Ceci est une version HTML d'une pièce jointe de la demande d'accès à l'information 'FP6 & FP7 programmes, calls for proposals, guides for negotiations - financial issues -certifying auditors, personal data protection'.

DPO-3398.4 - RTD : External audit and control
General information
Creation : 13/04/2011
Keywords :
Last updated : 17/05/2013
Corporate : No
Registration : 13/06/2013
Language : English
Status : Register
Model : No Model
Deleted : No
EDPS opinion (prior check) : No
DG.Unit : RTD.M
Target Population : Auxiliary agents, Beneficiaries,
Contractors, Contractual agents, Detached officials,
Controller : BISCONTIN Franco
Local agents, National detached experts, Officials,
Delegate :
Officials on probation, Retired officials and agents,
Special advisers, Temporary agents, Trainees
DPC : BOURGEOIS Thierry, PENEVA Pavlina
DPC Notes :
Processing
1 . Name of the processing
External audit and control
2 . Description
The processing operations are described in the Commission's FP7 Audit Strategy:
http://cordis.europa.eu/audit-certification/home_en.html
3 . Processors
Any in-house external auditor of DG RTD is a processor.
In addition, any processing operations performed on behalf of the DG (the Controller) by a contractor (a
Processor), acting as outsourced external auditor, are pursuant to Regulation (EC)45/2001. The subsequent
obligations of the Processor are made mandatory via a dedicated contractual clause (enclosed).
List of attachments
• BUDG clause-data-protection-en.doc
4 . Automated / Manual operations
Beneficiary/contractor  undertakes  to  provide  any  detailed  information,  including  information  in  electronic
format, requested by the Commission or by any other outside body authorised by the Commission in order to
check that the action and the provisions of the agreement/service contract are being properly implemented.
In addition to generic office automation tools used by the Commission or by any outside body authorised by
the Commission to perform external financial audits, specific IT tools are used by the Commission in the
context of performing an external financial audit including:
    •  A specific tool allowing the exchange of lists of projects (for an auditee) between DGs, supporting life-
cycle  management  of  individual  audit  and  extrapolation  cases  and  containing  a  summary  of  the  audit
conclusions. No personal data are processed except contact information of Commission staff and auditees;
DPO-3398.4
Page 1 of 5
23/07/2013

    •  A specific tool to facilitate searching and visualisation of information about participants in grants and
contracts. This is used by auditors in the selection, preparation and performance of audits. The tool uses
information  on  participants  in  grants  and  contracts,  on  experts,  taken  from   IT  tools  for  programme
management notified to the DPO under n° DPO-978. This information includes details of organisation names,
registration numbers, address, audit results, EWS status, phone, fax, email, names of authorised signatories
and contact persons, project reference, acronym, funding, budget.
       •    Documents  related  to  grants  and  contracts  may  be  checked  using  tools  designed  to  identify  text
similarities, in order to detect possible plagiarised texts. Such documents may contain information about the
authors of the documents and the persons and entities involved in the grants and contracts under analysis.
Contractors (Processors) might use other IT tools, developed in-house or of the shelf,  in compliance with
Regulation (EC)45/2001. Their related obligations as processors are part of their contract (cf. section 3).
5 . Storage
Data  are  stored  in  computer  systems  and/or  physical  archives  accessible  only  to  duly  authorized  staff
(management of IT and physical access rights with respect to the need to know principle).
6 . Comments
N. A.
Purpose & legal basis
7 . Purposes
Financial  audits  and  controls  of  grant  agreements  or  service  contracts  aim  at  verifying  beneficiary's  or
contractor's or subcontractors' or third parties' compliance with all contractual provisions (including financial
provisions), in view of checking that the action and the provisions of the grant agreement or contract are being
properly implemented and in view of assessing the legality and regularity of the transaction underlying the
implementation of the Community budget.
8 . Legal basis and Lawfulness
The possibility for the Commission to carry out financial audits and controls is foreseen in the  grant agreement
or  contract  signed  between  the  Commission  and  the  beneficiary/contractor  as  required  by  the  Financial
Regulation ("FR") (Regulation (EU, EURATOM) n°966/2012 of the European Parliament and of the Council of
25 October 2012) (Article 137.2) and its Rules of Application (RAP) (Commission delegated Regulation (EU)
n°1268/2012 of 29 October 2012) (Article 180.1.f) applicable to the General Budget of the Union:
    •  Art. 137.2 FR: Each grant decision or agreement shall provide expressly for the Commission and the
Court  of  Auditors  to  exercise  their  powers  of  control,  concerning  documents,  premises  and  information,
including that stored on electronic media, over all third parties who have received Union funds.
    •  Art 180.1 (f) RAP: The grant agreement shall at least lay down the following: (…) (f) the general terms and
conditions applicable to all grant agreements of this type, such as the acceptance by the beneficiary of checks
and audits by the Commission, OLAF and Court of Auditors.
The processing operations on personal data carried out in the context of ex post audits and controls are
necessary and lawful under three articles of the Regulation (EC) 45/2001:
    •  Art. 5 (a): processing is necessary for the performance of a task carried out in the public interest on the
basis of the Treaties establishing the European Communities or other legal instruments adopted on the basis
thereof;
    •  Art. 5 (b): processing is necessary for compliance with a legal obligation to which the controller is subject;
    •  Art. 20.1: necessary measure to safeguard:
(a) the prevention, investigation, detection and prosecution of criminal offences;
(b) an important economic or financial interest of a Member State or of the European Communities, including
monetary, budgetary and taxation matters;
DPO-3398.4
Page 2 of 5
23/07/2013

(c) the protection of the data subject or of the rights and freedoms of others.
As in the context of previous audits and ex-post controls the EDPS already concluded that Art. 27 was not
applicable, this processing does not require a prior checking.
Data subjects and Data Fields
9 . Data subjects
    •  Contractors and sub-contractors;
    •  Beneficiaries of grants;
    •  Staff;
    •  Experts.
10 . Data fields / Category
All necessary data to efficiently conduct a control such as:
    •  Name;
    •  Function;
    •  Grade;
    •  Activities and expertise;
    •  CV;
    •  Professional address;
    •  Timesheets;
    •  Salary;
    •  Employment contracts;
    •  Accounts;
    •  Bank accounts;
    •  Cost accounting;
    •  Missions;
    •  Information coming from local IT system used to declare costs as eligible;
    •  Supporting documents linked to travel costs;
    •  Minutes from mission and other similar data depending of the nature of the action.
No data which fall under Art. 10.
Rights of Data Subject
11 . Mandatory Information
The  Service  Specific  Privacy  Statement  (SSPS)  attached  is  published  on  CORDIS,  and  the  link  to  it  is
provided  with  the  Commission's  letter  initiating  the  control  process  (ftp://ftp.cordis.europa.
eu/pub/fp7/docs/privacy-rtd_en.pdf).
List of attachments
• Ex-post audits RTD SSPS V0.8.doc
12 . Procedure to grant rights
Functional mailbox to get information and mailbox of the EDPS to lodge a complaint (see Privacy Statement):
xxxxxxxxxxxxxxxxxxxxxxxxxx@xx.xxxxxx.xx
DPO-3398.4
Page 3 of 5
23/07/2013

13 . Retention
Each auditor is responsible of archiving the documents related to controls. Data are stored until 10 years after
the final payment on condition that no contentious issues occurred; in this case, data will be kept until the end
of the last possible legal procedure.
14 . Time limit
The Commission services will respond within 15 working days to any request and if this is considered justified
the relevant correction or deletion will be performed within one calendar month.
15 . Historical purposes
N. A.
Recipients
16 . Recipients
Collected personal data could be submitted to Commission services in charge of ex-post controls, without
prejudice to a possible transmission to the bodies in charge of a monitoring or inspection task in accordance
with  Community  law  (OLAF,  Court  of  Auditors,  Ombudsman,  EDPS,  IDOC,  Internal  Audit  Service  of  the
Commission).
17 . Transfer out of UE/EEA
N. A.
Security measures
18 . Technical and organizational measures
Access to personal information stored in IT systems or physical archives used in the context of external audits
and controls is limited to Commission staff who are mandated in the unit.
Files are stored in locked cupboard. Data communicated to OLAF or IDOC are in a safe under the authority of
the Head of unit.
IT data are stored on a common repository with restricted accesses, given only to duly authorized staff (who
need to know).
Only internal communication.
19 . Complementary information
The attached Audit Process Handbook is a procedural manual describing how ex-post controls are to be
carried out. At each stage of the audit process the assessments are made by auditors or management. IT tools
are used to support this process but no automated decision making is used. During the selection, preparation
and performance of audits and desk controls information on the participation of beneficiaries is retrieved from
ITsystems such as those notified under DPO-978 or the tools described under point 4) above. This information
is used as one input to the assessments made by the management of the External Audit Unit and by the
auditor as to whether the beneficiary should be audited and the risks related to the audit.The performance of
an  audit  includes  the  collection  of  further  information  directly  from  the  beneficiary  at  his  premises,  and
meetings with the beneficiary to discuss the findings and ensure that the information has been correctly
interpreted.  This  is  followed  by  a  contradictory  procedure  in  which  the  beneficiary  is  able  to  submit  his
comments on the draft version of the audit report. These comments are considered by the auditor in producing
the final audit report. Audit cases which lead to indication or suspicion of serious irregularities or fraud are
transferred  to  OLAF  following  the  respective  procedure  of  the  DG.  The  auditor,  supported  by  the  Audit
Steering Committee, is responsible for recommending whether on the basis of the audit results, the audited
organisation should be flagged in the Early Warning System, following the respective procedure of the DG.
DPO-3398.4
Page 4 of 5
23/07/2013

The DG RTD specific guidance note on grant applicants/beneficiaries flagged in the Early Warning System is
attached.
The note sent by the Controller to his processors of DG RTD has been attached, and the framework contracts
with the firms which handle external audits on behalf of DG RTD have been amended to include the provisions
agreed with DG BUDG with that respect.
List of attachments
• EWS Procedure RTD.pdf
• Note from Controller to Processors.pdf
• FP7 00 Audit Process Handbook - Main text.pdf
DPO-3398.4
Page 5 of 5
23/07/2013