ป้ายกำกับ: วาระทีดีอาร์ไอ

อุปสรรคกติกาขัดขาคราฟต์เบียร์ไทย

เขมภัทร ทฤษฎิคุณ

เผยแพร่ครั้งแรกเมื่อวันที่ 15 ธันวาคม 2565 บนหนังสือพิมพ์และเว็บไซต์ กรุงเทพธุรกิจ ในคอลัมน์วาระทีดีอาร์ไอ

คราฟต์เบียร์เป็นที่รู้จักในประเทศไทยมากขึ้น หลังผู้ผลิตคราฟต์เบียร์ไทยชนะการประกวดเบียร์ในระดับนานาชาติหลายรางวัล เช่น เบียร์ศิวิไลซ์ ที่ชนะรางวัลเหรียญเงิน ในเวที World Beer Awards 2020 และเบียร์ SPACECRAFT ที่ชนะ 6 รางวัลในเวที Asia Beer Championship 2021

ความเหมือนกันของการชนะรางวัลทั้งสองรายการคือ การเป็นเบียร์ไทยแต่รับรางวัลในนามเบียร์ที่ผลิตในประเทศเวียดนาม สิ่งนี้กลายเป็นเรื่องน่าเสียดายที่ประเทศไทยไม่สามารถร่วมยินดีกับความสำเร็จดังกล่าวได้อย่างเต็มที่ เพราะเบียร์ที่ชนะการประกวดผลิตในชื่อประเทศอื่น

สาเหตุที่ผู้ผลิตคราฟต์เบียร์ต้องไปผลิตเบียร์ในประเทศอื่น เพราะสภาพแวดล้อมภายในประเทศไม่เอื้ออำนวยให้ผู้ผลิตเบียร์หน้าใหม่ก้าวเข้ามามีที่ยืนในอุตสาหกรรมนี้ได้ เนื่องจากผู้ผลิตส่วนใหญ่มีขนาดเล็กดำเนินธุรกิจอย่างอิสระและใช้กระบวนการผลิตแบบดั้งเดิมตั้งแต่การคิดสูตร หมัก บรรจุขวดและจัดจำหน่าย แต่ พ.ร.บ. ภาษีสรรพสามิตที่ควบคุมการผลิตสุราเดิมตั้งอยู่บนมาตรฐานการผลิตในระดับอุตสาหกรรมภายใต้โรงงานที่เป็นกิจจะลักษณะ ทำให้ผู้ผลิตรายย่อยไม่สามารถก้าวเข้ามาในอุตสาหกรรมภายใต้กฎหมายไทยได้

ปัญหาดังกล่าวนำมาสู่กระแสเรียกร้องให้มีการยกร่างกฎหมายใหม่คือ พ.ร.บ. สุราก้าวหน้า (ร่างแก้ไข พ.ร.บ. ภาษีสรรพสามิต) เพื่อเปิดโอกาสให้ผู้ผลิตสุรารายย่อยสามารถมีส่วนร่วมในอุตสาหกรรมนี้ได้ จนในท้ายที่สุดความพยายามดังกล่าวก็ไปถึงรัฐบาลและนำมาสู่การแก้ไขกฎกระทรวงผลิตสุราฉบับใหม่ที่มีการผ่อนคลาย กฎเกณฑ์เกี่ยวกับการผลิตสุรามากขึ้น

กฎกระทรวงฉบับนี้ได้สร้างความเปลี่ยนแปลงหลายด้านให้กับผู้ผลิตสุรา สำหรับ “คราฟต์เบียร์” กฎกระทรวงฉบับใหม่ มีการผ่อนคลายเงื่อนไขเดิมหลายอย่าง อาทิ การไม่กำหนดทุนจดทะเบียนขั้นต่ำสำหรับผู้ขอใบอนุญาตผลิต และการไม่กำหนดกำลังการผลิตต่อปี

แต่เมื่อพิจารณาในรายละเอียดแล้ว กฎหมายใหม่ได้สร้างล็อกใหม่ที่อาจจะยับยั้ง การเติบโตของคราฟต์เบียร์ไทยได้ ตัวอย่าง เช่น การกำหนดให้เครื่องจักรที่ใช้ในการผลิตต้องมีมาตรฐานและได้รับความเห็นชอบจากอธิบดีกรมสรรพสามิต ซึ่งเงื่อนไขการผลิตดังกล่าวยังไม่มีหลักเกณฑ์ใดๆ ออกมารองรับ

ความน่ากังวลที่อาจจะเกิดขึ้นคือ มาตรฐานดังกล่าวอาจจะสูงเกินกว่าที่ผู้ผลิตรายย่อยจะรับได้ ดังนั้น ในกระบวนการกำหนดหลักเกณฑ์กรมสรรพสามิตควรจะต้องจัดรับฟังความคิดเห็นจากผู้ผลิต โดยเฉพาะรายย่อยเพื่อให้ได้รับข้อมูลเพียงพอต่อการตัดสินใจกำหนดหลักเกณฑ์ต่อไป นอกจากนี้ กฎหมายใหม่ยังได้กำหนดให้ผู้ผลิตผลิตเบียร์บรรจุขวด/กระป๋อง จะต้องติดตั้งระบบพิมพ์เครื่องหมายการเสียภาษี ซึ่งอาจสร้างต้นทุนเพิ่มมากขึ้น และอาจเกินศักยภาพของผู้ผลิตรายย่อย โดยหนทางที่จะไม่ก่อภาระต้นทุนแก่ผู้ผลิต รายย่อยมากเกินไป คือการทำให้กฎเกณฑ์นี้มีความชัดเจน เช่น ผู้ผลิตสามารถใช้ วิธีการอื่นแทนการติดตั้งระบบพิมพ์ อาทิ การให้พนักงานติดเครื่องหมายการเสียภาษีได้หรือไม่

นอกจากนี้ กฎหมายใหม่ยังยอมให้ ผู้ผลิตผลิตเบียร์เพื่อบริโภคเองภายใน ครัวเรือนได้ ซึ่งเป็นหลักการที่ก้าวหน้า แต่เมื่อ ดูรายละเอียดของกฎหมาย กลับระบุว่าผู้ที่จะ ผลิตเบียร์เพื่อบริโภคเองต้องได้รับอนุญาตต่ออธิบดีและเสียค่าธรรมเนียมตามกฎหมาย และกฎหมายยังห้ามไม่ให้ผู้ได้รับอนุญาตผลิต เบียร์เพื่อบริโภคเองผลิตเกินปีละ 200 ลิตร และห้ามแจกจ่ายให้กับบุคคลอื่น การกำหนดเงื่อนไขนี้กระทบต่อธุรกิจคราฟต์เบียร์ไทยเป็นอย่างมาก เพราะธุรกิจคราฟต์เบียร์นั้นเริ่มต้นขึ้นจากผู้ผลิตมีความพยายามรังสรรค์คราฟต์เบียร์ ที่ต้องผ่านการทดลองและปรับปรุงสูตรด้วยความคิดสร้างสรรค์ ซึ่งในระหว่างนี้ผู้ผลิตเบียร์อาจเข้าข่ายทำผิดกฎหมายทั้งที่ยังไม่ได้ค้าขายทำกำไร หรือควรจะต้องขออนุญาต

ดังนั้น การกำหนดให้ผู้ผลิตเบียร์เพื่อบริโภคเองต้องขออนุญาต และถูกควบคุมเสมือนกับเป็นผู้ผลิตในเชิงค้าขาย ก็อาจจะกลายเป็นการจำกัดความคิดสร้างสรรค์และผู้ที่สนใจศึกษาและพัฒนาเบียร์

ประเด็นนี้สอดคล้องกับความเห็น ของ ผศ.เจริญ เจริญชัย แห่งเพจสุราไทย เพจวิชาการเกี่ยวกับการส่งเสริมการผลิต สุราที่มีคุณภาพ ได้ให้ความเห็นว่า การกำหนด เงื่อนไขการขออนุญาตผลิตเบียร์เพื่อบริโภคเอง ภายในครัวเรือนนี้สร้างความยุ่งยากเกินไปสำหรับการผลิตเบียร์บริโภคที่บ้าน ซึ่งไม่ก่อให้ เกิดผลกระทบต่อบุคคลอื่น และการผลิตเบียร์ ปีละไม่เกิน 200 ลิตร นั้นไม่เพียงพอต่อการทดลองทำและพัฒนาสูตรเบียร์

เมื่อเปรียบเทียบกับประเทศใกล้เคียงอย่างสิงคโปร์ พบว่ากฎหมายของสิงคโปร์ ไม่ได้กำหนดให้ผู้ผลิตเบียร์เพื่อบริโภคภายในครัวเรือนจะต้องขออนุญาตกับหน่วยงานของรัฐแบบประเทศไทย รวมถึงกฎหมายยังกำหนดให้คนที่ต้องการผลิตสามารถผลิตเบียร์ได้ถึง 30 ลิตรต่อเดือน/คน หรือ 360 ลิตรต่อปี/คน ซึ่งมากกว่าที่ประเทศไทยอนุญาตให้ผลิต และไม่ได้ห้ามแจกจ่ายเบียร์ที่ผลิตจากครัวเรือนแต่อย่างใด

ท้ายที่สุดเป้าหมายของการปลดล็อกกฎหมายเพื่อการผลิตคราฟต์เบียร์ คือการต้องการให้มีการแข่งขันเพิ่มมากขึ้นและมีการพัฒนาคุณภาพของเบียร์ในประเทศ เพื่อให้เป็นที่ยอมรับในระดับสากล แต่เงื่อนไขหลายอย่างในกฎหมายยังไม่เอื้ออำนวยให้ผู้ผลิตสามารถใช้ความคิดสร้างสรรค์ในการผลิตคราฟต์เบียร์ได้อย่างเต็มที่

หากกฎหมายยังคอยขัดแข้งขัดขา ผู้ผลิตอย่างนี้ต่อไป คนไทยและประเทศย่อมสูญเสียโอกาสที่จะพัฒนาธุรกิจ เบียร์ไทยให้สามารถแข่งขันกับเพื่อนบ้าน เพราะคนไทยผู้ผลิตคราฟต์เบียร์จะหนีไปผลิตในประเทศเพื่อนบ้านตามเดิม และประเทศไทยจะเสียท่า ด้วยกติกาขัดแข้ง ขัดขาตัวเองอีกครั้ง

ยกเว้น กฎหมายคุ้มครองข้อมูลส่วนบุคคล กับผลที่อาจตามมา

เขมภัทร ทฤษฎิคุณใส่ความเห็น

เผยแพร่ครั้งแรกเมื่อวันที่ 10 สิงหาคม 2565 บนหนังสือพิมพ์และเว็บไซต์ กรุงเทพธุรกิจ ในคอลัมน์วาระทีดีอาร์ไอ

กฎหมายคุ้มครองข้อมูลส่วนบุคคล มีความสำคัญทั้งในด้านของการคุ้มครองสิทธิและเสรีภาพของประชาชน และในด้านของการกำกับดูแลการใช้ข้อมูลส่วนบุคคล ซึ่งปัจจุบันมีความสำคัญทั้งกับภาคธุรกิจและการดำเนินภารกิจของหน่วยงานของรัฐ

เมื่อไม่นานมานี้หลังจาก พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ใช้บังคับมาได้เพียง 1 เดือน คณะรัฐมนตรีได้มีมติและเห็นชอบหลักการของพระราชกฤษฎีกายกเว้นการบังคับใช้ พ.ร.บ. ให้กับการใช้ข้อมูลส่วนบุคคลในหน่วยงานของรัฐ

เพื่อวัตถุประสงค์ในการป้องกันประเทศ การรักษาความมั่นคงของประเทศ ความปลอดภัยสาธารณะ การจัดเก็บภาษีของหน่วยงานรัฐ การดำเนินการเพื่อประโยชน์สาธารณะ การดำเนินการตามพันธกรณีระหว่างประเทศ การดำเนินการของหน่วยงาน ศาล อัยการ และผู้บังคับใช้กฎหมาย ซึ่งขอบเขตของการยกเว้นดังกล่าวค่อนข้างกว้าง และอาจกระทบต่อสิทธิและเสรีภาพของประชาชน รวมทั้งเศรษฐกิจของประเทศ

ในด้านสิทธิและเสรีภาพของประชาชน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ทำหน้าที่เสมือนผ้าเบรกช่วยลดการแทรกแซงสิทธิความเป็นส่วนตัว และคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล โดยการกำหนดมาตรฐานและวิธีการในการใช้ข้อมูลส่วนบุคคล

การยกเว้นการบังคับใช้ พ.ร.บ. นั้นมีความน่ากังวลในประเด็นนี้ 2 เรื่อง เรื่องแรกคือ ขอบเขตของการยกเว้น ซึ่งตามร่างพระราชกฤษฎีกานี้มีการยกเว้นการนำกฎหมายมาใช้ในเรื่องสำคัญๆ ได้แก่ การคุ้มครองข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูลส่วนบุคคล การร้องเรียน ความรับผิดทางแพ่ง และบทกำหนดโทษ ซึ่งเปิดโอกาสให้หน่วยงานของรัฐลอยนวลพ้นผิดจากการละเมิดสิทธิของเจ้าของข้อมูลส่วนบุคคลในรูปแบบต่างๆ

เรื่องที่สองคือ วัตถุประสงค์ของการยกเว้น อาทิ การรักษาความมั่นคงของประเทศ ความปลอดภัยสาธารณะ และการดำเนินการเพื่อประโยชน์สาธารณะนั้นมีความไม่เฉพาะเจาะจง และไม่อาจคาดหมายได้ว่าจะมีความหมายเช่นไรขึ้นกับดุลยพินิจและการตีความของหน่วยงานรัฐ ซึ่งข้อยกเว้นดังกล่าวนั้นขยายออกไปจากข้อยกเว้นเดิมที่กฎหมายกำหนดไว้

ที่ผ่านมาภาครัฐมีปัญหาในเรื่องการคุ้มครองข้อมูลส่วนบุคคลมาโดยตลอด ดังเช่นในปีที่ผ่านมา พบว่ามีการรั่วไหลของข้อมูลส่วนบุคคลจากหน่วยงานของรัฐ 5 ครั้ง ซึ่งข้อมูลที่รั่วไหลนั้นรวมถึงข้อมูลสุขภาพที่เป็นข้อมูลส่วนบุคคลอ่อนไหวที่กฎหมายมุ่งคุ้มครองเป็นพิเศษ

นอกจากเรื่องรั่วไหลของข้อมูลส่วนบุคคลแล้ว ล่าสุดภาครัฐยังมีประเด็นเกี่ยวกับการคุกคามความเป็นส่วนตัวของประชาชนที่น่ากังวลและไม่ชัดเจน จากกรณีที่มีนักกิจกรรมหลายคนถูกติดตามด้วยซอฟต์แวร์สปายแวร์บนโทรศัพท์มือถือ และถูกเข้าถึงข้อมูลส่วนบุคคลรวมถึงข้อมูลพิกัดตำแหน่งบุคคลโดยผู้ใช้ไม่รู้ตัว ซึ่งบริษัทผู้ผลิตซอฟต์แวร์ดังกล่าวจะขายซอฟต์แวร์ให้กับภาครัฐเท่านั้น

สิ่งที่เกิดขึ้นนำมาสู่การวิพากษ์วิจารณ์เกี่ยวกับความโปร่งใสและความรับผิดชอบของภาครัฐ ดังนั้น การยกเว้นการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ยิ่งอาจจะทำให้มีปัญหาให้หน่วยงานของรัฐใช้หรือเข้าถึงข้อมูลส่วนบุคคลโดยปราศจากความรับผิดชอบ และกลายเป็นการซ้ำเติมปัญหาวัฒนธรรมการลอยนวลพ้นผิดเมื่อเกิดการละเมิดข้อมูลส่วนบุคคล

ในทางเศรษฐกิจของประเทศ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ทำหน้าที่สำคัญในฐานะเป็นส่วนหนึ่งของกฎหมายเศรษฐกิจดิจิทัลที่กำหนดหลักเกณฑ์และวิธีการเคลื่อนย้ายข้อมูลส่วนบุคคลข้ามพรมแดน ซึ่งเป็นหัวใจสำคัญของเศรษฐกิจสมัยใหม่ที่มีความจำเป็นต้องมีการเคลื่อนย้ายข้อมูลส่วนบุคคลข้ามพรมแดน

ดังจะเห็นได้จากกรอบความตกลงทางเศรษฐกิจต่างๆ เช่น RCEP หรือ CPTPP เป็นต้น ที่กำหนดให้ประเทศภาคีต้องรับรองหลักการดังกล่าว ซึ่งรวมถึงการทำให้ประเทศมหาอำนาจอย่างประเทศจีนต้องผ่านกฎหมายคุ้มครองข้อมูลส่วนบุคคลออกมาในปีที่ผ่านมา

หลักการสำคัญของการเคลื่อนย้ายข้อมูลส่วนบุคคลข้ามพรมแดนนั้นให้ความสำคัญกับการส่งข้อมูลส่วนบุคคลของประเทศผู้รับข้อมูลส่วนบุคคลนั้นจะต้องมีมาตรฐานในการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอไม่น้อยกว่าประเทศผู้ส่งข้อมูลส่วนบุคคล

ซึ่งตาม GDPR หรือ General Data Protection Regulation  ของสหภาพยุโรปกำหนดว่า มาตรฐานที่เพียงพอนี้รวมถึงการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายจะต้องไม่ถูกแทรกแซงโดยรัฐหรือหน่วยงานด้านความมั่นคงของรัฐ ซึ่งเป็นหลักการพื้นฐานของรัฐที่เป็นนิติรัฐที่มุ่งคุ้มครองสิทธิและเสรีภาพของประชาชน

ดังนั้น ผลของพระราชกฤษฎีกาฉบับนี้เปิดช่องให้สามารถตีความ รวมถึงไม่ได้มีการรับรองสิทธิของเจ้าของข้อมูลส่วนบุคคลเอาไว้ ก็อาจจะทำให้ประเทศไทยไม่ได้รับการยอมรับว่าเป็นประเทศที่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่เท่าเทียมกันกับสหภาพยุโรป

นอกจากนี้ อิทธิพลของ GDPR ได้สร้างมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลใหม่ทั่วโลก หากประเทศไทยไม่มีมาตรฐานเทียบเท่า GDPR ก็จะมีผลให้ประเทศไทยไม่มีมาตรฐานเทียบเท่ากับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศอื่น ซึ่งทำให้การเคลื่อนย้ายข้อมูลส่วนบุคคลเข้ามาในประเทศไทยทำได้ยาก และทำให้เอกชนของประเทศไทยอาจจะพลาดโอกาสในการเติบโตในยุคเศรษฐกิจดิจิทัล

หากคณะรัฐมนตรียังต้องการผลักดันพระราชกฤษฎีกาฉบับดังกล่าวต่อไป ต้องพิจารณาข้อน่ากังวลที่อาจจะเกิดขึ้นทั้งสองประการข้างต้น และควรตระหนักถึงสิทธิและเสรีภาพของประชาชนที่รัฐธรรมนูญรับรองไว้เป็นสำคัญ

สำรวจความพร้อมภาครัฐ ปฏิบัติตาม ‘PDPA’

เขมภัทร ทฤษฎิคุณ

เผยแพร่ครั้งแรกเมื่อวันที่ 30 มิถุนายน 2565 บนหนังสือพิมพ์และเว็บไซต์ กรุงเทพธุรกิจ ในคอลัมน์วาระทีดีอาร์ไอ

ใกล้จะครบ 1 เดือนที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA มีผลใช้บังคับ หลังจากเลื่อนการบังคับใช้มาเป็นระยะเวลา 2 ปี ด้วยเหตุผลเพื่อภาครัฐและบริษัทเอกชนได้เตรียมความพร้อม

หลังกฎหมายบังคับใช้ เกิดคำถามและความเข้าใจผิดหลายกรณีเกี่ยวกับสิ่งที่ ทำได้-ทำไม่ได้ ตามกฎหมายกำหนด ซึ่งหน่วยงานกำกับดูแลคือ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจำเป็นต้อง ให้ความกระจ่างแก่ประชาชนอย่างทันถ่วงที เพื่อป้องกันการสร้างความเข้าใจผิด หรือการใช้ ประโยชน์จากกฎหมายในทางไม่ชอบ ซึ่งอาจ เป็นอุปสรรคต่อการปรับตัวรับการบังคับใช้ PDPA ตามเจตนารมณ์แท้จริงของกฎหมาย

นอกจากการแก้ไขความเข้าใจผิดเกี่ยวกับ กฎหมายสำหรับประชาชนแล้ว อีกปัจจัยสำคัญที่ต้องเร่งยกระดับคือ ความพร้อมของ หน่วยงานต่างๆ โดยเฉพาะหน่วยงานของภาครัฐ เนื่องจากภาคเอกชนได้เร่งปรับตัว เตรียมความพร้อมคุ้มครองข้อมูลส่วนบุคคลตามหลักสากล GDPR ไปก่อนแล้ว รวมทั้งการปฏิบัติตามหลักธรรมาภิบาลขององค์กรในการประกอบกิจการ

แต่สำหรับหน่วยงานภาครัฐที่มีการเก็บรวบรวมข้อมูลส่วนบุคคลเป็นจำนวนมาก ตั้งแต่เกิดจนเสียชีวิต ยังติดกับอุปสรรคหลาย ประการที่ทำให้ยังไม่ได้ยกระดับการคุ้มครองข้อมูลส่วนบุคคลในภาครัฐ ซึ่งการคุ้มครองข้อมูลส่วนบุคคลในภาครัฐที่ผ่านมาเป็นไปตาม พ.ร.บ.ข้อมูลข่าวสารราชการ พ.ศ.2540 แต่ในตอนนี้ การคุ้มครองข้อมูลส่วนบุคคลของภาครัฐจะต้องปรับไปตาม PDPA ด้วย

จากการศึกษาของทีดีอาร์ไอ พบว่า ตลอด 2 ปีที่ผ่านมา มีบางหน่วยงานได้เตรียม ความพร้อมในการปฏิบัติตาม PDPA ไปบ้างแล้ว เช่น สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) (สพร.) ซึ่งเป็นหน่วยงาน ของรัฐแรกๆ ที่ได้ดำเนินการปฏิบัติตาม PDPA และเป็นตัวอย่างที่ดีให้กับหน่วยงาน อื่นๆ โดยการทำเอกสารแม่แบบสำหรับการ ดำเนินการในการปฏิบัติตามกฎหมาย

อย่างไรก็ตาม ความเปลี่ยนแปลงที่เกิดขึ้นในหลายหน่วยงานมีเพียงบนกระดาษ ไม่ได้ เปลี่ยนแปลงระดับนโยบาย กระบวนการทำงาน ไปจนถึงเทคโนโลยีเพื่อการรักษาความปลอดภัยข้อมูลส่วนบุคคล ซึ่งอาจทำให้ ข้อมูลส่วนบุคคลของประชาชนถูกละเมิด/รั่วไหลได้ ตามที่เคยเกิดขึ้นแล้ว หลัง PDPA ประกาศใช้ในช่วงปี 2564 มีการละเมิด/รั่วไหล ของข้อมูลส่วนบุคคลในภาครัฐถึง 5 ครั้ง

เพื่อยกระดับความพร้อมให้กับภาครัฐ และป้องกันปัญหาเกิดขึ้นเช่นในอดีต จำเป็นที่ภาครัฐจะต้องปรับปรุงแก้ไขสิ่งต่างๆ ดังนี้

1. สร้างความเข้าใจและความชัดเจนในบทบาทหน้าที่ ความไม่เข้าใจหรือไม่ชัดเจนในบทบาทของภาครัฐในฐานะผู้ควบคุมข้อมูล ส่วนบุคคลตาม PDPA ทำให้บางส่วนอาจเห็นว่าการคุ้มครองข้อมูลส่วนบุคคลเป็นหน้าที่ของสำนัก/กอง/กลุ่ม/แผนกหนึ่งในหน่วยงานของรัฐเป็นผู้รับผิดชอบ เช่น สำนักเทคโนโลยี เป็นต้น แต่ตามหลักคือ หน่วยงานภาครัฐจะต้องสร้างความเข้าใจให้กับเจ้าหน้าที่ทุกคนและยึดหลักปฏิบัติเดียวกันทั้งองค์กร

2. มีนโยบายภายในองค์กรเพื่อรองรับการปฏิบัติตาม PDPA  หรือแม้แต่การปรับเปลี่ยน กฎเกณฑ์ทางกฎหมายภายใต้อำนาจของ หน่วยงานของรัฐ เพื่อให้สอดคล้องกับหลักการ ของกฎหมายคุ้มครองข้อมูลส่วนบุคคล

3. มีแนวปฏิบัติ (guidelines) เพื่อการ เตรียมความพร้อมในการปฏิบัติตาม PDPA และมีคำอธิบายบทบัญญัติของ PDPA ซึ่งหากพิจารณาเฉพาะตัวพระราชบัญญัติแล้ว  จะเห็นเพียงหลักการแต่ไม่เห็นแนวทางในการปฏิบัติตาม

4. มีความเข้าใจต่อการพิจารณาฐานทางกฎหมาย เมื่อขาดนโยบายและแนวปฏิบัติ หน่วยงานของรัฐส่วนใหญ่จึงไม่มั่นใจว่า ภารกิจหรือกิจกรรมการประมวลผลข้อมูลส่วนบุคคลของตนจะต้องใช้ฐานการประมวลผล ข้อมูลส่วนบุคคลใด โดยเฉพาะอย่างยิ่งในมาตราที่กฎหมายห้ามไม่ให้เก็บรวบรวมข้อมูลส่วนบุคคล หากไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ซึ่งจะเป็นปัญหาสำหรับหน่วยงานของรัฐที่มีภารกิจต้องเก็บจากบุคคลเป็นจำนวนมาก เช่น ฐานข้อมูลทะเบียนราษฎร หรือฐานข้อมูลบัตรประจำตัวประชาชน เป็นต้น เจ้าหน้าที่รัฐอาจไม่มั่นใจว่าจะสามารถขอความยินยอมได้อย่างไร ซึ่งในความเป็นจริงแล้ว PDPA ได้ให้อำนาจหน่วยงานของรัฐในฐานการประมวลผลเพื่อการใช้ประโยชน์ในการจัดทำบริการสาธารณะเอาไว้ โดยไม่ต้อง ขอความยินยอม นอกจากนี้ ในกรณีอื่นๆ หน่วยงานของรัฐก็อาจจะอาศัยฐานในการประมวลผลอื่นๆ เพื่อเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลได้ ได้แก่ ฐานสัญญา ฐานสถิติ  เอกสารประวัติศาสตร์ และจดหมายเหตุ ฐานป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล ฐานประโยชน์โดยชอบด้วยกฎหมาย และฐานการปฏิบัติตามกฎหมาย ซึ่ง PDPA รับรองเอาไว้

5. มีระบบเทคโนโลยีสารสนเทศที่ปลอดภัย หน่วยงานของรัฐบางแห่งยังไม่มีระบบที่ทันสมัยเพียงพอกับการรับมือกับการละเมิด/รั่วไหลของข้อมูลส่วนบุคคล ซึ่งอาจเกิดการรั่วไหลหรือถูกโจมตีต่อระบบคอมพิวเตอร์ได้ หรือในกรณีที่เก็บรักษาเอกสารอิเล็กทรอนิกส์ไว้ในเครื่องคอมพิวเตอร์สำนักงานโดยไม่มีการตั้งรหัสการเข้าถึงข้อมูล (access control) อาจทำให้บุคคลที่ไม่มีส่วนเกี่ยวข้องเข้าถึงข้อมูลได้โดยไม่จำเป็น

นอกเหนือจากสิ่งต่างๆ ที่กล่าวมาแล้ว หลักสำคัญในการปรับตัวตาม PDPA ของภาครัฐคือการตระหนักถึงบทบาทในฐานะผู้ควบคุมข้อมูลส่วนบุคคล ที่ต้องให้การคุ้มครองข้อมูลส่วนบุคคลของประชาชน และต้องสร้างความโปร่งใสในการสื่อสารกับประชาชน

ในกรณีที่จะต้องเก็บรวบรวมและใช้ข้อมูลส่วนบุคคล ภาครัฐควรจะต้องมีการแจ้งให้ประชาชนทราบ เพื่อให้ประชาชสามารถใช้สิทธิของตนเองได้ตามกฎหมาย เพราะหน่วยงานของรัฐส่วนใหญ่ยังขาดการเตรียมกระบวนการเพื่อแจ้งเจ้าของข้อมูลส่วนบุคคลให้ทราบเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล การจัดเตรียมช่องทางการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล โดยควรจะต้องแจ้งให้ประชาชนรับรู้ เพื่อประโยชน์ของประชาชนในการควบคุมสิทธิในข้อมูลส่วนบุคคลของตนเอง