DIT จะต้องกำหนดวัตถุประสงค์ของการจัดเก็บข้อมูลส่วนบุคคลที่ชัดเจนในขณะเวลา
หรือไม่ช้ากว่าเวลาที่เก็บรวบรวมข้อมูล
2. หลักข้อจำกัดในการใช้ข้อมูล
DIT จะไม่ใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่น และจะไม่เปิดเผยต่อบุคคลใด
เว้นแต่จะได้รับความยินยอมจากเจ้าของข้อมูล
3. หลักข้อจำกัดในการเก็บข้อมูล
DIT จะต้องได้รับข้อมูลส่วนบุคคลมาโดยชอบด้วยกฎหมาย
และมีการแจ้งเตือนอย่างเหมาะสมให้เจ้าของข้อมูลรับรู้
พร้อมกับได้รับความยินยอมเพื่อการจัดเก็บ
4. หลักความถูกต้องของข้อมูล
DIT จะต้องเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความถูกต้องครบถ้วนและเป็นปัจจุบัน
5. หลักความปลอดภัยของข้อมูล
DIT จะต้องกำหนดมาตรการความปลอดภัยของข้อมูลที่เหมาะสม เพื่อป้องกันการสูญเสีย การเข้าถึง การทำลาย
การใช้
การปรับเปลี่ยนการใช้งาน การเปิดเผยโดยไม่ได้รับอนุญาต รวมทั้งความเสี่ยงต่อข้อมูลในด้านอื่น ๆ
6. หลักการเปิดเผยนโยบาย
DIT จะต้องเปิดเผยนโยบายป้องกันข้อมูลส่วนบุคคลอย่างชัดเจน เกี่ยวกับวัตถุประสงค์ของการเก็บ การใช้
การควบคุมข้อมูล และสิ่งจำเป็นอื่น ๆ
7. หลักการมีส่วนร่วมของบุคคล
DIT จะต้องให้เจ้าของข้อมูลมีสิทธิยืนยันความมีอยู่ และลักษณะของข้อมูลของตน รวมทั้งการยกเลิกการใช้
การลบหรือแก้ไขข้อมูล หรือเนื้อหาอื่นที่คล้ายคลึงกัน
8.หลักความรับผิดชอบ
DIT จะต้องรับผิดชอบในการปฏิบัติตามหลักการต่าง ๆ
ตามที่กล่าวข้างต้นเพื่อให้เกิดการปฏิบัติที่สอดคล้องกับนโยบายและกฎระเบียบที่เกี่ยวข้อง
DIT จะจัดตั้งองค์กรภายในเพื่อทำหน้าที่ในการจัดทำกฎระเบียบ กำหนดมาตรการป้องกันข้อมูลส่วนบุคคล
การจำแนกข้อมูลและการประเมินความเสี่ยง การให้ความรู้กับผู้ที่เกี่ยวข้อง
รวมทั้งการตรวจติดตามและการประเมินความสอดคล้องของการปฏิบัติตามกฎระเบียบ