GDPR för HR-avdelningen

Behandling av personuppgifter regleras av Dataskyddsförordningen (GDPR) vilket är en EU-förordning och gäller som svensk lag och gäller lika över hela EU.

Utgångspunkten i GDPR är att endast ett minimum av personuppgifter får samlas in och behandlas och det måste finnas ett berättigat syfte och ändamål för att alls samla in personuppgifter.

De personuppgifter som behandlas ska vara tydligt kopplade till ett ändamål. Det är med andra ord inte tillåtet att samla in personuppgifter för obestämda framtida behov, för att de kan vara "bra att ha". Vad som anses vara nödvändig information hos er måste utarbetas i en skriftlig policy och finnas med i era rutiner kring personuppgiftsbehandling, som var och en ska känna till. Styrelsen ska alltid känna till hur behandlingen av personuppgifter går till i företaget eller organisationen.

Lagra endast de personuppgifter som är nödvändiga att lagra för att uppfylla det egna syftet och för att uppfylla myndigheters krav på lagring. Upprätta en arkivplan där ni talar om när ni fysiskt och/eller digitalt sparar material som är viktigt för er del. Upprätta rutiner för minimering av personuppgifter. När rutiner kring minimering av personuppgifter är formulerade och efterlevs kommer arbetet med att uppfylla kraven i GDPR gå mycket lättare.

För HR och personalfunktioner finns det i huvudsak tre olika situationer då personuppgifter behandlas:

• Före en anställning med exempelvis ansökningar, personliga brev och CV
• Under en anställning med bland annat kontaktuppgifter, löner, sjukskrivningar, rehab mm
• Efter en anställning med betyg, pension, referenser med mera.

Denna guide är indelad utifrån de tre olika situationerna, men först lite principer för behandling av personuppgifter.

Dataskyddsförordningen anger ett antal principer som ska följas vid behandling av personuppgifter.

1. Vid behandling av personuppgifter ska följande gälla:
   
   a) Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet).
   
   b) De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning).
   
   c) De ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering).
   
   d) De ska vara riktiga och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (riktighet).
   
   e) De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt denna förordning genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering).
   
   f) De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet).
   
   
2. Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).

I följande kapitel beskrivs hur dessa principer kan efterlevas i behandlingen av personuppgifter i rekrytering, under anställningen och efter anställningen.

För att få behandla personuppgifter räcker det inte med att ha ett berättigat syfte eller ändamål. Det fordras även en rättslig grund och ni ska kunna redogöra för vilken.

Rättslig grund för behandling av personuppgifter är följande:

• Samtycke (helst skriftligt och ska alltid vara frivilligt)
• Fullgöra ett avtal (till exempel ett anställningsavtal)
• Rättslig förpliktelse (enligt svensk lag eller kollektivavtal)
• Skydda grundläggande intresse (till exempel att någon måste få vård och inte kan kommunicera)
• Myndighetsutövning och uppgifter av allmänt intresse (kan inte användas av privata företag och organisationer såvida man inte har fått myndighetsbehörighet. Exempelvis vård, skola och sjukvård i privat regi)
• Intresseavvägning (ett berättigat intresse för företaget eller organisationen)

I följande kapitel beskrivs hur de rättsliga grunderna kan användas i behandlingen av personuppgifter före, under och efter anställningen.

Uppgiftsminimering

Ni får endast samla in de personuppgifter som är nödvändiga för att uppfylla ändamålet med att samla in personuppgifterna, så kallad uppgiftsminimering. Ni får heller inte spara uppgifterna längre än vad som är nödvändigt för att uppfylla ändamålet. Därför måste ni ange tidsgränser för hur länge ni maximalt kommer att behålla uppgifterna. Ändamål och tidsgränser ska framgå av ert Artikel 30-register.

Säker hantering av personuppgifter

All hantering av personuppgifter ska ske säkert, så att ingen obehörig kan få tillgång till personuppgifterna. Ni är ansvariga för hanteringen av personuppgifter och kan komma att ställas till svars om ni möjliggjort att obehöriga kommit över personuppgifter. Det kan leda till höga sanktionsavgifter till tillsynsmyndigheten och skadestånd till den registrerade. Ni ska alltså säkerställa att uppgifterna är säkrade både tekniskt och organisatoriskt.

Ansökningar sker förslagsvis genom webbformulär som är krypterade och bakom säker inloggning (gärna Bank-ID). En rekommendation är att undvika att få in ansökningar per okrypterad e-post då de flesta e-postsystem inte är tillräckligt säkra för att hantera personuppgifter. Erbjud de sökande att skicka ansökningarna via krypterad e-post om ni inte använder säkra formulär. Enligt Integritetsskyddsmyndigheten är det säkert att begära in handlingar per post så det är fortfarande ett alternativ.

Personuppgifterna får inte hanteras/lagras utanför EU om det inte särskilt medgivits av EU-kommissionen. Enligt e-Sam, som är myndigheternas samorganisation för dataskydd så är inte de amerikanska molntjänsterna säker förvaring. Molntjänster som inte låter någon utanför EU få tillgång till uppgifterna kan vara tillåtna. För att nå en adekvat skyddsnivå bör sparandet av personuppgifter ske i krypterade servrar som ni har exklusiv tillgång till. Ni kan också spara de sökandes personuppgifter i krypterade hårddiskar eller andra krypterade minnesenheter. Spara inte personuppgifter okrypterade på datorers eller mobiltelefoners minnesenheter. Tappar ni bort en dator eller annan enhet med otillräckligt skyddade personuppgifter ses det som en personuppgiftsincident.

Ni är skyldiga att anmäla personuppgiftsincidenter till Integritetsskyddsmyndigheten och till samtliga registrerade som kan ha fått sina personuppgifter röjda för obehöriga. Alternativt kan ni skydda personuppgifter genom anonymisering eller pseudonymisering. Det förutsätter att obehöriga inte kan ta reda på vems personuppgifter det är. Allmän wifi eller trådburen uppkoppling ska skyddas och bör vara i helt separata system från intern wifi eller trådbundna nät. Tänk på att samtliga lagringsenheter ska förstöras eller skrivas över säkert när de inte längre ska användas i företaget. Även skrivare har lagringsenhet som ska göras oläsbara.

Organisatoriskt säker hantering av personuppgifter

Organisatoriska säkerhetsåtgärder handlar om hur ni hanterar säkerhetsåtgärder på arbetsplatsen. Alla personuppgifter ska hanteras med den bästa säkerhet ni kan uppnå. All personal ska vara utbildad i Dataskyddsförordningen och ska veta hur de ska hantera personuppgifter. Det fordrar regelbundna säkerhetsgenomgångar och att varje anställd får skrivna rutinbeskrivningar för arbetsuppgifterna. Alla anställda ska känna till era regler för radering av personuppgifter i e-post och andra system. Samtliga anställda ska förstå företagets/organisationens policy och riktlinjer om GDPR. Endast de som behöver ha tillgång till personuppgifter ska få tillgång till de personuppgifter de behöver men inga andra. Det innebär att inga personuppgifter få ligga framme så någon obehörig kan läsa dem, vare sig det är på dataskärm eller på det fysiska skrivbordet. Datorer och andra enheter ska låsa sig så snart den behörige användaren inte använder dem. Personuppgifter på papper och enheter med personuppgifter ska förvaras i låsbara skåp. Lokalerna bör skyddas från obehöriga genom säkra inpasseringssystem, larm och skalskydd.

Det är alltid ni som är ansvariga för att det är säkert, inte företaget ni köper tjänster av. Ni ska skriva ett personuppgiftsbiträdesavtal med alla företag som har tillgång till era personuppgifter. Det kan vara via molntjänster, företag som tillhandahåller servrar eller programvaror där personuppgifter hanteras, supportfunktioner med mera. I personuppgiftsbiträdesavtalen ska ni kräva att personuppgifterna hanteras säkert, både tekniskt och organisatoriskt.

Tillåt inte mejlväxlingar med personuppgifter om det är okrypterat. Endast de behöriga anställda ska få ta del av personuppgifter. Detta inkluderar även lönespecifikationer, skatteuppgifter och personnummer. Uppgifter som, om ni kan garantera säkerheten, är pseudonymiserade eller anonymiserade kan användas. Tänk också på att anmäla en incident till Integritetsskyddsmyndigheten ifall fel person kommer över uppgifterna och att denne genast raderar personuppgifterna.

Ni ska ha rutiner för radering av dokument om personuppgifter. Det innebär att ni måste ha en organisation där uppgifter kontinuerligt raderas då det inte längre finns något syfte för hantering av personuppgifterna. Personuppgifter på papper ska göras oläsbara, kanske bäst genom dokumentförstörare. Papper där personuppgifter går att läsa ska inte någon obehörig få tillgång till.

• Artikel 30-register 2025
  Ladda ner

Ni bör bestämma vilka personuppgifter som är nödvändiga för er och den tjänsten ni utlyser. Begränsa personuppgifterna till det. Ni ska informera de sökande om vilka uppgifter ni registrerar och hur länge ni tänker spara uppgifterna både ifall de blir anställda eller inte blir anställda.

I en rekryteringsprocess kommer ett antal ansökningar in för bedömning. Dessa ansökningar innehåller alltid personuppgifter och ibland även känsliga personuppgifter.

Känsliga personuppgifter är uppgifter om:

• Etniskt ursprung
• Politiska åsikter
• Religiös eller filosofisk övertygelse
• Medlemskap i en fackförening
• Hälsa
• En persons sexualliv eller sexuella läggning
• Genetiska uppgifter
• Biometriska uppgifter som används för att entydigt identifiera en person

Arbetsgivare får inte registrera något av ovanstående uppgifter ifall det inte finns en rättslig grund. Generellt finns det sällan en rättslig grund för att registrera sådana uppgifter i en rekryteringsprocess. Om ni inte är en organisation som hanterar politiska åsikter eller medlemskap i en fackförening så får ni inte begära in eller på något sätt registrera sådana uppgifter. När särskilda krav på hälsa finns för att få utföra arbete, exempelvis vid undervattensarbete eller som pilot kan det finnas stöd för att inhämta uppgifter om de specifika krav som ställs men inte mer än så.

Rättslig grund vid rekrytering

När det gäller samtycke så får det inte villkoras för att en person ska få gå vidare i en rekryteringsprocess. En anställning får inte villkoras med att samtycke lämnas för att dela personuppgifter. Den registrerade ska alltid kunna återkalla sitt samtycke utan att det leder till negativa konsekvenser. Ett vanligt förekommande samtycke i rekrytering är att den sökande samtycker till att referenspersoner kontaktas för att diskutera den sökande. Känsliga personuppgifter får inte efterfrågas om det inte finns rättslig grund för varje känslig personuppgift.

Gällande fullgörande av avtal är det inte så ofta det förekommer några uttryckliga avtal i rekryteringsförfarandet. Det är dock möjligt att ingå avtal som också reglerar hantering av personuppgifter.

Rättslig förpliktelse att hantera personuppgifter i rekrytering kan vara om någon upplever sig diskriminerad i rekryteringsprocessen. Då måste uppgifter om de som sökt tjänsten kunna lämnas ut. I en del kollektivavtal förekommer det regler vid rekrytering och de utgör då en rättslig förpliktelse för den specifika behandlingen av personuppgifter. Inom staten finns en del lagar som reglerar rekrytering och förpliktigar till viss hantering av personuppgifter. Inom skola och barnomsorg måste särskilda utdrag från belastningsregistret inhämtas före anställning vilket utgör en rättslig grund för behandling av sådana uppgifter.

Att behandla personuppgifter för att skydda grundläggande intresse handlar om att kunna delge vårdgivare uppgifter om den registrerade när denne inte själv kan kommunicera. Ett sådant tillfälle kan uppstå om den sökande blir medvetslös och behöver vård.

Myndighetsutövning och uppgifter av allmänt intresse förekommer knappast som rättslig grund för behandling av personuppgifter vid rekrytering i privata företag.

Intresseavvägning är sannolikt den mest användbara rättsliga grunden i rekryteringsprocessen. Den som rekryterar har ett berättigat intresse att hantera personuppgifter om de som söker tjänster. Processen blir annars omöjlig. Intresseavvägningen bör dokumenteras, så det är bra att det finns uttryckliga regler i era riktlinjer för personuppgiftshantering vid rekrytering. Som alltid gäller att registrera så lite personuppgifter som möjligt för att uppnå ändamålet och att personuppgifterna rensas bort så fort som möjligt.

Den sökandes rättigheter

Sökande till tjänster äger rätten till sina personuppgifter. Ni ska därför meddela vilka personuppgifter ni registrerar, hur ni använder personuppgifterna, hur ni sparar uppgifterna och när de kommer att raderas. Den sökande har rätt att få sina personuppgifter rättade om något är fel och raderade hos er så snart den sökande så begär.

Radering av ansökningshandlingar och annat

Generellt gäller att om en person inte får tjänsten ska uppgifterna raderas så snart som möjligt. Normalt när rekryteringsprocessen är över och ingen talan är väckt angående diskriminering vid rekrytering eller liknande. Blir rekryteringsprocessen föremål för en rättslig prövning har ni rätt att behålla relevanta personuppgifter tills den rättsliga processen är avslutad. Ett annat fall är att ni har en annan tjänst på gång och ni har kommit överens med den enskilde (genom samtycke) att ni kan behålla dennes personuppgifter för den rekryteringsprocessen.

När rekryteringsprocessen är färdig och ingen rättslig process pågår, med anledning av rekryteringen, bör ni radera samtliga ansökningshandlingar, anteckningar, inspelningar och annat som har personuppgifter från personer som inte blivit anställda. Det är inte tillåtet att spara dem längre då ert ändamål med personuppgifterna är uppfyllt. I det fall det finns någon rättslig förpliktelse som föreskriver att ni måste spara vissa personuppgifter ska ni följa det.

• Rensning av personuppgifter - Sökande till tjänster 2025
  Ladda ner

I era regler för personuppgiftshantering ska ni bestämma vilka personuppgifter ni behöver hantera, hur ni ska hantera dem och syftet med hanteringen. Ni måste iaktta tillräcklig säkerhet tekniskt och organisatoriskt. Hur ni skyddar personuppgifter och vem som har behörighet till olika personuppgifter ska fastslås. Endast de som måste ha tillgång till personuppgifter ska ha det och endast de nödvändiga personuppgifterna. Ni måste också ha regler för radering av personuppgifter. Detta ska också framgå av ert Artikel 30-register.

Den anställdes rättigheter

De anställda äger rätten till sina personuppgifter. Ni ska därför meddela vilka personuppgifter ni registrerar, hur ni använder och sparar dem och när de kommer att raderas. Den anställde har rätt att få sina personuppgifter rättade om något är fel och raderade hos er så snart den anställde så begär. Undantaget är uppgifter som ni har en rättslig grund att behålla.

Rättslig grund att hantera personuppgifter för anställda

Nedan följer några vägledande exempel på anställdas personuppgifter som får hanteras och med vilken rättslig grund.

Samtycken till att behandla personuppgifter måste vara frivilliga och får inte villkoras. Samtycket ska när som helst kunna återkallas utan repressalier. Det är vanligt att företag inhämtar samtycke till att publicera foto på anställda till hemsidan. Samtycke behöver inhämtas då det inte är en nödvändig personuppgift. Se till att få samtycken skriftligt för att kunna bevisa att den anställde samtyckt till behandlingen.

För att kunna fullgöra anställningsavtalet så behöver en hel del personuppgifter hanteras. Namn, adress, kontaktuppgifter, kontonummer är nödvändigt. Uppgifter om semester, sjukfrånvaro, föräldraledighet, tjänstledighet, arbetstider, övertid, lönenivå med mera för att kunna betala ut rätt lön behövs också. Personuppgifter kan behöva delas med andra för exempelvis försäkringar, arbetsskador, rehabilitering och pensioner. Här finns alltså en rättslig grund för att hantera även känsliga personuppgifter.

Det finns många rättsliga förpliktelser som arbetsgivare har att förhålla sig till gällande personuppgifter. En rad lagar föreskriver också att ni ska hantera personuppgifter. Exempelvis kräver bokföringslagen att löneunderlag bevaras i sju år. Aktiebolagslagen kräver årsredovisningar med personuppgifter. Till bolagsverket ska personuppgifter delas. Skattemyndigheten ska månadsvis ha in personuppgifter på de anställda angående deras inkomster. Medbestämmandelagen och Lagen om anställningsskydd innehåller regler om att ni behöver lämna över personuppgifter om anställda till deras fackliga organisationer. Av det följer också att ni tillfälligt har rätt att veta vilka fackliga organisationer de berörda anställda är medlemmar i. Så snart ärendet är avslutat ska sådana uppgifter som inte längre behövs raderas.

Kollektivavtal innehåller en rad rättsliga förpliktelser som företag bundna av kollektivavtal måste följa. Det innefattar även hantering av personuppgifter.
Kontaktuppgifter till dataskyddsombud är offentliga uppgifter och ska vara tillgängliga för alla som berörs av er verksamhet. Däremot går det att undvika att ha namn och personlig mejladress till dataskyddsombudet publicerat. Kontaktuppgifter till skyddsombud och andra fackligt förtroendevalda får spridas till berörda anställda i organisationen och vid behov till andra organisationer och berörda myndigheter.

Det händer att anställda behöver hjälp att söka vård. De har då ett grundläggande intresse i att ni överlämnar deras personuppgifter till vårdgivare och till anhöriga. Ni har då en rättslig grund att dela personuppgifter.

Myndighetsutövning och uppgifter av allmänt intresse förekommer knappast som rättslig grund för behandling av personuppgifter av anställda i privata företag. Däremot kan verksamheten i sig innebära att personuppgifter behöver delas till utomstående. Det kan vara vårdtagare och anhöriga inom äldreomsorg och sjukvård. Inom förskolan och skolan behöver föräldrar veta vilka kontaktpersoner och rektorerna är.

Intresseavvägning är tillsammans med rättsliga förpliktelser de mest användbara rättsliga grunderna. Som arbetsgivare är det i många fall nödvändigt att hantera personuppgifter för att verksamheten ska fungera. Intresseavvägningen bör dokumenteras så det är bra att det finns uttryckliga regler i era riktlinjer för personuppgiftshantering. Som alltid gäller att registrera så lite personuppgifter som möjligt för att uppnå ändamålet och att personuppgifterna rensas bort så fort som möjligt. Kontaktuppgifter till chefer behöver vara kända i organisationen men i många fall även i organisationer som ni samarbetar med. Till säljare behöver det ofta finnas kontaktuppgifter. Ofta kan det räcka att kontaktuppgifter till säljavdelningen publiceras och inte till säljarna personligen. Däremot behöver kontaktuppgifter ofta finnas med för befintliga kunder.

De finns de som ska ha “guldklocka” för lång och trogen tjänst eller det finns personer i ledande ställning som ska finnas med i årsböcker och historiska beskrivningar av företaget/organisationen. Alla dessa uppgifter kommer troligen arkiveras och är relevanta för historiken av företaget/organisationen. Företagets intresse väger sannolikt över den anställdes intresse av integritet men att inhämta ett samtycke till den här personuppgiftsbehandlingen kan vara bra.

Det är ni som personuppgiftsansvarig som bestämmer hur länge uppgifterna sparas utifrån vilket syfte de används till. Tänk på alla namnlistor ni gör för konferenser, resor eller andra aktiviteter, där ni måste upplysa om att ni samlar uppgifterna och vad ni gör med dem och hur ni raderar dem. Normalt ska personuppgifter från konferenser och andra aktiviteter raderas så snart dessa är över. Vissa personuppgifter kan behöva sparas på grund av rättslig förpliktelse som bokföringslagen.

Kameraövervakning och biometrisk information

De anställda ska alltid ha information om hantering av personuppgifter genom inpasseringskontroll, kameraövervakning, biometriska system med mera. När det gäller kameraövervakning är det insamling av personuppgifter och omfattas därmed av Dataskyddsförordningen. Ni måste skylta om ni bedriver kameraövervakning och informera om de övervakades rättigheter. Om kameraövervakning sker på områden dit allmänheten har tillträde måste ni ha väldigt tungt vägande skäl för att få göra det och på alla sätt försöka minimera risken att kränka någons integritet.

När det gäller kamerabevakning av arbetsplatser dit allmänheten inte har tillträde kan det vara tillåtet men med begränsningar. Arbetstagare står i en beroendeställning till arbetsgivaren varför det normalt inte är möjligt att stödja övervakningen på samtycke. Det innebär att kameraövervakning bara är tillåten om behovet av bevakningen väger tyngre än de anställdas intresse av att inte bli bevakade. Anställda har ett starkt intresse av att slippa bli kameraövervakade på arbetet. Arbetsgivaren måste därför kunna visa att det finns starka skäl för övervakningen och att det inte går att komma till rätta med problemen med mindre ingripande åtgärder. Arbetsgivaren kan ha starka skäl att kameraövervaka om arbetsplatsen är särskilt brottsutsatt. För att det ska vara tillåtet att använda kameraövervakning i brottsförebyggande syfte krävs som regel att varje område som kameraövervakas är brottsutsatt.

För begränsade utrymmen med särskilt stöldbegärlig egendom och där personal normalt sett inte vistas (i vart fall inte annat än kort tid för att utföra vissa specifika arbetsuppgifter) är kraven lägre för att få kameraövervaka. Det kan vara kassavalv, säkerhetsrum, serverrum. I omklädningsrum och andra personalutrymmen är det i princip förbjudet att kameraövervaka. Är syftet med bevakningen att förhindra rån, stölder, snatteri, bedrägeri eller annan brottslighet i butik är det skäl som talar starkt för att bevakningen är tillåten.

När arbetsgivare överväger att börja med kameraövervakning på en arbetsplats ska en förhandling med de anställdas fackförbund genomföras enligt Medbestämmandelagens 11-14 §§. En riskbedömning bör göras både av skyddsombud och dataskyddsombud.

Biometriska uppgifter som fingeravtryck, ansiktsigenkänning, irisavkänning eller liknande är känsliga personuppgifter och får inte registreras ifall ni inte har laglig grund för detta. I det fall sådana används för inpassering eller att logga in i datorer eller mobiltelefoner ska ingen annan än den anställde ha tillgång till de uppgifterna. Det kan vara lite klurigt att begränsa tillgången så försäkra er om det med leverantörer av programvaran.

Löner

Skicka inte löneuppgifter och kontrolluppgifter med okrypterad e-post till de anställda. Ni behöver använda säkra system. Numera brukar löneprogram åtföljas av relativt säkra program för distribution av lönespecifikationer, kontrolluppgifter med mera. Annars går det att använda Kivra eller andra postlådeföretag för detta. Då skickar man endast e-post till den registrerade om att uppgifter finns att hämta i postlådeföretaget. Återigen ska det inte vara företag som har sitt säte utanför EU, som kan lämna personuppgifter till annat lands underrättelsetjänster. Det är er skyldighet som personuppgiftsansvarig att se till att detta är säkert.

De registrerade ska ha information om hur t ex bedömnings- eller lönesamtal hanteras och hur de sparas och varför. Sannolikt finns det inget berättigat syfte med att spara på lönesamtalsdokumentation mer än fem år. Så fort det inte finns ett syfte med dokumentationen ska den förstöras och raderas. Det är inte troligt att ni får spara lönesamtalsdokumentation efter att personen har slutat. Då upphör syftet med dokumentationen. Sätt regler för hur detta ska hanteras och vem som är ansvarig. Tänk likadant med semesteransökningar och semesterlistor och utlägg. De ska raderas så snart de uppfyllt sitt syfte.

Känsliga personuppgifter

I arbetet med anställda, men även ledning och styrelse, kommer ni sannolikt i kontakt med människors sjukdomar, sexuella läggning, trosuppfattning, facklig eller politisk tillhörighet. Alla dessa delar är känsliga personuppgifter och får inte registreras, sparas eller behandlas om inte ni har laglig rätt att göra det. Ni får definitivt inte dela dessa uppgifter med någon obehörig. När det gäller sjukdomar och sjukskrivning måste personuppgifter i vissa fall hanteras för rehabilitering och för att skapa en bra arbetsmiljö. Det fordrar ofta att personuppgifter delas med exempelvis vårdinrättning, Försäkringskassan, Arbetsmiljöverket och eventuellt andra. Ni får dock inte dela mer än nödvändigt med personuppgifter.

Foton och sociala medier

Organisationer vill ofta visa vilka som arbetar där, vad de gör och visa foton på dem. Det kan vara berättigat styrelse, VD, ledningsgrupp, andra högre tjänstemän, säljare och motsvarande. Däremot är det sannolikt svårt att hitta ett berättigat syfte med att visa foton och kontaktuppgifter gällande personer med tjänster som inte är ansiktet utåt för företaget, inte har någon speciell kontakt med kunder, medlemmar eller andra intressenter. Publicera så lite personuppgifter som möjligt för att uppfylla ändamålet med publiceringen.

Foton och videoupptagningar ni tar på gemensamma utbildningar, personalträffar, konferenser och andra tillställningar har samma regler. Ni får inte publicera det vare sig på hemsida eller i sociala medier. Inte heller bör sådana uppgifter spridas internt utan samtycke från var och en. Däremot om de anställda själva väljer att publicera bilder privat, så gäller generellt inte Dataskyddsförordningen. Ansvaret ligger på er som personuppgiftsansvarig att se till att ni bara använder foton som är godkända att använda. En bild på en person är inte företagets egendom, då personen alltid har rätt att säga att bilden ska raderas eftersom en bild är en personuppgift. Och en registrerad har alltid rätt att begära radering eller rättelse. Inhämta gärna samtycke innan publicering.

Kunskap om gällande regler

Samtliga anställda ska ha kunskap om vilka regler som gäller personuppgiftsbehandling på företaget/organisationen. Hur de får använda e-post, var personuppgifter ska registreras, hanteras och när de ska raderas. Det gäller även alla mobila enheter man använder. Reglerna ska uppdateras löpande i takt med nya system, rutiner och ny praxis. Anställda ska uppdateras vid förändringar och med ändrade befogenheter.

Ledningen och ytterst styrelsen är ansvariga för hantering, arkivering och radering av personuppgifter. De måste vara informerade om vad som behandlas och hur. De ska bestämma vilka regler som gäller och se till att de uppfyller kraven enligt Dataskyddsförordningen. Det innebär att ledningen och styrelsen ska vara kunniga i Dataskyddsförordningen för att förstå vad de ska besluta.

Tänk också på utifall ni behöver teckna personuppgiftsbiträdesavtal med era underleverantörer. Det kan vara allt från IT-support, molntjänster, arkivering, ekonomi-och löneprogram, försäkringar, leasingföretag, bevakningsföretag med flera.

Det förekommer många personuppgifter i de flesta organisationers verksamhet. En del dokument med personuppgifter ska sparas av historiska skäl. Gör rutiner på vilka dokument som ska sparas för organisationens historik. I övrigt ska samtliga personuppgifter raderas enligt de regler som finns. Gör gärna städdagar för all personal några dagar om året, då alla går igenom sina dokument, e-post och annan personuppgiftsbehandling och raderar så mycket som möjligt eller begränsar personuppgifterna till det minimala.

När anställda slutar eller går i pension, så blir de rättsliga grunderna för fortsatt hantering av deras personuppgifter väldigt begränsade. Utgångspunkten är att allt som kan raderas ska raderas. Anställd som slutar kommer dock behöva arbetsgivarintyg, betyg och referenser. Här ska ni sätta upp rutiner på hur länge ni ska behålla den typen av uppgifter och varför. Ni måste behålla löneuppgifter enligt skatterättsliga regler och bokföringslagen. Pensionsuppgifter kanske så länge personen lever. Ni ska ha ett berättigat syfte med varje personuppgift som sparas och ni ska sätta tidsgränser, laglig grund och med vilken säkerhet ni sparar uppgifterna. Ni ska bestämma vem som har behörighet till personuppgifter för de som har slutat. Endast den som har behov av de personuppgifterna ska ha tillgång till dem.

Personuppgifter till den som slutar förekommer i anteckningar från lönesamtal, konferenslistor, foton, inpasseringskort, anteckningar i HR-system, ekonomi- och lönesystem, tidsrapporteringssystem, CRM-system. Endast det som är förenat med rättslig förpliktelse ska behållas. Exempelvis ska löneunderlag finnas kvar sju år enligt bokföringslagen.

När en anställd går i pension innebär det att ni ska hålla reda på inbetald pension, eventuella försäkringar som ni betalar för även efter pensionsdagen. Det kan även innefatta löneuppgifter för att kunna beräkna pension. Den rättsliga grunden är då fullgörande av avtal. Anställda som slutar kan ha rätt till avgångsvederlag, uppsägningslön och annat. För att fullgöra det behöver ni behålla en del personuppgifter en viss tid. Det ni behöver för att fullgöra avtal gentemot den som slutar får behållas så länge det är nödvändigt.

En del personer i organisationen har sådan position att deras uppgifter till viss del är viktiga att spara på för historiken av organisationen. Ni ska ha regler för vem/vilka de gäller och vilken typ av personuppgifter ni kan spara på för framtiden. Inhämta gärna samtycke för de uppgifterna.

Intresseavvägningen ger mindre utrymme efter att personen har slutat. Företag har sällan något vägande skäl för att behålla personuppgifter från personer som slutat sin anställning utöver det som angivits ovan.

Efter det att den anställde slutat förekommer det sällan ett grundläggande intresse i att ni överlämnar deras personuppgifter till vårdgivare och till anhöriga. Möjligen om personen kommer på besök men det i sig är inte grund nog att behålla personuppgifter.

Myndighetsutövning och uppgifter av allmänt intresse är inte heller någon rättslig grund att luta sig på för att få behålla personuppgifter efter att anställningen upphört.

För att underlätta hanteringen av personuppgifter rekommenderas mallen "Rensning av personuppgifter - Tidigare anställda".

• Rensning av personuppgifter - Tidigare anställda 2025
  Ladda ner