<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<meta name="Generator" content="Microsoft Word 15 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:"Helvetica Neue";}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:11.0pt;

        font-family:"Calibri",sans-serif;}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

p.msonormal0, li.msonormal0, div.msonormal0

        {mso-style-name:msonormal;

        mso-margin-top-alt:auto;

        margin-right:0in;

        mso-margin-bottom-alt:auto;

        margin-left:0in;

        font-size:11.0pt;

        font-family:"Calibri",sans-serif;}

span.EmailStyle18

        {mso-style-type:personal;

        font-family:"Calibri",sans-serif;}

span.EmailStyle19

        {mso-style-type:personal;

        font-family:"Calibri",sans-serif;

        color:windowtext;}

span.EmailStyle20

        {mso-style-type:personal-compose;

        font-family:"Calibri",sans-serif;

        color:windowtext;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-US" link="blue" vlink="purple">

<div class="WordSection1">

<p class="MsoNormal">Thomas,<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Thank you for the proposed additional language.  I have a couple follow up questions for you.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">In your first paragraph you talk about public and private versions of the JCA.  I’m not familiar with this and generally understand that if ICANN enters into a JCA with registries and registrars it would be public.  Can you elaborate on

 what you mean?<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">The second to last paragraph starts off saying it’s out of scope to prescribe the form of the JCA, but then goes on to recommend the form of the JCA.  Your recommendations  include leveraging the RRA for the JCA.  As currently structured

 this wouldn’t work because ICANN isn’t party to the RRA.  I think that paragraph can just be dropped altogether and leave the form to contracted parties.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Your last paragraph says that the JCA should include information that is legally required to be provided to the data subject to use the same language across TLDs as much as possible.  Here I think the opposite is true.  GDPR does not apply

 globally and what information is legally required to be provided varies across jurisdictions.  Being to prescriptive here seems like it would lead to more variation being needed across TLDs.  Curious what the Registrar take here is as they will be on the hook

 for the data subject disclosure.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Thanks,<br>

Marc<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><b>From:</b> Gnso-epdp-team <gnso-epdp-team-bounces@icann.org>

<b>On Behalf Of </b>Marika Konings<br>

<b>Sent:</b> Monday, November 19, 2018 7:40 AM<br>

<b>To:</b> gnso-epdp-team@icann.org<br>

<b>Subject:</b> [EXTERNAL] [Gnso-epdp-team] FW: [Ext] Fwd: Additional language for roles and responsibilities<o:p></o:p></p>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Dear All,<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Please see email from Thomas below which may not have made it to the list.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Best regards,<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Caitlin, Berry and Marika<o:p></o:p></p>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<div>

<p class="MsoNormal">Anfang der weitergeleiteten Nachricht:<o:p></o:p></p>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<p class="MsoNormal"><b><span style="font-family:"Helvetica Neue"">Von: </span></b><span style="font-family:"Helvetica Neue"">Thomas Rickert <<a href="mailto:thomas@rickert.net">thomas@rickert.net</a>></span><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><b><span style="font-family:"Helvetica Neue"">Betreff: Additional language for roles and responsibilities

</span></b><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><b><span style="font-family:"Helvetica Neue"">Datum: </span>

</b><span style="font-family:"Helvetica Neue"">18. November 2018 um 21:59:10 MEZ</span><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><b><span style="font-family:"Helvetica Neue"">An: </span></b><span style="font-family:"Helvetica Neue"">"<a href="mailto:gnso-epdp-team@icann.org">gnso-epdp-team@icann.org</a>" <<a href="mailto:gnso-epdp-team@icann.org">gnso-epdp-team@icann.org</a>></span><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><b><span style="font-family:"Helvetica Neue"">Kopie: </span>

</b><span style="font-family:"Helvetica Neue"">Thomas Rickert <<a href="mailto:thomas@rickert.net">thomas@rickert.net</a>></span><o:p></o:p></p>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<div>

<p class="MsoNormal">All,<br>

As discussed during out last call, please find below an additional paragraph to be inserted after line 1628, i.e. at the end of Recommendation #13.<br>

<br>

The challenge was to keep the language concise, yet cover the most urgent operational questions that came up, while not stepping over the line and do work outside the picket fence. You will decide whether these parameters were met in the language below, but

 I hope it will at least serve as a starting point for our discussions. <br>

<br>

Kind regards,<br>

Thomas<br>

<br>

<br>

<br>

The EPDP Team understands that a joint controller situation between ICANN Org, Registries and Registrars requires work at a greater level of granularity than in this report. During the negotiations, the parties shall conduct a detailed review of the individual

 processing activities and the actions to be taken by the respective parties. A clear demarcation the processing activities covered by the JCA versus those carried out by either party outside the scope of the JCA shall be documented and reflected both in the

 private as well as in the public version of the JCA. <br>

<br>

The JCA shall ensure that the risks of data processing are shared adequately based on whose interests are concerned. Also, the JCA shall include indemnifications to ensure that no party shall ultimately be liable for another parties’ wrongdoing.

<br>

<br>

The JCA shall recognize that parties are currently using third parties’ services or otherwise work with third parties, such as

<br>

- Data Escrow Agents<br>

- EBEROs<br>

- Registry Service Providers<br>

- Registrar as a Service Providers<br>

- Resellers<br>

- Dispute Resolution Providers<br>

- the TMCH.<br>

<br>

This may or may not include processing of personal data by those third parties. Where personal data is processed by third parties, the respective joint controller will need to ensure that the data processing is carried out in a way compliant with GDPR. However,

 conditional to GDPR compliance, nothing in the JCA shall prevent the respective joint controller from engaging third parties and entering into the required agreements without further authorizations from the other joint controllers.

<br>

<br>

The EPDP Team considers it out of scope of its work to prescribe in what form JCAs will be entered into, as long as a set of the minimum requirements as specified in the EPDP Team’s report, are met. It does appear advisable, though, to create one template,

 which can be amended to reflect situations that are not applicable industry-wide (such as eligibility requirements for registered name holders) and that JCAs are entered into per TLD between ICANN Org, the respective Registry Operator and registrars. A potential

 way to facilitate contracting would be to make the JCA part of the RRA, so there would be separate tri-partite agreements between ICANN Org, the Registry Operator and each registrar.

<br>

<br>

Standardized parts of the JCA should include the informations that are legally required to be provided to the data subjects to allow for the use of the same language across all TLDs as much as possible.    <o:p></o:p></p>

</div>

</div>

</blockquote>

</div>

<p class="MsoNormal" style="margin-bottom:12.0pt"><o:p> </o:p></p>

</div>

</body>

</html>