Dwa organy nadzoru, jeden zbiór zasad
Po raz pierwszy Europejska Rada Ochrony Danych i nowo działający Urząd ds. Przeciwdziałania Praniu Pieniędzy piszą wspólnie jeden zbiór zasad. Ich ogłoszenie z 1 lipca 2026 r. zobowiązuje oba organy do wspolnych wytycznych w sprawie tego, jak firmy mogą łączyć informacje w celu zwalczania prania pieniędzy i finansowania terroryzmu, przy jednoczesnym poszanowaniu ogólnego rozporządzenia o ochronie danych. Zespół redakcyjny złożony z obu organów poprowadzi prace, a oba organy nadzoru deklarują równy wkład.
Znaczenie dla właścicieli i operatorów jest strukturalne. Do tej pory bank chcący dzielić się z konkurentem sygnałami o podejrzanej działalności stawał wobec dwóch organów nadzoru, które mogły dojść do różnych wniosków o tym samym transferze. Skoordynowany tekst usuwa to rozwidlenie. To najwyraźniejszy dotąd sygnał, że Bruksela zamierza prowadzic nadzór nad przestępczością finansową i ochronę danych jako jeden splątany reżim, a nie jako dwie agencje mówiące obok siebie.
Co naprawde pozwala artykuł 75
Silnikiem prawnym jest artykuł 75 rozporządzenia w sprawie przeciwdzialania praniu pieniędzy. Upoważnia on podmioty zobowiązane - banki, firmy płatnicze, dostawców kryptoaktywów i inne zawody regulowane - do wymiany informacji między sobą i z organami publicznymi, gdy służy to walce z przestępczością finansową. To istotne poszerzenie kanałów, którymi dane klientów mogą legalnie przepływać między konkurentami.
Haczyk polega na tym, że każda taka wymiana jest tez przetwarzaniem danych osobowych i dlatego podlega RODO. Wspólne wytyczne istnieją po to, by rozwiązać to napięcie: wyjaśnić, jak zbudować partnerstwo wymiany tak, by było obronne pod obydwoma reżimami jednoczesnie. Właściciele powinni czytać to jako plan zgodności, który określi, jak wygląda prawnie czyste partnerstwo wymiany w całej unii.
Zegar tyka do 10 lipca 2027 r.
Mechanizm wymiany informacji rozporządzenia zaczyna obowiązywać 10 lipca 2027 r. To nie jest miękki cel. Banki i instytucje finansowe zamierzające korzystać z nowych uprawnień do wymiany - lub proszone przez partnerów o odbiór udostępnionych danych - potrzebują ładu korporacyjnego, umów i ocen skutków dla ochrony danych przed ta datą.
Kolejność jest napięta. Regulatorzy planują wydarzenie dla interesariuszy jeszcze w 2026 r., by wydobyć punkty najbardziej wymagające wyjaśnienia, a następnie otworzyć konsultacje publiczne w sprawie projektu w pierwszej polowie 2027 r. To pozostawia wąskie okno między ostatecznym tekstem a datą wejścia w życie, wiec firmy nie mogą czekać na gotowe wytyczne, zanim rozpoczną prace projektowe.
Ruch właściciela
Praktyczna instrukcja dla zarządów brzmi: traktować to jako wspolny program AML i prywatnosci, a nie jako zadanie zgodności jednego biurka. Funkcje prawna, do spraw przestępczości finansowej i ochrony danych, które dotąd działały osobno, muszą teraz odpowiadać jednemu skoordynowanemu standardowi, co oznacza, że powinny planować razem juz teraz, zamiast uzgadniać stanowiska po tym, jak wytyczne zapadną.
Jest tez przewaga strategiczna. Firmy, które zaangażują się w wydarzenie i konsultacje w 2027 r., będą mogły kształtować zbiór zasad, pod którym będą funkcjonować, a ci, ktorzy ruszają pierwsi, mogą zamienić czyste ramy wymiany w przewagę konkurencyjna w zaufaniu i szybkości. Cena czekania to gwałtowny pościg w drugiej polowie 2027 r. wobec terminu, który się nie przesunie.
Czytaj dalej: Pierwszy wniosek o dane może być nadużyciem | Nielegalne dane wciąż wygrywają w sądzie



