This is an HTML version of an attachment to the Freedom of Information request 'FP6, FP7, ESF audits, personal data protection, prior notifications'.

Notification to the DPO
COMPULSORY INFORMATION
1) Date of submission
11/08/2007
2) Name and address of the controller
Head of Division
NR4 - Performance Unit B

12 rue Alcide de Gasperi, L-1615 Luxembourg
3) Unit/Service which is the Controller
NR4 - Performance Unit B
4) Unit/Service of the Processor
NR4 - Performance Unit B
5) Name of Processing + description
Cross compliance
6) Legal basis of processing
Paragraph 1 and 3 of Article 287 of the "Consolidated version of the Treaty of Functionning of the European Union".
Chapter 1 of Title VIII of Council Regulation(EC, Euratom) 1605/2002. 

7) Lawfulness of processing. Please retain only the justification(s) which apply for this declaration.
a) processing is necessary for the performance of a task carried out in the public interest on the basis of
the Treaties establishing the European Communities or other legal instruments adopted on the basis
thereof or in the legitimate exercise of official authority vested in the Community institution or body or
in a third party to whom the data are disclosed 
b) processing is necessary for compliance with a legal obligation to which the controller is subject
c) processing is necessary for the performance of a contract to which the data subject is party or in order
to take steps at the request of the data subject prior to entering into a contract
d) the data subject has unambiguously given his or her consent
e) processing is necessary in order to protect the vital interests of the data subject
a) 
8) Purpose(s) of Processing
To audit the effectiveness of Cross Compliance as an instrument under the Common Agriculutural policy which 
obliges  farmers receiving direct payments to respect a defined list of standards and requirements in the areas of 
environment, food safety, animal and plant health and animal welfare.
9) Data Subjects
Al  the recipients of E.U. subsidies under the FEADER expenditure.
10) Data fields(s) of Data Subjects; 
Attention: Please indicate and describe in the answer to this question also data fields which fall under article 10 (racial or 
ethnic origin; political opinions; religious or philosophical beliefs; trade-union membership; health or sex life)
Name, address, payment received, inspections, number of plots, area of the plots, quantity produced, quantity 
delivered for transformation.???????

If Article 10 applies please specify here: 
N/A
11) Recipient(s) of the Processing to whom the data might be disclosed
AUD-092-NR4-CrossCompliance.xlsx
1 / 3

The officials concerned in the European Commission
ECA Data Protection Officer (DPO), the European Data Protection Supervisor (EDPS) & Ombudsman in case of 
complaints
Member State's Paying Agency concerned
Member states supreme audit institution
Member states ministry of agriculture
OLAF in case of suspected fraude
12) Retention policy of (categories of) personal data
The data are erased 5 years after discharge, therefore 7 years total 
13) How are Data Subjects informed about the treatment of their personal data, as specified in Articles 11 - 12 of the 
Regulation?
By the Commission/Paying agency at the moment the requestor asks for a subsidy
14) Specify which procedures have been implemented to guarantee the data subjects rights (access; correct; lock; 
erase; opposition) as specified in Articles 13 - 19 of the Regulation.
Data subjects can only request access to their data.
Rectification, blocking, erase is not possible as the data obtained is part of an audit file and thus audit evidence.
The data the ECA receives is normaly obtained from the Commission, national audit body, control/payment 
agency and are evidence of spending of the EU budget and underlying transactions. In exceptional cases 
personal data is obtained directly from a natural person as a final beneficiary.

15) Which time limit has been set after which the Data Subjects can't lock/erase data on justified legitimate request.
N/A
16) Historical, statistical or scientific purposes - If you store data for longer periods than mentioned above, please 
specify, if applicable, why the data must be kept under a form which permits identification
N/A
17) Legal foundation of transfer: only transfers to third party countries (outside EU) not subject to Directive 95/46/EC 
(Article 9) should be considered for this question. Please treat transfers to other community institutions and bodies and to 
member states under question: Recipient(s) of the Processing
N/A.
18) Which Category(ies) of Personal Data or Personal Data will be  transferred to third party countries (outside EU)?
N/A.
19) How will the personal data be stored: paper/digital and if applicable in which information system?
Digital when obtained in such a format in a shared work space and/or within the audit documentation system.
In paper format when obtained in such a way within access controled areas.

20) Describe the procedures of how the personal data will be treated and if it is a manual/automatic treatment
The audit comprises examination of national control systems and direct examination of performance. For the latter, 
only a very  smal  number of farms wil  be visited. The visit mainly aim at assessing  how national Cross Compliance 
controls were carried out. Very limited personal data from beneficiaries wil  therefore be necessary in order  to carry 
out the audit, e.g. national control reports carried out for these beneficiaries visited. If such personal data wil  be 
used, it wil  be treated manual y. The predominant objective of the audit work is to assess the effectiveness and 
reliability of national control systems. 
21) The processing presents specific needs which justifies prior checking for data falling under article 27
a) processing of data relating to health and to suspected offences, criminal convictions or security measures
b) processing operations intended to evaluate personal aspects relating to the data subject, including his or her ability, 
efficiency and conduct
c) processing operations allowing linkages not provided for pursuant to national or Community legislation between data 
processed for different purposes                                                                                                                                                               
d) processing operations for the purpose of excluding individuals from a right, benefit or contract
YES            NO                                      If YES then which option(s) A  B  C  D 
NO
22) General description of the control measures taken to fulfil Article 22 "Security of processing" and especially 
preventing any unauthorised disclosure or access, accidental or unlawful destruction or accidental loss, or alteration, and 
to prevent all other unlawful forms of processing.
Th  
 t  th  IT 
t
k i  
t
t d b    

 id
tifi
ti
 

d th t 
i
 
 90 
AUD-092-NR4-CrossCompliance.xlsx
2 / 3

Place and date:  Luxembourg 11/08/2007
Data Controller: Riemer HAAGSMA
Place and date:  Luxembourg 11/08/2007
Data Protection Officer: Jan KILB
AUD-092-NR4-CrossCompliance.xlsx
3 / 3

Document Outline