Zgodnie z art. 40 ogólnego rozporządzenia o ochronie danych (RODO) państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja zachęcają do sporządzania kodeksów postępowania mających pomóc we właściwym stosowaniu przepisów tego aktu. Kodeksy stanowiące element tzw. soft law, w założeniu mają mieć charakter instrumentu samoregulacyjnego i branżowego tj. uwzględniać specyfikę różnych sektorów dokonujących przetwarzania danych poprzez włączenie do ich tworzenia istniejących w danej branży organizacji (zrzeszeń). Trzeba zauważyć, że pomysł wprowadzania kodeksów postępowania nie jest postulatem nowym w prawie ochrony danych osobowych. Promowanie kodeksów postępowania przewiduje art. 27 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, tym niemniej na gruncie RODO kwestię kodeksów branżowych uregulowano bardziej szczegółowo, a ponadto wzrosła ich doniosłość.
Chociaż co do zasady kodeksy dobrych praktyk mają charakter informacyjny i niewiążący to na gruncie RODO ich status będzie odbiegał od tego założenia. Przyjmując do stosowania dany kodeks, członkowie zrzeszenia dostosowują swoje działania do reguł w nim określonych i zobowiązują się do jego przestrzegania, licząc się jednocześnie z ewentualnymi konsekwencjami w przypadku naruszeń. Art. 40 ust. 4 RODO wprost stanowi, że kodeksy postępowania muszą zawierać mechanizmy pozwalające prowadzić obowiązkowe monitorowanie ich przestrzegania przez podmioty, które zobowiązały się do jego stosowania. Trzeba jednak zauważyć, że stosowanie kodeksów dobrych praktyk przynosi liczne korzyści nie tylko osobom, których dane dotyczą ale również samym administratorom i podmiotom przetwarzającym. Ci ostatni otrzymują jasne i uwzględniające specyfikę danej branży wytyczne oraz procedury co do przetwarzania danych osobowych a ponadto stosowanie kodeksów pozwoli tym podmiotom na realizację kluczowej na gruncie RODO zasady rozliczalności, tj. wykazania przestrzegania przepisów ochrony danych osobowych. Jak wynika wprost z przepisów RODO stosowanie kodeksów postępowania pozwoli m.in. na wykazanie rzetelnego wyboru osoby przetwarzającej czy też spełniania obowiązków związanych z wdrażaniem środków organizacyjnych i technicznych zapewniających bezpieczeństwo danych. Warto także zauważyć, że na podstawie art. 83 RODO regulującego warunki nakładania administracyjnych kar pieniężnych, stosowanie zatwierdzonych kodeksów postępowania będzie brane pod uwagę przy podjęciu decyzji co do ewentualnego nałożenia kary pieniężnej i jej wysokości.
Zakres przedmiotowy kodeksów branżowych w RODO nie został określony w sposób wyczerpujący. Powyższe jest związane z istotą kodeksu dobrych praktyk jako instrumentu samoregulacyjnego, co oznacza, że zrzeszenia we współpracy z organem nadzorczym (obecnie GIODO) powinny mieć decydujący wpływ na kształt kodeksu. Tym niemniej w art. 40 ust. 2 RODO wymienia niektóre zagadnienia regulowane przez rozporządzenie, które mogą być doprecyzowane w kodeksie, są nimi m.in. rzetelne i przejrzyste przetwarzanie, prawnie uzasadnione interesy realizowane przez administratorów w określonych kontekstach, zbieranie danych osobowych, pseudonimizacja danych osobowych, informowanie opinii publicznej i osób, których dane dotyczą, wykonywanie przez osoby, których dane dotyczą, przysługujących im praw itp.
Stworzone przez zrzeszenia projekty kodeksów postępowania będą konsultowane, zatwierdzane, rejestrowane i publikowane przez organ nadzorczy. Prace nad kodeksami dobrych praktyk trwają już m.in. w sektorze bankowym, teleinformatycznym i internetowym.
