Osoby rezygnujące z przynależności do Kościoła katolickiego, w myśl konstytucyjnej zasady wolności sumienia i religii maja prawo do usunięcia wszelkich dowodów przynależności do Kościoła.
W zakresie ochrony danych osobowych obecnie obowiązującymi aktami prawnymi są rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – (RODO) opublikowanego w Dz. Urz. UE L 119 z 4.05.2016 r oraz dyrektywa Parlamentu Europejskiego i Rady z dn.27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy w celu zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW opublikowana w Dz.Urz. UE L 127 z 23.05.2018 r. , a także ustawa z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. U. z 2018 r., poz.1000, 1669), która służy stosowaniu powołanych wyżej aktów prawa europejskiego.
Ustawa uchyliła poprzednio obowiązującą ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. W dniu 21 lutego 2019 roku ustawą o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. U. z 2019, poz.730) wprowadzone zostały dalsze zmiany w obowiązującym prawie dostosowujące go do przepisów rozporządzenia unijnego
W poprzednim stanie prawnym regulowanym uchyloną ustawą o ochronie danych osobowych obowiązywały szczególne restrykcje w przetwarzaniu tzw. wrażliwych danych osobowych, do których z całą pewnością zaliczały się dane osobowe osób fizycznych przetwarzane przez kościoły i inne związki wyznaniowe jako związane z przynależnością wyznaniową. Ustanowione kryteria dopuszczalności przetwarzania danych wrażliwych dotyczyły (art.27 ust. 2 ustawy) wykonywania zadań statutowych kościołów i związków wyznaniowych np. w przygotowaniu formacyjnym kandydatów do stanu duchownego czy w kościelnych postępowaniach sądowych np. o unieważnienie małżeństwa konfesyjnego jak też prowadzeniu dokumentacji kościelnych. Według kryteriów podmiotowych dopuszczalność przetwarzania danych dotyczyła członków wspólnoty wyznaniowej i osób utrzymujących z nimi stałe kontakty związane z ich działalnością np. ubiegające się o członkostwo, natomiast kryteria przedmiotowe stanowiły te czynności, które niezbędne były do wykonywania zadań statutowych, a gwarancyjne miały zapewnić pewność ochrony przetwarzanych danych (art.27 ust2 pkt.4 ). Problemy jakie pojawiały się na tle przetwarzania danych, które doczekały się bogatego orzecznictwa sadów administracyjnych głównie koncentrowały się na kwestiach żądania zaprzestania przetwarzania danych osób, które występowały z danego kościoła czy związku wyznaniowego jak też takich osób, które nie będąc członkami nawiązywały kontakty osobiste z osobami należącymi do kościoła czy związku wyznaniowego np. w wypadku małżeństwa, adopcji czy kurateli. Żądania takie powinny skutkować natychmiastowym zaprzestaniem przetwarzania danych takich osób w systemach ewidencyjnych i informatycznych. Tak się jednak w wielu wypadkach nie działo zarówno w poprzednim stanie prawnym tj. pod rządami ustawy o ochronie danych osobowych ze względu na wyłączenie w stosunku do kościołów i związków wyznaniowych szeregu przepisów ustawy dotyczących kompetencji kontrolnych Głównego Inspektora Ochrony Danych Osobowych np. art.43 ust.2 ustawy oraz w efekcie wszczęcia procedur sprawdzających i zastosowania środków prawnych w przypadku stwierdzenia naruszenia przepisów ustawy. Wszystko regulowane jest zatem wyłącznie prawem wewnętrznym danego związku wyznaniowego w zakresie jego autonomii i niezależności. W obecnym stanie prawnym sytuacja nie uległa poprawie wobec zastosowania korzystnej dla Kościoła katolickiego oceny stanu prawnego wewnętrznych kościelnych uregulowań prawnych dotyczących ochrony danych osobowych. Niezasadnie bowiem przyjęto, że „Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w kościele katolickim” wydany przez Konferencję Episkopatu Polski w dniu 13 marca 2018 r., a promulgowany dnia 30 kwietnia 2018 r. odpowiada wymaganiom przepisu art. 91 ust.1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dn.27 kwietnia 2016 r. – RODO pozwalającego na wyłączenie kompetencji organu administracji państwowej jakim jest Prezes Urzędu Ochrony Danych Osobowych w zakresie ochrony danych osobowych przetwarzanych w Kościele katolickim.
Przepis art.91 ust.1RODO wymaga spełnienia jednoczesnego aż trzech warunków tj. kościół lub inny związek wyznaniowy musi posiadać w prawie wewnętrznym owe szczegółowe zasady ochrony osób fizycznych w związku przetwarzaniem ich danych osobowych, posiadane zasady muszą być stosowane w momencie wejścia w życie rozporządzenia RODO, a one same muszą odpowiadać zasadom określonym w art.8 Karty Praw Podstawowych Unii Europejskiej i uszczegółowionym w rozporządzeniu, ponadto zasady obowiązujące w związku wyznaniowym mogą być stosowane jeżeli zostaną dostosowane do rozporządzenia RODO. Tymczasem przepisy RODO, stosownie do art. 99 ust. 1 weszły w życie dwudziestego dnia po ogłoszeniu w Dzienniku Urzędowym Unii Europejskiej czyli 24 maja 2016 roku, a wspomniany dekret ogólny Konferencji Episkopatu Polski ukazał się 30 kwietnia 2018 r. Nie zmienia niczego fakt zawieszenia stosowania obowiązujących przepisów rozporządzenia RODO do dnia 25 maja 2018 roku, gdyż wejście w życie nie może być oznaczone, tożsame z jednoczesnym zawieszeniem stosowania aktu prawnego.
Uprawnione jest zatem stanowisko, że dekret KEP nie spełnia wymagań formalnych przepisu art.91 ust 1 RODO, a więc nie może być uznany za podstawę wyłączenia stosowania przepisów rozporządzenia, a ty samym kompetencji Prezesa UODO. Dodatkowo powołany przepis rozporządzenia powinien być interpretowany zgodnie z art.8 Karty Praw Podstawowych Unii Europejskiej (Dz. Urz. C 202,7.6.2016, s.389-405) i rozporządzeniem RODO. Regulacje dotyczące ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych obowiązujące w związkach wyznaniowych, które miały być nadal stosowane po wejściu w życie rozporządzenia, o ile faktycznie były stosowane i odpowiadały zakresowi ochrony wymaganemu przez art. 8 Karty Praw Podstawowych, miały zostać jedynie dostosowane do rozporządzenia RODO. Ocena wypełnienia warunków przewidzianych w rozporządzeniu należy do kompetencji organu nadzorczego tj. Prezesa UODO i ewentualnie do sądu. Jednakże w polskich realiach z niewiadomych względów przyjęto, że istnieją dostateczne podstawy do wyłączenia kompetencji urzędu państwowego, a dekret Konferencji Episkopatu Polski, który nie mógł być stosowany w dniu wejścia w życie rozporządzenia RODO za skuteczne prawnie dostosowanie wcześniejszego stanu prawnego do wymogów rozporządzania RODO uprawniające także do utworzenia w Kościele katolickim niezależnego od państwa organu Kościelnego Inspektora Ochrony Danych Osobowych jako organu monitorującego i zapewniającego przestrzeganie przepisów o ochronie danych osobowych w ramach działalności Kościoła katolickiego i jego struktur, upowszechniania wiedzy o ochronie danych, doradztwa dla administratorów danych i podmiotów przetwarzających dane. Inspektor taki został wybrany na plenarnym posiedzeniu Konferencji episkopatu polski w dniu 2 maja 2018 r. Jest nim obecnie ks. prof. Piotr Kroczek. Stanowisko dopuszczające zastosowanie art.91 ust.2 rozporządzenia RODO nie odpowiada wymogowi rzeczywistego stosowania przez Kościół katolicki w dniu 24 maja 2016 r. zasad ochrony danych osobowych wymaganych przez rozporządzenie RODO następnie zawartych w dekrecie KEP z 13 marca 2018 r. z uwagi na brak takich wcześniejszych regulacji. Nie można bowiem uznać za mającą charakter wiążący w państwowym porządku prawnym instrukcji wydanej przez Sekretariat Episkopatu Polski i Głównego Inspektora Danych Osobowych z dnia 23 września 2009 r. dotyczącej ochrony danych osobowych w działalności Kościoła katolickiego w Polsce. Nie spełniają takiego wymogu, ani nie mogą być uznane za alternatywną regulację zasad ochrony danych także i przyjmowane w prawie wewnętrznym Kościoła zasady postępowania w sprawach występowania z Kościoła zastąpione w 2015 r. dekretem ogólnym KEP w sprawie wystąpień z Kościoła oraz powrotu do wspólnoty czy instrukcjami odnoszącymi się do sposobu prowadzenia ksiąg parafialnych.
Zasadnie powstaje więc pytanie jak pogodzić obecną praktykę Kościoła katolickiego w przedmiocie usuwania danych osobowych osób fizycznych dokonujących apostazji czy zmiany wyznania wobec brzmienia art.53 ust.2 Konstytucji RP gwarantującego obywatelom wolność wyznawania oraz przyjmowania religii według własnego wyboru, która w myśl art.31 ust.1 Konstytucji podlega ochronie prawnej ? Bardziej skomplikowana jest sytuacja osób rezygnujących z przynależności wyznaniowej do Kościoła katolickiego, a nie dokonujących zmiany konfesji, gdyż ich prawo do usunięcia wszelkich dowodów przynależności do Kościoła mieści się w ogólnym sformułowaniu art. 53 ust.1 Konstytucji, którym państwo zapewnia każdemu wolność sumienia i religii.