Rejestry online a ochrona danych: co możesz sprawdzić legalnie i bezpiecznie

Przez
Filip Sikora
-
0
6
Rate this post

Nawigacja po artykule:

Rejestry online a ochrona danych – o jakim „polu gry” mowa

Publiczne rejestry online to narzędzie, które jednocześnie wspiera bezpieczeństwo obrotu gospodarczego i stwarza realne ryzyka dla prywatności. Z jednej strony pozwalają szybko sprawdzić kontrahenta, wynajmującego mieszkanie czy firmę, z którą podpisujesz duży kontrakt. Z drugiej – zbyt ciekawski użytkownik może w kilka minut zebrać pokaźny pakiet danych o konkretnej osobie, często nawet bez jej świadomości.

W centrum stoi napięcie: jawność informacji gospodarczych kontra prawo do prywatności. Państwo wymaga, aby przedsiębiorcy ujawniali dane o swojej działalności, bo dzięki temu inni mogą podejmować świadome decyzje biznesowe. Jednocześnie to wciąż dane osobowe, z wszystkimi konsekwencjami wynikającymi z RODO i przepisów krajowych.

Czym są rejestry publiczne i dlaczego w ogóle istnieją

Rejestry publiczne to urzędowe zbiory danych, prowadzone na podstawie przepisów prawa, zwykle przez organy państwowe lub sądy. Funkcjonują po to, by:

  • ujawniać, kto prowadzi działalność gospodarczą i na jakich zasadach,
  • zapewniać przejrzystość własności i odpowiedzialności za zobowiązania,
  • pozwalać weryfikować wiarygodność firm i organizacji,
  • chronić uczestników obrotu gospodarczego przed nadużyciami.

Najczęściej wykorzystywane rejestry gospodarcze w Polsce to przede wszystkim:

  • CEIDG – Centralna Ewidencja i Informacja o Działalności Gospodarczej (jednoosobowe działalności i spółki cywilne),
  • KRS – Krajowy Rejestr Sądowy (spółki kapitałowe, osobowe, fundacje, stowarzyszenia itd.),
  • GUS/REGON – rejestr podmiotów gospodarki narodowej,
  • EKW – elektroniczne księgi wieczyste,
  • różne rejestry branżowe – np. BDO, rejestry notariuszy, komorników, rzeczoznawców.

Każdy z tych rejestrów ma ustawowo określony zakres danych i zasady dostępu. Jawność nie jest przypadkiem – wynika z konkretnych norm prawnych.

Jawność informacji gospodarczych a prawo do prywatności

Prawo do prywatności ma rangę konstytucyjną, a RODO precyzuje, jak wolno przetwarzać dane osobowe. Jednocześnie wiele ustaw (np. o CEIDG, o KRS, o księgach wieczystych) nakazuje publikację określonych danych. Dlatego mamy sytuację, w której:

  • państwo publikuje dane (bo tak stanowi ustawa),
  • każdy może je przeglądać, bez logowania i bez wykazywania interesu prawnego (w większości przypadków),
  • ale nie każdy cel ich dalszego użycia jest legalny.

Jawność nie znosi ochrony danych osobowych. RODO dopuszcza przetwarzanie danych, które są już jawne, ale wymaga, by robiono to zgodnie z zasadami: legalności, minimalizacji, ograniczenia celu czy przejrzystości. To oznacza w praktyce, że co innego jednorazowe sprawdzenie kontrahenta przed umową, a co innego zautomatyzowane zbieranie setek adresów z CEIDG do wysyłki spamu.

RODO a jawne rejestry – jak to się „dogaduje”

Kluczowe założenia są dwa:

  1. Ustawy szczególne (np. o KRS, CEIDG) określają, jakie dane są jawne i w jakim celu je ujawnia się publicznie.
  2. RODO reguluje dalsze przetwarzanie tych danych przez innych użytkowników – firmy, osoby prywatne, podmioty trzecie.

Jeśli więc rejestr pokazuje imię, nazwisko, adres prowadzenia działalności, to oznacza, że:

  • administrator rejestru (np. minister właściwy ds. gospodarki, sąd rejestrowy) ma podstawę prawną, by te dane publikować,
  • użytkownik rejestru może z nich korzystać, ale musi mieć legalną podstawę i rozsądny, zgodny z prawem cel – np. weryfikację kontrahenta, a nie masowy marketing.

RODO nie zabrania korzystania z publicznych rejestrów. Ogranicza jednak fantazję w kwestii tego, co dalej z tymi danymi robisz i jak długo je przechowujesz.

Co jest jawne z definicji, a czego szukać nie wolno

Ogólna zasada: jawne jest to, co pokazuje oficjalna wyszukiwarka rejestru online. Jeśli trzeba logowania, pełnomocnictwa, opłaty, złożenia wniosku – to zwykle oznacza, że dostęp jest ograniczony i podlega dodatkowym regułom.

W publicznych rejestrach nie znajdziesz legalnie takich informacji jak:

  • PESEL (z wyjątkiem niektórych czynności urzędowych),
  • dane wrażliwe (zdrowotne, poglądy, wyznanie, orientacja),
  • szczegółowe dane kontaktowe prywatne (np. prywatny numer telefonu, jeśli nie został ujawniony jako firmowy),
  • szczegóły sytuacji finansowej osoby fizycznej niezwiązane z działalnością.

Jeśli jakaś strona „pośrednicząca” obiecuje więcej niż oficjalne rejestry (np. „sprawdzimy PESEL po nazwisku”), warto założyć, że to naruszenie przepisów – i trzymać się od takiej usługi z daleka.

Kilka typowych sytuacji z życia

Najczęstsze praktyczne zastosowania rejestrów online to:

  • Sprawdzenie kontrahenta B2B – czy firma istnieje, jaki ma status, kto ją reprezentuje, czy nie jest w likwidacji.
  • Weryfikacja najemcy lub wynajmującego – np. czy osoba podająca się za właściciela mieszkania faktycznie widnieje w księdze wieczystej jako właściciel.
  • Sprawdzenie kandydata do pracy – np. czy deklaruje prowadzenie działalności konkurencyjnej lub czy pełni funkcję w zarządzie spółki.

W każdym z tych przypadków trzeba zadać sobie dwa pytania: czy naprawdę potrzebuję tych danych oraz czy nie przekraczam granicy wścibskości i profilowania osoby. Szybka weryfikacja bywa uzasadnionym interesem, ale śledzenie historii całej kariery zawodowej na podstawie rejestrów i MSiG już ociera się o nadużycie.

Podstawy prawne: co wolno, a czego nie wolno szukać

Żeby korzystać z rejestrów publicznych legalnie i bezpiecznie, trzeba mieć z tyłu głowy kilka kluczowych zasad z RODO i ustaw krajowych. Nie chodzi o znajomość artykułów na pamięć, ale o rozumienie, gdzie przebiega linia między dopuszczalną weryfikacją a nieuprawnionym „researchowaniem” ludzi.

Dane osobowe w kontekście rejestrów

Dane osobowe to każda informacja pozwalająca zidentyfikować konkretną osobę fizyczną. W rejestrach pojawiają się w dwóch głównych kontekstach:

  • Osoba fizyczna jako przedsiębiorca – wpis w CEIDG, samodzielny wspólnik w spółce cywilnej, jednoosobowy wspólnik w spółce z o.o.
  • Osoba pełniąca funkcję w podmiocie – członek zarządu, prokurent, wspólnik, członek rady fundacji itd.

Imię, nazwisko, adres działalności, funkcja w organie spółki – to dane osobowe. Nie są „mniej osobowe” tylko dlatego, że znajdują się w rejestrze. RODO obejmuje je w pełni, choć dopuszcza ich publikację na podstawie przepisów szczególnych.

Jawne rejestry i podstawa legalności publikacji danych

Publikacja danych w CEIDG, KRS czy EKW nie dzieje się „bo tak”. Każdy z rejestrów ma własną ustawę, która określa:

  • zakres danych podlegających wpisowi,
  • zasady jawności,
  • podmioty odpowiedzialne za prowadzenie rejestru,
  • tryb korekty błędów i usuwania wpisów.

To właśnie ustawa jest podstawą przetwarzania i publikacji danych przez administratora rejestru. Z punktu widzenia RODO mieści się to najczęściej w przesłance „wypełnienie obowiązku prawnego ciążącego na administratorze” oraz „wykonanie zadania realizowanego w interesie publicznym”.

Dla użytkownika rejestru ważne jest co innego: sam fakt, że dane są jawne, nie jest automatyczną zgodą na ich dowolne użycie. Ustawa określa publiczny cel jawności (przejrzystość obrotu), nie zaś pełną swobodę dalszego przetwarzania przez każdego.

Prawnie uzasadniony interes – kiedy rzeczywiście wystarcza

Najczęściej przywoływaną w kontekście korzystania z rejestrów przesłanką z RODO jest prawnie uzasadniony interes administratora. W praktyce chodzi o sytuacje, w których:

  • potrzebujesz zweryfikować wiarygodność kontrahenta,
  • chcesz uniknąć oszustwa lub nieuczciwej transakcji,
  • musisz ustalić, kto jest uprawniony do podpisania umowy.

Taki interes trzeba jednak zrównoważyć z prawami osoby, której dane dotyczą. Jeśli zbierasz dane z rejestrów do:

  • masowego marketingu bez relacji biznesowej,
  • tworzenia „czarnych list” osób niewygodnych,
  • profilowania poglądów, majątku, powiązań rodzinnych,

to trudno mówić o prawnie uzasadnionym interesie. Wchodzisz w strefę nadużyć, a w skrajnych przypadkach – naruszeń wymagających zgłoszenia do UODO.

Granica między weryfikacją a profilowaniem i „śledzeniem”

Jednorazowe sprawdzenie kontrahenta w CEIDG i KRS to zwykle zupełnie bezpieczny grunt. Problem zaczyna się, gdy:

  • regularnie monitorujesz osobę fizyczną w wielu rejestrach,
  • zestawiasz dane z rejestrów z informacjami z social mediów, portali ogłoszeniowych, baz komercyjnych,
  • budujesz profil zachowań, majątku, historii biznesowej konkretnej osoby.

Takie działania wchodzą w definicję profilowania, a w pewnych konfiguracjach mogą naruszać zasadę minimalizacji danych i celowości przetwarzania. Szczególnie niebezpieczne jest:

  • łączenie danych z EKW z danymi z KRS/CEIDG i analizowanie majątku osoby,
  • tworzenie nieformalnych „teczek” na pracowników, kandydatów czy kontrahentów.

Prosta zasada bezpieczeństwa: jeśli dane nie są ci konieczne do podjęcia konkretnej decyzji biznesowej lub prawnej, nie sięgaj po nie, nawet jeśli są publicznie dostępne.

Konsekwencje nadużyć – nie tylko kary finansowe

Naruszenia przepisów o ochronie danych przy korzystaniu z rejestrów mogą skutkować:

  • postępowaniem administracyjnym przed UODO – włącznie z karami pieniężnymi,
  • odpowiedzialnością cywilną – odszkodowaniem za naruszenie dóbr osobistych,
  • odpowiedzialnością karną – w skrajnych przypadkach (np. handel danymi, wyłudzenia),
  • szkodą reputacyjną – utratą zaufania klientów, partnerów czy pracowników.

Najczęściej poważne kłopoty zaczynają się nie od jednego incydentu, ale od schematycznego nadużywania jawności: masowej wysyłki spamu na adresy z CEIDG, sprzedaży „baz z KRS” albo publikowania w internecie zestawień majątkowych konkretnych osób, zbudowanych na podstawie rejestrów.

Jakie dane zdradzają najpopularniejsze rejestry – przegląd praktyczny

Każdy rejestr publiczny ujawnia inny zakres informacji. Świadome korzystanie zaczyna się od rozumienia, co w danym rejestrze można zobaczyć i jak te dane interpretować – bez doszukiwania się w nich czegoś, czego tam nie ma.

CEIDG – co widać o jednoosobowej działalności

Centralna Ewidencja i Informacja o Działalności Gospodarczej obejmuje przede wszystkim osoby fizyczne prowadzące działalność gospodarczą oraz wspólników spółek cywilnych. W standardowym wpisie znajdziesz m.in.:

  • imię i nazwisko przedsiębiorcy,
  • firmę (nazwę) działalności,
  • numer NIP i REGON,
  • datę rozpoczęcia, zawieszenia, wznowienia lub zakończenia działalności,
  • adres głównego miejsca wykonywania działalności,
  • kody PKD (profil działalności),
  • informacje o pełnomocnikach i prokurentach, jeśli ustanowiono,
  • wzmianki o upadłości, restrukturyzacji, zakazie prowadzenia działalności.

W wielu przypadkach wpis zawiera również adres e-mail, telefon, stronę WWW – jeśli przedsiębiorca zdecydował się je ujawnić. To nadal dane osobowe, ale publikowane z jego inicjatywy i za jego zgodą, jako dane kontaktowe firmy.

Co wolno zrobić z danymi z CEIDG, a czego lepiej unikać

Dane z CEIDG można wykorzystywać przede wszystkim do celów związanych z obrotem gospodarczym. W praktyce mieszczą się tu m.in.:

  • weryfikacja kontrahenta przed podpisaniem umowy,
  • sprawdzenie, czy działalność nie została zawieszona lub zakończona,
  • ustalenie prawidłowych danych do faktury i korespondencji,
  • ustalenie zakresu działalności (PKD) przy ocenie konfliktu interesów.

Znacznie gorzej wygląda sytuacja, gdy dane z CEIDG służą jako „gotowa baza marketingowa”. Masowa wysyłka ofert na adres e-mail czy telefon z wpisu bez wcześniejszej relacji biznesowej może zostać uznana za:

  • naruszenie RODO (brak odpowiedniej podstawy przetwarzania),
  • naruszenie przepisów o spamie i niezamówionej informacji handlowej,
  • czyn nieuczciwej konkurencji, jeśli działania mają charakter uciążliwy.

Bezpieczne podejście jest proste: dane z CEIDG traktuj jako narzędzie do weryfikacji i obsługi bieżących relacji, nie jako darmowy zamiennik komercyjnej bazy mailingowej.

Jak nie interpretować danych z CEIDG

Wpis w CEIDG kusi, żeby wyciągać daleko idące wnioski o przedsiębiorcy. To typowe nadinterpretacje:

  • Adres działalności = adres zamieszkania i majątku – często to tylko adres korespondencyjny lub biuro wirtualne.
  • Zakres PKD = pełen profil faktycznej działalności – przedsiębiorcy dodają zapasowe kody PKD „na wszelki wypadek”.
  • Brak wzmianki o upadłości = przedsiębiorca bez problemów – rejestr nie pokazuje całej historii, np. dawnych spółek.

CEIDG pokazuje stan formalny, a nie kondycję finansową czy rzetelność. Do takiej oceny trzeba dodatkowych źródeł i zdrowego rozsądku.

KRS – jakie dane o spółkach są publiczne

Krajowy Rejestr Sądowy gromadzi dane o spółkach prawa handlowego, fundacjach, stowarzyszeniach i innych podmiotach. Przegląd standardowego wpisu spółki prawa handlowego obejmuje m.in.:

  • firmę (nazwę) i siedzibę spółki,
  • numer KRS, NIP, REGON,
  • formę prawną,
  • wysokość kapitału zakładowego,
  • skład organów (zarząd, rada nadzorcza, prokurenci),
  • sposób reprezentacji spółki,
  • wspólników (w spółkach osobowych) oraz, przy jednoosobowej spółce z o.o., jej jedynego wspólnika,
  • wzmianki o postępowaniach restrukturyzacyjnych, upadłościowych, likwidacji.

Część danych dotyczy bezpośrednio osób fizycznych: imion, nazwisk, czasem adresów do doręczeń, pełnionych funkcji. To szczególnie wrażliwy obszar z perspektywy prywatności.

Elektroniczny dostęp do KRS i dokumentów źródłowych

Poza samym odpisem z KRS, system teleinformatyczny pozwala przeglądać także:

  • akta rejestrowe online (uchwały, umowy spółek, sprawozdania finansowe),
  • historię zmian – kto kiedy wchodził i wychodził z organów, jak zmieniała się firma i kapitał,
  • sprawozdania finansowe w Repozytorium Dokumentów Finansowych.

To kopalnia danych dla analityków i doradców, ale też obszar, w którym łatwo przekroczyć granicę między weryfikacją a „śledzeniem” konkretnych osób. Część dokumentów zawiera bowiem dane prywatne, których w ogóle nie potrzebujesz do bieżącej transakcji.

Kiedy przeglądanie KRS jest uzasadnione

W praktyce biznesowej sięga się do KRS w kilku typowych sytuacjach:

  • sprawdzenie, kto może skutecznie podpisać umowę w imieniu spółki,
  • weryfikacja, czy spółka nie jest w likwidacji lub upadłości,
  • ocena, czy druga strona jest „tym samym” podmiotem, z którym współpracowałeś wcześniej (po zmianie nazwy lub siedziby),
  • analiza struktury właścicielskiej przy większych transakcjach.

Stopień „głębokości” zbadania wpisu powinien odpowiadać skali i ryzyku transakcji. Dla drobnego zlecenia wystarczy bieżący odpis i sprawdzenie reprezentacji. Dla wieloletniej umowy o wysokiej wartości – uzasadnione będzie przejrzenie historii zmian, sprawozdań oraz powiązań osobowych w organach.

Gdzie jest granica przy analizie osób związanych ze spółką

Analiza powiązań osobowych jest potrzebna, ale łatwo ją przekształcić w nieformalny „wywiad środowiskowy”. Pojawiają się wtedy działania, które mogą być problematyczne z perspektywy RODO:

  • spisywanie listy wszystkich spółek, w których dana osoba była w zarządzie przez ostatnie kilkanaście lat,
  • oznaczanie takich osób jako „ryzykownych” na podstawie pojedynczych przypadków upadłości,
  • łączenie tych informacji z danymi z innych rejestrów (np. EKW) i tworzenie profili majątkowych.

Bezpieczniejsze podejście to zawężenie analizy do kontekstu konkretnej transakcji, np.:

  • czy członek zarządu zasiada jednocześnie w organach konkurencyjnej spółki,
  • czy zarząd radykalnie się zmienił krótko przed podpisaniem umowy,
  • czy w niedawnej historii pojawiały się częste zmiany siedziby lub nazwy spółki.

Taki zakres informacji nadal służy ocenie ryzyka biznesowego, bez budowania pełnej „biografii” zawodowej konkretnej osoby.

Prosty przykład użycia KRS z poszanowaniem prywatności

Firma usługowa planuje podpisać roczny kontrakt z nowym klientem – spółką z o.o. Przed podpisaniem umowy pracownik działu sprzedaży:

  • pobiera aktualny odpis KRS z oficjalnego systemu,
  • sprawdza, czy osoba wskazana do podpisania umowy jest członkiem zarządu uprawnionym do samodzielnej reprezentacji,
  • weryfikuje, czy spółka nie jest w likwidacji lub upadłości.

Nie ma potrzeby, aby ten pracownik:

  • analizował wszystkie sprawozdania finansowe sprzed 10 lat,
  • sprawdzał wszystkie inne spółki, w których członek zarządu był kiedyś wspólnikiem,
  • zapisywał sobie prywatny adres zamieszkania członka zarządu z dokumentów źródłowych.

Zakres weryfikacji odpowiada celowi (bezpieczne zawarcie umowy), więc mieści się w przesłance prawnie uzasadnionego interesu.

GUS, REGON i wyszukiwarka podmiotów

Rejestr REGON i wyszukiwarka GUS często są niedoceniane, a potrafią ułatwić szybkie sprawdzenie podmiotu. Dzięki nim można m.in.:

  • zweryfikować numer REGON i status podmiotu (aktywna/wyrejestrowana),
  • sprawdzić podstawowe dane adresowe firmy,
  • potwierdzić zgodność kodów PKD z profilem działalności.

Z punktu widzenia ochrony danych osobowych, REGON nie dokłada wiele ponad to, co już widzisz w CEIDG lub KRS. GUS nie jest więc „nowym źródłem wrażliwych informacji”, a raczej lustrem dla danych z innych rejestrów.

Szybkie triki wyszukiwawcze w GUS i REGON

Przy codziennej pracy z kontrahentami pomagają proste nawyki:

  • weryfikacja po NIP – minimalizuje ryzyko pomyłki przy podobnych nazwach firm,
  • sprawdzenie statusu podmiotu – czy w REGON widnieje jako aktywny, zawieszony, wykreślony,
  • porównanie adresu z danymi z faktury – szczególnie przy pierwszej transakcji,
  • kontrola PKD – pomocna przy ocenie, czy dana usługa leży w zakresie deklarowanej działalności.

Jeżeli dane z faktury i z bazy GUS różnią się, lepiej wyjaśnić to z kontrahentem przed podpisaniem umowy. To często wychwytuje zwykłe błędy, ale też przypadki podszywania się pod inną firmę.

Inne rejestry: VAT, biała lista i MSiG

Poza głównymi rejestrami coraz częściej używa się też:

  • rejestru VAT i tzw. białej listy podatników VAT – do weryfikacji statusu podatkowego i numerów rachunków bankowych,
  • Monitora Sądowego i Gospodarczego (MSiG) – do śledzenia ogłoszeń o upadłościach, restrukturyzacjach, przekształceniach.

Te rejestry również zawierają dane osobowe (np. nazwiska członków zarządów, syndyków, adresy siedzib). Legalne wykorzystanie danych z MSiG czy białej listy opiera się na tym samym podejściu, co przy KRS i CEIDG: sięgasz po informacje w zakresie koniecznym do podjęcia decyzji gospodarczej lub prawnej.

Jak bezpiecznie korzystać z MSiG

MSiG bywa używany do precyzyjniejszych analiz ryzyka. Typowe działania to:

  • sprawdzenie, czy wobec kontrahenta nie toczy się postępowanie upadłościowe,
  • monitorowanie ogłoszeń o otwarciu restrukturyzacji,
  • wyszukiwanie informacji o przetargach i licytacjach komorniczych.

Ryzykowne praktyki pojawiają się, gdy ktoś:

  • tworzy wewnętrzne „czarne listy” osób fizycznych pojawiających się w ogłoszeniach,
  • łączy dane z MSiG z innymi rejestrami, aby odtworzyć pełną historię niepowodzeń biznesowych konkretnej osoby,
  • wykorzystuje ogłoszenia o zadłużeniu do agresywnego marketingu usług oddłużeniowych.

Kluczowe pytanie brzmi: czy dana informacja ma realny wpływ na twoją decyzję biznesową tu i teraz, czy służy bardziej zaspokojeniu ciekawości lub budowaniu „profilu” na przyszłość.

Praktyczna mikro-checklista przed sięgnięciem do rejestru

Żeby utrzymać bezpieczny balans między weryfikacją a nadmiernym gromadzeniem danych, pomaga prosty zestaw pytań kontrolnych:

  • Po co konkretnie potrzebujesz tych danych? – wskaż jeden, jasno opisany cel.
  • Jakie minimum informacji wystarczy, by zrealizować ten cel? – zawęź zakres wyszukiwania.
  • Czy zapisujesz dane „na wszelki wypadek”? – jeśli tak, odpuść archiwizację.
  • Czy osoba, której dane dotyczą, byłaby zaskoczona skalą twojego „researchu”? – jeżeli tak, to sygnał ostrzegawczy.

Taki krótki przystanek przed kliknięciem „szukaj” często chroni przed mimowolnym wejściem w obszar nadmiernego profilowania ludzi, nawet jeśli korzystasz wyłącznie z rejestrów publicznych.

Zbliżenie na ekran laptopa z otwartą stroną wyszukiwarki internetowej
Źródło: Pexels | Autor: cottonbro studio

CEIDG krok po kroku – bezpieczne wyszukiwanie osób prowadzących działalność

Wejście tylko przez oficjalny kanał

Bezpieczne korzystanie z CEIDG zaczyna się od właściwego adresu. Wyszukiwarkę wpisów znajdziesz na oficjalnej stronie gov.pl, pod zakładką dotyczącą działalności gospodarczej. Z pominięciem pośredników unikasz:

  • podejrzanych regulaminów, które „przyklejają się” do twojego zapytania,
  • nieautoryzowanego logowania lub przechwytywania historii wyszukiwań,
  • nieaktualnych danych kopiowanych z rejestru.

Zasada praktyczna: jeśli strona wygląda jak komercyjna wyszukiwarka, a nie serwis administracji publicznej, przerwij i wróć na gov.pl.

Jak wyszukiwać, żeby nie „zawracać głowy” całemu rejestrowi

CEIDG daje kilka filtrów wyszukiwania. Z perspektywy ochrony danych najlepiej korzystać z tych, które od razu zawężają wynik do jednej, konkretnej osoby lub firmy:

  • numer NIP – najpewniejszy identyfikator,
  • numer REGON,
  • dokładna nazwa firmy połączona z miejscowością.

Wyszukiwanie po samym nazwisku i dużym mieście zwraca czasem długą listę osób. Przeglądanie wszystkich takich wpisów „z ciekawości” trudno uzasadnić konkretnym celem. Lepiej doprecyzować dane przed wejściem do rejestru (np. poprosić kontrahenta o NIP).

Na co patrzeć przy weryfikacji jednoosobowej działalności

Przy pierwszym sprawdzeniu kontrahenta prowadzącego JDG warto przejść krótką ścieżkę:

  1. Sprawdź status działalności – aktywna, zawieszona, wykreślona.
  2. Porównaj dane identyfikacyjne – imię, nazwisko, NIP, adres z tymi z umowy lub faktury.
  1. Zerknij na przedmiot działalności (PKD) – czy mieści się w tym, co ma być przedmiotem umowy.
  2. Sprawdź historię wpisu – daty rozpoczęcia, zawieszenia, wznowienia, ewentualnego wykreślenia.
  3. Oceń spójność adresów – adres wykonywania działalności, adres do doręczeń, dane na fakturze.

Jeżeli analizujesz kilka podmiotów naraz (np. w przetargu), dobrze jest od razu zanotować wyłącznie kluczowe informacje: status, NIP, datę rozpoczęcia działalności i ewentualne zawieszenia. Resztę możesz zawsze odtworzyć bez gromadzenia kopii całego wpisu.

Jakich danych z CEIDG lepiej nie kopiować „na zapas”

CEIDG pokazuje sporo informacji, szczególnie o osobach fizycznych. Z punktu widzenia ochrony danych bezpieczniej jest nie archiwizować, jeśli nie ma to wyraźnego uzasadnienia biznesowego:

  • pełnego adresu zamieszkania – wystarczy ci adres do doręczeń lub adres wykonywania działalności, o ile ma znaczenie dla umowy,
  • historii adresów – przy zwykłej umowie B2B nie ma powodu, by przechowywać „mapę przeprowadzek” przedsiębiorcy,
  • szczegółowej historii zmian wpisu – poza sytuacjami spornymi lub przy bardziej złożonych analizach prawnych.

Praktyczny kompromis: zamiast zrzutów ekranu całego wpisu, zapisz numer wpisu, datę sprawdzenia i najważniejsze parametry. W razie potrzeby zawsze odtworzysz pełne dane z aktualnego źródła.

Typowe błędy przy korzystaniu z CEIDG a RODO

Przy codziennej pracy z rejestrem powtarza się kilka schematów, które łatwo ograniczyć prostą zmianą nawyków:

  • gromadzenie PDF-ów „na chronologiczną teczkę” – zamiast rosnącego katalogu plików z danymi osób fizycznych ustal maksymalny okres przechowywania (np. do czasu zakończenia współpracy + okres przedawnienia roszczeń),
  • wysyłanie pełnych wydruków wewnątrz firmy – do prostej decyzji handlowej zwykle wystarczy krótkie podsumowanie, nie każdy dział musi widzieć prywatny adres przedsiębiorcy,
  • używanie danych z CEIDG do marketingu bez zgody – to, że adres e-mail czy telefon są w rejestrze, nie daje automatycznie podstawy do wysyłki ofert.

Jeżeli CEIDG służy ci głównie do weryfikacji kontrahenta przed transakcją, dobrze jest ograniczyć się do danych potrzebnych do identyfikacji i kontaktu, zamiast kopiować wszystko, co widzisz na ekranie.

Bezpieczne notatki z CEIDG – jak je prowadzić

Przy pracy zespołowej przydaje się prosty format notatki, który nie „przeciąża” danych osobowych. Przykładowy szkielet:

  • kogo dotyczy: pełna nazwa firmy + NIP,
  • data i źródło: CEIDG, data wyszukiwania,
  • status: aktywna/zawieszona/wykreślona, od kiedy,
  • adres do umowy: miejscowość, ulica (bez historii adresów),
  • uwagi: istotne zmiany (np. niedawne wznowienie działalności).

Nie ma potrzeby przepisywać całej treści wpisu. Taki zwięzły zapis w większości przypadków wystarczy, żeby wykazać dochowanie należytej staranności przy doborze kontrahenta.

KRS w praktyce – jawność spółek a dane ludzi z nimi związanych

Jak czytać odpis KRS, żeby nie zbierać nadmiarowych danych

Odpis z KRS ma kilka części. Do podstawowej oceny kontrahenta w obrocie najczęściej wystarczą:

  • dział 1 – firma, siedziba, adres, forma prawna,
  • dział 2 – sposób reprezentacji i skład organów,
  • dział 4 – informacje o ewentualnej upadłości, likwidacji, restrukturyzacji.

Przy standardowej umowie nie trzeba każdorazowo kopiować i analizować pełnej listy wspólników, udziałów czy wszystkich wzmiankowanych postępowań sprzed wielu lat. Jeśli nie ma to przełożenia na twoje ryzyko transakcyjne, zostaw to na wypadek sporu lub kontroli due diligence, a nie jako „domyślną praktykę”.

Zakres danych osobowych w KRS – na co uważać

W KRS przy spółkach kapitałowych znajdziesz dane członków zarządu, rady nadzorczej, prokurentów, a czasem wspólników. Najczęściej są to:

  • imię i nazwisko,
  • PESEL albo data urodzenia,
  • adres zamieszkania lub korespondencyjny (w starszych wpisach).

Dane te są jawne, ale to nie oznacza dowolności. Bezpieczna zasada: używasz ich tylko w takim zakresie, jakiego wymaga kontakt służbowy albo weryfikacja uprawnienia do reprezentacji. Nie ma uzasadnienia, aby PESEL członka zarządu trafiał np. do arkusza kalkulacyjnego z oceną kontrahentów, jeżeli nie jest potrzebny do żadnej czynności prawnej.

Minimalny pakiet sprawdzeń spółki w KRS

Przy pojedynczej transakcji handlowej, gdy nie prowadzisz pełnego badania due diligence, wystarczy zwykle kilka kroków:

  1. Weryfikacja firmy i NIP – zgodność danych z umową i fakturą.
  2. Sprawdzenie statusu – czy spółka nie jest w likwidacji, upadłości, restrukturyzacji.
  3. Sposób reprezentacji – czy umowę może podpisać jedna osoba, czy wymagane są dwie.
  4. Sprawdzenie aktualności organów – czy osoba, z którą rozmawiasz, rzeczywiście jest w organie wpisanym w KRS.

Dopiero przy większych kwotach albo długoterminowej współpracy możesz rozważyć głębszą analizę (np. powiązań kapitałowych). Nawet wtedy staraj się pracować na danych zanonimizowanych tam, gdzie to możliwe (np. identyfikować spółki, nie pojedyncze osoby).

Głębsze analizy w KRS a balans z prywatnością

Czasem sytuacja wymaga bardziej szczegółowego prześwietlenia struktury grupy kapitałowej, historii połączeń czy podziałów. Kluczowe jest wtedy oddzielenie analizy dotyczącej spółek od profilowania ludzi.

Bezpieczniejsze podejście to:

  • mapowanie powiązań na poziomie podmiotów (spółek, fundacji) zamiast tworzenia „kartotek” konkretnych osób,
  • agregowanie informacji o zarządach w formie: „spółka X ma zarząd jednoosobowy, częste zmiany w ostatnich 2 latach” zamiast odnotowywania każdej nazwiska z PESEL,
  • jasne określenie okresu, którego dotyczy analiza – np. ostatnie 3–5 lat, a nie cała dostępna historia od początku wpisu.

Jeżeli profilujesz ludzi (np. decydentów) na podstawie historii kilku spółek, łatwo przekroczyć granicę proporcjonalności. Warto wtedy wrócić do pytania: czy decyzja biznesowa dotyczy człowieka, czy spółki jako takiej.

Bezpieczne udostępnianie odpisów KRS wewnątrz organizacji

Odpis KRS często krąży po firmie – od działu sprzedaży, przez prawny, po księgowość. Żeby nie rozsypywać danych osobowych po całej organizacji, można przyjąć kilka prostych reguł:

  • jedno miejsce przechowywania – np. folder lub system obiegu dokumentów z dostępem ograniczonym do osób faktycznie korzystających z tych danych,
  • link zamiast załącznika – jeżeli zespół ma dostęp do tego samego systemu, wysyłaj odnośnik do lokalizacji pliku zamiast kopiować go w kolejnych e-mailach,
  • wersje „okrojone” – do prostych zadań (np. wystawienie faktury) wystarczy notatka z najważniejszymi danymi, nie cały odpis z adresami członków organów.

Taka organizacja obiegu dokumentów ogranicza ryzyko „wycieku” danych z KRS choćby przez przypadkowe przekazanie pliku poza firmę.

GUS, REGON i inne mniej oczywiste rejestry – szybkie triki wyszukiwawcze

Łączenie GUS/REGON z CEIDG i KRS – kiedy to ma sens

GUS często pełni rolę „drugiej pary oczu” dla danych z innych rejestrów. Zamiast tworzyć dodatkowe bazy danych, lepiej wykorzystać go do punktowej weryfikacji:

  • spójności adresów – czy adres siedziby z GUS pokrywa się z KRS/CEIDG i danymi na fakturze,
  • statusu podmiotu – gdy masz wątpliwości, czy kontrahent rzeczywiście zakończył działalność,
  • pomocniczej identyfikacji – gdy dysponujesz tylko częścią danych (np. REGON z dokumentu, a chcesz sprawdzić pełną nazwę).

Istotne, by nie wykorzystywać GUS jako narzędzia do budowania alternatywnego rejestru „na wszelki wypadek”. Dostępność online nie oznacza, że trzeba kopiować całą kartę informacyjną podmiotu do wewnętrznych arkuszy.

Jak szybko weryfikować wielu kontrahentów w GUS bez „hurtowego” gromadzenia danych

Przy analizie większej grupy firm (np. w łańcuchu dostaw) łatwo wpaść w pułapkę tworzenia rozbudowanego pliku z danymi wszystkich podmiotów. Rozsądniejszym rozwiązaniem jest rozdzielenie etapów:

  1. Lista robocza – zbiór podmiotów tylko z NIP i nazwą, bez nadmiarowych szczegółów.
  2. Weryfikacja punktowa w GUS – dla każdego wpisu sprawdzasz status i kluczowe dane, ale nie kopiujesz całej karty podmiotu.
  3. Krótka adnotacja – przy każdym NIP-ie jednowierszowa informacja: „status aktywny, adres zgodny/niezgodny, data sprawdzenia”.

W ten sposób zachowujesz przejrzystość procesu due diligence, ale nie budujesz równoległego rejestru z pełnymi danymi firm i powiązanych z nimi osób.

Inne pomocne rejestry i bazy a dane osobowe

Poza CEIDG, KRS i GUS w codziennym obrocie przydaje się kilka dodatkowych źródeł:

  • baza VIES – do potwierdzania aktywnego numeru VAT UE,
  • rejestry zawodowe (np. izby lekarskie, adwokackie) – przy współpracy z wolnymi zawodami,
  • rejestry beneficjentów rzeczywistych – przy transakcjach narażonych na ryzyko prania pieniędzy.

Każde z nich ma własne zasady jawności i zakres danych osobowych. Bezpieczna praktyka jest wspólna: zanim coś skopiujesz do swojego systemu, zadaj pytanie, czy w razie kontroli potrafisz wyjaśnić, po co to przechowujesz i na jakiej podstawie prawnej.

Krótka checklista „minimalizacji danych” przy korzystaniu z rejestrów

Przy każdym rejestrze możesz przeprowadzić szybką autokontrolę:

  • Cel – czy potrafisz zapisać go jednym zdaniem (np. „weryfikacja uprawnienia do reprezentacji”)?
  • Zakres – czy dane, które chcesz zachować, są bezpośrednio potrzebne do tego celu?
  • Czas – jak długo realnie potrzebujesz mieć je u siebie?
  • Dostęp – kto faktycznie musi je widzieć w organizacji?

Jeżeli któryś z punktów jest trudno obronić, to sygnał, że proces korzystania z rejestrów wymaga korekty – albo od strony prawnej, albo organizacyjnej.

Najczęściej zadawane pytania (FAQ)

Czy mogę legalnie sprawdzać dane firmy w CEIDG, KRS, GUS lub księgach wieczystych?

Tak. Oficjalne rejestry takie jak CEIDG, KRS, GUS/REGON czy elektroniczne księgi wieczyste są z założenia jawne. Każdy może z nich korzystać bez logowania i bez wykazywania interesu prawnego, o ile mówimy o podstawowym, publicznym podglądzie danych.

Warunek: używasz tych informacji w zgodzie z prawem – np. do weryfikacji kontrahenta, sprawdzenia właściciela nieruchomości czy potwierdzenia, kto reprezentuje spółkę. Sam fakt, że dane są widoczne w rejestrze, nie oznacza zgody na ich dowolne kopiowanie i dalsze wykorzystywanie.

Jakie dane o osobie lub firmie mogę zobaczyć w publicznych rejestrach?

W zależności od rejestru zobaczysz m.in.: nazwę firmy, imię i nazwisko przedsiębiorcy lub członków władz spółki, adres prowadzenia działalności, numery NIP/REGON, formę prawną, status (aktywna, w likwidacji), zakres działalności (PKD), a w księgach wieczystych – dane właściciela i informacje o obciążeniach nieruchomości.

Zakres danych określają ustawy (np. o CEIDG, o KRS, o księgach wieczystych). To, co widzisz w oficjalnej wyszukiwarce danego rejestru, jest zakresem jawności „z definicji”. Jeśli jakaś strona obiecuje znacząco więcej, niż oferuje oficjalny rejestr, to sygnał ostrzegawczy.

Czego nie wolno szukać ani pozyskiwać w rejestrach online?

W legalnych, oficjalnych wyszukiwarkach nie uzyskasz m.in. numeru PESEL (z wyjątkami przy określonych czynnościach urzędowych), danych wrażliwych (zdrowie, poglądy, wyznanie, orientacja), prywatnych danych kontaktowych (np. prywatny numer telefonu czy adres e‑mail, jeżeli nie zostały podane jako służbowe) ani szczegółowych informacji o prywatnej sytuacji finansowej osoby fizycznej niezwiązanej z działalnością.

Jeżeli serwis pośredniczący deklaruje: „sprawdzimy PESEL po nazwisku” albo „pokażemy ukryte dane o majątku”, to z dużym prawdopodobieństwem łamie przepisy. Korzystanie z takich usług naraża również ciebie na odpowiedzialność.

Czy mogę użyć danych z CEIDG lub KRS do wysyłania ofert handlowych (mailing, telemarketing)?

Samo upublicznienie danych w CEIDG czy KRS nie jest zgodą na marketing. Żeby legalnie wykorzystać te dane do wysyłki ofert, musisz mieć osobną podstawę prawną (np. zgodę adresata lub realny prawnie uzasadniony interes, który przeszedł tzw. test równowagi) i spełnić inne obowiązki z RODO, np. przekazać klauzulę informacyjną.

Masowy scraping adresów z rejestrów i zalewanie ich spamem jest co do zasady nielegalne. Co innego pojedynczy, dobrze uzasadniony kontakt B2B, a co innego zautomatyzowane tworzenie baz marketingowych z publicznych rejestrów.

Czy mogę sprawdzić kandydata do pracy w KRS, CEIDG lub innych rejestrach?

Możesz, ale w rozsądnych granicach. Typowy, dopuszczalny zakres to sprawdzenie, czy kandydat prowadzi działalność konkurencyjną, pełni funkcję w zarządzie innej spółki lub jest wpisany jako wspólnik – jeśli ma to znaczenie dla danego stanowiska (np. zakaz konkurencji, konflikt interesów).

Przesadna analiza całej historii aktywności w rejestrach, łączenie danych z MSiG, wyciąganie daleko idących wniosków o „wiarygodności” kandydata może zostać uznane za nadmierne, nieproporcjonalne przetwarzanie danych. Kluczowe pytanie: czy dana informacja jest ci obiektywnie potrzebna do podjęcia decyzji rekrutacyjnej.

Czy korzystanie z publicznych rejestrów zawsze jest zgodne z RODO?

Nie. Zgodne z RODO jest samo udostępnianie danych przez administratora rejestru – na podstawie konkretnej ustawy. Twoje własne korzystanie z tych danych musi jednak też opierać się na legalnej podstawie (np. prawnie uzasadnionym interesie, wykonaniu umowy) i ograniczać się do celu, dla którego naprawdę tych informacji potrzebujesz.

Jeżeli pobierasz dane „na zapas”, profilujesz osoby bez potrzeby, archiwizujesz dane latami „bo może się przyda”, to wchodzisz na pole naruszenia RODO, nawet jeśli dane pierwotnie pochodzą z jawnego rejestru.

Jak korzystać z rejestrów online, żeby nie naruszyć prywatności innych osób?

Przydatna jest prosta checklista: po pierwsze – sprawdź tylko to, co jest widoczne w oficjalnej wyszukiwarce danego rejestru. Po drugie – zadaj sobie pytanie, czy konkretne dane są ci niezbędne do podjęcia decyzji (umowa, współpraca, weryfikacja właściciela lokalu). Po trzecie – nie łącz danych z różnych źródeł, jeśli nie masz realnej podstawy i celu.

Dodatkowo: nie twórz „czarnych list” osób na podstawie wpisów z rejestrów, nie udostępniaj szeroko cudzych danych dalej (np. w social media), nie kopiuj całych zestawień do prywatnych arkuszy „na wszelki wypadek”. Taki zdrowy minimalizm w praktyce znacząco ogranicza ryzyko naruszenia przepisów i cudzej prywatności.

Najważniejsze wnioski

  • Publiczne rejestry online równocześnie zwiększają bezpieczeństwo obrotu (weryfikacja firm, właścicieli, pełnomocników) i generują ryzyka dla prywatności, bo pozwalają szybko zebrać dużo informacji o konkretnej osobie.
  • Jawność danych w CEIDG, KRS, EKW czy REGON wynika wprost z ustaw – państwo wymaga ujawnienia informacji o działalności gospodarczej, odpowiedzialności i własności, żeby uczestnicy rynku mogli świadomie oceniać wiarygodność kontrahentów.
  • To, że dane są jawne, nie znosi ochrony z RODO: można je przetwarzać tylko w zgodnym z prawem celu, w minimalnym niezbędnym zakresie i nie dłużej niż potrzeba; jednorazowa weryfikacja kontrahenta to co innego niż masowe „zeskrobywanie” danych do spamu.
  • Ustawy szczególne określają, jakie dane rejestr publikuje i po co, a RODO reguluje, co z tymi danymi mogą dalej robić użytkownicy rejestru; ta druga część (dalsze wykorzystanie) najczęściej generuje naruszenia.
  • Za jawne można uznać to, co oficjalnie pokazuje wyszukiwarka danego rejestru; wymaganie logowania, opłaty czy wniosku sygnalizuje już ograniczony dostęp i dodatkowe zasady korzystania.
  • W legalnych rejestrach gospodarczych nie powinny pojawiać się PESEL-e, dane wrażliwe ani prywatne dane kontaktowe; serwisy „pośredniczące”, które obiecują np. sprawdzenie PESEL po nazwisku, działają co najmniej na granicy prawa.

Zobacz, co jeszcze dla Ciebie mamy:

Poprzedni artykułJak znaleźć dawne formularze kontaktowe i numery kont podane na stronie
Następny artykułSkąd brać cytowania: darmowe źródła, które mają sens
Filip Sikora
Filip Sikora
Filip Sikora łączy podejście analityczne z praktyką pracy z danymi firmowymi. Na blogu opisuje metody weryfikacji kontrahentów: od sprawdzenia NIP/REGON i statusu działalności po ocenę spójności adresu, telefonu i nazw w różnych miejscach. Lubi testować narzędzia i procedury krok po kroku, a potem upraszczać je do checklisty, którą da się zastosować w małej firmie i w zakupach korporacyjnych. W tekstach podkreśla znaczenie dowodów, archiwizacji ustaleń i jasnej komunikacji z drugą stroną, aby minimalizować ryzyko sporów.