Art. 30. 1. Administratorem danych zgromadzonych w bazie certyfikacji, w tym danych osobowych, jest:
1) podmiot certyfikujący, który wprowadził te dane do bazy certyfikacji, lub który prowadzi stały nadzór nad ważnością certyfikacji, której dotyczą wprowadzone dane;
2) minister właściwy do spraw gospodarki w zakresie danych:
a) wynikających z wprowadzonych do bazy certyfikacji danych o podmiotach certyfikujących,
b) wprowadzonych do bazy certyfikacji przez podmiot certyfikujący, jeżeli podmiot ten utracił akredytację, o której mowa w art. 32, i żaden inny podmiot certyfikujący nie prowadzi stałego nadzoru nad ważnością certyfikacji, której dotyczą wprowadzone dane. 2. Dane osobowe zgromadzone w bazie certyfikacji są przetwarzane przez podmioty certyfikujące w celu zapewnienia:
1) dostępu do informacji o certyfikacjach udzielonych wykonawcom, które są ważne, zostały zawieszone albo utraciły ważność, w zakresie niezbędnym do potwierdzania, że wykonawca w zakresie przez niego wskazanym:
a) nie podlega wykluczeniu z postępowania o udzielenie zamówienia,
b) posiada zdolności do należytego wykonania zamówienia;
2) innym podmiotom certyfikującym dostępu do informacji o wnioskach złożonych przez wykonawców ubiegających się o udzielenie certyfikacji oraz o wyniku procedury certyfikacji, w zakresie niezbędnym do weryfikacji spełnienia warunku, o którym mowa w art. 17 ust. 1, oraz zapewnienia prawidłowej weryfikacji warunków udzielenia certyfikacji, o których mowa w art. 6. 3. Dane osobowe zgromadzone w bazie certyfikacji są przetwarzane przez ministra właściwego do spraw gospodarki:
1) w celu zapewnienia dostępu do informacji o podmiotach certyfikujących oraz zakresie udzielonej im akredytacji, o której mowa w art. 32, w zakresie niezbędnym do zapewnienia wykonawcy możliwości wyboru podmiotu, u którego wykonawca będzie ubiegał się o udzielenie certyfikacji;
2) w przypadku, o którym mowa w ust. 1 pkt 2 lit. b, w celach i zakresach określonych w ust. 2. 4. Dane osobowe zgromadzone w bazie certyfikacji są przetwarzane od dnia zamieszczenia w tej bazie informacji o wniosku o certyfikację, przez okres, na jaki certyfikacja została udzielona, a także w okresie 3 lat licząc od dnia zakończenia procedury certyfikacji, a jeżeli certyfikacja została udzielona, od dnia utraty ważności tej certyfikacji. Podmiot certyfikujący, a w przypadku, o którym mowa w ust. 1 pkt 2 lit. b, minister właściwy do spraw gospodarki, trwale usuwa dane osobowe z bazy certyfikacji po upływie okresów określonych w zdaniu pierwszym. 5. Dane osobowe, o których mowa w ust. 1 pkt 2 lit. a, są przetwarzane przez okres, na który została udzielona podmiotowi certyfikującemu akredytacja, o której mowa w art. 32, a także przez okres 5 lat licząc od dnia utraty jej ważności. Minister właściwy do spraw gospodarki trwale usuwa dane osobowe z bazy certyfikacji po upływie okresu określonego w zdaniu pierwszym.