Z Kościoła nie da się wystąpić tak jak z jakiejś organizacji.

Kościół katolicki w Polsce od lat ma przepisy regulujące ochronę danych osobowych swoich członków, jak również w sprawie wystąpień z Kościoła. Dostosował także te zasady w osobnym dekrecie do unijnych przepisów RODO. W 2016 r. Naczelny Sąd Administracyjny uznał, że apostazji można dokonać jedynie według kościelnych procedur, a państwowy organ ochrony danych osobowych nie może oceniać, jakie jest nasze wyznanie.

W Kościele katolickim RODO nie obowiązuje. Nadal przetwarza dane apostatów, do przepisów prawa się nie stosuje.

W Kościele katolickim w Polsce od lat obowiązywało i obowiązuje prawo dotyczące respektowania danych osobowych. Jeszcze w 1947 r. Episkopat przyjął instrukcję "o prowadzeniu ksiąg parafialnych ochrzczonych, bierzmowanych, małżeństw i zmarłych oraz księgi stanu dusz", co było wymagane przez kanon 470 Kodeksu Prawa Kanonicznego z 1917 r.

W 2009 r. powstała "Instrukcja dotycząca ochrony danych osobowych w działalności Kościoła Katolickiego w Polsce" opracowana przez Generalnego Inspektora Ochrony Danych Osobowych oraz Sekretariat Konferencji Episkopatu Polski.

W 2008 r. Episkopat przyjął "Zasady postępowania w sprawie formalnego aktu wystąpienia z kościoła", zastąpione w 2015 r. "Dekretem Ogólnym Konferencji Episkopatu Polski w sprawie wystąpień z Kościoła oraz powrotu do wspólnoty Kościoła". Zaczął on obowiązywać rok później.

Osoby, które formalnie należą do kościoła, ale wyrażają wolę wystąpienia z jego wspólnoty, powinny przejść procedurę przewidzianą w tymże "Dekrecie" KEP. W 2016 r. Naczelny Sąd Administracyjny uznał, że apostazji można dokonać jedynie według kościelnych procedur, a państwowy Główny Inspektor Ochrony Danych Osobowych (obecnie UODO, Prezes Urzędu Ochrony Danych Osobowych) nie może oceniać, jakie jest nasze wyznanie.

Do czasu wydania przez NSA wspomnianego wyroku, sprawy wystąpień z Kościoła opierały się o sądy administracyjne, ponieważ osoby zainteresowane apostazją powoływały się na ustawę o ochronie danych osobowych z 1997 r. (wtedy jeszcze nie funkcjonowało RODO) i chcąc wystąpić z Kościoła, wysyłały pisma lub maile do parafii chrztu z życzeniem, by dokonano tam wykreślenia ich danych z księgi ochrzczonych.

W 2018 r. Konferencja Episkopatu Polski ogłosiła "Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim". Jego przyjęcie było potrzebne, aby dostosować prawo kościelne do nowych przepisów w ochronie danych (tzw. RODO), jakie od maja tego samego roku zaczęły obowiązywać we wszystkich krajach Unii Europejskiej.

Kluczowy dla stworzenia nowego kościelnego mechanizmu przetwarzania danych osobowych był art. 91 unijnego rozporządzenia. Mówi on, że jeśli w państwie członkowskim, w momencie wejścia w życie tegoż dokumentu, Kościoły i związki wyznaniowe stosują szczegółowe zasady przetwarzania danych osobowych, to mogą tak czynić nadal pod warunkiem, że zostaną one dostosowane do rozporządzenia.

Wejście w życie dekretu KEP oraz samego RODO nie zmieniło istniejących już wcześniej przepisów kościelnych w sprawie występowania z Kościoła.

W art. 14 ust. 1 kościelny dekret wskazuje , że osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego ich usunięcia, a administrator ma obowiązek bez zbędnej zwłoki to uczynić, jeśli: dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane; osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie danych i nie ma innej podstawy prawnej przetwarzania; wreszcie, gdy dane osobowe były przetwarzane niezgodnie z prawem.

Natomiast (art. 14 ust. 4) prawo do żądania usunięcia danych "nie przysługuje w przypadku, gdy dane dotyczą udzielonych sakramentów bądź w inny sposób odnoszą się do kanonicznego statusu osoby". Tego typu wniosek powinien zostać odnotowany w zbiorze i zobowiązuje administratora do niewykorzystywania danych objętych wnioskiem bez zgody ordynariusza miejsca lub wyższego przełożonego instytutu życia konsekrowanego, lub stowarzyszenia życia apostolskiego.

Rozporządzenie Parlamentu Europejskiego Rady (UE) z 27 kwietnia 2016 r. ws. RODO wskazuje, że Kościoły i związki wyznaniowe mają podlegać w zakresie przetwarzania danych "nadzorowi niezależnego organu nadzorczego", ale może on być organem odrębnym od państwowego, o ile spełnia określone w rozporządzeniu wymagania, a te określa rozdział VI dokumentu, mówiący o zadaniach i uprawnieniach takiego urzędu.

Urząd ten ma m.in. rozpatrywać skargi i prowadzić postępowania dotyczące nieprawidłowego przetwarzania danych osobowych, upowszechniać wiedzę o właściwym stosowaniu unijnych przepisów w tym zakresie, dokonywać przeglądu certyfikatów ochrony danych oraz zawiadamiać administratorów takich danych o podejrzeniu naruszenia przepisów rozporządzenia.

Kościół przypomina natomiast, że deklaracja o wystąpieniu z Kościoła pociąga za sobą tę samą karę: ekskomuniki, czyli wyłączenia z uczestnictwa w życiu Kościoła. Kara ta polega na niemożności sprawowania i przyjmowania sakramentów świętych oraz sakramentaliów.

Ekskomunikowany nie może m.in. przystąpić do sakramentu pokuty, otrzymać rozgrzeszenia, przystąpić do Komunii Świętej. Nie może też przewodniczyć obrzędom kultu. To także m.in. zakaz pełnienia funkcji chrzestnego, świadka bierzmowania lub świadka sakramentu małżeństwa, niemożność pełnienia urzędów i posług w Kościele, należenia do publicznych ruchów i organizacji kościelnych, wreszcie - pozbawienie pogrzebu kościelnego. 

Osoba składająca deklarację o wystąpieniu z Kościoła nie przestaje być faktycznie jego członkiem.