En organisation som utarbetar och kommunicerar sin uppförandekod både intern och externt, bör ha för avsikt att efterlevnaden av bestämmelserna ska kunna mätas och kontrolleras. Det vore för enkelt att en organisation bara spaltar upp en uppsättning ogenomtänkta styrningar, för att det ska se fint ut. En organisation ska kunna underkasta sig granskning som revision för att bedöma eller utvärdera, om huruvida organisationen lever upp till den styrning som införts. Etiska och eller moraliska beslut och avgöranden baseras vanligen på skiljaktiga discipliner och ämnesområden. Det finns obegränsat med exempel, några är:
* Nyttjande eller påverkan från/av branschspecifik verksamhet och dit hörande frågor och tolkningar inom affärspraxis.
* Val av arbetssätt, -teknik eller annan metodik, införande och vidmakthållande av styrning.
* Avståndstagande från viss eller vissa organisationer, personer, platser
* Nyttjande eller påverkan på naturresurser eller påverkan på omkringliggande miljö
* Organisationens förenlighet med och utifrån olika bindande krav
* Intern personalpolitik, arbetsmiljö och arbetsförhållanden
*Organisationens behov av eller redan införda säkerhets- och skydds, -nivåer eller -åtgärder
* Grundläggande fri- och rättigheter och andra juridiska inriktade frågeställningar (exempelvis avtal, konventioner)
Mål och syfte med uppförandekod.
Målet med ett införande av uppförandekod är att både internt och externt tydliggöra vilken eller vilka visioner och grundläggande värderingar som ligger till grund för en organisations styrning och inriktning.
Syfte är att organisationen, dess verksamheter och involverade personer och externa aktörer ska veta eller få kunskap om varför organisationens inställning, uppfattning och agerande är på ett visst sätt. Uppförandekoden ska i synnerhet utgöra ett stöd för anställd personal, i övrigt bör uppförandekod kommuniceras och avhandlas i kontrakts- eller avtalsförfaranden och utageras såsom föreskrivet.
Uppförandekod ur Dataskyddsförordningens perspektiv.
Dataskyddsförordningens artiklar och dess beaktandesatser menar, att en organisations uppförandekod avseende behandling av personuppgifter ska kommuniceras och baseras på att:
* Den personuppgiftsansvarige ska åtfölja ansvarsprinciper i sin behandling av personuppgifter.
* Den personuppgiftsansvarige ska införa relevanta och över tiden funktionella säkerhets- och skyddsåtgärder i organisatorisk, fysisk och logisk mening för att säkerställa behandling av den registrerades personuppgifter, omhänderta och beakta dennes intressen och rättigheter.
* Arbete som berör behandling av personuppgifter ska dokumenteras för att kunna mätas, kontrolleras och utvärderas emot Dataskyddsförordningens ingående krav.
Uppförandekod avseende personuppgiftsbehandling ska belysa den personuppgiftsansvariges styrning och tillvägagångssätt att uppnå efterlevnad av dataskyddsförordningens krav.
Uppförandekoden kan ingå och dokumenteras i en organisations policy och dit hörande struktur (ett "ledningssystem för behandling av personuppgifter").
Ett ledningssystem för behandling av personuppgifter (Policystruktur), ska dokumenteras och underlätta revision och tillsyn.
EU-ländernas dataskyddsmyndigheter arbetar i dagsläget i den så kallade Artikel 29-gruppen. Artikel 29-gruppen arbetar med att se över hur uppförandekoder ska granskas och godkännas och vilka krav som ska ställas på styrningar avseende behandling av personuppgifter. Detta är i dagsläget ej beslutat.
En organisations uppförandekod avseende behandling av personuppgifter ska vara förenlig med Dataskyddsförordningens krav och principer, exempel:
* Policy, riktlinjer för behandling av personuppgifter
* Insamling av personuppgifter
* Pseudonymisering av personuppgifter
* Minimering av personuppgifter
* Behandling av känsliga personuppgifter
* Information till allmänheten och till de registrerade
* Information till barn och skydd av uppgifter om barn samt hur samtycke från vårdnadshavare inhämtas i sådana fall
* Etiska och moraliska avgöranden
* Tekniska och organisatoriska åtgärder för att se till att behandlingen sker i enlighet med förordningen och att en lämplig säkerhetsnivå säkerställs.
* Anmälan av personuppgiftsincidenter och information till registrerade om sådana incidenter.
* Överföring av personuppgifter till länder utanför EU samt
* Särskilda tvistlösningsförfaranden mellan personuppgiftsansvariga och registrerade.