主体应在适当情况下:
— 具有独立性并直接向组织的适当管理层报告,以确保有效管理隐私风险;
— 参与管理与PII 处理相关的所有问题;
— 精通数据保护立法、法规和实践;
— 充当监管机构的联络点;
— 告知高层管理人员和组织的员工有关处理 PII 的义务;
— 提供有关组织进行的隐私影响评估的建议。
(1)内部审核和管理评审; (2)对上次审核中确定的不符合采取的措施; (3)投诉的处理; (4)方针、目标的变化及其实现情况; (5)应对的风险、机遇及其运行控制; (6)生产和服务提供的控制及其提供过程的确认; (7)产品和服务的放行; (8)不合格输出的控制; (9)顾客满意; (10)改进(包括不符合和纠正措施、持续改进); (11)任何变更; (12)认证证书和标识和(或)任何其他对认证资格的使用。