为确保合规，公司应建立并执行以下制度：1. **遵循处理原则**：遵循合法、正当、必要和诚信原则，具有明确、合理的目的，并采取对个人权益影响最小的方式，限于实现处理目的的最小范围。2. **获取有效同意**：在收集前，以显著方式、清晰易懂的语言，向个人告知个人信息处理者的名称/联系方式、处理目的、方式、种类、保存期限，以及个人行使权利的方式和程序。取得个人的单独同意（法律、行政法规规定无需同意的除外）。处理敏感个人信息还需取得单独同意，并告知必要性及对个人的影响。3. **保障个人权利**：建立机制保障个人的知情权、决定权、查阅复制权、更正补充权、删除权等。4. **采取安全措施**：采取必要技术和管理措施（如加密、去标识化、访问控制、安全审计）防止信息泄露、篡改、丢失。5. **进行影响评估**：处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息等特定情形下，应事前进行个人信息保护影响评估。6. **规范对外提供**：向其他个人信息处理者提供其处理的个人信息，应取得个人单独同意。法律依据主要是《个人信息保护法》。建议任命个人信息保护负责人，制定内部管理制度和操作规程，并定期进行合规审计。