1. บทเรียนประการแรกที่ที่สำคัญที่สุดเลยคือ ผู้บริหารจะต้องรู้ว่าในองค์กรของเรามีข้อมูลส่วนบุคคลที่เราเก็บรักษาไว้และใช้ประโยชน์อะไรบ้าง เก็บรักษาไว้ที่ไหนอย่างไรบ้าง หากยังไม่เคยทราบ ใช้โอกาสนี้ทบทวน ค้นหาและวางโครงสร้างของการจัดการข้อมูลส่วนบุคคลและข้อมูลต่างๆที่เรานำมาใช้ในองค์กรของเราใหม่ เพราะไม่ว่าข้อมูลส่วนบุคคลที่ท่านมีอยู่จะมากหรือน้อย จะเข้าข่ายจะต้องมี DPO หรือไม่ก็แล้วแต่ หากมีการหลุดรั่วแม้เพียงไม่กี่ชื่อก็เป็นความรับผิดชอบของผู้บริหารอยู่ดี แม้ความบกพร่องในการปฎิบัติจะเป็นความบกพร่องของพนักงาน แต่หากเกิดความเสียหายและคดีความล้วนแล้วแต่เป็นความรับผิดชอบของผู้บริหารบริษัททั้งสิ้น

2. ข้อมูลส่วนบุคคลของลูกค้า คู่ค้าหรือพนักงาน ที่ผู้บริหารใช้งานอยู่ มีกฎหมายควบคุมที่ชื่อว่า พรบ.คุ้มครองข้อมูลส่วนบุคคล ปี 2562 หลักการสำคัญของกฎหมายนี้กำหนดให้มีการเก็บรักษาและนำข้อมูลส่วนบุคคลของผู้อื่นมาใช้ประโยชน์จะต้องมีมาตรการรักษาความปลอดภัยเพื่อไม่ให้ข้อมูลรั่วไหลเสมือนหนึ่งเรานำทรัพย์สินของผู้อื่นมาเก็บรักษาและใช้ประโยชน์ จึงจำเป็นที่จะต้องมีกฎหมายที่บังคับให้ผู้บริหารขององค์กรมีความรับผิดชอบต่อทรัพย์สินเหล่านั้น

3. บริษัทที่ถูกโทษปรับ 7 ล้านบาทมาจากความผิด 3 เหตุด้วยกันคือ 1) ละเลยไม่ปฏิบัติหน้าที่ตามกฎหมายที่จะต้องมีมาตรการรักษาความปลอดภัยที่เหมาะสม 2) ไม่แจ้งเหตุเมื่อมีการละเมิดข้อมูลส่วนบุคคลภายใน 72 ชม. และ 3) ไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือ DPO ทั้งๆที่คณะกรรมการผู้เชี่ยวชาญได้มีคำสั่งให้ปฏิบัติแล้วแต่องค์กรก็ยังเพิกเฉยอยู่

4. เหตุของการเพิกเฉยไม่ปฏิบัติตามสิ่งที่กฎหมายกำหนด ส่งผลให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคลนั้นๆ ในบริษัทดังกล่าวซึ่งมีขนาดธุรกิจระดับหมื่นล้าน อยู่ในวิสัยที่สามารถจัดสรรทรัพยากรมาจัดการเรื่องนี้ได้หลังจากได้รับคำเตือนจาก สคส.แล้ว  การละเลยต่อความรับผิดชอบนี้จึงร้ายแรงมาก เพราะนอกจากสำนึกเรื่องความรับผิดชอบตามกฎหมายแล้ว ยังเป็นสำนึกความรับผิดชอบต่อลูกค้า คู่ค้าหรือพนักงาน ที่องค์กรของเราได้ประโยชน์ด้วย

5. โทษปรับ 7 ล้านเป็นโทษทางปกครองหมายเท่านั้น หมายความว่าบริษัทนี้จะต้องจ่ายค่าปรับ 7 ล้านบาทให้กับภาครัฐ แต่ทันทีที่ผู้บริโภคทราบข่าวผู้บริโภคยังมีสิทธิ์สามารถรวมตัวกันฟ้องคดีแพ่งในลักษณะที่เป็นการฟ้องแบบกลุ่ม (Class Action) ซึ่งบริษัทอาจต้องเสียค่าสินไหมทดแทนเยียวยาเพิ่มเติมด้วย ในกรณีนี้มีรายชื่อที่หลุดรั่วถึง 2 แสนรายชื่อน่าจะทำให้ขนาดของผู้เสียหายที่ร่วมฟ้องมีจำนวนมากเป็นประวัติศาสตร์

6. นอกจากค่าปรับและโอกาสที่จะถูกฟ้องร้องเพิ่มนั้น สิ่งที่จะต้องสูญเสียต่อไปอย่างแน่นอนคือ ความน่าเชื่อถือ ของลูกค้าที่มีต่อแบรนด์ เชื่อได้เลยว่าในโลกออนไลน์ชื่อของบริษัทดังกล่าวแม้จะไม่ถูกเอ่ยชื่อในการแถลง แต่ก็จะถูกพูดถึงในฐานะบริษัทที่ไม่มีความรับผิดชอบต่อลูกค้า และสร้างความเสียหาย หากเราเป็นผู้บริโภคและได้เคยให้ข้อมูลส่วนบุคคลที่บริษัทนี้เก็บรักษาอยู่ จะมีลูกค้าจำนวนมากเลิกซื้อสินค้าและบริการกับบริษัทดังกล่าว ยังไม่รวมถึงการยกเลิกสมาชิก และเลิกการซื้อสินค้าออนไลน์ ที่จะต้องมีการให้ข้อมูลส่วนบุคคลทั้งชื่อ ที่อยู่ หมายเลขโทรศัพท์ และเลขบัตรเครดิต ความเสียหายที่เกิดจากการที่ลูกค้าไม่เชื่อมั่นในการรักษาความปลอดภัยของระบบของบริษัท จะทำให้ลูกค้าไปหาผู้ให้บริการรายอื่นทันที 

7. หากองค์กรของท่านมีข้อมูลส่วนบุคคลเกินแสนราย ท่านต้องแต่งตั้ง DPO ตามกฎหมาย ในการมี DPO ท่านสามารถคัดเลือกจากบุคลากรภายในแล้วส่งไปฝึกอบรม หรือจะเลือกจ้างจากบริษัทผู้ให้บริการที่มีอยู่แล้วก็ได้ แต่ DPO นั้นจะต้องรู้ว่าต้องจัดการข้อมูลส่วนบุคคลในองค์กรของเราอย่างไร ผู้บริหารองค์กรเองก็ต้องจัดให้มีงบประมาณและการมอบหมายแต่งตั้งที่ชัดเจน