Kancelaria Prawna Wiktor Dębowski | Czy udostępnienie imienia i nazwiska narusza rodo?

Czy udostępnienie imienia i nazwiska stanowi naruszenie RODO?

W dobie cyfryzacji i szybkiego obiegu informacji wiele osób zadaje sobie pytanie: czy udostępnienie imienia i nazwiska innej osoby stanowi naruszenie przepisów o ochronie danych osobowych, w tym RODO? Pytanie to jest zasadne również z uwagi na ostatnie wydarzenia polityczne - sprawy Pana Jerzego (przyp. red. dotyczy wyborów prezydenckich, przeprowadzonych w 2025 roku). Odpowiedź jak to często bywa w prawie brzmi: to zależy. W niniejszym wpisie wyjaśniam, kiedy imię i nazwisko podlegają ochronie jako dane osobowe, a także kiedy ich ujawnienie może prowadzić do powstania odpowiedzialności.

Czym są dane osobowe?

Zgodnie z art. 4 pkt 1 RODO: „dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”.

Zatem, może to być nie tylko imię i nazwisko, ale też adres e-mail, numer telefonu, dane lokalizacyjne czy nawet identyfikator IP, jeśli pozwalają one wskazać konkretną osobę. Jako ciekawostkę należy przytoczyć numer PESEL, który jest daną osobową niezależnie od tego, czy w danym kontekście pozwala na identyfikację osoby fizycznej. W tym przypadku decydujące znaczenie ma przepis szczególny – art. 15 ust. 2 ustawy z dnia 24 września 2010 r. o ewidencji ludności (t.j. Dz. U. z 2025 r. poz. 274 z późn. zm.), zgodnie z którym:

„Numer PESEL jest to jedenastocyfrowy symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną […]”.

Numer PESEL stanowi wyjątek od ogólnej zasady, zgodnie z którą o kwalifikacji informacji jako danych osobowych decyduje możliwość identyfikacji.

Czy samo imię i nazwisko to dane osobowe?

Nie każde imię i nazwisko automatycznie podlega ochronie RODO. Kluczowe znaczenie ma kontekst – czyli to, czy w konkretnej sytuacji możliwe jest zidentyfikowanie osoby na podstawie tych danych lub w połączeniu z innymi informacjami.

Przykład	Ocena pod kątem RODO
„Jan Nowak”	Może nie być danymi osobowymi, jeśli nie pozwala nikomu na zidentyfikowanie konkretnej osoby (np. fikcyjna postać).
„Jan Nowak z Warszawy, pracownik firmy X”	Podlega ochronie RODO, ponieważ w tym kontekście osoba jest możliwa do zidentyfikowania.

Imię i nazwisko staje się daną osobową w momencie, gdy zaczyna pełnić funkcję identyfikującą. Czynniki, które mogą to determinować, obejmują:

Czynnik	Opis
Okoliczności publikacji	Kontekst zawodowy, miejsce zatrudnienia, dziedzina działalności itp.
Powiązanie z dodatkowymi informacjami	Zdjęcie, numer telefonu, adres, funkcja w organizacji, pseudonim powszechnie znany.
Łatwość identyfikacji	Możliwość połączenia danych z konkretną osobą np. poprzez wyszukiwarkę lub publiczne rejestry.

Dane osobowe w świetle RODO – jak rozumieć „możliwą identyfikację”?

Zgodnie z motywem 26 RODO, aby uznać, że mamy do czynienia z danymi osobowymi, należy ocenić, czy istnieje uzasadnione prawdopodobieństwo, że dostępne informacje zostaną użyte do zidentyfikowania osoby fizycznej bezpośrednio lub pośrednio.

Istotne jest tu także racjonalne podejście. Nie chodzi o samą hipotetyczną możliwość, że ktoś, gdzieś, kiedyś połączy dane, ale o realną szansę, że przy użyciu dostępnych środków da się osobę wskazać.

„Zidentyfikowanie osoby fizycznej nie musi polegać na określeniu jej imienia i nazwiska, a wystarczające jest oznaczenie danej osoby w sposób umożliwiający wywieranie na nią określonego wpływu. Nie chodzi zatem o możliwość odniesienia konkretnej informacji do konkretnej osoby, lecz o możliwość wskazania danej osoby, rozumianego jako faktyczne wyodrębnienie jej spośród innych osób” [Wyrok SA w Szczecinie z 10.07.2024 r., I ACa 1400/22]

Kiedy udostępnienie imienia i nazwiska narusza przepisy?

Warunki, które mogą oznaczać naruszenie RODO

Jeśli imię i nazwisko stanowią dane osobowe w danym kontekście, ich ujawnienie, np. publikacja w internecie, w mediach społecznościowych lub przesłanie nieuprawnionym osobom może stać się naruszeniem RODO, jeżeli:

brak było podstawy prawnej (np. zgody, umowy, obowiązku prawnego),
nie poinformowano osoby o przetwarzaniu jej danych,
osoba nie miała możliwości skorzystania ze swoich praw (np. do sprzeciwu lub usunięcia danych).

Przykład z praktyki

Z własnej praktyki pamiętam przypadek, w którym prowadziłem analizę dla Klienta – pytanie dotyczyło udostępnienia imienia i nazwiska studenta bez jego zgody. Po szczegółowej ocenie okazało się, że takie działanie stanowi naruszenie przepisów o ochronie danych osobowych, gdyż ujawnienie danych umożliwiało identyfikację osoby i nie spełniono przesłanek legalnego przetwarzania.

W wyniku tego UODO podjął odpowiednie działania, mające na celu przywrócenie zgodności z RODO i zapobieżenie dalszym naruszeniom. Ten przykład pokazuje, jak ważne jest wcześniejsze przeanalizowanie kontekstu publikacji danych i przygotowanie procedur minimalizujących ryzyko naruszeń.

Czy każda publikacja imienia i nazwiska wymaga zgody?

Nie – zgoda nie jest jedyną podstawą przetwarzania danych osobowych. Dane, w tym imię i nazwisko, mogą być przetwarzane legalnie na podstawie innych przesłanek określonych w art. 6 ust. 1 RODO. Poniżej przedstawiam najważniejsze przypadki:

Podstawa prawna / przesłanka	Opis / przykład	Ważne uwagi / zasady
Wykonanie umowy	Umowa o dzieło, w której strony uzgadniają publikację nazwiska autora.	Publikacja jest legalna, jeśli jest zgodna z zakresem umowy.
Obowiązek prawny	Ujawnienie członków zarządu w KRS lub publikacja wyników przetargów publicznych.	Dane ujawniane zgodnie z wymogami prawa, nie wymaga zgody.
Uzasadniony interes administratora	Publikacja nazwisk autorów artykułów, osób publicznych lub pracowników działających w imieniu firmy.	Nie może naruszać praw lub wolności osób; zawsze należy ocenić konieczność i proporcjonalność.

Co to oznacza? Wprost przesądza to o tym, że zgoda nie jest zawsze konieczna, jeśli spełnione są pozostałe wymogi RODO, takie jak przejrzystość wobec osoby, minimalizacja danych oraz ocena proporcjonalności publikacji. Przykład: publikacja programu konferencji naukowej z nazwiskami prelegentów może odbyć się bez zgody, jeśli osoby zostały wcześniej poinformowane i działa się w ramach uzasadnionego interesu. W innych przypadkach, np. publikacja listy uczestników bez ich wiedzy, zgoda może być wymagana.

Uwaga: Nie należy nadużywać przesłanki uzasadnionego interesu, zwłaszcza jeśli publikacja może narazić osobę na szkodę, stygmatyzację lub naruszenie prywatności. Zawsze warto rozważyć alternatywy: inicjały, pseudonim lub pominięcie danych.

FAQ – Udostępnienie imienia i nazwiska a RODO

1. Czy samo imię i nazwisko zawsze jest daną osobową?

Nie. Kluczowy jest kontekst. Jeśli imię i nazwisko pozwala zidentyfikować osobę fizyczną bezpośrednio lub w połączeniu z innymi informacjami, wtedy stanowi dane osobowe i podlega ochronie RODO.

2. Kiedy publikacja imienia i nazwiska może naruszać RODO?

Ujawnienie imienia i nazwiska stanowiącego dane osobowe może naruszać RODO, jeśli:

brak jest podstawy prawnej (zgoda, umowa, obowiązek prawny),
osoba, której dane dotyczą nie została poinformowana o przetwarzaniu danych,
osoba, której dane dotyczą nie mogła skorzystać ze swoich praw (np. sprzeciw, usunięcie danych).

3. Czy publikacja imienia i nazwiska zawsze wymaga zgody?

Nie. Zgoda nie jest jedyną podstawą przetwarzania danych osobowych. Inne przesłanki to:

wykonanie umowy
obowiązek prawny (np. ujawnienie członków zarządu w KRS),
uzasadniony interes administratora, pod warunkiem że nie narusza praw i wolności osób.

4. Jak ocenić, czy imię i nazwisko jest daną osobową w danym kontekście?

Decydują czynniki takie jak:

okoliczności publikacji (np. miejsce pracy, działalność zawodowa),
powiązanie z dodatkowymi informacjami (adres, zdjęcie, stanowisko),
łatwość identyfikacji osoby w realnym świecie lub przy użyciu dostępnych narzędzi.

5. Jakie działania warto podjąć, aby uniknąć ryzyka naruszenia RODO?

Należy podjąć następujące działania:

sprawdzić podstawę prawną przetwarzania danych,
informować osoby, których dane są przetwarzane o zakresie przetwarzania danych, spełniając tym samym obowiązek informacyjny
stosować zasadę minimalizacji danych i ocenić proporcjonalność publikacji,
rozważyć alternatywy, takie jak inicjały, pseudonimy lub pominięcie danych, jeśli ujawnienie nie jest niezbędne.

Jeżeli chcesz pogłębić wiedzę na temat obowiązkowej dokumentacji RODO, polecam przeczytać również: Czy wdrożenie RODO jest obowiązkowe?

Potrzebujesz pomocy w sprawie danych osobowych?

Jeśli nie masz pewności, czy przetwarzasz dane zgodnie z przepisami, lub chcesz zabezpieczyć się przed ryzykiem naruszenia RODO to skontaktuj się ze mną. Pomagam firmom i osobom prywatnym w prawidłowym stosowaniu przepisów o ochronie danych osobowych.

Oferuję kompleksowe wsparcie w zakresie:

weryfikacji zgodności z RODO i audytu ochrony danych,
przygotowania polityk prywatności, klauzul informacyjnych i zgód,
reagowania na incydenty naruszenia danych,
kontaktów z UODO oraz reprezentacji w postępowaniach,
szkoleń dla pracowników i wdrażania zasad ochrony danych w organizacji.

Zadbaj o zgodność z przepisami RODO już teraz. Napisz do mnie, a wspólnie znajdziemy optymalne rozwiązanie.

Pozdrawiam
Wiktor Dębowski

Skontaktuj się z nami już dziś

Oferujemy kompleksowe usługi prawne, które zabezpieczą Twoje interesy. Sprawdź naszą ofertę i skorzystaj z naszych doświadczeń.

Napisz do nas

Jak prowadzić rejestr czynności przetwarzania danych?

6 mar

Ochrona danych osobowych

Jak prowadzić rejestr czynności przetwarzania danych?

Rejestr czynności przetwarzania to podstawowy dokument wymagany przez art. 30 RODO. Sprawdź kto musi go prowadzić, co powinien zawierać i jak go przygotować w firmie.