Grundprincipen — och varför "för säkerhets skull" inte funkar
GDPR artikel 5(1)(e) säger att personuppgifter inte får sparas längre än vad som är nödvändigt för det syfte de samlats in för. Det är en av de mest överträdda principerna i svensk näringsliv. Den vanligaste anledningen är inte ond vilja — det är att ingen vet exakt hur länge man får spara, så man sparar allt.
Den första frågan är inte "hur länge måste vi spara?" utan "vilken rättslig grund har vi för att behandla denna personuppgift?". GDPR artikel 6 listar sex möjliga grunder. För personalakten är de relevanta:
- Avtal (6.1.b) — uppgifter som behövs för att fullfölja anställningsavtalet. Slutar gälla när anställningen upphör.
- Rättslig förpliktelse (6.1.c) — t.ex. Bokföringslagen, Skatteförfarandelagen, AML. Slutar gälla när lagen inte längre kräver det.
- Berättigat intresse (6.1.f) — t.ex. att försvara sig mot ekonomiska anspråk. Slutar gälla efter preskriptionstiden, typiskt 10 år.
- Samtycke (6.1.a) — för data som inte täcks av ovan, t.ex. fotografier, referenser för framtida rekrytering. Slutar gälla när samtycket återkallas.
Retention-tider per datakategori
Sammanställning av de vanligaste datakategorierna i svensk personalakt och vilken retention som gäller:
| Datakategori | Retention | Rättslig grund |
|---|---|---|
| Lönespecifikationer, lönejournal | 7 år | Bokföringslagen 7 kap §2 |
| AGI & underlag (arbetsgivardeklaration på individnivå) | 7 år | Skatteförfarandelagen 39:3 |
| Kontrolluppgift KU10 | 7 år | Skatteförfarandelagen 39:3 |
| Anställningsavtal | 10 år efter avslut | Preskriptionstid civilrätt |
| Tjänstepensionsunderlag | 10–30 år | Pensionsavtal, beroende på leverantör |
| Sjukfrånvaro / VAB | 2 år efter avslut | Berättigat intresse / försäkringskassa |
| Personliga anteckningar, utvecklingssamtal | 2 år efter avslut | Berättigat intresse |
| Disciplinära åtgärder, varningar | 2 år eller tills syftet upphört | Berättigat intresse |
| Rekryteringsdata icke-anställda | 2 år (med samtycke) | Samtycke + diskrimineringslagen |
| Rekrytering anställd person (CV, intervjuanteckningar) | 2 år efter avslut | Berättigat intresse |
| Foto, profil i intranät | Direkt vid avslut | Avtal, slutar vid anställningens slut |
| Hälsodata (ex. sjukintyg) | Så kort som möjligt, max 1 år efter avslut | Särskilda kategorier — högt skydd |
| Bankuppgifter, personnummer i system utan lagkrav | Direkt vid avslut | Inget kvarvarande syfte |
Notering: Pensionsdata kan ha längre retention beroende på pensionsleverantörens policy och svenska skattelagstiftning. ITP, KAP-KL och liknande system har egna retention-krav. Stäm av med din pensionsleverantör.
IMY-praxis — vad har faktiskt sanktionerats?
Integritetsskyddsmyndigheten (IMY, tidigare Datainspektionen) har sedan GDPR trädde i kraft utfärdat ett antal sanktionsavgifter inom HR-området. Mönstret är tydligt:
- Brist på dokumenterad retention-policy — företaget kunde inte visa hur länge man sparar vad. Sanktionsavgift 200 000–500 000 kr.
- Inaktiverade konton som faktiskt inte var inaktiverade — personuppgifter åtkomliga av ex-anställda. Sanktionsavgift 250 000–800 000 kr.
- Rekryteringsdata sparat på "för säkerhets skull"-basis — utan samtycke, utan retention-tid. Sanktionsavgift 50 000–250 000 kr.
- Personnummer i system där det inte behövdes — IMY ser ofta överanvändning av personnummer som ett problem.
Den gemensamma nämnaren: brist på dokumentation. Företag som följt rätt retention men inte kunnat bevisa det har också drabbats. Dokumentationen är inte byråkrati — det är ditt skydd.
Hur du dokumenterar att du gjort rätt
- Registerförteckning enligt artikel 30. Lista alla personuppgiftsbehandlingar i företaget med syfte, kategorier av uppgifter, mottagare, retention och rättslig grund. Krävs av alla företag med fler än 250 anställda och alla som hanterar känsliga uppgifter eller systematiskt övervakar — i praktiken nästan alla.
- Retention-policy. Ett dokument som beskriver hur länge varje datakategori sparas. Kopplat till registerförteckningen.
- Rutin för radering. Schemalagda raderings-jobb i HR-systemet, lönesystemet och övriga register. Manuella påminnelser fungerar dåligt — det är där folk glömmer.
- Raderingsjournal. Logg över vad som raderats, när, av vem, från vilket system. Behövs vid både kontroller från IMY och vid registerutdrag (om ex-anställd begär det).
- Kontroll vid offboarding. En del av offboarding-checklistan ska vara "schemalagd radering 2 år efter avslut". Inte "manuellt komma ihåg".
Anonymisering — alternativet till radering
För statistik och historiska KPI:er finns ett alternativ till radering: anonymisering. Om uppgifterna inte längre kan kopplas till en fysisk person — varken direkt eller indirekt — räknas de inte som personuppgifter och GDPR gäller inte.
Krävs för att räkna som anonymisering: ingen unik identifierare, ingen kombination av attribut som kan peka ut individen, ingen koppling tillbaka till källan. Pseudonymisering (att ersätta namn med kod) räknas inte som anonymisering — det är fortfarande personuppgifter med GDPR-skydd.
Praktiskt: KPI:er som "antal anställningar 2024" och "genomsnittlig anställningstid" är anonyma. Listor med "anställd #4523, slutdatum 2024-08-15, anledning: bättre erbjudande" är inte.
Eller — låt systemet hålla retention-koll
Att hålla koll på "vilka anställda slutade för 2 år sedan idag och vilken data ska raderas" är inte ett bra användningsfall för manuella påminnelser. Enkelservice Offboarding schemalägger:
- Direktradering av icke-lagstadgad data vid avslut (foton, intranätprofil, personliga konton)
- 2-årsradering av HR-anteckningar, utvecklingssamtal, varningar
- 7-årsbevarande av lönedata med automatisk radering år 8
- Raderingsjournal med tidsstämpel, system och användare — exporterbar till IMY-format
- Registerförteckning som auto-uppdateras när nya datakategorier tillkommer