Reglerne om adfærdskodekser findes i databeskyttelsesforordningens kapitel IV, afdeling V. Reglerne har til formål at lette overholdelsen af de databeskyttelsesretlige regler ved at præcisere og konkretisere anvendelsen af bestemte regler og/eller områder inden for databeskyttelsesforordningen. En adfærdskodeks kan eksempelvis bruges inden for visse brancher, hvor bestemte problemstillinger kan gøres mere overskuelige at overholde for dataansvarlige eller databehandlere ved udarbejdelse af konkrete retningslinjer. En adfærdskodeks skal derfor være tilstrækkeligt fokuseret på bestemte databeskyttelsesretlige områder og problemstillinger i den pågældende sektor, og den skal kunne tilvejebringe tilstrækkeligt klare og præcise løsninger til disse områder og problemstillinger.
Efter databeskyttelsesforordningen kan sammenslutninger eller andre organer, der repræsenterer kategorier af dataansvarlige eller databehandlere, udarbejde adfærdskodekser, eller ændre eller udvide sådanne kodekser med henblik på at specificere anvendelsen af forordningen. En adfærdskodeks skal derfor ikke på et generelt plan vejlede om reglerne, men kan eksempelvis omfatte:
- rimelig og gennemsigtig behandling
- de legitime interesser, som forfølges af den dataansvarlige i specifikke sammenhænge
- indsamlingen af personoplysninger
- pseudonymiseringen af personoplysninger
- informationen, der gives til offentligheden og til registrerede
- udøvelsen af registreredes rettigheder
- informationen, der gives til børn, og beskyttelsen af børn og den måde, hvorpå samtykket fra indehavere af forældremyndighed over børn skal indhentes
- foranstaltningerne og procedurerne omhandlet i artikel 24 og 25 og foranstaltningerne til at sikre behandlingssikkerhed som omhandlet i artikel 32
- anmeldelsen af brud på persondatasikkerheden til tilsynsmyndighederne og underretningen af de registrerede om sådanne brud på persondatasikkerheden
- overførslen af personoplysninger til tredjelande eller internationale organisationer, eller
- udenretslige procedurer og andre procedurer for bilæggelse af tvister mellem dataansvarlige og registrerede vedrørende behandling, uden at det berører registreredes rettigheder i henhold til artikel 77 og 79.
En kodeks skal godkendes af tilsynsmyndigheden (Datatilsynet) efter forelæggelse af udkast i overensstemmelse med reglerne i databeskyttelsesforordningens kapitel IV, afdeling 5.
En adfærdskodeks, som regulerer behandlingsaktiviteter for private organer, skal endvidere have et akkrediteret kontrolorgan. Kontrolorganets opgave er blandt andet at sikre, at de dataansvarlige og databehandlere, som er tilsluttet kodeksen, overholder kodeksens retningslinjer.
For at blive akkrediteret af Datatilsynet, skal kontrolorganet opfylde en række krav, som er fastsat i databeskyttelsesforordningens artikel 41, stk. 2. Datatilsynet har – i overensstemmelse med databeskyttelsesforordningens artikel 41, stk. 3 – uddybet disse krav og forelagt dem for Det Europæiske Databeskyttelsesråd, som har vedtaget en udtalelse vedrørende kravene.