Dies ist eine HTML Version eines Anhanges der Informationsfreiheitsanfrage 'FP6 & FP7 Programmes, Personal Data Protection - Compliance with Regulation 45/2001, Commission Policy'.

DPO-2382.1 - RTD : Back-office notification: processing of data submitted
by proposal Applicants and reviewers Experts in the context of Framework
Programmes and other Programmes and Initiatives, managed by the
Research General Directorate (DG RTD).
General information

Creation : 26/10/2007
Keywords :
Last updated : 18/09/2008
Corporate : No
Registration : 18/09/2008
Language : English
Status : Archived
Model : No Model
Deleted : No
EDPS opinion (prior check) : No
DG.Unit : RTD
Target Population :
Controller : SMITS Robert-Jan
DPC Notes :
Delegate :
DPC : BOURGEOIS Thierry, PENEVA Pavlina
Processing
1 . Name of the processing
Back-office notification: processing of data submitted by proposal Applicants and reviewers Experts in the
context of Framework Programmes and other Programmes and Initiatives, managed by the Research General
Directorate (DG RTD).
2 . Description
Note: An overview of the key RTD processing operations is provided in the attached document.
Processing  of  the  information  needed  to  manage  framework  programmes  and  other  programmes  and
initiatives in accordance with the appropriate legal framework throughout their whole lifecycle, including:
For Applicants:
• Proposal evaluation (*)
• Proposal negotiation, ranking and decision (*)
• Contract preparation, generation, validation, execution and monitoring (*)
• Transferring financial transactions to and from the Commission's accounting system for further validation and
processing
• Publication of Project summaries on Cordis or Europa (*)
• Satistics, reporting and information relating to management and monitoring of programmes and initiatives
(includes project information storage for statistics and auditing purposes)
• Auditing
For Experts:
• Experts Selection (for proposal evaluations)
• Experts Contracts and Payments management
• Experts Selection (for projects reviews)
• Reporting (includes project information storage for statistics and auditing purposes)
• Security management (*)
• Exchange of information EU with Experts/Organisations
The data processed does not fall under Article 27 of the Regulation 45/2001, and does not require prior
checking by the European Data
Protection Supervisor, except the selection of experts (based on their CV) in view of evaluating proposals,
reviewing & monitoring projects which is a processing operation falling under art. 27.2 (b) of the Regulation
DPO-2382.1
Page 1 of 6
20/12/2012

45/2001.
(*): These steps include automated processing that is covered by the RTD front-office notification DPO-978.
List of attachments
• Architecture V2 PDF.pdf
• Some explanation relating to front-back architecture V0.2.doc
3 . Processors
N.A N.A|N.A N.A|N.A N.A
4 . Automated / Manual operations
All  processing  operations  have  an  automated  part.  This  point  covers  back-office  automated  processing
operations and supporting IT systems, see attachement in question 7. The front-office automated operations
and supporting IT systems are covered by the front-office notification DPO-978 (DG RTD). This includes "Call
Publishing"  (Call  Passport),  "Proposal  Submission"  (EPSS),  "Proposal  Evaluation  and  Ranking"  (ESS),
"Experts Registration" management on Cordis (EMC), basic "Information Dissemination" on CORDIS and
other  websites  accessible  to  Public,  "Organisation  Registration"  and  "Organisation  Management"
(URF/PDM/OMM).
The Local IT systems and supported back-office processing operations includes to date:
For both Experts and Applicants:
• SECUNDA: "Security Management" for local users
• CIRCA: "Documents exchange system"
For Applicants:
• CPM: "Contract & Project Management"
• NEF: Negotiation module and back-office
• PRIMA: "Proposal Evaluation & Ranking"
• SESAM, CORDA: "DG Reporting" for socio-economic data
• CPF Editor: "Contract Preparation Forms"
For experts:
• EMI: "Expert Management Module"
• The scope of the back-office manual processing operations performed by EU personnel or contractors on
their behalf includes:
• Selection of Experts for proposal evaluation, or project review and monitoring purposes. Note that Experts'
data are provided and maintained by Experts themselves.
• Managing Expert Contracts and Payments for services during proposal evaluation, or project review and
monitoring. Bank account is provided by experts and verified by RTD.
• Managing the list of Proposals for further processing, including negotiation, and selected proposal lists
approval.
• Managing the list of selected Projects, for further processing, including contract preparation, and initial
payments.
• Managing the projects and further processing, including deliverables, contract amendments, and intermediate
or final payments.
• Managing reporting requirements for operation at Project, Operational Unit, Directorate or RTD level.
• Carrying out Projects auditing, to assess whether or not all relevant legal obligations were properly followed.
• Managing publication and dissemination of results.
• Managing RTD users access to supporting IT systems.
5 . Storage
The data is stored at the DG DIGIT data centre, physically under the control of DG DIGIT. The data can be
transfered to local DG data centers operating under the same rules as the Digit data center. It is stored in
various computer readable formats, including on magnetic and optical storage media.
The  proposal  data  may  also  be  stored  in  paper  format  the  Project  Officer's  (PO)  office,  the  AFUs
(Administration & Finance Units) office, as well as archived at the Commission Zaventem storage facility.
DPO-2382.1
Page 2 of 6
20/12/2012

6 . Comments
DG RTD staff of operational Units may request and get access to information provided by Applicants and
Experts. However, payments are approved and carried forward by the Administration and Finance Units (AFU)
only.
Purpose & legal basis
7 . Purposes
The purpose of the processing is:
●  To  manage  the  Commission’s  administration  of  projects  submitted  for  funding  or  funded  through  the
Research Framework Programmes.
● To manage the Research Framework Programmes as a whole, in accordance with the applicable regulation
(s).
● To manage other (non-FP) Programmes funded by Research Family's DGs as a whole, in accordance with
the applicable Legal Framework.
8 . Legal basis and Lawfulness
Cf. attached list.
The data processing is considered lawful, because it is necessary to:
• Meet requirements of the legal instruments mentioned above and ensure compliance of Commission with
legal obligations as described in point (b) of article 5 of Regulation (EC) 45/2001;
• Perform a contract with the data subject (or take steps prior to entering into contract) as described in points
(c) of article 5 of Regulation (EC) 45/2001.
For access to the Commission's database of potential experts by:
•  Public  research  funding  bodies  from  the  Member  States  and  the  States  associated  to  the  Research
Framework Programmes or to other Programmes and Initiatives,
• Commission departments not involved in the administration of the research Framework Programmes or of
other Programmes and Initiatives,
the data processing is subject to prior approval of the data subject through two opt-in options at the time of the
registration, as described in points (d) of article 5 and 6.(a) of article 9 of Regulation (EC) 45/2001.
For access to the Commission's database of potential experts by:
•  Public  research  funding  bodies  from  the  Member  States  and  the  States  associated  to  the  Research
Framework Programmes or to other Programmes and Initiatives,
• Commission departments not involved in the administration of the research Framework Programmes or of
other Programmes and Initiatives,
the data processing is subject to prior approval of the data subject through two opt-in options at the time of the
registration, as described in points (d) of article 5 and 6.(a) of article 9 of Regulation (EC) 45/2001.
Articles 20 (Exemptions and restrictions) and 27 (Prior checking by the EDPS) are not applicable.
List of attachments
• Legal basis (point 11).doc
Data subjects and Data Fields
9 . Data subjects
See point 16.
DPO-2382.1
Page 3 of 6
20/12/2012

10 . Data fields / Category
The IT applications manage general personal data required to achieve the purposes of the processing.
They do not manage any sensitive personal data in the meaning of Article 10 of Regulation (EC) N° 45/2001 of
the 18 December 2000.
IT administrators have access to user identification such as login identifier and access rights, as well as
information necessary for ITsystem security and user access auditing reasons.
For applicants, the data collected are:
• Last name, First name
• Title, Gender
• Department/Faculty/Institute/Laboratory name
• Phone, Mobile phone
• E-mail, Fax
• Address, if different from organisation address
And, if proposal is selected, then additional information is be collected:
• Bank account reference (IBAN and BIC codes),
• VAT no (where applicable)
Data relating to expert evaluators and reviewers:
• First Name, Name,
• Phone number, fax number, e-mail address,
• Expert type
• Passport n°, Place/Date of Birth,
• Previous Family Name, Employment details (including whether currently employed, current employer, and 5
previous employers),
• Candidature reference, previous proposal submitted & programme,
• Professional experience, Research interest, and expertise (in keywords),
and, in case of appointment:
• Bank account reference (IBAN and BIC codes),
• VAT no (where applicable)
Experts can select whether or not (opt-in option) they authorise other Commission departments not involved in
the administration of the research Framework Programmes or of other Programmes and Initiatives, and public
research funding bodies from the Member States and the States associated to the Research Framework
Programmes  or  to  other  Programmes  and  Initiatives  to  access  the  data  submitted  by  them.  This  data  is
entered by experts themselves onthe EMC or Participant Portal web site maintained by CORDIS under a
service contract with the EC.
See point 17 above
List of attachments
• Categories of recipients (point 21).doc
Rights of Data Subject
11 . Mandatory Information
Information to the Data Subjects as described in articles 11-12 under 'Information to be given to the Data
subjects' is provided in service specific privacy statements displayed on websites that collect personal data (for
Applicants: https://ec.europa.eu/research/participants/urf/secure/new/initialRegistrationRequest.do and https:
//www.epss-fp7.org/epss/welcome.jsp, for experts: https://cordis.europa.eu/emmfp7/index.cfm?fuseaction=wel.
welcome).
Cf. enclosed privacy statements, 1 for experts-reviewers, 2x1 for applicants.
List of attachments
• V2.1 200800618 SSPS EXPERTS (clean).doc
• V3.1 20080618 SSPS APPLICANTS EPSS (clean).doc
• V3.1 20080618 SSPS APPLICANTS URF (clean).doc
DPO-2382.1
Page 4 of 6
20/12/2012

12 . Procedure to grant rights
Data subjects may contact the data Controller through the contact points indicated at the time they register or
as indicated in the appointment letter/grant agreement to exerce their rights under articles 13-19, and are
informed  that  any  update  of  the  process  and  related  notification  are  published  on  the  website  of  the
commission's  data  protection  officer  (http://ec.europa.eu/dataprotectionofficer/register/index.cfm?
TargetURL=D_REGISTER)
13 . Retention
According to Commission rules.
For Applicants:
For proposals retained for funding and grant agreement, data are kept for the longer one of the possible
following periods :
● Duration of the individual projects (plus 10 years after the end of the project to allow for audits)
● Duration of the Research Framework Programmes and Initiatives (plus 5 years on individual projects to allow
for audits)
● Duration of an audit (if one is in progress)
For proposals which are not granted, personal data are kept for 3 years and erased after this period.
For Experts:
10 years after their last update, unless of course they delete them themselves.
14 . Time limit
Blocking or rectifying data may be made by the Experts themselves and on request (processed within 10
working days) for Applicants, as mentioned to the data subjects in the corresponding SSPS (see point 15). The
password they chosen by Experts during registering will allow them to log in to the system and update their
personal information or delete their registration.
15 . Historical purposes
Project files are kept in the archives in Zaventem according to Commission rules.
Recipients
16 . Recipients
Individuals falling in the categories listed in point 21.
Because of a lack of space, please see attachement to point 17: "Categories of recipients (point 21)"
17 . Transfer out of UE/EEA
Not  applicable  -  no  transfer  of  personal  data  to  third  party  countries,  unless  publication  on  the  CORDIS
website of limited personal data as explained under question 21.
Security measures
18 . Technical and organizational measures
General comment applying to all sub-points: • Data processing for proposal applicants is limited via registration
and access control to own areas only and in submitting proposals. • Data processing is on the central IT
infrastructure of the Commission (data centre and data network) maintained by DG DIGIT, following the rules,
procedures, organisation, and security rules of DG DIGIT. • Physical access control to network, servers and
media is managed by DG DIGIT. Access to the data is only available to processors and to registered users as
DPO-2382.1
Page 5 of 6
20/12/2012

approved by their hierarchy through a separate access control and security module (SECUNDA). The security
module  logs  which  user  has  requested  access  to  the  system,  together  with  date  and  timestamp.
Authentification is based on the DIGIT ECAS mechanism.
General comment applying to all sub-points:
Organisational structures have been set up in accordance with the rules of the DPO. Access is only granted by
the security administrator within the policy guidelines, and to users approved by management.
The organisational measures recognise that the physical infrastructure is under the control of DG DIGIT, as
well  as  RTD  IRM.  The  organisational  measures  therefore  concentrate  on  access  control  through  the
Commission's desktop equipment.
See general comment in point 31
General comment applying to all sub-points: Organisational structures have been set up in accordance with
the rules of the DPO. Access is only granted by the security administrator within the policy guidelines, and to
users approved by management. The organisational measures recognise that the physical infrastructure is
under the control of DG DIGIT, as well as RTD IRM. The organisational measures therefore concentrate on
access control through the Commission's desktop equipment.
19 . Complementary information
Cf. enclosures: note from the Controller to the processors (all directorates) and its annexes.
List of attachments
• Note 24839 du 23-10-2007.pdf
• Annexe 1 (contexte et terminologie).pdf
• Annexe 3.1.doc
• Annexe 5 (check-list).pdf
DPO-2382.1
Page 6 of 6
20/12/2012