Zgodnie z art. 54 ust. 1 ustawy AML tajemnicy podlega informacja o fakcie przekazania Generalnemu Inspektorowi lub innym właściwym organom informacji określonych w rozdziałach 7 i 8 ustawy oraz o planowaniu wszczęcia oraz o prowadzeniu analizy dotyczącej prania pieniędzy lub finansowania terroryzmu. Jedna i druga informacja stanowi dane osobowe w rozumieniu art. 4 pkt 1 RODO, a naruszenie tego zakazu podlega zarówno odpowiedzialności administracyjnej (art. 147 pkt 11 i 14 ustawy AML), jak i karnej (art. 156 ust. 2 ustawy AML). Jednocześnie zgodnie z art. 15 ust. 1 RODO podmiot danych ma prawo dostępu do informacji na swój temat, które może być ograniczone wyłącznie po spełnieniu warunków określonych w art. 23 RODO. Ustawa AML wymaga, by informować klienta o przetwarzaniu jego danych osobowych, w szczególności o obowiązkach instytucji obowiązanej wynikających z ustawy w zakresie przetwarzania tych danych (art. 34 ust. 5 ustawy AML), a nawet wymaga, by zagadnienia związane z ochroną danych osobowych były elementem programów szkoleniowych dotyczących AML (art. 52 ust. 1 ustawy AML).

Zatem punktem wyjścia dla rozważań nad legalnością ograniczeń praw podmiotu danych musi być zrozumienie roli art. 23 RODO jako "bezpiecznika" w systemie ochrony prywatności. Przepis ten zezwala państwom członkowskim na ograniczenie zakresu obowiązków i praw przewidzianych w art. 12–22 RODO pod warunkiem, że takie działanie nie narusza istoty podstawowych praw i wolności oraz stanowi w demokratycznym społeczeństwie środek niezbędny i proporcjonalny do osiągnięcia celów takich jak bezpieczeństwo narodowe, publiczne czy zapobieganie przestępczości. Istnienia ważnego celu publicznego (art. 23 ust. 1 RODO) nie sposób kwestionować;  jak nie jest to wystarczające do uznania ograniczenia za zgodnego z prawem Unii. Artykuł 23 ust. 2 RODO formułuje listę konkretnych elementów, które muszą znaleźć się w akcie prawnym wprowadzającym takie ograniczenie, aby zapewnić jego przewidywalność i rozliczalność.  W tej kwestii pojawiają się dwa ciekawe zagadnienia: pierwsze - jak należy rozumieć warunki określone w art. 23 RODO (czy muszą odnosić się do konkretnych ograniczeń, czy też wystarczy je zlokalizować w całej ustawie, w odniesieniu do całości obowiązków tam określonych),  drugie - czy w przypadku braku pełnej formalnej zgodności z art. 23 RODO można kwestionować skuteczność prawną ograniczenia.

Co do skuteczności prawnej ograniczenia prawa dostępu - odpowiedź wydaje się twierdząca. Zakaz tzw. tipping-off z art. 54 ust. 1 ustawy AML stanowi ważne i prawnie wiążące ograniczenie prawa dostępu z art. 15 RODO. EROD wprost w pkt 24 wytycznych 10/2020 uznaje ramy AML za modelowy przykład dopuszczalnego ograniczenia z art. 23 ust. 1 lit. d RODO. Cel ograniczenia jest uzasadniony, zakres wąski i celowy, a wyjątek z art. 23 ust. 2 lit. h dotyczący prawa do informacji o ograniczeniu stosuje się tu z istoty rzeczy — ujawnienie samego faktu ograniczenia byłoby tipping-offem. Instytucja obowiązana ma zatem zarówno prawo, jak i obowiązek odmówić ujawnienia chronionych informacji nawet w odpowiedzi na żądanie z art. 15 RODO.

Jednak co do pełnej formalnej zgodności ze wszystkimi ośmioma elementami art. 23 ust. 2 RODO — są wątpliwości. Większość wymogów jest spełniona — wprost lub w sposób dorozumiany z całości systemu prawnego AML. Pozostają jednak dwa miejsca, w których tekst przepisów ograniczających nie zawiera wyraźnych „specific provisions" wymaganych przez art. 23 ust. 2 RODO (oraz przez wytyczne EROD):

1. Pierwszy dotyczy oceny ryzyk dla praw i wolności podmiotów danych (lit. g). Wbudowana w ustawę AML metodologia risk-based approach dotyczy ryzyk prania pieniędzy i finansowania terroryzmu - nie tylko  nie jest tożsama z oceną ryzyk dla podmiotów danych wynikających z ograniczenia ich prawa dostępu, ale wręcz stanowi w pewnym sensie drugą stronę medalu. Taka ocena nie pojawia się ani w tekście ustawy, ani w jej uzasadnieniu.
2. Drugi dotyczy kategorii danych podlegających ograniczeniu (lit. b). Ustawa AML precyzyjnie reguluje kategorie danych przetwarzanych w ramach całego systemu AML, natomiast nie wskazuje wprost, jakie konkretnie kategorie danych osobowych są objęte właśnie ograniczeniem z art. 54 ust. 1 — czyli jakich kategorii danych dotyczy zakaz ujawnienia. To rozróżnienie — między danymi przetwarzanymi w AML a danymi podlegającymi temu konkretnemu ograniczeniu — ma znaczenie formalne z perspektywy art. 23 ust. 2 lit. b.

Obie luki - jak się zdaje - nie podważają skuteczności zakazu - instytucja obowiązana powinna odmówić dostępu do tych danych. Natomiast stanowią argument na rzecz tezy, że polski ustawodawca nie zaprojektował zakazu tipping-off jako świadomej, wyraźnej implementacji art. 23 ust. 2 RODO — co byłoby pożądanym standardem legislacyjnym.