Na uwagę w odniesieniu do wewnętrznych procedur whistleblowingowych zasługuje m.in. zasada minimalizacji danych, co będzie sprowadzać się do tego, że danych osobowych , które w sposób oczywisty nie mają znaczenia dla rozpatrywania konkretnego zgłoszenia, nie należy zbierać, a w przypadku ich przypadkowego zebrania należy je niezwłocznie usunąć.

W obrębie poruszanego zagadnienia administratorem danych osobowych jest podmiot, który wdraża system do zgłaszania nieprawidłowości i prowadzi wewnętrzne postępowanie wyjaśniające. Dane osobowe mogą przetwarzać administrator, podmiot działający na podstawie upoważnienia administratora i osoby upoważnione przez podmiot przetwarzający. Dlatego należy zwrócić uwagę na kwestie organizacyjne ochrony danych osobowych, co powinno znaleźć odzwierciedlenie w wewnętrznej procedurze dotyczącej systemu zgłaszania nieprawidłowości poprzez wskazanie wprost osób upoważnionych do przetwarzania w imieniu administratora danych osobowych. Równie ważne są kwestie techniczne, jak rzetelne zabezpieczenie serwerów i ustanowienie silnych, systematycznie zmienianych haseł dostępu. Okres budowania i wdrażania wewnętrznego systemu zgłaszania nieprawidłowości warto więc wykorzystać do audytu obowiązujących polityk ochrony danych osobowych.

Podstawą prawną przetwarzania danych osobowych w wewnętrznych procedurach whistleblowingowych, zarówno danych dotyczących sygnalisty, jak i sprawcy naruszenia lub ewentualnych świadków opisanego w zgłoszeniu naruszenia, są niezbędność realizacji obowiązku prawnego administratora i jego prawnie uzasadniony interes. Jest to wprost związane z obowiązkiem ustanowienia wewnętrznych kanałów i procedur do zgłaszania nieprawidłowości oraz obowiązkiem prowadzenia wewnętrznych postępowań wyjaśniających.

Szczególnie istotny będzie cel przetwarzania danych osobowych, stanowiący granicę dopuszczalności przetwarzania danych osobowych, który powinien zostać zdefiniowany w procedurze dotyczącej wewnętrznych postępowań wyjaśniających. Oczywistym na gruncie zarówno dyrektywy, jak i ustawy AML celem przetwarzania danych osobowych jest przeprowadzenie wewnętrznego postępowania wyjaśniającego, ustalenie okoliczności, w jakich doszło lub mogło dojść do naruszenia, lub wreszcie wyciągnięcie konsekwencji prawnych w stosunku do sprawców naruszenia. Okres przetwarzania danych osobowych sygnalisty nie powinien być dłuższy, niż jest to konieczne dla celów zgłoszenia naruszenia i przeprowadzenia postępowania. Obowiązek informacyjny dotyczy także osób, których dane zostaną pozyskane nie bezpośrednio od osoby, której dotyczą – osoby, której zarzuca się nieprawidłowe zachowanie czy świadków takiego naruszenia. W odniesieniu do tych uczestników wewnętrznego postępowania wyjaśniającego obowiązek informacyjny reguluje art. 14 RODO, który pozwala na niewykonanie obowiązku informacyjnego, gdy jego wykonanie mogłoby uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą.