BazaFirm.online

Blog

RODO a baza firm B2B: gdzie kończy się legalne pozyskanie danych, a gdzie zaczyna się problem

Granice legalności marketingu B2B w Polsce: RODO, PKE, CEIDG/KRS, obowiązki nadawcy i checklist przed pierwszą kampanią cold email.

RODOcompliancebaza firmcold email
Wygeneruj bazę firm

Zespół BazaFirm.online

7 czerwca 2026 · 12 min czytania

Ważne: Ten artykuł ma charakter informacyjny i nie stanowi porady prawnej. Przed rozpoczęciem kampanii marketingowej skonsultuj się z prawnikiem. Szczegółowy przewodnik: Jak legalnie korzystać z bazy B2B.

RODO nie zabrania marketingu B2B — zabrania marketingu bez reguł

Kupujesz bazę firm, żeby zadzwonić lub napisać do potencjalnych klientów. Zanim klikniesz „wyślij kampanię”, pojawia się pytanie: czy to legalne? Krótka odpowiedź: dane firm z rejestrów publicznych można wykorzystywać w marketingu B2B, ale odpowiedzialność za sposób wysyłki leży po Twojej stronie, nie po stronie dostawcy pliku CSV.

Ten artykuł nie zastąpi konsultacji z prawnikiem. Pokazuje natomiast, gdzie przebiega granica między legalnym prospectingiem a ryzykiem — w języku sprzedawcy, nie w języku ustawy.

Dane firmowe vs dane osobowe — fundament całej dyskusji

RODO chroni osoby fizyczne, nie „firmy” jako abstrakcyjne podmioty. To brzmi prosto, ale w polskim B2B szybko się komplikuje:

  • Jednoosobowa działalność gospodarcza (JDG) — dane w CEIDG zawierają imię i nazwisko właściciela. To dane osobowe w pełnym zakresie RODO.
  • Spółka z o.o. lub S.A. — sama spółka nie jest „osobą fizyczną”, ale e-mail jan.kowalski@firma.pl lub telefon do konkretnej osoby już tak.
  • Adres ogólny firmowy (biuro@, kontakt@, sekretariat@) — często traktowany inaczej niż adres imienny, o ile treść oferty dotyczy działalności gospodarczej odbiorcy.

Wniosek praktyczny: nie ma jednej reguły „B2B = wolno wszystko”. Każdy rekord w bazie wymaga kontekstu — skąd pochodzi, kogo dotyczy, jaki kanał wybierasz.

Skąd legalnie pochodzą dane w bazie B2B

Dostawca danych powinien umieć wskazać źródło każdego pola. W Polsce standardem są:

  • CEIDG — jednoosobowe działalności i spółki cywilne
  • KRS — spółki kapitałowe, reprezentanci
  • REGON (GUS) — klasyfikacja PKD, lokalizacja, status podmiotu
  • Publiczne sygnały z WWW — strona firmowa, profile społecznościowe (przy zachowaniu zasad pozyskania)

Dane z rejestrów są jawne — ale jawność ≠ automatyczna zgoda na wszystko. Dalsze przetwarzanie (kampania, CRM, scoring) to już Twoja decyzja jako administratora danych po zakupie bazy.

Szczegóły techniczne pozyskania i walidacji opisujemy w metodologii danych BazaFirm.online.

Podstawa prawna marketingu bezpośredniego do firm

W polskim B2B spotkasz trzy warstwy prawa, które trzeba trzymać w głowie jednocześnie:

RODO (GDPR)

Określa, kiedy możesz przetwarzać dane osobowe. Najczęściej pojawia się:

  • Art. 6 ust. 1 lit. f — prawnie uzasadniony interes (np. oferta usługi B2B do firmy z Twojej branży)
  • Art. 14 — obowiązek informacyjny przy pierwszym kontakcie (skąd masz dane, po co, jakie prawa ma odbiorca)
  • Art. 21 — prawo sprzeciwu; po sprzeciwie przestajesz kontaktować

Prawo komunikacji elektronicznej (PKE) — art. 398

Reguluje marketing bezpośredni przedsiębiorców. Oferta musi dotyczyć ich działalności gospodarczej. Musisz umożliwić rezygnację z dalszych kontaktów. To nie jest „zgoda jak w B2C”, ale ma konkretne warunki — omawiamy je szerzej w osobnym artykule o cold emailu i PKE.

Ustawa o świadczeniu usług drogą elektroniczną (UŚUDE)

Dotyczy wysyłki informacji handlowej drogą elektroniczną. Definicja jest szeroka — praktycznie każdy e-mail sprzedażowy może pod nią podpadać. Stąd wymóg identyfikacji nadawcy i możliwości rezygnacji.

Obowiązki nadawcy kampanii — checklist 10 punktów

Zakup bazy to początek. Po imporcie do CRM Ty jesteś administratorem w rozumieniu RODO (w zakresie danych osobowych, które przetwarzasz). Przed wysyłką przejdź przez listę:

  1. Określ cel — np. „oferta usług księgowych dla JDG w woj. mazowieckim”, nie „wyślij do wszystkich”.
  2. Sprawdź typ odbiorcy — JDG (CEIDG) vs spółka (KRS) vs adres imienny.
  3. Przygotuj klauzulę informacyjną — kto wysyła, skąd dane, cel, prawa, kontakt do IOD.
  4. Dodaj działający opt-out — link lub jasna instrukcja „odpisz STOP”.
  5. Prowadź suppression list — osobny plik osób, które wniosły sprzeciw.
  6. Nie wysyłaj na martwe adresy — bounce niszczy reputację domeny i może oznaczać przetwarzanie nieaktualnych danych.
  7. Dokumentuj źródło listy — data zakupu, filtr PKD, dostawca.
  8. Oceń, czy potrzebujesz rejestru czynności (art. 30 RODO) — przy regularnym marketingu na danych osobowych zwykle tak.
  9. SMS i telefon — osobne reguły; nie przenoś automatycznie zgód z e-maila.
  10. Przy wątpliwościach — prawnik — szczególnie przy kampaniach >1 000 rekordów z danymi osobowymi.

Czego nie wolno robić z bazą firm

  • Odsprzedawać danych osobowych osobom trzecim bez podstawy prawnej i bez informowania osób.
  • Profilować konsumentów na podstawie listy firmowej bez odrębnej podstawy.
  • Ignorować sprzeciwy — jeden „nie piszcie” = permanentna blokada w Twoim CRM.
  • Kupować „scrape z Google Maps” bez dokumentacji źródła — przy audycie nie masz obrony.
  • Wysyłać masowy blast bez segmentacji — technicznie i prawnie najsłabszy wariant.

Jak bezpiecznie zacząć — model 1:1 zamiast masowego spamu

Najbezpieczniejszy model na start to wąski segment + krótka sekwencja + ręczna personalizacja:

  • 200–500 firm z jednego PKD i jednego województwa
  • 2–3 e-maile w odstępie 3–5 dni
  • Treść odnosząca się do branży odbiorcy (PKD), nie generyczny pitch
  • Próbka 10 firm przed zakupem pełnej listy — weryfikujesz jakość i typ adresów

Taki proces możesz skonfigurować w generatorze bazy firm — filtr PKD, lokalizacja, wymóg email + telefon, podgląd liczby rekordów na żywo.

Najczęstsze pytania

Czy baza firm z CEIDG jest zgodna z RODO?

Same dane z rejestru publicznego są legalnie pozyskiwane. Zgodność kampanii zależy od Ciebie: podstawy prawnej, obowiązku informacyjnego, opt-out i zakresu przetwarzania danych osobowych (JDG, adresy imienne).

Czy mogę wysyłać cold email do firm bez zgody?

W B2B często opierasz się na prawnie uzasadnionym interesie i przepisach o marketingu bezpośrednim do przedsiębiorców — ale warunki są konkretne. Przy danych osobowych i informacji handlowej nadal potrzebujesz transparentności i możliwości rezygnacji. Szczegóły: art. 398 PKE + RODO + UŚUDE.

Kto jest administratorem danych po zakupie bazy?

Dostawca bazy dostarcza dane. Po imporcie do Twoich systemów i rozpoczęciu kampanii Ty stajesz się administratorem (co najmniej współadministratorem) w zakresie przetwarzania na potrzeby marketingu.

Czy mogę używać bazy do SMS-ów?

Tak, o ile spełniasz wymogi prawa telekomunikacyjnego i masz właściwą podstawę do kontaktu. SMS do numerów prywatnych właścicieli JDG wymaga szczególnej ostrożności.

Co zrobić, gdy ktoś wniesie sprzeciw?

Zatrzymaj kontakt, usuń dane z aktywnych list, dodaj do suppression list. Nie kontaktuj ponownie przy kolejnym zakupie bazy — nawet jeśli rekord „znów się pojawi” u dostawcy.

Czy próbka 10 firm przed zakupem ma znaczenie prawne?

Nie zastępuje porady prawnej, ale pozwala ocenić typ danych (JDG vs spółka, adres ogólny vs imienny) i zaplanować kampanię zgodnie z ryzykiem.

Następny krok

Twoi handlowcy mogą dzwonić jutro — nie za tydzień.

Ustaw filtry, zobacz cenę na żywo, pobierz próbkę 10 firm za darmo albo od razu kup bazę. Bez rozmów z handlowcem, bez oczekiwania na maila z plikiem.

Próbka CSV przed zakupem Dostęp do bazy na zawsze Faktura VAT automatycznie
od 0,05 zł / lead netto Zacznij od generatora