นายวิชัย สมบูรณ์โชคพิศาล หุ้นส่วนฝ่ายกฎหมายของมาซาร์สในประเทศไทย เปิดเผยว่า พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมาย PDPA มีความละเอียดอ่อนมากในการเริ่มต้นดำเนินการ ต้องการการลงทุนด้านเทคโนโลยีที่สามารถตอบสนองผลสัมฤทธิ์ได้ พร้อมทั้งต้องจัดเตรียมบุคลากร ที่มีความรู้ด้านกฎหมาย ด้านไอที และด้านการจัดการข้อมูล เป็นต้น จึงไม่ใช่เรื่องง่าย สำหรับผู้ที่ขาดประสบการณ์ และความเชี่ยวชาญ
ในการเริ่มต้นจำเป็นต้องให้ผู้มีความรู้ความสามารถเข้ามาช่วยในการดำเนินการ และเนื่องจากเป็นกฎหมายใหม่ในประเทศไทย ดังนั้น เพื่อป้องกันความเสี่ยง และจำกัดความเสียหายหากเกิดความผิดพลาดที่อาจเกิดขึ้น และลดขั้นตอนความยุ่งยากต่างๆ ควรขอคำแนะนำปรึกษาจากผู้เชี่ยวชาญเกี่ยวกับกฎหมายด้านนี้โดยเฉพาะ
กฎหมาย PDPA ระบุให้มีข้อปฏิบัติเกี่ยวกับข้อมูลส่วนบุคคลขึ้นในองค์กร โดยกำหนดให้ต้องมีระบบการจัดเก็บและตรวจสอบการใช้ข้อมูลส่วนบุคคล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลประจำองค์กร ซึ่งมีหน้าที่ประสานข้อมูลกับเจ้าหน้าที่รัฐ แจ้งให้เจ้าของข้อมูลทราบถึงสิทธิ และการจัดการข้อมูลที่จัดเก็บ ทั้งในส่วนของลูกจ้าง คู่ค้าทางธุรกิจ ซึ่งขั้นตอนการดำเนินงานเหล่านี้ ต้องจัดทำให้เสร็จก่อนจะได้ประกาศบังคับตามกฎหมาย ในวันที่ 1 มิ.ย. พ.ศ. 2565 เพื่อให้เป็นไปตามข้อปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
ทั้งนี้ บริษัทหรือองค์ธุรกิจอยู่ในฐานะผู้ควบคุม และประมวลผลข้อมูล มีหน้าที่ต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ ถึงวัตถุประสงค์ในการจัดเก็บข้อมูล การดำเนินการเก็บข้อมูล รายละเอียดการเก็บ การนำไปใช้ และต้องระบุระยะเวลาในการเก็บ
นอกจากนี้ การนำไปใช้ การโอน การลบข้อมูล และการแสดงต่อเจ้าหน้าที่รัฐ ต้องได้รับความยินยอมจากเจ้าของข้อมูล ตามสิทธิตามกฎหมาย หากมีการจัดการข้อมูลส่วนบุคคลนอกเหนือสิทธิตามกฎหมาย และการนำไปใช้อย่างไม่ถูกต้อง บริษัทและกรรมการจะถูกลงโทษตามกฎหมาย ส่วนบุคคลใดถูกละเมิดสิทธิในข้อมูลก็จะได้รับการเยียวยาตามมาตรการที่กฎหมายระบุไว้