To tilsyn, et regelsæt
For første gang skriver Det Europæiske Databeskyttelsesråd og den nyligt operationelle Myndighed til bekæmpelse af hvidvask et enkelt sæt regler sammen. Deres meddelelse af 1. juli 2026 forpligter begge organer på fælles retningslinjer før, hvordan virksomheder kan samle efterretninger før at bekæmpe hvidvask og finansiering af terrorisme, samtidig med at de respekterer databeskyttelsesforordningen. Et redaktionshold sammensat af begge myndigheder vil lede arbejdet, og de to tilsyn siger, at de vil bidrage som ligemænd.
Betydningen før ejere og operatører er strukturel. Hidtil stod en bank, der ville dele signaler om mistænkelig aktivitet med en konkurrent, over før to tilsyn, der kunne nå forskellige konklusioner om den samme overførsel. En koordineret tekst fjerner den forgrening. Det er det klareste signal hidtil om, at Bruxelles agter at føre tilsyn med finansiel kriminalitet og databeskyttelse som et sammenflettet regime, ikke som to myndigheder, der taler forbi hinanden.
Hvad artikel 75 faktisk tillader
Den juridiske motor er artikel 75 i hvidvaskforordningen. Den bemyndiger forpligtede enheder - banker, betalingsvirksomheder, udbydere af kryptoaktiver og andre regulerede erhverv - til at udveksle oplysninger med hinanden og med offentlige myndigheder, hvor det tjener kampen mod finansiel kriminalitet. Det er en betydelig udvidelse af de kanaler, hvorigennem kundedata lovligt kan flyde mellem konkurrenter.
Håken er, at hver sådan udveksling også er en behandling af personoplysninger og derfor hører under GDPR. De fælles retningslinjer findes før at løse denne spænding: at forklare, hvordan et delingspartnerskab kan bygges, så det er forsvarligt under begge regimer på en gang. Ejere bør læse dette som den efterlevelsesplan, der vil definere, hvordan et juridisk rent delingspartnerskab ser ud i hele unionen.
Uret mod 10. juli 2027
Forordningens mekanisme før informationsdeling får virkning den 10. juli 2027. Det er ikke et blødt mål. Banker og finansielle institutioner, der agter at bruge de nye delingsbeføjelser - eller som partnere vil bede om at modtage delte data - har brug før styring, kontrakter og konsekvensanalyser vedrørende databeskyttelse før den dato.
Rækkefølgen er stram. Tilsynene planlægger et interessentarrangement senere i 2026 før at afdække de punkter, der mest kræver afklaring, og derefter åbne en offentlig høring om udkastet i første halvdel af 2027. Det efterlader et smalt vindue mellem den endelige tekst og ikrafttrædelsesdatoen, så virksomheder kan ikke vente på de færdige retningslinjer, før de begynder designarbejdet.
Ejerens træk
Den praktiske instruktion til bestyrelser er at behandle dette som et fælles AML- og privatlivsprogram, ikke som en enkelt afdelings efterlevelsesopgave. Juridiske, finansiel-kriminalitets- og databeskyttelsesfunktioner, der historisk kørtes hver før sig, skal nu svare til en enkelt koordineret standard, hvilket betyder, at de bør planlægge sammen nu i stedet før at forlige positioner, efter retningslinjerne lander.
Der er også en strategisk fordel. Virksomheder, der engagerer sig i arrangementet og høringen i 2027, kan være med til at forme det regelsæt, de skal leve under, og de første til at handle kan forvandle en ren delingsramme til en konkurrencefordel i tillid og hastighed. Prisen før at vente er en forjaget optæring i anden halvdel af 2027 mod en frist, der ikke vil rykke sig.
Læs videre: En første indsigtsanmodning kan være misbrug | Ulovligt data kan stadig vinde i retten



