This is an HTML version of an attachment to the Freedom of Information request 'FP6, FP7, ESF audits, personal data protection, prior notifications'.

Notification to the DPO
COMPULSORY INFORMATION
1) Date of submission
18/06/2009
2) Name and address of the controller
Head of Division
NR3 - Performance Unit A
12 rue Alcide de Gasperi, L-1615 Luxembourg

3) Unit/Service which is the Controller
NR3 - Performance Unit A
4) Unit/Service of the Processor
NR3 - Performance Unit A
5) Name of Processing + description
Préenquête sur les bénéficaires de la PAC.
Audit du traitement des données des montants reçus par les bénéficaires de la PAC
6) Legal basis of processing
Article 287 of the "Consolidated version of the Treaty of Functionning of the European Union".
Chapter 1 of Title VIII of Council Regulation(EC, Euratom) 1605/2002.
7) Lawfulness of processing. Please retain only the justification(s) which apply for this declaration.
a) processing is necessary for the performance of a task carried out in the public interest on the basis of
the Treaties establishing the European Communities or other legal instruments adopted on the basis
thereof or in the legitimate exercise of official authority vested in the Community institution or body or
in a third party to whom the data are disclosed 
b) processing is necessary for compliance with a legal obligation to which the controller is subject
c) processing is necessary for the performance of a contract to which the data subject is party or in order
to take steps at the request of the data subject prior to entering into a contract
d) the data subject has unambiguously given his or her consent
e) processing is necessary in order to protect the vital interests of the data subject
a) 
8) Purpose(s) of Processing
LES DONNEES A CARACTERE PERSONNEL SONT COLLECTEES ET UTILISEES EN VUE D'EXAMINER EVENTUELLEMENT LE 
RESPECT DES PRINCIPES DE LA BONNE GESTION FINANCIERE TANT AU NIVEAU COMMUNAUTAIRE QU'AU NIVEAU 
NATIONAL DANS LA GESTION DE CES PROGRAMMES
9) Data Subjects
Toutes les bénéficiares de la PAC
10) Data fields(s) of Data Subjects; 
Attention: Please indicate and describe in the answer to this question also data fields which fall under article 10 (racial or 
ethnic origin; political opinions; religious or philosophical beliefs; trade-union membership; health or sex life)
NOM, PRENOM, N° IDENTIFICATION FISCAL, ADRESSE, TELEPHONE, E-MAIL, COMPTE BANCAIRE, AIDES RECUES, 
AUTRES INFORMATIONS ECONOMIQUES ET FINANCIERES DES BENEFICIAIRES DE LA PAC

If Article 10 applies please specify here: 
N/A
11) Recipient(s) of the Processing to whom the data might be disclosed
AUD-211-NR3-PAC.xlsx
1 / 3

The officials concerned in the European Commission
ECA Data Protection Officer (DPO), the European Data Protection Supervisor (EDPS) & Ombudsman in case of 
complaints
Member State's Paying Agency concerned
Member states supreme audit institution
Member states ministry of agriculture
OLAF in case of suspected fraude
12) Retention policy of (categories of) personal data
The data are erased 5 years after discharge, therefore 7 years total 
13) How are Data Subjects informed about the treatment of their personal data, as specified in Articles 11 - 12 of the 
Regulation?
By the Commission/Paying agency at the moment the requestor asks for a subsidy
14) Specify which procedures have been implemented to guarantee the data subjects rights (access; correct; lock; 
erase; opposition) as specified in Articles 13 - 19 of the Regulation.
Data subjects can only request access to their data.
Rectification, blocking, erase is not possible as the data obtained is part of an audit file and thus audit evidence.
The data the ECA receives is normaly obtained from the Commission, national audit body, control/payment 
agency and are evidence of spending of the EU budget and underlying transactions. In exceptional cases 
personal data is obtained directly from a natural person as a final beneficiary.

15) Which time limit has been set after which the Data Subjects can't lock/erase data on justified legitimate request.
N/A
16) Historical, statistical or scientific purposes - If you store data for longer periods than mentioned above, please 
specify, if applicable, why the data must be kept under a form which permits identification
N/A
17) Legal foundation of transfer: only transfers to third party countries (outside EU) not subject to Directive 95/46/EC 
(Article 9) should be considered for this question. Please treat transfers to other community institutions and bodies and to 
member states under question: Recipient(s) of the Processing
N/A.
18) Which Category(ies) of Personal Data or Personal Data will be  transferred to third party countries (outside EU)?
N/A.
19) How will the personal data be stored: paper/digital and if applicable in which information system?
Digital when obtained in such a format in a shared work space and/or within the audit documentation system.
In paper format when obtained in such a way within access controled areas.

20) Describe the procedures of how the personal data will be treated and if it is a manual/automatic treatment
Data is col ected from the Commission and the Paying Agencies within the Member states and with compter assisted 
audit tools examined and statistical y analysed.

21) The processing presents specific needs which justifies prior checking for data falling under article 27
a) processing of data relating to health and to suspected offences, criminal convictions or security measures
b) processing operations intended to evaluate personal aspects relating to the data subject, including his or her ability, 
efficiency and conduct
c) processing operations allowing linkages not provided for pursuant to national or Community legislation between data 
processed for different purposes                                                                                                                                                               
d) processing operations for the purpose of excluding individuals from a right, benefit or contract
YES            NO                                      If YES then which option(s) A  B  C  D 
NO
22) General description of the control measures taken to fulfil Article 22 "Security of processing" and especially 
preventing any unauthorised disclosure or access, accidental or unlawful destruction or accidental loss, or alteration, and 
to prevent all other unlawful forms of processing.
Th  
 t  th  IT 
t
k i  
t
t d b    

 id
tifi
ti
 

d th t 
i
 
 90 
AUD-211-NR3-PAC.xlsx
2 / 3

Place and date:  Luxembourg 18/06/2009
Data Controller: Melitios STAVRAKIS
Place and date:  Luxembourg 26/06/2009
Data Protection Officer: Jan KILB
AUD-211-NR3-PAC.xlsx
3 / 3

Document Outline