Polskie Bazy Firm
Polski
Polski English Українська
Generator bazy
Generator bazy
Wybór języka
Polski English Українська
Compliance

Jak legalnie korzystać z bazy firm B2B

Przewodnik po zgodnym z RODO wykorzystaniu danych firm z CEIDG, KRS i REGON w cold outreach i marketingu.

Dlaczego warto przestrzegać przepisów

Dane firm z publicznych rejestrów (CEIDG, KRS, REGON) są jawne, ale ich dalsze wykorzystanie — szczególnie w cold outreach i marketingu B2B — podlega przepisom RODO, ustawy o świadczeniu usług drogą elektroniczną (UŚUDE) i Prawa Komunikacji Elektronicznej (PKE). Naruszenie tych przepisów grozi karą do 20 mln EUR lub 4% rocznego obrotu.

RODO a dane firm — kluczowa różnica

RODO chroni dane osób fizycznych, a nie firm jako takich. Jednak:

  • Dane jednoosobowych działalności gospodarczych (JDG) są danymi osobowymi — chroni je RODO w pełnym zakresie
  • Dane spółek (z o.o., S.A.) NIE są danymi osobowymi — RODO ich nie chroni
  • ALE: dane kontaktowe (e-mail, telefon) często zawierają dane osobowe pracowników (np. jan.kowalski@firma.pl)
  • Dane z CEIDG zawierają imię i nazwisko właściciela — to są dane osobowe

Cold e-mail B2B — co jest legalne

Wysyłka e-maili do firm (B2B) różni się od wysyłki do konsumentów (B2C):

  • E-maile na adresy firmowe (np. kontakt@firma.pl) — legalne na podstawie prawnie uzasadnionego interesu (Art. 6 ust. 1 lit. f RODO), pod warunkiem że treść dotyczy działalności firmy
  • E-maile na adresy imienne (jan.kowalski@firma.pl) — mogą wymagać wcześniejszej zgody, jeśli adres zawiera dane osobowe
  • Każdy e-mail MUSI zawierać: (1) informację kto wysyła, (2) klauzulę RODO, (3) łatwy sposób rezygnacji (opt-out)
  • UŚUDE wymaga zgody na wysyłkę "informacji handlowej" — definicja jest szeroka
  • Rekomendacja: zawsze dodawaj link "Wypisz się" i nie wysyłaj do osób, które wcześniej wyraziły sprzeciw

Cold calling B2B — zasady

Telefonowanie do firm również podlega regulacjom:

  • PKE (Prawo Komunikacji Elektronicznej) wymaga zgody na używanie "automatycznych systemów wywołujących"
  • Ręczne dzwonienie do firm zasadniczo jest dozwolone na podstawie prawnie uzasadnionego interesu
  • ALE: jeśli dzwonisz na numery prywatne (komórki właścicieli JDG) — potrzebujesz weryfikacji czy numer jest służbowy
  • Każda rozmowa powinna zaczynać się od informacji: skąd masz numer, cel rozmowy, możliwość rezygnacji

Obowiązek informacyjny

Przy pierwszym kontakcie z osobą, której dane pozyskałeś z bazy, musisz spełnić obowiązek informacyjny (Art. 14 RODO). Powinieneś przekazać:

  • Kto jest administratorem (Ty / Twoja firma)
  • Cel przetwarzania (np. marketing B2B, oferta handlowa)
  • Źródło danych (Polskie Bazy Firm → CEIDG/KRS/REGON)
  • Kategorie danych (imię, nazwisko, e-mail, telefon, NIP)
  • Okres przechowywania (np. do momentu sprzeciwu lub zakończenia kampanii)
  • Prawa: dostępu, sprostowania, usunięcia, sprzeciwu, skargi do UODO
  • Najlepiej zrobić to w pierwszym e-mailu lub na początku rozmowy telefonicznej

Rejestr czynności przetwarzania

Jeśli regularnie prowadzisz działania marketingowe z użyciem danych osobowych z bazy, powinieneś prowadzić rejestr czynności przetwarzania (Art. 30 RODO). Rejestr powinien zawierać:

  • Nazwę i dane kontaktowe administratora (Twoja firma)
  • Cele przetwarzania (np. marketing B2B)
  • Kategorie osób i danych (przedsiębiorcy, dane kontaktowe)
  • Kategorie odbiorców (np. dział sprzedaży, CRM)
  • Planowane terminy usunięcia danych
  • Ogólny opis technicznych zabezpieczeń

Opt-out i sprzeciw

Każda osoba ma prawo wnieść sprzeciw wobec przetwarzania jej danych (Art. 21 RODO). Jeśli otrzymasz sprzeciw:

  • Musisz niezwłocznie zaprzestać przetwarzania danych tej osoby
  • Musisz usunąć jej dane ze swoich systemów (chyba że masz nadrzędny prawnie uzasadniony interes)
  • Nie możesz ponownie dodać tej osoby do bazy przy kolejnym zakupie
  • Zalecamy prowadzenie własnej listy opt-out (osobny plik CSV z e-mailami/telefonami, które wniosły sprzeciw)

Jak korzystać bezpiecznie — nasze rekomendacje

  • Zawsze sprawdzaj, czy wysyłasz do JDG (dane osobowe) czy spółki (dane firmowe) — CEIDG → zawsze RODO, KRS → zależy od kontekstu
  • Wysyłaj minimum 1-2 emaile zamiast masowych kampanii — cold outreach 1:1 jest bezpieczniejszy prawnie niż masowy spam
  • Prowadź własną listę opt-out i synchronizuj ją przy każdym nowym zakupie bazy
  • Używaj profesjonalnego szablonu e-maila: cel biznesowy + klauzula RODO + opcja rezygnacji
  • Rozważ konsultację z prawnikiem przed rozpoczęciem dużej kampanii (powyżej 1000 e-maili)
  • Dokumentuj swoje działania — w razie kontroli UODO musisz wykazać, że działałeś zgodnie z przepisami

Odpowiedzialność

Polskie Bazy Firm dostarcza dane z publicznych rejestrów. Nie ponosimy odpowiedzialności za sposób ich wykorzystania. Każdy kupujący staje się administratorem danych po zakupie i bierze pełną odpowiedzialność za zgodność swoich działań z RODO, PKE i UŚUDE. To Ty decydujesz, jak legalnie korzystać z bazy.

⚠️ Ważne zastrzeżenie

Ten dokument ma charakter informacyjny i nie stanowi porady prawnej. Przepisy RODO, UŚUDE i PKE podlegają zmianom i interpretacjom. Przed rozpoczęciem kampanii marketingowej skonsultuj się z prawnikiem. Polskie Bazy Firm nie ponosi odpowiedzialności za treść tego poradnika ani za działania podjęte na jego podstawie.

Wygeneruj własną bazę

Wygeneruj bazę firm dokładnie pod swoją sprzedaż.

Wybierz branżę, miasto, typ kontaktu i liczbę rekordów. Płacisz tylko za dopasowane leady, już od 0,19 zł za leada.

Dane z CEIDG, KRS i REGONEksport CSV/XLSXFiltrowanie email i telefonu
od 0,19 zł / lead
Wygeneruj swoją bazę