Esta es la versiĆ³n HTML de un fichero adjunto a una solicitud de acceso a la informaciĆ³n 'FP6, FP7, ESF audits, personal data protection, prior notifications'.

Notification to the DPO
COMPULSORY INFORMATION
1) Date of submission
28/09/2007
2) Function and address of the controller
Head of Unit
Administrative expenditure of the institutions of the European Union
12 rue Alcide de Gasperi, L-1615 Luxembourg
3) Unit/Service which is the Controller
Administrative expenditure of the institutions of the European Union
4) Unit/Service of the Processor
Administrative expenditure of the institutions of the European Union
5) Name of Processing + description
Audit of salaries, al owances and pensions for staff employed (or formerly employed) by European Institutions
Audit of documents which serve as evidence for the grade/step of staff and the entitlement to other al owances, e.g. 
latest decision on promotion, certificate of marriage, school certificates of children.
The documents are col ected from the institution where the individual staff is employed. Audit findings are 
communicated to this instituton
6) Legal basis of processing
Art. 287 of the Treaty of Functionning of the EU
Art. 140 to 142 of the Financial Regulation (Council Regulation (EC, Euratom) No. 1605/2002 as amended (Art. 159 to 
161 of Regulation (EU, Euratom) No 966/2012 of the European Parliament and of the Council which apply from 
01/01/2013
7) Lawfulness of processing. Please retain only the justification(s) which apply for this declaration.
a) processing is necessary for the performance of a task carried out in the public interest on the basis of
the Treaties establishing the European Communities or other legal instruments adopted on the basis
thereof or in the legitimate exercise of official authority vested in the Community institution or body or
in a third party to whom the data are disclosed 
b) processing is necessary for compliance with a legal obligation to which the controller is subject
c) processing is necessary for the performance of a contract to which the data subject is party or in order
to take steps at the request of the data subject prior to entering into a contract
d) the data subject has unambiguously given his or her consent
e) processing is necessary in order to protect the vital interests of the data subject
a) 
8) Purpose(s) of Processing
The data is processed to verify the legality and regularity of payments made to staff employed by the Institutions of 
the European Union.

9) Data Subjects
Al  staff employed (or formerly employed) by Institutions of the European Union, namely Commissioners, Members, 
Judges, officials, temporary agents, contract agents, pensioners, national experts, trainees.

10) Data fields(s) of Data Subjects; 
Attention: Please indicate and describe in the answer to this question also data fields which fall under article 10 (racial or 
ethnic origin; political opinions; religious or philosophical beliefs; trade-union membership; health or sex life)
AUD-075-AEI-sal-al ow-staff-Inst.xlsx
1 / 3

Surname, first name, personal number, nationality, marital status, number of children, age of children, address, 
function, grade, salary and any other administrative data necessary to process the salaries, family al owances, 
promotions, study costs and al owences
If Article 10 applies please specify here: 
N/A
11) Recipient(s) of the Processing to whom the data might be disclosed
The staff concerned in the institutions of the European Union
ECA Data Protection Officer (DPO), the European Data Protection Supervisor (EDPS) and Ombudsman in case of 
complaints
OLAF in case of suspected fraude
12) Retention policy of (categories of) personal data
The data is stored for 5 years as of the date of discharge of the Budgetary Authority (i.e. for around 7 years).
13) How are Data Subjects informed about the treatment of their personal data, as specified in Articles 11 - 12 of the 
Regulation?
No communications are foreseen to inform the Data Subjects. The information is gathered from the employing 
institution and it's up to these Institutions to inform the data subjects.
14) Specify which procedures have been implemented to guarantee the data subjects rights (access; correct; lock; 
erase; opposition) as specified in Articles 13 - 19 of the Regulation.
Data subjects can only request access to their data.
Rectification, blocking, erase is not possible as the data obtained is part of an audit file and thus audit evidence.
Notification made to the Data Protection Officer

15) Which time limit has been set after which the Data Subjects can't lock/erase data on justified legitimate request.
N/A
16) Historical, statistical or scientific purposes - If you store data for longer periods than mentioned above, please 
specify, if applicable, why the data must be kept under a form which permits identification
N/A
17) Legal foundation of transfer: only transfers to third party countries (outside EU) not subject to Directive 95/46/EC 
(Article 9) should be considered for this question. Please treat transfers to other community institutions and bodies and to 
member states under question: Recipient(s) of the Processing
No transfer of information to third party countries
18) Which Category(ies) of Personal Data or Personal Data will be  transferred to third party countries (outside EU)?
N/A
19) How will the personal data be stored: paper/digital and if applicable in which information system?
Papers version if paper copies obtained from the institutions.
In digital format if the evidence is documented in the audit documentation system (ASSYST). The same applies when 
digital files are obtained from the institutions.
20) Describe the procedures of how the personal data will be treated and if it is a manual/automatic treatment
The treatment consist of col ection and analysis of personal data for auditing purposes. This is done manual y and, 
where applicable, by computer assisted audit techniques.
21) The processing presents specific needs which justifies prior checking for data falling under article 27
a) processing of data relating to health and to suspected offences, criminal convictions or security measures
b) processing operations intended to evaluate personal aspects relating to the data subject, including his or her ability, 
efficiency and conduct
c) processing operations allowing linkages not provided for pursuant to national or Community legislation between data 
processed for different purposes                                                                                                                                                               
d) processing operations for the purpose of excluding individuals from a right, benefit or contract
YES            NO                                      If YES then which option(s) A  B  C  D 
NO
22) General description of the control measures taken to fulfil Article 22 "Security of processing" and especially 
preventing any unauthorised disclosure or access, accidental or unlawful destruction or accidental loss, or alteration, and 
to prevent all other unlawful forms of processing.
 
   
   
   
    
 
 
 
 
 
 
 
   
AUD-075-AEI-sal-al ow-staff-Inst.xlsx
2 / 3

Place and date: Luxembourg 28/09/2007
Data Controller: David LINGUA
Place and date: Luxembourg 28/09/2007
Data Protection Officer: Jan KILB
AUD-075-AEI-sal-al ow-staff-Inst.xlsx
3 / 3

Document Outline