GDPR och anställdas personuppgifter
Som arbetsgivare är du personuppgiftsansvarig för uppgifterna om dina anställda. Här är grunderna för att hantera dem rätt enligt GDPR och Integritetsskyddsmyndighetens (IMY) vägledning.
Senast uppdaterad: 2026-07-08
Välj rätt rättslig grund — inte samtycke
All behandling av personuppgifter behöver en rättslig grund. För anställdas uppgifter är de vanliga grunderna:
- Fullgörande av avtal (art. 6.1 b) — t.ex. löneutbetalning, tidrapportering och frånvaro
- Rättslig förpliktelse (art. 6.1 c) — t.ex. skatt, arbetsgivaravgifter, bokföring och arbetsmiljö
- Berättigat intresse (art. 6.1 f) efter en intresseavvägning — t.ex. kontaktlista för nödsituationer
Samtycke passar sällan i anställningsförhållanden. IMY framhåller att anställda står i beroendeställning till arbetsgivaren och därför som regel inte kan lämna ett sådant frivilligt samtycke som GDPR kräver. Använd i stället en av grunderna ovan.
Känsliga uppgifter och personnummer
Känsliga personuppgifter (art. 9), till exempel om hälsa, får bara behandlas med stöd av ett undantag — inom arbetslivet oftast för att fullgöra skyldigheter i arbetsrätten. Du behöver normalt hantera uppgift om frånvaro och rätt till sjuklön, men inte diagnoser.
Personnummer är inte känsliga uppgifter men har extra skydd i svensk rätt: de får behandlas utan samtycke bara när det är klart motiverat, till exempel för säker identifiering och personaladministration, och ska inte visas i onödan.
Grundprinciper i praktiken
- Ändamålsbegränsning — samla bara in uppgifter för tydliga, angivna ändamål
- Dataminimering — bara de uppgifter som verkligen behövs
- Lagringsminimering — spara inte längre än nödvändigt
- Säkerhet — skydda uppgifterna mot obehörig åtkomst
Hur länge får uppgifterna sparas?
Uppgifter om anställda får bara sparas så länge de behövs för ändamålet — därefter ska de raderas eller avidentifieras. Undantag gäller när annan lag kräver längre lagring, framför allt räkenskapsinformation som enligt bokföringslagen normalt ska sparas i sju år. Sådana uppgifter bör hållas åtskilda från den dagliga verksamheten med begränsad åtkomst.
Den anställdas rättigheter
Den anställda har bland annat rätt till tillgång (registerutdrag), rättelse och radering. Rätten till radering är begränsad — den gäller inte uppgifter du måste spara enligt lag. Du ska besvara en begäran utan onödigt dröjsmål och senast inom en månad.
Så hjälper Min Personal
I Min Personal lagras personaluppgifter krypterat i Sverige med åtkomst begränsad till ditt företag, och du kan exportera all din data när som helst. Läs mer om vår personalhantering eller i vår integritetspolicy.
Vanliga frågor
Behöver jag samtycke för att hantera anställdas personuppgifter?
Nej, oftast inte — och samtycke är sällan lämpligt. Enligt Integritetsskyddsmyndigheten (IMY) står anställda i beroendeställning till arbetsgivaren och kan därför i regel inte lämna ett giltigt frivilligt samtycke. Använd i stället en annan rättslig grund, som fullgörande av avtal, rättslig förpliktelse eller berättigat intresse.
Hur länge får jag spara uppgifter om anställda?
Bara så länge de behövs för ändamålet — därefter ska de raderas eller avidentifieras. Undantag gäller när annan lag kräver längre lagring, till exempel bokföringslagen för räkenskapsinformation (normalt sju år).
Får jag använda personnummer?
Personnummer är inte känsliga uppgifter men har extra skydd i svensk rätt. De får bara behandlas när det är klart motiverat, till exempel för lön och personaladministration, och ska inte exponeras i onödan.