<div dir="ltr"><div>Dear James</div><div>This is matter within the remit of the GNSO Council</div><div>Regards</div><div>Kavouss <br></div></div><br><div class="gmail_quote"><div class="gmail_attr" dir="ltr">On Fri, Feb 8, 2019 at 8:29 PM James M. Bladel <<a href="mailto:jbladel@godaddy.com">jbladel@godaddy.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid">

<div lang="EN-US">

<div class="gmail-m_-4658015668159176615WordSection1">

<p class="MsoNormal"><span style="font-family:"Helvetica Neue";font-size:12pt">Question for Ben and SSAC –

<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-family:"Helvetica Neue";font-size:12pt"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-family:"Helvetica Neue";font-size:12pt">Does the Council need to authorize another

<b>e</b>PDP (expedited)?  Or could it simply authorize a subsequent PDP (standard)?<br>

<br>

Background – As Staff has pointed out, the most significant difference between and ePDP and PDP is that the former does not include an Issues Report, and therefore has a slightly shorter minimum timeline.  But once up an running, an ePDP and a standard PDP

 should operate the same.<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-family:"Helvetica Neue";font-size:12pt"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-family:"Helvetica Neue";font-size:12pt">However, given the time-sensitivities around the expiring Temporary Specification, this ePDP has been given a higher resource priority by ICANN Org and the Community to finish

 its work.  But there’s nothing that says the this couldn’t also be true of a standard PDP.<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-family:"Helvetica Neue";font-size:12pt"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-family:"Helvetica Neue";font-size:12pt">Sorry if my questions make this less clear, but I’m trying to take onboard the other SSAC comments regarding precision of our recommendation language.<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-family:"Helvetica Neue";font-size:12pt"><br>

Thanks—<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-family:"Helvetica Neue";font-size:12pt"><br>

J.<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-family:"Helvetica Neue";font-size:12pt"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-family:"Helvetica Neue";font-size:12pt"><u></u> <u></u></span></p>

<div>

<p class="MsoNormal"><span style="font-family:"Helvetica Neue Light"">-------------<u></u><u></u></span></p>

<p class="MsoNormal"><b><span style="color:rgb(0,176,80);font-family:"Helvetica Neue Light"">James Bladel<u></u><u></u></span></b></p>

<p class="MsoNormal"><span style="font-family:"Helvetica Neue Light"">GoDaddy</span><span style="font-family:"Helvetica Neue Light";font-size:12pt"><u></u><u></u></span></p>

</div>

<p class="MsoNormal"><span style="font-family:"Helvetica Neue";font-size:12pt"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-family:"Helvetica Neue";font-size:12pt"><u></u> <u></u></span></p>

<div style="border-width:1pt medium medium;border-style:solid none none;border-color:rgb(181,196,223) currentColor currentColor;padding:3pt 0in 0in">

<p class="MsoNormal"><b><span style="color:black;font-size:12pt">From: </span></b><span style="color:black;font-size:12pt">Gnso-epdp-team <<a href="mailto:gnso-epdp-team-bounces@icann.org" target="_blank">gnso-epdp-team-bounces@icann.org</a>> on behalf of Ben Butler <<a href="mailto:bbutler@godaddy.com" target="_blank">bbutler@godaddy.com</a>><br>

<b>Date: </b>Friday, February 8, 2019 at 13:04<br>

<b>To: </b>Kurt Pritz <<a href="mailto:kurt@kjpritz.com" target="_blank">kurt@kjpritz.com</a>><br>

<b>Cc: </b>GNSO EPDP <<a href="mailto:gnso-epdp-team@icann.org" target="_blank">gnso-epdp-team@icann.org</a>><br>

<b>Subject: </b>[Gnso-epdp-team] Consensus Calls - Cluster 1<u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<p class="MsoNormal"><span style="font-size:12pt">Hi Kurt,</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:12pt"> </span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:12pt">Following deliberations with the SSAC concerning cluster 1 (Purposes), please find below the SSAC comments.  We approve as written Purposes 1, 3-7, seeing no significant security or stability concerns.</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:12pt"> </span><u></u><u></u></p>

<p class="MsoNormal"><span style="color:black">Regarding Purpose 2 (and by extension Recommendation 2), the SSAC provides the following comment:</span><u></u><u></u></p>

<p class="MsoNormal"><span style="color:black"> </span><u></u><u></u></p>

<p class="MsoNormal"><span style="color:black">SSAC supports the sentiment behind Recommendation 2, but not the language.  The language is flawed and does not provide a clear and actionable recommendation to the GNSO Council and the ICANN Board.  SSAC takes

 this opportunity to clarify intent and urge that the problems with the language be fixed.</span><u></u><u></u></p>

<p class="MsoNormal"><span style="color:black"> </span><u></u><u></u></p>

<p class="MsoNormal"><span style="color:black">SSAC believes that the ePDP team shared a common sentiment: that policy-making regarding lawful access of non-public data should definitely proceed now that the gating factors have been addressed. SSAC supports

 that sentiment.</span><u></u><u></u></p>

<p class="MsoNormal"><span style="color:black"> </span><u></u><u></u></p>

<p class="MsoNormal"><span style="color:black">There are three problems with Recommendation 2's language:</span><u></u><u></u></p>

<ol type="A" style="margin-top:0in" start="1">

<li class="MsoNormal" style="color:black">It says the group makes a recommendation but then does not say what the recommendation is.  It should clearly recommend that further policy development on the topic take place. The current ambiguity

 leaves open the prospect that the Recommendation will be misunderstood.<u></u><u></u></li><li class="MsoNormal" style="color:black">Recommendation 2 says that "the EPDP team will consider amongst other issues, disclosure in the course of intellectual property infringement and DNS abuse cases."  But that is technically not

 possible, because the current ePDP is expiring and this ePDP team cannot consider further issues.  Council will need to authorize a new or add-on policy process to complete the unfinished work from the current ePDP.<u></u><u></u></li><li class="MsoNormal" style="color:black">It does not address timing or urgency.  The issues were included in the current ePDP’s charter and were supposed to be addressed already but remain unfinished.  The open issue is vital to security

 and stability, and in SAC104 the SSAC has urged the Council to adopt an ambitious deadline to complete this work.<u></u><u></u></li></ol>

<p class="MsoNormal"><b><span style="color:black"> </span></b><u></u><u></u></p>

<p class="MsoNormal"><span style="color:black">We therefore suggest that the first part of the recommendation be something more clear and actionable, such as:</span><u></u><u></u></p>

<p class="MsoNormal"><span style="color:black">“The EPDP Team recommends that the Council immediately authorize an additional ePDP to consider a system for Standardized Access to non-public Registration Data (referred to in the Charter as ’Standardised Access’).

  This should be designed to fulfill undelivered work items contained in the present EPDP Team Charter.  It will be in line with Purpose #2, and is possible to begin because the gating questions in the charter have been answered.” [footnote to below:]</span><u></u><u></u></p>

<p class="MsoNormal"><span style="color:black"> </span><u></u><u></u></p>

<p class="MsoNormal"><span style="color:black">[Staff can place the following in the footnote:]</span><u></u><u></u></p>

<p class="MsoNormal"><span style="color:black">The above comments are based on statements endorsed by the entire  SSAC, found in:</span><u></u><u></u></p>

<p class="MsoNormal"><span style="color:black">* SAC101 Recommendation 1A: "ICANN policy-making should result in a domain registration data policy, including statements of purposes for the collection and publication of the data."</span><u></u><u></u></p>

<p class="MsoNormal"><span style="color:black">* SAC101 Recommendation 1D: "The ICANN Board should support the creation of an accredited RDDS access program, with the ICANN Organization ensuring the creation, support of, and oversight of the supporting technical

 access mechanism. This program will identify qualified users, enable their access under appropriate data protection measures, and will allow RDDS server operators to manage those users’ access accordingly. The technical access mechanism should include a credential

 management system so that users do not need to negotiate and set up access with RDDS operators individually."</span><u></u><u></u></p>

<p class="MsoNormal"><span style="color:black">* SAC101 Recommendation 3: "The ICANN Board and EPDP policy-makers should ensure that security practitioners and law enforcement authorities have access to domain name contact data, via RDDS, to the full extent

 allowed by applicable law."</span><u></u><u></u></p>

<p class="MsoNormal"><span style="color:black">* SAC104: "The SSAC urges the GNSO to begin planning further efforts now, to complete the policy-making that has been started. It is vital to keep momentum. Driven by the GDPR, the EPDP is finally addressing some

 long-delayed issues. It will not serve the Internet community, or ICANN as a multistakeholder organization, if the work is allowed to drift. We urge the GNSO to begin planning next steps, with specific deliverables and ambitious deadlines for completion."

 (Section 2.3)</span><u></u><u></u></p>

<p class="MsoNormal"><span style="color:black"> </span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:12pt"> </span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:12pt"> </span><u></u><u></u></p>

<div>

<p class="MsoNormal"><span style="font-family:"GD Boing";font-size:12pt"> </span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-family:"GD Boing";font-size:12pt"> </span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-family:"GD Boing"">Thanks, </span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-family:"GD Boing""> </span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-family:"GD Boing"">-Ben</span><u></u><u></u></p>

</div>

<p class="MsoNormal"><span style="font-size:12pt"> </span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:12pt"> </span><u></u><u></u></p>

<div style="border-width:1pt medium medium;border-style:solid none none;border-color:rgb(181,196,223) currentColor currentColor;padding:3pt 0in 0in">

<p class="MsoNormal"><b><span style="color:black;font-size:12pt">From: </span></b><span style="color:black;font-size:12pt">Gnso-epdp-team <<a href="mailto:gnso-epdp-team-bounces@icann.org" target="_blank">gnso-epdp-team-bounces@icann.org</a>> on behalf of Kurt Pritz <<a href="mailto:kurt@kjpritz.com" target="_blank">kurt@kjpritz.com</a>><br>

<b>Date: </b>Friday, February 8, 2019 at 11:27 AM<br>

<b>To: </b>GNSO EPDP <<a href="mailto:gnso-epdp-team@icann.org" target="_blank">gnso-epdp-team@icann.org</a>><br>

<b>Subject: </b>Re: [Gnso-epdp-team] Recommendation 13 - Responsibilities of the Parties - email list discussion</span><u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<p class="MsoNormal">Hi Everyone:  <u></u><u></u></p>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">To summarize this discussion:<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">We have read Trang’s intervention carefully and recognize the wording referenced in the GDPR. In this email chain, we also recognized the research that Thomas (with Farzaneh) conducted in forming their advice to this team and Alan’s reference

 to local laws and authoritative GDPR guidance.  After considering that, <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">1) I have not seen any team member representing a Stakeholder Group or Advisory Committee recommend a departure from the use of the word “agreement’ in the recommendation.  I.e., I have not seen support for changing “agreement” to “arrangement.”

  Kavouss has made a good faith offer of compromise in suggesting “mutually agreed upon…” but I don’t see the purpose of compromise at this juncture. Without describing the rationale for staying with “agreement,” I can easily see reasons why each SO/AC here

 would appreciate that level of specificity. <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">2) While I agree with the conclusions Thomas has reached regarding the requirement for JCAs, I think the wording currently proposed (by the contracted parities and supported by the GAC) is acceptable in order to provide the parties negotiating

 the ability to determine which processing steps are best addressed with the parties as Joint Controllers, Controllers and Processors. <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">3) With regard to concerns about the clause,  “Indemnification clauses shall ensure that the risk for certain data processing is borne by either one or multiple parties that determine the purpose and means of the processing," as raised

 by Chris, I don’t read this as meaning that all liability is borne by the Controller, or as Chris states the ICANN Board concern, “by ICANN.” For example, negligence on the part of a processor should not raise liability in the Controller absent some specific

 circumstances. <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">On this last topic, I think we ae waiting to hear more from the Board or elsewhere in ICANN. Itaking Chris recommendation into account and doing some type of mashup: “Indemnification clauses shall ensure that the risk for certain data processing

 is borne, <i><span style="color:rgb(4,51,255)">to the extent appropriate</span></i>, by either one or multiple parties that determine the purpose and means of the processing."<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">In total:<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">The EPDP Team recommends that ICANN Org negotiates and enters into required data protection agreements, as appropriate, with the Contracted Parties. In addition to the legally required components of such agreement, the agreement shall specify

 the responsibilities of the respective parties for the processing activities as described therein. Indemnification clauses should ensure that the risk for certain data processing is borne, to the extent appropriate, by either one or multiple parties that determine

 the purpose and means of the processing. Due consideration should be given to the analysis carried out by the EPDP Team in its Final Report.<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">Please respond and let me know whether you believe this to be an appropriate solution. <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">Best regards,<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">Kurt<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><br>

<br>

<br>

<u></u><u></u></p>

<blockquote style="margin-top:5pt;margin-bottom:5pt">

<div>

<p class="MsoNormal">On Feb 8, 2019, at 5:05 AM, Emily Taylor <<a href="mailto:emily.taylor@oxil.co.uk" target="_blank">emily.taylor@oxil.co.uk</a>> wrote:<u></u><u></u></p>

</div>

<p class="MsoNormal"> <u></u><u></u></p>

<div>

<div>

<p class="MsoNormal">Hi all <u></u><u></u></p>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">I support Alan's point of view. While I understand the need to retain flexibility, and to avoid overly restrictive language that will cause problems later on, the word 'arrangement' could mean almost anything - from something that imposes

 legal benefits and responsibilities to something that's very informal, undocumented and just a way of working.<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><br>

So, I support use of the word 'agreement' instead of 'arrangement'.<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">Best wishes<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><br>

Emily<u></u><u></u></p>

</div>

</div>

<p class="MsoNormal"> <u></u><u></u></p>

<div>

<div>

<p class="MsoNormal">On Fri, Feb 8, 2019 at 1:02 PM Alan Woods <<a href="mailto:alan@donuts.email" target="_blank">alan@donuts.email</a>> wrote:<u></u><u></u></p>

</div>

<blockquote style="border-width:medium medium medium 1pt;border-style:none none none solid;border-color:currentColor currentColor currentColor rgb(204,204,204);margin:5pt 0in 5pt 4.8pt;padding:0in 0in 0in 6pt">

<div>

<p class="MsoNormal">Just to be exceptionally clear and although I do not wish to belabor the point any farther, I still submit, on the record, that the correct term to be used in the recommendation is 'AGREEMENT' 

<u></u><u></u></p>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">Whereas I appreciate that ICANN have mirrored the GDPR language of Art 26 in their use of the word of 'arrangement' I believe it would make more sense to consider the subsequent interpretation of their lead DPA (i.e Belgium, as confirmed

 by the Belgian Autorité de Protection des Données (APD) letter of <a href="https://www.icann.org/en/system/files/correspondence/debeuckelaere-to-marby-15jan19-en.pdf" target="_blank">

15th January 2019 </a> and the therein referenced letter of <a href="https://www.icann.org/en/system/files/correspondence/debeuckelaere-to-marby-26sep18-en.pdf" target="_blank">

September 26th, 2018</a> ).<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">I would therefore respectfully submit that it remains more proper for our recommendation to therefore consider and mirror the Belgian legislatures and the APD's interpretation of the GDPR as being our  guiding, if not determinative factor: 

<u></u><u></u></p>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><b>1)</b>  <b>Article 52</b> of the <a href="http://www.ejustice.just.fgov.be/cgi_loi/loi_a.pl?language=fr&dt=LOI&chercher=t&choix1=ET&fr=f&choix2=ET&numero=12&table_name=LOI&fromtab=loi_all&imgcn.x=32&DETAIL=2018073046/F&nm=2018040581&imgcn.y=3&ddda=2018&sql=dt+contains++%27LOI%27+and+dd+=+date%272018-07-30%27and+actif+=+%27Y%27&rech=12&tri=dd+AS+RANK+&trier=promulgation&dddj=30&cn=2018073046&row_id=1&caller=image_a1&dddm=07&la=F&pdf_page=10&pdf_file=http://www.ejustice.just.fgov.be/mopdf/2018/09/05_1.pdf" target="_blank"> Loi

 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel (30 July 2018)</a> (see page 27 of the Gazette as linked) requires<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<blockquote style="border-width:medium medium medium 1pt;border-style:none none none solid;border-color:currentColor currentColor currentColor rgb(204,204,204);margin:5pt 0in 5pt 4.8pt;padding:0in 0in 0in 6pt">

<p class="MsoNormal"> " <b><i>Un accord définit de manière transparente les obligations respectives des responsables conjoints de traitement</i></b>, " [emphasis added], <u></u><u></u></p>

</blockquote>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">Which translates to "<b><u>an agreement</u></b> which defines the respective obligations of the joint controllers" [emphasis added]<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><b>2)</b> The  APD have also released a<a href="https://www.autoriteprotectiondonnees.be/sites/privacycommission/files/documents/Notions_RT_ST.pdf" target="_blank"> legal notation of the July 2018 law</a>, and they note the joint controller

 requirement as being "<b><i>par voie d’accord</i></b>' (see page three under heading   or again to translate, is an "by agreement". (see page 3 under the heading "<b>Responsables conjoints de traitment"</b>)<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">Therefore I still believe and submit that the ePDP teams original wording of "agreement" should stand, and I don't believe that ICANN's reference to their past statement i.e.  "<i><span style="font-size:9pt">arrangement”</span></i><span style="font-size:9pt">

 could take the form of an agreement, a policy, or a specification" is sufficient as it dilutes the expectation of the APD. This is not sufficiently specific in the circumstances; nor does it provide the comfort that the ePDP team is seeking in this recommendation

 from ICANN.</span><u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:9pt">Kind regards,</span><u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:9pt">Alan </span><u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:9pt"> </span><u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:9pt"> </span><u></u><u></u></p>

</div>

<div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">   <u></u><u></u></p>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<table class="gmail-m_-4658015668159176615MsoNormalTable" border="0" cellpadding="0">

<tbody>

<tr>

<td style="padding:0in 5.25pt 0in 0in">

<p class="MsoNormal" style="margin-right:0in;margin-bottom:7.5pt;margin-left:0in">

<a href="http://donuts.domains/" target="_blank"><span style="color:windowtext;text-decoration:none"><span style="color:blue"><img width="75" height="75" id="gmail-m_-4658015668159176615_x0000_i1031" style="width: 0.781in; height: 0.781in;" alt="Donuts Inc." src="https://storage.googleapis.com/signaturesatori/customer-C02zzlf7k/images/-54f9d8ac97e7f575bf497d10ac1f1aafafddf8afceab5f269d49034f01b3217b.png" border="0"></span></span></a><u></u><u></u></p>

</td>

<td style="padding:0in 5.25pt 0in 0in">

<div>

<p class="MsoNormal" style="line-height:12.75pt;margin-right:0in;margin-bottom:7.5pt;margin-left:0in">

<b><span style="color:rgb(51,51,51);font-family:"Arial",sans-serif;font-size:9pt">Alan Woods</span></b><u></u><u></u></p>

</div>

<div>

<p class="MsoNormal" style="margin-right:0in;margin-bottom:7.5pt;margin-left:0in">

<span style="color:rgb(51,51,51);font-family:"Arial",sans-serif;font-size:9pt">Senior Compliance & Policy Manager, Donuts Inc.</span>

<u></u><u></u></p>

<div style="margin-top:7.5pt;margin-bottom:7.5pt">

<div align="center" class="MsoNormal" style="text-align:center">

<hr width="13%" size="0" align="center">

</div>

</div>

<p class="MsoNormal" style="margin-right:0in;margin-bottom:7.5pt;margin-left:0in">

<span style="color:rgb(51,51,51);font-family:"Arial",sans-serif;font-size:8.5pt">The Victorians, </span><u></u><u></u></p>

</div>

<div>

<p class="MsoNormal" style="margin-right:0in;margin-bottom:7.5pt;margin-left:0in">

<span style="color:rgb(51,51,51);font-family:"Arial",sans-serif;font-size:8.5pt">15-18 Earlsfort Terrace<br>

Dublin 2, County Dublin</span><span style="color:rgb(214,214,214);font-family:"open sans";font-size:9pt"><br>

</span><span style="color:rgb(51,51,51);font-family:"Arial",sans-serif;font-size:8.5pt">Ireland</span><br>

<br>

<a href="https://www.facebook.com/donutstlds" target="_blank"><span style="color:windowtext;text-decoration:none"><span style="color:blue"><img id="gmail-m_-4658015668159176615_x0000_i1029" alt="http://storage.googleapis.com/signaturesatori/icons/facebook.png" src="http://storage.googleapis.com/signaturesatori/icons/facebook.png" border="0"></span></span></a>  <a href="https://twitter.com/DonutsInc" target="_blank"><span style="color:windowtext;text-decoration:none"><span style="color:blue"><img id="gmail-m_-4658015668159176615_x0000_i1028" alt="http://storage.googleapis.com/signaturesatori/icons/twitter.png" src="http://storage.googleapis.com/signaturesatori/icons/twitter.png" border="0"></span></span></a>  <a href="https://www.linkedin.com/company/donuts-inc" target="_blank"><span style="color:windowtext;text-decoration:none"><span style="color:blue;font-size:10.5pt"><img id="gmail-m_-4658015668159176615_x0000_i1027" alt="http://storage.googleapis.com/signaturesatori/icons/linkedin.png" src="http://storage.googleapis.com/signaturesatori/icons/linkedin.png" border="0"></span></span></a><u></u><u></u></p>

</div>

</td>

</tr>

</tbody>

</table>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><span style="font-family:"Cambria",serif;font-size:12pt">Please NOTE: This electronic message, including any attachments, may include privileged, confidential and/or inside information owned by Donuts Inc. . Any distribution or use of

 this communication by anyone other than the intended recipient(s) is strictly prohibited and may be unlawful.  If you are not the intended recipient, please notify the sender by replying to this message and then delete it from your system. Thank you.</span><u></u><u></u></p>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

</div>

</div>

</div>

</div>

</div>

<p class="MsoNormal"> <u></u><u></u></p>

<div>

<div>

<p class="MsoNormal">On Fri, Feb 8, 2019 at 11:28 AM Kavouss Arasteh <<a href="mailto:kavouss.arasteh@gmail.com" target="_blank">kavouss.arasteh@gmail.com</a>> wrote:<u></u><u></u></p>

</div>

<blockquote style="border-width:medium medium medium 1pt;border-style:none none none solid;border-color:currentColor currentColor currentColor rgb(204,204,204);margin:5pt 0in 5pt 4.8pt;padding:0in 0in 0in 6pt">

<div>

<div>

<div>

<p class="MsoNormal">Dear Kurt<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">I have indicated at several occasions that when we refer to an action to be performed by two parties / entities ,we need to indicated " as mutually agreed" The proposed text to be amended to read as below<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><span style="color:rgb(34,34,34);font-family:"Arial",sans-serif;font-size:10pt">The EPDP Team recommends that ICANN Org negotiates and enters into required data protection agreements such as a

<s>Data Processing Agreement (GDPR Art. 28) or</s> Joint Controller Agreement (Art. 26), as appropriate, with the Contracted Parties. In addition to the legally required components of such agreement, the agreement shall specify the responsibilities of the respective

 parties for the processing activities as described therein. Indemnification clauses shall ensure that the risk for certain data processing is borne by either one or multiple parties, "AS MUTUALLY AGREED "  that determine the purpose and means of the processing.

 [<b>Due consideration should be given to the analysis carried out by the EPDP Team in its Final Report.</b>]</span><u></u><u></u></p>

<p class="MsoNormal"><b><span style="color:rgb(34,34,34);font-family:"Arial",sans-serif;font-size:10pt">Action:</span></b><span style="color:rgb(34,34,34);font-family:"Arial",sans-serif;font-size:10pt"> </span><u></u><u></u></p>

<p class="MsoNormal"><span style="color:rgb(34,34,34);font-family:"Arial",sans-serif;font-size:10pt">Please indicate on the mailing list whether you have any concerns about these modifications and/or what other aspects of this recommendation should be discussed.</span><u></u><u></u></p>

<p class="MsoNormal"><span style="color:rgb(34,34,34);font-family:"Arial",sans-serif;font-size:10pt">Deadline: Monday, 28 January, additional email discussion might follow depending on responses. </span><u></u><u></u></p>

<p class="MsoNormal"><span style="color:rgb(34,34,34);font-family:"Arial",sans-serif;font-size:10pt">Please kindly insert that in the text</span><u></u><u></u></p>

<p class="MsoNormal"><span style="color:rgb(34,34,34);font-family:"Arial",sans-serif;font-size:10pt">Regards</span><u></u><u></u></p>

<p class="MsoNormal"><span style="color:rgb(34,34,34);font-family:"Arial",sans-serif;font-size:10pt">Kavouss </span><u></u><u></u></p>

</div>

</div>

</div>

<p class="MsoNormal"> <u></u><u></u></p>

<div>

<div>

<p class="MsoNormal">On Thu, Jan 24, 2019 at 12:23 AM Kurt Pritz <<a href="mailto:kurt@kjpritz.com" target="_blank">kurt@kjpritz.com</a>> wrote:<u></u><u></u></p>

</div>

<blockquote style="border-width:medium medium medium 1pt;border-style:none none none solid;border-color:currentColor currentColor currentColor rgb(204,204,204);margin:5pt 0in 5pt 4.8pt;padding:0in 0in 0in 6pt">

<div>

<div>

<div>

<p class="MsoNormal">Hi Everyone:<u></u><u></u></p>

<p class="MsoNormal">With the goal of progressing on issues via email, the leadership team has considered the discussion provided during the Toronto meeting and suggests the following compromise language

 to address the different positions expressed. (This is a resend of an earlier email with only the subject line of the email updated.)<u></u><u></u></p>

<p class="MsoNormal"><b>Discussion</b> <u></u><u></u></p>

<p class="MsoNormal">The language below is the same language proposed by the small team that reviewed the comments, but modified: <u></u><u></u></p>

<ul type="disc">

<li class="MsoNormal">

as suggested by Diane during the meeting to reflect that GDPR Art 28 is unlikely to apply in this situation, and<u></u><u></u></li><li class="MsoNormal">

by an addition (bracketed & bolded below) to reference the analysis in the Final Report that this team recommends the creation of Joint Controller Agreements, to appropriately influence the negotiation of GDPR-compliant agreements.<u></u><u></u></li></ul>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<p class="MsoNormal">This language is intended to strike a balance between those preferring to leave some flexibility for ICANN Org and Contracted Parties to consider the appropriate agreements and

 those preferring to be specific about the type of agreement to be pursued.<u></u><u></u></p>

<p class="MsoNormal">I understand this is a complex topic that might require additional discussion but it is also possible that we cannot be dispositive on this issue prior to a lengthy contract formation

 discussion that extends well beyond our time frames. For that reason, we are taking the liberty of making this recommendation and hope you accept it in the spirit it is offered.<u></u><u></u></p>

<p class="MsoNormal"><b>Proposed Recommendation #13 Language</b><u></u><u></u></p>

<p class="MsoNormal">The EPDP Team recommends that ICANN Org negotiates and enters into required data protection agreements such as a

<s>Data Processing Agreement (GDPR Art. 28) or</s> Joint Controller Agreement (Art. 26), as appropriate, with the Contracted Parties. In addition to the legally required components of such agreement, the agreement shall specify the responsibilities of the respective

 parties for the processing activities as described therein. Indemnification clauses shall ensure that the risk for certain data processing is borne by either one or multiple parties that determine the purpose and means of the processing. [<b>Due consideration

 should be given to the analysis carried out by the EPDP Team in its Final Report.</b>]<u></u><u></u></p>

<p class="MsoNormal"><b>Action:</b> <u></u><u></u></p>

<p class="MsoNormal">Please indicate on the mailing list whether you have any concerns about these modifications and/or what other aspects of this recommendation should be discussed.<u></u><u></u></p>

<p class="MsoNormal">Deadline: Monday, 28 January, additional email discussion might follow depending on responses. <u></u><u></u></p>

<p class="MsoNormal">Sincerely,<u></u><u></u></p>

<p class="MsoNormal">Kurt<u></u><u></u></p>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

</div>

</div>

<p class="MsoNormal">_______________________________________________<br>

Gnso-epdp-team mailing list<br>

<a href="mailto:Gnso-epdp-team@icann.org" target="_blank">Gnso-epdp-team@icann.org</a><br>

<a href="https://mm.icann.org/mailman/listinfo/gnso-epdp-team" target="_blank">https://mm.icann.org/mailman/listinfo/gnso-epdp-team</a><u></u><u></u></p>

</blockquote>

</div>

<p class="MsoNormal">_______________________________________________<br>

Gnso-epdp-team mailing list<br>

<a href="mailto:Gnso-epdp-team@icann.org" target="_blank">Gnso-epdp-team@icann.org</a><br>

<a href="https://mm.icann.org/mailman/listinfo/gnso-epdp-team" target="_blank">https://mm.icann.org/mailman/listinfo/gnso-epdp-team</a><u></u><u></u></p>

</blockquote>

</div>

<p class="MsoNormal">_______________________________________________<br>

Gnso-epdp-team mailing list<br>

<a href="mailto:Gnso-epdp-team@icann.org" target="_blank">Gnso-epdp-team@icann.org</a><br>

<a href="https://mm.icann.org/mailman/listinfo/gnso-epdp-team" target="_blank">https://mm.icann.org/mailman/listinfo/gnso-epdp-team</a><u></u><u></u></p>

</blockquote>

</div>

<p class="MsoNormal"><br clear="all">

<u></u><u></u></p>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<p class="MsoNormal">-- <u></u><u></u></p>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<div>

<p class="MsoNormal"><b><span style="font-family:"Arial",sans-serif">Emily Taylor</span></b><u></u><u></u></p>

</div>

<p class="MsoNormal" style="margin-bottom:0.25in"><span style="font-family:"Arial",sans-serif">CEO, Oxford Information Labs<br>

</span><i><span style="font-family:"Arial",sans-serif;font-size:9.5pt">MA (Cantab), Solicitor (non-practising), MBA, </span></i><u></u><u></u></p>

<p class="MsoNormal" style="margin-bottom:0.25in"><i><span style="font-family:"Arial",sans-serif;font-size:9.5pt">Associate Fellow, Chatham House; Editor, Journal of Cyber Policy</span></i><u></u><u></u></p>

<p class="MsoNormal" style="margin-bottom:45pt"><span style="font-family:"Arial",sans-serif;font-size:9.5pt">Lincoln House, Pony Road, Oxford OX4 2RD | T: 01865 582885 <br>

E: </span><span style="font-size:9.5pt"><a href="mailto:emily.taylor@oxil.co.uk" target="_blank"><span style="font-family:"Arial",sans-serif">emily.taylor@oxil.co.uk</span></a></span><span style="font-family:"Arial",sans-serif;font-size:9.5pt"> | D: 01865 582811 |

 M: </span><span style="font-size:9.5pt">+44 7540 049322</span><u></u><u></u></p>

<div style="margin-bottom:45pt">

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<p class="MsoNormal" style="margin-bottom:45pt"><a href="http://explore.tandfonline.com/cfp/pgas/rcyb-cfp-2017" target="_blank"><span style="color:windowtext;text-decoration:none"><span style="color:blue;font-size:9.5pt"><img width="199" height="81" id="gmail-m_-4658015668159176615_x0000_i1026" style="width: 2.072in; height: 0.843in;" alt="https://drive.google.com/a/oxil.co.uk/uc?id=1-3eDLYPfLpkj30Jc34NcbkD1xt8NQpU8&export=download" src="https://drive.google.com/a/oxil.co.uk/uc?id=1-3eDLYPfLpkj30Jc34NcbkD1xt8NQpU8&export=download" border="0"></span></span></a><a href="http://explore.tandfonline.com/cfp/pgas/rcyb-cfp-2017" target="_blank"><span style="color:windowtext;text-decoration:none"><span style="color:blue;font-size:9.5pt"><img width="420" height="63" id="gmail-m_-4658015668159176615_x0000_i1025" style="width: 4.375in; height: 0.656in;" alt="https://docs.google.com/a/oxil.co.uk/uc?id=0B7sS_6djDxsHNm92d21jM21HMDQ&export=download" src="https://docs.google.com/a/oxil.co.uk/uc?id=0B7sS_6djDxsHNm92d21jM21HMDQ&export=download" border="0"></span></span></a><u></u><u></u></p>

<p class="MsoNormal" style="margin-bottom:45pt"> <u></u><u></u></p>

<p class="MsoNormal" style="margin-bottom:12pt"><span style="color:rgb(170,170,170);font-family:"Arial",sans-serif;font-size:12pt">Registered office: Lincoln House, 4 Pony Road, Oxford OX4 2RD. Registered in England and Wales No. 4520925.

 VAT No. 799526263<br>

<br>

.<br>

<br>

<br>

<br>

<br>

</span><u></u><u></u></p>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

<p class="MsoNormal">_______________________________________________<br>

Gnso-epdp-team mailing list<br>

<a href="mailto:Gnso-epdp-team@icann.org" target="_blank">Gnso-epdp-team@icann.org</a><br>

<a href="https://mm.icann.org/mailman/listinfo/gnso-epdp-team" target="_blank">https://mm.icann.org/mailman/listinfo/gnso-epdp-team</a><u></u><u></u></p>

</div>

</blockquote>

</div>

<p class="MsoNormal"><br>

<br>

<br>

<u></u><u></u></p>

</div>

</div>

_______________________________________________<br>

Gnso-epdp-team mailing list<br>

<a href="mailto:Gnso-epdp-team@icann.org" target="_blank">Gnso-epdp-team@icann.org</a><br>

<a href="https://mm.icann.org/mailman/listinfo/gnso-epdp-team" target="_blank" rel="noreferrer">https://mm.icann.org/mailman/listinfo/gnso-epdp-team</a></blockquote></div>