Dies ist eine HTML Version eines Anhanges der Informationsfreiheitsanfrage 'FP6, FP7, ESF audits, personal data protection, prior notifications'.

Notification to the DPO
COMPULSORY INFORMATION
1) Date of submission
19/04/2007
2) Name and address of the controller
Head of Unit
NR2 - EAFRD Financial Audit

12 rue Alcide de Gasperi, L-1615 Luxembourg
3) Unit/Service which is the Controller
NR2 - EAFRD Financial Audit
4) Unit/Service of the Processor
NR2 - EAFRD Financial Audit
5) Name of Processing + description
Statement of assurance (DAS)
-Selecting beneficiaries;
-Verification of the declarations and elegibility criteria
6) Legal basis of processing
Paragraph 1 and 3 of Article 287 of the "Consolidated version of the Treaty of Functionning of the European Union".
Article 140 and paragraph 5 of article 142 of Council Regulation(EC, Euratom) 1605/2002. 

7) Lawfulness of processing. Please retain only the justification(s) which apply for this declaration.
a) processing is necessary for the performance of a task carried out in the public interest on the basis of
the Treaties establishing the European Communities or other legal instruments adopted on the basis
thereof or in the legitimate exercise of official authority vested in the Community institution or body or
in a third party to whom the data are disclosed 
b) processing is necessary for compliance with a legal obligation to which the controller is subject
c) processing is necessary for the performance of a contract to which the data subject is party or in order
to take steps at the request of the data subject prior to entering into a contract
d) the data subject has unambiguously given his or her consent
e) processing is necessary in order to protect the vital interests of the data subject
a) 
8) Purpose(s) of Processing
The purpose of the processing is to assert whether the auditees comply with al  the conditions in order to receive 
the European Union subsidies.

9) Data Subjects
Al  the recipients of E.U. subsidies under the FEAGA expenditure.
10) Data fields(s) of Data Subjects; 
Attention: Please indicate and describe in the answer to this question also data fields which fall under article 10 (racial or 
ethnic origin; political opinions; religious or philosophical beliefs; trade-union membership; health or sex life)
Name, address, payment received, inspections, number of plots, area of the plots, quantity produced, quantity 
delivered for transformation.

If Article 10 applies please specify here: 
N/A
11) Recipient(s) of the Processing to whom the data might be disclosed
AUD-038-NR2-DAS.xlsx
1 / 3

The officials concerned in the European Commission
ECA Data Protection Officer (DPO), the European Data Protection Supervisor (EDPS) & Ombudsman in case of 
complaints
Member State's Paying Agency concerned
Member states supreme audit institution
Member states ministry of agriculture
OLAF in case of suspected fraude
12) Retention policy of (categories of) personal data
The data are erased 5 years after discharge, therefore 7 years total 
13) How are Data Subjects informed about the treatment of their personal data, as specified in Articles 11 - 12 of the 
Regulation?
By the Commission/Paying agency at the moment the requestor asks for a subsidy
14) Specify which procedures have been implemented to guarantee the data subjects rights (access; correct; lock; 
erase; opposition) as specified in Articles 13 - 19 of the Regulation.
The data subjects can only apply the right of access as their data is audit evidence and can't be blocked, erased or 
corrected.

15) Which time limit has been set after which the Data Subjects can't lock/erase data on justified legitimate request.
N/A
16) Historical, statistical or scientific purposes - If you store data for longer periods than mentioned above, please 
specify, if applicable, why the data must be kept under a form which permits identification
N/A
17) Legal foundation of transfer: only transfers to third party countries (outside EU) not subject to Directive 95/46/EC 
(Article 9) should be considered for this question. Please treat transfers to other community institutions and bodies and to 
member states under question: Recipient(s) of the Processing
N/A.
18) Which Category(ies) of Personal Data or Personal Data will be  transferred to third party countries (outside EU)?
N/A.
19) How will the personal data be stored: paper/digital and if applicable in which information system?
Digital when obtained in such a format in a shared work space and/or within the audit documentation system.
In paper format when obtained in such a way within access controled areas.

20) Describe the procedures of how the personal data will be treated and if it is a manual/automatic treatment
- Automatic selection of the audited beneficiaries in an Excel spreadsheet
- Inputing findings of the audit in the audit documentation system.
- Eventual y filed in the paper audit dossier

21) The processing presents specific needs which justifies prior checking for data falling under article 27
a) processing of data relating to health and to suspected offences, criminal convictions or security measures
b) processing operations intended to evaluate personal aspects relating to the data subject, including his or her ability, 
efficiency and conduct
c) processing operations allowing linkages not provided for pursuant to national or Community legislation between data 
processed for different purposes                                                                                                                                                               
d) processing operations for the purpose of excluding individuals from a right, benefit or contract
YES            NO                                      If YES then which option(s) A  B  C  D 
NO
22) General description of the control measures taken to fulfil Article 22 "Security of processing" and especially 
preventing any unauthorised disclosure or access, accidental or unlawful destruction or accidental loss, or alteration, and 
to prevent all other unlawful forms of processing.
Th  
 t  th  IT 
t
k i  
t
t d b    

 id
tifi
ti
 

d th t 
i
 
 90 
Place and date:  Luxembourg 19/04/2007
Data Controller: Mark CRISP
AUD-038-NR2-DAS.xlsx
2 / 3

Place and date:  Luxembourg 19/04/2007
Data Protection Officer: Jan KILB
AUD-038-NR2-DAS.xlsx
3 / 3

Document Outline