W związku ze zmianą unijnego prawa o ochronie danych osobowych (RODO), wchodzącą w życie 25 maja 2018 roku, przygotowano stosowną zmianę w prawie kanonicznym, polegającą na dostosowaniu kościelnego systemu ochrony danych osobowych do nowych unijnych wymagań. Dnia 13 marca 2018 roku Konferencja Episkopatu Polski, podczas 378. Zebrania Plenarnego w Warszawie, wydała Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim. Dokument ten został promulgowany poprzez zamieszczenie na stronie internetowej Konferencji Episkopatu Polski w dniu 30 kwietnia, po uzyskaniu recognitio Kongregacji ds. Biskupów z dnia 22 marca 2018 r. Przepisy Unii Europejskiej związane z ochroną danych osobowych wchodzą w życie 25 maja br.
Dekret stosuje się do publicznych kościelnych osób prawnych, a więc do diecezji, parafii, zgromadzeń zakonnych, seminariów duchownych, Caritas, i wszystkich innych instytucji kościelnych posiadających kanoniczny status publicznej osoby prawnej. W działalności tych instytucji przetwarzanie danych osobowych jest dopuszczalne na zasadach analogicznych, jak przewidziano to w RODO.
Przetwarzanie danych wrażliwych dopuszczalne jest wyłącznie w stosunku do osób ochrzczonych w Kościele katolickim i tych, którzy po chrzcie zostali do niego przyjęci (członków Kościoła), łącznie z tymi, którzy złożyli formalne oświadczenie woli o wystąpieniu z Kościoła katolickiego, zgodnie z wewnętrznymi przepisami Kościoła („byłych członków Kościoła”) oraz osób utrzymujących z nim stałe kontakty w związku z realizacją celów Kościoła w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń. Dane te nie są ujawniane poza Kościołem bez zgody osób, których dane dotyczą.
Osobom, których dane dotyczą zapewniono: prawo do informacji o przetwarzaniu danych, prawo do żądania sprostowania danych, prawo do żądania dokonania adnotacji i uzupełnienia danych, prawo do żądania usunięcia danych, prawo do żądania ograniczenia przetwarzania.
Dekret odnosi się do obowiązku zapewnienia bezpieczeństwa przetwarzanych danych i obowiązku zgłaszania naruszenia danych osobowych.
Kościół powołał nowy, niezależny organ monitorujący i zapewniający przestrzeganie przepisów o ochronie danych osobowych w postaci Kościelnego Inspektora Ochrony Danych. Jest on każdorazowo wybierany przez Zebranie Plenarne Konferencji Episkopatu Polski na czteroletnią kadencję. Aktualnie na to stanowisko został powołany ks. dr hab. Piotr Kroczek, prof. Uniwersytetu Papieskiego Jana Pawła II z diec. bielsko-żywieckiej. Ma on swoją siedzibę przy sekretariacie Episkopatu Polski i będzie centralnym organem, którego zadaniem ma być czuwanie nad tym, by dane osobowe przetwarzane przez Kościół, były wykorzystywane właściwie, z zachowaniem wszelkich przepisów, które znajdują się w rozporządzeniu RODO. Kościelny Inspektor będzie także organem odwoławczym w drodze administracyjnej, gdyby dane były naruszone lub w sytuacji, gdyby ktoś uważał, że zostały one naruszone.
W Dekrecie przewidziano procedurę odwoławczą i odpowiedzialność za naruszenie przepisów Dekretu ogólnego. Jeżeli osoba, której dane dotyczą, uzna, że przetwarzanie danych nie jest zgodne z przepisami Dekretu ogólnego, może złożyć skargę do Kościelnego Inspektora Ochrony Danych Osobowych, a następnie do właściwej dykasterii Stolicy Apostolskiej, zgodnie z przepisami Kodeksu Prawa Kanonicznego. Za naruszenie norm dotyczących ochrony osób fizycznych w zakresie przetwarzania danych osobowych wprowadzonych Dekretem ogólnym, przewidziano stosowne sankcje kanoniczne.
