Dies ist eine HTML Version eines Anhanges der Informationsfreiheitsanfrage 'FP6, FP7, ESF audits, personal data protection, prior notifications'.

Notification to the DPO
COMPULSORY INFORMATION
1) Date of submission
05/01/2010
2) Function and address of the controller
Head of Unit
Administrative expenditure of the institutions of the European Union
12 rue Alcide de Gasperi, L-1615 Luxembourg
3) Unit/Service which is the Controller
Administrative expenditure of the institutions of the European Union
4) Unit/Service of the Processor
Administrative expenditure of the institutions of the European Union
5) Name of Processing + description
Audit on performance of OLAF investigations.
6) Legal basis of processing
Art. 287 of the Treaty of Functionning of the EU
Art. 140 to 142 of the Financial Regulation (Council Regulation (EC, Euratom) No. 1605/2002
7) Lawfulness of processing. Please retain only the justification(s) which apply for this declaration.
a) processing is necessary for the performance of a task carried out in the public interest on the basis of
the Treaties establishing the European Communities or other legal instruments adopted on the basis
thereof or in the legitimate exercise of official authority vested in the Community institution or body or
in a third party to whom the data are disclosed 
b) processing is necessary for compliance with a legal obligation to which the controller is subject
c) processing is necessary for the performance of a contract to which the data subject is party or in order
to take steps at the request of the data subject prior to entering into a contract
d) the data subject has unambiguously given his or her consent
e) processing is necessary in order to protect the vital interests of the data subject
a) 
8) Purpose(s) of Processing
The data is processed to measure the efficiency of the OLAF investigations and resources put available to the 
organisation.

9) Data Subjects
Al  staff employed by OLAF but also al  persons investigated, evaluated, withnesses and concerned persons for which 
OLAF has data available.
10) Data fields(s) of Data Subjects; 
Attention: Please indicate and describe in the answer to this question also data fields which fall under article 10 (racial or 
ethnic origin; political opinions; religious or philosophical beliefs; trade-union membership; health or sex life)
Surname, first name, personal number, nationality, marital status, grade, function and any other information data 
col ected by OLAF.
If Article 10 applies please specify here: 
N/A
11) Recipient(s) of the Processing to whom the data might be disclosed
The staff concerned in OLAF and the Commission
ECA Data Protection Officer (DPO), the European Data Protection Supervisor (EDPS) and Ombudsman in case of 
complaints
12) Retention policy of (categories of) personal data
AUD-224-AEI-OLAF-perform.xlsx
1 / 3

The data is stored for 5 years as of the date of discharge of the Budgetary Authority (i.e. for around 7 years).
13) How are Data Subjects informed about the treatment of their personal data, as specified in Articles 11 - 12 of the 
Regulation?
No communications are foreseen to inform the Data Subjects. The information is gathered from OLAF and it's up to 
OLAF to inform the data subjects.
14) Specify which procedures have been implemented to guarantee the data subjects rights (access; correct; lock; 
erase; opposition) as specified in Articles 13 - 19 of the Regulation.
Data subjects can only request access to their data.
Rectification, blocking, erase is not possible as the data obtained is part of an audit file and thus audit evidence.
Notification made to the Data Protection Officer

15) Which time limit has been set after which the Data Subjects can't lock/erase data on justified legitimate request.
N/A
16) Historical, statistical or scientific purposes - If you store data for longer periods than mentioned above, please 
specify, if applicable, why the data must be kept under a form which permits identification
N/A
17) Legal foundation of transfer: only transfers to third party countries (outside EU) not subject to Directive 95/46/EC 
(Article 9) should be considered for this question. Please treat transfers to other community institutions and bodies and to 
member states under question: Recipient(s) of the Processing
No transfer of information to third party countries
18) Which Category(ies) of Personal Data or Personal Data will be  transferred to third party countries (outside EU)?
N/A
19) How will the personal data be stored: paper/digital and if applicable in which information system?
Papers version if paper copies obtained from the institutions.
In digital format if the evidence is documented in the audit documentation system (ASSYST). The same applies when 
digital files are obtained OLAF.
20) Describe the procedures of how the personal data will be treated and if it is a manual/automatic treatment
The treatment consist of col ection and analysis data for auditing purposes. This is done manual y and, where 
applicable, by computer assisted audit techniques.
Data on investigated cases contained in the OLAF cases system were only consulted within the OLAF offices, were 
never copied and col ected by the audit team.
21) The processing presents specific needs which justifies prior checking for data falling under article 27
a) processing of data relating to health and to suspected offences, criminal convictions or security measures
b) processing operations intended to evaluate personal aspects relating to the data subject, including his or her ability, 
efficiency and conduct
c) processing operations allowing linkages not provided for pursuant to national or Community legislation between data 
processed for different purposes                                                                                                                                                               
d) processing operations for the purpose of excluding individuals from a right, benefit or contract
YES            NO                                      If YES then which option(s) A  B  C  D 
NO
22) General description of the control measures taken to fulfil Article 22 "Security of processing" and especially 
preventing any unauthorised disclosure or access, accidental or unlawful destruction or accidental loss, or alteration, and 
to prevent all other unlawful forms of processing.
 
   
   
   
    
 
 
 
 
 
 
 
   
Place and date: Luxembourg 05/01/2010
Data Controller: Bertrand ALBUGUES
AUD-224-AEI-OLAF-perform.xlsx
2 / 3

Place and date: Luxembourg 19/01/2010
Data Protection Officer: Jan KILB
AUD-224-AEI-OLAF-perform.xlsx
3 / 3

Document Outline