W procedurze informowania o nieprawidłowościach trzeba pamiętać o RODO

Ochronie muszą podlegać dane nie tylko sygnalisty, lecz także innych uczestników postępowania wyjaśniającego. Podmiot je prowadzący pełni bowiem funkcję ich administratora

Przy wdrażaniu wewnętrznego systemu sygnalizowania o nieprawidłowościach niezwykle ważne jest zapewnienie, aby dane osobowe wszystkich uczestników postępowania - sygnalisty, sprawców lub ewentualnych świadków opisanego w zgłoszeniu naruszenia ‒ były należycie chronione, a ich prawa przestrzegane. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (dalej: dyrektywa) wskazuje wprost na wymóg stosowania RODO przy korzystaniu z mechanizmów whistleblowingowych. Zgodnie z motywem 82 dyrektywy ochrona poufności tożsamości osoby dokonującej zgłoszenia podczas trwania procesu dokonywania zgłoszenia i w toku postępowań wyjaśniających uruchomionych na skutek danego zgłoszenia jest jednym z zasadniczych środków ex ante zapobiegających działaniom odwetowym. Zgodnie zaś z art. 53 ust. 4 i 7 ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (dalej: ustawa AML ‒ w brzmieniu obowiązujący od 31 października 2021 r.) procedura anonimowego zgłaszania naruszeń powinna określać sposób ochrony danych osobowych pracownika lub innej osoby wykonującej czynności na rzecz instytucji obowiązanej dokonujących zgłoszenia oraz osoby, której zarzuca się dokonanie naruszenia, zgodnie z przepisami o ochronie danych osobowych, a także termin usunięcia danych osobowych zawartych w zgłoszeniu.