โดยสามารถสรุปบทเรียนสำคัญได้ 11 ประการ ดังนี้

1. โทษปรับเกิดขึ้นได้แม้ไม่มีผู้ร้องเรียน คณะกรรมการผู้เชี่ยวชาญมีอำนาจในการตรวจสอบและสั่งลงโทษปรับทางปกครองได้ หากตรวจพบการกระทำที่ไม่สอดคล้องตาม พ.ร.บ.ฯ แม้ว่าจะยังไม่มีเจ้าของข้อมูลส่วนบุคคลรายใดร้องเรียนเข้ามาก็ตาม

2. หน่วยงานรัฐไม่อยู่ในข้อยกเว้นของการบังคับใช้และการลงโทษทางปกครองตาม PDPA คำสั่งทางปกครองนี้ยืนยันว่าหน่วยงานภาครัฐมีหน้าที่ต้องปฏิบัติตามกฎหมายและสามารถถูกลงโทษปรับได้เช่นกันหากเกิดการละเมิดข้อมูลส่วนบุคคลในโครงการที่รับผิดชอบ ดังนั้น การประเมินความเสี่ยงและการจัดทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคลกับคู่สัญญาหรือผู้รับจ้างจึงเป็นสิ่งที่มีความจำเป็นอย่างยิ่งยวด

3. การคุ้มครองข้อมูลส่วนบุคคลครอบคลุมทุกรูปแบบ เมื่อคำสั่งลงโทษกรณีเวชระเบียนผู้ป่วยของโรงพยาบาลแห่งหนึ่งรั่วไหลไปสู่สาธารณะ เป็นการส่งสัญญาณที่ชัดเจนว่าการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายนั้น ไม่ได้จำกัดอยู่เพียงข้อมูลในรูปแบบดิจิทัล แต่หมายรวมถึงข้อมูลในรูปแบบกายภาพ เช่น เอกสารกระดาษด้วย

4. ความสำคัญของการทำลายข้อมูลอย่างถูกวิธี เมื่อข้อมูลส่วนบุคคลหมดความจำเป็นตามวัตถุประสงค์ที่ได้แจ้งกับเจ้าของข้อมูลส่วนบุคคลในประกาศความเป็นส่วนตัวไว้ หรือองค์กรหมดความจำเป็นต้องใช้อข้อมูลนั้นแล้ว องค์กรมีหน้าที่ต้องทำลายข้อมูลนั้นด้วยกระบวนการที่ถูกต้องและปลอดภัย การกำจัดข้อมูลโดยขาดความระมัดระวังอาจนำไปสู่การรั่วไหลและความรับผิดตามกฎหมายได้ ซึ่งค่าปรับทางปกครองมูลค่าสูงถึง 1,210,000 บาท

5. ยกระดับการจัดการข้อมูลอ่อนไหว (Sensitive Data) กรณีศึกษาแสดงให้เห็นว่าข้อมูลอ่อนไหวตามมาตรา 26 (เช่น ข้อมูลสุขภาพ) เป็นข้อมูลที่กฎหมายให้ความสำคัญอย่างยิ่ง องค์กรต้องจัดให้มีมาตรการกำกับดูแลและรักษาความมั่นคงปลอดภัยที่เข้มงวดกว่าข้อมูลส่วนบุคคลทั่วไป ซึ่งสะท้อนจากอัตราโทษปรับที่สูงเมื่อเทียบกับปริมาณข้อมูลที่รั่วไหล

6. ความรับผิดในการคัดเลือกผู้ประมวลผลข้อมูลส่วนบุคคล  หากองค์กรเลือกใช้บริการผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ที่ขาดความรู้ความเข้าใจและไม่มีมาตรฐานการจัดการข้อมูลที่ดีพอ อาจส่งผลให้ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ต้องรับผิดในค่าปรับมูลค่า 1,210,000 บาท

7. ผลของการละเลยการประเมินความเสี่ยงและข้อตกลงประมวลผลของผู้ควบคุมข้อมูลส่วนบุคคล กรณีที่หน่วยงานในฐานะผู้ควบคุมข้อมูล ไม่จัดให้มีการประเมินความเสี่ยงและไม่มีข้อตกลงการประมวลผลข้อมูลส่วนบุคคล อาจมีโทษปรับมูลค่า 125,000 บาท

8. ความรับผิดของผู้ประมวลผลข้อมูลส่วนบุคคลต่อการไม่ประเมินความเสี่ยงและไม่มีข้อตกลงการประมวลผลข้อมูลส่วนบุคคล สำหรับธุรกิจที่ดำเนินงานในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล การไม่ประเมินความเสี่ยงและไม่มีข้อตกลงฯ ที่ชัดเจน อาจนำไปสู่ค่าปรับขั้นต่ำ 153,120 บาท

9. ต้นทุนการเพิกเฉยต่อ PDPA ของผู้ประมวลผลข้อมูส่วนบุคคลสูงกว่าผู้ควมคุมข้อมูล ธุรกิจที่รับจ้างในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล แต่ขาดความรู้ความเข้าใจ ไม่ปฏิบัติตามกฎหมาย หรือไม่ตอบสนองต่อเหตุการณ์ข้อมูลรั่วไหลในความรับผิดชอบของตน อาจต้องรับผิดในค่าปรับสูงถึง 3,000,000 บาท

10. การตอบสนองต่อเหตุละเมิดและการเยียวยาเป็นเหตุบรรเทาโทษ การที่องค์กรมีการตอบสนองต่อเหตุการณ์ข้อมูลรั่วไหลอย่างทันท่วงที และมีมาตรการเยียวยาผลกระทบที่เกิดขึ้นกับเจ้าของข้อมูลส่วนบุคคลอย่างเหมาะสม แม้ว่าจะไม่ได้มีความเสี่ยงสูง ถือเป็นปัจจัยสำคัญที่คณะกรรมการอาจพิจารณาเพื่อบรรเทาโทษได้

11. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ที่มีความรู้และความเข้าใจ PDPA เป็นเรื่องจำเป็นและสำคัญอย่างยิ่ง

– องค์กรที่กฎหมายกำหนดให้ต้องมี DPO แต่ไม่ได้แต่งตั้ง อาจถูกปรับเป็นเงิน 1,000,000 บาท

– องค์กรที่แต่งตั้ง DPO แล้ว แต่ DPO ขาดความรู้ความเข้าใจในหลักการ กฎหมาย และแนวปฏิบัติที่ถูกต้อง อาจต้องเผชิญกับค่าปรับที่สูงกว่า คือ 1,210,000 บาท ซึ่งชี้ให้เห็นว่าการมี DPO ที่มีคุณสมบัติเหมาะสมเป็นสิ่งสำคัญอย่างยิ่ง