This article is also available in Polish.

How will the whistleblower's personal data be protected?

As a rule, in accordance with the draft Act, a whistleblower's personal data which allow for their identification cannot be disclosed to any unauthorised persons, except with the explicit consent of the whistleblower. 

Upon receipt of a report, a legal entity or public authority can process personal data to the extent necessary to accept the report or to take any follow-up action. 

In some cases, however, the whistleblower's personal data may be disclosed. This is the case when the disclosure of the whistleblower's personal data is a necessary and proportionate obligation under the law in the context of investigations or pre-trial or judicial proceedings by public authorities or courts, including for the purpose of guaranteeing the right of defence of the reported person.

Before disclosing the whistleblower's personal data, the competent authority or court must inform the whistleblower, by means of a statement in paper or electronic form, of the reasons for disclosing their personal data, unless such information would jeopardise the investigation or pre-trial or judicial proceedings.

Thus, while a whistleblower may generally feel safe that their personal data allowing for the identification of his or her identity are not subject to disclosure to unauthorized persons, in some proceedings such disclosure of personal data may occur. However, this should be an absolute exception. If such a turn of events is likely, this may be a trigger for anonymous reporting.

How long can a whistleblower's personal data be processed?

In accordance with the draft Act, the personal data processed upon acceptance of a report or commencement of follow-up actions and the documents relating to that report can be kept by the legal entity or the public authority for a period of three years from the end of the calendar year in which the external report was transmitted to the public authority competent to take follow-up actions or the end of the year in which the follow-up actions were completed or the proceedings initiated by those actions were terminated. At the end of the required storage period, the legal entity and the public authority must delete any such personal data and destroy the documents relating to the report made, unless the documents relating to the report form part of a pre-trial, judicial or administrative files.

Personal data that are not relevant to the processing of the report cannot be collected and, if collected inadvertently, must be deleted immediately. Such personal data must be deleted within 14 days of the determination that it is not relevant to the case.

Our experts are here to answer your questions or provide further guidance on the whistleblowing legislation.

Czy dane osobowe sygnalisty będą bezpieczne?

W jaki sposób będą chronione dane osobowe sygnalisty?

Zgodnie z projektem Ustawy, co do zasady, dane osobowe sygnalisty pozwalające na ustalenie jego tożsamości nie podlegają ujawnieniu nieupoważnionym osobom, chyba że za wyraźną zgodą sygnalisty. 
Podmiot prawny lub organ publiczny, po otrzymaniu zgłoszenia, przetwarza dane osobowe w zakresie niezbędnym do przyjęcia zgłoszenia lub podjęcia ewentualnego działania następczego. 

Jednakże w niektórych przypadkach dane osobowe sygnalisty mogą zostać ujawnione. Dotyczy to sytuacji, w której ujawnienie danych osobowych sygnalisty jest koniecznym i proporcjonalnym obowiązkiem wynikającym z przepisów prawa w kontekście prowadzonych przez organy publiczne lub sądy odpowiednio postępowań wyjaśniających lub postępowań przygotowawczych lub sądowych, w tym w celu zagwarantowania prawa do obrony przysługującego osobie, której dotyczy zgłoszenie.

Przed dokonaniem ujawnienia danych osobowych sygnalisty właściwy organ publiczny lub właściwy sąd powiadamia o tym zgłaszającego, przesyłając w postaci papierowej lub elektronicznej wyjaśnienie powodów ujawnienia jego danych osobowych, chyba że takie powiadomienie zagrozi postępowaniu wyjaśniającemu lub postępowaniu przygotowawczemu lub postępowaniu sądowemu.

O ile więc sygnalista może co do zasady czuć się bezpiecznie, że dane osobowe pozwalające na ustalenie jego tożsamości nie podlegają ujawnieniu nieupoważnionym osobom, o tyle  w niektórych postępowaniach może do takiego ujawnienia danych osobowych dojść. Jednak powinno to być absolutnym wyjątkiem. Może stanowić to jednak przesłankę motywującą do dokonania zgłoszenia anonimowego.

Przez jaki okres będzie można przetwarzać dane osobowe sygnalisty?

Zgodnie z projektem Ustawy, dane osobowe przetwarzane w związku z przyjęciem zgłoszenia lub podjęciem działań następczych oraz dokumenty związane z tym zgłoszeniem są przechowywane przez podmiot prawny oraz organ publiczny przez okres 3 lat po zakończeniu roku kalendarzowego, w którym przekazano zgłoszenie zewnętrzne do organu publicznego właściwego do podjęcia działań następczych lub zakończono działania następcze lub po zakończeniu postępowań zainicjowanych tymi działaniami. Po upływie wymaganego okresu przechowywania, podmiot prawny i organ publiczny muszą usunąć dane osobowe oraz zniszczyć dokumenty związane z dokonanym zgłoszeniem, chyba że dokumenty związane ze zgłoszeniem będą stanowiły część akt postępowań przygotowawczych spraw sądowych lub sądowoadministracyjnych.

Dane osobowe, które nie mają znaczenia dla rozpatrywania zgłoszenia, nie są zbierane, a w razie przypadkowego zebrania, powinny zostać niezwłocznie usunięte. Usunięcie danych osobowych następuje w terminie 14 dni od chwili ustalenia, że nie mają one znaczenia dla sprawy.

W przypadku jakichkolwiek pytań lub wątpliwości odnośnie do projektu ustawy o ochronie sygnalistów nasi eksperci służą pomocą.