SPCG for FinTech (cz. 6) – Tajemnica przedsiębiorstwa w projektach FinTech
Czytaj: 6 minW dotychczasowych wpisach przedstawialiśmy możliwości ochrony projektów IP za pomocą różnych praw własności intelektualnej. Jednak pomimo swojej różnorodności, prawa własności intelektualnej mogą nie objąć wszystkich elementów takiego projektu FinTech, w szczególności informacji. Przykładowo, informacji technicznych niespełniających warunków do objęcia ochroną patentową, informacji na temat optymalnej konfiguracji oprogramowania służącego do świadczenia usługi finansowej bądź informacji na temat procesów biznesowych instytucji finansowej.
Pod pewnymi warunkami takie informacje mogą być natomiast traktowane jako tajemnica przedsiębiorstwa instytucji finansowej – pozyskanie, wykorzystanie bądź ujawnienie informacji będącej tajemnicą przedsiębiorstwa bez zgody instytucji finansowej stanowi czyn nieuczciwej konkurencji. Takiego czynu dopuszcza się przede wszystkim osoba, która wykorzystując bądź ujawniając informację będącą tajemnicą narusza obowiązek ustawowy bądź umowny np. zobowiązanie do zachowania tajemnicy, które przyjęła na siebie zawierając z instytucją finansową umowę o zachowaniu poufności. Sprawcą czynu nieuczciwej konkurencji może być także podmiot, który wykorzysta informację pozyskaną od takiej osoby – pod warunkiem, że widział on lub mógł wiedzieć przy zachowaniu należytej staranności, że informacja jest pozyskiwana od osoby, która je ujawnia w związku z popełnieniem czynu nieuczciwej konkurencji. Tytułem przykładu, startup technologiczny zatrudnia byłego współpracownika instytucji finansowej, który „wnosi” do współpracy z nowym zleceniodawcą nie tylko własne doświadczenie jako programista, ale również szczegółowe informacje o działaniu aplikacji mobilnej instytucji finansowej, i zostają one użyte do rozwoju konkurencyjnego rozwiązania.
Tajemnicą przedsiębiorstwa nie jest oczywiście każda informacja, jaką dysponuje instytucja finansowa. Po pierwsze, informacje takie muszą mieć wartość gospodarczą. Po drugie – jako całość lub w szczególnym zestawieniu i zbiorze ich elementów – informacje takie nie są powszechnie znane osobom zwykle zajmującym się tym rodzajem informacji albo nie są łatwo dostępne dla takich osób – wartość gospodarcza przejawia się tutaj w zestawieniu informacji, które samodzielnie mogą być powszechnie znane. Na przykład, zestawienie informacji o konkretnych typach – skądinąd dostępnych „na rynku” – zabezpieczeń stosowanych przez instytucję finansową ma dla niej wartość, przejawiającą się w poziomie bezpieczeństwa. Po trzecie, instytucja finansowa przy zachowaniu należytej staranności podjęła działania w celu utrzymania takich informacji w tajemnicy. Przy założeniu spełnienia wyliczonych warunków nie ma znaczenia, jakiego aspektu projektu FinTech tajemnice przedsiębiorstwa dotyczą, przykładowo szczegółów technicznych zabezpieczeń platformy internetowej do onboardingu klientów bądź organizacji procesów biznesowych związanych z weryfikacją danych klientów, którzy zgłosili się do instytucji finansowej przez tę platformę. Należyta staranność, czy też „rozsądność” działań podejmowanych przez instytucję w celu zachowania w tajemnicy określonego typu informacji będzie zależała od takich czynników jak rodzaj tej informacji, wartość dla instytucji finansowej oraz krąg osób, które mają do niej dostęp.
Instytucja finansowa powinna więc przede wszystkim zadbać o identyfikację informacji, szczególnie takich, które nie są objęte tajemnicą bankową lub tajemnicą zawodową danej instytucji finansowej i w związku z tym mogą być ujawnione podmiotom trzecim jedynie w ściśle określonych przepisami prawa sytuacjach. Wewnętrzne procedury kwalifikowania informacji jako tajemnicy przedsiębiorstwa oraz ich obiegu powinny zostać powiązane z podejmowaniem przez instytucję finansową wspomnianych wyżej rozsądnych działań w celu utrzymania tych informacji w tajemnicy. Te działania mogą mieć zarówno charakter faktyczny (np. techniczne zabezpieczenie dostępu do nośników informacji m.in. fizycznych lub cyfrowych kopii dokumentów; przypisanie pracownikom poziomów dostępu do tych dokumentów oraz kontrola tego dostępu; przeprowadzanie szkoleń wewnętrznych), jak i prawny. Działania prawne polegają przede wszystkim na opatrywaniu dokumentów stosownymi komunikatami, stosowaniu polityki poufności oraz na zobowiązywaniu odbiorców informacji do zachowania poufności, zwłaszcza za pomocą klauzul umownych w umowach z osobami niezatrudnionymi na podstawie umowy o pracę. Charakteru danej informacji jako tajemnicy przedsiębiorstwa nie niweczy fakt, że jest ona znana szerokiemu gronu pracowników i współpracowników instytucji finansowej – przy założeniu, że osoby te będą zobowiązanie zachować ją w tajemnicy.
Z pewnością działaniem rozsądnym jest zawieranie umów o zachowaniu poufności (non-disclosure agreement – NDA). Taka umowa powinna przede wszystkim określać:
- reguły kwalifikowania informacji udostępnianych w toku współpracy do kategorii tajemnicy przedsiębiorstwa, zwłaszcza sposób oznaczania dokumentów lub korespondencji. W tym kontekście trzeba mieć świadomość, że znaczna część informacji objętych tajemnicą nie jest ustrukturyzowana np. znajduje się w treści e-maili a nie w rekordach baz danych). Jeżeli na potrzeby współpracy planowane jest przekazanie pewnych pakietów informacji np. specyfikacja systemu informatycznego, który będzie rozwijany w ramach współpracy, to w treści umowy można wyraźnie je wskazać;
- cel korzystania z informacji będących tajemnicą przedsiębiorstwa oraz zasady udostępniania ich współpracownikom lub podwykonawcom odbiorcy;
- przypadki, w których ujawnienie takich informacji nie będzie stanowiło naruszenia zobowiązania do zachowania tajemnicy np. zwrócenie się z żądaniem przekazania takich informacji przez organ administracji publicznej;
- konsekwencje naruszenia obowiązku zachowania tajemnicy, zwłaszcza kary umowne i sposób obliczania ich wysokości;
- czynności podejmowane po zakończeniu współpracy np. zniszczenie nośników zawierających informacje poufne lub trwałe usunięcie informacji z takich nośników;
- czas trwania zobowiązania do zachowania informacji w tajemnicy.
Osoby zatrudnione na podstawie umowy o pracę zobowiązane są do zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę (tajemnica pracodawcy) oraz przestrzegać tajemnicy określonej w odrębnych przepisach (art. 100 §2 pkt 4. i 5. Kodeksu Pracy). Przyjmuje się, iż obowiązek zachowania w tajemnicy informacji stanowiących tajemnicę przedsiębiorstwa mieści się w granicach tajemnicy pracodawcy. Nie wyklucza to jednak zawarcia z pracownikiem dodatkowego porozumienia, które precyzowałoby szczegóły dostępu pracownika do tajemnic przedsiębiorstwa i korzystania z nich, a przede wszystkim czas i zasady obowiązywania tajemnicy po zakończeniu zatrudnienia.
Informacja poufna czy prawo własności intelektualnej?
Ochrona informacji poprzez traktowanie ich jako tajemnicy przedsiębiorstwa może być zarówno uzupełnieniem, jak i alternatywą dla praw własności intelektualnej. Przykładowo, utworem chronionym prawem autorskim może być kod źródłowy programu komputerowego wykonującego funkcje zaplanowane w procesie biznesowym, ale utworem nie jest wynikająca z analizy kodu programu informacja, w jaki sposób wspomniane procesy są realizowane przez program [1]. Skorzystanie z takiej informacji w celu napisania programu o innym kodzie źródłowym, ale tak samo realizującym funkcje założone w identycznym procesie biznesowym nie narusza praw autorskich. Jeżeli jednak wspomniane informacje stanowią tajemnicę przedsiębiorstwa, to skorzystanie z nich w celu napisania takiego programu będzie czynem nieuczciwej konkurencji. Przykładem mogą być też różnego rodzaju dokumenty, zarówno techniczne, jak i biznesowe. Ochrona wynikająca z prawa autorskiego, o ile założymy, że taki dokument stanowi utwór, obejmuje jedynie kopiowanie go w całości lub we fragmentach, a nie spożytkowanie informacji, które on zawiera.
Ochrona tajemnic przedsiębiorstwa jest również elastyczna, w tym znaczeniu, że w razie spełnienia przez instytucję finansową warunków opisanych wyżej, tajemnicą przedsiębiorstwa może być zarówno informacja techniczna, jak i biznesowa. Tajemnicą mogą być objęte także informacje na temat projektów FinTech, które nie zostaną ukończone, czy to ze względu na przekroczenie zakładanego budżetu, problemy techniczne czy zmianę priorytetów instytucji finansowej. Jeżeli rezygnacja z realizacji projektu wiąże się z rozwiązywaniem umów z zewnętrznymi współpracownikami, trzeba zwrócić uwagę na „losy” postanowień o zachowaniu tajemnicy.
W przeciwieństwie do praw własności intelektualnej, które zasadniczo gasną z upływem określonego w ustawie terminu, czas trwania stanu tajemnicy jest teoretycznie nieograniczony. Informacja przestanie być tajemnicą przedsiębiorstwa zasadniczo, kiedy straci wartość gospodarczą lub zostanie ujawniona do wiadomości publicznej przez osobę, która niezależnie stworzyła taką informację. Instytucja finansowa nie musi podejmować żadnych formalnych działań, aby kwalifikować daną informację jako tajemnicę przedsiębiorstwa. Możliwość opcjonalnego „sformalizowania” niektórych informacji objętych tajemnicą przedsiębiorstwa otworzy dopiero utworzenie depozytu technicznych i technologicznych tajemnic przedsiębiorstwa, o którym piszemy niżej.
Depozyt technicznych i technologicznych tajemnic przedsiębiorstwa
W 2022 roku planowane jest stworzenie zarządzanego przez Urząd Patentowy RP depozytu informacji technicznych i technologicznych stanowiących tajemnicę przedsiębiorstwa. Informacje tego typu powstają nieraz przy okazji prowadzenia prac-badawczo rozwojowych bądź bieżącej działalności instytucji finansowej, może być nią przykładowo treść dokumentacji dotyczącej poprawek do systemu informatycznego i jego optymalnej konfiguracji. Jeśli prace B+R nie zakończą się dokonaniem wynalazku, stworzeniem wzoru przemysłowego lub utworu chronionego prawem autorskim, to ochrona tajemnicy przedsiębiorstwa jest jednym narzędziem prawnym pozwalającym na jakąś formę ochrony. Z kolei w przypadku uzyskania praw własności intelektualnej, tajemnica przedsiębiorstwa może „zabezpieczać flanki” np. obejmować informacje służące do efektywnego korzystania z wynalazku chronionego patentem. Informacją techniczną ani technologiczna nie jest jednak ani lista klientów, ani organizacja procesu sprzedaży ani dane finansowe.
Data zgłoszenia depozytu będzie datą pewną, więc zgłaszający będzie mógł wykazać, że najpóźniej w dacie zgłoszenia dysponował już zdefiniowanym pakietem informacji. W praktyce zdeponowanie informacji stanowiących tajemnicę przedsiębiorstwa może być pomocne do sprecyzowania, co dokładnie jest przedmiotem umowy o korzystanie z tajemnicy przedsiębiorstwa. Poza tym, możliwość sięgnięcia do zdeponowanych w Urzędzie informacji może np. znacznie ułatwić podjęcie sądowi decyzji co do udzielenia zabezpieczenia tymczasowego.
Podjęcie decyzji o ewentualnym zgłoszeniu określonych tajemnic przedsiębiorstwa do depozytu warto poprzedzić audytem prawnym oraz audytem bezpieczeństwa. Zidentyfikowanie i uporządkowanie tajemnic przedsiębiorstwa, którymi dysponuje instytucja finansowa pozwala m.in. na jego łatwiejszą wycenę oraz ochronę – zwłaszcza w przypadku nieuprawnionego korzystania z tajemnic przedsiębiorstwa instytucji finansowej przez byłych pracowników lub podwykonawców.
Jak wspomnieliśmy w inauguracyjnym wpisie cyklu SPCG for FinTech, w projektach FinTech wyzwaniem jest nie tylko strona technologiczna przedsięwzięcia, ale również regulacyjna. Dlatego też kolejne artykuły poświęcimy właśnie zagadnieniom regulacyjnym.
Przypisy:
[1] Zakładam, że np. z uwagi na brak poziomu wynalazczego program ten nie jest chroniony jako element wynalazku.
Napisz do autora:
dr Marcin Balicki
adwokat
Senior Associate