<div dir="ltr"><div dir="ltr"><div>Dear Kurt</div><div>Once again thanks for your effort trying to reconcile the divergence view</div><div>I have small amendment made in colour as follows</div><div><p class="MsoNormal"><b><em>"Proposed Recommendation #13 Language</em></b></p><p class="MsoNormal"><em>The EPDP Team recommends that ICANN Org <font color="#0000ff"> shall</font> negotiates and enters into required data protection agreements such as a <s>Data Processing Agreement (GDPR Art. 28) or</s> Joint Controller Agreement (Art. 26), as appropriate, with the Contracted Parties. In addition to the legally required components of such agreement, the agreement shall  <font color="#0000ff">clearly</font> specify the responsibilities of the respective parties for the processing activities as described therein. Indemnification clauses shall ensure that the risk for certain data processing is borne by either one or  <font color="#0000ff">mutually agreed</font> by multiple parties,   that determine the purpose and means of the processing. [<b>Due consideration should be given to the analysis carried out by the EPDP Team in its Final Report.</b>]"</em></p><p class="MsoNormal">Regards</p><p class="MsoNormal">Kavouss </p><p class="MsoNormal"><br></p><p class="MsoNormal"><br></p><p class="MsoNormal"><br></p></div><div><br></div></div></div><br><div class="gmail_quote"><div class="gmail_attr" dir="ltr">On Thu, Jan 24, 2019 at 12:23 AM Kurt Pritz <<a href="mailto:kurt@kjpritz.com">kurt@kjpritz.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid"><div style="-ms-word-wrap: break-word;"><div style="-ms-word-wrap: break-word;"><div style="-ms-word-wrap: break-word;">














<p class="MsoNormal">Hi Everyone:</p><p class="MsoNormal">With the goal of progressing on issues via email, the leadership
team has considered the discussion provided during the Toronto meeting and suggests
the following compromise language to address the different positions expressed. (This is a resend of an earlier email with only the subject line of the email updated.)</p><p class="MsoNormal"><b>Discussion</b> </p><p class="MsoNormal">The language below is the same language proposed by the small team that
reviewed the comments, but modified: </p><ul class="gmail-m_983570392943904562MailOutline"><li>a<span>s suggested by Diane during the
meeting to reflect that GDPR Art 28 is unlikely to apply in this situation, and</span></li><li><span>by an addition (bracketed & bolded below) to
reference the analysis in the Final Report that this team recommends the
creation of Joint Controller Agreements, to appropriately influence the
negotiation of GDPR-compliant agreements.</span></li></ul><div><br class="gmail-m_983570392943904562webkit-block-placeholder"></div><p class="MsoNormal">This language is intended to strike a balance between those
preferring to leave some flexibility for ICANN Org and Contracted Parties to
consider the appropriate agreements and those preferring to be specific about the
type of agreement to be pursued.</p><p class="MsoNormal">I understand this is a complex topic that might require additional
discussion but it is also possible that we cannot be dispositive on this issue
prior to a lengthy contract formation discussion that extends well beyond our
time frames. For that reason, we are taking the liberty of making this
recommendation and hope you accept it in the spirit it is offered.</p><p class="MsoNormal"><b>Proposed Recommendation #13 Language</b></p><p class="MsoNormal">The EPDP Team recommends that ICANN Org negotiates and enters into
required data protection agreements such as a <s>Data Processing Agreement
(GDPR Art. 28) or</s> Joint Controller Agreement (Art. 26), as appropriate,
with the Contracted Parties. In addition to the legally required components of
such agreement, the agreement shall specify the responsibilities of the
respective parties for the processing activities as described therein.
Indemnification clauses shall ensure that the risk for certain data processing
is borne by either one or multiple parties that determine the purpose and means
of the processing. [<b>Due consideration
should be given to the analysis carried out by the EPDP Team in its Final
Report.</b>]</p><p class="MsoNormal"><b>Action:</b> </p><p class="MsoNormal">Please indicate on the mailing list whether you have any concerns
about these modifications and/or what other aspects of this recommendation
should be discussed.</p><p class="MsoNormal">Deadline: Monday, 28 January, additional email discussion might
follow depending on responses. </p><p class="MsoNormal">Sincerely,</p><p class="MsoNormal">Kurt<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p>

</div></div></div>_______________________________________________<br>
Gnso-epdp-team mailing list<br>
<a href="mailto:Gnso-epdp-team@icann.org" target="_blank">Gnso-epdp-team@icann.org</a><br>
<a href="https://mm.icann.org/mailman/listinfo/gnso-epdp-team" target="_blank" rel="noreferrer">https://mm.icann.org/mailman/listinfo/gnso-epdp-team</a></blockquote></div>