Występuje duża zbieżność ogólnego Dekretu sporządzonego przez Konferencję Episkopatu Polski w sprawie ochrony danych osobowych z rozporządzeniem Parlamentu Europejskiego i Rady (UE) z 27 kwietnia 2016 r. - uważa dr hab. Grażyna Szpor, prof. UKSW, kierownik Katedry Prawa Informatycznego.
Dekret ogólny Konferencji Episkopatu Polski w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim jest w ostatniej fazie procedury legislacyjnej.  Wymaga jedynie zgody Stolicy Apostolskiej.
W praktyce Dekret tworzy autonomiczny system ochrony danych osobowych stosowany przez Kościół katolicki w Polsce, zgodny z przepisami RODO, zwłaszcza z art. 91, który gwarantuje możliwość powołanie kościelnego inspektora ochrony danych osobowych.

Wyjątki i różnice w definicjach
Jednakże występują wyjątki od zasad zawartych w RODO, na przykład w zakresie definicji. Jak zauważa prof. Grażyna Szpor, RODO formułuje 37 pojęć (art. 4). Pojawiają się terminy nowe, takie jak np. pseudonimizacja, które nie zostały przyjęte w Dekrecie.
Otóż w doktrynie Kościoła nie istnieją takie pojęcia jak "ograniczenia przetwarzania danych osobowych" czy "profilowanie".  Chociaż w jednostkach charytatywnych i leczniczych prowadzonych przez zakony przetwarzanie faktycznie będzie wykonywane i należy dostosować się do RODO, aby móc  - zgodnie z rozporządzeniem unijnym - skasować błędne dane podopiecznych lub je zmodyfikować.
Jednak w Dekrecie nie występuje pojęcie "profilowanie", co nie znaczy, że może ono być stosowane dla dobrych celów przez portale parafialne lub zakonne - podkreśla prof. Szpor.

RODO. Ogólne rozporządzenie o ochronie danych., Magdalena Kuba RODO. Ogólne rozporządzenie o ochronie danych. Komentarz

Kościół pozostał przy pojęciu "anonimizacji" i nie przyjął w dekrecie "pseudonimizacji", gdyż uznał, że nie daje pełnej gwarancji zabezpieczenia danych. Dlatego że jeśli klucz do identyfikacji danych jest w rękach administratora czy innego urzędnika, to nie można mówić o pełnej anonimizacji - twierdzi prof. Szpor. - Inne też jest pojęcie zgody na przetwarzanie danych w Kościele katolickim, danych wrażliwych, a także - administratora. W Dekrecie Episkopatu zakres podmiotowy tego ostatniego pojęcia jest zawężony - dodaje ekspertka.

Zgoda kościelna na przetwarzanie
Biskupi wchodzący w skład Konferencji Episkopatu wraz z GIODO zdecydowali się na opracowanie specjalnej instrukcji. Według niej przetwarzanie szczególnie chronionych danych jest zabronione. Z wyjątkiem sytuacji określonych w art. 27 ustawy o ochronie danych, np. gdy jest to niezbędne dla wykonywania statutowych zadań Kościoła. Pod warunkiem, że przetwarzanie dotyczy wyłącznie członków tej instytucji lub osób utrzymujących z nią stałe kontakty oraz są pełne gwarancje ochrony danych.
I tak przetwarzanie danych osób nie należących do Kościoła wymaga ich pisemnej zgody - uważa ks. prof. Zbigniew Janczewski. Co więcej, Kościół korzysta z przywileju niezgłaszania do rejestracji Generalnemu Inspektorowi Ochrony Danych swoich zbiorów.

Zmiany w księgach metrykalnych
Jak informuje ks. Bartosz Trojanowski, Dekret w art. 12 zawiera prawo do sprostowania błędnej informacji w księgach chrztu, zmarłych lub małżeństw. Księgi parafialne są wiarygodnym dowodem potwierdzającym zaistnienie faktów prawnych, pozwalające określić skutki prawne w życiu wiernych oraz ich pozycję kanoniczną. Jednak różnica w stosunku np. do świeckich aktów polega na tym, że na sprostowanie, nawet jednej litery w imieniu parafianina, potrzebna jest zgoda ordynariusza.
- Proboszczowie nie mogą poprawiać ksiąg metrykalnych na własną rękę, nawet w wypadku niezawinionych oczywistych omyłek - stwierdza ks. Trojanowski.

Prawo do bycia zapomnianym przez Kościół
Istotne dla kościołów jest zawarte w RODO prawo do bycia zapomnianym. Jak potwierdza ks. prof. Piotr Mazurkiewicz z Instytutu Politologii UKSW, sekretarz generalny Komisji Konferencji Episkopatów Unii Europejskiej, w praktyce duszpasterskiej dość często powołują się na nie wierni, którzy chcą "wypisać się z Kościoła".

Częścią prawa do bycia zapomnianym jest prawo osoby do tego, aby jej dane zostały usunięte i przestały być przetwarzane. Ale błędna jest interpretacja - zdaniem ks. Mazurkiewicza - aby to prawo oznaczało domaganie się usunięcia z ksiąg parafialnych danych historycznych dotyczących przyjęcia chrztu czy zawarcia sakramentu małżeństwa.
W rozporządzeniu unijnym ujęto wyraźne ograniczenia w korzystaniu z prawa do bycia zapomnianym. Chodzi tu o przetwarzanie danych niezbędnych do wywiązania się z obowiązku prawnego do celów archiwalnych, w interesie publicznym, do celów badań naukowych, historycznych, do celów statystycznych lub do dochodzenia lub obrony roszczeń.
Ograniczenie przetwarzania dotyczy pośrednio osób "występujących z Kościoła" i możliwości przechowywania ich danych ochrzczonych z uwagi na dobro innych osób i na fakty historyczne.
Ale przechowywanie tych danych jest niezbędne, choćby dlatego, by osoba ochrzczona, która zawarła związek małżeński w Kościele, wystąpiła z niego, a następnie nie chciała ponownie wziąć ślubu kościelnego. Nie dysponując danymi dotyczącymi faktów historycznych z okresu jej kościelnego życia, nie można by ustalić jej "kościelnego" statusu w prawie kanonicznym - wyjaśnia ks. Mazurkiewicz.

Źródło: Konferencja zorganizowana przez Uniwersytet Kardynała Stefana Wyszyńśkiego, 22 marca 2018 r., dotycząca reformy kościelnego systemu ochrony danych osobowych.