This is an HTML version of an attachment to the Freedom of Information request 'FP6, FP7, ESF audits, personal data protection, prior notifications'.

Notification to the DPO
COMPULSORY INFORMATION
1) Date of submission
19/02/2009
2) Function and address of the controller
Head of Unit
Revenu and finance (REF)

12 rue Alcide de Gasperi, L-1615 Luxembourg
3) Unit/Service which is the Controller
Revenu and finance (REF)
4) Unit/Service of the Processor
Revenu and finance (REF)
5) Name of Processing + description
Statement of Assurance - Déclaration d'Assurance (DAS)
6) Legal basis of processing
Art. 287 of the Treaty of Functionning of the EU
Art. 140 to 142 of the Financial Regulation (Council Regulation (EC, Euratom) No. 1605/2002 as amended (Art. 159 to 
161 of Regulation (EU, Euratom) No 966/2012 of the European Parliament and of the Council which apply from 
01/01/2013
7) Lawfulness of processing. Please retain only the justification(s) which apply for this declaration.
a) processing is necessary for the performance of a task carried out in the public interest on the basis of
the Treaties establishing the European Communities or other legal instruments adopted on the basis
thereof or in the legitimate exercise of official authority vested in the Community institution or body or
in a third party to whom the data are disclosed 
b) processing is necessary for compliance with a legal obligation to which the controller is subject
c) processing is necessary for the performance of a contract to which the data subject is party or in order
to take steps at the request of the data subject prior to entering into a contract
d) the data subject has unambiguously given his or her consent
e) processing is necessary in order to protect the vital interests of the data subject
a) 
8) Purpose(s) of Processing
Testing of the legality and regularity of underlying transactions
9) Data Subjects
Al  benefeciaries that received payments selected for testing of legality and regularity from DG ECFIN; DG Enterprise, 
DG Market, DG Competition, DG Trade
10) Data fields(s) of Data Subjects; 
Attention: Please indicate and describe in the answer to this question also data fields which fall under article 10 (racial or 
ethnic origin; political opinions; religious or philosophical beliefs; trade-union membership; health or sex life)
Name, address, details about their financial situation, professional activities, salaries
If Article 10 applies please specify here: 
11) Recipient(s) of the Processing to whom the data might be disclosed
AUD-199-REF-DAS.xlsx
1 / 3

Court of Auditors officials, the European Commission,the Supreme Audit Institution in the respective countries of 
selected transactions, the National Court of Auditors
OLAF, European Data Protection Supervisor, the ECA's Data Protection Officer: in case of investigations
the Supreme Audit Institution in the respective countries of selected transactions
the Ombudsman in case of an administrative complaint
national authorities in case of illegal activities/fraude/irregularities
12) Retention policy of (categories of) personal data
Fol owing the Court's procedures, the data is kept for five years after the discharge procedure, therefore in total 7 
years

13) How are Data Subjects informed about the treatment of their personal data, as specified in Articles 11 - 12 of the 
Regulation?
Through the request for EU subventions form/application by the EU Commission.
When obtained directly from the person (exception) then a privacy statement document is handed out to the 
person(s) involved.
14) Specify which procedures have been implemented to guarantee the data subjects rights (access; correct; lock; 
erase; opposition) as specified in Articles 13 - 19 of the Regulation.
Data subjects can only request access to their data.
Rectification, blocking, erase is not possible as the data obtained is part of an audit file and thus audit evidence.
The data the ECA receives is normaly obtained from the Commission, national audit body, control/payment 
agency and are evidence of spending of the EU budget and underlying transactions. In exceptional cases 
personal data is obtained directly from a natural person as a final beneficiary.

15) Which time limit has been set after which the Data Subjects can't lock/erase data on justified legitimate request.
N/A
16) Historical, statistical or scientific purposes - If you store data for longer periods than mentioned above, please 
specify, if applicable, why the data must be kept under a form which permits identification
N/A
17) Legal foundation of transfer: only transfers to third party countries (outside EU) not subject to Directive 95/46/EC 
(Article 9) should be considered for this question. Please treat transfers to other community institutions and bodies and to 
member states under question: Recipient(s) of the Processing
N/A
18) Which Category(ies) of Personal Data or Personal Data will be  transferred to third party countries (outside EU)?
N/A
19) How will the personal data be stored: paper/digital and if applicable in which information system?
Papers if copies obtained from the final beneficiry/national authorities/Commission.
In a digital format if reports are written or such digital files are obtained from beneficiries, national 
authorities/Commission.
20) Describe the procedures of how the personal data will be treated and if it is a manual/automatic treatment
Based on monetary unit sampling, payments are selected from the accounting systems and the digital data is 
extracted from the information systems at the Commission and/or other EU agencies & bodies.
The transactions are stored in the audit documentation system at the ECA (ASSYST) and a standard audit 
questionnaire is used to verify the legality and regularity of the transactions. In addition, supplementary 
information in digital and/or paper format can be requested from the Commission or any other organisation 
down to and including the final beneficiary of the EU budget spending and is stored in a digital way in ASSYST 
or in an audit file when the documents are in paper.
At the end of the audit procedures, a summary sheet of the audit findings is sent to the Commission and/or 
national supreme audit institution and/or audited organisations and beneficiaries for comments. The replies 
received are analysed and the analysis is sent to the auditees. All correspondence is stored in the ASSYST 
system and in the ECA electronic communication application (ECAP). 
For reporting purposes, all audit findings, replies and analysis about these transactions are summarised and 
from here on no personal data is any longer treated.

AUD-199-REF-DAS.xlsx
2 / 3

21) The processing presents specific needs which justifies prior checking for data falling under article 27
a) processing of data relating to health and to suspected offences, criminal convictions or security measures
b) processing operations intended to evaluate personal aspects relating to the data subject, including his or her ability, 
efficiency and conduct
c) processing operations allowing linkages not provided for pursuant to national or Community legislation between data 
processed for different purposes                                                                                                                                                               
d) processing operations for the purpose of excluding individuals from a right, benefit or contract
YES            NO                                      If YES then which option(s) A  B  C  D 
NO
22) General description of the control measures taken to fulfil Article 22 "Security of processing" and especially 
preventing any unauthorised disclosure or access, accidental or unlawful destruction or accidental loss, or alteration, and 
to prevent all other unlawful forms of processing.
Th  
 t  th  IT 
t
k i  
t
t d b    

 id
tifi
ti
 

d th t 
i
 
 90 
Place and date: Luxembourg 19/02/2009
Data Controller: Zacharias KOLIAS
Place and date: Luxembourg 25/02/2009
Data Protection Officer: Jan KILB
AUD-199-REF-DAS.xlsx
3 / 3

Document Outline