Przy wdrażaniu wewnętrznego systemu sygnalizowania o nieprawidłowościach niezwykle ważne jest zapewnienie, aby dane osobowe wszystkich uczestników postępowania – sygnalisty, sprawców lub ewentualnych świadków opisanego w zgłoszeniu naruszenia ‒ były należycie chronione, a ich prawa przestrzegane. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (dalej: dyrektywa) wskazuje wprost na wymóg stosowania RODO przy korzystaniu z mechanizmów whistleblowingowych. Zgodnie z motywem 82 dyrektywy ochrona poufności tożsamości osoby dokonującej zgłoszenia podczas trwania procesu dokonywania zgłoszenia i w toku postępowań wyjaśniających uruchomionych na skutek danego zgłoszenia jest jednym z zasadniczych środków ex ante zapobiegających działaniom odwetowym. Zgodnie zaś z art. 53 ust. 4 i 7 ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (dalej: ustawa AML ‒ w brzmieniu obowiązujący od 31 października 2021 r.) procedura anonimowego zgłaszania naruszeń powinna określać sposób ochrony danych osobowych pracownika lub innej osoby wykonującej czynności na rzecz instytucji obowiązanej dokonujących zgłoszenia oraz osoby, której zarzuca się dokonanie naruszenia, zgodnie z przepisami o ochronie danych osobowych, a także termin usunięcia danych osobowych zawartych w zgłoszeniu.
Konieczne staje się więc dostosowanie wewnętrznych procedur służących zgłaszaniu nieprawidłowości do przewidzianych w RODO (rozporządzenie Parlamentu Europejskiego i Rady [UE] 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE) zasad, takich jak zasada przejrzystości, rzetelności, legalności, celowości, rozliczalności czy minimalizacji danych.