ในปัจจุบัน องค์กรหลาย ๆ ที่เริ่มเข้าสู่กระบวนการปฎิบัติเพื่อให้สอดคล้องกับพรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
หน่วยงานที่จะต้องปรับตัวเพื่อให้เป็นไปตามกระบวนการนั้นก็คือ IT Audit โดยปกติถ้าเป็นองค์กรขนาดใหญ่ ก็จะมีส่วนงานนี้เป็นข้งตนเอง แต่ยางองค์กรก็นิยมจะ Outsource ในส่วนการบริการนี้ให้กับที่ปรึกษาภายนอกทำแทน โดย IT Domain ที่จะต้องพิจารณาตอนตรวจเพื่อให้สอดคล้องกับ PDPA นั้นหลักๆ มีอยู่ 3 ส่วน
- Technical Layer
- IT Management
- IT Controls
Technical Layer ก็จะพิจารณาตั้งแต่ Infrastructure, Application Systems, Database, Operating Systems, Network ต่างๆ
IT Management ก็จะพิจารณาหลายๆ ส่วน เช่น Evaluate, Direct and Monitor (EDM), Align, Plan and Organise (APO), Build, Acquire and Implement (BAI), Delivery, Service and Support (DSS), Monitor, Evaluate and Assess (MEA)
IT Controls ก็จะดูจาก Application Controls, General Controls ต่างๆ รวมไปถึง Change Management ด้วย
ดังนั้นหน่วยงานนี้จึงเป็นกลไกหลักที่สำคัญ ที่เป็นผู้บอกว่าที่เราทำมานั้น มีจุดไหนที่ควรปรับปรุงหรือความสอดคล้องบ้าง เพราะหลายๆ ที่ไม่ได้แค่ต้องการความสอดคล้อตาม พรบ. เท่านั้น
เขายังจะมองไปที่การได้การรับรองมาตรฐาน ISO 27701 (IMS: Privacy Information Management Systems) ด้วย ซึ่งเป็นมาตรฐานทางด้านนี้โดยตรง