1) ศึกษากฎหมาย พรบ.คุ้มครองข้อมูลส่วนบุคคล

2) สำรวจข้อมูลในองค์กร ว่ามีการเก็บข้อมูลในจุดบริการใด และจัดเก็บข้อมูลส่วนบุคคลอยู่ที่หน่วยงานใดบ้าง

3) พิจารณาว่าการจัดเก็บข้อมูลส่วนบุคคลมีความมั่นคงปลอดภัย (3 องค์ประกอบ การรักษาความลับ, การรักษาความถูกต้องของข้อมูล, ความพร้อมใช้งาน)

2. พิจารณาฐานกฎหมายที่อนุญาตให้ เก็บ/ใช้/เผยแพร่ ข้อมูลส่วนบุคคลทั้ง 6 ฐาน หากไม่เข้าเกณฑ์และจำเป็นต้องใช้ข้อมูลส่วนบุคคล จึงดำเนินการขอความยินยอม

3. จัดทำระบบรองรับสิทธิ์ของเจ้าของข้อมูล ได้แก่ การขอ (เข้าถึง/ขอรับข้อมูล/แก้ไข/ระงับการใช้/ลบหรือทำให้เป็นข้อมูลที่ไม่สามารถระบุตัวตนได้)

4. ผู้บริหารต้องให้ความสำคัญอย่างเป็นรูปธรรม สนับสนุนทรัพยากร ส่งเสริมความรู้เรื่อง PDPA ให้กับคณะทำงานและพนักงาน