Skip to main content

Z umową o zachowaniu poufności (NDA) spotkał się chyba każdy kto prowadzi swoją firmę, czy to jako freelancer czy też zarządzający większym zespołem ludzi. Na porządku dziennym jest podpisywanie tego typu porozumienia jeszcze przed rozpoczęciem właściwej współpracy lub negocjacji ją poprzedzających. To właśnie na początkowym etapie każdej współpracy strony najczęściej przekazują sobie wrażliwe informacje, które stanowić mogą tajemnicę przedsiębiorstwa.

Łukasz Kulicki
Łukasz Kulicki

Radca prawny w Kancelarii After Legal

IT Lawyer SaaS Lawyer GDPR Expert
LinkedIn

W branży software house'ów umowa NDA pełni szczególnie istotną rolę jako fundament zaufania, który umożliwia bezpieczną wymianę kluczowych danych technicznych. Bez odpowiednio skonstruowanej umowy NDA, przedsiębiorstwa byłyby znacznie mniej skłonne do angażowania się w dyskusje z potencjalnymi partnerami czy klientami, co hamowałoby niezbędną współpracę i procesy rozwoju oprogramowania.

Artykuł jest częścią serii dotyczącej umowy wdrożeniowej, poniżej znajdziesz odnośniki do pozostałych wpisów. Jeśli, któryś z artykułów nie jest jeszcze podlinkowany, oznacza to, że wpis dotyczący tego zagadnienia pojawi się na blogu w najbliższej przyszłości.

Umowa o zachowaniu poufności (NDA) – sprawdź nasz wzór umowy!

Umowa o zachowaniu poufności stała się do tego stopnia codziennością, że często podpisywana jest nawet w sytuacji gdy żadne informacje poufne nie są przekazywane. Mam wrażenie jednak, że dzięki temu strony czują się bezpieczniej.

Istnieje pokusa aby korzystać z szablonów NDA dostępnych w Internecie. Moim zdaniem nie ma w tym nic złego. Trzeba się jednak najpierw upewnić, że dany wzór rzeczywiście będzie uwzględniał specyfikę projektów IT. Przykładowo NDA powinna chronić kluczowe aktywa, takie jak kod źródłowy. W przypadku NDA w branży IT nierzadko spotyka się także klauzule dotyczące zakazu zatrudniania pracowników drugiej strony.  

Nie wnikając jednak w samą zasadność podpisywania tego rodzaju umowy w każdej możliwej sytuacji (bo o tym można napisać oddzielny artykuł), warto wiedzieć z czego tak naprawdę składa się umowa o zachowaniu poufności czy też sama klauzula dotycząca poufności w treści danej umowy np. umowy wdrożeniowej.

Zamów wzór umowy NDA o zachowaniu poufności!

  • Umowa NDA o zachowaniu poufności [PL/EN]
    Wybierz opcje Ten produkt ma wiele wariantów. Opcje można wybrać na stronie produktu Quick View

    Umowa NDA o zachowaniu poufności [PL/EN]

    149,00 249,00  (z VAT)

Jakie elementy powinna zawierać umowa NDA?

Każda umowa o zachowaniu poufności odpowiada tak naprawdę na pięć kwestii:

  1. kto?
  2. w jakim okresie?
  3. w jakim zakresie?
  4. pod zagrożeniem jakiej sankcji?
  5. będzie zobowiązany do zachowania poufności.

W kontekście polskiego prawa, skuteczna umowa NDA musi spełniać dodatkowe wymogi formalne. Przede wszystkim powinna być zawarta w formie pisemnej lub przynajmniej dokumentowej, co ułatwia udowodnienie jej treści w przypadku sporów. Polskie sądy przyjmują rygorystyczne podejście do definicji informacji poufnych, dlatego precyzja sformułowań jest kluczowa dla egzekwowalności umowy.

Elementy umowy NDA

Kto?

Odpowiedź na pierwszy punkt jest dosyć prosta.

Umowę o zachowaniu poufności mogą być albo jednostronne albo dwustronne.

W przypadku umowy jednostronnej tylko jedna ze stron tj. strona otrzymująca informacje poufne będzie zobowiązana do zachowania poufności. Sytuacja taka może zdarzyć się w przypadku każdego projektu programistycznego, w którym to zazwyczaj zamawiający przekazuje wykonawcy informacje poufne o swoim przedsiębiorstwie. 

Jednak w branży software developmentu umowy dwustronne (mutual NDA) są zdecydowanie preferowane. Wynika to z faktu, że zarówno klient przekazuje specyfikację projektu i dane biznesowe, jak i software house dzieli się własnym know-how, metodologiami pracy czy zastrzeżonymi narzędziami. Wybór niewłaściwego typu umowy może prowadzić do sytuacji, gdzie software house podpisując jednostronne NDA, pozostawia własne wartościowe informacje bez ochrony prawnej.

Jak nietrudno się domyślić w przypadku dwustronnej umowy o zachowaniu poufności obie strony będą zobowiązane do jej zachowania. Wynika to z tego że obie strony będą zarówno stronami otrzymującym informacje poufne jak i stronami ujawniającymi tego typu informacje.

Kluczowe jest również precyzyjne wskazanie, że zobowiązania poufności obejmują wszystkich, którzy mają dostęp do wrażliwych danych. W software house’ach dotyczy to nie tylko bezpośrednich kontrahentów, ale także członków zespołu deweloperskiego – scrum masterów, programistów, testerów czy projektantów UX/UI. Skuteczność NDA zależy od tego, czy wszyscy zaangażowani pracownicy i podwykonawcy są świadomi swoich obowiązków i są nimi związani poprzez odpowiednie klauzule w umowach o pracę czy kontraktach B2B.

W jakim okresie?

Umowy o zachowaniu poufności są najczęściej umowami terminowymi. Podpisywane są na okres trwania danego projektu (umowy) oraz na kilka lat po jego zakończeniu. Możesz więc spotkać się na rynku z różnymi okresami obowiązywania tego typu umów. Standard rynkowy nie przekracza pięciu lat po zakończeniu projektu czy obowiązywania danej umowy.

W projektach IT najczęściej spotykane są okresy od 2 do 5 lat po zakończeniu współpracy. Warto jednak pamiętać, że dla tajemnic handlowych o długotrwałej wartości, takich jak unikalne algorytmy czy architektury systemów, można rozważyć ochronę bezterminową. Należy jednak mieć świadomość, że bezterminowa ochrona wymaga ciągłego podejmowania przez stronę ujawniającą „rozsądnych środków” w celu utrzymania informacji w tajemnicy – jeśli software house zaniedba kontrole dostępu czy szkolenia pracowników, informacja może utracić status tajemnicy handlowej niezależnie od zapisów umowy.

W jakim zakresie?

Każda umowa o zachowaniu poufności powinna określać kategorii informacji które przez strony mają być traktowane jako informacje poufne i co do których należy zachować należyte środki bezpieczeństwa w celu zachowania ich w tajemnicy. Czym są więc informacje poufne?

 Poprzez informacje poufne można rozumieć:

  1. wszelkie kategorie danych wprost wskazanych w umowie o zachowaniu poufności,
  2. dane co do których ujawniający podjął odpowiednie działania zabezpieczające przed ujawnieniem,
  3. dane oznaczone przez stronę w trakcie współpracy jako poufne (np. poprzez znak wodny na dokumencie elektronicznym lub poprzez informację w wiadomości mailowej),
  4. dane mogące stanowić tajemnicę przedsiębiorstwa.

​​W kontekście software house’ów, definicja informacji poufnych powinna obejmować szerokie spektrum danych technicznych i biznesowych. Do najważniejszych należą: kod źródłowy i obiektowy, dokumentacja techniczna (specyfikacje projektowe, diagramy architektury, dokumentacja API), dane klientów włączając dane osobowe podlegające ochronie RODO, strategie biznesowe i plany produktów, dane finansowe i plany marketingowe, prototypy i wynalazki, metody programowania i procesy, specyfikacje sprzętu i oprogramowania, a także wszelkie know-how stanowiące przewagę konkurencyjną.

Kluczem do stworzenia solidnej definicji jest znalezienie równowagi między szerokością a szczegółowością. Zbyt szerokie sformułowania, takie jak „wszystkie informacje biznesowe”, mogą zostać uznane przez polskie sądy za nieuzasadnione i nieegzekwowalne. Z kolei zbyt wąska definicja może pominąć istotne informacje wymagające ochrony. Praktycznym rozwiązaniem jest stosowanie szerokich kategorii uzupełnionych konkretnymi przykładami oraz dodanie klauzuli „catch-all”, która chroni wszelkie informacje rozsądnie uznawane za poufne.

Wśród wszystkich powyższych najlepiej zdefiniowana jest tajemnica przedsiębiorstwa. Dokładną definicję możesz odnaleźć w art. 11 ustawy o zwalczaniu nieuczciwej konkurencji. Zgodnie z nim poprzez tajemnicę przedsiębiorstwa należy rozumieć nie ujawnione do wiadomości publicznej, informacje techniczne, technologiczne i organizacyjne przedsiębiorstwa, lub inne posiadające wartość gospodarczą dla przedsiębiorstwa, co do których podjęto niezbędne działania w celu zachowania poufności.

Co ważne, wszystkie te elementy powinny być spełnione łącznie aby można było mówić że dana informacja stanowi tajemnicę przedsiębiorstwa. W sytuacji, w której dana informacja stanowi dla ciebie informację poufną no ale nie podjąłeś stosownych działań aby ją zabezpieczyć nie będziesz mógł skorzystać z ochrony przewidzianej przez ustawę o zwalczaniu nieuczciwej konkurencji.

Standard „rozsądnych środków” bezpieczeństwa w polskim prawie oznacza, że software house musi stosować zabezpieczenia nie mniej rygorystyczne niż te, które stosuje do ochrony własnych podobnych informacji. W praktyce oznacza to konieczność wdrożenia odpowiednich protokołów bezpieczeństwa IT, takich jak kontrola dostępu oparta na zasadzie „need-to-know”, uwierzytelnianie wieloskładnikowe, szyfrowanie danych czy regularne audyty bezpieczeństwa. Słabe wewnętrzne praktyki mogą utrudnić udowodnienie spełnienia tego standardu nawet przy braku celowego naruszenia.

Umowy o zachowaniu poufności można wskazać także inne informacje, które przedsiębiorca uważa za poufne, a które nie stanowią wprost tajemnicy przedsiębiorstwa. Dla każdego przedsiębiorcy inny element może mieć wartość gospodarczą.

Definiując informacje poufne warto także wskazać w jakim celu te informacje mogą być przez drugą stronę wykorzystywane. Najczęstszym i najprostszym rozwiązaniem jest powiązanie możliwości wykorzystania informacji poufnych z innym głównym stosunkiem prawnym który łączy strony np. z realizacją projektu IT.

Ograniczenie celu wykorzystania informacji jest jednym z kluczowych obowiązków strony otrzymującej. Określenie tego celu zapobiega wykorzystaniu informacji w sposób niezgodny z intencjami strony ujawniającej, co stanowi istotny element ochrony własności intelektualnej software house’u.

Sankcje

Największe kontrowersje w umowach o zachowaniu poufności budzą zawsze sankcje. Na pewno spotkałeś się z sytuacjami, w której druga strona zaproponowała bardzo wysokie kary umowne za każdy przypadek naruszenia poufności.

Domyślnie każda ze stron może dochodzić odszkodowania na zasadach ogólnych wynikających z Kodeksu cywilnego. Oznacza to, że w przypadku gdy dana strona ujawni informacje poufne, to druga strona będzie musiała wykazać szkodę i jej wysokość aby dochodzić odszkodowania.

Wykazanie wysokości szkody jest często bardzo trudne, dlatego też częstym rozwiązaniem jest zastosowanie kary umownej. W takim przypadku stronie poszkodowanej pozostanie wykazanie tylko, że doszło do ujawnienia informacji poufnych. Nie będzie musiała już jednak wykazywać wysokości szkody bo ta została z góry określone poprzez ustalenie kary umownej.

Kodeks cywilny przewiduje jednak możliwość aby dochodzić odszkodowania przenoszącego wysokość zastrzeżonej kary umownej. Taka możliwość musi być jednak wprost wskazana w umowie.

Oddzielną kwestią jest faktyczna możliwość udowodnienia naruszenia. Z doświadczenia mogę Ci powiedzieć, że są to bardzo ciężkie pod kątem dowodowym postępowania sądowe.

Wyłączenia

Umowy dotyczące poufności najczęściej zawierają także katalog informacji, co do których strony nie będą musiały stosować się do zobowiązań związanych z poufnością. Do takich należą najczęściej:

  1. informacje ujawnione publicznie,
  2. informacje wiadome drugiej stronie przed ujawnieniem,
  3. informacje co do których obowiązek ujawnienia wynika z przepisów prawa orzeczenia sądowego lub decyzji administracyjnej.

Skuteczna umowa NDA powinna zawierać również wyłączenie dla informacji niezależnie opracowanych przez stronę otrzymującą, bez wykorzystania informacji poufnych objętych NDA. To szczególnie istotne dla software house’ów, które mogą pracować nad podobnymi rozwiązaniami dla różnych klientów. Brak odpowiednich wyłączeń może nałożyć niepotrzebne ograniczenia i narazić software house na potencjalną odpowiedzialność za wykorzystanie własnej, niezależnie opracowanej wiedzy.

Warto również pamiętać o klauzuli zakazującej inżynierii wstecznej. W polskim kontekście prawnym, podobnie jak w wielu innych jurysdykcjach, inżynieria wsteczna jest generalnie legalna, chyba że zostanie wyraźnie zakazana umową. Dla software house’ów udostępniających prototypy czy wersje beta oprogramowania, brak takiej klauzuli może sprawić, że konkurent legalnie rozbierze i odtworzy funkcjonalność oprogramowania, omijając cel NDA.

Dodatkowe elementy

Umowa o zachowaniu poufności może zabierać także dodatkowe elementy poza tymi wskazanymi powyżej. Przede wszystkim elementy te mogą dotyczyć kwestii dotyczących tego co zrobić z informacjami poufnymi po ustaniu umowy oraz sposoby zabezpieczania ujawnionych informacji poufnych.

Klauzule dotyczące zwrotu lub zniszczenia informacji po zakończeniu współpracy muszą być realistyczne i uwzględniać praktyczne ograniczenia zarządzania danymi cyfrowymi. W rzeczywistości całkowite usunięcie danych może być technicznie niemożliwe ze względu na systemy backupowe, rozproszone bazy danych czy wymogi prawne dotyczące archiwizacji. Umowa powinna precyzować wyjątki (np. dla celów prawnych przechowywania) i określać weryfikowalny proces potwierdzenia wykonania zobowiązania, na przykład poprzez pisemne oświadczenie o zniszczeniu aktywnych kopii.

Dodatkowo strony umowy mogą wprost wskazać, komu mogą bez zgody drugiej strony przekazać ujawnione informacje poufne jak np. doradcom prawnym i pracownikom.

Brak umowy o poufności NDA a ustawa o zwalczaniu nieuczciwej konkurencji

Co w sytuacji gdy nie ma umowy NDA?

Może się zdarzyć tak że nie zdążysz, zapomnisz lub po prostu nie podpiszesz umowy o zachowaniu poufności z innej przyczyny. Powstaje pytanie czy jesteś wtedy bezbronny?

Na pomoc przychodzi przede wszystkim ustawa o zwalczaniu nieuczciwej konkurencji, zgodnie z którą czynem nieuczciwej konkurencji jest ujawnienie, wykorzystanie lub pozyskanie cudzych informacji stanowiących tajemnicę przedsiębiorstwa. Możesz się tutaj domagać m.in. naprawienia szkody.

Dodatkowo zgodnie z Kodeksem cywilnym jeżeli w toku negocjacji strona udostępniła informacje z zastrzeżeniem poufności, druga strona obowiązana jest do nieujawniania i nieprzekazywania ich innym osobom oraz do niewykorzystywania tych informacji dla własnych celów, chyba że strony uzgodniły inaczej.

Należy jednak pamiętać, że ochrona wynikająca z ustawy o zwalczaniu nieuczciwej konkurencji dotyczy wyłącznie informacji spełniających definicję tajemnicy przedsiębiorstwa. Oznacza to konieczność udowodnienia, że informacje nie były publicznie dostępne, miały wartość gospodarczą i podjęto działania w celu ich ochrony. Brak umowy NDA znacznie utrudnia udowodnienie tych przesłanek, dlatego zawsze lepiej jest zawrzeć odpowiednią umowę na piśmie.

Potrzebujesz wsparcia prawnika rozumiejącego branżę IT? Napisz do mnie!



    Łukasz Kulicki

    Radca prawny w Kancelarii After Legal specjalizującej się w obsłudze prawnej firm z sektora IT, nowych technologii i branży internetowej, a także podmiotów przechodzących transformację cyfrową. Specjalizuje się w negocjowaniu umów IT, w szczególności umów wdrożeniowych, umów na usługi IT (w tym chmurowych) i umów body leasingowych. Zajmuje się także doradztwem prawnym z zakresu ochrony danych osobowych (RODO), prawa e-commerce i własności intelektualnej.

    0
      0
      Koszyk
      Twój koszyk jest pustyWróć do sklepu