Poradnik Przedsiębiorcy

Czy tajemnica przedsiębiorstwa może byc ujawniona podczas audytu RODO?

Z jednej strony całkowicie zrewolucjonizowane zostały zasady ochrony danych osobowych w związku z wejściem w życie przepisów RODO oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), z drugiej zaś tajemnica przedsiębiorstwa, tzw. know-how, zyskała na znaczeniu z uwagi na Dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/943 z dnia 8 czerwca 2016 r. przed ich bezprawnym pozyskiwaniem, wykorzystaniem i ujawnianiem. Choć z pozoru przepisy te dotyczą zupełnie różnych kwestii, może się jednak zdarzyć tak, że w toku audytu czy postępowania kontrolnego przeprowadzanego w przedsiębiorstwie jego tajemnice zostaną narażone na ujawnienie.

Tajemnica przedsiębiorstwa jest poufna i chroniona

Tajemnica przedsiębiorstwa stanowi często najbardziej wartościowy element firmy. Tajemnica przedsiębiorstwa, popularnie nazywana know-how, musi spełniać trzy podstawowe warunki:

  1. być informacją poufną, a zatem trudno dostępną i nieznaną dla nieuprawnionego kręgu osób;

  2. posiadać wartość handlową;

  3. być chroniona poprzez działania zgodne z jej charakterem i rodzajem w sposób, który gwarantuje zachowanie informacji w stanie poufności.

Tajemnica przedsiębiorstwa - definicja
Zgodnie z Dyrektywą Parlamentu Europejskiego i Rady (UE) 2016/943 z dnia 8 czerwca 2016 r. „tajemnica przedsiębiorstwa” oznacza informacje, które spełniają wszystkie następujące wymogi:
a) są poufne w tym sensie, że jako całość lub w szczególnym zestawie i zbiorze ich elementów nie są ogólnie znane lub łatwo dostępne dla osób z kręgów, które zwykle zajmują się tym rodzajem informacji;
b) mają wartość handlową dlatego, że są objęte tajemnicą;
c) poddane zostały przez osobę, która zgodnie z prawem sprawuje nad nimi kontrolę, rozsądnym, w danych okolicznościach, działaniom dla utrzymania ich w tajemnicy.

Żaden z przepisów dyrektywy lub polskiej ustawy o zwalczaniu nieuczciwej konkurencji nie określa, jaki dokładnie katalog informacji może stanowić tajemnicę przedsiębiorstwa. Mogą być to zarówno informacje techniczne, jak i technologiczne czy organizacyjne, a także wszystkie inne informacje, które spełniają warunki opisane powyżej. Tajemnica przedsiębiorstwa jest chroniona na zasadach opisanych w ustawie o zwalczaniu nieuczciwej konkurencji, a przedsiębiorcy, którego tajemnice zostały naruszone, przysługuje szereg roszczeń umożliwiających dochodzenie jego praw i naprawienie wyrządzonej takim działaniem szkody.

W toku prowadzenia działalności przedsiębiorca w szeregu różnych sytuacji może być narażony na ujawnienie informacji stanowiących tajemnice przedsiębiorstwa. Sytuacje, które potencjalnie nie niosą ze sobą żadnego zagrożenia, mogą wiązać się z niezwykle niekorzystnymi skutkami dla prowadzonego przez przedsiębiorcę biznesu, jego wyników finansowych oraz pozycji na rynku. Ideą ochrony tajemnicy przedsiębiorstwa jest ograniczenie dostępu osób trzecich do tych informacji. Przedsiębiorcy podejmują rozmaite działania – od szyfrowania danych i wymyślnych technik zabezpieczeń po sprawdzone od wieków zabezpieczenia fizyczne – w celu ograniczeniu kręgu osób, które potencjalnie mogłyby stanowić zagrożenie dla tych danych. Może jednak zdarzyć się tak, iż nawet najbardziej chronione informacje zostaną udostępnione osobom niepowołanym i to w toku działań zgodnych z prawem. Każdy przedsiębiorca podlega szeregowi różnych kontroli, w których toku jest narażony na ujawnienie poufnych danych. Audyty przeprowadzane w ramach wdrożenia procesów RODO i sprawdzenia ich poprawności nie stanowią w tym przypadku żadnego wyjątku. Tego rodzaju działania mają szczególne znaczenie w kontekście trzeciego z przywołanych powyżej warunków niezbędnych do uznania informacji za tajemnicę przedsiębiorstwa.  

Kilka słów o audycie RODO

RODO służy zapewnieniu pełnej i kompleksowej ochrony przechowywanych i przetwarzanych przez przedsiębiorcę danych osobowych. Co istotne, żaden z przepisów rozporządzenia nie stanowi dokładnie, w jaki sposób ochrona ta ma wyglądać. Nie istnieje jedna instrukcja czy jedna metoda, których wdrożenie byłoby wystarczającym środkiem do zapewnienia bezpieczeństwa danych.

Ważne!
Każdy przedsiębiorca musi we własnym zakresie zadbać o to, aby przechowywane i przetwarzane przez niego dane osobowe były bezpieczne. Przedsiębiorca musi opracować takie procedury bezpieczeństwa, które będą zgodne z regulacjami RODO. Systemy bezpieczeństwa winny mieć na uwadze również tajemnice przedsiębiorstwa i ustalony przez przedsiębiorcę sposób ich ochrony.

Pierwszym i zapewne najważniejszym krokiem w celu wdrożenia rozwiązań RODO jest przeprowadzenie audytu. Ponownie, żaden przepis rozporządzenia nie wskazuje, w jaki dokładnie sposób ma wyglądać audyt. Nie istnieją przepisy opisujące jego techniczną stronę. Należy wskazać jednakże, iż w ramach audytu konieczne jest sprawdzenie:

  • jakie dane osobowe znajdują się w posiadaniu przedsiębiorcy i czy osoby, których dane te dotyczą, wyraziły zgodę na ich przetwarzanie;

  • jaki jest cel i zakres przetwarzania danych osobowych oraz czy wszystkie dane osobowe przechowywane przez przedsiębiorcę są rzeczywiście niezbędne (być może węższy zakres danych, np. adres e-mail lub numer telefonu jest wystarczający, a przechowywanie adresów korespondencyjnych jest zbędne);

  • sprawdzenie technicznych sposobów przechowywania danych osobowych (np. systemu zabezpieczeń, w tym m.in. certyfikatów bezpieczeństwa stron internetowych, a nawet zabezpieczeń fizycznych);

  • sprawdzenie stanu wiedzy pracowników przedsiębiorcy mających dostęp do danych osobowych, w tym danych osobowych innych pracowników oraz klientów przedsiębiorcy oraz kontrola dokumentów i umów zawieranych z pracownikami w kontekście zapewnienia poufności danych, którymi dysponuje przedsiębiorca.

Analiza uzyskanych w powyższy sposób informacji pozwoli na opracowanie rozwiązań na miarę potrzeb przedsiębiorcy. Wdrożenie tych rozwiązań pozwoli na zapewnienie danym przechowywanym przez przedsiębiorcę właściwego stopnia bezpieczeństwa.

Ważne!
Przedsiębiorca może przeprowadzić audyt RODO samodzielnie albo może zlecić przeprowadzenie audytu wyspecjalizowanemu podmiotowi.

W przypadku, w którym audyt RODO przeprowadzany jest przez przedsiębiorcę lub jego upoważnionych pracowników, ochrona tajemnic przedsiębiorstwa nie powinna stanowić żadnego problemu – zwłaszcza w przypadku, w którym audyt przeprowadzany jest przez tych samych pracowników, którzy mają dostęp do danych stanowiących tajemnice przedsiębiorstwa. Bez wątpienia problemem może okazać się zewnętrzny audyt RODO, jeśli w jego toku osoby przeprowadzające audyt uzyskają dostęp do poufnych informacji.

Co może zrobić przedsiębiorca?

Przed przeprowadzeniem audytu przedsiębiorca powinien przeanalizować dokładnie, jakie informacje narażone są na ujawnienie. Tak, jak w przypadku samego audytu, analiza tych informacji pozwoli przedsiębiorcy na sprawdzenie, czy możliwe jest takie wyodrębnienie danych stanowiących tajemnicę przedsiębiorstwa, aby nie zostały ujawnione one w toku przeprowadzanej kontroli. Jeśli pomimo podjęcia tych działań zapewnienie pełnej ochrony nie będzie możliwe w odniesieniu do wszystkich tajemnic, przedsiębiorca winien zadbać o to, aby zawrzeć z osobami przeprowadzającymi audyt umowy o zachowaniu poufności. Klauzule tego rodzaju mogą stanowić część umowy zawieranej w związku ze zleceniem audytu.

Każdy przedsiębiorca posługujący się w swojej działalności tajemnicami przedsiębiorstwa winien wdrożyć w niej politykę ochrony tajemnic przedsiębiorstwa. Oczywistym jest, iż polityka ta, jak wszystkie dokumenty wewnętrzne, powinna być spójna z innymi procedurami i systemami, którymi posługuje się przedsiębiorca w swojej działalności. Warto również wskazać, że winien on również – samodzielnie lub za pośrednictwem wyspecjalizowanego podmiotu – przeprowadzić audyt bezpieczeństwa przetwarzania informacji stanowiących tajemnicę przedsiębiorstwa.

Ważne!
Przeprowadzenie audytu bezpieczeństwa przetwarzania informacji stanowiących tajemnicę przedsiębiorstwa jest pomocnym narzędziem w działalności każdego przedsiębiorcy, który posiada tajemnice przedsiębiorstwa. Właściwie i dokładnie przeprowadzony audyt pomoże ustalić, jakie dokładnie środki są stosowane w celu ochrony tych informacji i jakie działania muszą zostać podjęte w celu uzyskania pełnego bezpieczeństwa danych. Audyt pozwoli również opracować procedury konieczne do zabezpieczenia danych w razie kontroli i audytów.

Z uwagi na wartość informacji, jakie stanowi tajemnica przedsiębiorstwa, konieczne jest podjęcie wszystkich możliwych działań w celu ich skutecznej ochrony. Przedsiębiorca winien zadbać o to, aby informacje stanowiące tajemnice przedsiębiorstwa pozostały poufne nawet w toku przeprowadzanych audytów i kontroli.