Art. 15. 1. Podmiot certyfikujący jest administratorem danych osobowych, w tym danych przekazywanych przez wykonawcę w związku z ubieganiem się o udzielenie certyfikacji, prowadzeniem stałego nadzoru nad aktualnością ważności certyfikacji oraz aktualizacją jej ważności. 2. Dane osobowe są przetwarzane przez podmiot certyfikujący odpowiednio w celu i zakresie niezbędnym do potwierdzania, że wykonawca w zakresie przez niego wskazanym:
1) nie podlega wykluczeniu z postępowania o udzielenie zamówienia;
2) posiada zdolności do należytego wykonania zamówienia. 3. Podmiot certyfikujący przetwarza dane osobowe od dnia złożenia wniosku o certyfikację, w toku procedury certyfikacji oraz przez okres, na jaki została udzielona certyfikacja, a także przez okres 3 lat licząc od dnia zakończenia procedury certyfikacji albo utraty ważności certyfikacji, jeżeli certyfikacja została udzielona.
4) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2024 r. poz. 1572, 1717, 1756 i 1907 oraz z 2025 r. poz. 39 i 1180. Podmiot certyfikujący trwale usuwa dane osobowe po upływie okresów wskazanych w zdaniu pierwszym. 4. Osoby pozostające w stosunku pracy z podmiotem certyfikującym oraz zatrudnione przez ten podmiot na podstawie umowy o dzieło, umowy zlecenia albo innej umowy o podobnym charakterze są obowiązane do zachowania w poufności wszelkich informacji i danych, które pozyskały w związku z postępowaniem w sprawie udzielenia certyfikacji, także po ustaniu tego stosunku pracy albo rozwiązaniu tej umowy.