NDA i ochrona informacji poufnych

1) Cele i zasady

• tajemnice handlowe (algorytmy zwalczania nadużyć finansowych, profile bonusowe, modele ML, matematyka RNG);
• materiały negocjacyjne (znaczniki cen, oferty, M&A, due diligence);
• procesy i źródła techniczne (architektura, IaC, schematy API, klucze);
• dane partnerskie (SDK, mapy drogowe, beta);
• dane osobowe/biznesowe (w ramach DPA/DSA).

Zasady: need-to-know, identyfikowalność, szyfrowanie domyślnie, rozdzielenie ról/obowiązków, „czyste pomieszczenie” dla wspólnego rozwoju.

2) Klasyfikacja i oznakowanie informacji

Oznaczenie: „[POUFNE]”, właściciel danych, data wydania, link do biletu/powód dostępu.

3) Tryb tajemnic handlowych

Akt prawny/polityka: wykaz informacji, środki ochrony, odpowiedzialność.
Środki techniczne: RBAC/ABAC, dzienniki dostępu, DLP, znakowanie wodne, kontrola wydruku/zrzutu ekranu.
Organizacja: listy kontrolne na pokładzie/offboard, szkolenia, umowy o nieujawnianiu informacji, zakaz wprowadzania/usuwania mediów bez rejestracji.
Dyscyplina dokująca: wersje, rejestr artefaktów, etykietowanie, kanały „tajne” (zamknięte pomieszczenia/repozytoria).

4) Rodzaje NDA

W jedną stronę: odsłania jedną stronę (zazwyczaj dostawcę SDK).
Wzajemna: wymiana informacji poufnych w obu kierunkach (negocjacje, integracja).
Wielostronne: konsorcja, wspólni piloci.
NCA/NDA + NCA: Do NDA dodaje się brak obchodzenia środków (zakaz omijania pośrednika).
NDA z deweloperem/wykonawcą: łączyć z wynalazkami/przypisaniem (prawa do wyników).

5) Kluczowe sekcje NDA (obowiązkowe)

1. Definicja informacji poufnych: włącznie z informacjami ustnymi (po dalszym pisemnym potwierdzeniu), elektronicznymi, materialnymi; Wykaz typowych przykładów (kod, schematy, ceny, deski rozdzielcze).
2. Wyjątki: (i) znane publicznie bez naruszenia; (ii) był już legalnie w posiadaniu; (iii) opracowane niezależnie (sprawdzone); (iv) ujawnione legalnie agencjom rządowym (z zawiadomieniem).
3. Cel ujawnienia: szczególne (ocena partnerstwa, pilot, audyt).
4. Obowiązki beneficjenta: poziom ochrony nie jest niższy niż ich własny; trzeba wiedzieć, zakaz kopiowania poza celem, zakaz odwrotnej inżynierii/porównywania bez zgody.
5. Termin i „przetrwanie”: termin zawarcia umowy (np. 2-5 lat) + ochrona tajemnic po okresie trwania (np. 5-10 lat/na czas nieokreślony dla tajemnic).
6. Powrót/zniszczenie: na żądanie lub zakończenie - powrót/usunięcie z potwierdzeniem; kopie zapasowe - w trybie pamięci masowej do automatycznego terminu.
7. Zgłoszenia audytu i incydentów: szybkość powiadamiania (np. ≤ 72 godziny), współpraca w dochodzeniu.
8. Środki prawne: ulga na szkodę, odszkodowania, limity nie mają zastosowania do umyślnych naruszeń.
9. Obowiązujące prawo/Arbitraż: Jurysdykcja/Forum, Język, ADR/Arbitraż.
10. Wywóz/sankcje: zakaz przenoszenia na subkarby/jurysdykcje; zgodność z kontrolą wywozu (kryptografia).
11. „Wiedza rezydualna” (zgodnie z ustaleniami): możliwe/niemożliwe jest wykorzystanie „nieopisanej wiedzy” pracowników (zwykle - w celu wykluczenia lub ograniczenia).
12. Podwykonawcy/podmioty powiązane: dozwolone tylko z podobnymi obowiązkami i pisemną zgodą.
13. Ochrona danych (jeżeli PII): odniesienie do DPA/DSA, rola stron (administrator/podmiot przetwarzający), cele/podstawa prawna, transgraniczne transfery, okres przechowywania.

6) Powiązanie NDA z prywatnością i bezpieczeństwem

Jeśli dane osobowe są przekazywane, NDA nie wystarczy - DPA/DSA i RODO/środki analogiczne są wymagane (podstawy prawne, prawa osób, DPIA dla wysokiego ryzyka).
Kontrola techniczna: szyfrowanie w tranzycie (TLS 1. 2 +), w stanie spoczynku (AES-256), tajne zarządzanie, rotacja klucza, MDM dla urządzeń, 2FA, SSO, minimalizacja dzienników PII.

7) Procedury dostępu i wymiany

Kanały: poczta domenowa, chronione pokoje (VDR), SFTP/mTLS, zaszyfrowane archiwa (AES-256 + hasło poza pasmem).
Zakaz: komunikatory błyskawiczne bez integracji korporacyjnej, chmury osobiste, linki publiczne, urządzenia bezzałogowe.
Kontrola druku/eksportu, zakaz osobistych nośników flash, ograniczenia geograficzne (geofensywy).

8) Czysty pokój i współrozwoju

Oddzielić polecenia „widząc” i „czyste”, przechowywać jednostronne artefakty oddzielnie.
Źródła i pochodzenie dokumentów.
W przypadku wspólnych punktów kontaktowych: uzgodnienie praw do wyników (wspólne/cesja), którzy są właścicielami danych pochodnych.

9) Macierz ryzyka RAG

10) Listy kontrolne

Przed wymianą informacji

• Podpisane przez NDA (prawo/forum/termin/wyjątki/sankcje).
• Czy potrzebuję DPA/DSA? Jeśli tak, podpisane.
• Przypisuje się poziom właściciela i klasyfikacji.
• Kanał wymiany i szyfrowanie są spójne.
• Lista potrzebna, skonfigurowany dostęp VDR/foldery.

Podczas wymiany

• Oznakowanie plików i wersja, znaki wodne.
• Dzienniki dostępu, brak ponownego udostępniania bez zgody.
• Sumy hash/rejestr artefaktów.

Po zakończeniu

• Zwrot/usunięcie i pisemne potwierdzenie.
• Dostęp odwołany, żetony/klucze obracane.
• Po audycie: Co poprawić w procesach/szablonach.

11) Wzory (fragmenty klauzul umownych)

A. Definicje i wyjątki

B. Zobowiązania i dostęp

C. Czas trwania/przeżycie

D. Powrót/zniszczenie

E. Środki prawne

F. Eksport/Sankcje

G. Wiedza resztkowa (nieobowiązkowa)

> Strony zgadzają się, że niepotwierdzone ogólne umiejętności i znajomość pracowników Odbiorcy nie są uważane za informacje poufne, pod warunkiem że nie ma celowego zapamiętywania i używania kodu źródłowego/tajnych wzorów. (Zaleca się wykluczenie lub surowe ograniczenie w projektach wysokiego ryzyka.)

12) Rekomendowane rejestry (YAML)

12. 1 rejestr NDA

yaml nda_id: "NDA-2025-0142"
counterparty: "GameProvider X Ltd"
type: "mutual"
purpose: "SDK integration and technical support"
term_months: 36 survival_years: 7 includes_dpa: true export_sanctions_clause: true residual_knowledge: "excluded"
owner: "Legal"
vault_folder: "vdr/providers/gpx"

12. 2 Kancelaria wymiany artefaktów

yaml exchange_id: "XCH-2025-009"
nda_id: "NDA-2025-0142"
classification: "Confidential"
channel: "VDR"
files:
- "api_specs_v3. pdf"  # sha256:...
- "kpis_q1. xlsx"    # sha256:...
recipients: ["a. smith@gpx. com","techlead@gpx. com"]
access_start: "2025-11-05"
access_end: "2026-01-31"
destroy_confirmed: false

13) Polityka i praktyki w zakresie bezpieczeństwa (krótki opis)

Urządzenia: korporacyjne, pełne szyfrowanie dysku, MDM, zakaz BYOD dla „Secret”.
Dostęp: SSO/2FA, dostęp warunkowy (geo/urządzenie), role tymczasowe (just-in-time).
kłody: przechowywanie i monitorowanie dostępu; wpisy dotyczące godzin masowego rozładunku/niestandardowych.
DLP: blok załączników poza domeną/bez szyfrowania, znaki wodne w PDF.
Wygoda: bezpieczne szablony pomieszczeń (VDR), gotowe skrypty szyfrujące archiwum, standardowe NDA/DPA.

14) Zarządzanie incydentami (w kontekście NDA)

1. Fixation: co, kiedy, kto, jakie pliki/repozytoria; zamrażanie sesji.
2. Izolacja: odwołanie dostępu/klawiszy, tymczasowa „zamrażarka” w chmurze.
3. Ogłoszenia: właściciel danych, prawnicy, partnerzy; PII - przez DPA/RODO.
4. Dochodzenie: zbieranie kłód, badania sądowe, określanie ilości szkód.
5. Naprawa: wymiana tajemnic, łatek, aktualizowanie odtwarzaczy, uczenie się.
6. Środki prawne: roszczenia/roszczenia dotyczące NDA, odszkodowanie.

15) Mini-FAQ

Czy NDA wystarczy dla danych osobowych? Nie, potrzebujesz DPA/DSA i środków ochrony prywatności.
Czy można wysłać poufne do posłańca? Tylko w firmie zatwierdzonej i na koniec, z włączonym DLP/logami.
Ile przechowywać materiały? tyle, ile wymaga cel/umowa; po zakończeniu - powrót/usunięcie z potwierdzeniem.
Czy muszę szyfrować wewnętrzne dyski? Tak, pełny dysk + plik/tajne szyfrowanie.

16) Wniosek

NDA to tylko wierzchołek góry lodowej. Prawdziwa ochrona opiera się na tajemnicach handlowych, prywatności (DPA), ścisłych kontrolach technicznych i organizacyjnych, dyscyplinie wymiany i szybkiej reakcji na incydenty. Standaryzuj szablony, tworzenie rejestrów i odtwarzania - a Twoje sekrety, kod i negocjacje pozostaną atutem, a nie luką.