<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">
</head>
<body>
The ALAC supports this. Under GDPR, data must be accurate in respect to the purposes for which it is collected. Studies of current data indicate serious accuracy issues such that it is often not accurate for some of the purposes which we have identified and
 this ICANN has an obligation to take appropriate action to ensure better accuracy.<br>
<br>
Alan<br>
<br>
<br>
<br>
At 07/12/2018 07:48 PM, Margie Milam wrote:<br>
<br>
<blockquote type="cite" class="cite" cite="">Hi-<br>
I was asked to provide further background for the accuracy discussion after yesterday’s EPDP call.   Here is some information to frame our further  analysis:<br>
  <br>
<b><u>SCOPE<br>
</u></b> <br>
This EPDP was chartered â€œto determine if the Temporary Specification...should become an ICANN Consensus Policy, as is or with modifications, while complying with the GDPR and other relevant privacy and data protection law.”  In order to fully comply with
 GDPR, data -- the very subject of this EPDP -- is required to be accurate. <br>
 <br>
According to Article 5.1(d)  of the GDPR, personal data shall be "accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that personal data that are inaccurate, having regard to the purposes for which they are processed,
 are erased or rectified without delay."  Article 39 also has similar language.  Within the GDPR, this is the second of three principles about data standards, along with data minimization and storage limitation that needs to be addressed.  While we have had
 much discussion about data minimization and storage limitations, what’s clearly missing to finalize our deliberations and output about data standards is our discussion about data accuracy requirements.
<br>
 <br>
The ico. (Information Commissioner’s Office in the UK) points out in <a href="https://urldefense.proofpoint.com/v2/url?u=https-3A__ico.org.uk_for-2Dorganisations_guide-2Dto-2Dthe-2Dgeneral-2Ddata-2Dprotection-2Dregulation-2Dgdpr_principles_accuracy_-23steps&d=DwMGaQ&c=5VD0RTtNlTh3ycd41b3MUw&r=_4XWSt8rUHZPiRG6CoP4Fnk_CCk4p550lffeMi3E1z8&m=h0lLMkeUF_rn5GMhlS2z3vK51MHCcjEetUszEZTvxyg&s=RhTeIrHiyk5mS4H700KfDrYVVkEJElZPkbQjxDs2DOs&e=">
its writings on â€œPrinciple (d): Accuracy”</a> that one of the new features of GDPR as compared to the principles under its predecessor is that there is now a â€œclearer
<b>proactive </b>obligation to take reasonable steps to delete or correct inaccurate personal data.”  The ICO notes that while â€œ[t]here are clear links here to the right to rectification, which gives individuals the right to have inaccurate personal data
 corrected” … â€œ[i]n order to ensure that yourr records are not inaccurate or misleading in [the case of personal data someone else provides], you must:<br>
                …
<ul>
<li>take reasonable steps in the circumstances to ensure the accuracy of the information; and
</li><li>carefully consider any challenges to the accuracy of the information.” </li></ul>
 <br>
The ico. goes on to say that â€œThe more important it is that the personal data is accurate, the greater the effort you should put into ensuring its accuracy. So if you are using the data to make decisions that may significantly affect the individual concerned
<b>or others</b>, you need to put more effort into ensuring accuracy. This may mean you have to get independent confirmation that the data is accurate.”  We can all agree that the accuracy of domain name ownership is paramount to collection of WHOIS/Registered
 Name Holder data in the first instance.  In addition, since this data will be used by others (with a lawful interest), ensuring that it is accurate for them is relevant.<br>
 <br>
 <br>
This isn’t a new concept for discussion, as you may recall that the European Commission’s technical
<a href="https://urldefense.proofpoint.com/v2/url?u=https-3A__www.icann.org_en_system_files_files_gdpr-2Dcomments-2Deuropean-2Dcommission-2Dunion-2Dicann-2Dproposed-2Dcompliance-2Dmodels-2D07feb18-2Den.pdf&d=DwMGaQ&c=5VD0RTtNlTh3ycd41b3MUw&r=_4XWSt8rUHZPiRG6CoP4Fnk_CCk4p550lffeMi3E1z8&m=h0lLMkeUF_rn5GMhlS2z3vK51MHCcjEetUszEZTvxyg&s=YxaHZrnJlPuW_9bhzSZjJ7TOa-8_9ht63KuwYlhHWxA&e=">
input on ICANN's proposed GDPR-compliant WHOIS models</a> underscored the GDPR's "Accuracy" principle and made clear that â€œreasonable steps should be taken to ensure the accuracy of any personal data obtained” for WHOIS databases and that ICANN should be
 sure to incorporate this requirement in whatever model it adopts. <br>
 <br>
The ico. <a href="https://urldefense.proofpoint.com/v2/url?u=https-3A__ico.org.uk_for-2Dorganisations_guide-2Dto-2Dthe-2Dgeneral-2Ddata-2Dprotection-2Dregulation-2Dgdpr_accountability-2Dand-2Dgovernance_&d=DwMGaQ&c=5VD0RTtNlTh3ycd41b3MUw&r=_4XWSt8rUHZPiRG6CoP4Fnk_CCk4p550lffeMi3E1z8&m=h0lLMkeUF_rn5GMhlS2z3vK51MHCcjEetUszEZTvxyg&s=UWaASFRkG2npkSZLHMfzDbjdajEbgoyFxk7wLtqAmbc&e=">
points out that</a> â€œ[o]ne of the biggest changes introduced by the GDPR is around accountability – a new data protection prrinciple that says organisations are responsible for, and must be able to demonstrate, compliance with the other principles ... [y]ou
 now need to be proactive about data protection, and evidence the steps you take to meet your obligations and protect people’s rights.” With the main thrust of the EPDP being to ensure that the WHOIS policies ICANN and the contracted parties adopt comply
 with the principles of the GDPR, these accountability principles shouldn’t be taken lightly. 
<br>
 <br>
Consistent with these commitments and the GDPR, accuracy is an issue fully within scope of the EPDP so that ICANN and contracted parties proactively address how they will ensure the accuracy of data in the first place, not just how they rectify inaccurate data
 brought to their attention after collection -- we simply see no way around the EPDP affirmatively addressing the GDPR’s accuracy principle in our deliberations and output.  Especially since accuracy is addressed in the Temp Spec itself (see 4.1), which states
 ICANN is responsible for â€œMaintenance of and access to <b>accurate</b> and up-to-date information concerning registered names and name servers”.<br>
  <br>
<b><u>OUTPUT/COMPLIANCE<br>
</u></b> <br>
Dbata accuracy needs to be addressed both proactively as well as retroactively.  As the
<a href="https://urldefense.proofpoint.com/v2/url?u=https-3A__ico.org.uk_for-2Dorganisations_guide-2Dto-2Dthe-2Dgeneral-2Ddata-2Dprotection-2Dregulation-2Dgdpr_accountability-2Dand-2Dgovernance_&d=DwMGaQ&c=5VD0RTtNlTh3ycd41b3MUw&r=_4XWSt8rUHZPiRG6CoP4Fnk_CCk4p550lffeMi3E1z8&m=h0lLMkeUF_rn5GMhlS2z3vK51MHCcjEetUszEZTvxyg&s=UWaASFRkG2npkSZLHMfzDbjdajEbgoyFxk7wLtqAmbc&e=">
ico. states</a> â€œAccountability is not a box-ticking exercise. Being <b>responsible</b> for compliance with the GDPR means that you need to be proactive and organised about your approach to data protection, while
<b>demonstrating</b> your compliance means that you must be able to evidence the steps you take to comply.”  The ico. goes onto say that â€œDocumenting this information is a great way to take stock of what you do with personal data. Knowing what information
 you have, where it is and what you do with it makes it much easier for you to comply with
<b>other aspects of the GDPR such as making sure that the information you hold about people is accurate</b> and secure.” (emphasis added)<br>
 <br>
To that end, the WHOIS policy developed by the EPDP needs to incorporate steps for contracted parties to be in compliance with the GDPR – accuracy being one facet of compliance.  The WHOIS Accuracy Reporting System Reports showed that the accuracy levels are
 unacceptably low.<br>
 <br>
We see the policy discussion on accuracy focused in three areas:<br>
<br>
<b>Collection</b>:  At intake, we should consider whether the current forms of validation are sufficient.  In this regard, it may be useful to include in the ccTLD survey a request to see what validation is done by the EU based ccTLDs.<br>
<br>
<b>Maintenance</b>: Once data is collected, Article 5 of the GDPR says that data must be â€œkept up to date”, which seemingly requires some sort of process that could be developed. 
<br>
<b>Rectification:</b> Article 5 of the GDPR says that ICANN and the contracted parties must â€œensure that personal data that are inaccurate … are erased orr rectified without delay” and so, a uniform method to report and rectify inaccurate data could be
 considered.  <br>
 <br>
Because there are so many facets to this conversation, perhaps the best way to address this is to talk about this in Toronto, at our F2F.<br>
 <br>
All the best,<br>
Margie<br>
 <br>
 <br>
_______________________________________________<br>
Gnso-epdp-team mailing list<br>
Gnso-epdp-team@icann.org<br>
<a href="https://mm.icann.org/mailman/listinfo/gnso-epdp-team" eudora="autourl">https://mm.icann.org/mailman/listinfo/gnso-epdp-team</a></blockquote>
</body>
</html>