Firma technologiczna z Mazowsza odkrywa, że były pracownik – zaledwie trzy miesiące po odejściu – zakłada konkurencyjny startup i oferuje klientom niemal identyczne rozwiązanie. Dane o algorytmach, lista kontaktów i metodologia wyceny były dostępne wyłącznie wewnątrz organizacji. Czy można działać? Tak – ale tylko wtedy, gdy tajemnica przedsiębiorstwa była wcześniej formalnie chroniona.
Tajemnica przedsiębiorstwa to każda informacja techniczna, technologiczna, organizacyjna lub handlowa, która ma wartość gospodarczą i nie jest powszechnie znana. Ochronę reguluje ustawa z 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (u.z.n.k.). Kluczowy warunek: uprawniony musi podjąć działania zmierzające do zachowania poufności – bez tego żadna procedura prawna nie zadziała skutecznie.
Ten artykuł omawia sześć bloków tematycznych: ramy prawne, instrumenty ochrony, typowe błędy, aspekty cross-border, listę kontrolną oraz FAQ. Każdy blok kończy się wnioskiem operacyjnym, który można wdrożyć od razu.
Jakie przepisy chronią tajemnicę przedsiębiorstwa w Polsce?
Ochrona tajemnicy przedsiębiorstwa w Polsce opiera się na kilku warstwach regulacyjnych. Podstawą jest u.z.n.k., implementująca dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/943 o ochronie niejawnego know-how. Uzupełnieniem są przepisy Kodeksu pracy, Kodeksu cywilnego oraz – w zakresie przetwarzania danych – RODO (Rozporządzenie UE 2016/679). Sądy rozpatrujące spory o naruszenie tajemnicy to przede wszystkim wydziały gospodarcze sądów okręgowych. Organem nadzorczym w obszarze danych osobowych powiązanych z tajemnicą jest PUODO.
Ustawa definiuje trzy przesłanki ochrony. Informacja musi być poufna (nieznana w kręgach, które normalnie zajmują się takim rodzajem informacji). Musi mieć wartość handlową właśnie dlatego, że jest poufna. Wreszcie uprawniony musi podjąć rozsądne środki w celu zachowania jej poufności. Brak którejkolwiek z tych przesłanek wyklucza ochronę – i jest to najczęstsza przyczyna przegranych spraw przed sądami w Warszawie i Krakowie.
Od 2022 r. u.z.n.k. penalizuje bezprawne pozyskanie, ujawnienie lub wykorzystanie tajemnicy. Sankcje obejmują zarówno roszczenia cywilne (odszkodowanie, zaniechanie, usunięcie skutków), jak i odpowiedzialność karną do 2 lat pozbawienia wolności. Sąd może orzec przepadek korzyści. Przy dużej skali naruszenia – powyżej znacznej wartości majątkowej – grozi kara do 5 lat.
Warto tu zaznaczyć: RODO i tajemnica przedsiębiorstwa to dwa odrębne reżimy, które jednak często się krzyżują. Baza klientów zawiera dane osobowe – naruszenie jej poufności może jednocześnie naruszać RODO i u.z.n.k. Ochrona danych wzmacnia pozycję procesową uprawnionego, bo dostarcza dodatkowych dowodów na to, że informacja była traktowana jako wrażliwa.
Jakie instrumenty prawne skutecznie chronią know-how firmy?
Skuteczna ochrona know-how wymaga systemu, nie jednego dokumentu. Trzy filary to: umowy poufności (NDA), klauzule w umowach pracowniczych oraz polityki wewnętrzne wsparte technicznymi środkami kontroli dostępu. Każdy filar działa inaczej i każdy ma własny próg skuteczności. Brak choćby jednego z nich tworzy lukę, którą sprawny pełnomocnik drugiej strony łatwo wykorzysta.
Umowy NDA to fundament. Powinny precyzyjnie definiować zakres informacji poufnych, okres obowiązywania po zakończeniu współpracy (zazwyczaj 3–5 lat), mechanizm kar umownych oraz sąd właściwy. Kara umowna w wysokości co najmniej 50 000 PLN na zdarzenie nadaje NDA realną siłę odstraszającą. W praktyce wiele firm stosuje NDA zbyt ogólne – wtedy sąd odmawia zasądzenia kary, bo zakres tajemnicy nie był dostatecznie określony.
Umowy pracownicze wymagają osobnych klauzul. Sama umowa o pracę nie chroni automatycznie tajemnicy po ustaniu stosunku pracy. Klauzula poufności powinna obowiązywać przez określony czas po rozwiązaniu umowy. Jeżeli firma oczekuje zakazu konkurencji, art. 101(2) Kodeksu pracy wymaga odrębnej umowy z odszkodowaniem przez cały okres zakazu – minimum 25% wynagrodzenia miesięcznie.
Polityki wewnętrzne muszą być rzeczywiste, nie deklaratywne. Rejestr zasobów poufnych, klasyfikacja dokumentów (np. „POUFNE" / „TYLKO DO UŻYTKU WEWNĘTRZNEGO"), procedura dostępu do systemów IT oraz szkolenia pracownicze dokumentują, że firma faktycznie chroniła informacje. Bez tych dowodów sąd może uznać, że poufność była pozorna.
- NDA z precyzyjnym zakresem i karą umowną od 50 000 PLN
- Klauzula poufności w umowie pracowniczej + odrębna umowa o zakazie konkurencji
- Rejestr zasobów poufnych z klasyfikacją dokumentów
- Techniczne środki kontroli dostępu (logi systemowe, szyfrowanie)
- Regularne szkolenia i potwierdzenia zapoznania się z polityką
Znak towarowy i patent to uzupełnienie, nie substytut tajemnicy. Zarejestrowanie znaku towarowego chroni markę, nie know-how. Patent ujawnia rozwiązanie publicznie – co kończy jego status tajemnicy. Firmy technologiczne muszą świadomie wybierać: patent (ochrona przez 20 lat, ale pełne ujawnienie) albo tajemnica przedsiębiorstwa (ochrona bezterminowa, ale ryzyko samodzielnego odkrycia przez konkurenta).
Firma IT z Małopolski wdrożyła w lecie 2024 r. kompleksowy system rejestracji dostępów do kodu źródłowego. Gdy sześć miesięcy później doszło do wycieku, logi systemowe pozwoliły precyzyjnie wskazać moment i osobę odpowiedzialną. Postępowanie karne zakończyło się ugodą w ciągu 90 dni – zamiast wieloletniego procesu cywilnego.
Aby ocenić, który instrument jest właściwy dla konkretnej sytuacji, pomocne może być zapoznanie się z zasadami obliczania opłat sądowych w polskich sporach gospodarczych – wartość przedmiotu sporu bezpośrednio wpływa na koszty ewentualnego postępowania.
Konkretna sytuacja Państwa firmy może wymagać innego zestawu instrumentów niż opisany powyżej. Brak właściwej struktury ochrony zamyka drogę do dochodzenia roszczeń – to konsekwencja nieodwracalna w momencie naruszenia.
Jeśli Państwa spółka przetwarza wrażliwe know-how i nie ma jeszcze kompletnego systemu ochrony tajemnicy – przeprowadzimy audyt, przygotujemy dokumentację i wdrożymy procedury: info@kordeckipartners.com.
Jakie błędy najczęściej pozbawiają firmę ochrony prawnej?
Najczęstszy błąd to założenie, że informacja jest chroniona, bo „wszyscy wiedzą, że jest poufna". Sądy odrzucają tę argumentację. Ochrona wymaga formalnych działań – udokumentowanych, powtarzalnych i możliwych do wykazania w postępowaniu dowodowym. W praktyce wiele firm o tym zapomina aż do chwili, gdy naruszenie już nastąpiło.
Drugi błąd to zbyt szeroki zakres NDA. Umowy, które obejmują „wszelkie informacje przekazane w trakcie współpracy", są trudne do egzekwowania. Sąd oczekuje, że strony potrafiły z góry określić, co jest tajemnicą. Precyzja zakresowa NDA koreluje wprost z szansą na uzyskanie zabezpieczenia w trybie art. 730 k.p.c. – a wniosek o zabezpieczenie można złożyć już przed wytoczeniem powództwa, jeśli roszczenie jest uprawdopodobnione.
Trzeci błąd: brak rozróżnienia między tajemnicą przedsiębiorstwa a danymi osobowymi. Firma, która narusza RODO przy okazji ochrony know-how (np. monitorując pracowników bez podstawy prawnej), naraża się na sankcje PUODO do 20 mln EUR. Środki techniczne muszą być proporcjonalne i zgodne z zasadami przetwarzania danych.
Czwarty błąd to niestosowanie procedur przy odejściu pracownika. Rozmowa pożegnalna bez protokołu zwrotu dostępów, bez potwierdzenia zobowiązań poufności i bez zablokowania kont systemowych w ciągu 24 godzin to zaproszenie do wycieku. Procedura off-boardingowa powinna być tak samo sformalizowana jak procedura wdrożenia.
Spółka z sektora finansowego z Trójmiasta, jesienią 2023 r., straciła w sporze z byłym dyrektorem sprzedaży właśnie dlatego, że nie posiadała logów dostępu do CRM. Sąd uznał, że firma nie wykazała, jakie konkretnie dane zostały pobrane. Szkoda oszacowana na ponad 800 000 PLN pozostała bez naprawienia.
Jak chronić tajemnicę przedsiębiorstwa w kontekście cross-border i nowych regulacji?
Dla zagranicznego inwestora wchodzącego na rynek polski kwestia tajemnicy przedsiębiorstwa nabiera dodatkowego wymiaru. Polska jako jurysdykcja UE stosuje dyrektywę 2016/943, ale szczegółowe środki ochrony – w tym sankcje karne i procedury dowodowe – różnią się od Niemiec, Francji czy Ukrainy. Firmy działające w modelu cross-border muszą harmonizować swoje polityki z wymogami każdej z jurysdykcji.
AI Act (Rozporządzenie UE 2024/1689), który wszedł w życie 1 sierpnia 2024 r., tworzy nowe napięcia z ochroną tajemnicy. Systemy AI wysokiego ryzyka wymagają dokumentacji technicznej dostępnej dla organów nadzoru – co może kolidować z interesem firmy w zachowaniu poufności algorytmów. Firmy wdrażające AI powinny zaplanować, które elementy dokumentacji są objęte tajemnicą, a które muszą być ujawniane. Brak tej analizy grozi albo naruszeniem AI Act, albo mimowolnym ujawnieniem know-how.
DORA (Rozporządzenie UE 2022/2554), obowiązujące od 17 stycznia 2025 r. dla podmiotów finansowych, nakłada obowiązek raportowania incydentów ICT do KNF. Incydent może dotyczyć naruszenia tajemnicy przedsiębiorstwa. Obowiązek raportowania nie zwalnia z działań ochronnych – wręcz przeciwnie, dokumentuje je. Instytucje finansowe muszą pogodzić wymogi DORA z ochroną know-how w ramach jednej polityki zarządzania ryzykiem.
Regulacja MiCA (Rozporządzenie UE 2023/1114) dotycząca kryptoaktywów również ma implikacje dla tajemnicy. Emitenci tokenów i dostawcy usług kryptoaktywów muszą ujawniać białe księgi z opisem technologii. Szczegółowe rozważania na ten temat zawiera analiza regulacji MiCA w Polsce – warto zapoznać się z nią przed budowaniem struktury ochrony dla projektów blockchain.
W transakcjach M&A tajemnica przedsiębiorstwa wymaga szczególnej uwagi w procesie due diligence. Ujawnienie informacji potencjalnemu nabywcy musi być objęte NDA z klauzulą „clean team" – ograniczającą dostęp do osób niezaangażowanych w zarządzanie operacyjne. Brak tej procedury może spowodować, że informacje ujawnione w data room staną się dostępne konkurentowi, który ostatecznie nie przejął spółki.
Lista kontrolna: co przygotować, aby tajemnica była skutecznie chroniona?
Audyt ochrony tajemnicy przedsiębiorstwa powinien obejmować pięć obszarów. Każdy z nich ma swój termin weryfikacji i osobę odpowiedzialną. Firmy, które przeprowadzają taki audyt raz na 12 miesięcy, rzadziej stają przed sądem – a jeśli już, to wygrywają.
- Rejestr zasobów poufnych – lista dokumentów, danych i procesów objętych tajemnicą, zaktualizowana co najmniej raz w roku
- Umowy NDA i klauzule pracownicze – weryfikacja zakresu, kar umownych i okresu obowiązywania; podpisane przez wszystkich pracowników z dostępem do tajemnicy
- Procedura off-boardingowa – protokół zwrotu dostępów w ciągu 24 godzin od ustania zatrudnienia, potwierdzenie zobowiązań poufności
- Techniczne środki kontroli – logi dostępu, szyfrowanie, polityka haseł, segmentacja sieci; dokumentacja przechowywana przez minimum 3 lata
- Zgodność z RODO i AI Act – analiza, które środki ochrony tajemnicy wymagają podstawy prawnej przetwarzania danych; mapa konfliktów z obowiązkami ujawniania
Decyzja o zakresie ochrony zależy od profilu firmy. Producent przemysłowy skupia się na ochronie receptur i procesów. Firma IT – na kodzie źródłowym i architekturze systemów. Podmiot finansowy – na modelach scoringowych i danych klientów. Każdy z tych przypadków wymaga innego zestawu środków i innej hierarchii ryzyk.
Konkretna sytuacja Państwa spółki może różnić się od powyższych scenariuszy. Brak aktualnego audytu oznacza, że w razie naruszenia firma nie będzie mogła wykazać, że podjęła rozsądne środki ochrony – co nieodwracalnie zamyka drogę do odszkodowania.
Jeśli Państwa spółka nie przeprowadzała audytu ochrony tajemnicy w ostatnich 12 miesiącach – zorganizujemy przegląd dokumentacji, zaktualizujemy NDA i polityki wewnętrzne oraz ocenimy zgodność z AI Act i DORA: info@kordeckipartners.com.
Często zadawane pytania
P: Czy sama umowa o pracę chroni tajemnicę przedsiębiorstwa po odejściu pracownika?
O: Nie – sama umowa o pracę nie jest wystarczająca. Ochrona po ustaniu zatrudnienia wymaga odrębnej klauzuli poufności z określonym terminem obowiązywania, zazwyczaj od 3 do 5 lat po rozwiązaniu umowy. Jeżeli firma oczekuje zakazu konkurencji, konieczna jest osobna umowa z odszkodowaniem wynoszącym co najmniej 25% wynagrodzenia miesięcznie przez cały okres zakazu. Brak tych elementów powoduje, że były pracownik może legalnie korzystać z wiedzy zdobytej w firmie.
P: Ile kosztuje postępowanie sądowe w sprawie o naruszenie tajemnicy przedsiębiorstwa?
O: Opłata sądowa wynosi 5% wartości przedmiotu sporu zgodnie z artykułem 13 ustęp 1 ustawy o kosztach sądowych w sprawach cywilnych. Przy roszczeniu o 500 000 PLN opłata wynosi 25 000 PLN. Do tego dochodzą koszty pełnomocnika, biegłych i ewentualnego zabezpieczenia. Warto rozważyć mediację lub arbitraż jako tańszą alternatywę – szczególnie gdy wartość sporu nie uzasadnia wieloletniego procesu. Szczegółowe zasady obliczania kosztów opisujemy w odrębnej analizie.
P: Czy algorytm AI może być tajemnicą przedsiębiorstwa, skoro artykuł 13 AI Act wymaga jego dokumentowania?
O: Tak – algorytm może być tajemnicą przedsiębiorstwa nawet przy obowiązkach wynikających z AI Act (Rozporządzenie Unii Europejskiej 2024/1689). Dokumentacja techniczna przekazywana organom nadzorczym podlega obowiązkowi zachowania poufności przez te organy. Firma powinna jednak z góry wyodrębnić, które elementy dokumentacji stanowią tajemnicę, i zaznaczyć to w procesie certyfikacji. Brak tej analizy może prowadzić do mimowolnego ujawnienia know-how w ramach procedur compliance.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony własności intelektualnej, tajemnicy przedsiębiorstwa i regulacji technologicznych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.