Ņemot vērā tirgus dalībnieku pausto interesi par Eiropas Parlamenta un Padomes regulā Nr.2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) iekļauto personas datu aizsardzības rīku izstrādi un izmantošanas uzsākšanu ikdienas darbā, Valsts Datu inspekcija publiskojusi nelielu ieskatu attiecībā uz rīcības kodeksu.

Vispārīgajā datu aizsardzības regulā norādīts, ka, lai atvieglotu šīs regulas efektīvu piemērošanu, apvienības vai citas struktūras, kas pārstāv pārziņu vai apstrādātāju kategorijas, būtu jāmudina izstrādāt rīcības kodeksus, ievērojot šajā regulā paredzētos ierobežojumus un ņemot vērā apstrādes īpatnības konkrētās nozarēs un mikrouzņēmumu, mazo un vidējo uzņēmumu īpašās vajadzības. Jo īpaši, šādos rīcības kodeksos varētu precizēt pārziņu un apstrādātāju pienākumus, ņemot vērā apstrādei raksturīgo risku, ko tā varētu radīt fizisku personu tiesībām un brīvībām (Vispārējās datu aizsardzības regulas 98.apsvērums).

Rīcības kodekss ir viens no elementiem, lai demonstrētu uzņēmuma atbilstību Regulas prasībām (Vispārējās datu aizsardzības regulas 24.panta trešā daļa), tas ir arī viens no faktoriem, ko var ņemt vērā izstrādājot, ietekmes novērtējumu (Vispārējās datu aizsardzības regulas 35.panta astotā daļa).

Savukārt, ja, neskatoties uz rīcības kodeksa izmantošanu, tomēr ir noticis datu subjekta tiesību aizskārums, tā izmantošana ir viens no faktoriem, kas tiek ņemts vērā, izvērtējot administratīvā soda apmēra piemērošanu (Vispārējā datu aizsardzības regula 83.panta otrās daļas j.punkts).

Izstrādājot rīcības kodeksu, ir jāievēro Vispārīgās datu aizsardzības regulas 40.panta prasības:
“40. pants
Rīcības kodeksi
1. Dalībvalstis, uzraudzības iestādes, kolēģija un Komisija mudina izstrādāt rīcības kodeksus, kas paredzēti, lai veicinātu šīs regulas atbilstīgu piemērošanu, ņemot vērā dažādo apstrādes nozaru specifiskās iezīmes un mikrouzņēmumu, mazo un vidējo uzņēmumu konkrētās vajadzības.
2. Apvienības un citas struktūras, kas pārstāv pārziņu vai apstrādātāju kategorijas, var izstrādāt rīcības kodeksus vai tos grozīt vai papildināt, lai precīzi noteiktu, kā piemērojama šī regula, piemēram, attiecībā uz:
a) godprātīgu un pārredzamu apstrādi;
b) pārziņu leģitīmajām interesēm konkrētos gadījumos;
c) personas datu vākšanu;
d) personas datu pseidonimizāciju;
e) informāciju, ko sniedz sabiedrībai un datu subjektiem;
f) datu subjektu tiesību īstenošanu;
g) informāciju, ko sniedz bērniem un bērnu aizsardzību un to, kādā veidā iegūstama tās personas piekrišana, kurai ir vecāku atbildība par bērniem;
h) pasākumiem un procedūrām, kas minēti 24. un 25. pantā, un pasākumiem, ar ko garantē 32. pantā minēto apstrādes drošību;
i) uzraudzības iestāžu informēšanu par personas datu aizsardzības pārkāpumiem un šādu personas datu pārkāpumu paziņošanu datu subjektiem;
j) personas datu nosūtīšanu uz trešām valstīm vai starptautiskām organizācijām; vai
k) ārpustiesas procedūrām un citām strīdu risināšanas procedūrām attiecībā uz strīdiem starp pārzini un datu subjektu saistībā ar apstrādi, neskarot datu subjektu tiesības saskaņā ar 77. un 79. pantu.
3. Papildus tam, ka rīcības kodeksus, kas ir apstiprināti atbilstīgi šā panta 5. punktam un vispārēji piemērojami atbilstīgi šā panta 9. punktam, ievēro pārziņi vai apstrādātāji, uz kuriem attiecas šī regula, tos var ievērot arī pārziņi vai apstrādātāji, uz kuriem atbilstīgi 3. pantam šī regula neattiecas, lai nodrošinātu atbilstošas garantijas, ko piemēro personas datu nosūtīšanai uz trešām valstīm vai starptautiskām organizācijām saskaņā ar noteikumiem, kas minēti 46. panta 2. punkta e) apakšpunktā. Šādi pārziņi vai apstrādātāji, izmantojot līgumiskus vai citus juridiski saistošus instrumentus, uzņemas saistošas un īstenojamas saistības piemērot minētās atbilstošās garantijas, tostarp attiecībā uz datu subjektu tiesībām.
4. Neskarot to uzraudzības iestāžu uzdevumus un pilnvaras, kuras ir kompetentas saskaņā ar 55. vai 56. pantu, šā panta 2. punktā minētajā rīcības kodeksā ir ietverti mehānismi, kas ļauj 41. panta 1. punktā minētajai struktūrai veikt obligāto pārraudzību par to, kā pārziņi vai apstrādātāji, kuri apņemas piemērot attiecīgo kodeksu, ievēro tā noteikumus.
5. Šā panta 2. punktā minētās apvienības un citas struktūras, kas plāno izstrādāt rīcības kodeksu vai grozīt vai papildināt esošu rīcības kodeksu, iesniedz rīcības kodeksa, grozījumu vai papildinājumu projektu uzraudzības iestādei, kura saskaņā ar 55. pantu ir kompetenta. Uzraudzības iestāde sniedz atzinumu par to, vai rīcības kodeksa, grozījumu vai papildinājumu projekts ir saskaņā ar šo regulu, un apstiprina minēto rīcības kodeksa, grozījumu vai papildinājumu projektu, ja tā konstatē, ka tas nodrošina pietiekamas atbilstošas garantijas.
6. Ja rīcības kodeksa, grozījumu vai papildinājumu projekts ir apstiprināts saskaņā ar 5. punktu un ja attiecīgais rīcības kodekss neattiecas uz apstrādes darbībām vairākās dalībvalstīs, uzraudzības iestāde reģistrē un publisko kodeksu.
7. Ja rīcības kodeksa projekts attiecas uz apstrādes darbībām vairākās dalībvalstīs, uzraudzības iestāde, kura saskaņā ar 55. pantu ir kompetenta, pirms rīcības kodeksa projektu, grozījumu vai papildinājumu apstiprināšanas 63. pantā noteiktajā kārtībā iesniedz kolēģijai, kas sniedz atzinumu par to, vai minētais rīcības kodeksa projekts, grozījums vai papildinājums ir saskaņā ar šo regulu, vai – gadījumā, kas minēts šā panta 3. punktā – nodrošina atbilstošas garantijas.
8. Ja 7. punktā minētais atzinums apstiprina, ka rīcības kodeksa projekts, grozījums vai papildinājums ir saskaņā ar šo regulu vai – gadījumā, kas minēts 3. punktā – nodrošina atbilstošas garantijas, kolēģija iesniedz atzinumu Komisijai.
9. Komisija, pieņemot īstenošanas aktus, var nolemt, ka saskaņā ar šā panta 8. punktu iesniegts apstiprināts rīcības kodekss, grozījums vai papildinājums ir vispārēji piemērojami Savienībā. Minētos īstenošanas aktus pieņem saskaņā ar 93. panta 2. punktā minēto pārbaudes procedūru.
10. Komisija nodrošina atbilstīgu publicitāti tiem apstiprinātajiem rīcības kodeksiem, par kuriem saskaņā ar 9. punktu pieņemts lēmums, ka tie ir vispārēji piemērojami.
11. Kolēģija visus apstiprinātos rīcības kodeksus, grozījumus un papildinājumus sakopo reģistrā un dara tos publiski pieejamus, izmantojot piemērotus līdzekļus.

Datu valsts inspekcija informē, ka Vispārīgajā datu aizsardzības regulā nav noteikta konkrēta forma vai ietvars, kā rīcības kodekss būtu izstrādājams. Vienlaikus saprotams, ka rīcības kodeksā jābūt noteiktai skaidrai procedūrai, lai process, kam rīcības kodekss izstrādāts, noritētu atbilstoši Vispārīgās datu aizsardzības regulas prasībām.

Rīcības kodeksa izstrādi nodrošina pārzinis vai pārziņu apvienība, to pēc izstrādes apstiprinot uzraudzības iestādē – Latvijā – Datu valsts inspekcijā. Ja process, uz kuru attiecināms rīcības kodekss, skar datu apstrādi arī citā dalībvalstī, tad šāds rīcības kodekss tiks apstiprināts Eiropas Datu aizsardzības kolēģijā.

Datu valsts inspekcijas ieskatā, lai nodrošinātu rīcības kodeksa atbilstību Vispārīgās datu aizsardzības regulas prasībām, tajā būtu jāsniedz ieskats vismaz par sekojošiem aspektiem:

1. Informācija par pārzini vai pārziņiem, darbības jomu, uz kuru attiecas rīcības kodekss.
2. Informācija par precīzu rīcības kodeksa tvērumu (kādas tieši apstrādes darbības konkrētajā rīcības kodeksā paredzēts reglamentēt).