Rejestr zgłoszeń wewnętrznych ma założyć i prowadzić każdy podmiot przyjmujący zgłoszenia wewnętrzne.
Od 25.9.2024 r. każdy podmiot prawny obowiązany do ustalenia procedury zgłoszeń wewnętrznych będzie miał obowiązek prowadzenia rejestru zgłoszeń wewnętrznych i będzie administratorem danych osobowych zgromadzonych w tym rejestrze. Podmiot prawny, w tym pracodawca, będzie mógł prowadzić ten rejestr sam albo będzie mógł może upoważnić wewnętrzną jednostkę organizacyjną lub osobę w ramach struktury organizacyjnej podmiotu prawnego lub podmiot zewnętrzny do jego prowadzenia.
Przepisy nie narzucają żadnej formy ani postaci, w jakiej rejestr ma być prowadzony. Wpisu do rejestru zgłoszeń wewnętrznych będzie się dokonywać na podstawie zgłoszenia wewnętrznego. Rejestr ten ma obejmować: numer zgłoszenia, przedmiot naruszenia prawa, dane osobowe sygnalisty oraz osoby, której dotyczy zgłoszenie, niezbędne do identyfikacji tych osób, adres do kontaktu sygnalisty, datę dokonania zgłoszenia, informację o podjętych działaniach następczych oraz datę zakończenia sprawy. Przepisy w żaden sposób nie doprecyzowują jak szczegółowe mają być zawarte w rejestrze informacje dotyczące przedmiotu naruszenia prawa oraz informacja o podjętych działaniach następczych. Niedopełnienie obowiązku prowadzenia rejestru nie jest zagrożone odpowiedzialnością karną.
Dane osobowe oraz pozostałe informacje w rejestrze zgłoszeń wewnętrznych mają być przechowywane przez okres 3 lat po zakończeniu roku kalendarzowego, w którym zakończono działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami. Po upływie tego okresu dane muszą zostać usunięte z rejestru.
Przepisy nie wprowadzają obowiązku przekazywania informacji z rejestru zgłoszeń wewnętrznych Rzecznikowi Praw Obywatelskich. Ustawa nakłada na RPO obowiązek sporządzania corocznie sprawozdania w celu przekazania go Sejmowi, Senatowi i Komisji Europejskiej, ale sprawozdanie takie RPO będzie opracowywał wyłącznie na podstawie sprawozdań organów publicznych. Sprawozdania te mają zawierać wyłącznie dane statystyczne, jednakże nawet takich danych podmiot prawny („zwykły” pracodawca, tj. nie będący organem publicznym i nieprzyjmujący zgłoszeń zewnętrznych) nie będzie przekazywał RPO.