หลักการที่ ผู้ประกอบการ ต้องจัดให้มี “นโยบาย” และ “แนวทางปฏิบัติ” เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ซึ่งจะต้องมีมาตรฐานและแนวทางปฏิบัติที่ดี ซึ่งมุ่งเน้นไปที่ “สิทธิของเจ้าของข้อมูล” เป็น สำคัญ ผู้ประกอบการจึงจำเป็นต้องเข้าใจบทบาทหน้าที่ความรับผิดชอบของบุคคลที่เกี่ยวข้องตามกฎหมาย ด้วย เช่น

1. เจ้าของข้อมูลส่วนบุคคล (Data Subject : DS) หมายถึงผู้ใด และมีข้อมูลใดบ้างที่ต้องคุ้มครอง

2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller : DC) หมายถึงผู้ใด

3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor : DP) ประกอบไปด้วยบุคคลใดบ้าง

4. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO) หมายถึงผู้ใด

การเตรียมความพร้อมของผู้ประกอบการ

1. การเก็บรวบรวมข้อมูล ใช้ข้อมูล เปิดเผยหรือเผยแพร่ข้อมูล รวมถึงการส่งหรือโอนข้อมูลต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อน

2. การขอความยินยอม มีวิธีการดำเนินการอย่างไร

3. การเก็บรวบรวมข้อมูล ต้องแจ้งวัตถุประสงค์และแจ้งสิทธิต่อเจ้าของข้อมูลอย่างไร

4. การคุ้มครองข้อมูลส่วนบุคคล ที่ต้องมีความเป็นมาตรฐานและมั่นคงปลอดภัย ทำอย่างไร

5. นโยบายการคุ้มครองข้อมูลส่วนบุคคล เขียนอย่างไร

6. ความตกลงร่วมกันของ “ผู้ประมวลผลข้อมูล” เขียนอย่างไร

7. กรณีข้อมูลรั่วไหล หรือผู้ประมวลผลข้อมูล (DP) ปฏิบัติงานผลิดพลาด ผู้ควบคุมข้อมูล (DC)

   จะต้องรับผิดชอบอย่างไร

บทลงโทษ

1ความรับผิดทางแพ่ง รวมถึงต้องจ่าย "ค่าเสียหายเชิงลงโทษ" เพิ่มขึ้นอีกต่างหาก

 2. โทษอาญา

 3. โทษปรับทางปกครอง

 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เลื่อนการบังคับใช้ไปเป็น วันที่ 1 มิถุนายน 2564 ซึ่งผู้ประกอบการจะต้องเตรียมพร้อมอย่างไรเพื่อป้องกันมิให้เกิดความผิดพลาด หรือข้อมูลรั่วไหล