<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=us-ascii"><meta name=Generator content="Microsoft Word 15 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri",sans-serif;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link="#0563C1" vlink="#954F72"><div class=WordSection1><p class=MsoNormal>Dear Leon et al:<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Following up on the first round of answers from Bird & Bird and the F2F, SSAC would like to following to be reviewed by the legal sub-team and sent to Bird & Bird.  We’ve tried to make sure that these are new questions and are not duplicative of info we got from the first batch.  The SSAC team feels these are important questions to ask per the current work and the charter.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>BALANCING, AND RIGHT TO OBJECT:<o:p></o:p></p><p class=MsoNormal>                The defense of networks, the prevention of fraud, resisting cybercrime, and indicating possible criminal acts or threats to public security to a competent authority are tasks performed by third parties who are not law enforcement or government agencies. Such parties have legitimate interests in making data requests under GDPR, notably under Article 6(1)f; see also Recitals 47, 49, and 50. We are considering balancing where the data subject may be infringing upon the rights of others, and the safety of third-party requestors who deal with cybercrime.  The third-party purposes above also require timely responses to data requests.<o:p></o:p></p><p class=MsoNormal>Assume that registrars notify their registrants up-front of the purposes of data collection, under what circumstances the data may be released, the right to object, etc.  <o:p></o:p></p><p class=MsoNormal>a.            When a data controller receives a legitimate third-party data request, under what circumstances is the controller required under GDPR to explicitly notify the data subject that a request has occurred, and/or that it has provided data to a third party? <o:p></o:p></p><p class=MsoNormal>b.            Under what circumstances do data subjects have the right to object under GDPR  to the release of their data to third parties?  Per Bird & Bird's Question 3 memo, ICANN's use cases do not involve profiling or highly sensitive data categories (race, political affiliation, etc.), and "a decision to release information via the SSAD is would not in itself have legal effect on the data subject."<o:p></o:p></p><p class=MsoNormal>c.             Are data controllers ever required to notify the data subject of the <i>identity</i> of a third-party requestor?<o:p></o:p></p><p class=MsoNormal>d.            Please confirm: when a data subject objects to processing, the decision to release the data resides with the data controller? <o:p></o:p></p><p class=MsoNormal>e.            If a registrant must be notified of a request and then be given the opportunity to object, please explain how this process can be reconciled with or integrated into a SSAD that is designed to provide timely data exchange when possible and does not involve "a decision based solely on automated processing". (See Bird & Bird's Question 3 memo, paragraph 1.12.)  <o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>LEGAL VERSUS NATURAL PERSONS:<o:p></o:p></p><p class=MsoNormal>Registration data submitted by legal person registrants may contain the data of natural persons.  For example the contact data they provide may include a natural person's name and email address. Legal person registrants also have the ability to publish non-personally identifiable contact data ("admin@companyname.com") should they desire.<o:p></o:p></p><p class=MsoNormal>If registrants are required to self-identify as either a natural or legal person, then:<o:p></o:p></p><p class=MsoNormal>a.            Can registrars rely on that self-identification?  <o:p></o:p></p><p class=MsoNormal>b.            Can registrars make the contact data submitted by legal person registrants publicly available in RDS (WHOIS), by stating that it is the responsibility of a legal person registrant to obtain consent from any natural person whose data it submits?  <o:p></o:p></p><p class=MsoNormal>Please state any considerations, such as the ability of the registrant to correct its data.<o:p></o:p></p><p class=MsoNormal>As part of the analysis, please examine the policies of the Internet protocol (IP address) registries RIPE NCC (the registry in Europe, based in the Netherlands) and ARIN (the registry in North America, which has customer contacts in Europe).  These registries publish the data of natural persons who are subject to the GDPR, publicly via their WHOIS services, by placing the choice and responsibility on their registrants, who are legal persons.  IP addresses and domain names are two sides of the same coin, and these IP address registries state mission justifications and collection purposes similar to those in ICANN's Temporary Specification. See:<o:p></o:p></p><p class=MsoNormal>1) “How We're Implementing the GDPR: Legal Grounds for Lawful Personal Data Processing and the RIPE Database”:<o:p></o:p></p><p class=MsoNormal>https://labs.ripe.net/Members/Athina/gdpr-legal-grounds-for-lawful-personal-data-processing-and-the-ripe-database <o:p></o:p></p><p class=MsoNormal>2)  “How We're Implementing the GDPR: The RIPE Database”: https://labs.ripe.net/Members/Athina/how-we-re-implementing-the-gdpr-the-ripe-database<o:p></o:p></p><p class=MsoNormal>3) "Personal Data Privacy Considerations At ARIN": https://teamarin.net/2018/03/20/personal-data-privacy-considerations-at-arin/<o:p></o:p></p><p class=MsoNormal>4) ARIN "Data Accuracy": https://www.arin.net/reference/materials/accuracy/<o:p></o:p></p><p class=MsoNormal>5) ARIN Registration Services Agreement, paragraph 3: https://www.arin.net/about/corporate/agreements/rsa.pdf<o:p></o:p></p><p class=MsoNormal>6) ARIN Privacy Policy: https://www.arin.net/about/privacy/<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><o:p> </o:p></p></div></body></html>