OCHRONA INFORMACJI POUFNYCH W BRANŻY IT

Na przestrzeni ostatnich kilkunastu lat informacja nabrała kluczowego znaczenia. Informacje są przechowywane, ujawniane, sprzedawane i kupowane; często bezprawne i bez zgody osób, których te informacje dotyczą. Nie raz ich ujawnienie prowadzi do tąpnięć politycznych i społecznych (jak w przypadku działalności Edwarda Snowdena i Juliana Assange albo skandalu Cambridge Analytics).

Informacje są nie tylko istotne dla wielkich korporacji, ale i najmniejszych przedsiębiorców, którym zależy, by informacje o ich działalności nie zostały upublicznione ani przekazane do jakiegokolwiek podmiotu trzeciego, a zwłaszcza konkurencji. Informacje poufne oraz zasady postępowania z nimi są szczególnie istotne w sektorze IT, wszak wielu przedsiębiorców korzysta z usług podmiotów z branży informatycznej np. w celu stworzenia dedykowanej dla usług przedsiębiorcy aplikacji, zaprojektowania strony internetowej czy instalacji i obsługi systemów informatycznych w siedzibie firmy. Tak więc specjaliści IT w swojej pracy często spotykają się z informacjami poufnymi innego przedsiębiorcy. Kluczowym jest więc również zabezpieczenie informacji poufnych klienta a kompromitacja w tym obszarze oznaczać może całkowitą utratę wiarygodności, dotkliwe kary i wyeliminowanie z rynku.

Czym właściwe jest informacja poufna?

Definicja informacji poufnej

Polskie prawo na tę chwilę nie definiuje pojęcia „informacji poufnej” (kiedyś taką definicje zawierała ustawa o obrocie instrumentami finansowymi, ale ta definicja była skrojona na miarę tylko tej ustawy). W praktyce gospodarczej firmy definiując informacje poufne posługują się pomocniczo pojęciem tajemnicy przedsiębiorstwa. Zgodnie z art. 11 ust. 2 ustawy o zwalczaniu nieuczciwej konkurencji przez tajemnicę przedsiębiorstwa rozumie się informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, które jako całość lub w szczególnym zestawieniu i zbiorze ich elementów nie są powszechnie znane osobom zwykle zajmującym się tym rodzajem informacji albo nie są łatwo dostępne dla takich osób, o ile uprawniony do korzystania z informacji lub rozporządzania nimi podjął, przy zachowaniu należytej staranności, działania w celu utrzymania ich w poufności.

A zatem informacje poufne w umowach często definiuje się jako informacje, dokumenty czy inne materiały przekazane drugiej stronie umowy w związku z jej zawarciem, których udostępnienie podmiotom nieuprawnionym prowadziłoby do ujawnienia tajemnicy przedsiębiorstwa. Ostatecznie jednak, to do stron umowy należy sprecyzowanie czym jest według nich informacja poufna.

Zabezpieczenie przed bezprawnym ujawnieniem informacji poufnych

Umowa gra „pierwsze skrzypce”, jeżeli chodzi o ochronę informacji poufnych. Postanowienia umowne dotyczące tych informacji mogą znaleźć się bezpośrednio w umowie regulującej podstawowy stosunek pomiędzy podmiotami (np. w umowie B2B zawartej pomiędzy software developerem a software housem), ale i w odrębnej umowie, zwanej umową o zachowanie poufności (tzw. non-disclosure agreement, NDA). Zasadniczo w takich umowach strona silniejsza umieszcza mnóstwo postanowień stanowiących o obowiązkach strony słabszej, które musi ona przestrzegać, pod rygorem nałożenia na nią kary umownej, najczęściej w znacznej wysokości. Co istotne, obowiązek zachowania w tajemnicy informacji poufnych może zostać nałożony na czas nieokreślony, przy formułowaniu czasu obowiązywania tego obowiązku należy być jednak ostrożnym – tak by druga strona umowy nie mogła go nam bezproblemowo wypowiedzieć.

Powyższe zasady są charakterystyczne w ramach umów B2B. A co ze stosunkiem pracy?

W stosunku pracy obowiązek zachowania tajemnicy jest nakładany automatycznie, ponieważ zgodnie z kodeksem pracy pracownik obowiązany jest w szczególności zachować w tajemnicy informacje, których ujawnienie mogłoby narazić pracodawcę na szkodę oraz przestrzegać tajemnicy określonej w odrębnych przepisach (art. 100 § 2 pkt 4 i 5 kodeksu pracy). Czy to oznacza, że nie można zawrzeć odrębnej umowy NDA? Bynajmniej, umowę NDA można zawrzeć bez żadnych przeszkód, a będzie ona po prostu precyzowała obowiązki zachowania poufności pracownika. Pamiętać jednak należy, że pracownik jest podmiotem szczególnie chronionym, więc żaden przepis takiej umowy nie może być dla niego mniej korzystny, niż postanowienia kodeksu pracy.

Sankcje

W odniesieniu do informacji poufnych stanowiących tajemnicę przedsiębiorstwa możemy mówić o różnych sankcjach:

  • już z samej ustawy o zwalczaniu nieuczciwej konkurencji wprost wynika, że „czynem nieuczciwej konkurencji jest ujawnienie, wykorzystanie lub pozyskanie cudzych informacji stanowiących tajemnicę przedsiębiorstwa”. Pod zakres zastosowania tego przepisu należy włączyć osoby (podmioty), które zostały wyraźnie bądź poprzez określone okoliczności zobowiązane do zachowania danych informacji w poufności lub które wiedzą, że są w posiadaniu takich informacji wbrew woli uprawnionego. Co grozi w przypadku popełnienia czynu nieuczciwej konkurencji? Zgodnie z tą ustawą przedsiębiorca, którego interes został zagrożony lub naruszony, może żądać m.in. zaniechania niedozwolonych działań, usunięcia skutków niedozwolonych działań, naprawienia wyrządzonej szkody, na zasadach ogólnych, ale również zapłaty wynagrodzenia w wysokości nie wyższej niż wynagrodzenie, które w chwili jego dochodzenia byłoby należne tytułem udzielenia przez uprawnionego zgody na korzystanie z informacji, przez czas nie dłuższy niż do ustania stanu tajemnicy po spełnieniu warunków wskazanych w ustawie;

  • sankcje umowne – jak było wcześniej wspomniane, strony mogą wzajemnie zobowiązać się do zachowania informacji poufnych w tajemnicy pod rygorem nałożenia kary umownej. Kara umowna może być określona w dowolnej wysokości, natomiast podczas procesu o jej zapłatę zobowiązany może wnioskować do sądu o jej obniżenie, gdy jest niewspółmiernie wysoka; pamiętajmy również, że możliwość stosowania kar umownych jest dalece ograniczona w stosunku do pracowników;

  • sankcje z kodeksu pracy – przewidziane dla pracownika. W przypadku naruszenia swoich obowiązków pracowniczych przez pracownika, pracodawca ma prawo uruchomić procedurę ukarania pracownika, w tym wypowiedzieć umowę bez zachowania terminu wypowiedzenia ze względu na ciężkie naruszenie podstawowych obowiązków pracowniczych (np. gdy dyskrecja jest „wpisana” w charakter stanowiska), ale też może żądać od niego odszkodowania w granicach wyznaczonych kodeksem pracy;

  • sankcje karne – ujawnienie informacji poufnych jest przestępstwem. Zgodnie z art. 266 par. 1 kodeksu karnego „kto, wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu, ujawnia lub wykorzystuje informację, z którą zapoznał się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Kara może być wymierzona nie tylko, gdy naruszona zostaje ustawa, ale i umowa. Ponadto, zgodnie z art. 23 ustawy o zwalczaniu nieuczciwej konkurencji, kto, wbrew ciążącemu na nim obowiązkowi w stosunku do przedsiębiorcy, ujawnia innej osobie lub wykorzystuje we własnej działalności gospodarczej informacje stanowiące tajemnicę przedsiębiorstwa, jeżeli wyrządza to poważną szkodę przedsiębiorcy, podlega grzywnie, karze ograniczenia wolności albo karze pozbawienia wolności do lat 2. Tej samej karze podlega, kto, uzyskawszy bezprawnie informację stanowiącą tajemnicę przedsiębiorstwa, ujawnia ją innej osobie lub wykorzystuje we własnej działalności gospodarczej.

Nasuwa się wniosek, że ochrona informacji poufnych jest kwestią kluczową dla niemal każdego przedsiębiorcy działającego w branży IT. By ochrona ta była skuteczna, przedsiębiorca powinien wprowadzić szereg mechanizmów zabezpieczających o charakterze nie tylko technicznym (w czym branża IT często przoduje), jak i o charakterze organizacyjnym (w czym czasem dostrzec można istotne braki). Chodzi tu o odpowiednie procedury postępowania oraz dokumentację umowną, które mają zmitygować ryzyko wystąpienia naruszenia informacji poufnych.

Wpisy powiązane:

Praca zdalna w branży IT

Outsourcing personelu IT

Workation w branży IT a wymogi prawne

Obsługa prawna w IT - podstawowe zadania

Rekrutacja w IT - dane osobowe

Data publikacji: 12.08.2021.