poufności jest punktem wyjścia, lecz bez listy chronionych zasobów ma ograniczoną skuteczność w postępowaniu sądowym. Sąd wymaga wykazania, że informacja posiadała wartość gospodarczą i była chroniona z należytą starannością. Ustawa o zwalczaniu nieuczciwej konkurencji z 1993 roku wymaga spełnienia obu przesłanek jednocześnie. Zalecamy uzupełnienie klauzul o konkretny katalog kategorii informacji objętych ochroną.
P: Ile kosztuje wdrożenie systemu ochrony tajemnicy przedsiębiorstwa i jak długo trwa?
O: Zakres projektu zależy od liczby pracowników, złożoności struktury IT i liczby kontrahentów. Dla firmy zatrudniającej do 100 osób typowy projekt audytu i rewizji umów trwa od 4 do 8 tygodni. Koszt obsługi prawnej jest wielokrotnie niższy niż minimalne koszty sporu o naruszenie tajemnicy, które w sprawach przed sądem okręgowym zaczynają się od kilkudziesięciu tysięcy złotych opłaty sądowej. Wdrożenie warstwy technicznej (DLP, monitoring) to odrębna pozycja budżetowa, zależna od wybranego dostawcy.
P: Czy RODO i ochrona tajemnicy przedsiębiorstwa to odrębne systemy prawne?
O: Tak, lecz w praktyce się przenikają. Rozporządzenie UE 2016/679 (RODO) reguluje ochronę danych osobowych, natomiast ustawa o zwalczaniu nieuczciwej konkurencji chroni informacje o wartości gospodarczej. Baza klientów zawierająca dane osobowe jest jednocześnie tajemnicą przedsiębiorstwa i zbiorem danych osobowych. Naruszenie może więc rodzić odpowiedzialność na obu podstawach. Polityka bezpieczeństwa informacji powinna adresować oba reżimy łącznie.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony własności intelektualnej, tajemnicy przedsiębiorstwa i regulacji technologicznych, w tym AI Act i DORA. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.