<div>Could the answer not have been, a Data Protection Impact Assessment was/is required under all three of the scenarios outlined in paragraph three of this response? Indeed, in advice from the Article 29 Working Party (attached), they suggest, <i>"In cases where it is not clear whether a DPIA is required, the WP29 recommends that a DPIA is carried out nonetheless as a DPIA is a useful tool to help data controllers comply with data protection law."</i><br></div><div><br></div><div class="protonmail_signature_block"><div class="protonmail_signature_block-user"><div>Best wishes, Ayden  <br></div></div><div class="protonmail_signature_block-proton protonmail_signature_block-empty"><br></div></div><div><br></div><div>‐‐‐‐‐‐‐ Original Message ‐‐‐‐‐‐‐<br></div><div> On Saturday, 17 November 2018 01:40, Caitlin Tubergen <caitlin.tubergen@icann.org> wrote:<br></div><div> <br></div><blockquote type="cite" class="protonmail_quote"><div><p><span style="font-size:11pt">Dear EPDP Team,</span><br></p><p><span style="font-size:11pt"> </span><br></p><p><span style="font-size:11pt">Below, please find ICANN org’s response to a question from today’s EPDP Meeting.</span><br></p><p><span style="font-size:11pt"> </span><br></p><p><span style="font-size:11pt">Thank you.</span><br></p><p><span style="font-size:11pt"> </span><br></p><p><span style="font-size:11pt">Best regards,</span><br></p><p><span style="font-size:11pt"> </span><br></p><p><span style="font-size:11pt">Marika, Berry and Caitlin</span><br></p><p><span style="font-size:11pt"> </span><br></p><p><b><span style="color:black"><span style="font-size:11pt">QUESTION:</span></span></b><span><span style="color:black"><span style="font-size:11pt"> </span></span></span><span style="color:black"><span style="font-size:11pt"> Is ICANN.org considering doing a DPIA, given the need for them to sort out their role?</span></span><br></p><p style="caret-color: rgb(0, 0, 0);font-variant-caps: normal;orphans: auto;text-align:start;widows: auto;-webkit-text-size-adjust: auto;-webkit-text-stroke-width: 0px;word-spacing:0px"><span style="color:black"><span style="font-size:11pt"> </span></span><br></p><p style="margin:0in;margin-bottom:.0001pt;caret-color: rgb(0, 0, 0);font-variant-caps: normal;orphans: auto;text-align:start;widows: auto;-webkit-text-size-adjust: auto;-webkit-text-stroke-width: 0px;word-spacing:0px"><b><span style="color:black">RESPONSE:</span></b><span><span style="color:black"> </span></span><span style="background-color:white"><span style="color:black">A similar<span> </span></span></span><span style="color:black"><a href="https://mm.icann.org/pipermail/gnso-epdp-team/2018-October/000527.html"><span style="background-color:white"><span style="color:rgb(17, 85, 204)">question</span></span></a></span><span><span style="background-color:white"><span style="color:rgb(51, 51, 51)"> </span></span></span><span style="background-color:white"><span style="color:black">was asked by the EPDP Team on 1 October 2018 to which ICANN org provided a response, which restated John Jeffrey’s comment on an<span> </span></span></span><span style="color:black"><a href="https://participate.icann.org/p29vt2uxodx/"><span style="background-color:white"><span style="color:rgb(17, 85, 204)">8 October 2018 webinar</span></span></a></span><span style="background-color:white"><span style="color:rgb(51, 51, 51)">.<span> </span></span></span><span style="background-color:white"><span style="color:black">To recap:</span></span><span style="color:black"></span><br></p><p style="caret-color: rgb(0, 0, 0);font-variant-caps: normal;orphans: auto;text-align:start;widows: auto;-webkit-text-size-adjust: auto;-webkit-text-stroke-width: 0px;word-spacing:0px"><span style="color:black"><span style="font-size:11pt"> </span></span><br></p><p style="margin:0in;margin-bottom:.0001pt;caret-color: rgb(0, 0, 0);font-variant-caps: normal;orphans: auto;text-align:start;widows: auto;-webkit-text-size-adjust: auto;-webkit-text-stroke-width: 0px;word-spacing:0px"><span style="background-color:white"><span style="color:black">In general, a DPIA is designed to (a) describe the processing and purpose of processing of personal data, including where applicable the legitimate interest pursued by the controller, (b) assess the processing necessity and proportionality, and (c) help manage the risks to the rights and freedoms of data subjects resulting from the processing. The elements of a DPIA are more fully described in Article 35(7) of the GDPR.  Under Article 35(1), a DPIA is only required where a type of processing is “likely to result in a high risk to the rights and freedoms of natural persons”.</span></span><span style="color:black"></span><br></p><p style="caret-color: rgb(0, 0, 0);font-variant-caps: normal;orphans: auto;text-align:start;widows: auto;-webkit-text-size-adjust: auto;-webkit-text-stroke-width: 0px;word-spacing:0px"><span style="color:black"><span style="font-size:11pt"> </span></span><br></p><p style="margin:0in;margin-bottom:.0001pt;caret-color: rgb(0, 0, 0);font-variant-caps: normal;orphans: auto;text-align:start;widows: auto;-webkit-text-size-adjust: auto;-webkit-text-stroke-width: 0px;word-spacing:0px"><span style="background-color:white"><span style="color:black">ICANN org considered conducting a DPIA since early in the discussion of GDPR and gTLD registration data. One of the issues is when to do a DPIA that is most timely and useful--should the DPIA be conducted on the original requirements in the registry and registrar agreements, on the Temporary Specification which is temporary, or on the new requirements being discussed in the EPDP? We continue to evaluate whether that assessment should be performed and, if so, when.</span></span><span style="color:black"></span><br></p><p style="caret-color: rgb(0, 0, 0);font-variant-caps: normal;orphans: auto;text-align:start;widows: auto;-webkit-text-size-adjust: auto;-webkit-text-stroke-width: 0px;word-spacing:0px"><span style="color:black"><span style="font-size:11pt"> </span></span><br></p><p style="margin:0in;margin-bottom:.0001pt;caret-color: rgb(0, 0, 0);font-variant-caps: normal;orphans: auto;text-align:start;widows: auto;-webkit-text-size-adjust: auto;-webkit-text-stroke-width: 0px;word-spacing:0px"><span style="background-color:white"><span style="color:black">We are preparing some FAQs to provide further background on this topic, which we plan to publish next week. We will share with the EPDP Team a link to the FAQs once published.</span></span><span style="color:black"></span><br></p><p style="caret-color: rgb(0, 0, 0);font-variant-caps: normal;orphans: auto;text-align:start;widows: auto;-webkit-text-size-adjust: auto;-webkit-text-stroke-width: 0px;word-spacing:0px"><span style="color:black"><span style="font-size:11pt"> </span></span><br></p><p><span style="color:black"><span style="font-size:11pt"> </span></span><br></p><p><span style="font-size:11pt"> </span><br></p></div></blockquote><div><br></div>