<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div class="">Hello Göran: <br class=""><br class="">Thanks very much for contacting me and your note</div><div class=""><br class=""></div><div class="">I have repeated some your email below so that there is a clear connection between your questions and my responses. <br class=""><br class=""><font color="#0433ff" class="">Today, ICANN org held a call to provide community leaders with updates regarding various GDPR activities. The slides and recording of the call are available at <a href="https://www.icann.org/resources/pages/data-protection-meetings-2017-12-08-en" class="">https://www.icann.org/resources/pages/data-protection-meetings-2017-12-08-en</a>.<br class=""><br class="">On the call, a few community leaders reinforced the value of coordination between ICANN org and the EPDP Working Group, particularly around access model. To this end, please share with us any thoughts you might have regarding a process by which:<br class=""><br class="">1)     ICANN org can share guidance we receive from the DPAs and European Data Protection Board with the EPDP Working Group.</font><br class=""><br class="">Generally, our Team discussions are appropriately aimed at refining / altering ICANN processes so they are GDPR compliant. So guidance, case law or authoritative opinions received that provides compliance requirements will be extremely helpful. </div><div class=""><br class=""></div><div class="">a.     Through its many recent actions: engaging with the ICANN community, governments, the EDPB, and others, it is apparent that ICANN is the midst of executing a plan to obtain certainty around the various GDPR provisions. It would be instructive for the EPDP Team if ICANN were to share its plan (or elements of it) so that the team can anticipate the receipt (and timing) of new information. It would also indicate where there is likely no additional information, i.e., where the team would be left to draw conclusions based on the information that is already available. This information would likely cut down on the number of questions the ICANN Org receives from the team. <br class=""><br class="">We understand that the plan must have a degree of informality and be flexible, with each step based upon the information received in the step before it. However, where available, it would be instructive to know the planned-for objectives, expected learnings, a set of ultimate questions to be answered, planned inquiries, targets and so on.<br class=""><br class="">b.     While ICANN has published each communication, the findings or results of those communications have not been organized in anyway of which we know. For example, observers of the back-and-forth between the ICANN Org and the EDPB have offered conclusions that can be drawn from these documents. However, no one has organized those conclusions in a way that might become a rule set or set of guidelines for those reviewing the Temporary Specification or creating an access model.</div><div class=""><br class="">Coincidentally, in today’s EPDP meeting such a request was made: for disclosure of all the communications with the EDPB and DPAs, the staff commentary to those communications, and some organization of same.<br class=""><br class="">c.     We also wish to hear of developments related to GDPR in other industries, if available, such as:<br class=""><ol class=""><li class="">what data processing protocols have been adopted</li><li class="">what data processing protocols have been tested in courts</li><li class="">what other privacy regimes are in works in other jurisdictions</li><li class="">what data is available regarding:</li><ol class=""><li class="">the effects of GDPR on malfeasance detection, avoidance</li><li class="">other positive or negative effects of GDPR</li></ol></ol>d. <span class="Apple-tab-span" style="white-space:pre"> </span>Finally, it’d be helpful to be made aware of the details of ICANN’s GDPR implementation plan as ICANN org had to take on the advice of DPAs and the EDPB in fashioning that. (This is a request made from the EPDP team in yesterday’s meeting and so this request has been repeated to the ICANN liaisons working with the EPDP.)</div><div class=""><br class=""></div><div class=""><br class=""><font color="#0433ff" class="">2)    How the EPDP Working Group will provide input regarding access to ICANN org to use in our interactions with DPAs and European Data Protection Board to obtain legal guidance that will help guide the Working Group in its work. As you know, we post all information we receive through our blogs and engage with stakeholders, also through communications we post whether through correspondence or comments via <a href="mailto:gdpr@icann.org" class="">gdpr@icann.org</a>.</font><br class=""><br class="">a.     A point of information: The EPDP team’s third set of deliverables is to provide an, “Initial Report and a Final Report regarding the EPDP Team’s recommendations … for a System for Accredited Access to Non-Public Registration Data.” Work on this could begin as early as the completion and publication of the Initial Report on the Temporary Specification. (The Team stays in close contact with the GNSO Council leadership in pursuit of the deliverables to ensure the spirit and letter of the EPDP Charter is followed.)<br class=""><br class="">b.     While our current answer to this question is not yet finely honed, it is likely that, from time to time, the EPDP Team will have question regarding the constraints / opportunities imposed by the GDPR. These questions might take the form of a proposed access model (or elements of an access model).  The EPDP Team will forward those to ICANN, which, in turn, can test them against its own knowledge base, with DPAs, with the EDPB, or elsewhere.<br class=""><br class="">c.     As ICANN is a data controller involved in the collection, use and disclosure of the same data that is the subject matter of this Team’s work, it is expected that ICANN will work with the team on the successor to the Temporary Specification and an access model.</div><div class=""><br class="">I hope you find this response helpful. The team is keen to continue an active correspondence with ICANN in order to flesh out the framework provided by GDPR with detailed clarifications, implementation guidance and cases from other, similarly situated industries that have faced many of these same issues.<br class=""><br class="">We also plan to remain in close communication with ICANN leaders on this topic, through the ICANN-provided liaisons to the EPDP Team.<br class=""><br class="">Sincerely,</div><div class=""><br class=""></div><div class="">Kurt</div><div class=""><br class=""></div><div class=""><br class=""></div><div><br class=""><blockquote type="cite" class=""><div class="">On Aug 14, 2018, at 8:17 AM, Goran Marby <<a href="mailto:goran.marby@icann.org" class="">goran.marby@icann.org</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><div class="WordSection1" style="page: WordSection1; caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;"><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;" class="">Kurt,<o:p class=""></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;" class=""><span style="font-size: 12pt;" class=""><o:p class=""> </o:p></span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;" class="">Today, ICANN org held a call to provide community leaders with updates regarding various GDPR activities. The slides and recording of the call are available at<span class="Apple-converted-space"> </span><a href="https://www.icann.org/resources/pages/data-protection-meetings-2017-12-08-en" style="color: rgb(149, 79, 114); text-decoration: underline;" class=""><span style="color: rgb(11, 76, 180);" class="">https://www.icann.org/resources/pages/data-protection-meetings-2017-12-08-en</span></a>.<span style="font-size: 12pt;" class=""><o:p class=""></o:p></span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;" class=""> <span style="font-size: 12pt;" class=""><o:p class=""></o:p></span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;" class="">On the call, a few community leaders reinforced the value of coordination between ICANN org and the EPDP Working Group, particularly around access model. To this end, please share with us any thoughts you might have regarding a process by which (1) ICANN org can share guidance we receive from the DPAs and European Data Protection Board with the EPDP Working Group; and (2) How the EPDP Working Group will provide input regarding access to ICANN org to use in our interactions with DPAs and European Data Protection Board to obtain legal guidance that will help guide the Working Group in its work. As you know, we post all information we receive through our blogs and engage with stakeholders, also through communications we post whether through correspondence or comments via<span class="Apple-converted-space"> </span><a href="mailto:gdpr@icann.org" style="color: rgb(149, 79, 114); text-decoration: underline;" class=""><span style="color: rgb(11, 76, 180);" class="">gdpr@icann.org</span></a>. I look forward to hearing your thoughts on how we can continue to strengthen our work together toward the common goal of having an access model that is guided by the law and supported by the community.<o:p class=""></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;" class=""><o:p class=""> </o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;" class=""><span style="font-size: 12pt; font-family: "Source Sans Pro", sans-serif;" class="">Best regards,<o:p class=""></o:p></span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;" class=""><span style="font-size: 12pt; font-family: "Source Sans Pro", sans-serif;" class=""><o:p class=""> </o:p></span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;" class=""><span style="font-size: 12pt; font-family: "Source Sans Pro", sans-serif;" class="">Göran  Marby</span><span style="font-size: 12pt; font-family: -webkit-standard;" class=""><o:p class=""></o:p></span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;" class=""><span style="font-size: 12pt; font-family: "Source Sans Pro", sans-serif;" class="">President & CEO ICANN</span><span style="font-size: 12pt; font-family: -webkit-standard;" class=""><o:p class=""></o:p></span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;" class=""><span style="font-size: 12pt; font-family: "Source Sans Pro", sans-serif;" class="">+1(310) 578 8690</span><span style="font-size: 12pt; font-family: -webkit-standard;" class=""><o:p class=""></o:p></span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;" class=""><span style="font-size: 12pt; font-family: "Source Sans Pro", sans-serif;" class=""> </span><span style="font-size: 12pt; font-family: -webkit-standard;" class=""><o:p class=""></o:p></span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;" class=""><span style="font-size: 12pt; font-family: "Source Sans Pro", sans-serif;" class=""> </span><span style="font-size: 12pt; font-family: -webkit-standard;" class=""><o:p class=""></o:p></span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;" class=""><span style="font-size: 12pt; font-family: "Source Sans Pro", sans-serif;" class="">Cássia Oliveira</span><span style="font-size: 12pt; font-family: -webkit-standard;" class=""><o:p class=""></o:p></span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;" class=""><span style="font-size: 12pt; font-family: "Source Sans Pro", sans-serif;" class="">Sr. Manager, Office of the President & CEO </span><span style="font-size: 12pt; font-family: -webkit-standard;" class=""><o:p class=""></o:p></span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;" class=""><span style="font-size: 12pt; font-family: "Source Sans Pro", sans-serif;" class=""><a href="mailto:cassia.oliveira@icann.org" style="color: rgb(149, 79, 114); text-decoration: underline;" class=""><span style="color: blue;" class="">cassia.oliveira@icann.org</span></a></span><u class=""><span style="color: blue;" class=""><o:p class=""></o:p></span></u></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;" class=""><span style="font-size: 12pt; font-family: "Source Sans Pro", sans-serif;" class="">+1(310) 578 8656</span></div></div></div></blockquote></div><br class=""></body></html>