<div dir="ltr"><div dir="ltr"><div dir="ltr"><p class="MsoNormal"><font color="#500050">Thank you Kavouss for your comments. </font></p><p class="MsoNormal"><span style="color:rgb(80,0,80)"><br></span></p><p class="MsoNormal"><span style="color:rgb(80,0,80)">To clarify, our recommendations are twofold: </span><br></p><p class="MsoNormal"><br></p><p class="MsoNormal"><font color="#500050">1) Removal of Appendix C</font></p><p class="MsoNormal"><span style="color:rgb(80,0,80)">2) EPDP recommendation that ICANN must engage with the Contracted Parties to put in place the legally required instruments (such as Art 26 or 28, as appropriate) without further delay that would enshrine the GDPR concepts found in Appendix C. </span><br></p><p class="MsoNormal"><font color="#500050">2A) the EPDP should also further recommend that such a review of contracts (for the purposes of data processing arrangements), must extend to those other service providers, which are equally essential to the DNS ecosystem, including, but not necessarily limited to  EBERO providers, Data Escrow agents and the RPM agents.</font></p><p class="MsoNormal"><font color="#500050"><br></font></p><p class="MsoNormal"><font color="#500050"> </font></p><p class="MsoNormal"><font color="#500050">The purpose of our recommendation is based on the reasoning that Appendix C is a last minute insertion/acknowledgement of the GDPR required data agreements, (Art 28 and Art 26 which require written agreements between the Processors and Controllers - or the Joint Controllers). We submit that this appendix is not trying to define policy, but instead is restating what is essentially a checklist of GDPR provisions which are to be included in any such processing agreements (we try to highlight this in the appendix to our submission). </font></p><p class="MsoNormal"><font color="#500050"><br></font></p><p class="MsoNormal"><span style="color:rgb(80,0,80)"> We also reference the stated intention of the ICANN Board themselves. In their Advisory document (17th May 2018), 4.2.1 specifically notes the future necessity to incorporate the Data Processing Requirements into the RA and RRA  [although not specifically referring to, Appendix C, we must noted that Appendix C is titled "Data Processing Requirements"] . In the interests of time, we, as an expedited PDP should seek to avoid unnecessarily expending our time on the review of an appendix that merely restates legislation, and especially where it was intended, by the board, to be later developed as a contractual matter, and thus outside the scope of our EPDP. </span><br></p><p class="MsoNormal"><br></p><p class="MsoNormal"><font color="#500050">I agree we must be very clear on the task of the EPDP. Our mission is set the policy for Data Processing, which will essentially be the community "ground rules" for handling registrant data in the DNS sphere. We are still very much tasked with fully assessing many vital matters such as legal basis, purpose, necessity etc. all of which are key to the concepts of disclosure, access and transfer, some of which you have noted. So in full agreement with you, upon removing Appendix C, we must remain focused on the matters which are vital to the success of the output of the EPDP. </font></p><p class="MsoNormal"><br></p><p class="MsoNormal"><span style="color:rgb(80,0,80)">I look forward to discussing later today. </span><br></p><p class="MsoNormal"><font color="#500050"><br></font></p><p class="MsoNormal"><font color="#500050">Kind regards</font></p><p class="MsoNormal"><font color="#500050"><br></font></p><p class="MsoNormal"><font color="#500050">Alan Woods </font></p></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
</blockquote></div></div></div>