Må fysiske personalmapper fra tidligere ansatte destrueres?

Spørsmål: 

– Er det slik at fysiske personalmapper fra tidligere ansatte også må gjennomgås og destrueres, i henhold til reglene om personvern og GDPR, eller gjelder dette kun for digitale personalmapper?

HR medarbeider

Svar: 

– Det korte svaret her er ja – fysiske personalmapper bør gjennomgås og potensielt også slettes. Loven gjelder nemlig også for ikke-automatisert behandling av personopplysninger som inngår eller skal inngå i et register. Fysiske personalmapper er som regel strukturert og sortert etter personen det gjelder, og loven kommer derfor til anvendelse.

Innholdet i personalmappene varierer fra bedrift til bedrift, så det er vanskelig å uttale seg konkret angående om alt innholdet i deres tilfelle må slettes.

Generelt må det foretas en konkret vurdering knyttet til lagringstiden for ulike dokumenter / kategorier av personopplysninger. Min anbefaling er å kategorisere innholdet i personalmappene og vurdere hva bedriften har et behov for å beholde og hvorfor. Lagringstiden må samsvare med formålet med behandlingen og med behandlingsgrunnlaget. Deres vurderinger og konklusjoner bør også skrives ned i en behandlingsprotokoll.

SBDL v/advokatfullmektig Helene Larsen Brustad