Da li svaka institucija ima obavezu donijeti Kodeks ponašanja iz člana 42. Zakona, te da li se radi o posebnom aktu ili to može biti dio etičkog kodeksa koji većina institucija već ima.

U smislu člana 42. Zakona  Agencija za zaštitu ličnih podataka izdaje preporuku za izradu kodeksa ponašanja s ciljem pravilne primjene Zakona o zaštiti ličnih podataka, uzimajući u obzir specifičnost različitih sektora obrade i posebne potrebe mikro, malih i srednjih privrednih subjekata.

Zakon o zaštiti ličnih podataka (“Službeni glasnik BiH” br. 49/06, 76/11 i 89/11 ) koji je još uvijek u primjeni, je u članu 11. propisao obavezu javnih organa da donesu Pravilnik o provođenju Zakona o zaštiti ličnih podataka a svi kontrolori, bez obzira da li su javni  organi ili ne, moraju donijeti Plan sigurnosti podataka kojim se određuju tehničke i organizacione mjere za sigurnost ličnih podataka koje brađuju.

Imaući u vidu član 42. novog Zakona o zaštiti ličnih podataka, kojim je propisano da Kodeks ponašanja treba da sadrži: pravičnu i transparentnu obradu; legitimne interese kontrolora podataka u posebnim kontekstima, prikupljanje ličnih podataka; informisanost javnosti i nosioca podataka; ostvarivanje prava nosioca podataka; oganizacione i tehničke mjere  i tehniču i integrisanu zaštitu podataka, te sigurnost podataka uzimajući u obzir pseudonimizaciju i enkripciju ličnih podataka, jasno je da Kodeks ponašanja objedinjuje sve ono što treba da sadrži Pravilnik i Plan sigurnosti.

Stoga, Kodeks ponašanja u smislu člana 42. Zakona, nije i ne može biti dio Etičkog kodeksa.