Navigation
GDPR > Статья 9. Обработка специальных категорий персональных данных
Download PDF

Статья 9 GDPR. Обработка специальных категорий персональных данных

1. Запрещается обработка персональных данных, раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профессиональном союзе, а также обработка генетических данных, биометрических данных в целях однозначной идентификации физического лица, данных, касающихся здоровья, половой жизни или сексуальной ориентации физического лица.

Guidelines & Case Law Recitals

(51) Персональные данные, которые по своей природе особенно чувствительны к фундаментальным правам и свободам, заслуживают особой защиты, поскольку контекст их обработки может создать значительные риски для фундаментальных прав и свобод. Такие персональные данные должны включать информацию, раскрывающую расовое и этническое происхождение, при этом использование термина «расовое происхождение» в настоящем Регламенте не означает, что Союз поддерживает подходы, которые пытаются установить существование отдельных человеческих рас. Обработка фотографий не должна систематически считаться обработкой особых категорий персональных данных, так как они охвачены определением понятия «биометрические данные» только, когда они обрабатываются посредством специальных технических средств, позволяющих осуществить уникальную идентификацию или аутентичность физического лица. Такие персональные данные не должны обрабатываться за исключением случаев, предусмотренных настоящим Регламентом, когда такая обработка разрешена. Следует принять во внимание, что государства-члены могут в соответствии со своим правом установить конкретные положения о защите персональных данных, чтобы адаптировать нормы Регламента в отношении соблюдения правовых обязательств или выполнения задач, осуществляемых в общественных интересах или в рамках должностных полномочий, возложенных на контролёра. В дополнение к конкретным требованиям для указанной обработки должны применяться общие принципы и иные положения настоящего Регламента, в том числе, относительно условий правомерности обработки. Изъятия из общего запрета на обработку таких особых категорий персональных данных должны быть чётко предусмотрены, в том числе когда субъект данных даёт своё явное согласие или в отношении конкретных потребностей, в частности, когда обработка осуществляется в ходе правомерной деятельность конкретных ассоциаций или фондов, целью которых является обеспечение осуществления фундаментальных свобод.

2. Параграф 1 не применяется, в одном из следующих случаев:

Recitals

(52) Изъятия из запрета на обработку особых категорий персональных данных также должны быть разрешены, если они предусмотрены в праве Союза или праве государства-члена и обладают надлежащими гарантиями защиты персональных данных и других фундаментальных прав, если это оправдано с точки зрения общественного интереса, в частности, в отношении обработки персональных данных в области трудового права, права социальной защиты (включая пенсии), и в целях обеспечения безопасности, мониторинга здоровья и предупреждения заболеваний, профилактики или борьбы с инфекционными заболеваниями и других серьёзных угроз здоровью. Такое изъятие может быть сделано для целей здравоохранения и управления медицинскими услугами, особенно в целях гарантии качества и экономической эффективности методов, используемых для урегулирования претензий в системе медицинского страхования, или для архивных целей в интересах общества, для научных или исторических исследований или для статистических целей. Изъятие также может быть сделано для обработки персональных данных, необходимой для обоснования, исполнения или оспаривания исковых требований, в рамках судебной процедуры или в рамках административных или внесудебной процедур.

(53) Особые категории персональных данных, нуждающиеся в большей защите, должны обрабатываться в целях, связанных со здоровьем, только в интересах физических лиц или общества в целом, в том числе, в контексте управления медицинскими или социальными услугами и системами, включая обработку таких персональных данных центральными национальными органами здравоохранения в целях контроля качества, информации по управлению, в том числе общего национального и местного надзора за системой медицинского и социального обслуживания, а также в целях обеспечения непрерывности медицинского обслуживания или социального обеспечения, трансграничного медицинского обслуживания, или в целях обеспечения безопасности, мониторинга здоровья и профилактики заболеваний; в архивных целях в общественных интересах, в целях научного или исторического исследования, или в статистических целях, на основании права Союза или права государства-члена, которое должно соответствовать цели общественного интереса, равно и в отношении исследований, проводимых по причинам общественного интереса в области общественного здравоохранения. Вследствие этого, настоящий Регламент должен предусматривать гармонизированные условия для обработки особых категорий персональных данных, связанных со здоровьем, в отношении особых потребностей, в частности, если обработка данных осуществляется в конкретных, связанных со здоровьем, целях лицами, которые несут юридические обязательства по соблюдению профессиональной тайны. Право Союза или право государства-члена должно предусматривать конкретные и приемлемые средства по защите фундаментальных прав и персональных данных физических лиц. Государства-члены могут сохранять или вводить дополнительные условия, в том числе ограничения, в отношении обработки генетических данных, биометрических данных или данных, касающихся здоровья. Однако это не должно препятствовать свободному движению персональных данных в Союза, если указанные условия применяются в отношении трансграничной обработки этих данных.

(54) По причинам общественного интереса в области общественного здравоохранения может быть необходима обработка особых категорий персональных данных без согласия субъекта данных. Указанная обработка должна осуществляться в соответствии с приемлемыми и конкретными средствами по защите прав и свобод физических лиц. В данном контексте понятие «общественное здравоохранение» должно пониматься в соответствии с Регламентом (ЕС) 1338/2008 Европейского Парламента и Совета ЕС [11] и включать в себя все элементы, связанные со здоровьем, а именно: состояние здоровья, в том числе заболеваемость и нетрудоспособность; факторы, влияющие на состояние здоровья; потребности в медицинском обслуживании; ресурсы, отнесённые к медицинскому обслуживанию; специальный и общий доступ к медицинскому обслуживанию; соответствующие расходы и финансирование, а также причины смертности. Указанная обработка персональных данных, касающихся здоровья, по причинам общественного интереса не должна приводить к тому, что персональные данные будут обрабатываться в иных целях третьими лицами, например, нанимателями или страховыми и банковскими компаниями.

[11] Регламент (EC) 1338/2008 Европейского Парламента и Совета ЕС от 16 декабря 2008 г. о статистике Сообщества в отношении общественного здравоохранения и безопасности на рабочих местах (Официальный журнал Европейского союза N L 354, 31.12.2008, стр. 70). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2008:354:TOC

(55) Вместе с тем, обработка персональных данных государственными органами для достижения целей, предусмотренных конституционным или международным публичным правом, а также целей официально признанных религиозных организаций, осуществляется на основании общественного интереса.

(56) Если в ходе предвыборной деятельности функционирование демократической системы в государстве-члене требует, чтобы политические партии собирали персональные данные о политических взглядах физических лиц, обработка таких персональных данных может быть разрешена на основании общественного интереса, при условии наличия соответствующих гарантий.

(a) субъект данных выразил отчетливое согласие на обработку этих персональных данных для одной или нескольких обозначенных целей, за исключением случаев, когда законодательство Союза или государства-члена предусматривает, что субъект данных не может снять запрет, указанный в параграфе 1;

Expert commentary
Author
Louis-Philippe Gratton
Louis-Philippe Gratton PhD, LLM
Privacy Expert
ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 9(2)(a) GDPR:

7.2.4 Obtain and record consent

Control

The organization should obtain and record consent from PII principals according to the documented processes.

Implementation guidance

The organization should obtain and record consent from PII principals in such a way that it can provide on request details of the consent provided (for example the time that consent was provided, the identification of the PII principal, and the consent statement).

[…]


to read the full text

Related

(b) обработка необходима в целях исполнения обязательств и определенных прав контролёра или субъекта данных в сфере трудового права, права социального обеспечения и социальной защиты в той мере, насколько это допускается законодательством Союза или государства-члена или коллективным договором согласно законодательству государства-члена, предусматривающему соответствующие средства защиты фундаментальных прав и интересов субъекта данных;

Expert commentary
Author
Louis-Philippe Gratton
Louis-Philippe Gratton PhD, LLM
Privacy Expert

(c) обработка необходима для защиты жизненных интересов субъекта данных, либо другого физического лица, когда субъект данных физически или юридически не способен дать согласие;

Expert commentary
Author
Louis-Philippe Gratton
Louis-Philippe Gratton PhD, LLM
Privacy Expert

(d) обработка осуществляется в политических, философских, религиозных или профсоюзных целях в рамках легитимной деятельности фонда, объединения или некоммерческой организации с соблюдением соответствующих гарантий при условии, что обработка касается исключительно членов, бывших членов организации или лицам, которые осуществляют постоянный контакт с нею в связи с ее целями, и что персональные данные не разглашаются за пределы данного органа без согласия на это субъекта персональных данных;

Expert commentary
Author
Louis-Philippe Gratton
Louis-Philippe Gratton PhD, LLM
Privacy Expert

(e) обработка касается персональных данных, которые субъект данных явным образом сделал публичными;

Expert commentary

The European legislator introduced an exception – for special categories of personal data which are manifestly made public by a person – that seems completely logical at first glance. If a person willingly shares her/his data, it sounds reasonable to allow the processing of these data by third parties. On second thought, many questions come to mind. What does “manifestly” mean? When are data “public”? How to determine if a person intended to make her/his data public?

The exception does not concern all special categories of data publicly available. It applies strictly to data that an individual personally disclosed. It must be a publication that results from a clear and voluntary decision from an individual to disclose information about her/him. It should not be an accidental, inadvertent, involuntary or unintentional disclosure. It should be the result of a free and deliberate decision. The individual must be fully conscious that s/he made her/his data public. Thus, it excludes leaked data, data accessible after a security breach or data shared unintentionally or by inadvertence…

[…]


to read the full text

Author
Louis-Philippe Gratton
Louis-Philippe Gratton PhD, LLM
Privacy Expert
Guidelines & Case Law

(f) обработка необходима для заявления, исполнения или защиты законных требований или в рамках осуществления правосудия судами;

Expert commentary
Author
Louis-Philippe Gratton
Louis-Philippe Gratton PhD, LLM
Privacy Expert

(g) обработка необходима из соображений важного публичного интереса на основании законодательства Союза или государства-члена, которые должны быть пропорциональны преследуемой цели, должны соответствовать сути права на защиту персональных данных и предусматривать подходящие и конкретные меры для защиты фундаментальных прав и интересов субъекта данных;

Expert commentary
Author
Louis-Philippe Gratton
Louis-Philippe Gratton PhD, LLM
Privacy Expert

(h) обработка необходима в целях профилактической или профессиональной медицины, для оценки трудоспособности работника, для диагностики медицинского состояния, предоставления медицинской или социальной помощи или лечения или для управления системами и услугами здравоохранения и социального обеспечения на основании законодательства Союза или государства-члена или на основании договора с работником здравоохранения и в соответствии с условиями и гарантиями, указанными в параграфе 3.

Expert commentary
Author
Louis-Philippe Gratton
Louis-Philippe Gratton PhD, LLM
Privacy Expert
Guidelines & Case Law

(i) обработка необходима по причинам публичного интереса в области общественного здравоохранения, например, защиты от серьезных трансграничных угроз здоровью или для обеспечения высоких стандартов качества и надежности медицинского обслуживания и лекарственных средств или медицинской техники, на основании законодательства Союза или государства-члена, которое предусматривает приемлемые и конкретные меры для защиты прав и свобод субъекта данных, в частности, профессиональной тайны;

Expert commentary
Author
Louis-Philippe Gratton
Louis-Philippe Gratton PhD, LLM
Privacy Expert
Guidelines & Case Law

(j) обработка необходима для архивных целей информации в публичном интересе, для научных или исторических исследовательских целей, либо для статистических целей в соответствии со Статьей 89(1) на основании законодательства Союза или государства-члена, которые должны быть пропорциональны преследуемой цели, должны соответствовать сущности права на защиту персональных данных и обеспечивать приемлемые и конкретные средства для защиты фундаментальных прав и интересов субъекта данных;

Expert commentary
Author
Louis-Philippe Gratton
Louis-Philippe Gratton PhD, LLM
Privacy Expert
Guidelines & Case Law Related

3. Персональные данные, указанные в параграфе 1, могут обрабатываться для целей, указанных в пункте (h) параграфа 2, когда указанные данные обрабатываются специалистом, который обязан соблюдать профессиональную тайну согласно законодательству Союза или государства-члена или согласно нормам, установленным национальными компетентными органами, или когда обработка осуществляется иным лицом, которое также обязано соблюдать тайну согласно законодательству Союза или государства-члена или согласно правилам, установленным национальными компетентными органами.

4. Государства-члены могут сохранять или вводить дополнительные условия, в том числе ограничения, в отношении обработки генетических данных, биометрических данных или данных о здоровье.

Expert commentary ISO 27701 Recitals Guidelines & Case Law Leave a comment
Expert commentary

Some personal data, because of their sensitive nature, belong to special categories in the General Data Protection Regulation. Processing data mentioned in one of these eight (8) categories poses indeed “significant risks to the fundamental rights and freedoms” of an individual (recital 51). Risks vary depending on the type of data involved. Paragraph one of article 9 enumerates all types of data covered, but they are not readily intelligible. A visual list, broken down into eight points, helps to clarify the scope of the provision and what data are considered “special” by the European regulation:

  1. data disclosing racial or ethnic origin;
  2. data divulging political opinions;
  3. data revealing religious or philosophical beliefs;
  4. data about trade union membership;
  5. genetic data;
  6. biometric data used to identify a person;
  7. data concerning health; and
  8. data relating to a person’s sex life or sexual orientation.

[…]


to read the full text

Author
Louis-Philippe Gratton
Louis-Philippe Gratton PhD, LLM
Privacy Expert
ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 9 GDPR:

7.2.2 Identify lawful basis

Control

The organization should determine, document and comply with the relevant lawful basis for the processing of PII for the identified purposes.

Implementation guidance

Some jurisdictions require the organization to be able to demonstrate that the lawfulness of processing was duly established before the processing.

[…]


to read the full text

Recitals

(51) Персональные данные, которые по своей природе особенно чувствительны к фундаментальным правам и свободам, заслуживают особой защиты, поскольку контекст их обработки может создать значительные риски для фундаментальных прав и свобод. Такие персональные данные должны включать информацию, раскрывающую расовое и этническое происхождение, при этом использование термина «расовое происхождение» в настоящем Регламенте не означает, что Союз поддерживает подходы, которые пытаются установить существование отдельных человеческих рас. Обработка фотографий не должна систематически считаться обработкой особых категорий персональных данных, так как они охвачены определением понятия «биометрические данные» только, когда они обрабатываются посредством специальных технических средств, позволяющих осуществить уникальную идентификацию или аутентичность физического лица. Такие персональные данные не должны обрабатываться за исключением случаев, предусмотренных настоящим Регламентом, когда такая обработка разрешена. Следует принять во внимание, что государства-члены могут в соответствии со своим правом установить конкретные положения о защите персональных данных, чтобы адаптировать нормы Регламента в отношении соблюдения правовых обязательств или выполнения задач, осуществляемых в общественных интересах или в рамках должностных полномочий, возложенных на контролёра. В дополнение к конкретным требованиям для указанной обработки должны применяться общие принципы и иные положения настоящего Регламента, в том числе, относительно условий правомерности обработки. Изъятия из общего запрета на обработку таких особых категорий персональных данных должны быть чётко предусмотрены, в том числе когда субъект данных даёт своё явное согласие или в отношении конкретных потребностей, в частности, когда обработка осуществляется в ходе правомерной деятельность конкретных ассоциаций или фондов, целью которых является обеспечение осуществления фундаментальных свобод.

(52) Изъятия из запрета на обработку особых категорий персональных данных также должны быть разрешены, если они предусмотрены в праве Союза или праве государства-члена и обладают надлежащими гарантиями защиты персональных данных и других фундаментальных прав, если это оправдано с точки зрения общественного интереса, в частности, в отношении обработки персональных данных в области трудового права, права социальной защиты (включая пенсии), и в целях обеспечения безопасности, мониторинга здоровья и предупреждения заболеваний, профилактики или борьбы с инфекционными заболеваниями и других серьёзных угроз здоровью. Такое изъятие может быть сделано для целей здравоохранения и управления медицинскими услугами, особенно в целях гарантии качества и экономической эффективности методов, используемых для урегулирования претензий в системе медицинского страхования, или для архивных целей в интересах общества, для научных или исторических исследований или для статистических целей. Изъятие также может быть сделано для обработки персональных данных, необходимой для обоснования, исполнения или оспаривания исковых требований, в рамках судебной процедуры или в рамках административных или внесудебной процедур.

(53) Особые категории персональных данных, нуждающиеся в большей защите, должны обрабатываться в целях, связанных со здоровьем, только в интересах физических лиц или общества в целом, в том числе, в контексте управления медицинскими или социальными услугами и системами, включая обработку таких персональных данных центральными национальными органами здравоохранения в целях контроля качества, информации по управлению, в том числе общего национального и местного надзора за системой медицинского и социального обслуживания, а также в целях обеспечения непрерывности медицинского обслуживания или социального обеспечения, трансграничного медицинского обслуживания, или в целях обеспечения безопасности, мониторинга здоровья и профилактики заболеваний; в архивных целях в общественных интересах, в целях научного или исторического исследования, или в статистических целях, на основании права Союза или права государства-члена, которое должно соответствовать цели общественного интереса, равно и в отношении исследований, проводимых по причинам общественного интереса в области общественного здравоохранения. Вследствие этого, настоящий Регламент должен предусматривать гармонизированные условия для обработки особых категорий персональных данных, связанных со здоровьем, в отношении особых потребностей, в частности, если обработка данных осуществляется в конкретных, связанных со здоровьем, целях лицами, которые несут юридические обязательства по соблюдению профессиональной тайны. Право Союза или право государства-члена должно предусматривать конкретные и приемлемые средства по защите фундаментальных прав и персональных данных физических лиц. Государства-члены могут сохранять или вводить дополнительные условия, в том числе ограничения, в отношении обработки генетических данных, биометрических данных или данных, касающихся здоровья. Однако это не должно препятствовать свободному движению персональных данных в Союза, если указанные условия применяются в отношении трансграничной обработки этих данных.

(54) По причинам общественного интереса в области общественного здравоохранения может быть необходима обработка особых категорий персональных данных без согласия субъекта данных. Указанная обработка должна осуществляться в соответствии с приемлемыми и конкретными средствами по защите прав и свобод физических лиц. В данном контексте понятие «общественное здравоохранение» должно пониматься в соответствии с Регламентом (ЕС) 1338/2008 Европейского Парламента и Совета ЕС [11] и включать в себя все элементы, связанные со здоровьем, а именно: состояние здоровья, в том числе заболеваемость и нетрудоспособность; факторы, влияющие на состояние здоровья; потребности в медицинском обслуживании; ресурсы, отнесённые к медицинскому обслуживанию; специальный и общий доступ к медицинскому обслуживанию; соответствующие расходы и финансирование, а также причины смертности. Указанная обработка персональных данных, касающихся здоровья, по причинам общественного интереса не должна приводить к тому, что персональные данные будут обрабатываться в иных целях третьими лицами, например, нанимателями или страховыми и банковскими компаниями.

[11] Регламент (EC) 1338/2008 Европейского Парламента и Совета ЕС от 16 декабря 2008 г. о статистике Сообщества в отношении общественного здравоохранения и безопасности на рабочих местах (Официальный журнал Европейского союза N L 354, 31.12.2008, стр. 70). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2008:354:TOC

(55) Вместе с тем, обработка персональных данных государственными органами для достижения целей, предусмотренных конституционным или международным публичным правом, а также целей официально признанных религиозных организаций, осуществляется на основании общественного интереса.

(56) Если в ходе предвыборной деятельности функционирование демократической системы в государстве-члене требует, чтобы политические партии собирали персональные данные о политических взглядах физических лиц, обработка таких персональных данных может быть разрешена на основании общественного интереса, при условии наличия соответствующих гарантий.

Guidelines & Case Law Leave a comment
[js-disqus]