GDPR för HR: de vanligaste misstagen att undvika

maj 23, 2026, Jesper Thornberg

HR-avdelningen hanterar mer känslig persondata än nästan någon annan funktion i ett företag. Anställningsuppgifter, sjukfrånvaro, lönedata, rehabiliteringsärenden och personliga kontaktuppgifter samlas dagligen in, lagras och delas. Det gör HR till ett av de mest prioriterade områdena för Integritetsskyddsmyndighetens tillsyn. GDPR för HR de vanligaste misstagen handlar sällan om avancerade tekniska brister. De uppstår i vardagen: ett CV som sparas i inkorgen, en Teams-chatt med känslig information, eller en gammal personakt som ingen vet om fortfarande finns kvar på en delad server.

Innehållsförteckning

Viktiga lärdomar

Punkt Detaljer
HR är högriskområde Personaldata innehåller känsliga uppgifter och granskas aktivt av tillsynsmyndigheter.
Gallringsrutiner saknas ofta Utan tydliga regler för hur länge data sparas bryter de flesta företag mot GDPR utan att veta om det.
Molntjänster kräver analys Ett HR-system som påstår sig vara GDPR-säkert kan ändå innebära juridisk risk beroende på infrastruktur.
Riskbedömningar är obligatoriska HR måste dokumentera och uppdatera riskbedömningar för sin personuppgiftsbehandling regelbundet.
Utbildning är inte valfritt En policy som ingen följer ger inget skydd. Praktisk GDPR-utbildning för HR är ett krav, inte ett val.

1. GDPR för HR de vanligaste misstagen: en praktisk översikt

Det finns ett mönster i hur GDPR-misstag uppstår inom HR. Det börjar inte med ett medvetet regelbrott. Det börjar med att ingen har satt upp tydliga rutiner, och att vardagen sedan fyller tomrummet med egna lösningar.

Här är de vanligaste situationerna som skapar problem:

  • CV:n sparas i mejlinkorgen eller på lokala enheter utan att någon vet hur länge de ska ligga kvar eller vem som har tillgång till dem.
  • Personalakter saknar gallringsrutiner, vilket innebär att dokument från anställda som slutat för tio år sedan fortfarande finns kvar i systemet.
  • Teams-chattar och e-posttrådar innehåller känslig information om sjukfrånvaro, konflikter eller löner, utan att någon har tänkt på att dessa kanaler inte är avsedda för känsliga personuppgifter.
  • Referenstagning sker utan dokumentation, vilket gör det omöjligt att visa vad som sades, av vem och med vilket samtycke.
  • Sjukfrånvaro och rehabärenden hanteras informellt, ofta i mejl eller anteckningsblock, utan att det finns en strukturerad och säker process.

Många företag saknar dokumenterade rutiner för just dessa situationer, vilket skapar GDPR-risker som är svåra att försvara vid en tillsynsgranskning.

2. Hur länge får man spara CV:n?

Det korta svaret: inte längre än nödvändigt. Det långa svaret kräver att du har en tydlig policy på plats.

GDPR bygger på principen om lagringsminimering. Det innebär att personuppgifter inte får sparas längre än vad ändamålet kräver. För ett CV som kom in i samband med en rekrytering som redan är avslutad, finns det normalt inget lagligt stöd för att fortsätta lagra det, om inte kandidaten har gett ett tydligt samtycke till att finnas kvar i en talangpool.

I praktiken ser det annorlunda ut. CV:n samlas i mejlinkorgar, på delade mappar och i rekryteringsverktyg utan att någon tar ansvar för att rensa dem. Det är ett av de vanligaste GDPR-felen inom HR, och det är enkelt att åtgärda om man sätter upp en gallringsrutin.

En rimlig utgångspunkt är att CV:n från avslutade rekryteringar raderas inom sex månader, om inte kandidaten aktivt har samtyckt till längre lagring. Det samtycket ska vara dokumenterat och möjligt att återkalla.

3. Får man använda personnummer i Excel?

Tekniskt sett är det inte förbjudet. Men det är ett av de vanligaste exemplen på hur HR skapar onödiga risker utan att tänka på det.

Personnummer är en känslig uppgift som kan användas för att identifiera en person med hög precision. Att lagra personnummer i ett okrypterat Excel-ark på en delad server, eller skicka det i ett mejl utan kryptering, är ett säkerhetsproblem. Om den filen hamnar i fel händer, eller om någon obehörig får tillgång till den delade mappen, har du ett personuppgiftsincident på händerna.

Man går igenom ett kalkylark med känsliga personuppgifter

Regeln är enkel: använd personnummer bara när det finns ett tydligt och nödvändigt ändamål, och se till att de lagras i system med tillräckliga säkerhetsåtgärder. Excel är sällan rätt verktyg för det.

Proffstips: Gå igenom era delade mappar och identifiera alla Excel-filer som innehåller personnummer eller annan känslig personaldata. Det tar en eftermiddag och ger er en tydlig bild av er faktiska riskexponering.

4. Vad gäller vid sjukfrånvaro och rehabärenden?

Sjukfrånvaro och rehabilitering är ett av de känsligaste områdena inom HR-dataskydd. Hälsouppgifter klassas som en särskild kategori av personuppgifter under GDPR, vilket innebär striktare krav på hantering, lagring och åtkomst.

Trots det hanteras dessa uppgifter ofta informellt. Chefer skickar mejl till HR om att en medarbetare är sjuk och anger diagnos. Rehabplaner sparas i Word-dokument på lokala enheter. Anteckningar från möten skrivs i ett anteckningsblock som ingen vet var det hamnar.

Det är inte bara ett GDPR-problem. Det är ett problem för medarbetarens integritet och för företagets förtroende som arbetsgivare. Konkret innebär det att:

  • Åtkomst till hälsouppgifter ska begränsas till de som verkligen behöver dem.
  • Dokumentation ska ske i ett säkert system, inte i mejl eller lokala filer.
  • Lagringstider ska vara fastställda och följas.

En konsekvensbedömning enligt GDPR är ofta ett krav när HR behandlar hälsodata i stor skala eller i nya system.

5. Måste HR göra riskbedömningar?

Ja. Det är inte en rekommendation, det är ett krav.

GDPR ställer krav på att organisationer dokumenterar sin personuppgiftsbehandling och genomför riskbedömningar, särskilt när behandlingen innebär hög risk för de registrerades rättigheter. HR-avdelningen uppfyller det kriteriet på flera punkter: hälsodata, lönedata, disciplinärenden och rekryteringsdata är alla kategorier som kräver systematisk riskanalys.

I praktiken ser det ut så här hos många svenska bolag:

  • Riskbedömningar saknas helt, eller genomfördes en gång för fem år sedan och har aldrig uppdaterats.
  • Systemval görs utan GDPR-analys, vilket innebär att ett nytt HR-system upphandlas utan att någon har granskat var data lagras eller vad leverantörens databehandlaravtal faktiskt säger.
  • Dokumentationen är fragmenterad, utspridd på mejl, Word-dokument och fysiska pärmar utan en samlad bild.

Riskbedömningar ska vara dokumenterade och uppdateras regelbundet enligt GDPR. Det räcker inte att ha gjort dem en gång.

Proffstips: Koppla riskbedömningen direkt till era HR-processer: rekrytering, onboarding, sjukfrånvaro, offboarding. Gå igenom en process i taget och dokumentera vilka uppgifter som behandlas, varför och hur länge. Det ger er en praktisk och granskningsbar struktur.

6. Molntjänster och HR-system: en underskattad risk

Många HR-chefer tror att ett HR-system som marknadsförs som “GDPR-säkert” per automatik uppfyller alla krav. Det stämmer inte alltid.

Molnbaserade HR-system med amerikansk infrastruktur kan innebära juridisk risk trots påstådd GDPR-anpassning, på grund av den amerikanska CLOUD Act. Det innebär att data som lagras på amerikanska servrar, även om de fysiskt befinner sig inom EU, kan tvingas lämnas ut till amerikanska myndigheter. Det är ett scenario som varken du eller dina medarbetare har samtyckt till.

Kontrollkrav för var data lagras har gått från hygienfaktor till affärskrav vid varje molnupphandling. Det innebär att du vid nästa upphandling av ett HR-system behöver ställa konkreta frågor:

  • Var lagras data fysiskt?
  • Vilket lands lagstiftning gäller för leverantören?
  • Finns ett databehandlaravtal som uppfyller GDPR:s krav?
  • Vad händer med data vid avtalets upphörande?

Att inte ställa dessa frågor är ett av de vanligaste HR compliance-misstagen vi ser hos medelstora företag.

7. Vanliga brister vi ser hos svenska bolag

Det finns ett antal mönster som återkommer gång på gång när man granskar HR-avdelningars GDPR-arbete i svenska små och medelstora företag.

Personalrutiner och policyer är värdelösa utan att de efterlevs i praktiken. Det är en av de mest underskattade bristerna. Många bolag har en GDPR-policy, men ingen har läst den på två år och ingen vet om den faktiskt följs.

En annan vanlig brist är att HR-audits genomförs utan att täcka rätt juridisk nivå. En HR-audit som inte anpassas efter lokal jurisdiktion och specifika verksamhetsrisker kan öka den juridiska exponeringen i stället för att minska den, eftersom den dokumenterar kända brister utan att åtgärda dem.

En tredje brist handlar om offboarding. När en medarbetare slutar glömmer många företag att gå igenom vilka uppgifter som ska raderas, vilka som ska arkiveras och hur länge. Det skapar en växande mängd data om tidigare anställda som ingen har mandat att hantera.

8. Praktiska lösningar: så undviker du de vanligaste misstagen

Det krävs inte ett stort projekt för att komma i ordning. Det krävs struktur och konsekvens.

  1. Upprätta en gallringspolicy för HR-data. Bestäm hur länge olika typer av uppgifter ska sparas: CV:n, anställningsavtal, sjukfrånvarodata, löneunderlag. Dokumentera det och kommunicera det till alla som hanterar personaldata.

  2. Rensa befintliga lagringsplatser. Gå igenom delade mappar, mejlinkorgar och lokala enheter. Identifiera var personaldata faktiskt finns och radera det som inte längre behövs.

  3. Säkra era kommunikationskanaler. Känsliga uppgifter om sjukfrånvaro, konflikter eller löner ska inte hanteras i Teams-chattar eller vanliga mejl. Använd ett HR-system med rätt behörighetsstyrning.

  4. Granska era leverantörsavtal. Kontrollera att era HR-system och molntjänster har databehandlaravtal på plats och att ni vet var data lagras. Uppdatera avtal som är äldre än tre år.

  5. Genomför GDPR-utbildning för HR regelbundet. Inte en engångsinsats vid onboarding, utan återkommande utbildning som täcker de situationer HR faktiskt möter: rekrytering, sjukfrånvaro, offboarding och systemanvändning. En GDPR-kontrollista kan vara ett bra startverktyg.

  6. Dokumentera riskbedömningar och uppdatera dem. Koppla dem till era processer och system. En riskbedömning som aldrig uppdateras ger inget skydd vid tillsyn.

  7. Skapa en intern rapporteringsrutin för incidenter. Om ett dataintrång eller en oavsiktlig spridning av personuppgifter sker, måste HR veta vad som ska göras och vem som ska kontaktas. Den rutinen ska finnas på plats innan det händer.

9. Översikt: vanliga misstag, risker och åtgärder

Misstag Risk Åtgärd
CV:n sparas utan gallringsrutin Brott mot lagringsminimering Inför policy: radera CV:n inom 6 månader efter avslutad rekrytering
Personnummer i okrypterade Excel-filer Personuppgiftsincident vid obehörig åtkomst Flytta till säkert HR-system med behörighetsstyrning
Sjukfrånvaro hanteras via mejl Känsliga hälsouppgifter exponeras Använd säkert system med begränsad åtkomst
HR-system utan granskat databehandlaravtal Juridisk risk enligt CLOUD Act Granska avtal och infrastruktur vid upphandling
Riskbedömningar saknas eller är inaktuella Bristande dokumentation vid tillsyn Genomför och uppdatera riskbedömningar per process
Policyer som ingen följer Formell efterlevnad utan reell effekt Kombinera policy med utbildning och uppföljning

Min erfarenhet av GDPR och HR i mindre bolag

Jag har sett hur GDPR-arbetet ser ut i praktiken hos hundratals svenska bolag, och det finns ett mönster som jag aldrig slutar förvånas över. Problemet är sällan att folk inte bryr sig. Problemet är att ingen har gjort det enkelt nog att faktiskt göra rätt.

I ett litet bolag med tio anställda är HR-chefen ofta också ekonomiansvarig och ibland VD. Det finns ingen dedikerad dataskyddsresurs. GDPR upplevs som en juridisk djungel som kräver konsulter och dyra system. Resultatet är att man skjuter upp det, gör minimalt, och hoppas att ingen granskar.

Det jag har lärt mig är att de bolag som klarar sig bäst vid tillsyn inte nödvändigtvis har de mest avancerade systemen. De har tydliga rutiner som faktiskt följs, och de kan visa det. Det är skillnaden mellan att följa GDPR och att kunna visa att du följer GDPR.

En annan sak jag har noterat: de vanligaste GDPR-utmaningarna för HR handlar inte om teknologi. De handlar om beteenden. Vem skickar sjukfrånvarouppgifter i ett vanligt mejl? Vem sparar CV:n i sin personliga mapp “för säkerhets skull”? Det är mänskliga vanor som behöver förändras, och det kräver utbildning och ledarskap, inte bara en ny policy i ett intranät.

Min starkaste rekommendation till HR-chefer och VD:ar i mindre bolag är att börja med det konkreta. Välj en process, till exempel rekrytering, och gå igenom den från start till slut. Var lagras data? Hur länge? Vem har tillgång? Det tar en dag och ger er mer klarhet än ett halvårs teoretiskt arbete. Sedan tar ni nästa process.

GDPR-arbetet inom HR behöver inte vara perfekt från dag ett. Det behöver vara igång.

— Jesper

Få koll på ert GDPR-arbete inom HR med Trustview

Vet ni faktiskt hur ert HR-arbete står sig ur ett GDPR-perspektiv? De flesta bolag vi möter tror att de är i bättre form än de är. En strukturerad nulägesanalys avslöjar snabbt var de verkliga riskerna finns, och vad som behöver åtgärdas först.

https://trustview.se

Trustview är en compliance-plattform som hjälper HR-chefer och ledare att arbeta systematiskt med dataskydd. Från behandlingsregister och riskbedömningar till incidenthantering och leverantörsgranskning samlas allt på ett ställe. Ni slipper leta i mejlinkorgar och Excel-ark och kan i stället visa att ni faktiskt följer regelverket. Läs mer om hur ni kan upprätta en åtgärdsplan eller utforska om det ens är möjligt att vara helt compliant i praktiken.

FAQ

Hur länge får HR spara CV:n enligt GDPR?

CV:n från avslutade rekryteringar bör raderas inom sex månader, om inte kandidaten aktivt har samtyckt till längre lagring. Samtycket ska vara dokumenterat och möjligt att återkalla.

Är det tillåtet att använda personnummer i Excel?

Det är inte förbjudet men innebär hög risk om filen lagras okrypterat eller på delade enheter. Personnummer bör hanteras i säkra HR-system med behörighetsstyrning, inte i vanliga kalkylblad.

Måste HR göra riskbedömningar enligt GDPR?

Ja. HR behandlar känsliga personuppgifter som hälsodata och löneuppgifter, vilket kräver dokumenterade riskbedömningar. Dessa ska uppdateras regelbundet, inte bara genomföras en gång.

Kan ett “GDPR-säkert” HR-system ändå innebära juridisk risk?

Ja. Molnbaserade HR-system med amerikansk infrastruktur kan omfattas av CLOUD Act, vilket innebär att data kan tvingas lämnas ut till amerikanska myndigheter trots EU-lagring.

Vad händer om HR inte följer GDPR?

Bristande dokumentation och felaktig hantering av personaldata kan leda till sanktionsavgifter och tillsynsärenden. Utöver böter riskerar företaget att förlora medarbetares och kandidaters förtroende, vilket är svårare att återbygga.

Rekommendation

Mer att upptäcka

En kvinna sitter och jobbar vid datorn i ett ljust kontorshörn.
Akademi
GDPR och AI: får företag använda ChatGPT på jobbet?
Få kloka insikter om GDPR och AI: får företag använda ChatGPT på jobbet? Lär dig säkerhet och laglighet för AI-användning…
Läs mer
maj 28, 2026
En kvinna sitter vid konferensbordet och går noggrant igenom avtalet om personuppgiftsbiträde.
Akademi
Måste vi ha ett personuppgiftsbiträdesavtal (DPA)?
Måste vi ha ett personuppgiftsbiträdesavtal DPA? Upptäck varför ett DPA är obligatoriskt för ditt företag och skydda dig mot risker!
Läs mer
maj 27, 2026
Man går igenom Excel-listan med personuppgifter för att säkerställa att allt följer GDPR.
Akademi
Är Excel verkligen tillräckligt för GDPR-arbetet?
Är Excel verkligen tillräckligt för GDPR-arbetet? Upptäck varför Excel kan vara en risk och vad du behöver för verklig efterlevnad.
Läs mer
maj 26, 2026
Compliance with less effort

Upptäck mer inom området

TrustView kostnadsfritt i 30 dagar!

Compliance är inget du måste älska, men det är något som måste bli gjort. Testa kostnadsfritt innan du bestämmer dig!

Detta fält är dolt när formuläret visas