<div>Thank you for highlighting this important and useful contribution, Volker. <br></div><div><br></div><div class="protonmail_signature_block"><div class="protonmail_signature_block-user"><div>-- Ayden <br></div></div><div class="protonmail_signature_block-proton protonmail_signature_block-empty"><br></div></div><div><br></div><div>‐‐‐‐‐‐‐ Original Message ‐‐‐‐‐‐‐<br></div><div> On Thursday, April 18, 2019 4:37 PM, Volker Greimann <vgreimann@key-systems.net> wrote:<br></div><div> <br></div><blockquote class="protonmail_quote" type="cite"><p>Dear fellow members, <br></p><p>the European Commission just provided very valuable and
      constructive insights into our reports that we would be
      well-advised to take into account in Phase 2:<br></p><p><a href="https://mm.icann.org/pipermail/comments-epdp-recs-04mar19/attachments/20190417/6f0a65b2/CommentsontheTemporarySpecificationforgTLDRegistrationDataPolicyRecommendations-0001.pdf">https://mm.icann.org/pipermail/comments-epdp-recs-04mar19/attachments/20190417/6f0a65b2/CommentsontheTemporarySpecificationforgTLDRegistrationDataPolicyRecommendations-0001.pdf</a><br></p><p>"<i>The European Commission recognises this (the recommendation
        of purposes and association with processing activities) as a <b>long
          due and important step forward</b> in the ongoing reform of
        the WHOIS system. </i><i>Having a clear definition of the
        purposes for the processing of the data in the WHOIS system is
        an <b>essential pre-requisite</b> for ensuring a GDPR-compliant
        system.</i>"<br></p><p>"<i>the overall model would benefit from <b>making even more
          explicit the links between the purposes for processing
          personal data and the specific processing activity(ies) as
          well as the specific personal data items.</b></i>"<br></p><p>"<i>Accordingly, the European Commission considers that <b>the
          purposes</b> for processing WHOIS personal data by ICANN
        and/or the contracted parties <b>should not include enabling
          access by third parties</b>. This is also at the core of the
        concerns expressed for some time by the DPAs and the European
        Data Protection Board (EDPB), which have clarified that the
        purposes of ICANN and contracted parties must <b>not be
          conflated with the interests of third parties</b> in accessing
        registration data.</i>"<br></p><p>"<i>Notwithstanding the above, the European Commission would like
        to acknowledge that maintaining such a distinction does not per
        se limit WHOIS data access by/disclosure to third parties, but
        merely differentiates between<b> ICANN’s own purposes</b> (e.g.
        maintaining the security, stability and resilience of the Domain
        Name System) which are capable of justifying collection of the
        data in the first place, and subsequent processing (enabling
        access to and disclosing WHOIS data) for legitimate purposes
        pursued by third parties.</i>"<br></p><p>"<i>In the Report, Article 6(1) (f) of the GDPR is often invoked.
        The European Commission would like to recall that legitimate
        interest is one of the six possible legal bases provided under
        the GDPR1. (...) Specifically, the legitimate interest<b> needs
          to outweigh</b> the interest of the individual concerned.
        Given that there is an interference with the fundamental right
        to data protection of an individual, a balancing of interests is
        necessary to properly justify the reasons for such an
        interference. (...) The <b>balancing is </b>thus <b>a
          responsibility</b> (<b>not a prerogative</b>) of the data
        controller.</i>"<br></p><p>"<i><b>Third parties seeking access also need a legal basis for
          processing the data</b>. For instance, an IPR rightholder
        might have a legitimate interest to gain access to WHOIS
        personal data in order to ensure his/her IP right is protected
        and not abused. The existence of <b>such a right needs to be
          substantiated and the necessity/proportionality of accessing
          that data ascertained</b>. This IPR rightholder might rely on
        Art. 6(1) (f).</i>"<br></p><p>"<i><b>GDPR legitimate interest cannot be used as a legal basis
          for data processing by public authorities</b></i>".<br></p><p>"<i>With regard to the various processing activities involved in
        the WHOIS system, the issue of whether they involve an <b>international
          data transfer </b>under the GDPR should be considered.</i> (...) it is also necessary to identify <b>an appropriate legal
        ground </b>for the international transfer"<br></p><p>"<i>the current situation is affecting EU Member State <b>authorities’
          ability</b> to obtain legitimate access to this data,
        necessary to enforce the law online, including in relation to
        the fight against cybercrime</i>"<br></p><p>All this seems to point in a very clear direction for our path
      ahead with regard to the disclosure model we will be working on.
      More on that when we get to this part of our deliberations. <br></p><p><br></p><div><div>-- <br></div><div> Volker A. Greimann<br></div><div> General Counsel and Policy Manager<br></div><div> <b>KEY-SYSTEMS GMBH</b><br></div><div> <br></div><div> T: +49 6894 9396901<br></div><div> M: +49 6894 9396851<br></div><div> F: +49 6894 9396851<br></div><div> W: <a href="http://www.key-systems.net">www.key-systems.net</a><br></div><div> <br></div><div> Key-Systems GmbH is a company registered at the local court of
      Saarbruecken, Germany with the registration no. HR B 18835<br></div><div> CEO: Alexander Siffrin<br></div><div> <br></div><div> Part of the CentralNic Group PLC (LON: CNIC) a company registered
      in England and Wales with company number 8576358.<br></div></div></blockquote><div><br></div>