Kirken kan henvende seg til barn som er medlemmer av kirken, eventuelt via de foresatte. I utgangspunktet har Kirken et behandlingsgrunnlag i henhold til PVF (personvernforordningens) artikkel 6 og 9: artikkel 6 (f) (berettiget interesse) og artikkel 9 (2) (d) (regelmessig kontakt med medlemmer).
Flere menigheter/fellesråd benytter underleverandører, for eksempel IKO, som er registrert som en forening ifølge enhetsregisteret. IKO-Forlaget AS er registrert samme sted som et aksjeselskap. Begge disse juridiske enhetene er å betrakte som databehandler (eventuelt underdatabehandler når det gjelder IKO-Forlaget) for Den norske kirke. Kirken (som behandlingsansvarlig) skal derfor instruere (og kontrollere) disse underleverandørene i hvordan de skal behandle Kirkens medlemmers personopplysninger. På kort sikt gjøres det gjennom en avtale pr e-post.
Når menigheten kontakter sine medlemmer må det fremgå hvorfor IKO kontakter medlemmet på vegne av Dnk (og at det skjer fordi barnet er medlem av Den norske kirke). Det bør også fremgå hvilke personopplysninger IKO behandler på vegne av Kirken (navn, adresse, e-postadresse) og hvordan disse personopplysningene blir behandlet (når slettes de?). Dersom et medlem ikke ønsker å bli kontaktet fremover må det fremgå hvordan han da skal agere. Det gjelder altså å kommunisere åpent og klart med barnet og dets foresatte.
Når koronakrisen er over bør de kirkelige fellesrådene ha en databehandleravtale med IKO og andre databehandlere som f. eks. KFUK/KFUM, KRIK, sondagsskolen.no, Sjømannsmisjonen etc. Personvernombudet vil foreslå at slike databehandleravtaler kan utarbeides sentralt som en hjelp for fellesrådene/menighetene som skal inngå avtalen.