Så hanterar du lagringstider inom HR enligt GDPR

maj 1, 2026, Jesper Thornberg

Föreställ dig att integritetsskyddsmyndigheten kontaktar din HR-avdelning efter ett klagomål från en tidigare anställd. Utredningen visar att ni sparat personuppgifter långt efter att de borde ha raderats. Det är ett scenario som drabbar fler organisationer än man tror, och HR-avdelningen hamnar ofta i skottlinjen. GDPR ställer tydliga krav på både hur länge uppgifter får sparas och när de måste raderas. Den här guiden visar steg för steg hur du minimerar risken och bygger rutiner som håller vid granskning.

Innehållsförteckning

Viktiga Insikter

Punkt Detaljer
Känn dina lagringstider Rätt lagringstid för varje dokumenttyp minskar GDPR-risk.
Rutiner för gallring Tydliga rutiner för radering vid anställningsslut är avgörande.
Dokumentera efterlevnad Löpande dokumentation visar på kontroll och minskar risken vid granskning.
Verktyg förenklar jobbet Automatisering och mallar gör att du slipper gissa och missar färre raderingar.

Vad innebär lagringstider inom HR och varför är det viktigt?

Lagringstid är den period under vilken en organisation lagligt får behandla och förvara personuppgifter för ett specifikt ändamål. Inom HR handlar det om allt från jobbansökningar och anställningsavtal till löneunderlag och sjukfrånvarorapporter. När ändamålet är uppfyllt, eller när lagringstiden löpt ut, måste uppgifterna raderas eller anonymiseras.

Problemet är att många HR-avdelningar saknar tydliga rutiner för detta. Uppgifter samlas på hög i gamla system, delade mappar och e-postinkorgar utan att någon egentligen vet vad som finns där eller hur länge det legat kvar. Det är precis den typen av situation som skapar vanliga GDPR-utmaningar vid externa granskningar.

Vissa kategorier av HR-uppgifter är extra känsliga och kräver särskild hantering. Det gäller uppgifter om hälsa, facklig tillhörighet, etniskt ursprung och biometriska data. Dessa räknas som särskilda kategorier av personuppgifter enligt artikel 9 i GDPR och får bara behandlas om det finns en uttrycklig rättslig grund.

Vanliga HR-dokument och rekommenderade lagringstider:

Dokumenttyp Lagringstid Grund
Jobbansökan 2 år Diskrimineringslag
Anställningsavtal 2 år efter anställningsslut Preskription
Löneunderlag 7 år Bokföringslag
Semesteruppgifter 3 till 8 år Semesterlag
Sjukfrånvarorapporter 2 till 5 år Arbetsmiljölag
Prestationsbedömningar 2 år efter anställningsslut Preskription

Så länge behöver du spara olika HR-dokument – en översikt i infografik

Dessa HR-specifika lagringstider är vägledande, men det är viktigt att notera att specifika kollektivavtal eller branschregler kan påverka tiderna. Det gäller även krav på lagring av övertidsdata som varierar beroende på sektor och avtal.

Typiska riskzoner för HR-avdelningar:

  • Gamla rekryteringssystem där ansökningar aldrig rensas

  • Delade nätverksmappar med personaldokument utan ägarskap

  • E-postkorgar hos chefer med anställdas personuppgifter

  • Pappersdokument i arkiv utan gallringsschema

  • Backupsystem som inte inkluderas i gallringsrutiner

Nu när vi förstått riskerna kan vi gå in på vad olika typer av HR-dokument faktiskt kräver för lagring.

Vanligaste HR-dokumenten och deras lagringstider

Att känna till lagringstiderna för enskilda dokumenttyper är grunden för ett fungerande GDPR-arbete inom HR. Här är de viktigaste kategorierna och vad som gäller i praktiken.

Jobbansökningar sparas i 2 år enligt praxis kopplad till diskrimineringslagen. Det ger sökande möjlighet att anmäla diskriminering om de inte fick tjänsten. Sparar ni längre utan samtycke bryter ni mot GDPR:s princip om lagringsminimering.

Löneunderlag kräver 7 års lagring enligt bokföringslagen. Det gäller lönespecifikationer, utbetalningsunderlag och relaterade dokument. Dessa uppgifter behövs vid skatterevisorers granskning och kan inte raderas tidigare.

Lönespecialist som går igenom lönebesked vid skrivbordet

Semesteruppgifter bör sparas i minst 3 år, men beroende på kollektivavtal kan kravet sträcka sig upp till 8 år. Här är det viktigt att HR känner till vilket avtal som gäller för verksamheten.

Anställningsavtal ska sparas i 2 år efter att anställningen avslutats. Det ger utrymme för eventuella tvister om anställningsvillkor eller avgångsvederlag.

Nästa steg är att förstå vad som händer vid anställningsslut, vilket är den situation där flest misstag begås. Se till att uppdatera ditt behandlingsregister varje gång rutiner eller lagringstider förändras.

Vad ska raderas vid anställningsslut?

Enligt GDPR-regler vid anställningsslut gäller följande tidsplan:

  1. Direkt vid anställningsslut: Anhöriguppgifter, fotografier, bankkonto och liknande uppgifter som enbart tjänat den aktiva anställningen

  2. Efter 1 år: Adress, telefonnummer och andra kontaktuppgifter som inte längre behövs

  3. Efter 7 år: Löneunderlag och bokföringsrelaterade uppgifter raderas

Det är också viktigt att göra en konsekvensbedömning enligt GDPR om er HR-process innebär storskalig behandling av känsliga personuppgifter, exempelvis vid hälsorelaterade uppgifter i sjukfrånvarohantering.

Viktigt att notera: Juridiska riktlinjer för dokumenthantering vid avslut varierar mellan EU-länder. Kontrollera alltid lokala krav, särskilt om ni har verksamhet i flera länder. Se exempelvis juridiska riktlinjer för dokument vid avslut som ett exempel på hur reglerna kan se ut i ett annat EU-land.

Hur påverkar reglerna HR vid revision?

Vid en inspektion från Integritetsskyddsmyndigheten (IMY) eller en intern revision förväntas HR kunna visa:

  • Vilka uppgifter som sparas och varför

  • Hur länge uppgifterna sparas och med vilket rättsligt stöd

  • Att gallring faktiskt genomförs enligt fastlagd plan

Utan dokumenterade rutiner är det mycket svårt att bevisa att ni följt reglerna, även om ni faktiskt gjort det.

Proffstips: Sätt upp automatiska påminnelser i ert HR-system för varje anställds slutdatum. Koppla påminnelserna till en gallringschecklista som aktiveras automatiskt vid anställningsslut. Det minskar risken för manuella missar avsevärt.

Nu när du känner till olika lagringstider är det viktigt att förstå hur de tillämpas i praktiken, särskilt vid anställningsslut.

Så raderar du personuppgifter korrekt vid anställningsslut

Gallring av personuppgifter är inte bara att trycka på “radera” i ett system. Det kräver en strukturerad process som täcker alla ställen där uppgifterna finns, och som kan dokumenteras i efterhand.

Steg-för-steg-process för korrekt gallring:

  1. Identifiera alla lagringsplatser. HR-system, e-post, delade mappar, pappersarkiv och backupsystem måste alla ingå i gallringen. Det räcker inte att radera i ett system om uppgifterna finns kvar i ett annat.

  2. Kategorisera uppgifterna. Avgör vilka uppgifter som ska raderas direkt, vilka som ska sparas en kortare tid och vilka som kräver längre lagring. Använd lagringstidstabellen som grund.

  3. Genomför gallringen. Radera digitala uppgifter på ett sätt som gör dem omöjliga att återskapa. För känsliga uppgifter bör ni använda certifierad radering eller kryptering. Förstör pappersdokument i godkänd dokumentförstörare.

  4. Dokumentera vad som raderats. Skapa ett gallringsprotokoll som anger vilka kategorier av uppgifter som raderats, datum och vem som ansvarade. Det är ert bevis vid en eventuell granskning.

  5. Informera berörda system. Om uppgifterna delats med tredje part, exempelvis en löneleverantör, måste ni också begära radering hos dem.

  6. Arkivera gallringsprotokollet. Protokollet i sig är inte en personuppgift och bör sparas som del av ert revisionsspår.

Juridisk risk: Felaktig eller utebliven radering kan leda till sanktionsavgifter på upp till 4 procent av organisationens globala omsättning enligt GDPR artikel 83. Det är inte en hypotetisk risk. Tillsynsmyndigheter i Europa har utfärdat böter specifikt för bristfällig gallring av HR-uppgifter.

Ni kan läsa mer om hur ni bevisa GDPR-efterlevnad i praktiken, inklusive vilken dokumentation som krävs vid en inspektion.

Det är också värt att notera att regler för avslut i andra EU-länder kan se annorlunda ut, vilket är relevant om er organisation verkar internationellt.

Proffstips: Skapa en enkel kommunikationsmall som skickas till chefer när en medarbetare slutar. Mallen bör lista exakt vilka uppgifter de ansvarar för att radera, var de finns och senast när det ska vara klart. Det fördelar ansvaret och minskar risken för att uppgifter glöms kvar hos linjechefen.

Efter att ha gått igenom dokument och deras radering är nästa steg att säkerställa och kontrollera efterlevnaden regelbundet.

Kontrollera och dokumentera efterlevnad av lagringstider

Rutiner för lagringstider fungerar bara om de faktiskt följs och kan verifieras. Internkontroll är därför en central del av ett hållbart GDPR-arbete inom HR.

Rutiner för internkontroll bör inkludera:

  • Kvartalsvis genomgång av HR-systemets lagringsloggar

  • Årlig revision av alla aktiva lagringsplatser, inklusive e-post och delade mappar

  • Kontroll av att gallringsprotokoll faktiskt upprättas vid varje anställningsslut

  • Verifiering av att tredjepartsleverantörer, som lönesystem och rekryteringsplattformar, följer avtalade lagringstider

Hur ofta ska ni kontrollera?

En miniminivå är en formell genomgång per år. Men för organisationer med hög personalomsättning eller många känsliga uppgifter bör kontrollerna ske oftare, gärna kvartalsvis. Löneunderlag ska sparas i 10 år, vilket innebär att ni måste ha system som säkerställer att dessa uppgifter varken raderas för tidigt eller sparas för länge efter att tioårsgränsen passerat.

Vem är ansvarig?

Ansvaret för lagringstider bör vara tydligt fördelat. Vanligtvis är det HR-chefen som har det övergripande ansvaret, men operativt ansvar kan fördelas på HR-specialister per område, exempelvis rekrytering, lön och personalutveckling. Det är också viktigt att dataskyddsombudet (DSO) är involverat i utformningen av rutinerna.

Se till att er visa GDPR-dokumentation är uppdaterad och tillgänglig, så att ni snabbt kan presentera den vid en extern granskning.

EU-krav på GDPR-dokumentation innebär att organisationer måste kunna visa att de aktivt arbetar med efterlevnad, inte bara påstår det.

Proffstips: Skapa ett enkelt revisionsspår i form av ett kalkylblad eller ett ärendehanteringssystem. Logga varje gallringsåtgärd med datum, ansvarig person och vilka uppgiftskategorier som berördes. Det tar fem minuter per ärende men sparar timmar vid en eventuell inspektion.

Slutligen sätter vi in reglerna i en större kontext med ett unikt perspektiv kring utmaningarna och vinsterna för HR.

Vårt perspektiv: Lagringstidsrutiner som ger HR reell trygghet

Det finns ett mönster vi ser hos HR-avdelningar som kämpar med GDPR-efterlevnad: de har tagit fram en policy, kanske till och med en checklista, men rutinerna lever inte i organisationen. De sitter i ett dokument på intranätet som ingen läser och som inte är kopplat till de faktiska arbetsprocesserna.

Det är frestande att behandla lagringstider som en juridisk checklista. Bocka av, arkivera, klart. Men den synen missar affärsnyttan. En välskött gallringsrutin minskar också lagrings- och systemkostnader, förbättrar datasäkerheten och gör det enklare att hitta rätt information när ni faktiskt behöver den.

Allra vanligaste missen: HR-avdelningar glömmer att inkludera chefers e-postkorgar och lokala hårddiskar i gallringsrutinerna. Personuppgifter sprids naturligt i en organisation, och om ni bara gallrar i HR-systemet finns det stor risk att data lever kvar i informella kanaler.

Risken med enbart juridisk checklistning är att ni skapar en falsk trygghet. Ni tror att ni är compliant för att ni har en policy, men vid en faktisk granskning visar det sig att rutinerna inte följts i praktiken. Det är då böter och sanktioner blir verklighet.

Det vi rekommenderar är att förankra lagringstidsrutinerna i hela HR-teamet, inte bara hos den person som ansvarar för GDPR. Alla som hanterar personuppgifter, det vill säga rekryterare, HR-specialister, löneadministratörer och HR-chefer, behöver förstå varför rutinerna finns och vad deras specifika ansvar är.

Strategier för framtidens GDPR-utmaningar visar att organisationer som lyckas bäst med compliance är de som integrerar regelefterlevnad i det dagliga arbetet, inte de som behandlar det som ett separat projekt.

Proffstips: Håll ett kort utbildningstillfälle, 30 till 45 minuter, för hela HR-teamet en gång per år. Gå igenom de viktigaste lagringstiderna, visa hur gallringsprotokoll upprättas och diskutera verkliga exempel på vad som kan gå fel. Det bygger en gemensam förståelse och gör rutinerna levande.

Förenkla lagringstider och GDPR-efterlevnad med Trustview

Att hålla koll på lagringstider, gallringsprotokoll och internkontroll är tidskrävande om det görs manuellt. Trustview är byggt för att göra det arbetet strukturerat och hanterbart för HR-avdelningar som vill ha reell kontroll över sin GDPR-efterlevnad.

https://trustview.se

Med Trustview kan ni samla alla era behandlingsaktiviteter, lagringstider och gallringsrutiner på ett ställe. Plattformen hjälper er att skapa åtgärdsplan för compliance och följa upp att åtgärder faktiskt genomförs. Ni får också stöd för riskbedömningar, incidenthantering och leverantörsgranskning, allt samlat i ett verktyg anpassat för den som jobbar med digital efterlevnad och IT-säkerhet. Boka en demo och se hur Trustview kan ta bort den administrativa bördan från ert HR-team.

Vanliga frågor om lagringstider inom HR

Hur länge får man spara jobbansökningar enligt lag?

Jobbansökningar får sparas i 2 år enligt praxis kopplad till svensk diskrimineringslagstiftning och GDPR:s princip om lagringsminimering.

Måste löneuppgifter alltid sparas 7 år?

Ja, löneunderlag ska lagras i 7 år enligt bokföringslagen, eftersom dessa uppgifter kan behövas vid skatterevisorers granskning.

Vilka HR-uppgifter måste raderas direkt när någon slutar?

Anhöriguppgifter, foto och bankkonto ska raderas omedelbart vid anställningsslut, eftersom de inte längre tjänar något legitimt ändamål.

Vad händer om HR sparar personuppgifter för länge?

Lagring av personuppgifter längre än tillåtet kan leda till sanktionsavgifter på upp till 4 procent av organisationens globala omsättning samt skadeståndskrav från den registrerade.

Får man spara kopia på ID-handling efter anställning?

Kopior på ID-handlingar får normalt inte sparas efter att anställningen avslutats, om det inte finns en specifik rättslig skyldighet som kräver det, exempelvis inom vissa reglerade branscher.

Rekommendation

Mer att upptäcka

Tre kollegor sitter och diskuterar hur de ska arbeta med att följa reglerna kring integritet och dataskydd.
Akademi
Så organiserar du en effektiv privacyorganisation
Lär dig hur du effektivt organiserar din privacyorganisation med vår steg-för-steg-guide. Skydda ditt företag och uppfyll GDPR!
Läs mer
maj 8, 2026
En HR-specialist går igenom ett CV vid sitt skrivbord i dagsljus.
Akademi
Så genomför du effektiva bakgrundskontroller vid anställning
Lär dig genomföra effektiva bakgrundskontroller vid anställning för att skydda ditt företag och säkerställa rätt rekrytering. Få tips och råd!
Läs mer
maj 7, 2026
Ett litet företagsteam samlas för att diskutera regelefterlevnad i ett avslappnat kontorslandskap.
Akademi
Strukturerad efterlevnad för små bolag steg för steg
Upptäck hur man granskar efterlevnad effektivt för små bolag. Få praktiska tips för att bygga en enkel och kostnadseffektiv process.
Läs mer
maj 6, 2026
Compliance with less effort

Upptäck mer inom området

TrustView kostnadsfritt i 30 dagar!

Compliance är inget du måste älska, men det är något som måste bli gjort. Testa kostnadsfritt innan du bestämmer dig!

Detta fält är dolt när formuläret visas