Art. 32. - Zmiana niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

W ustawie z dnia 13 października 1995 r. o zasadach ewidencji i identyfikacji podatników i płatników (Dz. U. z 2019 r. poz. 63) po art. 15a dodaje się art. 15aa w brzmieniu:

"Art. 15aa. 1. W związku z przetwarzaniem danych osobowych w celu nadania NIP wykonanie obowiązku, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), następuje przez udostępnienie informacji, o których mowa w art. 13 ust. 1 i 2, tego rozporządzenia w miejscu publicznie dostępnym w siedzibie organu lub w Biuletynie Informacji Publicznej na stronie podmiotowej tego organu lub urzędu obsługującego ten organ oraz na jego stronie internetowej. W takim przypadku, pozyskując dane osobowe, organ przekazuje osobie, której dane dotyczą, informacje o sposobie wykonania tego obowiązku.

2. Organy, o których mowa w art. 14a, mogą upoważniać do przetwarzania danych osobowych osoby zatrudnione lub pełniące służbę w jednostkach organizacyjnych Krajowej Administracji Skarbowej, w zakresie niezbędnym do realizacji zadań powierzonych tym osobom. Upoważnienie jest wydawane w formie pisemnej w drodze imiennego upoważnienia, upoważnienia stanowiskowego lub aktu wewnętrznego, chyba że przepis szczególny stanowi inaczej. Organy te prowadzą rejestr osób upoważnionych do przetwarzania danych osobowych.

3. Dane osobowe przetwarzane przez organy, o których mowa w art. 14a, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:

1) dopuszczeniu przez administratora danych do przetwarzania danych osobowych wyłącznie osób do tego uprawnionych;

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy;

3) testowaniu i doskonaleniu stosowanych środków technicznych i organizacyjnych;

4) zapewnieniu bezpiecznej komunikacji w sieciach teleinformatycznych, w szczególności przez pozyskiwanie i przekazywanie danych osobowych podmiotom zewnętrznym z wykorzystaniem technik kryptograficznych;

5) zapewnieniu ochrony przed nieuprawnionym dostępem do CRP KEP;

6) zapewnieniu integralności danych w CRP KEP;

7) określeniu zasad bezpieczeństwa przetwarzanych danych osobowych.".