Regelverk i konflikt – när GDPR möter penningtvättslagen i fintech-miljö

OKATEGORISERAD • 10 juni 2025

Fintech-bolag som hanterar stora mängder personuppgifter i sin verksamhet, exempelvis vid kundkännedom (KYC) och transaktionsövervakning kan ha hjälp av en dataskydds- och compliance-jurist. Detta då det uppstår en juridisk spänning mellan två tvingande regelverk:

  • GDPR, som kräver att personuppgifter inte sparas längre än nödvändigt, och
  • penningtvättslagen, som i vissa fall kräver bevarande av kunduppgifter i minst fem år och ibland ännu längre tid efter avslutad affärsförbindelse.

Dessa motstående krav är särskilt aktuell för fintech-bolag som automatiserar sin databehandling och förlitar sig på externa leverantörer för datalagring. Penningtvättslagstiftningen ges dock i regel företräde när det gäller enligt lag stadgade skyldigheter att lagra uppgifter, eftersom den är så kallad speciallagstiftning till GDPR. Det betyder även att uppgifterna måste sparas även om den registrerade invänder och begär radering.

Så hanterar tillsynsmyndigheter motstridiga krav

Integritetsskyddsmyndigheten (IMY) och Finansinspektionen har olika mandat men arbetar delvis med samma aktörer. Vid tillsyn är det avgörande att bolag tydligt dokumenterar sin rättsliga grund för behandling samt har interna rutiner för att hantera dessa motstridiga krav. Även om det låter enkelt när det beskrivs som att penningtvättslagens krav på lagring går före GDPRs krav på radering uppstår kontinuerligt tolkningssvårigheter och då är det viktigt att ha dokumentation på plats som visar hur företaget tänkte när en viss process implementerades.

Praktiska rekommendationer för fintech-bolag:

  • Ange lagringstider specifikt för varje ändamål i personuppgiftspolicyn.
  • Dokumentera och motivera undantag från GDPR:s princip om lagringsminimering.
  • Säkerställ att interna rutiner speglar både GDPR och penningtvättslagen.
  • Skilj på arkivering och aktiv behandling eller användning av personuppgifter.

På Morling Consulting hjälper våra dataskydds- och compliance-jurister fintech-bolag att navigera i gränslandet mellan GDPR och kraven som ställs på finansiellt reglerade verksamheter.