Можно ли использовать ПДн сотрудников для KPI?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, использовать персональные данные сотрудников для целей оценки эффективности (KPI) можно, но только в рамках трудовых отношений и с соблюдением требований ФЗ-152. Работодатель вправе собирать и анализировать показатели работы сотрудников, если это необходимо для исполнения трудового договора, расчёта заработной платы, премий и других обязательств.

Когда использование ПДн сотрудников для KPI законно:

- если данные применяются строго для целей трудовых отношений (оценка выполнения обязанностей, начисление бонусов, формирование кадрового резерва);
- если в локальных нормативных актах (Положение о персональных данных, Положение о KPI, Правила внутреннего трудового распорядка) закреплён порядок обработки таких данных;
-если работники ознакомлены с этими документами под подпись.

Когда возникает риск нарушения:

- если данные сотрудников используются сверх целей трудовых отношений (например, публикация KPI с именами в открытом доступе);
- если результаты оценки содержат персональные данные и передаются третьим лицам без согласия;
- если компания хранит и анализирует избыточные сведения, не относящиеся к выполнению трудовой функции.

Обоснование по законодательству

• Ст. 3 ФЗ-152 — ПДн — любая информация о физическом лице.
• Ст. 6 ФЗ-152 — допускает обработку ПДн без согласия, если это необходимо для исполнения договора, стороной которого является субъект.
• Ст. 86 ТК РФ — работодатель обрабатывает персональные данные работника только для целей, связанных с трудовыми отношениями.
• Ст. 88 ТК РФ — работодатель обязан обеспечить конфиденциальность персональных данных работника.
• Ст. 13.11 КоАП РФ — нарушение правил обработки ПДн влечёт ответственность.

Практика и позиция Роскомнадзора

Роскомнадзор в своих разъяснениях отмечает, что KPI сами по себе не нарушают ФЗ-152, если они применяются в рамках трудовых отношений. Однако нарушения часто возникают при:

• публикации персонализированных рейтингов сотрудников на стендах или сайтах компании без согласия;
• передаче данных сотрудников внешним консультантам без оформления договора поручения;
• хранении избыточной информации в KPI-системах (например, личных сведений, не связанных с работой).

Важный момент для работодателей

Использовать данные сотрудников для KPI можно без отдельного согласия, так как это часть трудовых отношений. Но как только компания выходит за рамки ТК РФ (например, использует показатели в маркетинге или публикует их для клиентов), требуется письменное согласие работника.

Рекомендации и выводы

Да, работодатель может использовать ПДн сотрудников для KPI, если это связано с трудовыми обязанностями. Чтобы действовать корректно, необходимо:

1. Закрепить порядок обработки KPI в локальных актах (например, Положение о KPI).
2. Ознакомить работников с этими документами под подпись.
3. Исключить публикацию персонализированных KPI без согласия.
4. Обеспечить защиту систем, где хранятся данные сотрудников.
5. Включить такие процессы в комплект документов по ФЗ-152.

Компания ICTech поможет вашей организации оформить Положение о KPI с учётом ФЗ-152, выстроить процесс обработки данных сотрудников и подготовить полный пакет документов. Это позволит использовать KPI законно и без риска претензий со стороны Роскомнадзора.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге