Powstające po 25 maja 2018 r. kodeksy postępowania zmienią swoją specyfikę i zaczną mieć większe znaczenie w obrocie, niż stosowane dotychczas kodeksy dobrych praktyk. Tworzenie ich wciąż będzie dobrowolne, staną się jednak istotnym elementem, który pomoże wdrożyć reformę danych osobowych w konkretnych sektorach. Mają tworzyć wytyczne dla podmiotów z branży, określać zasady monitorowania ich przestrzegania oraz konsekwencje w przypadku naruszeń.
Organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja zachęcają do tworzenia kodeksów postępowania dla różnych branż w celu ułatwienia stosowania przepisów RODO, ze szczególnym uwzględnieniem potrzeb mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw. Takie kodeksy mogą doprecyzować w szczególności: zbieranie i pseudonimizacje danych osobowych, prawnie uzasadnione interesy realizowane przez administratorów, czy zgłaszanie naruszeń i przekazywanie danych do państw trzecich lub organizacji międzynarodowych.
Co istotne, tworząc kodeks postępowania należy uprzednio konsultować jego treść z podmiotami, których sprawa dotyczy, tak by móc doprecyzować przepisy RODO w możliwie najpełniejszym zakresie, z uwzględnieniem kwestii ważnych dla danej branży.
Kodeksy postępowania będą zatwierdzane przez organy nadzorcze i monitorowane przez autoryzowane podmioty, które muszą dysponować odpowiednim poziomem wiedzy fachowej w dziedzinie będącej przedmiotem kodeksu. Taki podmiot będzie uprzednio akredytowany przez właściwy organ nadzorczy. Wprowadzenie kodeksu branżowego wiąże się z wieloma korzyściami dla podmiotów z danego sektora, ułatwia m.in. stosowanie zasady rozliczalności wedle, której administrator zobowiązany jest do wykazania zgodnego z przepisami przetwarzania danych osobowych. Ponadto posługiwanie się kodeksem postępowania świadczy o podwyższonym standardzie i bezpieczeństwie przetwarzania w danym podmiocie.
Stosowanie kodeksu postępowania będzie również brane pod uwagę przy podejmowaniu decyzji co do nałożenia kary pieniężnej i jej wysokości (art. 83 RODO), czyli będzie się wiązało z obniżeniem ryzyka finansowego dla podmiotu przetwarzającego dane osobowe.
Prace nad kodeksami postępowania rozpoczęły już podmioty z branży medycznej, bankowej i informatycznej. Przedstawiciele innych sektorów również rozważają wprowadzenie takiej regulacji wewnątrz swojej branży.