25 września 2024 r. weszła w życie ustawa z dnia 14 czerwca 2024 r. o ochronie sygnalistów (Dz.U. poz. 928). Od tego dnia wiele Organizacji zostało zobowiązanych do stworzenia bezpiecznych i transparentnych procedur przyjmowania zgłoszeń. Jak podkreślił Prezes UODO w swoim sprawozdaniu z działalności za 2024 rok, wdrożenie nowych obowiązków to nie tylko kwestia prawna, ale również poważne wyzwanie z obszaru ochrony danych osobowych.

Sygnaliści a RODO – najważniejsze wyzwania

1.Poufność tożsamości sygnalisty

Należy zbudować jasne procedury obsługi zgłoszeń wewnętrznych oraz prowadzenia postępowań wyjaśniających w zgodzie z zasadami RODO (minimalizacja, poufność, ograniczenie celu). Ustawa nakłada obowiązek zapewnienia poufności sygnaliście, a ujawnienie danych sygnalisty bez podstawy prawnej (np. jego zgody) może zostać uznane za naruszenie ochrony danych osobowych oraz przepisów ustawy. 

Dlaczego jest to ważne, pokazuje ostatnia sprawa pracowniczki Instytutu Pileckiego, która chciała skorzystać ze statusu sygnalisty. W komunikacie Zespołu do spraw Sygnalistów Biura Rzecznika Praw Obywatelskich z dnia 28.08.2025 r. czytamy, że jej dane miały być ujawnione jej przełożonemu przez Ministerstwo Kultury i Dziedzictwa Narodowego. RPO wskazał, że “Szczególnie istotne jest nieujawnianie informacji na temat samego sygnalisty osobom trzecim – bez wiedzy osoby, która przekazała daną informację. Takie działania mogą bowiem przeczyć samej idei sygnalizacji działań niezgodnych z prawem i dodatkowo wywierać efekt mrożący u osób, które rozważają dokonanie zgłoszenia naruszenia prawa”. Zastępca RPO zwrócił się do Pani Minister o stanowisko i szczegółowe informacje o wszelkich działaniach podjętych przez MKiDN. Natomiast Prezes Urzędu Ochrony Danych Osobowych zdecydował o podjęciu z urzędu sprawy możliwości naruszenia danych sygnalistki.

2.Rola Inspektora Ochrony Danych (IOD)

Jednym z kluczowych problemów, na które zwrócił uwagę Prezes UODO w sprawozdaniu za 2024 r., jest ryzyko konfliktu interesów, gdy Inspektor Ochrony Danych zostaje włączony w procedowanie zgłoszeń sygnalistów. Zgłoszenia te mogą dotyczyć naruszeń w obszarze ochrony danych osobowych – czyli materii, którą IOD ocenia w ramach swoich ustawowych zadań. W takiej sytuacji trudno mówić o zachowaniu pełnej bezstronności. Konflikt pojawia się również dlatego, że IOD jest punktem kontaktowym dla osób, których dane dotyczą (art. 38 ust. 4 RODO), a równoczesne prowadzenie spraw sygnalistów mogłoby podważyć jego niezależność w oczach pracowników. Dodatkowo obsługa zgłoszeń wymaga decydowania o zakresie i sposobie przetwarzania danych, co stawia IOD w roli decyzyjnej, a nie nadzorczej. Nie bez znaczenia pozostaje także obowiązek ochrony tożsamości sygnalisty oraz ryzyko nadmiernego obciążenia IOD zadaniami, które mogą prowadzić do zaniedbania jego podstawowych obowiązków wynikających z RODO. Dlatego warto powołać odrębny zespół lub wyznaczyć niezależną jednostkę odpowiedzialną za przyjmowanie i analizę zgłoszeń.

3.Obowiązki informacyjne i retencja danych

Konieczne jest przygotowanie dedykowanych klauzul informacyjnych m.in. dla sygnalistów, osób, których dotyczy zgłoszenie oraz osób, których dane znajdują się w zgłoszeniu, a także należy ustalić okresy przechowywania dokumentacji zgłoszeniowej.

4.Kanały zgłoszeń 

Organizacje muszą zagwarantować pracownikom realne możliwości zgłaszania naruszeń z zachowaniem zasad poufności. Należy określić zasady przyjmowania i dokumentowania zgłoszeń, w tym przyjmowania zgłoszeń anonimowych oraz uregulować kwestie zgłoszeń telefonicznych, w tym nagrywania rozmów, sporządzania transkrypcji i uzyskiwania zgody pracownika na takie działania. To wymaga odpowiednich rozwiązań technicznych.

Dlaczego to wyzwanie dla Organizacji?

Samo przygotowanie regulaminu zgłoszeń nie wystarczy. Potrzebne jest:

• bezpieczne narzędzie IT,
• jasne procedury zgodne z RODO,
• szkolenia dla zespołu,
• wsparcie ekspertów w bieżącej obsłudze zgłoszeń.

Jak pomaga CompNet?

Na naszej stronie comp-net.pl/sygnalisci przedstawiamy ofertę pełnego wsparcia dla Organizacji:

• opracowanie dokumentacji i procedur,
• wdrożenie polityk zgodnych z ustawą i RODO,
• szkolenia dla kadry menadżerskiej i pracowników,
• bieżące doradztwo prawne i eksperckie.

eSignaller – narzędzie do bezpiecznej obsługi zgłoszeń

Samo wsparcie doradcze to nie wszystko. Dlatego oferujemy również licencję na system eSignaller – profesjonalną platformę do obsługi zgłoszeń sygnalistów. Dzięki eSignaller Twoja Organizacja może:

• przyjmować zgłoszenia w sposób bezpieczny i poufny,
• zapewnić zgodność z RODO oraz ustawą o ochronie sygnalistów,
• obsługiwać zgłoszenia anonimowe i telefoniczne,
• archiwizować dokumentację zgodnie z zasadą minimalizacji i retencji danych,
• monitorować status zgłoszeń w przejrzystym panelu administracyjnym.

Połączenie wiedzy i doświadczenia ekspertów CompNet z nowoczesnym systemem eSignaller to kompleksowe rozwiązanie, które pozwala spełnić wszystkie wymagania prawne i organizacyjne.

Podsumowanie

Ustawa o ochronie sygnalistów to rewolucja w sposobie funkcjonowania wielu firm i instytucji. Wdrożenie procedur wymaga nie tylko zmian organizacyjnych, ale także narzędzi IT i wsparcia ekspertów w obszarze RODO.

Szukasz sprawdzonego rozwiązania dla swojej Organizacji? 

Zgłoś się do nas! Wiemy jak skutecznie Wam pomóc: https://www.comp-net.pl/kontakt/