Zgodnie z art. 40 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) organy i podmioty publiczne (z wyjątkiem sądów w zakresie sprawowania prze nie wymiaru sprawiedliwości) – dalej RODO, zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów lub podmioty przetwarzające mogą opracowywać (zmieniać, rozszerzać) kodeksy postępowania aby doprecyzować zastosowanie RODO.

Tworzenie kodeksów ma charakter nieobligatoryjny. Instrument ten może jednak pomóc w stosowaniu przepisów RODO w niektórych sektorach. Doprecyzowanie RODO może dotyczyć m.in.:

1. rzetelnego i przejrzystego przetwarzania;
2. prawnie uzasadnionych interesów realizowanych przez administratorów w określonych kontekstach (z ograniczeniem wynikającym z faktu, iż w odniesieniu do organów publicznych w odniesieniu do realizowanych przez nie zadań, istnienie prawnie uzasadnionych interesów nie może być podstawą prawną przetwarzania danych);
3. zbierania danych osobowych;
4. pseudonimizacji danych osobowych (tj. przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej);
5. informowania opinii publicznej i osób, których dane dotyczą;
6. wykonywania przez osoby, których dane dotyczą, przysługujących im praw;
7. informowania i ochrony dzieci oraz sposobu pozyskiwania zgody osoby sprawującej władzę rodzicielską lub opiekę nad dzieckiem;
8. środków i procedur, o których mowa w art. 24 (wdrażanie odpowiednich środków technicznych i organizacyjnych aby przetwarzanie danych odbywało się zgodnie z RODO)  i 25 (uwzględnienie ochrony danych w fazie projektowania oraz domyśla ochrona danych), oraz środków zapewniających bezpieczeństwo przetwarzania, o których mowa w art. 32;
9. zgłaszania organowi nadzorczemu naruszeń ochrony danych osobowych oraz zawiadamiania o takich naruszeniach osób, których dane dotyczą;
10. przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych; lub
11. postępowań pozasądowych oraz innych trybów rozstrzygania sporów w celu rozstrzygania sporów między administratorami a osobami, których dane dotyczą, w zakresie przetwarzania, bez uszczerbku dla praw osób, których dane dotyczą, na mocy art. 77 i 79.

Co do zasady projektu kodeksu (jego zmiany i rozszerzenia) będą wymagały zatwierdzenia przez organ nadzorczy. W Polce będzie to Prezes Urzędu Ochrony Danych Osobowych. Zatwierdzony projekt podlegać będzie rejestracji i publikacji. Z projektu ustawy o ochronie danych osobowych z 8 lutego 2018 r. wynika, że postępowanie w sprawie zatwierdzenia kodeksu będzie prowadzone w trybie administracyjnym. Stroną tego postępowania będzie wyłączenie wnioskodawca występujący z wnioskiem o zatwierdzenie kodeksu.

W odniesieniu do projektów kodeksów dotyczących czynności przetwarzania w kliku państwach członkowskich procedura będzie wyglądała nieco inaczej. Zważywszy jednak, że sytuacje takie w odniesieniu do jednostek samorządu terytorialnego będą miały raczej rzadkie zastosowanie, zainteresowanych odsyłamy w tym zakresie do art. 40 ust. 7-11 RODO.

Kodeksy będą podlegały monitorowaniu zarówno przez krajowy organ nadzoru jak i akredytowany przez organ nadzoru odrębny podmiot. Co ważne w kodeksie postępowania należy ma przewidywać mechanizmy pozwalające akredytowanemu podmiotowi  prowadzić monitorowanie przestrzenia kodeksu, przez tych, którzy podjęli się jego stosowania.