This is an HTML version of an attachment to the Freedom of Information request 'FP6, FP7, Horizon 2020, Commission Decision 597/2008, personal data protection'.

DPO-978.6 - RTD : Collection and processing of data submitted by proposal
Applicants/project Participants/Organisations and Experts in the context of
Framework Programmes and other Programmes and Initiatives managed by
the Directorate-General for Research and Innovation (DG RTD)
General information

Creation : 06/02/2006
Keywords :
Last updated : 04/09/2013
Corporate : No
Registration : 15/01/2013
Language : English
Status : Register
Model : No Model
Deleted : No
EDPS opinion (prior check) : No
DG.Unit : RTD
Target Population : Beneficiaries, Citizens
Controller : SMITS Robert-Jan
DPC Notes : Update of DPO-978 regarding:
Delegate :
- The publication of the projects' coordinators' contact
DPC : BOURGEOIS Thierry, PENEVA Pavlina
details (opt-out);
- The possible (opt-in) publication of any personal
data of any person participating in a project;
- The modification of the the IT and business
architectures, with the subsequent abandonment of
the former front-end/back-office boundary. Each DG
and EA becomes the Controller of all its processing
operations of Experts and members of
Applicants/Participants/Organisations, end-to-end
(and whatever the distribution of IT, the System
Owners of which are the Processors of the
Controllers);
- The description of the processing operations with no
direct relation to IT systems as such, but to the
business functions they support (e.g. phasing-out of
CORDIC/EMC replaced by EMPP, EPSS- and then
ESS- by SEP, etc.).
Processing
1 . Name of the processing
Collection and processing of data submitted by proposal Applicants/project Participants/Organisations and
Experts in the context of Framework Programmes and other Programmes and Initiatives managed by the
Directorate-General for Research and Innovation (DG RTD)
DPO-978.6
Page 1 of 11
19/09/2013

2 . Description
(i)  Collection  and  processing  of  the  information  needed  to  manage  Framework  Programmes  and  other
Programmes and Initiatives, in accordance with the appropriate regulations.
(ii) Lifecycle of processing operations for Applicants/Participants and Experts:
The lifecycle of processing starts with the preparation and publishing of Calls for proposals and for recruiting
Experts for evaluations or reviews. The "Call publishing" operation is done via a combination of standard office
tools in the DGs and common tools in REA, and the Call is published on the Internet via the Participant Portal.
Organisations (single or in groups) prepare and submit proposals according to the conditions and topic of the
Call for proposals. "Proposal submission" is done mostly electronically via the Participant Portal.
Organisations should submit their legal and financial information via the Participant Portal in order that the
Validation Services could perform the legal and financial verification of the entities. Upon registration (and
validation), the organisations receive a Participant identification code that can be used in all subsequent
administrative steps. 
In  preparation  of  the  Calls  in  specific  Framework  Programmes  (FP6  and  later),  Experts  can  register  for
participation in evaluations or reviews via the European Commission (EC) Portal ("Experts Registration").
When a Call is published, lists of Experts are prepared and approved for proposal evaluations via the "Expert
Management" operation.
All proposals are registered for reception and when a Call is closed, the proposals are made available to the
DG Call Coordinator for "Proposal Evaluation". Before proposals are submitted, a limited set of data is made
available (list of Participants, contact details, proposal short summary, acronym, activity topic) mainly for call
coordinators and staff directly involved in the preparation of evaluations and the selection of Experts. The DG
then composes the panels of the approved Experts to evaluate the proposals. The proposal evaluations are
then planned and proposals are reviewed and ranked. The result is three lists of proposals with ranking:
1. Proposals that are put forward for funding approval;
2. Proposals kept in case changes occur to the first list;
3. Proposals which do not meet the requirements and they are rejected.
At this point, Experts are paid for their participation in the evaluations via the "Expert Management" operation,
while  the  selected  proposals  are  reviewed  and  approved  for  funding  by  the  Steering  Committee  of  the
concerned Specific Programme.
At the end of the evaluations or at latest when the proposals are approved for funding, Project Officers are
assigned by the different Directorates of the DG and "Proposal Negotiation" operation begins. During this
period, the final details of the proposal are settled, and a grant agreement is prepared via "Grant Management"
operation. The latter operation also handles any amendments to the grant agreement. At this stage, the
information provided via the unique registration service via the Participant Portal is validated by the Validation
services.
When the grant agreement is accepted by all parties and signed, then the first payment can be made and the
project proceeds to provide the deliverables agreed and get paid for the deliverables in the set time periods via
the "Grant Management" operation, until the project is complete. During the project period, information is
exchanged between the EU Project Officer and the organisation/company acting as the coordinator of the
project within the consortium, including Grant Preparation Forms (GPF), contracts, and deliverables.
Another  processing  operation  focuses  on  the  continuous  collection  and  validation  of  organisation  data.
"Organisation management"  is common for all Research DGs for the latest framework program. "Organisation
registration" is a processing operation which allows for organisations to pre-register and to get their Participant
identification code.
During  all  the  above  operations,  information  is  kept  in  the  data  warehouse,  so  that  "DG  Reporting"  and
statistics  can  be  produced.  Reporting  is  produced  as  necessary  for  the  concerned  DG  operations  and
response to Parliamentary questions concerning funds, projects funded and socioeconomic issues. In addition,
the DG carries its own internal auditing for on-going projects, and there is processing with regards to audits
carried out and the results obtained via "Projects Auditing". Also, structured information is collected via the
"Structured  Deliverables"  processing  for  various  other  needs,  like  socioeconomic  data.  CORDIS  also
disseminates information on projects' results.
(iii) The processing operations include:
 a) For Applicants/Participants:
    •  Call Publishing;
    •  External user support (e.g. Helpdesk Applicants);
    •  Electronic Proposal Submission;
    •  Management of user accounts and permissions;
    •  Management of Codes & Calls reference data;
DPO-978.6
Page 2 of 11
19/09/2013

    •  Publication of National Contact Point (NCP) names and contact details on CORDIS or Europa, depending
on the programme;
    •  Organisations (Applicants) registration, verification, validation;
    •  Exchange of information between EU Organisations (Applicants);
    •  Proposal Evaluation;
    •  Proposal negotiation, ranking and decision ;
    •  Contract preparation, generation, validation, execution and monitoring ;
    •  Transferring financial transactions to and from the Commission's accounting system for further validation
and processing;
    •  Statistics, reporting and information relating to management and monitoring of programmes and initiatives
(includes project information storage for statistics and auditing purposes);
    •  Auditing.
For  Participants  in  proposals  retained  for  funding,  publication  on  the  CORDIS  portal/Europa/any  other
dedicated Internet website/paper of:
    •  Project summaries, report and other deliverables marked as publishable;
    •  All the contact details of Participants (e.g. phone, fax, email, postal address, location);
    •  Any additional information provided by project coordinators, principal investigator or Participants such as
picture, age, nationality, short curriculum vitae, etc. of their staff, only further to the informed and unambiguous
consent of the concerned data subjects.
b) For Experts:
    •  Registration of their profile by Experts themselves (via a web-based application);
    •  Experts Selection (for proposal evaluations);
    •  Experts Contracts and Payments management;
    •  Experts Selection (for projects reviews);
    •  Reporting (includes project information storage for statistics and auditing purposes) ;
    •  Security management;
    •  Exchange of information with Experts/Organisations.
For Experts who have opted-in (2 further categories of recipients relating to 2 opt-in options), provision of their
data to:
    •  Public research funding bodies and or other Programmes and Initiatives of Member and Associated
States;
    •  Commission departments not involved in the administration of the research Framework Programmes or of
other Programmes and Initiatives, and seeking particular scientific or technical Expertise to assist in the
administration of other EU programmes.
For Experts appointed for proposal evaluation or project review and monitoring, further data are collected and
processed:
    •  Their Legal Entity Form (LEF): PO BOX, passport number / identity card number, place of birth, country of
birth, FAX numbers, copy of passport or identity card (scanned documents or otherwise reproduced). The
related processing operations are cross-covered by notification DPO-372 of DG BUDG;
    •  Theie Bank Account Form (BAF): Name of the account holder, bank name, branch address (street),
town/city, postcode, country, account number, IBAN/Other. The related processing operations are referred to
in the notification DPO-370 of DG BUDG;
    •  Their Appointment Letter: ID, type of work, validity period, location, details including description, status
and actions;
    •  Their reimbursement form: programme/priority/theme, call number, AL ID, Expert surname, Expert first
name,  detail  on  number  of  days  worked,  detail  of  travel;  declaration  of  wish  to  claim  travel  costs,  daily
allowance, accommodation allowance, place of task, date of arrival at meeting place, meeting start and end
dates, transportation type, place of departure/arrival, class of travel, price, supporting document.
(iv) In addition, some personal data may be disclosed in compliance with the relevant current legislation and
established case law, and on a temporary basis to:
(a) The Civil Service Tribunal, at its request;
(b) The Ombudsman, at his request;
(c) The European Data Protection Supervisor (EDPS), at his request;
(d) The audit and control bodies such as OLAF, Court of Auditors.
The data processed by DG RTD does not fall under the Article 27 of the Regulation 45/2001, and does not
require prior checking by the European Data Protection Supervisor (EDPS).
DPO-978.6
Page 3 of 11
19/09/2013

Therefore, the present notification has not been submitted to a prior checking by the EDPS.
3 . Processors
Any statutory or non-statutory staff of DG RTD, other DGs and EAs of the Research family, DIGIT, DG HR, the
Publication Office (cf. notification DPO-1332 of OP for CORDIS).
Sub-contracting: any processing operations performed on behalf of the DG (the Controller) by a contractor (a
Processor) are pursuant to Regulation (EC)45/2001. The subsequent obligations of the Processor are made
mandatory via a dedicated contractual clause (enclosed).
List of attachments
• Standard contractual clause on data protection.doc
4 . Automated / Manual operations
All  processing  operations  have  an  automated  part.  This  point  cover  front-office  automated  processing
operations  and  supporting  IT  systems  for  Applicants.  The  front-office  operations  relating  to  Experts  are
covered by the Research Executive Agency (REA).
All EC IT systems are compliant with the Commission Decision of 16 August 2006 C(2006) 3602 concerning
the security of information systems used by the European Commission.
Besides, EC contractors which run IT systems on behalf of EC abide contractually by Regulation (EC) N°
45/2001. They act only on instruction from the data Controller and undertake to adopt appropriate technical
and organisational security measures having regard to the risks inherent in the processing and to the nature of
the personal data concerned (cf. question "3. Processors").
These IT systems support the following operations:
    •  Call publication;
    •  User Helpdesk;
    •  Submission of Proposals;
    •  Publication of NCP names and contact details;
    •  Management of Codes and Calls reference data;
    •  Security Management for local users;
    •  Evaluation Support;
    •  Organisations Registration, verification, validation and management;
    •  Identity and access Management;
    •  Experts Registration;
    •  Experts Management ;
    •  Security Management for local users;
    •  Contract & Project Management;
    •  Negotiation;
    •  DG Reporting" for socio-economic data
    •  Publication and dissemination of project information and results;
    •  Etc.
The scope of the manual processing operations performed by EU personnel or contractors on their behalf
includes (manually initiated transfer of data between systems is not considered as a processing operation and
it is not mentioned here):
    •  Updating the calls reference data after a new call or Research DG reorganisation;
    •  Publishing a call after input is received;
    •  Organisation of data management, including research and identification of duplicate entries, verification
and validation for organisation legal status following adequate background research, and management of
unique organisation (Participant) ids;
    •  Keeping paper documents storage, e.g. on organisation legal status;
    •  Selection of Experts for proposal evaluation, or project review and monitoring purposes. Note that Experts'
data are provided and maintained by Experts themselves;
    •  Managing Expert Contracts and Payments for services during proposal evaluation or project review and
monitoring. Bank account is provided by Experts and verified by RTD;
    •  Managing the list of Proposals for further processing, including negotiation, and selected proposal lists
approval; Managing the list of selected Projects, for further processing, including contract preparation, and
initial payments;
    •  Managing the projects and further processing, including deliverables, contract amendments, and
DPO-978.6
Page 4 of 11
19/09/2013

intermediate or final payments;
    •  Managing reporting requirements for operation at Project, Operational Unit, Directorate or RTD level;
    •  Carrying out Projects auditing, to assess whether or not all relevant legal obligations were properly
followed;
    •  Managing publication and dissemination of results;
    •  Managing RTD users access to supporting IT systems.
5 . Storage
The data is stored at the DG DIGIT data centre, physically under the control of DG DIGIT. The data can be
transferred to local DG data centres operating under the same rules as the Digit data centre. It is stored in
various computer readable formats, including on magnetic and optical storage media.
The proposal data may also be stored in paper form, and they are transferred to the appropriate DG for further
processing.
Organisation validation data (legal of financial) may also be stored in paper form, but they remain under the
control of the Research Executive Agency (REA).
6 . Comments
DG RTD staff of operational Units may request and get access to information provided by Applicants and
Experts. However, payments are approved and carried forward by the Administration and Finance Units (AFU)
only.
Purpose & legal basis
7 . Purposes
The purpose of the processing is to manage:
    •  The Commission’s administration of the evaluation of proposals and review of projects submitted for
funding or funded through the Research Framework Programmes;
    •  The Research Framework Programmes as a whole, in accordance with the applicable regulation(s);
       •    Other  (non-FP)  Programmes  funded  by  Research  DGs  and  related  EAs  and  JUs  as  a  whole,  in
accordance with the applicable Legal Framework.
8 . Legal basis and Lawfulness
The legal basis references are listed below, and may be updated into the register of data protection officer of
the  European  commission  with  respect  to  legal  acts  to  be  adopted  in  relation  to  FP7  activities  or  other
Programmes and Initiatives.
    •  Article 16 of the Treaty on the Functioning of the European Union (ex Article 286 TEC)
    •  Regulation (EC) No 45/2001 of the European Parliament and of the Council of 18 December 2000 on the
protection of individuals with regard to the processing of personal data by the Community institutions and
bodies and on the free movement of such data (OJ L 8/1, 12.01.2001)
       •    Decision  No  1982/2006/EC  of  the  European  Parliament  and  of  the  Council  of  18  December  2006
concerning the Seventh Framework Programme of the European Community for research, technological
development and demonstration activities (2007-2013)
       •    Commission  Decision  C(2008)  3980  of  31  July  2008  delegating  powers  to  the  REA  with  a  view  to
performance of tasks linked to implementation of the specific Community programmes People, Capacities and
Cooperation as amended by Commission Decision C(2010) 5184 of 30 July 2010 (the Delegation Act)
    •  The Memorandum of Understanding between the REA and its parent DGs, namely the Directorates-
General for Research and Innovation (DG RTD), for Enterprise and Industry (DG ENTR), and for Education
and Culture (DG EAC)
    •  Commission Decision 2011/161/EU, Euratom of 28 February 2011 amending Decision C(2008) 4617
related to the rules for proposals submission, evaluation, selection and award procedures for indirect actions
under  the  Seventh  Framework  Programme  of  the  European  Community  for  research,  technological
development and demonstration activities (2007-2013) and under the Seventh Framework Programme of the
European Atomic Energy Community (Euratom) for nuclear research and training activities (2007-2011)
DPO-978.6
Page 5 of 11
19/09/2013

    •  Regulation (EC) No 1906/2006 of the European Parliament and of the Council of 18 December 2006
laying down the rules for the participation of undertakings, research centres and universities in actions under
the Seventh Framework Programme and for the dissemination of research results (2007-2013)
    •  Commission Decision C(2007) 2466 of 13 June 2007 on the adoption of the rules to ensure consistent
verification  of  the  existence  and  legal  status  of  Participants,  as  well  as  their  operational  and  financial
capacities, in indirect actions supported through the form of a grant under the Seventh Framework Programme
of the European Community for research, technological development and demonstration activities (2007-2013)
and under the Seventh Framework Programme of the European Atomic Energy Community (Euratom) for
nuclear research and training activities (2007-2011)
    •  Council Regulation (EURATOM) No 1908/2006 of 19 December 2006 laying down the rules for the
participation  of  undertakings,  research  centres  and  universities  in  action  under  the  seventh  framework
programme of the  European Atomic Energy Community and for the dissemination of research results (2007 to
2011)
    •  Council Decision No 2006/970/EURATOM of 18 December 2006 concerning the Seventh Framework
Programme of the European Atomic Energy Community (Euratom) for nuclear research and training activities
(2007 to 2011)
       •    Council  Decision  No  2006/971/EC  of  19  December  2006  concerning  the  specific  programme
‘Cooperation’ implementing the Seventh Framework Programme of the European Community for research,
technological development and demonstration activities (2007 to 2013)
    •  Council Decision No 2006/972/EC of 19 December 2006 concerning the specific programme: ‘Ideas’
implementing the Seventh Framework Programme of the European Community for research, technological
development and demonstration activities (2007 to 2013)
    •  Council Decision No 2006/973/EC of 19 December 2006 concerning the specific programme ‘People’
implementing the Seventh Framework Programme of the European Community for research, technological
development and demonstration activities (2007 to 2013)
       •    Council  Decision  No  2006/974/EC  of  19  December  2006  on  the  specific  programme:   Capacities’
implementing the Seventh Framework Programme of the European Community for research, technological
development and demonstration activities (2007 to 2013)
       •    Council  Decision  No  2006/976/Euratom  of  19  December  2006  concerning  the  specific  programme
implementing the Seventh Framework Programme of the European Atomic Energy Community (Euratom) for
nuclear research and training activities (2007 to 2011)
    •  Decision No 2007/6262 on 14 December 2007 setting up the "Research Executive Agency" (REA) for the
management of certain areas of the specific Community programmes People, Capacities and Cooperation in
the field of research in application of Council Regulation (EC) N° 58/2003
    •  Council Regulation (EC) N° 1513/2002 of 27 June 2002 concerning the sixth Framework Programme of
the European Community for research, technological development and demonstration activities, contributing to
the creation of the European Research Area and to innovation (2002 to 2006)
       •    Council  regulation  (EC,  Euratom)  N°  2002/668  of  3  June  2002  concerning  the  sixth  Framework
Programme of the European Atomic Energy Community (Euratom) for nuclear research and training activities,
also contributing to the creation of the European Area (2002 to 2006)
    •  Decision No 2008/37/EC of 14 December 2007 setting up the "European Research Council Executive
Agency" (ERCEA) for the management of the specific Community programme "Ideas" in the field of frontier
research in application of Council Regulation (EC) N° 58/2003
    •  Commission Decision N. 2007/134/EC of 2 February 2007 establishing the European Research Council,
and its amendments
    •  Commission Decision C(2007)2286 ERC rules for the submission of proposals and the related evaluation,
selection and award procedures relevant to the Ideas Specific Programme, and its amendments
    •  Article 169 initiatives (AAL, a joint research programme on "Ambient Assisted Living" in the "Cooperation"
programme,  and   "EUROSTARS",  a  joint  research  programme  for  research  performing  SMEs  and  their
partners in the "Capacities" programme)
    •  Council Regulation (EC) No 71/2008 of 20th December 2007 setting up the Clean Sky Joint Undertaking
    •  Council Regulation (EC) No 72/2008 of 20th December 2007 setting up the ENIAC Joint Undertaking
       •    Council  Regulation  (EC)  No  73/2008  of  20th  December  2007  setting  the  joint  undertaking  for  the
implementation of the joint technology initiative on innovative medicines
    •  Council Regulation (EC) No 74/2008 of 20th December 2007 on the establishment of the ‘ARTEMIS Joint
Undertaking’ to implement a Joint Technology Initiative in Embedded Computing Systems
    •  Council Regulation (EC) No 521/2008 of 30 May 2008 setting up the Fuel Cells and Hydrogen Joint
Undertaking
    •  Commission Decision 2006/291/EC,Euratom of 7 April 2006 on the re-use of Commission information
    •  Various implementation regulations, and general regulations such as the Financial Regulations, the Guide
DPO-978.6
Page 6 of 11
19/09/2013

to Financial Issues relating to FP7 Indirect Actions
    •  Council Regulation (EC) No 1159/2005 of the European Parliament and of the Council of 6 July 2005
amending Council Regulation (EC) No 2236/95 laying down general rules for the granting of Community
financial aid in the field of trans-European networks (OJ 2005/L191/16 of 22.07.2005)
       •    Decision  No  2113/2005/EC  of  the  European  Parliament  and  of  the  Council  of  14  December  2005
amending Decision No 2256/2003/EC with a view to extension of the programme in 2006 for the dissemination
of good practices and monitoring of the take-up of information and communication technologies (ICTs)
    •  Decision No 854/2005/EC of the European Parliament and of the Council of 11 May 2005 establishing a
multi annual Community Programme on promoting safer use of the Internet and new online technologies
       •    Decision  No  1639/2006/EC  of  the  European  Parliament  and  of  the  Council  of  24  October  2006
establishing a Competitiveness and Innovation Framework Programme (2007 to 2013)
The data processing is considered lawful, because it is necessary to:
    •  Meet requirements of the legal instruments mentioned above;
    •  Ensure compliance of Commission with legal obligations;
    •  Perform a contract with the data subject (or take steps prior to entering into contract);
As described in points (a), (b) and (c) of article 5 of Regulation (EC) 45/2001.
Data subjects and Data Fields
9 . Data subjects
    •  Persons in organisations requesting (Applicants) or receiving (Participants) funding through the Research
Framework Programmes, or other Programmes and Initiatives, who are associated with the project(s) being
funded;
    •  Experts applying or accepted for evaluation of proposals, as well as Experts applying or accepted for
reviewing and monitoring of projects.
10 . Data fields / Category
a) Applicants:
(i) The data processed are:
· Last name, First name;
· Title, Gender;
· Nationality;
· Country where the applicant is legally resident at the time of the application;
· Department/Faculty/Institute/Laboratory name;
· Phone, Mobile phone;
· E-mail, Fax;
· Address, if different from organisation address;
(ii) And, if the proposal is selected, then additional information is being collected:
· Bank account reference (IBAN and BIC codes);
· VAT no (where applicable);
· Costs statements, incl. personnel costs which reflect the total remuneration (incl. social security  charges and
other statutory costs) for FP7 Indirect Actions;
(iii)  And  the  following  information  is  published  on  CORDIS  portal/Europa/other  dedicated  Internet
website/paper for all selected proposals/funded projects:
· Project summaries, reports and deliverables that have been marked as publishable;
·  All  the  contact  details  of  the  administrative  representative  of  each  Participant  as  well  as  of  the  Project
Coordinator (e.g. phone, fax, email, postal address, location).
(iv) And if the project coordinator/leader or principal investigator (PI) or any other person of any Participant in a
funded  project  agrees  unambiguously,  the  following  data  may  be  published  on  paper  and  Internet  for
communication  purposes  (and  further  processed  for  statistics/study/programme  evaluation  purposes  by
contractors or beneficiaries of a Cooperation and Support Action):
·  Last name;
· First name;
· Title;
· Gender;
DPO-978.6
Page 7 of 11
19/09/2013

· Department/Faculty/Institute/Laboratory name;
· Phone;
· Mobile phone;
· Email;
· Fax;
· Address, if different from organisation address;
· Short curriculum vitae (professional contact details, education and work experience);
· Nationality (for statistical and communication purposes - e.g. the analysis of the mobility of researchers-);
·  Age  (for  statistical  and  communication  purposes  -  e.g.  the  analysis  of  the  participation  of  young/elder
researchers-);
· Picture.
(v) Further personal data may be collected and further processed concerning the scientific staff members of a
project team of a Participant (i.e. the entity which signed the grant agreement), only upon unambiguous and
informed consent of each concerned data subject, and for anonymous statistical studies, impact evaluation of
the programme, or improvement of the funding schemes for researchers. The data that may be collected are
the following ones:
· Last name, First name;
· Gender;
· Nationality;
· Staff category;
· Year of birth;
· Information on the latest higher education (degree, subject area, institution, year of award, country);
·  Information  on  the  latest  post  doctorate  of  professional  station  (activity,  start  and  end  dates,
institution/organisation, country);
· Employment period within the funded project (start and end dates);
· Completion of the doctorate within the project (month, year, subject area).
The prior agreement of each concerned data subject shall be documented by the concerned Participant (i.e.
the entity which signed the grant agreement) according to the model of declaration annexed to the SSPS
"Applicants" (attached to point 11. ), to be filled in and signed by the data subject, and kept at disposal of the
Controller by the Participant for any possible verification.
b) Experts (evaluators, reviewers, reporters)
(i) Data collected at the time of their registration:
    •  Personal details: title, first name, family name, gender, date of birth, nationality (ies), e-mail address,
address (es) (current and previous declared addresses), street (number and name), town/city, post code,
country, telephone numbers (fixed, mobile);
    •  Languages: language(s) level in terms of writing, reading and conversation is indicated;
    •  Education: title of qualification, subject or field, name of institution, country, and year awarded;
    •  Area of expertise: indication of specialist field(s) and pre-defined themes (Expert selects the specialist
field(s) and pre-defined themes that best describe their expertise) and description of expertise using own
keywords/phrases;
    •  Employment history, including information on: current and previous employment (organisation name,
department/sector, job title, employment dates, town or city, country, organisation type and size), current
employment status, total number of years of specialist/related experience and indication of experience in the
industrial sector;
    •  Experience in field: information concerning assistance to the European Commission in its research
framework programmes. The type of role is indicated and area of work and dates are mentioned in a free text
field;
    •  Publications & Achievements: for publications, title, date, authorship, name of publisher/journal, keywords.
For achievements, date, country and nature of achievement (as free text). For patents, the reference should be
added;
    •  Additional information: free text field where the Expert can add information and/or provide a link to a
website where their CV is published, if they wish;
    •  Type of Expert: FP7 Expert and/or Expert for other funding programmes;
(ii) And, in case of appointment:
· Bank account form (IBAN and BIC codes);
· Legal Entity Form (LEF).
(iii) When registering, Experts can select whether or not (opt-in options) they authorise access to their data to:
·    Commission departments not involved in the administration of the research Framework Programmes or of
other Programmes and Initiatives, and seeking particular scientific or technical expertise to assist in the
DPO-978.6
Page 8 of 11
19/09/2013

administration of other EU programmes;
·   Public research funding bodies and other Programmes and Initiatives of Member and Associated States.
Rights of Data Subject
11 . Mandatory Information
Information to the Data Subjects as described in articles 11-12 under 'Information to be given to the Data
subjects is provided in a Service Specific Privacy Statement (SSPS) displayed on the Participant Portal, where
the  Applicants'  and  Experts  personal  data  are  collected  and  registered  (within  the  scope  of  Experts
registration, Proposal submission, Organisation registration, and Organisation management), published under
the link Legal notice.
Applicants who have not opted-in at the time of their registration and who are granted may be offered to give
their prior and unambiguous consent to the publication of their picture, nationality, age and short curriculum
vitae at a later stage (cf. section 10), through signature of a declaration of agreement.
List of attachments
• SSPS Applicants v7.7.doc
• SPS_Selection_and_Management_of_Experts_September_2013.pdf
12 . Procedure to grant rights
For any questions related to their rights under articles 13-9, and depending on where they are in the workflow
(registration versus further processing of their personal data), data subjects can contact the Controller, by
using:
a) For Applicants:
· The Validation Service for any question concerning the Organisation registration and management (REA-
xxxxxxxxxxxxxx@xx.xxxxxx.xx);
· The contact information given in the Call for any question on Proposal submission;
The designated Project Officer
b) For Experts:
· The entity responsible for Expert registration area of the Participant Portal, using the following email address:
xxxxxxxxxxxxxx@xx.xxxxxx.xx;
· The contact information given in the appointment letter.
In any case, please specify the details of your request.
Any  information  relating  to  the  processing  of  your  personal  data  is  detailed  in  the  register  of  the  Data
Protection Officer of the European Commission:
http://ec.europa.eu/dataprotectionofficer/register/index.cfm?TargetURL=D_REGISTER
13 . Retention
For Experts selected and for Organisations retained for funding and grant agreements, personal data (on
papers and registered in data bases) are kept as required by the Commission's Common Retention List (SEC
(2007)970), i.e. 10 years after the end of the project..
As Experts may themselves update or delete their personal data online, personal data not updated after 10
years will be removed from the databases.
For organisations retained for funding and grant agreements, personal data (on papers and registered in data
bases) are kept as required by the Commission's Common Retention List (SEC(2007)970), i.e. 10 years after
the end of the project.
For organisations which are not granted, personal data is kept for 3 years after the latest of the decision of the
rejection of the proposal by the Programme Steering Committee / the closing of the project (if the negotiation
failed) / the last update made by the concerned authorised representative of the data subject.
DPO-978.6
Page 9 of 11
19/09/2013

14 . Time limit
Blocking or rectifying data falling could be done on request, as mentioned in the Specific Privacy Statement
(cf. point 11).
Regarding erasing proposal contacts, this can be done by the concerned persons themselves via the web
interface and their password, as set during registration (cf. point 2).
15 . Historical purposes
Project files are kept in the archives in Zaventem according to Commission rules.
Recipients
16 . Recipients
Without prejudice to a possible transmission to the bodies in charge of a monitoring or inspection tasks in
accordance with Community law (for example, Court of Auditors), access to personal data will be given:
a) For Experts data to:
·  Internal  authorised  Commission  staff  and  contractors  that  are  working  on  behalf  of  and  under  the
responsibility of the Commission to manage the operational and financial aspects of research projects within
the Research Framework Programmes or other Programmes and Initiatives;
· Other European Institutions or Community Programmes/Bodies/Initiatives linked to the Research Framework
Programme or to other Programmes and Initiatives;
· Public: basic information (e.g. name, first name) of Experts who participated in evaluations are published on
CORDIS (http://cordis.europa.eu).
In addition, and further to their prior approval through the "opt-in" options at the time of their registration,
access to the Expert's profile data may be granted to other Public research funding bodies and programmes,
as well as to other Commission departments.
b) For Applicants/Participants data to:
    •  Internal authorised Commission staff, independent Experts and contractors who are working on behalf of
the Commission for the purposes of proposal evaluation, and for selected projects under a grant agreement, to
manage  the  operational  and  financial  aspects  of  research  projects  within  the  Research  Framework
Programmes or other Programmes and Initiatives;
       •    Other  structures  associated  with  the  Research  Framework  Programmes,  other  Programmes  and
Initiatives, such as e.g. Programme Committees, Advisory Groups, other European Institutions or Community
Programmes/Bodies/Initiatives;
       •    Public:  for  projects  under  a  grant  agreement,  a  limited  subset  of  data  (e.g.  contact  details  of  the
administrative representatives of Participants in the project, and of the Project Coordinator, total budget of the
project,  publishable  deliverables)  is  published  on  the  CORDIS  website/Europa/other  dedicated  Internet
webpage/paper in order to provide the necessary information to facilitate contacts between interested parties
and the research consortium, and may be printed for further dissemination.
In addition, if the project coordinator/leader, principal investigator (PI) or any Participant in a funded project
gives his prior and unambiguous consent, information such as picture, age, nationality and short curriculum
vitae may be published on paper and Internet.
17 . Transfer out of UE/EEA
Not applicable - no transfer of personal data to third party countries.
Security measures
18 . Technical and organizational measures
Access to the data is only available to registered users as approved by their hierarchy through a separate
access  control  module  managed  by  RTD  (ECAS  and  SECUNDA),  and  according  to  the  "need  to  know"
principle. The security module logs which user has requested to access to the system, together with the date
and timestamp.
DPO-978.6
Page 10 of 11
19/09/2013

General comments applying to all sub-points:
    •  Authentication is based on the DIGIT ECAS mechanism;
    •  Data processing for proposal Applicants is limited via registration and access control to own areas only
and in submitting proposals;
    •  Data processing is on the central IT infrastructure of the Commission (data centre and data network)
maintained by DG DIGIT, following the rules, procedures, organisation, and security rules of DG DIGIT;
    •  Physical access control to network, servers and media is managed by DG DIGIT;
    •  Organisational structures have been set up in accordance with the principles of the Regulation 45/2001;
    •  Where personal data are collected through an external company, the latter has to adopt organisational
measures in order to guarantee the data protection and confidentiality required by the Regulation 45/2001 (cf.
point 3);
    •  It could be that the data subject may opt-out for the publication or provision of certain of his/her personal
data, while the access to the rest of the personal data collected is only granted through User Id/password to a
defined population of users or through the offered opt-in options for another population of users.
19 . Complementary information
Enclosure: the Guide to Financial Issues relating to FP7 Indirect Actions.
The Publication Office is responsible for the relations with the data processor in respect of CORDIS; REA is
responsible for the implementation of the submission and evaluation services and the Central Validation Team
(CVT); CNECT manages the evaluation support service; DIGIT is the data processor in respect of the other
modules. 
List of attachments
• FP7 Ind Actions.pdf
DPO-978.6
Page 11 of 11
19/09/2013