1. Do ujawnienia ministrowi właściwemu do spraw finansów publicznych, upoważnionemu przez niego organowi Krajowej Administracji Skarbowej, Szefowi Krajowej Administracji Skarbowej lub jego upoważnionemu przedstawicielowi informacji podatkowych w trybie i zakresie przewidzianych ustawą nie stosuje się przepisów ograniczających udostępnianie danych objętych tajemnicą prawnie chronioną, z wyjątkiem informacji niejawnych. 2. Dane osobowe przetwarzane w celu wykonywania zadań wynikających z ustawy podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:
1) dopuszczeniu przez administratora danych do przetwarzania danych osobowych wyłącznie osób do tego uprawnionych;
2) sporządzonym na piśmie zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy;
3) regularnym testowaniu i doskonaleniu stosowanych środków technicznych i organizacyjnych;
4) zapewnieniu bezpiecznej komunikacji w sieciach teleinformatycznych, w szczególności poprzez zagwarantowanie, by proces pozyskiwania i przekazywania danych osobowych podmiotom zewnętrznym wykorzystywał techniki kryptograficzne;
5) zapewnieniu ochrony przed nieuprawnionym dostępem do systemów informatycznych;
6) zapewnieniu integralności danych w systemach informatycznych;
7) określeniu zasad bezpieczeństwa przetwarzanych danych osobowych.

Art. 6a. Do udostępniania informacji otrzymanych na podstawie ustawy oraz umów o unikaniu podwójnego opodatkowania, innych ratyfikowanych umów, których stroną jest Rzeczpospolita Polska, oraz innych umów międzynarodowych, których stroną jest Unia Europejska, a także porozumień zawartych na podstawie tych umów, nie stosuje się przepisów ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2023 r. poz. 1206) w zakresie, w jakim jest to niezgodne z postanowieniami tych umów lub porozumień lub przepisami ustawy.

Art. 6b. 1. Raportująca instytucja finansowa w rozumieniu art. 24 ust. 1 pkt 44, raportujący operator platformy w rozumieniu art. 75a ust. 1 pkt 14 oraz raportujący dostawca usług w zakresie kryptoaktywów w rozumieniu art. 88e ust. 1 pkt 15 są obowiązani do udzielenia osobie fizycznej, której informacje podatkowe dotyczą, informacji o:
1) gromadzeniu, przetwarzaniu i przekazywaniu informacji zgodnie z ustawą oraz
2) przysługującym tej osobie prawie do uzyskania od administratora danych informacji, jakie ma prawo od tego administratora danych uzyskać, w czasie wystarczającym do skorzystania z jej praw do ochrony danych osobowych, zanim informacje zostaną przekazane. 2. Raportująca instytucja finansowa w rozumieniu art. 24 ust. 1 pkt 44, raportujący operator platformy w rozumieniu art. 75a ust. 1 pkt 14 oraz raportujący dostawca usług w zakresie kryptoaktywów w rozumieniu art. 88e ust. 1 pkt 15 zawiadamiają niezwłocznie odpowiednio osobę raportowaną w rozumieniu art. 24 ust. 1 pkt 21, sprzedawcę w rozumieniu art. 75a ust. 1 pkt 18 albo osobę raportowaną w rozumieniu art. 88e ust. 1 pkt 6 o naruszeniu ochrony danych w zakresie ich danych osobowych gromadzonych i przetwarzanych na potrzeby automatycznej wymiany informacji, w przypadku gdy istnieje prawdopodobieństwo, że to naruszenie ochrony danych wpłynie negatywnie na ochronę ich danych osobowych.

Art. 6c. 1. W przypadku gdy doszło do naruszenia ochrony danych w związku z ich przetwarzaniem przez Szefa Krajowej Administracji Skarbowej na potrzeby wykonywania zadań wynikających z ustawy, Szef Krajowej Administracji Skarbowej niezwłocznie zgłasza Komisji Europejskiej to naruszenie ochrony danych, a także wszelkie późniejsze działania zmierzające do usunięcia tego naruszenia ochrony danych. 2. Szef Krajowej Administracji Skarbowej może zawiesić w trybie natychmiastowym wymianę informacji podatkowych z państwem członkowskim, w którym doszło do naruszenia ochrony danych, jeżeli to naruszenie ochrony danych nie może zostać niezwłocznie i odpowiednio powstrzymane. O zawieszeniu wymiany informacji podatkowych Szef Krajowej Administracji powiadamia na piśmie Komisję Europejską oraz państwo członkowskie, którego to naruszenie ochrony danych dotyczy. 3. Szef Krajowej Administracji Skarbowej wyjaśnia okoliczności naruszenia ochrony danych, powstrzymuje naruszenie ochrony danych i podejmuje działania naprawcze w celu usunięcia naruszenia ochrony danych, a jeżeli naruszenie ochrony danych nie może zostać niezwłocznie i odpowiednio powstrzymane, występuje do Komisji Europejskiej z wnioskiem o zawieszenie dostępu do wspólnej platformy stworzonej przez Unię Europejską na potrzeby wszystkich transmisji dokonywanych drogą elektroniczną między właściwymi organami państw członkowskich. 4. Po usunięciu naruszenia ochrony danych Szef Krajowej Administracji Skarbowej:
1) przekazuje Komisji Europejskiej informację o usunięciu tego naruszenia ochrony danych;
2) może wystąpić do Komisji Europejskiej z wnioskiem o wspólne sprawdzenie, czy działania naprawcze podjęte w celu usunięcia naruszenia ochrony danych były skuteczne. 5. Szef Krajowej Administracji Skarbowej ustala procedury naprawcze na wypadek naruszenia ochrony danych, które niezwłocznie wdraża w życie w przypadku zaistnienia takiego naruszenia ochrony danych.

Art. 6d. Informacje podatkowe otrzymane w ramach wymiany informacji podatkowych z innymi państwami na podstawie przepisów prawa państwa członkowskiego innego niż Rzeczpospolita Polska wdrażających art. 8–8ad dyrektywy 2011/16/UE oraz odpowiadających tym przepisom przepisów państw trzecich są przechowywane przez okres niezbędny do wykonywania zadań lub obowiązków Szefa Krajowej Administracji Skarbowej określonych w niniejszej ustawie, niekrócej jednak niż przez 5 lat, licząc od końca roku kalendarzowego, w którym informacje te zostały przekazane. DZIAŁ II Wymiana informacji podatkowych na wniosek i z urzędu