安全合规GDPR --10--GDPR高风险处理类别.pdf

安全合规/GDPR --10--GDPR高风险处理类别 本文为GDPR第30条相关的说明之一 GDPR要求组织在两种情况下评估高风险的存在： 类别 示例/说明 风险缓解 DPIA：是否必须进行数据保护影响评估以及是否需要事先进行DPA咨询 数据泄露：无论是个人，必须数据泄露通知 信用检查 财务评估 欧盟监管机构已经确定了可能导致高风险处理的标准类别，这些标准将引发对DPIA的 行为剖析或评估 需求。下表提供了各类别中的高风险处理的类别，示例以及TrustArc 隐私和数据治理 健康风险评估 框架下的控制类别，这些控制已被确定用于降低每个类别的风险。 基因组测试 就业前人格和偏好评估 数据必要性 评估或评分 员工能力评估 透明度 对员工进行人才评估和分析的评估 数据完整性和质量 或评分 保持（即半衰期） 领导潜力评估 访问和更正安全性 学业成功预测 评估或评分工作表现 评估或评估经济状况 1 类别 示例/说明 风险缓解 自动决策可能对个人造成人身伤害 数据必要性 （例如，联网汽车的自动驾驶） 透明度（包括有关 自动决策可能导致拒绝工作机会， WP 251所涉逻辑 晋升，贷款或其他金融机会 的信息，后果和获 具有法律或类似重 自动决策可能导致商品和服务的差 得人为干预的权利） 大影响的自动决策 别定价 选择和同意 （即，无人参与或 自动决策，可能导致拒绝健康治疗， 数据完整性和质量 干预决策） 如器官捐赠，输血或骨髓移植，或 保持（即半衰期） 健康支付，如基于预后不良 访问和更正安全性 可能导致声誉受损的自动决策，例 如与可能导致侮辱的群体的预测性 关联 自动决策可能导致尴尬，震惊或意 外 自动决策可能导致非法或其他不适 六 信息安全组织 当的歧视，如性别，年龄，种族， 种族或基因歧视 6.1 内部组织 五 信息安全战略 目标：建立管理框架，以启动和控制组织范围内的信息安全的实施和运行。 自动决策可能对个人造成人身伤害 数据必要性 （例如，联网汽车的自动驾驶） 透明度（包括有关