Какие персданные требуются в целях идентификации пользователя, которому компания предоставляет доступ к информационным системам, в том числе доступ в Интернет? Есть ли законодательные требования к составу/объему таких данных для идентификации?

Требований законодательства прямо не установлено.

При этом, в силу ст. 5 ФЗ «О персональных данных» содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

Исходя из найденной в системе КонсультантПлюс судебной практики, можно сделать вывод, что организация вправе сама установить какие персональные данные требуются для идентификации пользователя для доступа в Интернет.

 

Обоснование

В соответствии с пунктом 1 статьи 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). IP-адрес может быть отнесен к персональным данным, поскольку идентификация пользователя сети Интернет осуществляется через установление его персональных данных по IP-адресу, назначаемому оператором связи и закрепленному за пользовательским оборудованием при заключении договора на оказание услуг доступа к сети Интернет.

{Постановление Девятого арбитражного апелляционного суда от 04.08.2025 N 09АП-25333/2025 по делу N А40-274299/2024 {КонсультантПлюс}}

 

Пунктом 2.1.3 Порядка предусмотрено, что доступ к личному кабинету осуществляется посредством идентификации и аутентификации одним из двух возможных способов: с использованием подтвержденной учетной записи физического лица ЕСИА; с использованием имеющейся у пользователя усиленной квалифицированной электронной подписи.

{Кассационное определение Шестого кассационного суда общей юрисдикции от 03.05.2023 N 88а-10516/2023 (УИД 03RS0003-01-2022-000749-42) {КонсультантПлюс}}
 

Согласно перечню сведений, составляющих коммерческую тайну ООО "Яндекс.Такси", утвержденному приказом N 38/О от 31 августа 2018 года к сведениям, составляющим коммерческую тайну относятся, в том числе: персональная информация пользователей интернет-сервисов компании (имена, фамилии и другие данные, позволяющие идентифицировать пользователей), а также данные о фактах доступа к интернет-сервисам конкретных пользователей (пункт 1 раздела "Иные сведения"); персональная информация, включая персональные данные лиц, состоящих с компанией или с любой компанией группы лиц "Яндекс" в трудовых или гражданско-правовых отношениях (пункт 2 раздела "Иные сведения") (том 1 л.д. 194-195).

Апелляционное определение Омского областного суда от 06.05.2024 N 33-2666/2024 (УИД 55RS0002-01-2023-003308-58) {КонсультантПлюс}

 

27. При заключении договора об оказании услуг связи, за исключением срочного договора об оказании разовых телематических услуг связи в пунктах коллективного доступа, оператор связи обязан идентифицировать лицо, имеющее намерение заключить договор об оказании услуг связи, установив следующие данные:

а) в отношении физического лица - фамилию, имя, отчество (при наличии), дату рождения, место жительства, реквизиты документа, удостоверяющего личность;
Постановление Правительства РФ от 31.12.2021 N 2607 (ред. от 30.09.2023) "Об утверждении Правил оказания телематических услуг связи" {КонсультантПлюс}
 

5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
ч. 5 ст. 5, Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 24.06.2025) "О персональных данных" {КонсультантПлюс}