ปัญหาข้อที่ ๑ ใครเป็นผู้เก็บข้อมูล เจ้าของข้อมูลที่แท้จริงในการเก็บข้อมูล ซึ่งเป็นการเริ่มต้นพิจารณาถึง “บุคคล” ในฐานะเจ้าของข้อมูลที่จัดเก็บข้อมูลทั้งโดยตนเอง หรือ จัดเก็บข้อมูลโดยตนเองและเชื่อมโยงข้อมูลไปยังหน่วยงานอื่น ซึ่งการพิจารณาดังกล่าวจะมีผลต่อเนื่องไปยัง “หน้าที่” ในการคุ้มครองข้อมูลส่วนบุคคลที่จัดเก็บมานั้น

ประเด็นพิจารณา ในกรณีที่เก็บข้อมูล โดยหน่วยงานนั้นเองผ่านทางเว็บไซต์ของหน่วยงานนั้นเอง และ เว็บไซต์นั้นมีความเกี่ยวข้องกับหน่วยงานอื่น  ประเด็นสำคัญอยู่ที่ “ใคร” เป็นเจ้าของข้อมูลที่แท้จริง เพราะมีผลต่อหน้าที่ในการคุ้มครองข้อมูลส่วนบุคคล

ในทางปฏิบัติ อาจเกิดข้อเท็จจริงใน ๓ ลักษณะ กล่าวคือ หน่วยงานรัฐนั้นมีเว็บไซต์เพื่อเก็บข้อมูลเอง หรือ เก็บข้อมูลโดยเว็บไซต์และเว็บไซต์นั้นมีความเกี่ยวข้องกับหน่วยงานอื่น โดยความเกี่ยวข้องนั้น มีผลให้ข้อมูลส่วนบุคคลที่เก็บมานั้นปรากฏต่อหน่วยงานอื่นนั้นด้วย

ยกตัวอย่างเช่น กระทรวงวัฒนธรรม ดำเนินการตามมติคณะรัฐมนตรีด้านมาตรการทดลองมาตรการในการกำกับเวลาในการเล่นเกมของเด็กอายุตำกว่า ๑๘ ปี เล่นเกมติดต่อกันไม่เกินวันละ ๓ ชั่วโมง เพื่อตอบสนองต่อนโยบายดังกล่าว

Ø  กระทรวงวัฒนธรรมจึงว่าจ้างให้บริษัทเอกชนรายหนึ่งทำระบบการจัดเก็บฐานข้อมูลเพื่อทำให้ผู้เล่นเกมต้องลงทะเบียนเพื่อระบุตัวตน

Ø  กระทรวงวัฒนธรรม ออกแบบการจัดเก็บข้อมูลเพื่อระบุตัวตนของผู้เล่นเกม ประกอบด้วย ชื่อ นามสกุล เพศ วันเดือนปี เกิด อายุ ที่อยู่

Ø  กระทรวงวัฒนธรรมเชื่อมฐานข้อมูลที่จัดเก็บมาผ่านทางเว็บไซต์เข้ากับกรมการปกครอง กระทรวงมหาดไทย เพื่อยืนยัน ความถูกต้องแท้จริงของข้อมูล โดยเฉพาะเรื่องอายุ ซึ่ง กรมการปกครอง จัดเก็บข้อมูลจากประชาชนตามอำนาจหน้าที่ตามกฎหมาย

Ø  ในขณะเดียวกันผู้เล่นเกมจะต้องทำการลงทะเบียนการเล่นเกมผ่านทางผู้ให้บริการเกม ซึ่ง ผู้ให้บริการเกมจะเชื่อมโยงฐานข้อมูลกับกระทรวงวัฒนธรรมที่เชื่อมโยงกับกระทรวงมหาดไทยเพื่อระบุและตรวจสอบอายุของผู้เล่นเกม

Ø  กระทรวงวัฒนธรรมยังเชื่อมโยงฐานข้อมูลกับกระทรวงไอซีที เพื่อจัดเก็บเป็นข้อมูลจราจรคอมพิวเตอร์ ตาม พรบ.การกระทำความผิดเกี่ยวกับคอมพิวเตอร์

           จะเห็นได้ว่า ในกรณีที่เก็บข้อมูลผ่านทางเว็บไซต์และมีความเกี่ยวข้องกับหน่วยงานอื่นนั้น จากกรณ๊ศึกษาดังกล่าว ประเด็นเรื่องความเกี่ยวข้องสามารถอธิบายได้ใน ๓ ลักษณะ กล่าวคือ ลักษณะที่ ๑ หน่วยงานรัฐนั้นเองจ้างคนอื่นเก็บโดยข้อสัญญา เช่น สัญญาจ้างทำของ ตัวแทน นายหน้า ลักษณะที่ ๒ การเก็บข้อมูลและถ่ายโอนข้อมูล หรือส่งข้อมูลไปยังหน่วยงานอื่นตามข้อนโยบายแห่งรัฐ ลักษณะที่ ๓ การเก็บข้อมูลและถ่ายโอนข้อมูล หรือส่งข้อมูลไปยังหน่วยงานอื่นตามข้อกฎหมาย

ปัญหาที่ต้องตอบในเบื้องต้นก็คือ (๑) ใครเป็นเจ้าของข้อมูลที่แท้จริงระหว่างผู้เก็บข้อมูลทั้งหลาย (๒) ใครเป็นผู้เป็นผู้มีหน้าที่คุ้มครองข้อมูลส่วนบุคคล ระหว่าง กระทรวงวัฒนธรรมที่จัดเก็บข้อมูล บริษัทเอกชนที่จัดทำเว็บไซต์ในนามกระทรวง หรือ กระทรวงมหาดไทยที่จัดเก็บข้อมูลและเชื่อมโยงข้อมูลกับกระทรวงวัฒนธรรม ผู้ให้บริการเกมคอมพิวเตอร์ที่จัดเก็บฐานข้อมูลและเชื่อมโยงข้อมูลมายังกระทรวงวัฒนธรรม

ข้อที่ ๒ การได้มาซึ่งข้อมูล เป็นการพิจารณาถึง “ลักษณะของการกระทำ” เพื่อการรวบรวมข้อมูลส่วนบุคลที่จัดเก็บมานั้นจาก “หลายแหล่ง” ทั้งจากเว็บไซต์โดยตรง และ จากบุคคลอื่น ที่อาจจะเป็นในกรณีของ จากหน่วยงานนั้นเอง หรือ จากบุคคลอื่น

ยกตัวอย่างเช่น ในกรณีที่สำนักงานวัฒนธรรมแห่งชาติ หรือ สวช กระทรวงวัฒนธรรม จะดำเนินการจัดทำระบบการขออนุญาตประกอบกิจการร้านเกมคาเฟ่ออนไลน์ ซึ่งจะเป็นการจัดทำฐานข้อมูลร้านเกมคาเฟ่ (โดยอาศัยอำนาจตาม พรบ.ภาพยนตร์และวีดีทัศน์ พ.ศ.๒๕๕๑) ในรูปของฐานข้อมูลอิเล็กทรอนิกส์ไปในตัวด้วย กรณีนี้เป็นการเก็บข้อมูลจากการขออนุญาตประกอบกิจการร้านวีดีทัศน์ที่ประกอบด้วยฐานข้อมูลส่วนบุคคล และ ข้อมูลด้านการประกอบกิจการ และ ฐานข้อมูลดังกล่าว

Ø  มีการจัดทำเว็บไซต์เพื่อให้ผ็ขออนุญาตเข้ามากรอกข้อมูลในการขออนุญาตในระบบออนไลน์ผ่านทางหน่าเว็บไซต์ของกระทรวงวัฒนธรรม

Ø  ในกรณีของกรุงเทพมหานคร สวช ดำเนินการจัดเก็บฐานข้อมูลเอง

Ø  ในกรณีของต่างจัดหวัด สำนักงานวัฒนธรรมจังหวัดจัดเก็บฐานข้อมูล แต่ทั้งนี้ ภายใต้อำนาจในการบริหารจัดการ ดำเนินการอนุญาตโดยผู้ว่าราชการจังหวัด ซึ่งอยู่ภายใต้กระทรวงมหาดไทย

Ø  ในขณะเดียวกัน มีการรวบรวมฐานข้อมูลจากผู้ให้บริการเกมคอมพิวเตอร์ และ บริษัทไมโครซอฟท์ ประเทศไทย ในการนำข้อมูลมาประกอบการจัดเก็บฐานข้อมูล

Ø  การจัดเก็บฐานข้อมูลดังกล่าว อาจส่งผลต่อการอนุญาต หรือ ไม่อนุญาต โดยพิจารณาจากคุณสมบัติของผู้ขออนุญาต

Ø  ในขณะเดียวกัน มีการเชื่อมโยงฐานข้อมูลมาจากกรมการปกครอง และ สำนักงานตำรววจแห่งชาติ เพื่อตรวจสอบคุณสมบัติด้านอาชญากรรม

ปัญหาที่จะต้องพิจารณาก็คือ การเก็บข้อมูลมาจากหลายแหล่งดังกล่าวนี้ หน่วยงานรัฐมีหน้าที่จะต้องแจ้งการเก็บข้อมูลจากหลายแหล่งให้ผู้ใช้บริการ

ข้อที่ ๓ การปฏิบัติต่อข้อมูลที่เก็บมาเพื่อเป็นการคุ้มครองข้อมูลของเจ้าของที่ให้ข้อมูล เป็นการพิจารณาถึง “หน้าที่” ของหน่วยงานของรัฐที่จัดเก็บข้อมูลส่วนบุคคลในการที่จะต้อง “คุ้มครอง” ข้อมูลส่วนบุคคล ซึ่งสามารถแบ่งแยกได้เป็น ๔ ประเด็น กล่าวคือ (๑) การให้บุคคลอื่นใช้หรือเปิดเผยข้อมูลส่วนบุคคล อันหมายถึงการนำข้อมูลไปให้กับบุคลอื่นใช้ การกระทำดังกล่าวต้องมีการระบุหรือแจ้งให้ผู้ให้ข้อมูลทราบถึงการกระทำดังกล่าวด้วย (๒) การเก็บ รวบรวม การใช้ และการเปิดเผยข้อมูลเกี่ยวกับผู้ใช้บริการเพื่อวัตถุประสงค์อื่นที่นอกเหนือไปจากวัตถุประสงค์ในการเก็บข้อมูลเดิม ก็ต้องมีการแจ้งให้เจ้าของที่ให้ข้อมูลทราบถึงการกระทำดังกล่าวโดยจะต้องได้รับความยินยอมจากเจ้าของข้อมูลที่ให้ข้อมูลก่อน (๓)  การเข้าถึง แก้ไขให้ถูกต้อง และ การปรับปรุงให้เป็นปัจจุบันโดยเจ้าของข้อมูล และ (๔) หน้าที่ในการเก็บรักษาข้อมูลที่มีความปลอดภัยและมั่นคง