GIODO przypomina, że dane osobowe – w zakresie i trybie wskazanym w przepisach Prawa zamówień publicznych – podlegają udostępnieniu w Biuletynie Zamówień Publicznych, co wypełnia przesłankę z art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych.
Zamawiający jest zobligowany wypełnić formularz i zamieścić na stronie Biuletynu Zamówień Publicznych informacje o postępowaniu o udzieleniu zamówienia, natomiast nie jest administratorem danych po ich zamieszczeniu w tym Biuletynie. Zdaniem GIODO, zamawiający realizuje jedynie obowiązek nałożony na niego z mocy ustawy, tj. zamieszcza treść ogłoszenia, zaś Prezes Urzędu Zamówień Publicznych jest administratorem danych znajdujących się w ogłoszeniach zamieszczonych w Biuletynie, co wynika z art. 154 pkt 3 p.z.p.
Nie można zgodzić się z twierdzeniem - stwierdza GIODO - że zamieszczenie danych osobowych w Biuletynie Zamówień Publicznych jest: "niecelowe (...) w momencie, w którym świadczenie usługi zakończyło się na ok. 15 miesięcy przed publikacją" oraz niecelowe: "z uwagi na zakończenie współpracy z beneficjentem", bowiem z art. 96 i 97 ustawy - Prawo zamówień publicznych wynika, że zamawiający sporządza pisemny protokół postępowania o udzielenie zamówienia, który powinien być przechowywany wraz z załącznikami przez 4 lata od dnia zakończenia postępowania o udzielenie zamówienia. Z powyższych przepisów wynika zatem obowiązek przetwarzania danych osobowych po zakończeniu celu, dla którego zostały one zebrane, co jest zgodne z art. 26 ust. 2 pkt 2 w związku z art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych.
(decyzja nr DOLiS/DEC-844/12/54894, 54895, 54897).