Personalmappe - hva lagres, hvor lenge og hvorfor?

Både arbeidsgivere, ansatte og tillitsvalgte må ha et bevisst forhold til hvilke opplysninger som lagres i en arbeidstakers personalmappe, til hvilke formål og hvor lenge.

Hva kan lagres i personalmappen?

Arbeidsgiveren bør stille seg følgende spørsmål med hensyn til hva som skal lagres i personalmappen til den ansatte:

  • Hva har vi, og hva trenger vi?
  • Hvorfor?
  • Hvor lenge er det behov for det?
  • Hvordan oppbevares det?
  • Hvem har tilgang?

Innsamling og behandling av personopplysninger om ansatte starter gjerne i rekrutteringsprosessen og skjer gjennom hele ansettelsesperioden. I noen tilfeller behandles det også opplysninger også etter at arbeidsforholdet er avsluttet.

Sentrale krav i regelverket er at enhver behandling må skje for spesifikke og uttrykkelig angitte formål og ha et rettslig grunnlag for å være lovlig.

Aktuelle rettslige grunnlag kan være at behandlingen er nødvendig for oppfyllelse av (arbeids)avtale eller en rettslig forpliktelse. Et annet praktisk grunnlag er at behandlingen er nødvendig for å ivaretakelse av arbeidsgivers berettigede interesser, og at disse går foran arbeidstakers interesser.

Dersom det behandles sensitive personopplysninger (særlige kategorier) av personopplysninger er behandlingen i utgangspunktet forbudt, men mindre det finnes unntak.

Les mer om sensitive personopplysninger og unntak

Hvor lenge kan opplysningene lagres?

Arbeidsgiver er ansvarlig for at personopplysninger ikke lagres lenger enn det som er nødvendig for formålene de er behandlet for, og må ha rutiner som sørger for dette. I praksis kan nærmeste leder ha ansvaret for at slettekravet følges, men sletterutiner kan i stor grad også skje gjennom automatiserte prosesser hvor visse typer opplysninger blir slettet eller blir markert som informasjon som kan slettes.

Lagringstid vil kunne variere ut fra flere forhold. Ulike typer av arbeidsgivere vil ha forskjellig behov for oppbevaring av opplysninger om ansatte. Sektorlovgivning kan også ha stor betydning. For eksempel vil behovet for lagring av opplysninger for helse- og sikkerhetsformål være forskjellig for arbeidstakere som til daglig jobber med helsefarlig materiale enn for arbeidstakere som har kontorjobb.

Behovet for å lagre personopplysningene vil ofte avta jo lenger tid som går. Noen opplysninger kan imidlertid være nødvendig å oppbevare i hele ansettelsesperioden, og noen vil det også være nødvendig å lagre etter avslutning av arbeidsforholdet.

Lagringstiden kan også påvirkes av hvordan arbeidsforholdet har vært og hvordan det avsluttes. Hvis arbeidsforholdet har vært konfliktfylt og arbeidstaker har blitt sagt opp, kan videre lagring av personopplysninger være nødvendig for å fastsette gjøre gjeldende eller forsvare rettskrav om erstatning for usaklig oppsigelse, trakassering, illojalitet etc.

Formålet med behandlingen av de aktuelle opplysningene, samt hva som er det rettslige grunnlaget for innhentingen, er sentralt i vurderingen av når opplysninger skal slettes. For behandling av opplysninger som er relatert til personaladministrasjon vil avslutningen av arbeidsforholdet som regel markere en yttergrense for akseptabel lagringstid for opplysninger som lagres for slike formål. Behandlinger som er nødvendige for å oppfylle forpliktelser i en arbeidskontrakt vil også i stor grad være relatert til at det foreligger et ansettelsesforhold. Det vil for eksempel være nødvendig å behandle noen personopplysninger ved lønnsutbetaling til den ansatte.

Det er viktig å være oppmerksom på at sletteplikt ikke bare må vurderes etter det opprinnelige formålet. Et nytt formål kan forlenge oppbevaringstiden på de lagrede opplysningene. Det forutsetter imidlertid at dette nye formålet ikke er uforenelig med det opprinnelige, samt at det foreligger et rettslig grunnlag for det nye formålet.

Advarsler, hvor lenge kan de lagres?

Når en ansatt får en advarsel, tilrettevisning, ordensstraff eller lignende, kan det oppstå uenighet mellom arbeidstaker og arbeidsgiver med hensyn til grunnlaget for denne. Dersom arbeidstakeren mener at faktum er uriktig eller ufullstendig og ønsker å skriftliggjøre sine innsigelser bør disse lagres sammen med advarselen.

Advarsler vil som regel bli lagret i personalmappen. Arbeidsgiveren må vurdere hvor lenge det er behov for å lagre advarselen. Utgangspunktet for vurderingen er at personopplysninger ikke skal lagres lenger enn det som er nødvendig.

Aktuelle momenter er hvilke omstendigheter som ligger til grunn for advarselen og om disse har opphørt. Det er imidlertid vanskelig å angi konkrete frister for når opplysningene skal slettes. I lov om statsansatte § 25 (4) er det fastsatt at opplysninger om ordensstraff kan lagres i personalmappen i 5 år. Dette gir en viss veiledning for akseptabel lagringstid av slik type informasjon også ovenfor andre enn statsansatte.

Arbeidsgiveren bør angi konkret hvor lenge advarselen vil bli lagret. Dette for å gi forutsigbarhet for arbeidstakeren.

Opplysningene kan i enkelte tilfeller lagres også etter at arbeidsforholdet er avsluttet. Dersom arbeidstakeren får nye advarsler før lagringsperioden har utløpt kan dette føre til utvidet lagringstid. Om det oppstår en tvist eller arbeidsrettssak mellom en ansatt og arbeidsgiveren, vil advarsler og andre opplysninger av betydning for saken kunne lagres til tvisten er endelig avgjort. Arbeidsgiveren må vurdere behovet for lagring konkret i det enkelte tilfelle.

Offentlige organer må følge kravene til bevaring og kassasjon i arkivloven og arkivforskriften. Dette innebærer blant annet at saker som slettes fra personalmappen ikke automatisk skal fjernes fra arkivet. Slike saker skal behandles i tråd med dette regelverket.

Retting og sletting av opplysninger i personalmappen

Personalmappen kan inneholde en rekke dokumenter og opplysninger om ansatte. Dette kan være faktiske opplysninger eller vurderinger av arbeidstaker.

Det kan finnes personopplysninger i personalmappen som arbeidstaker mener er uriktig eller unødvendig. I så fall kan arbeidstaker kreve opplysningene rettet eller slettet.

Les mer om retting og sletting

Dersom arbeidsgiver er et offentlig organ

Arkivloven regulerer og stiller krav til offentlige organers arkivering og lagring av dokumenter. Alle arbeidsgivere som er underlagt arkivloven må følge kravene som stilles der til arkivering og lagring. Arkiveringsplikten vil gå foran sletteplikten i personopplysningsloven. Arkivlovens krav om langtidslagring bør kompenseres med enda strengere krav til tilgangskontroll.

For avklaring av hvilke plikter arkivloven pålegger offentlige arbeidsgivere kan Riksarkivaren kontaktes.

Informasjonssikkerhet og tilgangskontroll

Personalmapper vil kunne inneholde opplysninger som den enkelte anser som høyst personlig informasjon, kanskje også sensitive personopplysninger. Dette betyr at innholdet kun skal være tilgjengelig for en meget begrenset krets av personer, og beskyttes mot uautorisert innsyn. Bare personer med tjenstlig behov for opplysningene skal ha tilgang. Uavhengig av om slike mapper lagres i et fysisk eller elektronisk format må det derfor sørges for god informasjonssikkerhet.

Tradisjonelle fysiske arkivmapper må oppbevares i låst arkivskap. Det bør videre vurderes om advarsler og lignende, samt dokumenter som inneholder følsomme helseopplysninger, skal lagres i lukkede konvolutter. Dette vil være et effektivt tiltak mot snoking.

Elektroniske registre må lagres på en tilstrekkelig sikker måte, og det må iverksettes tiltak som hindrer at data kan komme på avveier. Dette kan for eksempel være etablering av brannmurer, logging av oppslag eller tilgangskontroll. Tiltakene skal bidra til at opplysninger bare hentes frem når det vurderes som nødvendig og kun av de som har behov for opplysningene.

Personalmappene skal bare være tilgjengelig for ansatte som er avhengige av tilgang for å kunne utføre sine arbeidsoppgaver.

Les mer om informasjonssikkerhet

Internkontrollrutiner

Det må etableres skriftlige rutiner som beskriver hvordan personopplysninger håndteres av virksomheten. Kravet om skriftlige rutiner omfatter også behandling av opplysninger om de ansatte. Rutinene må derfor si noe om håndtering av personalmapper.

Utarbeidelse av slike rutiner vil bidra til å skape økt bevissthet om personvern på arbeidsplassen. Ved å utforme klare retningslinjer blir den daglige ivaretakelse av personvernhensyn lettere for den enkelte ansatte. Dette forutsetter at rutinene er tilgjengelige og godt kjent blant de ansatte.

Les mer om plikten til å etablere internkontroll

Innsyn i personalmappe

Som arbeidstaker har du som krav på innsyn i alle personopplysninger om deg, uavhengig av om dokumentene ligger fysisk lagret i personalmappen eller ikke. Retten til innsyn gjelder også dersom arbeidsgiver oppretter såkalte skyggearkiv eller har dobbelt bokføring.

Vanligvis vil du kunne få innsyn ved å henvende deg til nærmeste leder eller til personalavdelingen. Hvis du blir avvist bør du rette en skriftlig henvendelse om innsyn til arbeidsgiveren.

Arbeidsgiveren skal besvare henvendelsen uten ugrunnet opphold og i utgangspunktet senest innen en måned etter mottakelse av innsynskravet. Arbeidsgiver har en snever adgang til å unnta opplysninger og må eventuelt begrunne dette skriftlig med henvisning til unntakshjemmel.

Les mer om retten til innsyn og finn skjema for krav om innsyn

Hvis arbeidsgiveren fremdeles ikke gir deg innsyn, kan du henvende deg til Datatilsynet. Datatilsynet vil da kunne hjelpe til i kontakten med din arbeidsgiver, og være med å vurdere om arbeidsgiveren har rett til å nekte innsyn i den konkrete saken.

Du har ikke rett til innsyn i personalmappen til andre ansatte. Dette følger naturlig av regelen om konfidensiell behandling. Unntak gjelder hvis det foreligger tjenstlig behov for tilgang til opplysningene, det vil si at det tilhører jobben, eller at du har fått samtykke fra den opplysningene gjelder.