Esta es la versión HTML de un fichero adjunto a una solicitud de acceso a la información 'On-the-spot audits to private sector beneficiaries, professional secrecy obligations'.

Notification to the DPO
COMPULSORY INFORMATION
1) Date of submission
13/08/2012
2) Function and address of the controller
Head of Unit
Research and Internal Policies (RIP)
12 rue Alcide de Gasperi, L-1615 Luxembourg

3) Unit/Service which is the Controller
Research and Internal Policies (RIP)
4) Unit/Service of the Processor
Research and Internal Policies (RIP)
5) Name of Processing + description
Statement of Assurance - Déclaration d'Assurance (DAS)
6) Legal basis of processing
Art. 286 of the EC Treaty
7) Lawfulness of processing. Please retain only the justification(s) which apply for this declaration.
a) processing is necessary for the performance of a task carried out in the public interest on the basis of
the Treaties establishing the European Communities or other legal instruments adopted on the basis
thereof or in the legitimate exercise of official authority vested in the Community institution or body or
in a third party to whom the data are disclosed 
b) processing is necessary for compliance with a legal obligation to which the controller is subject
c) processing is necessary for the performance of a contract to which the data subject is party or in order
to take steps at the request of the data subject prior to entering into a contract
d) the data subject has unambiguously given his or her consent
e) processing is necessary in order to protect the vital interests of the data subject
a) 
8) Purpose(s) of Processing
Testing of the legality and regularity of underlying transactions
9) Data Subjects
Al  benefeciaries that received payments selected for testing of legality and regularity from DG Research and 
Innovation, DG Connect, DG Joint Research Centre, DG Education and Culture, DG Communication, DG Home Affairs, 
DG Justice, DG ECFIN; DG Enterprise, DG Market, DG Competition, DG Trade
Executive Agency for Competitiveness and Innovation, Research Executive Agency, European Research Council, 
Education Audiovisual and Culture Executive Agency

10) Data fields(s) of Data Subjects; 
Attention: Please indicate and describe in the answer to this question also data fields which fall under article 10 (racial or 
ethnic origin; political opinions; religious or philosophical beliefs; trade-union membership; health or sex life)
Can be different fields as name, address, CV, professional activities, salaries, etc depending the type of spending 
which is control ed.
If Article 10 applies please specify here: 
N/A
AUD-160-RIP-DAS.xlsx
1 / 3

11) Recipient(s) of the Processing to whom the data might be disclosed
Court of Auditors officials, the European Commission,the Supreme Audit Institution in the respective countries of 
selected transactions, the National Court of Auditors
OLAF, European Data Protection Supervisor, the ECA's Data Protection Officer: in case of investigations
the Supreme Audit Institution in the respective countries of selected transactions
the Ombudsman in case of an administrative complaint
national authorities in case of illegal activities/fraude/irregularities
12) Retention policy of (categories of) personal data
Fol owing the Court's procedures, the data is kept for five years after the discharge procedure, therefore in total 7 
years
13) How are Data Subjects informed about the treatment of their personal data, as specified in Articles 11 - 12 of the 
Regulation?
Through the request for EU subventions form/application by the EU Commission.
When obtained directly from the person (exception) then a privacy statement document is handed out to the 
person(s) involved.
14) Specify which procedures have been implemented to guarantee the data subjects rights (access; correct; lock; 
erase; opposition) as specified in Articles 13 - 19 of the Regulation.
Data subjects can only request access to their data.
Rectification, blocking, erase is not possible as the data obtained is part of an audit file and thus audit evidence.
The data the ECA receives is normaly obtained from the Commission, national audit body, control/payment 
agency and are evidence of spending of the EU budget and underlying transactions. In exceptional cases 
personal data is obtained directly from a natural person as a final beneficiary.

15) Which time limit has been set after which the Data Subjects can't lock/erase data on justified legitimate request.
N/A
16) Historical, statistical or scientific purposes - If you store data for longer periods than mentioned above, please 
specify, if applicable, why the data must be kept under a form which permits identification
N/A
17) Legal foundation of transfer: only transfers to third party countries (outside EU) not subject to Directive 95/46/EC 
(Article 9) should be considered for this question. Please treat transfers to other community institutions and bodies and to 
member states under question: Recipient(s) of the Processing
N/A
18) Which Category(ies) of Personal Data or Personal Data will be  transferred to third party countries (outside EU)?
N/A
19) How will the personal data be stored: paper/digital and if applicable in which information system?
Papers if copies obtained from the final beneficiry/national authorities/Commission.
In a digital format if reports are written or such digital files are obtained from beneficiries, national 
authorities/Commission.
20) Describe the procedures of how the personal data will be treated and if it is a manual/automatic treatment
Based on monetary unit sampling, payments are selected from the accounting systems and the digital data is 
extracted from the information systems at the Commission and/or other EU agencies & bodies.
The transactions are stored in the audit documentation system at the ECA (ASSYST) and a standard audit 
questionnaire is used to verify the legality and regularity of the transactions. In addition, supplementary 
information in digital and/or paper format can be requested from the Commission or any other organisation 
down to and including the final beneficiary of the EU budget spending and is stored in a digital way in ASSYST 
or in an audit file when the documents are in paper.
At the end of the audit procedures, a summary sheet of the audit findings is sent to the Commission and/or 
national supreme audit institution and/or audited organisations and beneficiaries for comments. The replies 
received are analysed and the analysis is sent to the auditees. All correspondence is stored in the ASSYST 
system and in the ECA electronic communication application (ECAP). 
For reporting purposes, all audit findings, replies and analysis about these transactions are summarised and 
from here on no personal data is any longer treated.

AUD-160-RIP-DAS.xlsx
2 / 3

21) The processing presents specific needs which justifies prior checking for data falling under article 27
a) processing of data relating to health and to suspected offences, criminal convictions or security measures
b) processing operations intended to evaluate personal aspects relating to the data subject, including his or her ability, 
efficiency and conduct
c) processing operations allowing linkages not provided for pursuant to national or Community legislation between data 
processed for different purposes                                                                                                                                                               
d) processing operations for the purpose of excluding individuals from a right, benefit or contract
YES            NO                                      If YES then which option(s) A  B  C  D 
NO
22) General description of the control measures taken to fulfil Article 22 "Security of processing" and especially 
preventing any unauthorised disclosure or access, accidental or unlawful destruction or accidental loss, or alteration, and 
to prevent all other unlawful forms of processing.
Th  
 t  th  IT 
t
k i  
t
t d b    

 id
tifi
ti
 

d th t 
i
 
 90 
Place and date: Luxembourg 13/08/2012
Data Controller: Richard HARDY
Place and date: Luxembourg 14/08/2012
Data Protection Officer: Johan VAN DAMME
AUD-160-RIP-DAS.xlsx
3 / 3

Document Outline