Przestępstwa przeciwko ochronie informacji gospodarczych - tajemnica przedsiębiorstwa i odpowiedzialność

Informacja jest dziś jednym z najcenniejszych aktywów firmy - bazy klientów, receptury, dane finansowe, kod źródłowy, strategie handlowe. Ich bezprawne pozyskanie, wykorzystanie lub ujawnienie może oznaczać nie tylko stratę gospodarczą, ale i odpowiedzialność karną. W polskim prawie ochronę informacji gospodarczych regulują równolegle: ustawa z 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (tajemnica przedsiębiorstwa), Kodeks karny w rozdziale XXXIII - przestępstwa przeciwko ochronie informacji (art. 265-269b KK) oraz przepisy o ochronie danych osobowych (RODO i ustawa z 10 maja 2018 r.). W odróżnieniu od pierwotnej, bardzo ogólnikowej wersji tego artykułu, poniżej wskazujemy konkretne polskie podstawy prawne, realne kary oraz to, jak wygląda obrona i dochodzenie roszczeń. To materiał informacyjny, a nie oferta jednej kancelarii.

Czym jest tajemnica przedsiębiorstwa

Pojęcie tajemnicy przedsiębiorstwa definiuje art. 11 ust. 2 ustawy o zwalczaniu nieuczciwej konkurencji (ZNKU). Są to informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, które jako całość lub w szczególnym zestawieniu nie są powszechnie znane osobom zwykle zajmującym się tym rodzajem informacji ani łatwo dostępne dla takich osób, o ile uprawniony podjął, przy zachowaniu należytej staranności, działania w celu utrzymania ich w poufności. Wynika z tego praktyczny wniosek: ochrona prawna przysługuje tylko wtedy, gdy firma rzeczywiście chroniła informację - poprzez klauzule poufności (NDA), regulaminy, ograniczenia dostępu, oznaczanie dokumentów jako poufne czy zabezpieczenia IT. Bez tych działań trudno wykazać, że dane w ogóle stanowiły tajemnicę przedsiębiorstwa. To pierwszy element badany zarówno w obronie, jak i przy dochodzeniu roszczeń.

Sankcja karna za ujawnienie tajemnicy - art. 23 ZNKU

Najważniejszą podstawą karną w sprawach o tajemnicę firmy jest art. 23 ustawy o zwalczaniu nieuczciwej konkurencji. Zgodnie z art. 23 ust. 1 ZNKU, kto wbrew ciążącemu na nim obowiązkowi w stosunku do przedsiębiorcy ujawnia innej osobie lub wykorzystuje we własnej działalności gospodarczej informację stanowiącą tajemnicę przedsiębiorstwa, jeżeli wyrządza to poważną szkodę przedsiębiorcy, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Tej samej karze podlega, kto bezprawnie uzyskał taką informację i ujawnił ją lub wykorzystał (art. 23 ust. 2 i 3 ZNKU). To przestępstwo ścigane na wniosek pokrzywdzonego (art. 27 ZNKU). Niezależnie od odpowiedzialności karnej ZNKU przewiduje roszczenia cywilne wobec sprawcy czynu nieuczciwej konkurencji - art. 18 ZNKU pozwala żądać m.in. zaniechania, usunięcia skutków, odszkodowania i wydania bezpodstawnie uzyskanych korzyści.

Przestępstwa przeciwko ochronie informacji w Kodeksie karnym

Drugą grupą są czyny z rozdziału XXXIII KK. Art. 266 § 1 KK karze osobę, która wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu ujawnia lub wykorzystuje informację, z którą zapoznała się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową - grzywna, ograniczenie wolności albo pozbawienie wolności do lat 2 (czyn na wniosek pokrzywdzonego). Art. 267 § 1 KK (nielegalne uzyskanie informacji, tzw. hacking) karze tego, kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, m.in. przełamując lub omijając zabezpieczenia - grzywna, ograniczenie wolności albo więzienie do lat 2. Dalsze przepisy obejmują nielegalny podsłuch i posługiwanie się urządzeniami (art. 267 § 3-4 KK), niszczenie danych informatycznych (art. 268 i 268a KK), sabotaż komputerowy (art. 269 KK) oraz wytwarzanie i udostępnianie programów lub haseł służących do popełniania tych przestępstw (art. 269b KK). Wiele z tych czynów również ściga się na wniosek pokrzywdzonego.

Najczęstsze scenariusze w praktyce

W realnych sprawach przeważają powtarzalne sytuacje. Pierwsza: odchodzący pracownik kopiuje bazę klientów, ofertowe cenniki czy dokumentację techniczną i wykorzystuje je u nowego pracodawcy lub we własnej firmie - może to wyczerpywać art. 23 ZNKU oraz art. 266 KK, a często wiąże się z naruszeniem umownego zakazu konkurencji. Druga: były wspólnik lub współpracownik B2B ujawnia know-how kontrahentowi konkurencji. Trzecia: nieuprawnione zalogowanie się do systemu firmy po ustaniu zatrudnienia albo z użyciem cudzych danych dostępowych - to art. 267 KK. Czwarta: wyciek danych osobowych klientów (RODO) połączony z naruszeniem tajemnicy handlowej. W każdym z tych przypadków kluczowe jest, czy firma wykazała, że informacja była realnie chroniona, oraz czy doszło do bezprawnego działania i - przy art. 23 ZNKU - do poważnej szkody.

Odpowiedzialność menedżerów i podmiotów zbiorowych

Odpowiedzialność karna jest zawsze indywidualna - ponosi ją konkretna osoba fizyczna (pracownik, członek zarządu, wspólnik), nie sama spółka w rozumieniu prawa karnego. Niezależnie od tego członek zarządu, który działaniem na szkodę informacyjną spółki wyrządza jej znaczną szkodę majątkową, może odpowiadać z art. 296 KK (nadużycie zaufania, wyrządzenie szkody w obrocie gospodarczym) - kara od 3 miesięcy do 5 lat, a przy szkodzie w wielkich rozmiarach surowiej. Podmiot zbiorowy (spółka) może ponieść odpowiedzialność na podstawie ustawy z 28 października 2002 r. o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary, ale dopiero po prawomocnym skazaniu osoby fizycznej działającej w jego imieniu. W praktyce ważne są też mechanizmy compliance, polityki bezpieczeństwa informacji i wewnętrzne procedury - nie zwalniają one z odpowiedzialności, ale mogą wykazać należytą staranność wymaganą przez art. 11 ZNKU.

Obrona i dochodzenie roszczeń - rola kancelarii

Po stronie obrony adwokat lub radca prawny bada przede wszystkim: czy informacja w ogóle spełniała ustawowe przesłanki tajemnicy przedsiębiorstwa (art. 11 ZNKU), czy firma podjęła realne działania ochronne, czy doszło do bezprawnego działania i czy w przypadku art. 23 ZNKU rzeczywiście powstała poważna szkoda. Sprawdza też prawidłowość zabezpieczenia dowodów elektronicznych (logi, kopie nośników, opinie biegłych z informatyki śledczej) i legalność czynności organów. Po stronie pokrzywdzonego przedsiębiorcy pełnomocnik pomaga: zabezpieczyć dowody, złożyć wniosek o ściganie (czyny te są zwykle wnioskowe), wystąpić z roszczeniami cywilnymi z art. 18 ZNKU (zaniechanie, odszkodowanie, wydanie korzyści) oraz - przy danych osobowych - ocenić obowiązek zgłoszenia naruszenia do Prezesa UODO w ciągu 72 godzin. W obu rolach istotny jest pośpiech: szybkie zabezpieczenie dowodów cyfrowych często przesądza o powodzeniu sprawy.

Kary, przedawnienie i praktyczne wskazówki dla firm

Realne sankcje są umiarkowane co do górnej granicy (do 2 lat pozbawienia wolności za art. 23 ZNKU, art. 266 i 267 KK), ale dotkliwe w skutkach: wpis do Krajowego Rejestru Karnego, odpowiedzialność cywilna, utrata reputacji i - przy danych osobowych - administracyjne kary pieniężne UODO na podstawie RODO, sięgające nawet 20 mln euro lub 4% rocznego obrotu. Warto pamiętać o terminach: czyny z art. 23 ZNKU, art. 266 i 267 KK są zwykle ścigane na wniosek pokrzywdzonego, dlatego firma musi działać szybko. Dla profilaktyki kluczowe są: pisemne klauzule poufności i zakazy konkurencji, polityka klasyfikacji informacji, ograniczanie dostępu zgodnie z zasadą minimalnego uprawnienia, rejestrowanie dostępu (logi), procedury offboardingu pracowników (odbiór sprzętu i odebranie dostępów) oraz szkolenia. Te działania nie tylko zmniejszają ryzyko wycieku, ale też dowodzą należytej staranności wymaganej do uznania informacji za tajemnicę przedsiębiorstwa.