NDA w relacji z podwykonawcą: na co uważać?

Przez
Filip Wójcik
-
0
27
Rate this post

Z tej publikacji dowiesz się:

Po co w ogóle NDA z podwykonawcą i kiedy ma sens

Różnica między klauzulą poufności a osobną umową NDA

Przy współpracy z podwykonawcą często pojawia się pytanie: wystarczy klauzula poufności w umowie, czy potrzebne jest osobne NDA w relacjach B2B? Z prawnego punktu widzenia kluczowa jest treść zobowiązania, a nie to, czy jest ono w osobnym dokumencie. Jednak praktyka biznesowa pokazuje, że osobna umowa o zachowaniu poufności z podwykonawcą porządkuje relację i ułatwia egzekwowanie obowiązków.

Prosta klauzula poufności w umowie o współpracy zwykle ogranicza się do kilku ogólnych zdań: że „strony zobowiązują się zachować poufność informacji uzyskanych przy wykonywaniu umowy”. To krok w dobrą stronę, ale często pomija detale: co dokładnie jest poufne, jak długo obowiązuje poufność, czy są kary umowne za złamanie poufności, co z pracownikami podwykonawcy i jego dalszymi podwykonawcami.

Osobne NDA pozwala poświęcić kilka stron wyłącznie na temat poufności. Dzięki temu da się precyzyjnie uregulować:

  • zakres informacji poufnych w NDA,
  • obowiązki podwykonawcy i jego zespołu,
  • zasady przechowywania i zabezpieczania danych,
  • okres obowiązywania NDA po zakończeniu współpracy,
  • odpowiedzialność podwykonawcy za wyciek danych i wysokość kar.

Nie zawsze trzeba rozbijać umowę na dwa dokumenty. Przy mniejszych zleceniach wystarczy rozbudowana klauzula poufności w ramach głównej umowy. Gdy jednak współpraca jest szersza, długoterminowa, obejmuje wrażliwe informacje albo wiele projektów, osobne NDA upraszcza życie – również podwykonawcy, bo widzi w jednym miejscu wszystkie obowiązki dotyczące tajemnic biznesowych.

Kiedy NDA z podwykonawcą jest naprawdę potrzebne

Nie w każdej relacji z podwykonawcą NDA jest równie istotne. Są jednak obszary, w których brak porządnego NDA naraża firmę na poważne straty. Dotyczy to zwłaszcza sytuacji, gdy podwykonawca dostaje dostęp do:

  • know-how i procesów wewnętrznych (np. szczegółowe procedury, algorytmy, metody pracy, skrypty rozmów sprzedażowych),
  • danych klientów i partnerów (bazy klientów, listy kontrahentów, warunki handlowe, historia współpracy),
  • projektów technologicznych (kody źródłowe, dokumentacja techniczna, architektura systemu, API),
  • wrażliwych informacji biznesowych (strategie wejścia na nowe rynki, plany cenowe, prognozy finansowe, koncepty nowych produktów),
  • danych osobowych w szerszym zakresie (np. podwykonawca obsługuje system CRM, kampanie mailingowe, helpdesk, rekrutacje).

W praktyce NDA w relacjach B2B jest standardem w branżach takich jak IT, marketing cyfrowy, konsulting strategiczny, HR, usługi księgowe, medyczne systemy IT, fintechy. Często już w pierwszej rozmowie pojawia się propozycja podpisania NDA, zanim strony wejdą w szczegóły projektu.

Jeżeli podwykonawca dostaje jedynie bardzo ogólny zakres danych, dostępny publicznie (np. logotypy, podstawowe informacje z strony internetowej), rozbudowane NDA bywa zbędne. W takiej sytuacji wystarczy ogólna klauzula w umowie. Im jednak bardziej unikalna i niewidoczna na zewnątrz jest wiedza przekazywana podwykonawcy, tym bardziej sensowne staje się konkretne NDA.

Kiedy NDA może być przerostem formy nad treścią

Zdarza się, że przedsiębiorca – z obawy przed wyciekiem informacji – przygotowuje bardzo agresywne, rozbudowane NDA z listą zakazów, wysokimi karami umownymi i bardzo szeroką definicją informacji poufnych („wszystko, co zobaczysz, jest tajemnicą”). Skutek bywa odwrotny do zamierzonego: dobry podwykonawca rezygnuje, bo warunki są niespójne z rynkowymi standardami albo po prostu nie da się ich realnie dotrzymać bez sparaliżowania pracy.

Przerost formy nad treścią widać szczególnie tam, gdzie:

  • podwykonawca ma wykonać prostą, jednorazową usługę bez dostępu do istotnych danych (np. drobny grafik, pojedynczy copywriter do prostego tekstu),
  • NDA zakazuje niemal każdej formy wykorzystania doświadczenia zawodowego („podwykonawca nie może nigdy użyć wiedzy zdobytej przy projekcie”),
  • przewidziano olbrzymie kary umowne nieadekwatne do skali projektu, np. kilkadziesiąt razy wyższe niż wartość całej współpracy,
  • obowiązek poufności jest bezterminowy dla wszystkich rodzajów informacji, nawet tych, które za chwilę staną się publiczne.

Umowa o zachowaniu poufności z podwykonawcą powinna być tak skonstruowana, aby chroniła interes firmy, ale jednocześnie była zrozumiała, proporcjonalna i możliwa do wykonania. Zbyt „twarde” NDA zniechęca szczególnie doświadczonych specjalistów i software house’y, które nie chcą brać na siebie nierealnego ryzyka.

Jak zabezpieczyć firmę, nie odstraszając podwykonawcy

Częsta obawa przedsiębiorcy brzmi: „jeśli nie docisnę NDA, ktoś wyniesie mi klientów lub technologię”. Z drugiej strony podwykonawca myśli: „jeśli to podpiszę, biorę na siebie nieograniczone ryzyko za cudze dane”. Da się to pogodzić, ale wymaga to kilku świadomych decyzji, m.in.:

  • jasnej definicji informacji poufnych – bez wrzucania „wszystkiego jak leci”,
  • rozsądnego okresu obowiązywania NDA – dłużej tylko tam, gdzie faktycznie zachowuje się wrażliwość informacji,
  • kary umownej na realnym poziomie – odczuwalnej, ale nie paraliżującej działalności podwykonawcy,
  • prostych procedur bezpieczeństwa, które da się stosować w praktyce (np. szyfrowane dyski, ograniczony dostęp, bez przesadnych formalności),
  • jasnej komunikacji: dlaczego dane są ważne, co najgorszego może się wydarzyć przy wycieku, jak firma pomaga w utrzymaniu bezpieczeństwa (np. dostęp do narzędzi, instrukcji).

Dobrze skonstruowane NDA w relacji z podwykonawcą buduje zaufanie: sygnalizuje, że druga strona traktuje poważnie tajemnicę przedsiębiorstwa, ale rozumie też realia pracy podwykonawców i freelancerów. To często odróżnia poważnych zleceniodawców od tych, którzy wrzucają do umów przypadkowe wzory z internetu.

Umowa o zachowaniu poufności z literkami NDA ułożonymi z klocków Scrabble
Źródło: Pexels | Autor: RDNE Stock project

Podstawy prawne poufności w relacji B2B

Tajemnica przedsiębiorstwa w ustawie o zwalczaniu nieuczciwej konkurencji

Poza samym NDA, już prawo przewiduje ochronę pewnych informacji. Kluczowy jest tu art. 11 ustawy o zwalczaniu nieuczciwej konkurencji. Wprowadza on pojęcie tajemnicy przedsiębiorstwa, czyli informacji technicznych, technologicznych, organizacyjnych przedsiębiorstwa lub innych informacji posiadających wartość gospodarczą, co do których przedsiębiorca podjął niezbędne działania w celu zachowania poufności.

Żeby informacja była uznana za tajemnicę przedsiębiorstwa, muszą być spełnione trzy warunki:

  • nie jest powszechnie znana ani łatwo dostępna dla osób z kręgu, które zwykle zajmują się takim rodzajem informacji,
  • ma wartość gospodarczą (np. ułatwia konkurowanie, buduje przewagę rynkową),
  • przedsiębiorca realnie stara się utrzymać jej poufność (procedury, ograniczenia dostępów, NDA itp.).

NDA nie jest tu fanaberią, tylko jednym z dowodów na to, że przedsiębiorca rzeczywiście chroni swoją tajemnicę. Gdyby doszło do sporu, brak jakichkolwiek środków ochrony może utrudnić wykazanie, że informacja była faktycznie chroniona, a podwykonawca naruszył tajemnicę przedsiębiorstwa.

Dane osobowe a NDA – gdzie kończy się poufność biznesowa, a zaczyna RODO

Umowa o zachowaniu poufności z podwykonawcą często obejmuje również dane osobowe (np. listy mailingowe, dane pacjentów, dane kandydatów do pracy, dane użytkowników aplikacji). Trzeba wtedy rozróżnić dwie płaszczyzny:

  • poufność biznesową – NDA chroni informacje jako element przewagi konkurencyjnej i tajemnicy przedsiębiorstwa,
  • ochronę danych osobowych – regulowaną przez RODO i krajowe przepisy, które nakładają konkretne obowiązki niezależnie od treści NDA.

NDA nie zastępuje umowy powierzenia przetwarzania danych osobowych. Jeżeli podwykonawca w Twoim imieniu przetwarza dane osobowe (np. prowadzi kampanie mailingowe, hostuje system, realizuje obsługę klienta), potrzebna jest osobna umowa powierzenia. NDA może wzmacniać ochronę (np. rozszerzając odpowiedzialność, doprecyzowując zasady techniczne), ale nie zwalnia z wymogów RODO.

Granica jest prosta: jeżeli podwykonawca ma jedynie epizodyczny, przypadkowy dostęp do pojedynczych danych osobowych (np. widzi pojedynczą fakturę na ekranie), wystarczy poufność uregulowana w NDA. Gdy jednak dostaje dostęp do całych zbiorów danych lub przetwarza je systemowo, powinien pojawić się formalny dokument powierzenia.

NDA a umowa o współpracy, zleceniu czy o dzieło

Umowa o zachowaniu poufności z podwykonawcą rzadko występuje w oderwaniu od głównego kontraktu. Zwykle jest podpisywana obok umowy o współpracy, zlecenia lub umowy o dzieło. Te dokumenty muszą ze sobą współgrać. Problemy zaczynają się, gdy:

  • NDA przewiduje inny okres obowiązywania niż klauzula poufności w umowie głównej,
  • definicje informacji poufnej w obu dokumentach różnią się (np. w jednym więcej wyłączeń, w drugim mniej),
  • różnie uregulowano kary umowne za złamanie poufności,
  • niejasne jest, który dokument ma pierwszeństwo w razie sprzeczności.

Bezpieczniej jest przyjąć prostą zasadę: albo całość uregulować w jednym, spójnym dokumencie, albo w NDA zawrzeć wprost, że reguluje ono wyczerpująco kwestie poufności w relacji z podwykonawcą, a w razie rozbieżności ma pierwszeństwo przed postanowieniami umowy głównej w zakresie poufności.

Dobrą praktyką jest dodanie do NDA odwołania do umowy o współpracy (np. numer, data, strony) oraz krótkiego wyjaśnienia, że poufność dotyczy wszystkich informacji uzyskanych w związku z tą umową oraz ewentualnymi późniejszymi projektami, jeśli strony tak uzgodnią.

Ograniczenia swobody umów w NDA

Nawet najbardziej rozbudowany NDA w relacjach B2B nie może dowolnie kształtować rzeczywistości. Obowiązuje zasada swobody umów, ale z istotnymi ograniczeniami. Umowa nie może m.in.:

  • wyłączać przepisów bezwzględnie obowiązujących (np. z zakresu RODO, prawa pracy, prawa konkurencji),
  • zobowiązywać do działań sprzecznych z prawem (np. ukrywanie informacji przed organami ścigania),
  • nadmiernie ograniczać swobody działalności gospodarczej podwykonawcy w sposób, który można uznać za sprzeczny z zasadami współżycia społecznego lub dobrymi obyczajami,
  • wprowadzać postanowień rażąco nieekwiwalentnych (np. absurdalnie wysokie kary, które w praktyce prowadzą do obejścia przepisów o odpowiedzialności).

Przykład: NDA nie może zabronić podwykonawcy wykonywania usług dla kogokolwiek z branży przez długie lata, jeśli w praktyce oznaczałoby to pozbawienie go możliwości zarobkowania. Takie postanowienie mogłoby zostać uznane za nieważne lub podlegające modyfikacji przez sąd. Rozsądny zakres terytorialny, czasowy i przedmiotowy obowiązków jest kluczowy, jeśli umowa ma być nie tylko podpisana, ale i obronić się w realnym sporze.

Kogo dotyczy NDA: podwykonawca, jego ludzie i dalsi podwykonawcy

Modele współpracy z podwykonawcami i ich wpływ na NDA

Relacja z podwykonawcą rzadko ogranicza się do jednej osoby. Nawet przy umowie z jednoosobowym przedsiębiorcą często w tle pojawiają się współpracownicy, rodzina pomagająca „po godzinach”, inni freelancerzy. NDA musi brać to pod uwagę, jeśli ma realnie zabezpieczać tajemnicę przedsiębiorstwa.

Najczęstsze modele współpracy:

  • Jednoosobowy specjalista (freelancer) – formalnie jedna osoba, w praktyce może korzystać z „pomocy” znajomych, podnajmować podzadania, korzystać z coworkingu, firm hostingowych. Tutaj NDA powinno jasno wskazać jego odpowiedzialność za wszystkie osoby, którymi się posługuje.

    • Zespół podwykonawcy, stażyści i osoby „na umowie śmieciowej”

    Jeżeli podpisujesz NDA z firmą, a nie z pojedynczą osobą, w praktyce dostęp do poufnych danych będzie miało więcej ludzi: pracownicy etatowi, zleceniobiorcy, praktykanci, czasem podwykonawcy „od podwykonawcy”. NDA powinno jasno wskazywać, że:

  • podwykonawca może udostępniać informacje swoim ludziom tylko w zakresie niezbędnym do realizacji zlecenia,
  • każda z tych osób musi być objęta równoważnym obowiązkiem poufności (np. klauzulą w umowie o pracę, zleceniu, osobnym NDA),
  • za działania i zaniechania tych osób odpowiada wobec Ciebie sam podwykonawca, jak za własne.

Bez takiego zapisu ryzykujesz, że podwykonawca powie przy wycieku: „to nie ja, to praktykant”, a Twoje roszczenia utkną w martwym punkcie. Z Twojej perspektywy kluczowe jest, aby jednym adresem odpowiedzialności był zawsze podwykonawca, z którym masz umowę.

Dalsi podwykonawcy (subcontracting) – zgoda, kontrola, odpowiedzialność

W wielu branżach podzlecanie jest standardem. Software house oddaje część prac freelancerom, agencja marketingowa zatrudnia copywriterów, studio wideo wynajmuje montażystów. Jeżeli nie uregulujesz tego w NDA, informacje poufne zaczną krążyć po rynku w sposób, którego nikt nie kontroluje.

Dobry punkt wyjścia to trzy proste zasady:

  1. Zgoda na dalsze podzlecanie
    Podwykonawca powinien mieć obowiązek uzyskania Twojej uprzedniej zgody (ogólnej lub indywidualnej) na zaangażowanie dalszych podwykonawców, jeśli mają mieć dostęp do poufnych informacji.
  2. Równe standardy poufności
    Każdy dalszy podwykonawca musi podpisać NDA lub klauzulę poufności co najmniej tak restrykcyjną, jak Wasza umowa. Warto doprecyzować, że brak takiego dokumentu oznacza zakaz udostępniania mu informacji.
  3. Pełna odpowiedzialność głównego podwykonawcy
    W NDA warto wprost zapisać, że podwykonawca ponosi pełną odpowiedzialność za naruszenia poufności przez dalszych podwykonawców tak, jak za własne działania.

Przykładowy zapis, który dobrze działa w praktyce: „Podwykonawca może powierzyć wykonanie części prac osobom trzecim wyłącznie po uzyskaniu pisemnej (także mailowej) zgody Zamawiającego, pod warunkiem nałożenia na nie obowiązku poufności w zakresie co najmniej równym postanowieniom niniejszej umowy. Podwykonawca ponosi odpowiedzialność za działania i zaniechania tych osób jak za własne.”

Partnerzy technologiczni, dostawcy narzędzi i chmury

Częsta wątpliwość: czy użycie zewnętrznych narzędzi (SaaS, chmura, systemy mailingowe) wymaga zgody w ramach NDA? Tu warto rozróżnić dwie sytuacje:

  • standardowe usługi infrastrukturalne (np. hosting, chmura, system backupu) – często możesz dopuścić je ogólnie w NDA, pod warunkiem że dostawca spełnia określone standardy bezpieczeństwa (np. szyfrowanie, certyfikaty ISO),
  • usługi „ludzkie” (np. call center, zewnętrzne biuro obsługi, ręczne wprowadzanie danych) – tu wskazana jest konkretna zgoda i jasne wskazanie, że podwykonawca upewni się co do NDA/RODO po swojej stronie.

Jeżeli wiesz, że w projekcie pojawią się konkretne systemy (np. nazwana chmura, CRM), możesz je wymienić z nazwy, aby uniknąć późniejszych sporów, czy ich wykorzystanie było dopuszczalne. Dla obu stron to czytelny sygnał, jakie przepływy danych są akceptowane.

Zbliżenie wydrukowanej umowy NDA leżącej na drewnianym stole
Źródło: Pexels | Autor: RDNE Stock project

Co konkretnie jest informacją poufną – jak nie przegiąć z zakresem

Szeroka definicja vs. realne życie

Najczęstszy błąd w NDA: definicja informacji poufnych, która obejmuje absolutnie wszystko, co zostanie wypowiedziane, napisane, zanotowane lub „tylko pomyślane przy kawie”. Teoretycznie daje to pełną ochronę, w praktyce paraliżuje współpracę i często jest nieskuteczne w sporze.

Przydatne jest rozbicie informacji na kilka kategorii:

  • informacje biznesowe – strategie, plany cenowe, rabaty, leady sprzedażowe, wyniki analiz, specyfikacje ofert,
  • informacje techniczne – kod źródłowy, dokumentacja techniczna, architektura systemów, know-how procesowe,
  • informacje organizacyjne – procedury wewnętrzne, schematy zespołów, dane kontaktowe kluczowych osób,
  • dane osobowe – o ile są objęte NDA jako element tajemnicy przedsiębiorstwa i przetwarzania danych.

W definicji można odwołać się do tych kategorii, a dodatkowo dopisać, że informacją poufną są też wszelkie inne informacje oznaczone przez przekazującego jako poufne albo co do których przeciętny profesjonalista powinien rozpoznać, że mają poufny charakter.

Wyłączenia z poufności – czego nie ma sensu „uszczelniać”

Dla zdrowej współpracy ważne są również wyjątki. Jeżeli ich zabraknie, podwykonawca będzie miał poczucie, że „bez prawnika nie mogę wypowiedzieć jednego zdania o tej współpracy”. Typowe wyłączenia dotyczą informacji, które:

  • są lub staną się publicznie dostępne nie z winy podwykonawcy,
  • podwykonawca posiadał już wcześniej i może to wykazać (np. portfolio, własne know-how),
  • zostały niezależnie opracowane przez podwykonawcę bez wykorzystania informacji poufnych zamawiającego,
  • muszą zostać ujawnione na podstawie bezwzględnie obowiązujących przepisów prawa lub prawomocnego orzeczenia,
  • ogólną wiedzą branżową (np. standardowe rozwiązania marketingowe, wzorce UX, powszechnie znane biblioteki).

Przy okazji da się rozwiać częstą obawę podwykonawców: że NDA zablokuje im możliwość korzystania z własnych pomysłów i doświadczeń w przyszłych projektach. Wystarczy zastrzec, że NDA nie ogranicza prawa do korzystania z ogólnej wiedzy, umiejętności i doświadczenia nabytych w trakcie współpracy – o ile nie dochodzi przy tym do ujawniania konkretnych informacji poufnych z umowy.

Forma przekazania informacji: pisemnie, ustnie, w systemach

Niektóre wzory NDA obejmują wyłącznie informacje przekazane „w formie pisemnej i oznaczone jako poufne”. Przy współczesnych projektach IT, marketingowych czy badawczych to zwyczajnie za mało. Informacje poufne pojawiają się w:

  • wiadomościach e-mail, komunikatorach, komentarzach w zadaniach,
  • spotkaniach online, warsztatach, szybkich rozmowach telefonicznych,
  • dostępie do systemów (CRM, Jira, Slack, bazy danych, Drive).

W NDA warto zatem zastrzec, że ochrona obejmuje wszelkie formy przekazania – w tym elektroniczne, ustne oraz poprzez udzielenie dostępu do systemów. Jednocześnie można wprowadzić praktyczne rozwiązanie: np. informacja ustna staje się formalnie objęta NDA, jeżeli w rozsądnym czasie zostanie potwierdzona mailowo lub w innym utrwalonym medium. To ułatwia późniejsze dowodzenie, że coś faktycznie zostało przekazane jako poufne.

Para podpisuje umowę przy stole w obecności doradcy prawnego
Źródło: Pexels | Autor: Ron Lach

Obowiązki podwykonawcy w NDA – co wpisać, żeby dało się tego pilnować

Nie tylko „nie ujawniać”, ale też „jak chronić”

Samo zobowiązanie „podwykonawca zachowa poufność” jest zbyt ogólne. Przy sporze pojawia się pytanie: co konkretnie powinien był zrobić? Tu pomaga kilka praktycznych, ale wykonalnych obowiązków, np.:

  • ograniczenie dostępu do informacji tylko do osób, którym są realnie potrzebne do pracy,
  • stosowanie haseł, szyfrowania i aktualnego oprogramowania (bez wchodzenia w techniczne szczegóły, które zestarzeją się za rok),
  • niewykorzystywanie prywatnych, nieszyfrowanych nośników do przechowywania materiałów (pendrive’y „z szuflady”, prywatne Dropboxy itp.),
  • niepozostawianie dokumentów i nośników w miejscach publicznie dostępnych (coworkingi, pociągi, sale konferencyjne),
  • natychmiastowe zgłoszenie każdej podejrzanej sytuacji, która może prowadzić do naruszenia (np. kradzież laptopa, włamanie na skrzynkę e-mail).

Nie trzeba opisywać całego systemu bezpieczeństwa – wystarczy kilka jasnych wytycznych, które da się egzekwować i które pokazują, że obie strony traktują temat poważnie.

Zakaz wykorzystania informacji dla innych celów

Oprócz zakazu ujawniania, kluczowy jest zakaz wykorzystywania informacji poufnych w innym celu niż wykonanie umowy. Bez tego podwykonawca nie wyniesie danych „na zewnątrz”, ale teoretycznie może wykorzystać wiedzę o Twoich marżach czy procesach do skonstruowania oferty dla Twojej konkurencji.

Praktyczny zapis może brzmieć: „Podwykonawca zobowiązuje się nie wykorzystywać Informacji Poufnych w jakimkolwiek innym celu niż wykonanie Umowy Głównej, w szczególności w celu świadczenia usług na rzecz innych podmiotów lub prowadzenia działalności konkurencyjnej wobec Zamawiającego.”

Zasady przechowywania i niszczenia danych po zakończeniu współpracy

NDA dobrze działa, jeśli przewiduje, co dzieje się z danymi po zakończeniu projektu. Wiele wycieków pochodzi właśnie z „zapomnianych” kopii na dyskach, w chmurach albo na prywatnych kontach. Możesz wprowadzić obowiązek, aby po zakończeniu współpracy:

  • podwykonawca zwrócił wszelkie nośniki i dokumenty zawierające informacje poufne (o ile są w formie fizycznej),
  • trwale usunął lub zanonimizował kopie elektroniczne, z wyjątkiem tych, które musi zachować z powodów podatkowych lub dowodowych,
  • na żądanie przekazał pisemne oświadczenie o wykonaniu tych czynności.

Nie trzeba wymagać cudów – ważne, żeby obie strony miały świadomość, że współpraca się zakończyła, a wraz z nią kończy się „luźny” dostęp do systemów, kont i plików.

Obowiązek zgłaszania incydentów i współpraca przy ich wyjaśnianiu

Zdarza się, że naruszenie poufności wynika z błędu, a nie złej woli: zgubiony laptop, zhakowana skrzynka e-mail, omyłkowo wysłany plik do niewłaściwego adresata. W NDA warto dodać klauzulę, że:

  • podwykonawca niezwłocznie informuje zamawiającego o każdym zdarzeniu, które mogło prowadzić do naruszenia poufności,
  • udziela wszelkiej rozsądnej pomocy przy analizie zdarzenia i ograniczaniu jego skutków (np. odwołanie wiadomości, kontakt z odbiorcą, zmiana haseł),
  • nie ukrywa incydentu z obawy przed karą – im szybciej zostanie wykryty, tym łatwiej ograniczyć szkody.

Taki zapis działa ochronnie dla obu stron: zamawiający ma szansę zareagować, a podwykonawca nie musi wybierać między „przyznać się i ponieść karę” a „udawać, że nic się nie stało” – ma jasną ścieżkę postępowania.

Okres obowiązywania NDA – jak długo podwykonawca ma milczeć

Czas trwania a rodzaj informacji

Powszechną praktyką jest wpisywanie w NDA „obowiązuje wieczyście” lub „przez 10–20 lat”. Z punktu widzenia zlecającego brzmi to bezpiecznie, ale wielu podwykonawców odbiera taki zapis jako sygnał braku zrozumienia realiów. Rozsądne podejście zakłada zróżnicowanie okresów:

  • dla tajemnicy przedsiębiorstwa – do czasu, aż dana informacja zachowa charakter poufny i wartość gospodarczą (często 3–5 lat po zakończeniu współpracy wystarcza),
  • dla standardowych informacji organizacyjno-biznesowych – krótsze okresy, np. 2–3 lata,
  • dla szczególnie wrażliwych informacji technicznych (np. algorytmy, know-how produkcyjne) – dłużej, ale z uzasadnieniem w praktyce biznesowej.

Można też zastosować prosty model: ogólna poufność obowiązuje np. 5 lat po zakończeniu współpracy, a osobno wskazać, że określone kategorie informacji (wymienione w załączniku) są chronione do czasu, gdy staną się publicznie znane lub utracą znaczenie gospodarcze.

Rozdzielenie okresu trwania umowy i obowiązku poufności

Najczęściej zadawane pytania (FAQ)

Czy z podwykonawcą wystarczy zwykła klauzula poufności, czy potrzebne jest osobne NDA?

Od strony prawa liczy się treść zobowiązania, a nie nazwa dokumentu. Rozbudowana klauzula poufności w głównej umowie może dawać podobną ochronę jak osobne NDA, jeśli jasno opisuje zakres informacji poufnych, czas trwania obowiązku, odpowiedzialność i ewentualne kary.

Osobne NDA jest wygodniejsze, gdy współpraca jest szersza, długoterminowa, obejmuje kilka projektów lub bardzo wrażliwe dane (np. kod źródłowy, strategie cenowe, bazy klientów). Podwykonawca ma wtedy wszystkie zasady poufności w jednym miejscu i łatwiej zrozumie, za co faktycznie odpowiada.

Kiedy naprawdę opłaca się podpisywać NDA z podwykonawcą?

NDA ma największy sens, gdy podwykonawca dostaje dostęp do informacji, które budują Twoją przewagę rynkową. Chodzi zwłaszcza o:

  • know-how i procedury wewnętrzne (np. procesy sprzedaży, algorytmy, scenariusze rozmów),
  • bazy klientów, dane o kontrahentach i warunkach handlowych,
  • projekty technologiczne (kody źródłowe, dokumentacja, architektura systemu),
  • plany strategiczne, politykę cenową, roadmapy produktów,
  • dane osobowe w większej skali, np. w systemach CRM, rekrutacjach, helpdesku.

Jeśli zlecenie jest proste, jednorazowe i nie wymaga dostępu do takich informacji (np. odświeżenie grafiki na stronę, prosta ulotka), wystarczy często krótka klauzula poufności w umowie zamiast osobnego NDA.

Jakie zapisy w NDA są przesadą i zniechęcają dobrych podwykonawców?

Najczęściej odstraszają trzy rzeczy: zbyt szeroka definicja informacji poufnych („wszystko, co zobaczysz, jest tajemnicą”), nieograniczony w czasie obowiązek poufności dla każdego rodzaju danych oraz kary umowne rażąco wyższe niż wartość współpracy. Taki dokument budzi obawę, że jedno potknięcie może zrujnować działalność podwykonawcy.

Bardziej uczciwe i nadal bezpieczne podejście to: precyzyjne wskazanie, co jest poufne, sensowny okres ochrony (np. 3–5 lat, dłużej tylko dla naprawdę wrażliwych informacji) oraz kary, które są odczuwalne, ale nie oderwane od skali projektu. Dzięki temu łatwiej pozyskać doświadczonych specjalistów, którzy unikają „toksycznych” umów.

Co obowiązkowo powinno się znaleźć w NDA z podwykonawcą?

Solidne NDA z podwykonawcą powinno co najmniej regulować:

  • jasną definicję informacji poufnych (z wyłączeniem tego, co już jest publiczne lub oczywiste zawodowo),
  • zasady korzystania z tych informacji, ich przechowywania i zabezpieczenia,
  • to, czy podwykonawca może angażować dalszych podwykonawców i na jakich warunkach,
  • czas obowiązywania poufności po zakończeniu współpracy,
  • odpowiedzialność podwykonawcy (w tym ewentualne kary umowne) za wyciek danych lub inne naruszenia.

Dobrą praktyką jest też wskazanie prostych zasad organizacyjnych: kto ma dostęp do danych, jak przekazujecie pliki, jak reagujecie na incydenty bezpieczeństwa. To obniża stres obu stron i zmniejsza ryzyko nieporozumień.

Czy NDA zastępuje umowę powierzenia danych osobowych (RODO) z podwykonawcą?

Nie. NDA chroni przede wszystkim tajemnicę przedsiębiorstwa i poufne informacje biznesowe. Jeśli podwykonawca przetwarza dane osobowe w Twoim imieniu (np. obsługuje CRM, kampanie mailingowe, rekrutacje, system medyczny), potrzebna jest osobna umowa powierzenia przetwarzania danych osobowych zgodna z RODO.

W praktyce często funkcjonują dwa dokumenty: NDA regulujące poufność biznesową oraz umowa powierzenia, która szczegółowo opisuje zakres, cel, środki bezpieczeństwa i odpowiedzialność za dane osobowe. Dopiero ten duet daje pełną ochronę zarówno od strony biznesowej, jak i regulacyjnej.

Jak sformułować NDA, żeby chroniło firmę, ale nie paraliżowało pracy podwykonawcy?

Klucz to proporcja. Po pierwsze, nazwij jasno, które informacje są naprawdę wrażliwe, zamiast wrzucać do definicji wszystko „na zapas”. Po drugie, określ rozsądny czas obowiązywania poufności i nie oczekuj, że podwykonawca „wyczyści głowę” z całego doświadczenia po zakończeniu projektu.

Po trzecie, zaproponuj takie środki bezpieczeństwa, które da się wdrożyć w małej firmie czy u freelancera (np. hasła, szyfracja dysków, ograniczony dostęp), zamiast skomplikowanych procedur korporacyjnych. Wreszcie, ustaw kary na poziomie, który podwykonawca realnie jest w stanie udźwignąć – wtedy podpisuje NDA świadomie, a nie „z duszą na ramieniu”.

Czy bez NDA moje informacje są w ogóle jakoś chronione prawnie?

Tak, część informacji może być chroniona jako tajemnica przedsiębiorstwa na podstawie ustawy o zwalczaniu nieuczciwej konkurencji. Dotyczy to danych, które mają wartość gospodarczą, nie są powszechnie znane i są realnie chronione (np. ograniczony dostęp, procedury, oznaczenia „poufne”).

NDA jest jednak ważnym dowodem na to, że faktycznie dbasz o poufność. W razie sporu znacznie łatwiej wykazać, że druga strona wiedziała, co jest tajemnicą i jakie są konsekwencje naruszenia. Bez żadnych umów i zasad ryzyko przegrania sporu lub otrzymania symbolicznego odszkodowania jest po prostu większe.

Odkryj kolejne inspiracje:

Poprzedni artykułJak przygotować zdjęcia do fotoksiążki, aby wyglądały profesjonalnie
Następny artykułCzym różni się rozporządzenie od ustawy i kto naprawdę tworzy prawo?
Filip Wójcik
Filip Wójcik
Filip Wójcik zajmuje się w AZ-Hurt.pl analizą gospodarki, podatków i regulacji wpływających na firmy. Łączy podejście analityczne z doświadczeniem w pracy z danymi: porównuje stawki, terminy, koszty i skutki zmian prawnych, a w artykułach pokazuje, jak przełożyć przepisy na decyzje biznesowe. Korzysta z oficjalnych źródeł, interpretacji i raportów, a liczby zawsze opisuje kontekstem oraz założeniami. Pisze rzeczowo, bez sensacji, zwracając uwagę na ryzyka, wyjątki i najczęstsze pułapki. Jego celem jest, by czytelnik rozumiał „dlaczego” i „co dalej”, a nie tylko znał definicję.