1. Organy KAS, w związku z:
1) realizacją zadań z zakresu bezpieczeństwa publicznego, ważnego interesu ekonomicznego lub finansowego Rzeczypospolitej Polskiej lub Unii Europejskiej,
2) prowadzonymi postępowaniami przygotowawczymi w sprawach o przestępstwa lub czynnościami wyjaśniającymi w sprawach o wykroczenia, o których mowa w:
a) ustawie z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach,
b) ustawie z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych,
c) ustawie z dnia 29 września 1994 r. o rachunkowości, ca) ustawie z dnia 21 listopada 1996 r. o muzeach,
d) Kodeksie karnym w zakresie, o którym mowa w art. 2 ust. 1 pkt 15 i 16, a także w zakresie zadań określonych w art. 33 ust. 1 pkt 10 lit. c i d, da) ustawie z dnia 27 czerwca 1997 r. o bibliotekach,
e) ustawie z dnia 30 czerwca 2000 r. – Prawo własności przemysłowej,
f) ustawie z dnia 29 listopada 2000 r. o obrocie z zagranicą towarami, technologiami i usługami o znaczeniu strategicznym dla bezpieczeństwa państwa, a także dla utrzymania międzynarodowego pokoju i bezpieczeństwa,
g) ustawie z dnia 2 marca 2001 r. o wyrobie alkoholu etylowego oraz wytwarzaniu wyrobów tytoniowych,
h) ustawie z dnia 23 lipca 2003 r. o ochronie zabytków i opiece nad zabytkami,
i) ustawie z dnia 16 kwietnia 2004 r. o ochronie przyrody,
j) ustawie z dnia 29 lipca 2005 r. o przeciwdziałaniu narkomanii,
k) ustawie z dnia 18 października 2006 r. o wyrobie napojów spirytusowych,
l) ustawie z dnia 13 kwietnia 2016 r. o bezpieczeństwie obrotu prekursorami materiałów wybuchowych,
m) ustawie z dnia 9 marca 2017 r. o systemie monitorowania drogowego i kolejowego przewozu towarów oraz obrotu paliwami opałowymi,
3) prowadzonymi postępowaniami w sprawach o przestępstwa skarbowe lub wykroczenia skarbowe, o których mowa w Kodeksie karnym skarbowym,
4) ujawnianiem i odzyskiwaniem mienia zagrożonego przepadkiem w związku z przestępstwami, o których mowa w art. 2 ust. 1 pkt 13–16, albo o których mowa w art. 33 § 2 Kodeksu karnego skarbowego,
5) realizacją zadań, o których mowa w art. 2 ust. 1 pkt 16d i 16f
– mogą przetwarzać niezbędne informacje zawierające dane osobowe. 2. Dane, o których mowa w art. 9 ust. 1 i art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.17)), zwanego dalej „rozporządzeniem 2016/679”, mogą być przetwarzane przez organy KAS wyłącznie, gdy jest to niezbędne ze względu na
17) Zmiana wymienionego rozporządzenia została ogłoszona w Dz. Urz. UE L 127 z 23.05.2018, str. 2. zakres lub charakter prowadzonego postępowania lub przeprowadzanych czynności. 3. Administrator danych jest obowiązany nieodpłatnie udostępnić dane na podstawie sporządzonego na piśmie żądania organu KAS albo imiennego upoważnienia organu KAS, okazanego wraz z legitymacją służbową przez kontrolującego jednostki organizacyjnej KAS. Informacja o udostępnieniu danych podlega ochronie zgodnie z przepisami o ochronie informacji niejawnych. 4. Organy KAS mogą również przetwarzać:
1) informacje dostarczane tym organom, w tym na podstawie przepisów odrębnych;
2) dane zgromadzone w bazach, rejestrach, ewidencjach, zbiorach i systemach informatycznych udostępnionych organom KAS w celu realizacji ustawowych zadań. 5. Uprawnienie, o którym mowa w ust. 1, dotyczy w szczególności danych dotyczących podróżnych w rozumieniu art. 1 pkt 40 rozporządzenia delegowanego Komisji (UE) 2015/2446 z dnia 28 lipca 2015 r. uzupełniającego rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 952/2013 w odniesieniu do szczegółowych zasad dotyczących niektórych przepisów unijnego kodeksu celnego (Dz. Urz. UE L 343 z 29.12.2015, str. 1), osób dokonujących przemieszczania towarów, o którym mowa w art. 5 ustawy z dnia 19 marca 2004 r. – Prawo celne (Dz. U. z 2024 r. poz. 1373), oraz danych zawartych w rejestrach publicznych, o których mowa w art. 3 pkt 5 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne, w tym również danych na piśmie utrwalonym w postaci elektronicznej. Dane na piśmie utrwalonym w postaci elektronicznej przekazuje się na informatycznym nośniku danych lub przy użyciu systemów teleinformatycznych, o których mowa w art. 2 pkt 3 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2024 r. poz.
1513). 6. W przypadkach, o których mowa w ust. 1 i 4, organy władzy publicznej oraz podmioty prowadzące rejestry, o których mowa w ust. 5, mogą wyrazić zgodę na udostępnianie za pomocą środków komunikacji elektronicznej informacji zgromadzonych w tych rejestrach organom KAS, bez konieczności składania sporządzonych na piśmie wniosków, jeżeli jest to uzasadnione rodzajem lub zakresem wykonywanych zadań albo prowadzonej działalności oraz jeżeli organy KAS posiadają:
1) urządzenia umożliwiające odnotowanie w systemie, kto, kiedy, w jakim celu oraz jakie dane lub informacje uzyskał, oraz
2) zabezpieczenia techniczne i organizacyjne uniemożliwiające wykorzystanie danych lub informacji niezgodnie z celem ich uzyskania. 7. Wyrażenie zgody na udostępnienie informacji zgodnie z ust. 6 może nastąpić po złożeniu przez organ KAS oświadczenia o posiadaniu urządzeń oraz zabezpieczeń, o których mowa w ust. 6. 8. Organy KAS, w zakresie zbierania i wykorzystywania informacji, o których mowa w ust. 1 i 4, są uprawnione do korzystania z informacji gromadzonych w systemach teleinformatycznych przez inne organy podatkowe oraz organy Straży Granicznej. Organy podatkowe oraz organy Straży Granicznej umożliwiają organom KAS dostęp do gromadzonych przez siebie informacji za pośrednictwem środków komunikacji elektronicznej lub oprogramowania interfejsowego, o którym mowa w art. 3 pkt 11 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne. 9. Udostępnianie informacji, o których mowa w ust. 1, w sposób określony w ust. 8, następuje na wniosek organu KAS zawierający:
1) wskazanie systemu, z którego informacje będą udostępniane;
2) zakres informacji udostępnianych w związku z realizacją zadań ustawowych;
3) dane osób uprawnionych oraz zakres informacji, które te osoby mogą uzyskiwać;
4) wskazanie celu dostępu do informacji.

Art. 47a. Organy KAS w celu realizacji ustawowych zadań są uprawnione do wymiany informacji, w tym danych osobowych, z organami ścigania państw członkowskich Unii Europejskiej zajmującymi się zapobieganiem i zwalczaniem przestępczości oraz innymi organizacjami międzynarodowymi na zasadach i warunkach określonych w przepisach odrębnych, prawie Unii Europejskiej i umowach międzynarodowych.

Art. 47b. 1. Organy KAS przetwarzają dane osobowe, w tym w CRDP, w celach realizacji zadań lub obowiązków określonych w ustawie, przez okres niezbędny do osiągnięcia tych celów. 2. W przypadku danych, o których mowa w art. 35 ust. 3 pkt 1 lit. g, okres przetwarzania danych osobowych wynosi 5 lat, licząc od końca roku kalendarzowego, w którym dane te zostały przekazane.

Art. 47c. Prowadzenie działalności analitycznej, prognostycznej i badawczej dotyczącej zjawisk pozostających we właściwości KAS oraz dokonywanie analizy ryzyka, o których mowa w art. 2 ust. 1 pkt 10 i 12a, może polegać na zautomatyzowanym przetwarzaniu danych lub na zautomatyzowanym podejmowaniu decyzji w tym profilowaniu, wywołującym skutki prawne wobec osoby profilowanej lub której dane podlegają zautomatyzowanemu przetwarzaniu.

Art. 47d. 1. W celu wykonywania obowiązku, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, organy KAS mogą udostępniać informacje o przetwarzaniu danych osobowych w miejscu publicznie dostępnym w siedzibie organu KAS oraz na swojej stronie internetowej lub w Biuletynie Informacji Publicznej na stronie podmiotowej tego organu lub urzędu obsługującego ten organ. W takim przypadku organ KAS podczas pozyskiwania danych osobowych przekazuje osobie, której dane dotyczą, informacje o miejscu udostępnienia tych informacji. 2. Wykonywanie obowiązku, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, odbywa się niezależnie od obowiązków organów KAS i nie wpływa na przebieg i wynik procedur, o których mowa w działach IV i V.

Art. 47e. Dane osobowe przetwarzane w celu wykonywania zadań wynikających z ustawy podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:
1) dopuszczeniu przez administratora danych do przetwarzania danych osobowych wyłącznie osób do tego uprawnionych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy;
3) regularnym testowaniu i doskonaleniu stosowanych środków technicznych i organizacyjnych;
4) zapewnieniu bezpiecznej komunikacji w sieciach teleinformatycznych, w szczególności poprzez zagwarantowanie, by proces pozyskiwania i przekazywania danych osobowych podmiotom zewnętrznym wykorzystywał techniki kryptograficzne;
5) zapewnieniu ochrony przed nieuprawnionym dostępem do systemów informatycznych KAS;
6) zapewnieniu integralności danych w systemach informatycznych KAS;
7) określeniu zasad bezpieczeństwa przetwarzanych danych osobowych.