NDA – umowa o zachowaniu poufności a IT

Ten wpis, w postaci zwięzłej pigułki najważniejszych informacji jest dostępny w postaci vloga na YT

NDA (Non-Disclosure Agreement) a po polsku umowa o zachowaniu poufności to już pewien standard nie tylko w dużym biznesie ale nawet w pracy na B2B. Z tymi umowami mierzą się zwłaszcza specjaliści IT, w tym programiści, ale też inne firmy, nie tylko z tej branży. Umowy o zachowaniu poufności bardzo często wpływają na IT w naszej firmie – poniżej najważniejsze elementy okiem prawnika IT.

Czym jest NDA?

Najprościej jest to umowa, w której obiecujemy, że pewne informacje zachowamy w tajemnicy – nie powiemy o nich osobom spoza naszej firmy, w tym naszym znajomym czy rodzinie. Może też się tak zdarzyć, że tajemnicę będziemy musieli zachować przed pozostałymi pracownikami naszej firmy. W takiej sytuacji Klient wpisuje do umowy obowiązek informowania go, którzy pracownicy będą mieli dostęp do poufnych informacji a nawet pomieszczenia, w których takie informacje mogą się znajdować.

Cel NDA jest bardzo prosty: chronić informacje, które dla firmy są ważne i mogą stanowić jej być albo nie być. Często też firmy podpisują NDA bo:

• wymaga tego ich Klient;
• zmuszają je do tego przepisy np. RODO (GDPR) wymaga w pewnych sytuacjach podpisania takiej umowy ale są też inne, które wprowadzają taki wymóg.

Niezależnie od tego jaki jest powód użycia NDA (umowy o zachowaniu poufności) warto ją zawsze dobrze przeanalizować i przekalkulować koszt zastosowania się do niej oraz to czy wpłynie ona na czas wykonania projektu.

Zalety stosowania NDA

NDA nie funkcjonuje w próżni i nie zawsze jest też potrzebne ponieważ prawo chroni informacje i tajemnice – np. w Kodeksie Pracy (art. 100 §2 pkt. 4) pracownicy mają obowiązek zachować w tajemnicy informacje na temat firmy:

Pracownik jest obowiązany w szczególności: […] zachować w tajemnicy informacje, których ujawnienie mogłoby narazić pracodawcę na szkodę;

Jest też inny, szerszy obowiązek w ustawie o zwalczaniu nieuczciwej konkurencji (art. 11 ust. 1):

Czynem nieuczciwej konkurencji jest ujawnienie, wykorzystanie lub pozyskanie cudzych informacji stanowiących tajemnicę przedsiębiorstwa.

A oprócz nich są jeszcze inne przepisy, w tym takie, którą chronią know-how firm jak prawo patentowe czy prawo autorskie. Niestety prawo posiada kilka mankamentów. Po pierwsze nie wszystkie informacje są przez nie chronione np. kod programu jest chroniony przez prawo autorskie ale algorytm już nie. Po drugie przepisy o tajemnicy przedsiębiorstwa (przywołany wcześniej art. 11) dotyczą tylko tych informacji, które firmy starają się chronić, więc jeśli nie podpisały NDA przy przekazaniu informacji może się okazać, że nie będą w stanie skorzystać z tego przepisu.

Pod uwagę, trzeba wziąć jeszcze jedno – żeby skorzystać z opcji zaszytych w przepisach trzeba udowodnić i obliczyć poniesione straty a z tym bywa bardzo różnie (np. jak wycenić stratę spowodowaną wyciekiem informacji o nowym produkcie co spowodowało przyspieszenie prac przez konkurencję by zdążyć z swoim produktem przed naszą premierą?).

Z tych powodów warto stosować NDA i umieszczać w nich odpowiednie postanowienia (elementy).

Co może narzucać NDA?

Jedna z firm z którą współpracowałem miała Klienta, który wprowadził bardzo specyficzne wymogi co do NDA, otóż:

• dołączenie do projektu nowego pracownika wymagało zgody Klienta na piśmie;
• praca w ramach projektu odbywała się wyłącznie w ramach jednego, wybranego przez Klienta pomieszczenia w siedzibie firmy;
• każde wejście i wyjście z pomieszczenia musiało być odnotowywane (sic!).

Jest to oczywiście skrajny przypadek, obecny raczej w bardzo dużych projektach, nie oznacza jednak, że się nie wydarzy. Umowa o zachowaniu poufności może zawierać bardzo różne obowiązki, niektóre z nich są pułapkami, których nie bierzemy pod uwagę przy jej podpisywaniu. Prawno-techniczne pułapki w NDA działają w obie strony.

Pułapki po stronie firmy, która dostaje informacje

Jeśli otrzymujesz informacje to NDA nakłada na Ciebie obowiązki i możesz spotkać się z następującymi pułapkami w takiej umowie:

• brak zgody na korzystanie z zewnętrznych firm:
  • podwykonawców – potrzebujesz zlecić jakąś część zadania zewnętrznej firmie lub pracownikowi na B2B? Niestety nie możesz, dopóki nie podpiszesz odpowiedniego aneksu.
  • dostawców usług IT – korzystasz G Suite, Azure, AWS, Office 365, Slack lub innej usługi? Musisz przenieść się do dostawcy, który szyfruje dane end-2-end, zbudować własną infrastrukturę IT, szyfrować dane samodzielnie lub zrezygnować z części narzędzi.
• obowiązek niszczenia nośników z informacją – w praktyce oznacza to nie tylko konieczność zniszczenia maila lub kartki na której go wydrukowano ale też dysków SSD/HDD w komputerach (też laptopach), pamięci w telefonach czy pendrive’ów.
• utrata referencji (lub brak wpisu w CV jeśli pracujesz na B2B) – źle skonstruowana umowa o zachowaniu poufności sprawi, że twoja firma nie będzie mogła się pochwalić nabytym doświadczeniem, zrealizowanymi projektami a w skrajnej sytuacji nie pozwoli nawet powiedzieć dla jakiego Klienta pracowałeś.
• niepewność co zostało objęte umową – czasem zdarza się, że nie wiadomo które informacje masz chronić, a które nie. Dzieje się tak na ogół wtedy, gdy umowa bardzo ogólnikowo opisuje co jest tzw. “informacją poufną” bądź “informacją chronioną”.

Pułapki po stronie firmy przekazującej swoje poufne informacje

Po drugiej stronie są pułapki na które może natknąć się w takiej umowie firma ujawniającą swoje poufne informacje, w tym know-how. Najbardziej popularne to

• niedokładnie, za szeroko lub niejasno opisane informacje poufne – często firmy wpisują w umowy, że NDA dotyczy “informacji ważnych dla działania przedsiębiorstwa, potrzeba sporego wysiłku by wykazać, że dana informacja to właśnie ta, objęta NDA;
• brak kar umownych lub niejasno opisane czego dotyczą – jeśli nie wpisałeś do umowy kary umownej musisz udowodnić i wyliczyć stratę, jeśli wpisałeś, pomijasz ten etap i możesz po prostu żądać pieniędzy;
• przekazywanie informacji na piśmie, bez pokwitowania – to częsty błąd, jeśli np. ujawniamy naszemu wykonawcy poufne dokumenty na piśmie i nie mamy pokwitowania co się w nich znajdowało tak naprawdę nie potrafimy udowodnić, że dostał te informacje;
• brak przemyślenia czego dotyczy NDA – chcemy by wykonawca zachował informacje w tajemnicy a może szerzej, nie chcemy by na ich podstawie stworzył własny biznes, konkurencyjny dla naszego? Musimy dobrze zastanowić się przed czym tak naprawdę ma nas chronić NDA;
• brak terminu – często NDA zawiera wyłącznie obowiązek ochrony informacji bez określenia jak długo taka ochrona ma trwać, jeśli wpisaliśmy, że informacje należy zniszczyć po zakończeniu współpracy to rozwiązujemy tylko część problemu – zadbaliśmy o zniszczenie jej kopii. A co z informacjami, które zostały w głowach pracowników, jak długo są one chronione? Bezterminowe umowy o zachowanie poufności mają jeden słaby punkt – mogą zostać wypowiedziane, jak wszystkie umowy tego typu. Polskie prawo nie przewiduje bowiem umowy dożywotniej i wprowadziło jasną zasadę, że wszystkie umowy, które nie mają terminu zakończenia mogą zostać wypowiedziane.

Co powinna zawierać dobra umowa NDA?

Jeśli chcesz napisać dobrą umowę, taką która pozwoli obu stronom na owocną i efektywną współpracę pamiętaj o następujących elementach:

• opisz jakie informacje będą chronione;
• przeanalizuj czy da się zrealizować projekt bez korzystania z usług zewnętrznych firm – jeśli nie ustal w umowie zasady współpracy z nimi;
• wpisz jasno określone kary umowne;
• określ jak długo ma działać umowa;
• jasno spisz czego z informacją nie wolno robić oraz co ma się z nią stać po zakończeniu projektu.

Dobrze sporządzona umowa o zachowaniu poufności to to mniej stresu w przyszłości dla Ciebie i większa szansa, że nie stracisz swojego know-how i Klientów. Dlatego dbaj o nie i pamiętaj przed podpisaniem umowy skonsultuj się z prawnikiem a najlepiej techprawnikiem.

Przemysław Caputa TechPrawnik