Non-disclosure agreement (NDA). Czyli co powinna zawierać dobra umowa o poufności

Zabezpieczenie informacji, które mają istotne znaczenie dla działania i dalszej przyszłości firmy, jest jedną z fundamentalnych podstaw prowadzenia biznesu. Najczęściej są to informacje handlowe, finansowe, plany i strategie rozwoju firmy, bazy danych klientów i kontrahentów, informacje o produktach i usługach oraz wypracowany w tym zakresie know-how.

Informacje te powinny zostać zachowane w poufności nie tylko przez pracowników, ale również przez kontrahentów oraz klientów, którym są one przekazywane w ramach nawiązanej współpracy (np. podczas negocjacji) i w trakcie jej trwania.

Zapisy dotyczące ustawowej ochrony tajemnicy przedsiębiorstwa nie są jednak zbyt rozbudowane i nie przyznają przedsiębiorcom odpowiednich roszczeń. To znaczy takich, które w praktyce mogłyby rzeczywiście naprawić szkodę wyrządzoną przez ujawnienie tajemnicy oraz być jednocześnie odpowiednim środkiem represyjnym dla konkurenta lub pracownika naruszającego tę tajemnicę.

Dlatego, w obrocie powszechne jest stosowanie odrębnych, pisemnych umów, zabezpieczających informacje, które mają zostać utrzymane w poufności (tzw. non-disclosure agreement – NDA).

Dobrze skonstruowana umowa powinna zawierać kilka elementów, które będą skutecznie zabezpieczać interesy przedsiębiorcy.

Właściwe określenie informacji uznawanych za poufne

W umowach często można spotkać zapisy sformułowane w taki sposób, że wszystko lub prawie wszystko jest uznawane za tajemnicę przedsiębiorstwa i objęte obowiązkiem poufności. Jednakże takie ujęcie zakresu informacji poufnych nie będzie dobrze zabezpieczało interesów przedsiębiorcy i może znacznie utrudnić wykazanie naruszenia tajemnicy. Osoba zobowiązana  do zachowania poufności musi bowiem wiedzieć, co konkretnie jest informacją poufną, żeby mogła przestrzegać umowy.

Dlatego nie należy wyłącznie ogólnie wskazać na informacje techniczne, technologiczne, finansowe i organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą. W umowie powinno zostać określone, jakie konkretnie informacje i dane są uważane za objęte poufnością. Przykładowo mogą to być bazy danych, w tym osobowych, klientów i kontrahentów firmy, ale również informacje przez nich przekazywane w ramach współpracy stron. Istotne jest również wskazanie, że poufnością są objęte dane dotyczące produktów i usług firmy np. receptury czy specyfikacje techniczne konkretnych produktów. W tym zakresie w zależności od konkretnego przypadku można wymienić m.in. specyfikacje konkretnych produktów i usług, receptury oraz dokumentację projektową.

Ważne jest, aby zakres informacji poufnych był jak najbardziej precyzyjny, a osoba zobowiązana bez żadnych wątpliwości wiedziała, jakie informacje są objęte tajemnicą.

Należyte standardy ochrony informacji poufnych

W umowach o poufności znajdują się zapisy, określające obowiązek wykorzystywania informacji poufnych wyłącznie w związku z umową oraz w celu wykonywania czynności nią objętych lub obowiązków przez nią nałożonych. Takie standardowe zapisy są jednakże niejednokrotnie niewystarczające. W umowach warto określić również należyte standardy ochrony informacji poufnych, które nie będą tylko w minimalny sposób zabezpieczać wartościowe dla przedsiębiorcy informacje, ale pozwolą również na stwierdzenie, że informacje poufne są chronione z zachowaniem należytej staranności. W umowie powinny się zatem znaleźć takie postanowienia, które w szczególności będą opisywać postępowanie z dokumentami, czy elektronicznymi nośnikami danych po zakończeniu współpracy. Zobowiązany powinien także usunąć pozostałe przekazane mu dane, którymi dysponuje, chyba że ich dalsze przetwarzanie jest niezbędne np. w związku z obowiązkiem nałożonym przez prawo.

W większych firmach zasadne może się okazać bardziej szczegółowe określenie zasad przetwarzania informacji poufnych przez konkretne osoby lub departamenty. Istotne jest wskazanie, którym współpracownikom, działom lub klientom mogą zostać przekazane poszczególne informacje poufne lub gdzie powinny one zostać umieszczone w trakcie ich przetwarzania. Powinno to być miejsce, do którego został przydzielony ograniczony dostęp. Jeżeli bowiem daną informacją dysponują wszyscy, to trudno jest twierdzić, że jest ona informacją poufną, względem której przedsiębiorca podjął należyte środki mające na celu zachowanie jej w tajemnicy. Wiąże się to również z możliwością późniejszego wykazania, jakie działanie zobowiązanego stanowi naruszenie umowy, o czym szerzej w dalszej części artykułu.

Zdefiniowanie naruszenia zobowiązania o poufności

Umowa powinna jasno i precyzyjnie określać, jakie działania względem informacji poufnych są na jej mocy niedopuszczalne. Zgodnie z regulacją ustawową będzie to bezprawne ujawnienie, wykorzystanie lub pozyskanie informacji stanowiących tajemnicę przedsiębiorstwa. Ustawa o zwalczaniu nieuczciwej konkurencji wyjaśnia co prawda, kiedy takie działanie zobowiązanego stanowi czyn niedozwolony, nie wyjaśnia jednakże samych pojęć w sposób precyzyjny. W związku z tym "ujawnianie", "wykorzystywanie" lub "pozyskiwanie" może być różnie interpretowane, gdyż postanowienia ustawy zawierają tylko przykładowy katalog naruszeń.

Dobra umowa powinna zatem zawierać doprecyzowanie tych pojęć w taki sposób, aby w przypadku ewentualnego sporu osoba, która naruszyła postanowienia umowy nie mogła w nieuzasadniony sposób wykazywać, że jej działanie nie stanowiło w konkretnych okolicznościach np. ujawnienia tajemnicy. Tak się może zdarzyć między innymi wtedy, kiedy informacja została przekazana zgodnie z umową o poufności, w związku z wykonywaniem przez zobowiązanego obowiązków nałożonych przez umowę o współpracy. Jednocześnie zapisy umowy o poufności nie regulowały szczegółowo, kiedy mamy do czynienia z przekazaniem informacji poufnych w zgodzie z tą umową i na jej podstawie, a kiedy dochodzi do ujawnienia tajemnicy, co już stanowi naruszenie umowy. Odpowiednie zdefiniowanie tych pojęć może nastąpić również poprzez wskazanie komu i w jakim celu informacje te mogą być przekazywane, czyli np. wyłącznie tym kontrahentom, z którymi uprzednio zawarto umowy zobowiązujące do poufności. W przeciwnym wypadku, takiej osobie nie będzie można zarzucić, że bezprawnie ujawniła informacje poufne, skoro umowa pozwala jej bez żadnych ograniczeń na przekazanie tajemnicy innym podmiotom, jeżeli tylko ma to na celu wypełnienia przez tę osobę obowiązków wskazanych w umowie o współpracy.

Dodatkowo przykładowy katalog naruszeń również jest nieprecyzyjny. Zgodnie bowiem z ustawą o zwalczaniu nieuczciwej konkurencji, bezprawne pozyskanie informacji następuje w szczególności wtedy, kiedy wynika z nieuprawnionego dostępu. W takim przypadku umowa o poufności powinna dokładnie wyjaśniać, co jest przez niego rozumiane. Zwrot nieuprawniony dostęp jest bowiem szerokim pojęciem opisującym okoliczność faktyczną, obejmującą nie tylko skutki wskazane już w ustawie jak przywłaszczenie czy bezprawne skopiowanie, ale również wiele innych sytuacji. Wykazanie naruszenia będzie zatem łatwiejsze, jeżeli zostanie ono opisane w umowie. Strona zobowiązana godzi się bowiem poprzez podpisanie umowy, na takie, a nie inne rozumienie tego nieostrego określenia.

Czas trwania zobowiązania do poufności

Obowiązek poufności powinien obowiązywać nie tylko w czasie trwania umowy głównej (tj. umowy o współpracy, czy zatrudnienia), ale również zostać rozszerzony na czas po jej rozwiązaniu lub wygaśnięciu.

W związku ze zmianami jakie wprowadziła dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/943 z dnia 8 czerwca 2016 r. w sprawie ochrony niejawnego know-how i niejawnych informacji handlowych (tajemnic przedsiębiorstwa) przed ich bezprawnym pozyskiwaniem, wykorzystywaniem i ujawnianiem oraz jej implementacja do polskiej ustawy o zwalczaniu nieuczciwej konkurencji, pracownika nie obowiązuje już ustawowo wskazany okres 3 lat od ustania stosunku pracy do zachowania w poufności informacji stanowiących tajemnicę przedsiębiorstwa. W wyniku nie do końca fortunnej implementacji, usunięto bowiem cały przepis określający ten obowiązek, a nie tylko ograniczenie czasowe, co było celem zmiany. Warto o tym pamiętać i zrewidować zawarte z pracownikami umowy o poufności pod kątem wskazania okresu obowiązywania postanowień umowy o poufności także po ustaniu stosunku pracy.

Należy również pamiętać, że okres ten nie powinien być wpisany w umowie jako czas nieokreślony lub nieoznaczony. Istnieją bowiem poglądy, że taką umowę można wypowiedzieć w każdej chwili, a to na pewno nie jest korzystne dla żadnego przedsiębiorcy. Dlatego najlepiej wskazać w umowie określony czas, przez który tajemnica ma być chroniona. Korzystne jest również zastrzeżenie możliwości przedłużenia tego okresu po jego upływie.

Skutki naruszenia zobowiązania do poufności

Postanowienia określające skutki naruszenia zobowiązania do poufności pozwalają realnie zabezpieczyć interesy przedsiębiorcy. Wprowadzenie do umowy kary lub kar umownych za naruszenie obowiązków umowy, obliguje przedsiębiorcę jedynie do wykazania, że doszło do naruszenia umowy bez konieczności udowodnienia, że została poniesiona szkoda. W znaczący sposób ułatwia to dochodzenie roszczeń od zobowiązanego do zachowania informacji poufnych w tajemnicy. Aby móc jednak dochodzić odszkodowania przewyższającego karę umowną w przypadku, gdy jej wysokość jest niewystarczająca na pokrycie szkody, należy dodatkowo zastrzec w umowie taką możliwość.

Drugim skutkiem naruszenia, jaki powinna zastrzegać umowa, jest możliwość natychmiastowego rozwiązania przez przedsiębiorcę umowy głównej, tj. umowy o współpracy lub zatrudnienia. Umożliwi to szybkie zakończenie współpracy z osobą, która bezprawnie wykorzystuje lub przekazuje cenne informacje o firmie. Ma to również szczególne znaczenie przy naruszeniu obowiązku poufności w zakresie danych osobowych. Obecne uregulowania nakładają bowiem na przedsiębiorcę istotne obowiązki w odniesieniu do ich ochrony.

Precyzyjne wskazanie wyłączeń

Umowa o poufności nie będzie obowiązywać w każdym przypadku. Jest tak między innymi w sytuacji, kiedy informacja staje się powszechnie znana, pomimo braku naruszenia umowy przez zobowiązanego. Z tego względu, że nie jest już informacją poufną, nie może być objęta tajemnicą przedsiębiorstwa.

W praktyce zobowiązany może zostać zobligowany do ujawnienia informacji poufnych, jeżeli jest to wymagane przez obowiązujące przepisy prawa oraz taki obowiązek zostanie nałożony przez prawomocne orzeczenie sądu, wiążącą decyzję organu administracji publicznej lub innego podmiotu publicznego. W związku z powyższym warto w umowie zastrzec, że w takim przypadku przedsiębiorca powinien być uprzednio poinformowany o tej okoliczności, móc uczestniczyć w charakterze opiniodawczym w ewentualnej korespondencji zobowiązanego z sądem lub innym organem, a informacje poufne mogą być ujawnione przez zobowiązanego tylko w niezbędnym zakresie i oznaczone jako objęte tajemnicą przedsiębiorstwa.

Zmiany wprowadzone przez tzw. dyrektywę know-how

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/943 z dnia 8 czerwca 2016 r. w sprawie ochrony niejawnego know-how i niejawnych informacji handlowych (tajemnic przedsiębiorstwa) przed ich bezprawnym pozyskiwaniem, wykorzystywaniem i ujawnianiem zgodnie z jej nazwą ustanawia przepisy dotyczące ochrony przed bezprawnym pozyskiwaniem, wykorzysty­waniem i ujawnianiem tajemnic przedsiębiorstwa. Celem zmian było wprowadzenie w Unii Europejskiej wspólnego, minimalnego poziomu ochrony tajemnicy przedsiębiorstwa. Jednakże w Polsce może to być mniej odczuwalne, z uwagi na to, że w naszym kraju przepisy już określały ten poziom ochrony dosyć wysoko.

Wszystkie państwa członkowskie są zobowiązane do implementacji dyrektywy. Mogą też przyjąć dalej idącą ochronę, niż wymagana w dyrektywie. W kontekście umów o poufności, przepisy dyrektywy wprowadzają nową definicję tajemnicy przedsiębiorstwa, nowe roszczenia i wyjątki od naruszenia tajemnicy przedsiębiorstwa. Istotny jest jednak sposób implementacji tych zapisów do polskiego porządku prawnego, w szczególności ustawy o zwalczaniu nieuczciwej konkurencji z dnia 16 kwietnia 1993 r.

Nowa definicja tajemnicy przedsiębiorstwa

Jedną z istotniejszych kwestii, na którą warto zwrócić uwagę, jest zmiana numeracji ustępu, który dotychczas zawierał definicję tajemnicy przedsiębiorstwa. Jeszcze do niedawna definicja ta była sformułowana w art. 11 ust. 4 ustawy, jednakże nowelizacja ustawy, będąca wynikiem implementacji dyrektywy wprowadziła zmienioną definicję do art. 11 ust. 2. Dla części już obowiązujących umów o poufności zmiana ta może być kluczowa. Nie tak rzadko bowiem zdarza się, że umowy zawierają wskazanie, iż informacjami poufnymi są informacje określone w art. 11. ust. 4, który teraz odnosi się do sposobu wykorzystania lub ujawnienia tych informacji, a nie ich definicji. 

Może się zatem okazać, iż w dotychczasowej umowie brak jest podstawowej definicji pozwalającej stwierdzić, jakie właściwie informacje podlegają ochronie. Jeżeli umowa odnosi się zatem dalej do definicji tajemnicy przedsiębiorstwa zawartej w art. 11 ust. 4 ustawy, to umowa w tym zakresie powinna zostać aneksowana.

Dodatkowo warto zauważyć, że obecnie przedsiębiorca powinien dochować należytej staranności przy podejmowaniu działań w celu zachowania informacji w tajemnicy. Nie są to już niezbędne działania czy minimalne standardy ochrony, które dotychczas były wystarczające. Zmiana oznacza wyższy poziom ochrony informacji oznaczonych jako poufne.

Katalog działań niestanowiących naruszenia tajemnicy przedsiębiorstwa

Dyrektywa wprowadziła również nowy opis czynu nieuczciwej konkurencji (czynu niedozwolonego) w zakresie naruszenia tajemnicy przedsiębiorstwa. Znowelizowana na jej podstawie ustawa nie tylko określa, na czym przykładowo polega pozyskanie oraz wykorzystanie i ujawnienie informacji stanowiących tajemnice przedsiębiorstwa, ale również wyjaśnia, co takim czynem nie jest.

Nie jest zatem bezprawnym, takie pozyskanie informacji niejawnych, które nastąpiło w wyniku inżynierii odwrotnej, czyli nabycia cudzych tajemnic przedsiębiorstwa poprzez obserwację, badanie, rozłożenie na części lub testowanie cudzego produktu, który był dostępny publicznie lub został zgodnie z prawem nabyty przez osobę dokonującą tych czynności, a uprawnienie osoby pozyskującej w ten sposób informację poufną nie powinno być w chwili pozyskania ograniczone.

O nieuprawionym ujawnieniu, wykorzystaniu lub pozyskaniu nie możemy również mówić wtedy, kiedy nastąpiło w jednym z następujących celów:

1. ochrony uzasadnionego interesu chronionego prawem,
2. w ramach korzystania ze swobody wypowiedzi,
3. w celu ujawnienia nieprawidłowości, uchybienia lub działania z naruszeniem prawa dla ochrony interesu publicznego,
4. gdy ujawnienie informacji stanowiących tajemnicę przedsiębiorstwa wobec przedstawicieli pracowników w związku z pełnieniem przez nich funkcji na podstawie przepisów prawa było niezbędne dla prawidłowego wykonywania tych funkcji.

Usunięcie 3-letniego okresu przestrzegania tajemnicy przedsiębiorstwa w relacjach z pracownikami

Wskazana zmiana jest istotna z dwóch względów. Jeden z nich został szczegółowo opisany wcześniej i ma następujące konsekwencje. W przypadku braku określenia w umowie z pracownikiem czasu trwania zobowiązania do poufności po jej ustaniu, informacje poufne nie będą już chronione w okresie po wypowiedzeniu lub rozwiązaniu umowy. Taki okres należy zatem zastrzec w umowie, w przypadku jego braku.

Natomiast drugi polega na tym, że usunięcie z ustawy ograniczenia czasowego umożliwia w umowie o poufności wydłużenie okresu zobowiązania pracownika do poufności ponad dotychczas stosowane 3 lata. Oznacza to, że pracodawca w umowie z pracownikiem może chronić tajemnice przedsiębiorstwa przez dowolnie określony czas, co przed omawianą zmianą nie było możliwe.

Check-lista dobrej umowy o poufności

Każdy przedsiębiorca, który chce w pełni zabezpieczyć swoje interesy, powinien przeanalizować, czy stosowany przez niego wzór umowy o poufności zawiera następujące elementy:

1. dokładne określenie i wymienienie informacji, jakie są przetwarzane w przedsiębiorstwie i uważane za szczególnie poufne;
2. określenie, w jaki sposób informacje poufne mają być chronione przez osoby, które zostały zobowiązane do poufności; inne szczegółowe procedury mogą bowiem dotyczyć pracowników, inne klientów czy kontrahentów, ale należyte i już nie minimalne standardy ochrony informacji poufnych powinny być zawsze takie same;
3. doprecyzowanie, jakie działania osoby zobowiązanej będą stanowić naruszenie informacji poufnych, tj. komu, kiedy i w jaki sposób takie informacje mogą być przekazywane;
4. określenie, że zobowiązanie do poufności trwa zarówno podczas obowiązywania umowy o pracę/współpracy/zlecenia, jak również po jej ustaniu przez określony czas wskazany w umowie o poufności oraz została przewidziana możliwość przedłużenia tego okresu;
5. skutki naruszenia zobowiązania do poufności, takie jak kary umowne, czy możliwość rozwiązania umowy o pracę/współpracy/zlecenia w sytuacji, gdy obowiązek poufności zostanie naruszony;
6. prawidłowe odniesienie do definicji tajemnicy przedsiębiorstwa w przypadku, gdy umowa odsyła do konkretnego artykułu ustawy o zwalczaniu nieuczciwej konkurencji.

Patrycja Bądek

radca prawny, partner w J. Mlekodaj P. Bądek Kancelaria Radców Prawnych z siedzibą w Krakowie, prowadzi bloga www.legalnyprzedsiebiorca.pl

Artykuł pochodzi z Biuletynu Euro Info 3/2019