Compabase

Polityka prywatności

Ostatnia aktualizacja: 16 czerwca 2026 r.

1. Administrator danych

Administratorem danych dla platformy Compabase jest Content Writer Sp. z o.o. z siedzibą przy ul. Strzeleckiej 29A/39, 61-846 Poznań, Polska.

KRS: 0001088645

NIP: 7792567297

Kontakt w sprawach ochrony danych: [email protected]

Administrator nie powołał inspektora ochrony danych. W sprawach RODO prosimy o kontakt na powyższy adres.

Usługi Compabase są świadczone pod marką Compabase (compabase.com). Powiadomienia informacyjne z art. 14 RODO mogą być wysyłane z domeny compabase-legal.com — obie domeny są obsługiwane przez tego samego administratora (Content Writer Sp. z o.o.).

2. Zakres niniejszej polityki

Niniejsza Polityka prywatności opisuje:

  • w jaki sposób przetwarzamy dane użytkowników korzystających z konta w portalu Compabase,
  • w jaki sposób przetwarzamy dane użytkowników nabywających zestawy danych,
  • w jaki sposób przetwarzamy i publikujemy dane z publicznych rejestrów gospodarczych (KRS),
  • w jaki sposób realizujemy obowiązek informacyjny wynikający z art. 14 RODO,
  • w jaki sposób umożliwiamy samodzielną aktualizację i korektę danych na profilu podmiotu (również bez zakładania konta) — zob. § 14,
  • w jaki sposób działa asystent oparty na sztucznej inteligencji (AI) udostępniany na platformie — zob. § 15,
  • w jaki sposób chronimy dane techniczne i transakcyjne związane z korzystaniem z platformy.

Compabase jest platformą typu B2B służącą do analizy danych gospodarczych i jest przeznaczona wyłącznie do użytku profesjonalnego. Dostęp do profili firm w serwisie oraz eksport zestawów danych podlega niniejszej polityce.

3. Kategorie przetwarzanych danych

3.1. Dane konta użytkownika portalu

W przypadku rejestracji i korzystania z konta w portalu Compabase możemy przetwarzać:

  • adres e-mail powiązany z kontem,
  • identyfikator użytkownika w systemie uwierzytelniania,
  • dane podane w onboardingu (np. reprezentowana firma, osoba kontaktowa, ustawienia konta),
  • treść zapytań do asystenta na platformie (jeśli z tej funkcji korzystasz),
  • listę obserwowanych podmiotów (watchlista).

3.2. Dane transakcyjne i rozliczeniowe

Zbieramy wyłącznie dane niezbędne do realizacji umów i dostarczenia zamówionych usług (w tym eksportu informacji z platformy) oraz wystawienia faktur, w tym:

  • adres e-mail,
  • nazwę firmy,
  • numer identyfikacji podatkowej (NIP/VAT),
  • dane do faktury.

3.3. Dane dotyczące płatności

Płatności są przetwarzane przez zewnętrznych dostawców usług płatniczych (np. Stripe). Nie przechowujemy numerów kart płatniczych ani danych dostępowych do rachunków bankowych.

3.4. Dane techniczne

Podstawowe logi techniczne mogą obejmować:

  • adres IP,
  • metadane zapytań,
  • znaczniki czasu.

Dane te są wykorzystywane wyłącznie w celu zapewnienia bezpieczeństwa, stabilności systemu, zapobiegania nadużyciom i oszustwom.

3.5. Publiczne dane z rejestrów gospodarczych

Compabase przetwarza i strukturyzuje dane pochodzące przede wszystkim z publicznie dostępnych oficjalnych rejestrów i dokumentów rejestrowych, w tym:

  • Krajowego Rejestru Sądowego (KRS),
  • sprawozdań finansowych składanych do publicznych repozytoriów,
  • Wykazu podatników VAT (tzw. białej listy) prowadzonego przez Ministra Finansów (status VAT oraz firmowe rachunki bankowe zgłoszone do wykazu).

Platforma obejmuje zarejestrowane spółki (KRS). W profilach mogą być prezentowane m.in.: nazwa podmiotu, KRS, NIP, REGON, forma prawna, adres, status, daty rejestracji, dane finansowe i wskaźniki wyliczone algorytmicznie, opisy działalności, status rejestracji jako podatnika VAT oraz firmowe rachunki bankowe z wykazu podatników VAT, powiązania między podmiotami (graf powiązań) oraz — w zakresie opisanym w § 3.6 — dane osób fizycznych.

Dane dotyczące statusu VAT oraz firmowych rachunków bankowych odnoszą się do podmiotu gospodarczego (a nie do osoby fizycznej) i pochodzą z jawnego, urzędowego wykazu prowadzonego na podstawie przepisów podatkowych.

3.6. Publikacja danych osobowych z rejestrów

Dane osobowe pochodzące z publicznych rejestrów publikujemy na platformie wyłącznie po spełnieniu wobec danego podmiotu gospodarczego obowiązku informacyjnego z art. 14 RODO, polegającego na przekazaniu informacji na publiczny adres e-mail ujawniony w rejestrze wraz z odesłaniem do niniejszej polityki prywatności. W pozostałych przypadkach prezentujemy wyłącznie informacje niezbędne do identyfikacji podmiotu i opisu jego działalności, bez danych umożliwiających identyfikację osób fizycznych.

Przetwarzamy i prezentujemy dane osób fizycznych wyłącznie w odniesieniu do podmiotów, wobec których zrealizowaliśmy obowiązek informacyjny z art. 14 RODO (tj. wysłaliśmy powiadomienie na publiczny adres e-mail podmiotu z rejestru). Danych osób fizycznych powiązanych z podmiotami, wobec których obowiązek ten nie został zrealizowany, nie prezentujemy ani w module reprezentacji, ani w module powiązań.

Podmioty wpisane do KRS (spółki handlowe, stowarzyszenia i inne podmioty korporacyjne):

  • po spełnieniu obowiązku z art. 14 RODO — w zakresie wynikającym z aktualnego wpisu rejestrowego publikujemy m.in. dane osób w organach reprezentacji, udziałach osób fizycznych oraz w module powiązań;
  • gdy publiczny adres e-mail podmiotu nie jest dostępny lub obowiązek informacyjny nie został spełniony — dane osób fizycznych nie są prezentowane na profilu tego podmiotu w powyższych zakresach;
  • jeżeli ta sama osoba fizyczna występuje w powiązaniu z innym podmiotem, wobec którego obowiązek z art. 14 RODO został spełniony, informacje o tej osobie mogą być widoczne również na profilach podmiotów, z którymi jest powiązana;
  • dane podmiotów prawnych w strukturze właścicielskiej są prezentowane niezależnie od powyższego.

Zasada minimalizacji danych (art. 5 ust. 1 lit. c RODO). Aby ograniczyć zakres prezentowanych danych osobowych do niezbędnego minimum, w odniesieniu do osób fizycznych:

  • nie prezentujemy numeru PESEL ani pełnej daty urodzenia; w sytuacjach, w których pomocne jest odróżnienie osób o identycznym imieniu i nazwisku, prezentujemy wyłącznie przybliżony wiek wyliczony na podstawie roku urodzenia (np. „47 l.”). Pełna data urodzenia oraz PESEL nie są udostępniane w interfejsie platformy, przez interfejs programistyczny (API) ani w eksporcie danych;
  • zakres danych osobowych ograniczamy do informacji wynikających z funkcji pełnionej w podmiocie (imię, nazwisko, funkcja, udziały osoby fizycznej, przybliżony wiek).

Ochrona publicznego adresu e-mail przed nieuprawnionym wykorzystaniem. Publiczny adres e-mail podmiotu ujawniony w rejestrze nie jest widoczny dla użytkowników niezalogowanych i pozostaje ukryty (zamaskowany) w widoku publicznym. Udostępniamy go wyłącznie zalogowanym użytkownikom platformy. Rozwiązanie to — będące dodatkowym środkiem bezpieczeństwa danych (art. 32 RODO) — ma na celu ograniczenie automatycznego pozyskiwania (scrapingu) adresów oraz przeciwdziałanie nadużyciom, w szczególności niezamówionej komunikacji marketingowej. Compabase wyłącznie udostępnia dane z rejestru; każdy użytkownik, który zamierza nawiązać kontakt z wykorzystaniem takiego adresu, ponosi samodzielną odpowiedzialność za posiadanie odpowiedniej podstawy prawnej i wymaganych zgód (m.in. w zakresie marketingu bezpośredniego i komunikacji elektronicznej).

4. Źródła danych

Dane z rejestrów gospodarczych, sprawozdań oraz wykazu podatników VAT pochodzą z publicznie dostępnych źródeł urzędowych i nie są pozyskiwane bezpośrednio od osób fizycznych.

Dane konta użytkownika portalu oraz dane transakcyjne pochodzą bezpośrednio od użytkownika lub powstają w związku z korzystaniem z usług.

Dodatkowo dane prezentowane na profilu podmiotu mogą pochodzić bezpośrednio od osoby uprawnionej do reprezentowania danego podmiotu lub powiązanej z nim, która skorzystała z funkcji samodzielnej aktualizacji i korekty danych profilu (zob. § 14). Dane przekazane w ten sposób są przechowywane jako odrębna warstwa informacji uzupełniających i nie modyfikują treści oficjalnych rejestrów publicznych.

Publiczne adresy e-mail z dokumentów rejestrowych publikujemy wyłącznie w ramach profilu podmiotu i po spełnieniu art. 14 RODO. Na żądanie osoby, której dane dotyczą, lub w związku z realizacją praw z RODO możemy zaprzestać publikacji adresu e-mail na profilu podmiotu, nawet jeśli nadal występuje w publicznym rejestrze.

5. Cele i podstawy prawne przetwarzania

Przetwarzamy dane na następujących podstawach prawnych:

5.1. Wykonanie umowy (art. 6 ust. 1 lit. b RODO)
W celu:

  • prowadzenia konta w portalu i świadczenia usług platformy,
  • realizacji umów i dostarczenia zamówionych usług (w tym eksportu informacji z platformy),
  • potwierdzania płatności.

5.2. Obowiązek prawny (art. 6 ust. 1 lit. c RODO)
W celu:

  • wystawiania faktur VAT,
  • prowadzenia dokumentacji księgowej.

5.3. Prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO)
W celu:

  • zapewnienia ustrukturyzowanego dostępu do publicznie dostępnych informacji gospodarczych z KRS i sprawozdań,
  • utrzymania przejrzystości informacji ekonomicznych i weryfikacji kontrahentów,
  • budowy i prezentacji powiązań między podmiotami i osobami (w granicach § 3.6),
  • zapewnienia bezpieczeństwa platformy i zapobiegania nadużyciom,
  • dochodzenia lub obrony roszczeń,
  • utrzymania technicznej integralności systemów przetwarzania danych.

Dane nieosobowe z rejestrów (dane podmiotu, finanse, adresy, PKD itd.) przetwarzamy na podstawie art. 6 ust. 1 lit. f RODO w celu ustrukturyzowanego dostępu do jawnych informacji gospodarczych.

Dane osobowe (imię, nazwisko, funkcja, udziały osoby fizycznej) przetwarzamy na podstawie art. 6 ust. 1 lit. f RODO wyłącznie po spełnieniu obowiązku z art. 14 RODO i w zakresie opisanym w § 3.6.

Administrator przeprowadził analizę prawnie uzasadnionego interesu (Legitimate Interest Assessment) w celu zapewnienia proporcjonalności i wyważenia interesów.

6. Obowiązek informacyjny (art. 14 RODO)

Gdy dane osobowe nie są pozyskiwane bezpośrednio od osób fizycznych, realizujemy obowiązek z art. 14 RODO wobec podmiotu gospodarczego, którego dane dotyczą, w oparciu o następujące zasady:

  • jeżeli w rejestrze publicznym dostępny jest adres e-mail podmiotu — wysyłamy powiadomienie informacyjne drogą elektroniczną (m.in. z domeny compabase-legal.com), z odesłaniem do niniejszej polityki. Po przekazaniu takiej informacji publikujemy na platformie dane osobowe osób powiązanych z tym podmiotem w zakresie określonym w § 3.6;
  • jeżeli w rejestrze nie ma publicznego adresu e-mail — nie realizujemy wysyłki, a tym samym odstępujemy od publikacji i prezentacji danych osobowych na profilu tego podmiotu;
  • w przypadku osób fizycznych, które kontaktują się z nami bezpośrednio (np. w celu realizacji swoich praw RODO lub uzyskania wsparcia) — przetwarzamy dane zawarte w korespondencji, a obowiązek informacyjny z tym związany realizujemy poprzez udostępnienie niniejszej Polityki.

Korespondencja informacyjna z art. 14 nie stanowi komunikacji marketingowej i służy wyłącznie realizacji obowiązków prawnych.

7. Zautomatyzowane przetwarzanie i transformacja danych

Compabase dokonuje zautomatyzowanego pozyskiwania, normalizacji i analizy publicznie dostępnych danych.

Wskaźniki finansowe (np. EBITDA, wskaźniki wzrostu, wskaźniki stabilności) mogą być wyprowadzane, obliczane, szacowane lub interpretowane algorytmicznie i stanowią analityczną reprezentację publicznych danych finansowych.

Platforma może generować opisy działalności podmiotów na podstawie publicznie dostępnych informacji oraz budować graf powiązań między podmiotami a osobami (w granicach § 3.6).

Platforma może podejmować działania mające na celu zapewnienie aktualności i jakości danych, w tym ich technicznej weryfikacji.

Compabase nie stosuje zautomatyzowanego podejmowania decyzji w rozumieniu art. 22 RODO i nie wywołuje skutków prawnych wobec osób fizycznych.

8. Udostępnianie danych i odbiorcy

Nie sprzedajemy danych osobowych jako odrębnych produktów i nie prowadzimy reklamy behawioralnej. Platforma udostępnia użytkownikom dostęp do publicznie dostępnych danych firm (przeglądanie profili w serwisie, dostęp przez API oraz eksport zestawów), w tym — po spełnieniu art. 14 — danych osobowych ujawnionych w rejestrach.

Dane osobowe reprezentantów ujawnione w rejestrach (m.in. imię, nazwisko, funkcja) stanowią składową danych rejestrowych podmiotu i — po spełnieniu art. 14 RODO — są dostępne dla użytkowników w ramach przeglądania profilu, interfejsu programistycznego (API) oraz eksportu danych jako element tych danych rejestrowych. Dane osobowe nie są jednak odrębnym produktem komercyjnym — nie są sprzedawane ani udostępniane jako wyodrębniona baza danych osobowych ani w celach marketingowych.

Dane mogą być powierzane lub udostępniane następującym kategoriom odbiorców (podmiotom przetwarzającym na nasze zlecenie lub współpracującym):

  • dostawcom usług płatniczych (np. Stripe),
  • dostawcom hostingu i bazy danych w chmurze (np. Supabase — infrastruktura w UE),
  • dostawcom narzędzi do wysyłki powiadomień informacyjnych z art. 14 RODO,
  • dostawcom modeli i usług sztucznej inteligencji obsługujących asystenta AI (zob. § 15), działającym jako podmioty przetwarzające na nasze zlecenie i bez prawa wykorzystywania przekazanych treści do trenowania modeli,
  • podmiotom świadczącym usługi księgowe i podatkowe,
  • podmiotom wspierającym bezpieczeństwo, utrzymanie i rozwój platformy.

Wszystkie podmioty przetwarzające dane działają na podstawie umów powierzenia przetwarzania danych (art. 28 RODO), jeżeli jest to wymagane.

9. Przekazywanie danych poza EOG

Ze względu na globalny charakter niektórych dostawców infrastruktury (np. płatności) dane mogą być przetwarzane poza Europejskim Obszarem Gospodarczym.

W takich przypadkach stosowane są odpowiednie zabezpieczenia, w tym standardowe klauzule umowne Komisji Europejskiej lub równoważne mechanizmy prawne, jeżeli są wymagane. Główna infrastruktura platformy i bazy danych jest utrzymywana w Unii Europejskiej.

10. Okres przechowywania danych

Dokumentacja księgowa i rozliczeniowa: przez okres wymagany przepisami prawa podatkowego.

Dane konta użytkownika portalu: przez czas posiadania aktywnego konta, a po jego usunięciu – przez okres do upływu ogólnych terminów przedawnienia ewentualnych roszczeń cywilnoprawnych (standardowo 3 lub 6 lat, zgodnie z przepisami Kodeksu cywilnego).

Adres e-mail związany z transakcją: wyłącznie tak długo, jak jest to niezbędne do dostawy i rozwiązania problemów technicznych.

Logi techniczne: przez ograniczony okres niezbędny do bezpieczeństwa i integralności systemu.

Publiczne dane z rejestrów (nieosobowe): tak długo, jak pozostają w oficjalnych rejestrach publicznych lub są niezbędne do ciągłości informacji gospodarczej.

Dane osobowe z rejestrów: do czasu ich usunięcia lub zanonimizowania we właściwym rejestrze publicznym, chyba że wcześniej zaistnieją przesłanki do zaprzestania publikacji (np. uznanie uzasadnionego sprzeciwu osoby, której dane dotyczą). Po usunięciu z platformy dane mogą być archiwizowane wyłącznie przez czas trwania terminów przedawnienia roszczeń.

11. Prawa osób, których dane dotyczą

Wszystkim osobom, których dane osobowe przetwarzamy (zarówno użytkownikom platformy, jak i osobom ujawnionym w profilach gospodarczych), przysługują następujące prawa:

  • dostępu do swoich danych (art. 15 RODO),
  • żądania sprostowania (art. 16 RODO),
  • żądania usunięcia danych (art. 17 RODO) — w granicach przewidzianych prawem, w szczególności gdy dane nadal występują w rejestrze publicznym,
  • żądania ograniczenia przetwarzania (art. 18 RODO),
  • prawa do przenoszenia danych (art. 20 RODO) — w odniesieniu do danych przetwarzanych w sposób zautomatyzowany na podstawie umowy,
  • wniesienia sprzeciwu wobec przetwarzania opartego na art. 6 ust. 1 lit. f RODO (art. 21 RODO).

Każdy wniosek i sprzeciw są rozpatrywane indywidualnie. Odpowiadamy bez zbędnej zwłoki, nie później niż w terminie jednego miesiąca od otrzymania wniosku (art. 12 ust. 3 RODO), z zastrzeżeniem przypadków przewidzanych w RODO. Jeżeli sprzeciw lub wniosek okaże się zasadny, przetwarzanie może zostać ograniczone, zmodyfikowane lub — w zakresie technicznie możliwym — dane osobowe mogą zostać usunięte z prezentacji na platformie (przy częściowym pozostawieniu danych nieosobowych podmiotu wynikających z rejestru).

Wnioski można składać na adres: [email protected] (temat: „RODO”).

Przysługuje prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.

12. Pliki cookies

Compabase wykorzystuje wyłącznie niezbędne techniczne pliki cookies wymagane do:

  • obsługi sesji,
  • realizacji procesu płatności,
  • prawidłowego funkcjonowania systemu.

Nie stosujemy narzędzi śledzących ani analityki behawioralnej.

13. Środki bezpieczeństwa

Stosujemy odpowiednie środki organizacyjne i techniczne w celu ochrony danych, w tym bezpieczną infrastrukturę, mechanizmy kontroli dostępu, szyfrowanie transmisji danych oraz monitorowanie w celu zapobiegania nieautoryzowanemu dostępowi i nadużyciom.

W ramach minimalizacji ryzyka stosujemy m.in. ukrycie publicznego adresu e-mail przed użytkownikami niezalogowanymi (zob. § 3.6), ograniczanie zakresu prezentowanych danych osobowych (m.in. brak PESEL i pełnej daty urodzenia, prezentacja jedynie przybliżonego wieku) oraz techniczne ograniczenia dostępu do danych przez interfejs programistyczny (API) i asystenta AI.

14. Samoobsługowa aktualizacja i korekta danych profilu

Udostępniamy funkcję umożliwiającą osobom uprawnionym do reprezentowania podmiotu lub z nim powiązanym samodzielne uzupełnianie, aktualizowanie i poprawianie danych prezentowanych na profilu podmiotu (np. opisu działalności, logo, danych kontaktowych). Funkcja ta służy zapewnieniu prawidłowości i aktualności danych (art. 5 ust. 1 lit. d RODO) oraz ułatwia realizację prawa do sprostowania (art. 16 RODO).

Z funkcji można skorzystać na dwa sposoby:

  • po zalogowaniu do portalu i potwierdzeniu uprawnień do zarządzania profilem (weryfikacja na podstawie domeny firmowego adresu e-mail zgodnej z danymi rejestrowymi podmiotu),
  • bez zakładania konta — w trybie jednorazowej edycji, po potwierdzeniu kontroli nad firmowym adresem e-mail (weryfikacja domenowa za pomocą jednorazowego, ograniczonego czasowo linku przesyłanego na adres w domenie podmiotu).

Weryfikacja domenowa ma na celu zapewnienie, że dane modyfikuje wyłącznie osoba kontrolująca podmiot. Dane przekazane w ramach tej funkcji przetwarzamy na podstawie art. 6 ust. 1 lit. f RODO (zapewnienie aktualności i jakości informacji gospodarczej). Dane wprowadzone tą drogą stanowią warstwę informacji uzupełniających i nie zmieniają treści oficjalnych rejestrów publicznych.

15. Asystent AI (sztuczna inteligencja)

Na platformie udostępniamy asystenta opartego na sztucznej inteligencji (AI), który umożliwia zadawanie pytań w języku naturalnym dotyczących danych gospodarczych dostępnych w serwisie i prezentowanie odpowiedzi oraz wizualizacji na ich podstawie.

  • Brak trenowania modeli na danych użytkowników. Nie trenujemy, nie dostrajamy ani nie budujemy własnych modeli AI w oparciu o dane użytkowników, treść zapytań ani dane z platformy. Korzystamy z modeli udostępnianych przez zewnętrznych dostawców, działających jako podmioty przetwarzające na nasze zlecenie; treści przekazywane do modelu nie są wykorzystywane przez dostawcę do trenowania jego modeli.
  • Ograniczony, kontrolowany dostęp do danych. Asystent uzyskuje dostęp do danych wyłącznie za pośrednictwem zdefiniowanych przez nas narzędzi (interfejs typu MCP), które stanowią z góry określone, parametryzowane zapytania do bazy danych przeznaczone wyłącznie do odczytu. Narzędzia te operują na ograniczonym zbiorze danych i widoków, które uwzględniają już opisane w niniejszej polityce ograniczenia dotyczące danych osobowych (m.in. bramkę z art. 14 RODO oraz brak dostępu do numeru PESEL i pełnej daty urodzenia).
  • Brak zautomatyzowanego podejmowania decyzji. Asystent AI ma charakter wyłącznie informacyjny i pomocniczy. Nie podejmuje wobec osób fizycznych decyzji wywołujących skutki prawne ani podobnie istotnych w rozumieniu art. 22 RODO. Wyniki generowane przez asystenta mogą zawierać nieścisłości i wymagają samodzielnej weryfikacji.
  • Treść interakcji. Treść zapytań kierowanych do asystenta, treść odpowiedzi oraz związane z nimi metadane techniczne (historia czatu) są rejestrowane i przechowywane w celu świadczenia usługi, zapewnienia jej bezpieczeństwa, kontroli jakości, audytu, zapobiegania nadużyciom oraz dokumentowania ewentualnych prób obejścia lub manipulacji zabezpieczeniami (art. 6 ust. 1 lit. b i f RODO). Historia czatu nie jest wykorzystywana do trenowania modeli AI; może natomiast stanowić środek dowodowy w postępowaniach dotyczących naruszenia Regulaminu, w tym prób obejścia zabezpieczeń.