Перейти до основного вмісту
AGENTIS Legal Platform

Особливі категорії даних 2026 — ст. 9 GDPR ТОВ ФОП | AGENTIS

Оновлено: 10.05.2026·Правова база: ст. 9 GDPR, ст. 7 ЗУ № 2297-VI, ст. 28 GDPR

Коротка відповідь

Особливі категорії персональних даних за ст. 9 Регламенту (ЄС) 2016/679 (GDPR) + ст.

Потрібен документ для вашої ситуації? Створіть готовий договір за 5 хвилин — з реквізитами, обов’язковими статтями і коректною формою.

Створити документ →

Особливі категорії персональних даних за ст. 9 Регламенту (ЄС) 2016/679 (GDPR) + ст. 7 Закону України «Про захист персональних даних» від 01.06.2010 № 2297-VI — це дані, обробка яких заборонена за замовчуванням і дозволяється лише за наявності одного з 10 винятків ч. 2 ст. 9 GDPR. До них належать: расова/етнічна належність, політичні погляди, релігійні/філософські переконання, членство в профспілках, генетичні дані, біометричні дані для унікальної ідентифікації, дані про здоров'я, статеве життя/орієнтацію. Для українського ТОВ/ФОП, що обробляє special categories у DPA — посилений захист, явна письмова згода, DPIA, restricted access, окремий repository з encrypted storage.

Які дані — special categories

Категорія Приклад Підстава для обробки (ст. 9(2) GDPR)
Расова/етнічна належність demographic forms у DEI initiatives, бенефіціари (a) явна згода / (b) employment law
Політичні погляди political organizations members, voter records (a) явна згода / (d) non-profit
Релігійні/філософські переконання members of religious organizations, halal/kosher preferences (a) явна згода / (d) non-profit
Членство в профспілках trade union membership records (b) employment law / (d) non-profit
Генетичні дані DNA testing results, паспорти здоров'я (genome) (a) явна згода / (h) preventive medicine
Біометричні дані для unique identification face recognition (clock-in), fingerprint, voice print, iris scan (a) явна згода / (b) employment + DPIA
Дані про здоров'я медогляди, sick leave reasons, інвалідність, вагітність, історія хвороби (b) employment law / (h) medical care / (i) public health
Статеве життя / орієнтація gender identity у HR, sexual orientation у dating apps (a) явна згода / (e) public data

Critical: ст. 7 ЗУ № 2297-VI має дещо вужчий перелік, що відрізняється від GDPR ст. 9 — українське законодавство додатково включає факт притягнення до юридичної відповідальності (criminal records). Для harmonization — застосовуйте strictest standard з обох.

10 винятків ч. 2 ст. 9 GDPR — коли можна обробляти

  1. (a) Явна згода (explicit consent) — найпоширеніша підстава для marketing/research. Має бути: специфічна, інформована, freely given, written/electronic.
  2. (b) Employment law / соціальне забезпечення — для HR-цілей (медогляди, sick leave, benefits).
  3. (c) Vital interests — захист життя суб'єкта або іншої особи (ER medicine).
  4. (d) Non-profit organizations — обробка даних членів non-profit з political/religious/philosophical мисіями.
  5. (e) Manifestly made public — суб'єкт сам зробив дані public (наприклад, public political profile).
  6. (f) Legal claims — для establishment, exercise, defense legal claims.
  7. (g) Substantial public interest — на основі EU/Member State law (security checks, fraud prevention).
  8. (h) Preventive/medical care — для health professionals під obligation of professional secrecy.
  9. (i) Public health — епідемії, public health monitoring (e.g., COVID).
  10. (j) Archiving / scientific research / statistical — з safeguards.

Покроково: обробка special categories у DPA

  1. Identify special categories. Inventarization який дані обробляються + which counts як special category.
  2. Determine legal basis. Map кожну категорію до one з 10 винятків ст. 9(2). Якщо немає підстави → не обробляти.
  3. DPIA (ст. 35 GDPR). Обов'язкова для large-scale processing of special categories. DPIA template — від EDPB або CNIL.
  4. Явна згода (якщо застосовується). Form з checkbox NOT pre-ticked + clear language + specific purposes + withdrawal mechanism + audit log timestamps + IP.
  5. Restricted access у DPA. Annex 3 — RBAC: тільки HR Director + medical advisor + DPO мають доступ до health data; logged accesses.
  6. Encrypted storage. AES-256 minimum + separate key management + access logs.
  7. Pseudonymisation де можливо. Приклад: лікарняні листи через token замість імені у HR-tool.
  8. Sub-процесори — strict. Для special categories sub-процесор має extra-strong контракт (DPA-mirroring + audit + breach SLA 24h).
  9. Cross-border — посилений TIA. Special categories до non-adequate країн → enhanced supplementary measures + DPO consultation.
  10. Privacy Notice — explicit. Privacy Notice прямо вказує на обробку special categories + підставу.

Біометричні дані — особливо чутливо 2024-2026

EDPB Guidelines 2024 + CJEU практика 2024-2025:

  • Face recognition for unique identification — special category. Workplace face recognition for clock-in default заборонено.
  • Дозволено лише: 1) явна письмова згода + 2) DPIA + 3) alternative non-biometric option (badge / PIN).
  • "Detection" (face count, mood detection) без identification — НЕ special category, але потрібен legitimate interest + balancing test.
  • Voice prints — special category якщо для identification.
  • Behavior biometrics (typing patterns, mouse) — borderline; consult DPO.

Practice 2024-2025 enforcement:

  • CNIL 2024: штраф €600K школі за face recognition без alternative.
  • AEPD (Іспанія) 2024: штраф €1.2M роботодавцю за fingerprint clock-in без consent + alternative.
  • UODO 2025: ban на бiometric reception у public service офісах.

Health data у HR — критичні правила

Сценарій Підстава Recipe
Періодичний медогляд (КЗпП ст. 169) (b) employment law + ст. 7(2)(1) ЗУ № 2297-VI результати ТІЛЬКИ у sealed file у HR; роботодавець бачить лише "fit/unfit"
Sick leave (b) employment law + (h) medical care reason — medical advisor only; HR бачить лише duration
Disability accommodations (b) employment + (g) substantial public interest restricted access + opt-out from sharing
Pregnancy (b) employment law (KЗпП ст. 178) accommodate + restrict broader sharing
Mental health (a) явна згода (sensitive) + (h) strictest restrictions; DPO consult
COVID/vaccination status (i) public health + (a) consent retention обмежений; delete після пандемії

Часті помилки у обробці special categories

1. Health data у HRIS без segregation. Медогляди, sick leave reasons змішуються з general HR data — порушення ст. 9 + risk breach. Recipe: окремий repository + restricted access.

2. Biometric clock-in без alternative. Face recognition без option choose badge — coercive consent, invalid. Recipe: alternative non-biometric option ВИНОЯТНОЕ.

3. DPIA не проведено. Large-scale special categories без DPIA — порушення ст. 35 GDPR. Recipe: DPIA template + DPO review + supervisory authority consultation якщо high residual risk.

4. Privacy Notice не згадує special categories. Generic notice без specific опису — порушення ст. 13 GDPR. Recipe: окрема секція "Sensitive data" у Privacy Notice.

5. Cross-border special categories без TIA. Health data до US-server без enhanced safeguards. Recipe: TIA + supplementary measures + DPO sign-off.

6. Sub-процесор з access до special categories без strong DPA. Cleaning company "просто" має access до офісу де HR-документи. Recipe: sub-DPA + access training + audit.

7. Retention беспросвітна. Медогляди зберігаються 30 років без основи. Recipe: retention policy per legal basis (КЗпП archival 75 років для personnel files; medical specifically — 5 років після event).

8. Consent для employees як sole basis. Працівник не може freely consent → invalid. Recipe: для employment health — (b) employment law primary, consent — supplementary.

Special categories у Закон № 2297-VI

ст. 7 ЗУ № 2297-VI заборонено обробляти дані про:

  • расову, етнічну належність;
  • політичні, релігійні погляди;
  • членство в партіях/профспілках;
  • стан здоров'я;
  • статеве життя;
  • біометричні дані;
  • генетичні дані;
  • факт притягнення до юридичної відповідальності.

Винятки (за ч. 2 ст. 7):

  1. явна письмова згода суб'єкта;
  2. для медичних цілей;
  3. для статистичних, наукових цілей за умови знеособлення;
  4. ст. 24 КЗпП для трудових відносин;
  5. для громадських/політичних організацій (для членів);
  6. для журналістики/творчої діяльності у public interest;
  7. для запобігання правопорушень;
  8. для здійснення правосуддя;
  9. з відома Уповноваженого ВРУ + інших winwin випадків.

FAQ

Чи health questionnaire при найманні — special category? Так. Тому: 1) обмежити до необхідного minimum (тільки relevant для job — physical demands); 2) (b) employment law підстава; 3) sealed envelope режим; 4) HR Director + medical advisor only access.

Чи фото у CV — biometric data? Загалом — НІ (фото для identification не = biometric data for unique identification). Але якщо ТОВ використовує automated face recognition на фото CV — це обробка біометричних даних → потрібна явна згода.

Чи можу я зберігати дані про вагітність працівниці для accommodations? Так, але: 1) тільки якщо повідомила сама; 2) restricted access (HR Director); 3) для accommodations only; 4) delete після maternity leave end + 1 рік (КЗпП ст. 184).

Що таке pseudonymisation для special categories? Замінити direct identifier (ім'я) на token; original mapping у separate encrypted file з restricted access. Знижує ризик breach, але не = anonymisation (re-identification possible).

AGENTIS — інформаційний інструмент. Не замінює адвоката і не є юридичною консультацією.

Готовий шаблон DPA для обробки особливих категорій + DPIA template — згенеруйте чернетку DPA через AGENTIS.

Пов'язані матеріали:

Зовнішні джерела: GDPR Art. 9 на gdpr-info.eu · EDPB Biometric Guidelines · Закон 2297-VI ст. 7

Потрібен документ для цієї ситуації?

Генератор AGENTIS створить документ за ст. 9 GDPR, ст. 7 ЗУ № 2297-VI з вашими реквізитами і валідаторами.

Створити документ →

Створити документ за вашою ситуацією

Генератор AGENTIS створить договір з вашими реквізитами, валідаторами (ЄДРПОУ, РНОКПП, IBAN) і посиланнями на чинне законодавство України.

Згенерувати документАбо проаналізувати ситуацію →

Інформація носить довідковий характер і не є юридичною консультацією. Для вирішення конкретної ситуації скористайтесь AI-аналізом.