Aเพื่อสามารถให้คำแนะนำแก่ผู้ประมวลผล ผู้ควบคุมข้อมูล และบุคคลต่างๆในองค์กร DPO เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ควรมีความรู้และความเชี่ยวชาญ > ด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล > พื้นฐานเกี่ยวกับด้านไอทีในการป้องกันข้อมูล เกี่ยวกับการปฏิบัติตาม พ.ร.บ.  

Aตามกฎหมายไม่ได้ระบุว่าองค์กรจะต้องใช้ระบบไอทีเสมอไป แต่ก่อนตัดสินใจที่จะวางระบบไอที องค์กรควร

1. ทำความเข้าใจกระบวนการและบริบทของตัวเอง
2. มีการจัดทำ Data Flow เพื่อดูและแยกแยะข้อมูลในกระบวนการว่าข้อมูลไหนคือสิ่งจำเป็นจริง ๆ เช่น ถ้าข้อมูลมีปริมาณที่ไม่เยอะมาก และไม่ได้มีการ Active ตลอดเวลา ข้อมูลในส่วนนี้ก็สามารถทำทะเบียนแบบสมุดหรือคู่มือได้

Aควรชี้แจงให้ผู้บริหารทราบและเข้าใจถึงความสำคัญของการจัดการข้อมูลส่วนบุคคลว่า ถ้าหากคนในองค์กรไม่มีความรู้ความเข้าใจที่ถูกต้อง และไม่ปฏิบัติตามกฎหมายอย่างเคร่งครัดอาจจะนำไปสู่บทลงโทษที่รุนแรงทำให้องค์กรเกิดความเสียหายได้

Aผู้มีส่วนเกี่ยวข้องประกอบด้วย

Aการจัดการข้อมูลอย่างเป็นระบบ ที่มีการปรับปรุงอย่างต่อเนื่อง ไม่ใช่ตั้งรับและแก้ไขเมื่อมีปัญหาเกิดขึ้นโดยมีการนำ Framework มาปรับใช้ ซึ่งจะทำให้การเก็บรวบรวม ใช้ และเปิดเผยข้อมูลขององค์กร สามารถบูรณาการอย่างมีประสิทธิภาพ ป้องกันการรั่วไหลและถูกละเมิดในข้อมูลส่วนบุคคล อีกทั้งข้อมูลจะได้รับการดูแลอย่างมั่นคงปลอดภัย

Aองค์กรควรใช้ Framework เช่น ISO27701 หรือ NIST Privacy Framework ในการดำเนินการและประเมินประสิทธิผลตาม Framework ซึ่งควรมี 3rd party เข้ามาตรวจสอบ

Aองค์กรควรตรวจสอบเบื้องต้นด้วยการ Check Up ระบบการจัดการข้อมูลในปัจจุบันขององค์กร โดยเน้นจุดที่มีการใช้ข้อมูลส่วนบุคคลของลูกค้าและพนักงาน เพื่อประเมินความเสี่ยงและช่องโหว่ให้เกิดการละเมิด แล้วจึงกำหนดมาตรการป้องกันความเสี่ยงและการจัดการกับผลกระทบที่อาจเกิดขึ้นหากเกิดการล่วงละเมิด