Стаття 9 GDPR особливі категорії 2026 ТОВ ФОП | AGENTIS

Стаття 9 Регламенту (ЄС) 2016/679 (GDPR) — Особливі категорії персональних даних — це норма, що забороняє за замовчуванням обробку sensitive даних і дозволяє її лише за наявності одного з 10 винятків ч. 2. Для українського ТОВ/ФОП у DPA ст. 9 GDPR + ст. 7 Закону України «Про захист персональних даних» від 01.06.2010 № 2297-VI вимагають посиленого захисту: явну письмову згоду, DPIA (ст. 35 GDPR), restricted access, encrypted storage, окремий repository. Special categories — biometric data для unique identification, health, genetic, racial/ethnic, political, religious, trade union, sexual life/orientation.

ст. 9(1) GDPR — заборона за замовчуванням

"Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person's sex life or sexual orientation shall be prohibited."

Список special categories:

1. Расова / етнічна належність (racial / ethnic origin).
2. Політичні погляди (political opinions).
3. Релігійні / філософські переконання (religious / philosophical beliefs).
4. Членство в профспілках (trade union membership).
5. Генетичні дані (genetic data).
6. Біометричні дані для unique identification (biometric data for the purpose of uniquely identifying a natural person).
7. Дані про здоров'я (health data).
8. Дані про статеве життя / орієнтацію (sex life / sexual orientation).

ст. 9(2) — 10 винятків

Обробка дозволяється якщо застосовується один з 10 винятків:

(a) Явна згода (explicit consent)

Subject has given explicit consent to processing of those personal data for one or more specified purposes, except where Union or Member State law provides that prohibition cannot be lifted.

Practice: specific consent + clear language + free withdrawal + audit log.

(b) Employment / soціальне забезпечення

Processing necessary for the carrying out of the obligations and exercising of specific rights of the controller or of the data subject in the field of employment and social security and social protection law.

Use case: медогляди, sick leave, benefits, anti-discrimination.

(c) Vital interests

Processing necessary to protect the vital interests of the data subject or of another natural person where the data subject is physically or legally incapable of giving consent.

Use case: ER medicine, unconscious patient.

(d) Non-profit organizations

Processing in the course of legitimate activities of a foundation, association or any other not-for-profit body with political, philosophical, religious or trade union aim.

Use case: members of religious / political / trade union organizations.

(e) Manifestly made public

Processing relates to personal data which are manifestly made public by the data subject.

Use case: politician's public political views.

(f) Legal claims

Processing necessary for the establishment, exercise or defence of legal claims or whenever courts are acting in their judicial capacity.

Use case: litigation evidence.

(g) Substantial public interest

Processing necessary for reasons of substantial public interest, on the basis of Union or Member State law.

Use case: anti-money-laundering, security clearances, fraud prevention.

(h) Preventive medicine / medical care

Processing necessary for the purposes of preventive or occupational medicine, for the assessment of the working capacity of the employee, medical diagnosis, the provision of health or social care or treatment or the management of health or social care systems and services.

Use case: hospital records, occupational health.

(i) Public health

Processing necessary for reasons of public interest in the area of public health, such as protecting against serious cross-border threats to health.

Use case: epidemic monitoring (COVID).

(j) Archiving / scientific / historical research / statistical

Processing necessary for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes.

Use case: academic research, census.

Біометричні дані — "for unique identification"

Critical distinction:

• Biometric data for unique identification — special category (face recognition, fingerprint matching).
• "Biometric" without unique identification — НЕ special category (face count, mood detection без identity match).

Examples special category:

• Face recognition for clock-in.
• Fingerprint scanner for office entry.
• Voice print authentication.
• Iris scan for high-security access.
• DNA for paternity test.

Examples NOT special category (regular processing):

• Photo (без automated recognition).
• CCTV без identification.
• Mood detection (anger, happiness без identifying person).
• Behavior biometrics (typing patterns).

EDPB Biometric Guidelines 2024:

• Face recognition workplace clock-in default заборонена without alternative.
• Phone face unlock — local processing на device — НЕ обробка контролером.
• Public surveillance with face matching — потребує substantial public interest (ст. 9(2)(g)).

Зв'язок з ст. 35 GDPR — DPIA

Mandatory DPIA для special categories при large-scale processing:

• ст. 35(3)(b) — large-scale processing of special categories.
• DPIA assesses risks + identifies safeguards.
• DPO consult mandatory.
• Якщо residual high risk → prior consultation з supervisory authority (ст. 36).

Зв'язок з ст. 7 ЗУ № 2297-VI — Україна

ст. 7 ЗУ № 2297-VI має подібну структуру до ст. 9 GDPR з кількома відмінностями:

Practice: для України criminal records — special category по ст. 7 (на відміну від GDPR, де це ст. 10).

Винятки ч. 2 ст. 7 ЗУ № 2297-VI

1. явна письмова згода;
2. для медичних цілей;
3. для статистичних, наукових цілей за умови знеособлення;
4. ст. 24 КЗпП для трудових відносин;
5. для громадських/політичних організацій (для членів);
6. для журналістики/творчої діяльності у public interest;
7. для запобігання правопорушень;
8. для здійснення правосуддя;
9. з відома Уповноваженого ВРУ.

Practical implementation для DPA

Annex 1: Description of processing

Якщо обробляються special categories, Annex 1 має explicit:

• Перелік special categories.
• Підстава ст. 9(2) GDPR + ст. 7(2) ЗУ № 2297-VI.
• Specific purposes.
• Retention.
• Restricted access roles.

Annex 3: Technical and organisational measures

• Encryption at rest (AES-256 minimum).
• TLS 1.3 in transit.
• RBAC з restricted access.
• MFA mandatory.
• Audit logs для всіх accesses.
• Pseudonymisation де можливо.
• Separate repository з segregation.

Privacy Notice

Explicit section про special categories:

• Які саме обробляються.
• Підстава.
• Покликання на DPIA (якщо проведений).
• Контакт DPO.

Enforcement приклади 2024-2025

CNIL (Франція) 2024:

• Healthcare: €600K fine за face recognition у школі без alternative.
• Hospital: €5M fine за breach + інadequate security для health data.

AEPD (Іспанія) 2024:

• Employer: €1.2M fine за fingerprint clock-in без alternative.
• Bank: €500K за biometric customer authentication без явної згоди.

UODO (Польща) 2025:

• Ban на biometric reception у public service offices.
• Updated guidance — risk assessment обов'язковий для кожного special category processing.

Часті помилки з special categories

1. Health data у regular HRIS без segregation. Mixing health з general HR — ризик breach + violation. Recipe: окремий repository з encrypted storage.

2. Biometric clock-in без alternative. Coercive consent → invalid. Recipe: alternative non-biometric option (badge/PIN) + явна письмова згода.

3. DPIA не проведено. Large-scale special categories без DPIA — порушення ст. 35. Recipe: DPIA template + DPO review.

4. Privacy Notice без mention special categories. Generic notice. Recipe: explicit section.

5. Sub-процесорі з access без strong DPA. Cleaning company у HR-зону. Recipe: restricted access + access training.

6. Retention без legal basis. Медогляди 30 років. Recipe: medical retention policy 5 років після event.

7. Cross-border special categories без TIA. Health data у US-server. Recipe: TIA + supplementary measures + DPO sign-off.

8. Consent для employment health data. Employee не може freely consent. Recipe: ст. 9(2)(b) employment law primary; consent — supplementary.

Spec кейси

Mental health у workplace

• ст. 9(2)(a) явна згода + ст. 9(2)(h) medical care.
• Strictest restrictions (тільки occupational health professional).
• DPO consult mandatory.

Pregnancy

• ст. 9(2)(b) employment + ст. 178 КЗпП.
• Restricted access (HR Director only).
• Delete після maternity leave end + 1 рік.

COVID/vaccination status

• ст. 9(2)(i) public health.
• Limited duration (during pandemic only).
• Delete після пандемії.

Religious dietary preferences (canteen)

• ст. 9(2)(a) явна згода.
• Voluntary disclosure only.
• Delete після termination.

FAQ

Чи фото на ID badge — biometric data? Загалом — НІ (фото для visual identification != automated unique identification). Якщо ТОВ використовує automated face recognition на фото — це biometric data (ст. 9).

Чи health questionnaire при найманні — special category? Так. Тому: 1) тільки necessary minimum (relevant для job); 2) (b) employment law підстава; 3) sealed envelope режим.

Чи можу зберігати дані про вагітність працівниці? Так, але: 1) вона повідомила сама; 2) restricted access; 3) для accommodations only; 4) delete після maternity leave end + 1 рік.

Що таке pseudonymisation для special categories? Замінити direct identifier (ім'я) на token; original mapping у separate encrypted file. Знижує ризик breach, але не = anonymisation.

AGENTIS — інформаційний інструмент. Не замінює адвоката і не є юридичною консультацією.

Готовий DPA для обробки особливих категорій + DPIA template — згенеруйте чернетку DPA через AGENTIS.

Пов'язані матеріали:

• Pillar: Договір про обробку персональних даних
• Особливі категорії даних — детальний огляд
• HR DPA для працівників
• Закон № 2297-VI — повний огляд

Зовнішні джерела: GDPR Art. 9 на gdpr-info.eu · EDPB Biometric Guidelines · Закон 2297-VI ст. 7