Co musi zawierać rejestr zgłoszeń sygnalistów na podstawie art. 29 ustawy o ochronie sygnalistów?

Art. 29 ust. 1 ustawy z dnia 14 czerwca 2024 r. o ochronie sygnalistów (Dz.U. 2024 poz. 928) wskazuje minimalne elementy rejestru: numer zgłoszenia, datę zgłoszenia, przedmiot zgłoszenia (kategoria naruszenia), informacje o podjętych działaniach następczych i datę zakończenia postępowania. Rejestr nie może zawierać danych osobowych sygnalisty ani osoby objętej zgłoszeniem (art. 29 ust. 2) — te dane przechowywane są w odrębnych aktach sprawy. Podmiot może rozszerzyć rejestr o dodatkowe informacje (kanał zgłoszenia, status, adnotacje koordynatora) niezbędne do skutecznego zarządzania sprawami.

Jak długo podmiot jest zobowiązany przechowywać rejestr zgłoszeń sygnalistów?

Art. 29 ust. 3 ustawy o ochronie sygnalistów nakazuje przechowywanie rejestru przez 5 lat od daty przyjęcia zgłoszenia. Jest to lex specialis wobec ogólnych zasad RODO dotyczących ograniczenia przechowywania (art. 5 ust. 1 lit. e RODO) — administrator nie może wcześniej usunąć danych, nawet gdyby ocenił, że nie są już potrzebne. Termin 5-letni liczony jest od daty przyjęcia danego zgłoszenia — każdy wpis ma własny termin przechowywania, a rejestr nie może być usuwany w całości. Po upływie 5 lat dane powinny zostać trwałe usunięte lub zanonimizowane.

Kto ma dostęp do rejestru zgłoszeń sygnalistów?

Dostęp do rejestru zgłoszeń sygnalistów musi być ograniczony do absolutnego minimum: Koordynator (lub koordynatorzy) wskazany w procedurze zgłoszeń wewnętrznych i — wyłącznie w zakresie niezbędnym do konkretnej sprawy — osoby prowadzące postępowanie wyjaśniające. Zarząd może mieć dostęp do anonimowych statystyk rejestru, ale nie do indywidualnych wpisów bez uzasadnionej potrzeby. Dostęp organów zewnętrznych (Prokuratura, PUODO, PIP, KNF, sąd) możliwy wyłącznie na podstawie formalnego żądania (postanowienie, decyzja, wezwanie sądowe). Nieautoryzowany dostęp do rejestru przez osoby spoza powyższego kręgu stanowi naruszenie bezpieczeństwa danych osobowych w rozumieniu art. 4 pkt 12 RODO, wymagające oceny pod kątem obowiązku zgłoszenia do PUODO w 72 godziny (art. 33 RODO).

Czy rejestr musi być przechowywany elektronicznie czy może być papierowy?

Ustawa o ochronie sygnalistów z 14.06.2024 r. nie narzuca formy rejestru — dopuszczalna jest zarówno forma elektroniczna, jak i papierowa. Forma elektroniczna jest zdecydowanie zalecana ze względu na łatwość kontroli dostępu, szyfrowania i archiwizacji. Elektroniczny rejestr powinien być przechowywany w zaszyfrowanym pliku (np. AES-256) lub specjalistycznej platformie compliance z ograniczonym dostępem, logami zdarzeń i automatyczną kopią zapasową. Papierowy rejestr musi być przechowywany w zamkniętej szafie lub sejfie z dostępem kontrolowanym wyłącznie przez Koordynatora. W obu przypadkach wymogi bezpieczeństwa przetwarzania z art. 32 RODO muszą być spełnione.

Czy rejestr musi być dostępny dla wszystkich pracowników organizacji?

Nie — rejestr zgłoszeń sygnalistów jest dokumentem poufnym i nie jest publicznie dostępny dla pracowników. Udostępnienie rejestru pracownikom (poza Koordynatorem) naruszałoby art. 29 ust. 2 ustawy o ochronie sygnalistów, który zabrania umieszczania w rejestrze danych osobowych sygnalisty i osoby objętej zgłoszeniem, oraz zasadę poufności z art. 8 ustawy. Pracownicy mogą mieć dostęp wyłącznie do anonimowych statystyk rocznych (liczba zgłoszeń, kategorie naruszeń), które Rzecznik Praw Obywatelskich (RPO) i dyrektywa (UE) 2019/1937 rekomendują jako element transparentności systemu compliance.

Co powinien zrobić Koordynator, gdy dane w rejestrze zostaną ujawnione nieupoważnionej osobie?

Nieautoryzowany dostęp do danych rejestru zgłoszeń sygnalistów stanowi naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO. Koordynator powinien: (1) niezwłocznie udokumentować incydent (czas, zakres, osoba nieupoważniona), (2) ocenić ryzyko naruszenia praw i wolności osób, których dane zostały ujawnione, (3) jeśli ryzyko nie jest małe — zgłosić naruszenie Prezesowi Urzędu Ochrony Danych Osobowych (PUODO) w ciągu 72 godzin (art. 33 RODO), (4) jeśli naruszenie może powodować wysokie ryzyko dla sygnalisty — poinformować sygnalistę bez zbędnej zwłoki (art. 34 RODO), (5) jednocześnie ocenić, czy naruszenie stanowi naruszenie art. 8 ustawy o ochronie sygnalistów i poinformować zarząd. Naruszenie poufności tożsamości sygnalisty zagrożone jest karą pozbawienia wolności do lat 3 (art. 54 ust. 1 ustawy o ochronie sygnalistów).

Jak rejestr zgłoszeń sygnalistów powiązany jest z rejestrem czynności przetwarzania (RCP) z art. 30 RODO?

Rejestr zgłoszeń sygnalistów jest jedną z czynności przetwarzania danych osobowych prowadzonych przez administratora i jako taki powinien być uwzględniony w rejestrze czynności przetwarzania (RCP) wymaganym przez art. 30 RODO. Wpis do RCP dla rejestru zgłoszeń sygnalistów powinien zawierać: nazwę czynności przetwarzania (prowadzenie rejestru zgłoszeń wewnętrznych sygnalistów), cel przetwarzania (realizacja art. 29 ustawy o ochronie sygnalistów), podstawę prawną (art. 6 ust. 1 lit. c RODO), kategorie osób (sygnaliści, osoby objęte zgłoszeniami), kategorie danych (numer zgłoszenia, data, kategoria naruszenia), odbiorców, 5-letni okres przechowywania i środki bezpieczeństwa (art. 32 RODO). Brak wpisu czynności przetwarzania w RCP stanowi naruszenie art. 30 RODO i może być podstawą kary administracyjnej PUODO na podstawie art. 83 ust. 4 lit. a RODO.

Czy można prowadzić jeden wspólny rejestr dla kilku spółek z tej samej grupy kapitałowej?

Każda spółka z grupy kapitałowej jest odrębnym podmiotem prawnym i odrębnym administratorem danych osobowych w rozumieniu RODO — prowadzenie wspólnego rejestru dla kilku spółek jest dopuszczalne tylko wtedy, gdy spółki są współadministratorami danych osobowych (art. 26 RODO) lub gdy podmiot przetwarzający (art. 28 RODO) prowadzi rejestr na ich zlecenie, z umową powierzenia przetwarzania danych. W praktyce grupy kapitałowe często zlecają prowadzenie rejestru spółce matce lub wyspecjalizowanemu podmiotowi zewnętrznemu (platformy compliance SaaS) na podstawie umowy powierzenia przetwarzania danych z art. 28 RODO. Rejestr musi być jednak możliwy do wyodrębnienia dla każdej spółki z osobna ze względu na indywidualną odpowiedzialność każdego podmiotu za własne naruszenia art. 29 ustawy o ochronie sygnalistów.

Rejestr zgłoszeń sygnalistów

Rzeczpospolita Polska — art. 29 ustawy z dnia 14 czerwca 2024 r. o ochronie sygnalistów (Dz.U. 2024 poz. 928), przechowywanie 5 lat, RODO art. 5 ust. 1 lit. e

Nagłówek rejestru

REJESTR ZGŁOSZEŃ SYGNALISTÓW

[Nazwa podmiotu] | NIP: [NIP]

Koordynator rejestru: [Koordynator rejestru]

Podstawa prawna: art. 29 ustawy z dnia 14 czerwca 2024 r. o ochronie sygnalistów (Dz.U. 2024 poz. 928)

Okres przechowywania: [Okres przechowywania]

Klauzula informacyjna RODO

KLAUZULA INFORMACYJNA RODO — DANE OSOBOWE W REJESTRZE ZGŁOSZEŃ (art. 13 RODO)

Administrator danych osobowych: [Nazwa podmiotu], NIP: [NIP].

Podstawa przetwarzania: art. 6 ust. 1 lit. c RODO (obowiązek prawny wynikający z art. 29 ustawy o ochronie sygnalistów). Dane są przetwarzane wyłącznie w celu prowadzenia rejestru zgłoszeń wewnętrznych, oceny zasadności zgłoszeń i dokumentowania działań następczych.

Okres przechowywania: 5 lat od daty przyjęcia zgłoszenia (art. 29 ust. 3 ustawy o ochronie sygnalistów) — lex specialis wobec art. 5 ust. 1 lit. e RODO.

Odbiorcy: Koordynator rejestru, osoby prowadzące postępowanie wyjaśniające, Zarząd — wyłącznie w zakresie niezbędnym. Organy zewnętrzne (Prokuratura, PUODO, PIP) — wyłącznie na żądanie i w zakresie niezbędnym do postępowania.

Prawa osoby, której dane dotyczą: dostęp do danych (art. 15 RODO), sprostowanie (art. 16 RODO), ograniczenie przetwarzania (art. 18 RODO). Prawo do usunięcia danych (art. 17 RODO) i przenoszenia (art. 20 RODO) nie ma zastosowania — przetwarzanie oparte jest na obowiązku prawnym, nie na zgodzie. Skarga do Prezesa Urzędu Ochrony Danych Osobowych (PUODO): ul. Stawki 2, 00-193 Warszawa.

Wpis do rejestru

WPIS DO REJESTRU ZGŁOSZEŃ

Numer zgłoszenia: [Numer zgłoszenia]

Data przyjęcia zgłoszenia: [Data przyjęcia zgłoszenia]

Kanał zgłoszenia: [Kanał zgłoszenia]

Kategoria naruszenia: [Kategoria naruszenia]

Status zgłoszenia: [Status zgłoszenia]

Podjęte działania następcze: [Opis działań następczych]

Data zamknięcia sprawy: [Data zamknięcia]

Zasady prowadzenia rejestru

ZASADY PROWADZENIA REJESTRU — NOTA KOORDYNATORA

Rejestr prowadzony jest wyłącznie przez Koordynatora lub osobę przez niego upoważnioną — dostęp osób nieupoważnionych jest zablokowany technicznie i organizacyjnie.
Każde przyjęte zgłoszenie rejestrowane jest niezwłocznie po jego otrzymaniu, najpóźniej w ciągu 24 godzin.
Rejestr nie zawiera danych osobowych sygnalisty — tożsamość sygnalisty przechowywana jest w odrębnych, jeszcze bardziej chronionych aktach sprawy.
Rejestr przechowywany jest przez 5 lat od daty przyjęcia zgłoszenia (art. 29 ust. 3 ustawy o ochronie sygnalistów) w formie elektronicznej (szyfrowanej) lub papierowej (w zamkniętej szafie z dostępem kontrolowanym).
Dostęp zewnętrzny do rejestru możliwy wyłącznie na żądanie organu ścigania, PUODO lub sądu — po formalnym postanowieniu lub decyzji.
Koordynator sporządza anonimowy raport roczny ze statystyk rejestru i przedkłada go Zarządowi.
Modyfikacja lub usunięcie wpisu możliwe wyłącznie przez Koordynatora z odpowiednią adnotacją i datą zmiany.

Koordynator rejestru zgłoszeń

________________

Signature

Prowadzone przez Vladislav Sergienko, Założyciel·Szablon ostatnio zmodyfikowany: 2026-06-23·Zgłoś błąd

Czym jest Rejestr zgłoszeń sygnalistów?

Rejestr zgłoszeń sygnalistów w Polsce to obowiązkowy dokument ewidencyjny, który podmiot prawny prowadzi na podstawie art. 29 ustawy z dnia 14 czerwca 2024 r. o ochronie sygnalistów (Dz.U. 2024 poz. 928), transponującej dyrektywę Parlamentu Europejskiego i Rady (UE) 2019/1937. Rejestr jest narzędziem dokumentowania przyjętych zgłoszeń wewnętrznych, ich statusu i podjętych działań następczych, a jednocześnie elementem zgodności z zasadą rozliczalności RODO (art. 5 ust. 2 RODO).

Obowiązek prowadzenia rejestru dotyczy tych samych podmiotów, które mają obowiązek wdrożenia procedury zgłoszeń wewnętrznych — przede wszystkim podmiotów zatrudniających co najmniej 50 pracowników, podmiotów sektora finansowego i innych podmiotów objętych ustawą. Art. 29 ust. 1 ustawy o ochronie sygnalistów wskazuje minimalne dane, które rejestr musi zawierać: numer i datę zgłoszenia, przedmiot zgłoszenia, informacje o podjętych działaniach następczych, datę zakończenia postępowania. Rejestr nie zawiera danych osobowych sygnalisty — tożsamość sygnalisty przechowywana jest odrębnie, w aktach sprawy z jeszcze surowszymi zasadami dostępu.

Okres przechowywania rejestru to 5 lat od daty przyjęcia zgłoszenia (art. 29 ust. 3 ustawy o ochronie sygnalistów). Jest to lex specialis wobec ogólnych zasad RODO dotyczących ograniczenia przechowywania (art. 5 ust. 1 lit. e RODO) — oznacza to, że administrator nie może usunąć danych wcześniej, nawet gdyby ocenił, że nie są już potrzebne, bo wyraźny przepis rangi ustawowej nakazuje ich 5-letnie przechowywanie. Prezes Urzędu Ochrony Danych Osobowych (PUODO) uznaje 5-letni obowiązek przechowywania za podstawę prawną z art. 6 ust. 1 lit. c RODO.

Rejestr zgłoszeń sygnalistów pełni kilka funkcji równocześnie: jest dowodem istnienia i funkcjonowania systemu sygnalizowania dla organów kontrolnych (Państwowa Inspekcja Pracy — PIP, Rzecznik Praw Obywatelskich — RPO), źródłem danych do anonimowych raportów rocznych dla zarządu i pracowników, narzędziem zarządzania sprawami przez Koordynatora i dokumentem na potrzeby ewentualnego postępowania sądowego w sprawie o działania odwetowe. Wzorzec rejestru zgodny z art. 29 ustawy o ochronie sygnalistów dla polskich podmiotów dostępny jest na forms-legal.com.

Kiedy potrzebujesz Rejestr zgłoszeń sygnalistów?

Rejestr zgłoszeń sygnalistów w Polsce jest obowiązkowy dla każdego podmiotu posiadającego procedurę zgłoszeń wewnętrznych na podstawie ustawy o ochronie sygnalistów z 14.06.2024 r.

**Od pierwszego zgłoszenia.** Rejestr powinien zostać założony przed wejściem w życie procedury zgłoszeń wewnętrznych — gotowość do rejestrowania zgłoszeń jest warunkiem prawidłowego funkcjonowania systemu sygnalizowania. Podmiot, który wdrożył procedurę, lecz nie prowadzi rejestru, narusza art. 29 ustawy o ochronie sygnalistów.

**W trakcie audytu compliance i kontroli zewnętrznej.** Rejestr zgłoszeń jest pierwszym dokumentem żądanym przez audytorów compliance zewnętrznych i organów kontrolnych (PIP, RPO, PUODO, KNF) weryfikujących funkcjonowanie systemu sygnalizowania. Brak rejestru lub jego niekompletność może być traktowana jako dowód nierzetelnego funkcjonowania procedury sygnalistów.

**Przy certyfikacji ISO 37001 i ISO 37301.** Normy zarządzania antykorupcyjnego (ISO 37001) i compliance (ISO 37301) wymagają dowodów funkcjonowania kanałów zgłaszania nieprawidłowości. Rejestr zgłoszeń jest bezpośrednim dowodem eksploatacji systemu sygnalizowania.

**Na potrzeby postępowania sądowego.** W sprawie o działania odwetowe wobec sygnalisty (art. 14 ustawy o ochronie sygnalistów) sąd pracy może zażądać rejestru jako dowodu, że zgłoszenie faktycznie zostało przyjęte i kiedy to nastąpiło. Brak rejestru lub manipulowanie jego datami może być traktowane jako dowód nierzetelności pracodawcy.

**Do sporządzania raportów rocznych.** Rzecznik Praw Obywatelskich (RPO) i Komisja Europejska zalecają, by podmioty sporządzały anonimowe raporty roczne ze statystyk rejestru (liczba przyjętych zgłoszeń, kategorie naruszeń, wyniki postępowań). Raport roczny stanowi dowód aktywnego funkcjonowania systemu compliance i zwiększa zaufanie pracowników do organizacji.

Co powinien zawierać Rejestr zgłoszeń sygnalistów

Rejestr zgłoszeń sygnalistów w Polsce musi zawierać elementy wskazane w art. 29 ust. 1 ustawy o ochronie sygnalistów i spełniać wymogi RODO w zakresie bezpieczeństwa przetwarzania.

**1. Dane identyfikujące podmiot i koordynatora.** Pełna firma podmiotu, NIP, dane koordynatora rejestru. Koordynator rejestru musi być tą samą osobą lub jednostką, która jest wskazana w procedurze zgłoszeń wewnętrznych jako przyjmujący zgłoszenia.

**2. Numer i data zgłoszenia.** Unikalny numer zgłoszenia (format zalecany: SYG/rok/numer kolejny) i data faktycznego przyjęcia — od tej daty liczony jest 7-dniowy termin potwierdzenia (art. 28 ust. 1 ustawy o ochronie sygnalistów) i 5-letni termin przechowywania (art. 29 ust. 3). Kolejność numeracji jest sekwencyjna i nie może być zmieniana po przyznaniu.

**3. Kanał zgłoszenia.** Sposób złożenia zgłoszenia (e-mail, telefon, forma pisemna, spotkanie osobiste, platforma compliance) — informacja ta dokumentuje funkcjonowanie konkretnych kanałów i nie ujawnia tożsamości sygnalisty.

**4. Kategoria naruszenia.** Ogólna kategoria przedmiotowa zgłoszenia (naruszenie prawa UE, prawa krajowego, korupcja, BHP, RODO, inne) — bez szczegółowego opisu treści, który przechowywany jest w odrębnych aktach sprawy. Kategoria służy do statystyk rocznych.

**5. Status zgłoszenia.** Aktualny status postępowania: przyjęte, w toku, zakończone (potwierdzone lub niepotwierdzone), przekazane do organu zewnętrznego. Status aktualizowany przez Koordynatora przy każdej zmianie stanu sprawy, z adnotacją daty zmiany. Dokumentacja terminowości działań jest dowodem zgodności z art. 28 ustawy o ochronie sygnalistów.

**6. Skrótowy opis działań następczych.** Syntetyczne podsumowanie podjętych działań — wszczęcie dochodzenia wewnętrznego, przekazanie do organu, zamknięcie bez działań z uzasadnieniem, poinformowanie sygnalisty. Szczegółowa dokumentacja przechowywana w aktach sprawy; rejestr zawiera tylko podsumowanie nieujawniające tożsamości sygnalisty ani osoby, której dotyczy zgłoszenie. Wzorzec rejestru zgłoszeń sygnalistów zgodny z art. 29 ustawy o ochronie sygnalistów dostępny na forms-legal.com.

**7. Data zamknięcia sprawy.** Data formalnego zamknięcia postępowania — puste, jeśli sprawa jest w toku. Od daty zamknięcia zalecane jest archiwizowanie materiałów szczegółowych w osobnym archiwum po upływie 5 lat od przyjęcia zgłoszenia.

**8. Klauzula informacyjna RODO.** Rejestr musi zawierać klauzulę informacyjną RODO (art. 13 RODO) wskazującą: administratora danych, cel i podstawę przetwarzania (art. 6 ust. 1 lit. c RODO — obowiązek prawny), 5-letni okres przechowywania, katalog odbiorców (Koordynator, organy zewnętrzne na żądanie), prawa osób (dostęp, sprostowanie, ograniczenie — bez prawa do usunięcia i przenoszenia, bo przetwarzanie jest obowiązkowe), kontakt do PUODO.

**9. Bezpieczeństwo rejestru.** Rejestr przechowywany w formie elektronicznej (zaszyfrowanej) lub papierowej (zamknięta szafa, dostęp kontrolowany). Dostęp technicznie i organizacyjnie ograniczony do Koordynatora i osób upoważnionych. Logi dostępu archiwizowane. Modyfikacja wpisów dozwolona wyłącznie przez Koordynatora z adnotacją daty zmiany.

Jak wypełnić Rejestr zgłoszeń sygnalistów

Rejestr zgłoszeń sygnalistów w Polsce wypełniany jest dla każdego przyjętego zgłoszenia wewnętrznego — koordynator rejestruje je niezwłocznie po otrzymaniu.

**Krok 1: Dane podmiotu i koordynatora.** Wpisz pełną firmę podmiotu, NIP i dane koordynatora rejestru. Koordynator rejestru powinien być tą samą osobą lub jednostką wskazaną w procedurze zgłoszeń wewnętrznych. Dane te wypełniane są raz — przy zakładaniu rejestru — i pozostają stałe.

**Krok 2: Numer i data zgłoszenia.** Przy każdym nowym zgłoszeniu przyznaj kolejny unikalny numer w formacie SYG/rok/numer (np. SYG/2025/001, SYG/2025/002). Datę przyjęcia wpisz dokładnie — jest to data faktycznego otrzymania zgłoszenia przez Koordynatora, nie data przesłania przez sygnalistę. Od tej daty liczony jest 7-dniowy termin potwierdzenia przyjęcia (art. 28 ust. 1 ustawy o ochronie sygnalistów).

**Krok 3: Kanał i kategoria.** Z listy wybierz kanał, którym wpłynęło zgłoszenie (e-mail, telefon, forma pisemna, osobiste, platforma). Następnie określ ogólną kategorię naruszenia — bez szczegółowego opisu treści zgłoszenia (szczegóły są w aktach sprawy, do których ma dostęp wyłącznie koordynator).

**Krok 4: Status — aktualizacja bieżąca.** Status zgłoszenia aktualizuj przy każdej zmianie stanu sprawy, dodając adnotację daty zmiany. Dobra praktyka: rejestruj w aktach sprawy daty potwierdzenia przyjęcia zgłoszenia sygnaliście (termin 7 dni) i daty poinformowania go o działaniach następczych (termin 3 miesięcy) — rejestr nie musi tego zawierać, ale akta sprawy tak.

**Krok 5: Opis działań — lakoniczny i bezpersonalny.** Przy opisie działań następczych w rejestrze używaj lakonicznych sformułowań: „wszczęto postępowanie wyjaśniające”, „przekazano do organu zewnętrznego (PIP)”, „zakończono bez działań — brak podstaw naruszenia”. Unikaj informacji, które mogłyby zidentyfikować sygnalistę, osobę, której dotyczy zgłoszenie, lub dział organizacji. Szczegółowe akta przechowuj oddzielnie.

**Krok 6: Bezpieczeństwo i archiwizacja.** Rejestr w formie elektronicznej przechowuj w zaszyfrowanym pliku lub systemie compliance z ograniczonym dostępem. W formie papierowej — w zamkniętej szafie lub sejfie z dostępem wyłącznie dla Koordynatora. Po upływie 5 lat od daty przyjęcia danego zgłoszenia — trwałe usuń lub zanonimizuj dane tego wpisu. Nie usuwaj całego rejestru naraz — każdy wpis ma własny termin przechowywania liczony od daty przyjęcia zgłoszenia.

Wymogi prawne dla Rejestr zgłoszeń sygnalistów

Rejestr zgłoszeń sygnalistów w Polsce musi spełniać wymogi art. 29 ustawy z dnia 14 czerwca 2024 r. o ochronie sygnalistów i powiązanych przepisów RODO.

**Art. 29 ust. 1 ustawy o ochronie sygnalistów — obowiązek prowadzenia rejestru.** Podmiot prawny prowadzi rejestr zgłoszeń wewnętrznych. Rejestr zawiera co najmniej: numer zgłoszenia, datę zgłoszenia, przedmiot zgłoszenia, informacje o podjętych działaniach następczych, datę zakończenia postępowania. Brak rejestru lub prowadzenie go w sposób niezgodny z ustawą może być traktowane jako utrudnianie zgłoszeń (art. 58 ustawy o ochronie sygnalistów — kara grzywny).

**Art. 29 ust. 2 — brak danych osobowych sygnalisty w rejestrze.** Rejestr nie zawiera danych osobowych sygnalisty ani osoby objętej zgłoszeniem — te dane przechowywane są w odrębnych aktach sprawy z surowszymi zasadami dostępu. Naruszenie tego wymogu stanowi naruszenie art. 8 ustawy o ochronie sygnalistów (poufność) i może skutkować odpowiedzialnością karną (art. 54 ustawy — do 3 lat pozbawienia wolności).

**Art. 29 ust. 3 — 5-letni okres przechowywania.** Rejestr przechowywany jest przez 5 lat od daty przyjęcia zgłoszenia. Jest to lex specialis wobec art. 5 ust. 1 lit. e RODO (ograniczenie przechowywania) — 5-letni obowiązek przechowywania jest bezwzględny i wynika z przepisu rangi ustawowej. Prezes Urzędu Ochrony Danych Osobowych (PUODO) uznaje art. 29 ust. 3 ustawy o ochronie sygnalistów za podstawę prawną z art. 6 ust. 1 lit. c RODO (obowiązek prawny administratora).

**Art. 32 RODO — bezpieczeństwo przetwarzania.** Rejestr zawierający dane dotyczące naruszeń prawa i postępowań wyjaśniających musi być przechowywany z zastosowaniem adekwatnych środków bezpieczeństwa: szyfrowanie (elektroniczne), zamknięta szafa (papierowe), ograniczony dostęp z logami zdarzeń. Dane w rejestrze mogą stanowić dane szczególnej kategorii (art. 9 RODO), jeśli dotyczą wyroków skazujących lub naruszeń prawa — wtedy art. 10 RODO wymaga dodatkowych środków bezpieczeństwa.

**Art. 13 RODO — obowiązek informacyjny.** Administrator musi dostarczyć sygnaliście klauzulę informacyjną RODO w momencie przyjmowania zgłoszenia. Klauzula powinna obejmować cel przetwarzania (realizacja ustawy o ochronie sygnalistów), podstawę prawną (art. 6 ust. 1 lit. c RODO), odbiorców danych, 5-letni okres przechowywania i prawa osoby, której dane dotyczą. Ograniczenie prawa do usunięcia danych i przenoszenia wynika z charakteru przetwarzania (obowiązek prawny, nie zgoda).

**KPA i postępowanie dowodowe.** Rejestr może być żądany przez organy administracji publicznej (PIP, PUODO, RPO) w ramach kontroli lub postępowania wyjaśniającego. Sąd pracy (Sąd Rejonowy — Wydział Pracy, Sąd Okręgowy) może zażądać rejestru jako dowodu w sprawie o działania odwetowe.

Najczęstsze błędy w Rejestr zgłoszeń sygnalistów

Rejestry zgłoszeń sygnalistów w Polsce zawierają kilka typowych błędów, które prowadzą do niezgodności z ustawą o ochronie sygnalistów lub RODO.

**Umieszczanie danych osobowych sygnalisty w rejestrze.** Art. 29 ust. 2 ustawy o ochronie sygnalistów wprost zakazuje umieszczania w rejestrze danych osobowych sygnalisty ani osoby objętej zgłoszeniem. Rejestr zawiera wyłącznie dane obiektywne: numer, datę, kanał, kategorię, status. Tożsamość sygnalisty przechowywana jest w odrębnych, szczególnie chronionych aktach sprawy. Naruszenie tego wymogu stanowi jednocześnie naruszenie art. 8 ustawy (poufność) i art. 5 ust. 1 lit. f RODO (integralność i poufność) — potencjalnie narażające na podwójną odpowiedzialność.

**Zbyt szczegółowy opis przedmiotu zgłoszenia.** Opis naruszenia w rejestrze jest tak szczegółowy, że umożliwia identyfikację sygnalisty lub osoby objętej zgłoszeniem (np. „zgłoszenie dotyczące kradzieży kasety z kasy w sklepie przy ul. X w dniu Y”). Rejestr powinien zawierać wyłącznie ogólną kategorię (np. „nadużycia finansowe”) — szczegóły w oddzielnych aktach.

**Brak aktualizacji statusu.** Wpisy mają status „przyjęte” i nigdy nie są aktualizowane mimo zamknięcia postępowania. Brak aktualizacji statusu utrudnia zarządzanie sprawami i uniemożliwia sporządzenie rzetelnych statystyk rocznych. Koordynator powinien aktualizować status w każdym wpisie przy każdej zmianie stanu sprawy.

**Zbyt wczesne usuwanie danych.** Podmiot usuwa dane z rejestru rok po zamknięciu postępowania, argumentując, że sprawa jest zakończona. Tymczasem art. 29 ust. 3 ustawy o ochronie sygnalistów nakazuje przechowywanie przez 5 lat od daty przyjęcia zgłoszenia — nie od daty zamknięcia. W razie sporu sądowego brakujący rejestr uniemożliwia udowodnienie faktów na korzyść podmiotu.

**Brak klauzuli informacyjnej RODO.** Rejestr bez klauzuli informacyjnej RODO lub z klauzulą niespełniającą wymogów art. 13 RODO narusza obowiązek informacyjny wobec sygnalisty i może skutkować skargą do Prezesa Urzędu Ochrony Danych Osobowych (PUODO) i nałożeniem kary na podstawie art. 83 ust. 4 lit. a RODO.

Cytuj tę stronę

Powołaj się na ten darmowy szablon w artykule, programie zajęć lub notatce badawczej:

APA

Forms Legal. (2026). Rejestr zgłoszeń sygnalistów (Polska) [Legal document template]. Forms Legal. https://forms-legal.com/pl/polska/business/policies/rejestr-zgloszen-sygnalistow

MLA

"Rejestr zgłoszeń sygnalistów (Polska)." Forms Legal, 2026, https://forms-legal.com/pl/polska/business/policies/rejestr-zgloszen-sygnalistow.

BibTeX

@misc{formslegal-rejestr-zgloszen-sygnalistow,
  author       = {{Forms Legal}},
  title        = {Rejestr zgłoszeń sygnalistów (Polska)},
  year         = {2026},
  howpublished = {\url{https://forms-legal.com/pl/polska/business/policies/rejestr-zgloszen-sygnalistow}},
  note         = {Free legal document template}
}

Najczęściej zadawane pytania

Szablon z odniesieniami do przepisów — Szablon ostatnio zmodyfikowano w czerwiec 2026

Niniejszy szablon ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. Przepisy różnią się w zależności od jurysdykcji i zmieniają się z czasem. W sprawie porady dostosowanej do Twojej sytuacji skonsultuj się z wykwalifikowanym prawnikiem.Pełne zastrzeżenie prawne

Znalazłeś błąd? Daj nam znać