ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (Personal Data Protection Act : PDPA)

องค์กรมีหน้าที่ในการบริหารจัดการข้อมูลส่วนบุคคลขององค์กร ดังต่อไปนี้

1.ต้องมีฐานทางกฎหมายในการเก็บ รวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล

2.ต้องมีการประเมินความเสี่ยงของข้อมูลส่วนบุคคล

3.ต้องจัดให้มีมาตรการความมั่นคงปลอดภัยตามความเหมาะสม

4.ตอบสนองต่อคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล

5.ต้องลบหรือทำลายข้อมูลเมื่อพ้นระยะการเก็บรักษา หรือไม่จำเป็น

6.ต้องแจ้งเหตุละเมิดข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง นับแต่ทราบเหตุ

7.ต้องจัดทำบันทึกรายการ

8.ต้องแต่งตั้ง DPO