สําหรับในส่วนผู้เก็บข้อมูลนั้น นับว่าได้รับผลกระทบโดยตรงเป็นอย่างมากกับ PDPA ที่จะต้องปฏิบัติตาม ผู้ควบคุมข้อมูลส่วนบุคคลจึงต้องมีการกําหนดนโยบายความปลอดภัยของข้อมูลส่วนบุคคลภายในองค์กรและให้ ความรู้แก่บุคคลากรในองค์กร, รู้ขอบเขตการเก็บรวบรวม การใช้ การเผยแพร่ข้อมูลส่วนบุคคล, มีระบบการจัดเก็บ ข้อมูลส่วนบุคคลที่ปลอดภัย, มีการจํากัดการเข้าถึงข้อมูลส่วนบุคคล, มีการบันทึกกิจกรรมการใช้ข้อมูลส่วนบุคคล สิ่งเหล่านี้ล้วนจําเป็นอย่างยิ่งที่ผู้ควบคุมข้อมูลจะต้องปฏิบัติตามเพื่อให้สอดคล้องกับ PDPA

องค์กรต่าง ๆ จึงจําเป็นต้องสร้างนโยบายเกี่ยวกับข้อมูลส่วนบุคคลก่อนที่จะได้ข้อมูลจากผู้บริโภค แน่นอนว่าองค์กรต่าง ๆ ต้องทําการขออนุญาตก่อน ซึ่งในเชิงของการขอเข้าถึงข้อมูลออนไลน์ จะต้องสร้างหน้า Privacy Policy เพื่ออธิบายและสร้างความเข้าใจเรื่องมาตรการปกป้องความเป็นส่วนตัวของข้อมูล เช่น เราจะเก็บข้อมูลใดบ้าง, วัตถุประสงค์ในการเก็บข้อมูลคืออะไร, ใช้อะไรในการเก็บรักษาข้อมูล เพื่อให้ผู้บริโภค สบายใจมากขึ้น และเราต้องสามารถเก็บรักษาข้อมูลให้เป็นความลับ ไม่มีการรั่วไหลออกไปให้ได้ เพื่อให้ถูกต้อง ตามข้อบังคับของ PDPA ด้วย