Saken i personvernnemnda gjaldt en arbeidstaker som hadde fått to tilrettevisning (advarsel) fra arbeidsgiver som ble lagret i personalmappen (arbeidsgiver var offentlig virksomhet så arbeidsgiverforholdet ble regulert av tjenestemannsloven). Tilrettevisningene hadde vært lagret i personalmappen i hhv 7 år og 3 år og 9 mndr. Datatilsynet hadde avslått mannens begjæring om å få slettet tilrettevisningene. Personvernnemnda ga mannen rett til å få opplysningene slettet.
Når saken kom opp for nemnda var GDPR trådt i kraft, og nemnda fant at tilrettevisningene skulle slettes etter artikkel 17 nr. 1 bokstav a) og c) – altså personopplysningene ikke lenger er nødvendig for formålet som de ble samlet inn eller behandlet for, og at den registrerte kunne protestere mot behandlingen av grunner til vedkommendes særlige situasjon. Årsaken var at arbeidstakeren hadde protestert på arbeidsgiverens behandling etter artikkel 21 nr. 1, og at det var snakk om tilrettevisninger og ikke ordensstraff (som er mer alvorlig).
Nemnda presiserte også at arbeidsgiver skal vurdere konkret av hvor lenge personopplysninger skal lagres, og skal kunne påvise konkret og reell grunn til fortsatt lagring. Det er ikke nok å vise til generell personaladministrasjon og et potensielt behov ved en mulig, helt uspesifisert fremtidig behov, om det da ikke er snakk om svært alvorlige forhold eller situasjoner hvor det kan være behov for flere tilrettevisninger.
Saken viser dermed at personopplysninger kan ikke lagres for udefinerte fremtidige forhold, om det ikke er alvorlige forhold det gjelder. Og arbeidsgiver må derfor vurdere i den enkelte sak hvor lenge de enkelte opplysninger skal oppbevares.