Każdy przedsiębiorca, który choć raz projektował wizytówkę firmową, przygotowywał umowę z kontrahentem lub zakładał bazę klientów, zadał sobie to pytanie. Imię i nazwisko widnieje na każdej fakturze, w każdym e-mailu służbowym i w niemal każdym formularzu kontaktowym na stronie internetowej. Naturalne jest więc, że pojawia się obawa: czy przetwarzając te dane, muszę spełniać wszystkie obowiązki wynikające z RODO? Odpowiedź nie jest zero-jedynkowa, a błędna interpretacja może kosztować nawet 20 milionów euro kary lub 4% globalnego obrotu firmy. W tym poradniku rozkładamy temat na czynniki pierwsze na rok 2026 — z uwzględnieniem najnowszych wytycznych Europejskiej Rady Ochrony Danych (EROD), stanowiska polskiego Urzędu Ochrony Danych Osobowych (UODO) oraz realiów małych i średnich firm działających na rynku polskim.
Imię i nazwisko jako dane osobowe — co mówi RODO
Zacznijmy od podstawy prawnej. Art. 4 pkt 1 RODO definiuje dane osobowe jako "wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej". Identyfikatorami mogą być imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Imię i nazwisko jest wymienione jako pierwszy, najważniejszy identyfikator — i słusznie, bo to właśnie ono najczęściej pozwala jednoznacznie rozpoznać człowieka.
W praktyce oznacza to, że każda operacja na imieniu i nazwisku — nawet jego zapisanie na kartce, wpisanie do arkusza kalkulacyjnego czy przesłanie w wiadomości e-mail — stanowi przetwarzanie danych osobowych. Zbieranie, utrwalanie, przechowywanie, przeglądanie, wykorzystywanie, udostępnianie, a nawet usuwanie — każda z tych czynności podlega reżimowi RODO. Nie ma znaczenia, czy robisz to w formie papierowej czy cyfrowej, na własnym serwerze czy w chmurze. RODO obejmuje wszystko.
Jednak tu pojawia się pierwsze ważne rozróżnienie: sam fakt, że imię i nazwisko jest daną osobową, nie oznacza automatycznie, że każda sytuacja z ich użyciem wymaga wypełnienia wszystkich obowiązków RODO. Kluczowe jest to, w jakim kontekście i w jakim celu przetwarzasz te dane. I właśnie o tym będzie dalej.
Kiedy imię i nazwisko nie podlega RODO — wyjątek gospodarstwa domowego
Jest jedna sytuacja, w której możesz przetwarzać imię i nazwisko bez oglądania się na RODO. Mowa o tzw. wyłączeniu gospodarstwa domowego, zapisanym w art. 2 ust. 2 lit. c RODO. Przepis ten mówi, że rozporządzenia nie stosuje się do przetwarzania danych osobowych "przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze".
Co to oznacza w praktyce? Jeśli prowadzisz prywatną książkę adresową z kontaktami do rodziny i znajomych, wysyłasz zaproszenie na urodziny do grupy przyjaciół czy przechowujesz numery telefonów sąsiadów na kartce na lodówce — RODO cię nie dotyczy. Podobnie, publikacja zdjęcia z wakacji z imieniem i nazwiskiem znajomego na prywatnym, niezwiązanym z działalnością gospodarczą profilu w mediach społecznościowych co do zasady nie podlega RODO.
Granica jest jednak cienka. Jeśli twój profil na Facebooku służy równocześnie promocji działalności gospodarczej, upublicznianie tam cudzych danych osobowych może już podlegać RODO. Podobnie, jeśli lista kontaktów w telefonie jest wykorzystywana do wysyłania ofert handlowych, wyłączenie gospodarstwa domowego przestaje działać. Trybunał Sprawiedliwości Unii Europejskiej w wyroku z 2018 roku (sprawa C-25/17, Jehovan todistajat) potwierdził, że wyłączenie to należy interpretować wąsko.
Podstawy prawne przetwarzania imienia i nazwiska w firmie
Gdy już wiemy, że działamy poza sferą prywatną, musimy wskazać podstawę prawną przetwarzania. RODO wymienia sześć przesłanek legalizujących przetwarzanie danych osobowych, ale w kontekście imienia i nazwiska w firmie najczęściej stosuje się trzy z nich.
Pierwsza i najważniejsza to zgoda osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO). Zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna. W praktyce oznacza to, że checkbox w formularzu nie może być domyślnie zaznaczony, a osoba musi wiedzieć, na co się zgadza i komu powierza swoje dane. Zgoda musi być też możliwa do wycofania w każdym momencie, a proces wycofania musi być równie łatwy jak jej wyrażenie. W 2026 roku polski UODO szczególnie wyczulony jest na tzw. zgodę wymuszoną — jeśli dostęp do usługi warunkujesz wyrażeniem zgody na przetwarzanie danych, które nie są niezbędne do wykonania umowy, narażasz się na karę.
Druga podstawa to niezbędność przetwarzania do wykonania umowy (art. 6 ust. 1 lit. b RODO). Gdy podpisujesz kontrakt z klientem, potrzebujesz jego imienia i nazwiska, by umowa była ważna. Nie musisz prosić o dodatkową zgodę na wpisanie tych danych do umowy — to oczywiste, że bez nich kontrakt nie powstałby. Ta podstawa obejmuje też czynności podejmowane na żądanie osoby przed zawarciem umowy — np. przygotowanie oferty, wyceny, projektu.
Trzecia podstawa to prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO). To najbardziej elastyczna, ale i najbardziej ryzykowna przesłanka. Możesz się na nią powołać, gdy przetwarzanie jest niezbędne do celów wynikających z uzasadnionych interesów, a interesy te nie są nadrzędne wobec interesów lub podstawowych praw i wolności osoby, której dane dotyczą. Przetwarzanie imienia i nazwiska pracownika na wizytówce czy na stronie internetowej firmy zwykle opiera się właśnie na tej przesłance — musisz jednak przeprowadzić tzw. test równowagi i go udokumentować.
Rejestracja działalności a imię i nazwisko — dane ujawnione publicznie
Osoby prowadzące jednoosobową działalność gospodarczą często zastanawiają się, czy wpis w CEIDG zmienia coś w kwestii RODO. Ich imię i nazwisko, adres prowadzenia działalności czy numer NIP są danymi jawnymi — każdy może je sprawdzić w publicznym rejestrze. Czy to oznacza, że każdy może te dane dowolnie wykorzystywać?
Odpowiedź brzmi: nie do końca. Fakt, że dane są publicznie dostępne, nie zwalnia z obowiązku posiadania podstawy prawnej do ich przetwarzania. Jeśli ściągasz dane przedsiębiorców z CEIDG, by zbudować bazę marketingową i wysyłać do nich oferty handlowe, nadal musisz mieć podstawę prawną — najczęściej będzie to prawnie uzasadniony interes. Musisz też spełnić obowiązek informacyjny, czyli poinformować te osoby, że przetwarzasz ich dane, w jakim celu i na jakiej podstawie. W 2026 roku UODO przyjął stanowisko, że w przypadku baz budowanych z rejestrów publicznych obowiązek informacyjny można zrealizować przez ogłoszenie na stronie internetowej, pod warunkiem że jest ono łatwo dostępne i zawiera wszystkie elementy wymagane przez art. 14 RODO.
Co więcej, dane z CEIDG dotyczą działalności gospodarczej, a nie życia prywatnego. Jeśli przedsiębiorca podał w CEIDG swój prywatny adres jako adres firmowy, przetwarzanie go w celach marketingowych może naruszać jego prywatność. RODO nie rozróżnia danych "firmowych" i "prywatnych" wprost, ale kontekst przetwarzania ma znaczenie przy ocenie, czy naruszasz prawa i wolności osoby.
Obowiązki administratora przy przetwarzaniu imienia i nazwiska
Nawet jeśli przetwarzasz tylko imię i nazwisko, jako administrator danych musisz spełnić szereg obowiązków. Ich zakres zależy od skali, charakteru i celu przetwarzania, ale kilka z nich ma charakter bezwzględny niezależnie od wielkości firmy.
Obowiązek informacyjny to pierwsza rzecz, którą musisz zrealizować. Gdy zbierasz dane bezpośrednio od osoby, musisz jej przekazać m.in. informację o administratorze, celach i podstawach przetwarzania, okresie przechowywania danych, prawach przysługujących osobie oraz — jeśli dotyczy — zamiarze przekazania danych do państwa trzeciego. W praktyce najczęściej realizuje się to przez klauzulę informacyjną w formularzu kontaktowym, regulaminie sklepu czy w stopce wiadomości e-mail. Zbierając dane z innych źródeł (np. z CEIDG, od partnera biznesowego lub z LinkedIn), masz obowiązek poinformować osobę w ciągu miesiąca od pozyskania danych — chyba że wymagałoby to niewspółmiernie dużego wysiłku (art. 14 ust. 5 lit. b RODO). Tu jednak ostrożnie: UODO w 2025 roku wyraźnie wskazał, że "niewspółmierny wysiłek" nie może być wymówką dla lenistwa — trzeba ten wysiłek realnie oszacować i udokumentować.
Rejestr czynności przetwarzania to obowiązek dla firm zatrudniających powyżej 250 osób lub przetwarzających dane szczególnych kategorii, dane o wyrokach skazujących, a także dla tych, których przetwarzanie może powodować ryzyko naruszenia praw i wolności. Mimo że przetwarzanie samego imienia i nazwiska rzadko samo w sobie jest ryzykowne, to już połączenie go z numerem telefonu, adresem e-mail i historią zakupów tworzy profil klienta — a to już wymaga rejestru.
Zasada minimalizacji danych (art. 5 ust. 1 lit. c RODO) nakazuje, by przetwarzać tylko te dane, które są adekwatne, stosowne i niezbędne do celu. Jeśli do wysyłki newslettera potrzebujesz tylko adresu e-mail, nie możesz wymagać imienia i nazwiska. Jeśli imię i nazwisko jest niezbędne (np. do personalizacji), możesz je zbierać, ale nie dokładaj innych danych "na zapas".
Obowiązek zgłaszania naruszeń do UODO w ciągu 72 godzin dotyczy każdego administratora, bez wyjątków. Wyciek imion i nazwisk klientów w wyniku włamania do systemu może wymagać zgłoszenia — kluczowe jest, czy naruszenie może skutkować ryzykiem naruszenia praw i wolności osób fizycznych. Samo imię i nazwisko to ryzyko niskie, ale w połączeniu z adresem e-mail już średnie, a z numerem PESEL — wysokie.
Imię i nazwisko w dokumentacji pracowniczej i księgowej
Szczególnym przypadkiem jest przetwarzanie imienia i nazwiska w relacji pracodawca-pracownik oraz w dokumentacji księgowej. Tu zasady są bardziej szczegółowe.
W stosunku pracy podstawą przetwarzania imienia i nazwiska jest przede wszystkim art. 22¹ Kodeksu pracy, który wprost wymienia kategorie danych, jakich pracodawca może żądać od pracownika i kandydata. Imię i nazwisko jest tam na pierwszym miejscu. Podstawą z RODO będzie więc art. 6 ust. 1 lit. c, czyli obowiązek prawny ciążący na administratorze. Co ważne, pracodawca nie potrzebuje zgody pracownika na przetwarzanie tych danych w celach kadrowo-płacowych. Nie może też warunkować zatrudnienia od wyrażenia zgody na przetwarzanie danych niewymaganych prawem.
W dokumentacji księgowej imię i nazwisko kontrahenta widnieje na fakturze. Ustawa o VAT i ustawa o rachunkowości wymagają określonych danych na fakturze, w tym imienia i nazwiska (lub nazwy) nabywcy. Przetwarzanie w tym zakresie opiera się na obowiązku prawnym. Okres przechowywania faktur wynika z prawa podatkowego i wynosi 5 lat od końca roku kalendarzowego, w którym upłynął termin płatności podatku. Po tym okresie dane powinny zostać usunięte lub zanonimizowane. Praktyka pokazuje, że wiele firm przechowuje faktury "na wszelki wypadek" przez kilkanaście lat — to już naruszenie zasady ograniczenia przechowywania z art. 5 ust. 1 lit. e RODO.
Świadectwa pracy, umowy o pracę i akta osobowe pracowników przechowuje się przez 50 lat od zakończenia stosunku pracy (dla pracowników zatrudnionych od 2019 roku obowiązują nowe, krótsze okresy — odpowiednio 10 lat dla akt osobowych i 10 lat dla dokumentacji płacowej, ale tylko jeśli pracodawca przekazuje raporty ZUS). Imię i nazwisko byłego pracownika przechowywane przez 50 lat to nadal dane osobowe podlegające ochronie RODO — musisz zapewnić im odpowiednie zabezpieczenia techniczne i organizacyjne przez cały ten czas.
Imię i nazwisko w marketingu — mailing, media społecznościowe, konkursy
Działania marketingowe to obszar, gdzie imię i nazwisko jest przetwarzane najczęściej, a jednocześnie najłatwiej tu o naruszenie. Analizujemy najpopularniejsze przypadki.
Newsletter i marketing e-mailowy wymagają zgody, chyba że korzystasz z wyjątku dla dotychczasowych klientów z art. 10 ustawy o świadczeniu usług drogą elektroniczną. Jeśli klient kupił u ciebie produkt, możesz wysyłać mu informacje o podobnych produktach bez dodatkowej zgody, pod warunkiem że dasz mu możliwość łatwej rezygnacji. Imię i nazwisko w tym kontekście jest przetwarzane na podstawie prawnie uzasadnionego interesu, ale tylko jeśli personalizujesz komunikację. Jeśli nie personalizujesz, nie zbieraj imienia i nazwiska w ogóle — minimalizacja danych.
Konkursy i loterie w mediach społecznościowych to klasyczny obszar ryzyka. Organizując konkurs na Facebooku, stajesz się administratorem danych uczestników. Musisz mieć podstawę prawną (zazwyczaj zgoda uczestnika, ale też niezbędność do wykonania umowy, jeśli regulamin konkursu ma charakter wiążącej umowy), obowiązek informacyjny oraz uregulowaną kwestię publikacji danych zwycięzców. UODO w 2025 ukarał firmę kwotą 40 000 zł za opublikowanie imienia i nazwiska zwycięzcy konkursu bez uprzedniego poinformowania uczestników, że takie dane zostaną upublicznione.
Listy mailingowe i CRM-y budowane z danych publicznie dostępnych (LinkedIn, CEIDG, strony internetowe) to kolejny newralgiczny punkt. Nawet jeśli dane są publiczne, ich zebranie w bazie marketingowej wymaga podstawy prawnej i realizacji obowiązku informacyjnego. W 2026 roku nie ma już mowy o domniemaniu zgody — każdy adresat komunikacji marketingowej musi mieć możliwość wycofania się z niej, a jego dane nie mogą być przetwarzane po zgłoszeniu sprzeciwu.
Częste pytania
Czy samo imię i nazwisko to zawsze dana osobowa?
Tak, jeśli pozwala na identyfikację konkretnej osoby. Wyjątkiem są sytuacje, gdy imię i nazwisko jest tak powszechne (np. Jan Kowalski), że bez dodatkowych danych nie pozwala na jednoznaczną identyfikację — ale w praktyce biznesowej prawie zawsze towarzyszą mu inne identyfikatory (adres e-mail, firma, numer telefonu), więc jest daną osobową.
Czy muszę zgłaszać do UODO zbiór zawierający tylko imiona i nazwiska?
Nie ma już obowiązku rejestracji zbiorów w UODO. RODO zastąpiło ten mechanizm obowiązkiem prowadzenia wewnętrznego rejestru czynności przetwarzania dla administratorów spełniających określone kryteria (m.in. zatrudniających powyżej 250 osób).
Czy mogę zbierać imiona i nazwiska przez formularz kontaktowy na stronie bez zgody?
Tak, jeśli są niezbędne do odpowiedzi na zapytanie — podstawą jest wtedy podjęcie działań na żądanie osoby przed zawarciem umowy. Nie możesz jednak automatycznie dodawać tych osób do newslettera.
Czy wpisanie imienia i nazwiska w CV aplikanta do bazy bez jego zgody jest legalne?
Na czas rekrutacji podstawą jest obowiązek prawny i działania przed zawarciem umowy. Po rekrutacji przechowywanie CV wymaga zgody kandydata, chyba że sam wyraził chęć udziału w przyszłych rekrutacjach.
Czy przesyłanie faktury z imieniem i nazwiskiem na niezabezpieczony e-mail narusza RODO?
Samo przesłanie faktury e-mailem bez szyfrowania nie jest automatycznie naruszeniem, ale stanowi ryzyko. RODO wymaga wdrożenia odpowiednich środków technicznych i organizacyjnych odpowiednich do ryzyka — warto rozważyć szyfrowanie załączników lub bezpieczną platformę wymiany dokumentów.
Czy imię i nazwisko przedsiębiorcy z CEIDG można wykorzystać w celach marketingowych?
Tak, ale musisz mieć podstawę prawną (najczęściej prawnie uzasadniony interes), zrealizować obowiązek informacyjny i zapewnić możliwość sprzeciwu. Nie możesz zasypywać przedsiębiorców spamem tylko dlatego, że ich dane są publiczne.
Czy publikacja imienia i nazwiska pracownika na stronie firmowej wymaga zgody?
Nie, podstawą jest uzasadniony interes pracodawcy, ale przed publikacją trzeba przeprowadzić test równowagi i poinformować pracownika. Pracownik ma prawo sprzeciwu, a w przypadku byłych pracowników zgoda na dalszą publikację może być już potrzebna.
Jak długo mogę przechowywać imię i nazwisko w bazie klientów?
Tak długo, jak jest to niezbędne do celu przetwarzania. Dla celów księgowych — 5 lat od końca roku podatkowego. Dla celów marketingowych — do momentu wycofania zgody lub wniesienia sprzeciwu. Dla celów gwarancji i rękojmi — przez okres przedawnienia roszczeń (zazwyczaj 2-6 lat w zależności od rodzaju umowy).
Czy mogę przekazać listę klientów z imionami i nazwiskami podmiotowi trzeciemu, np. firmie kurierskiej?
Tak, ale tylko w zakresie niezbędnym do realizacji celu (np. doręczenia przesyłki). Firma kurierska działa jako podmiot przetwarzający i musisz mieć z nią umowę powierzenia przetwarzania danych zgodną z art. 28 RODO.
Jakie kary grożą za bezprawne przetwarzanie imion i nazwisk?
Administracyjne kary pieniężne: do 20 milionów euro lub do 4% całkowitego rocznego światowego obrotu przedsiębiorstwa (zastosowanie ma kwota wyższa). Dodatkowo osoba poszkodowana może dochodzić odszkodowania na drodze cywilnej. W 2025 roku średnia kara nakładana przez UODO na małe firmy wyniosła około 25 000 zł — to kwota, która potrafi poważnie zachwiać płynnością finansową firmy.
Imię i nazwisko to dana osobowa, która towarzyszy każdej firmie na każdym etapie działalności. Nie da się go uniknąć — pojawia się w umowach, na fakturach, w wizytówkach, w bazach klientów i w e-mailach. Kluczem do bezpiecznego przetwarzania nie jest unikanie zbierania tych danych, lecz zrozumienie, na jakiej podstawie je przetwarzasz, w jakim celu i z jakimi obowiązkami to się wiąże. Dokumentuj swoje podstawy prawne, realizuj obowiązek informacyjny, nie zbieraj danych na zapas, a po upływie okresu niezbędności — usuwaj je bez zbędnej zwłoki. Tylko w ten sposób zminimalizujesz ryzyko naruszeń i kar, a jednocześnie zbudujesz zaufanie klientów, którzy coraz częściej zwracają uwagę na to, jak firmy obchodzą się z ich danymi. Jeśli prowadzisz sklep internetowy lub serwis i potrzebujesz sprawdzonego systemu do zarządzania zgodami RODO, zapoznaj się z wdrożeniowymi rozwiązaniami dostępnymi w KluczeSoft.pl — pomożemy ci zautomatyzować procesy compliance bez zbędnej biurokracji.
Sprawdź też
Potrzebujesz licencji? Microsoft Office — sprawdź ofertę KluczeSoft.pl — legalne klucze, faktura VAT, dostawa e-mail.