<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<!--[if !mso]><style>v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style><![endif]--><style><!--
/* Font Definitions */
@font-face
        {font-family:Helvetica;
        panose-1:2 11 6 4 2 2 2 2 2 4;}
@font-face
        {font-family:Wingdings;
        panose-1:5 0 0 0 0 0 0 0 0 0;}
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Georgia;
        panose-1:2 4 5 2 5 4 5 2 3 3;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:Garamond;
        panose-1:2 2 4 4 3 3 1 1 8 3;}
@font-face
        {font-family:Roboto;
        panose-1:2 0 0 0 0 0 0 0 0 0;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman",serif;}
p.MsoFootnoteText, li.MsoFootnoteText, div.MsoFootnoteText
        {mso-style-priority:99;
        mso-style-link:"Footnote Text Char";
        margin-top:0in;
        margin-right:0in;
        margin-bottom:0in;
        margin-left:5.65pt;
        margin-bottom:.0001pt;
        text-indent:-5.65pt;
        font-size:8.0pt;
        font-family:"Georgia",serif;
        mso-fareast-language:EN-GB;}
span.MsoFootnoteReference
        {mso-style-priority:99;
        vertical-align:super;}
p.MsoBodyText, li.MsoBodyText, div.MsoBodyText
        {mso-style-priority:99;
        mso-style-link:"Body Text Char";
        margin-top:0in;
        margin-right:0in;
        margin-bottom:6.0pt;
        margin-left:0in;
        font-size:12.0pt;
        font-family:"Times New Roman",serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p
        {mso-style-priority:99;
        mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:12.0pt;
        font-family:"Times New Roman",serif;}
p.msonormal0, li.msonormal0, div.msonormal0
        {mso-style-name:msonormal;
        mso-style-priority:99;
        mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:12.0pt;
        font-family:"Times New Roman",serif;}
span.FootnoteTextChar
        {mso-style-name:"Footnote Text Char";
        mso-style-priority:99;
        mso-style-link:"Footnote Text";
        font-family:"Georgia",serif;
        mso-fareast-language:EN-GB;}
span.EmailStyle22
        {mso-style-type:personal;
        font-family:"Calibri",sans-serif;
        color:#1F497D;}
span.EmailStyle23
        {mso-style-type:personal;
        font-family:"Calibri",sans-serif;
        color:#1F497D;}
span.EmailStyle24
        {mso-style-type:personal;
        font-family:"Calibri",sans-serif;
        color:#1F497D;}
span.EmailStyle25
        {mso-style-type:personal-reply;
        font-family:"Calibri",sans-serif;
        color:#1F497D;}
p.BBHeading1, li.BBHeading1, div.BBHeading1
        {mso-style-name:"B&B Heading 1";
        margin-top:0in;
        margin-right:0in;
        margin-bottom:12.0pt;
        margin-left:0in;
        text-align:justify;
        text-indent:0in;
        page-break-after:avoid;
        mso-list:l1 level1 lfo1;
        font-size:11.0pt;
        font-family:"Georgia",serif;
        text-transform:uppercase;
        font-weight:bold;}
p.BBClause2, li.BBClause2, div.BBClause2
        {mso-style-name:"B&B Clause 2";
        margin-top:0in;
        margin-right:0in;
        margin-bottom:12.0pt;
        margin-left:0in;
        text-align:justify;
        text-indent:0in;
        mso-list:l1 level2 lfo1;
        font-size:11.0pt;
        font-family:"Georgia",serif;}
p.BBClause3, li.BBClause3, div.BBClause3
        {mso-style-name:"B&B Clause 3";
        mso-style-priority:29;
        margin-top:0in;
        margin-right:0in;
        margin-bottom:12.0pt;
        margin-left:0in;
        text-align:justify;
        text-indent:0in;
        mso-list:l1 level3 lfo1;
        font-size:11.0pt;
        font-family:"Georgia",serif;}
p.BBClause4, li.BBClause4, div.BBClause4
        {mso-style-name:"B&B Clause 4";
        mso-style-priority:29;
        margin-top:0in;
        margin-right:0in;
        margin-bottom:12.0pt;
        margin-left:0in;
        text-align:justify;
        text-indent:0in;
        mso-list:l1 level4 lfo1;
        font-size:11.0pt;
        font-family:"Georgia",serif;}
p.BBClause5, li.BBClause5, div.BBClause5
        {mso-style-name:"B&B Clause 5";
        margin-top:0in;
        margin-right:0in;
        margin-bottom:12.0pt;
        margin-left:0in;
        text-align:justify;
        text-indent:0in;
        mso-list:l1 level5 lfo1;
        font-size:11.0pt;
        font-family:"Georgia",serif;}
p.BBClause6, li.BBClause6, div.BBClause6
        {mso-style-name:"B&B Clause 6";
        margin-top:0in;
        margin-right:0in;
        margin-bottom:12.0pt;
        margin-left:0in;
        text-align:justify;
        text-indent:0in;
        mso-list:l1 level6 lfo1;
        font-size:11.0pt;
        font-family:"Georgia",serif;}
p.BBClause7, li.BBClause7, div.BBClause7
        {mso-style-name:"B&B Clause 7";
        mso-style-priority:29;
        margin-top:0in;
        margin-right:0in;
        margin-bottom:12.0pt;
        margin-left:0in;
        text-align:justify;
        text-indent:0in;
        mso-list:l1 level7 lfo1;
        font-size:11.0pt;
        font-family:"Georgia",serif;}
p.BBClause8, li.BBClause8, div.BBClause8
        {mso-style-name:"B&B Clause 8";
        mso-style-priority:29;
        margin-top:0in;
        margin-right:0in;
        margin-bottom:12.0pt;
        margin-left:0in;
        text-align:justify;
        text-indent:0in;
        mso-list:l1 level8 lfo1;
        font-size:11.0pt;
        font-family:"Georgia",serif;}
p.BBClause9, li.BBClause9, div.BBClause9
        {mso-style-name:"B&B Clause 9";
        mso-style-priority:29;
        margin-top:0in;
        margin-right:0in;
        margin-bottom:12.0pt;
        margin-left:0in;
        text-align:justify;
        text-indent:0in;
        mso-list:l1 level9 lfo1;
        font-size:11.0pt;
        font-family:"Georgia",serif;}
span.BodyTextChar
        {mso-style-name:"Body Text Char";
        mso-style-priority:99;
        mso-style-link:"Body Text";
        font-family:"Calibri",sans-serif;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
/* Page Definitions */
@page
        {mso-endnote-separator:url("cid:header.htm\@01D73248.9A67D890") es;
        mso-endnote-continuation-separator:url("cid:header.htm\@01D73248.9A67D890") ecs;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
/* List Definitions */
@list l0
        {mso-list-id:651956579;
        mso-list-template-ids:2085411318;}
@list l0:level1
        {mso-level-start-at:14;
        mso-level-text:%1;
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        margin-left:19.5pt;
        text-indent:-19.5pt;}
@list l0:level2
        {mso-level-start-at:2;
        mso-level-text:"%1\.%2";
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        margin-left:19.5pt;
        text-indent:-19.5pt;}
@list l0:level3
        {mso-level-text:"%1\.%2\.%3";
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        margin-left:.5in;
        text-indent:-.5in;}
@list l0:level4
        {mso-level-text:"%1\.%2\.%3\.%4";
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        margin-left:.75in;
        text-indent:-.75in;}
@list l0:level5
        {mso-level-text:"%1\.%2\.%3\.%4\.%5";
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        margin-left:.75in;
        text-indent:-.75in;}
@list l0:level6
        {mso-level-text:"%1\.%2\.%3\.%4\.%5\.%6";
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        margin-left:1.0in;
        text-indent:-1.0in;}
@list l0:level7
        {mso-level-text:"%1\.%2\.%3\.%4\.%5\.%6\.%7";
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        margin-left:1.0in;
        text-indent:-1.0in;}
@list l0:level8
        {mso-level-text:"%1\.%2\.%3\.%4\.%5\.%6\.%7\.%8";
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        margin-left:1.25in;
        text-indent:-1.25in;}
@list l0:level9
        {mso-level-text:"%1\.%2\.%3\.%4\.%5\.%6\.%7\.%8\.%9";
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        margin-left:1.25in;
        text-indent:-1.25in;}
@list l1
        {mso-list-id:1009530459;
        mso-list-template-ids:-1939287020;
        mso-list-style-priority:99;
        mso-list-style-name:"Numbering Main";}
@list l1:level1
        {mso-level-style-link:"B&B Heading 1";
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.5in;}
@list l1:level2
        {mso-level-style-link:"B&B Clause 2";
        mso-level-text:"%1\.%2";
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        margin-left:.5in;
        text-indent:-.5in;}
@list l1:level3
        {mso-level-style-link:"B&B Clause 3";
        mso-level-text:"%1\.%2\.%3";
        mso-level-tab-stop:81.1pt;
        mso-level-number-position:left;
        margin-left:81.1pt;
        text-indent:-45.1pt;}
@list l1:level4
        {mso-level-style-link:"B&B Clause 4";
        mso-level-text:"%1\.%2\.%3\.%4";
        mso-level-tab-stop:134.95pt;
        mso-level-number-position:left;
        margin-left:134.95pt;
        text-indent:-53.85pt;}
@list l1:level5
        {mso-level-number-format:alpha-lower;
        mso-level-style-link:"B&B Clause 5";
        mso-level-text:"\(%5\)";
        mso-level-tab-stop:134.95pt;
        mso-level-number-position:left;
        margin-left:134.95pt;
        text-indent:-53.85pt;}
@list l1:level6
        {mso-level-number-format:roman-lower;
        mso-level-style-link:"B&B Clause 6";
        mso-level-text:"\(%6\)";
        mso-level-tab-stop:161.9pt;
        mso-level-number-position:left;
        margin-left:161.9pt;
        text-indent:-26.95pt;}
@list l1:level7
        {mso-level-number-format:alpha-upper;
        mso-level-style-link:"B&B Clause 7";
        mso-level-text:"\(%7\)";
        mso-level-tab-stop:195.6pt;
        mso-level-number-position:left;
        margin-left:195.6pt;
        text-indent:-33.7pt;}
@list l1:level8
        {mso-level-number-format:roman-upper;
        mso-level-style-link:"B&B Clause 8";
        mso-level-text:"\(%8\)";
        mso-level-tab-stop:229.35pt;
        mso-level-number-position:left;
        margin-left:229.35pt;
        text-indent:-33.75pt;}
@list l1:level9
        {mso-level-number-format:roman-lower;
        mso-level-style-link:"B&B Clause 9";
        mso-level-tab-stop:263.1pt;
        mso-level-number-position:left;
        margin-left:263.1pt;
        text-indent:-33.75pt;}
ol
        {margin-bottom:0in;}
ul
        {margin-bottom:0in;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Further legal support from TwoBirds<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>
<p class="BBClause2" style="margin-left:19.5pt;text-indent:-19.5pt;mso-list:l0 level2 lfo3">
<![if !supportLists]><span lang="EN-GB"><span style="mso-list:Ignore">14.2<span style="font:7.0pt "Times New Roman"">          
</span></span></span><![endif]><span lang="EN-GB">If personal data is erroneously included in published Registration Data, it would in this scenario occur despite substantial (VSC) steps taken by the Contracted Parties, and would be primarily attributable to
 the actions/omissions of the Registrant.  This is likely to be taken into account by data subjects, data protection supervisory authorities, and courts.<o:p></o:p></span></p>
<p class="BBClause2" style="margin-left:19.5pt;text-indent:-19.5pt;mso-list:l0 level2 lfo3">
<![if !supportLists]><span lang="EN-GB"><span style="mso-list:Ignore">14.3<span style="font:7.0pt "Times New Roman"">          
</span></span></span><![endif]><span lang="EN-GB">The data in question is likely to be low sensitivity.  The scenario being envisaged here (mistaken inclusion of personal data in published Registration Data) seems to be most likely to occur when a legal entity
 (e.g. a company or non-profit organisation) is registering / maintaining its own domains.  In those scenarios, we assume the personal data that could be disclosed would ordinarily relate to an employee’s work details (e.g. a company email address), not an
 individual’s private life.  Although the GDPR confers protection even in the workplace, the data in question here may arguably be less capable of causing harm to an individual than data relating to the data subject’s private life.<a style="mso-footnote-id:ftn1" href="#_ftn1" name="_ftnref1" title=""><span class="MsoFootnoteReference"><span class="MsoFootnoteReference"><span lang="EN-GB" style="font-size:11.0pt;font-family:"Georgia",serif;mso-fareast-language:EN-US">[1]</span></span></span></a>  
<o:p></o:p></span></p>
<p class="BBClause2" style="margin-left:19.5pt;text-indent:-19.5pt;mso-list:l0 level2 lfo3">
<![if !supportLists]><span lang="EN-GB"><span style="mso-list:Ignore">14.4<span style="font:7.0pt "Times New Roman"">          
</span></span></span><![endif]><span lang="EN-GB">In more sensitive cases (e.g. disclosing that a person works for a company in a sensitive or “embarrassing” sector), a Registrant would be putting itself at serious risk of complaints from its own employees. 
 Registrants are therefore already incentivised to avoid errors that could have serious consequences for their own staff.</span><span lang="EN-GB" style="font-size:12.0pt;font-family:"Times New Roman",serif">
</span><span lang="EN-GB"><o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>
<div>
<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">
<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> Mueller, Milton L
<br>
<b>Sent:</b> Thursday, April 15, 2021 10:34 PM<br>
<b>To:</b> gnso-epdp-team@icann.org<br>
<b>Subject:</b> RE: [Gnso-epdp-team] On the proposed guidance<o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Some legal support for my argument below from Bird & Bird:<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal" style="text-indent:.5in"><a name="_Ref68112068">There may even be an argument, based on EU Court of Justice (“CJEU”) caselaw, that this is a situation where Contracted Parties should generally only be liable should they fail to properly
 address a complaint about the data – i.e. only once they are put on notice about the alleged illegality and thereby have an opportunity to “verify” the merits of the complaint.</a><a style="mso-footnote-id:ftn2" href="#_ftn2" name="_ftnref2" title=""><span style="mso-bookmark:_Ref68112068"><span class="MsoFootnoteReference">[1]</span></span></a><span style="mso-bookmark:_Ref68112068"> 
 This bears some parallels to other EU liability regimes for operators of services online that process – unwittingly – content that violates EU law.</span><a style="mso-footnote-id:ftn3" href="#_ftn3" name="_ftnref3" title=""><span style="mso-bookmark:_Ref68112068"><span class="MsoFootnoteReference">[2]</span></span></a><span style="mso-bookmark:_Ref68112068"> 
 As discussed at footnote 6 below, this is arguably recognised in (at least some) decisions of GDPR supervisory authorities.</span><o:p></o:p></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">In other words, if personal data finds its way into a published registration record that should not be there, an objection can be lodged with the registrar and
 they can verify the merits and remove the data. <o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Dr. Milton L Mueller<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Georgia Institute of Technology<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">School of Public Policy<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><a href="https://internetgovernance.org/"><span style="color:#0563C1">Internet Governance Project</span></a>
<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>
<div>
<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">
<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> Mueller, Milton L
<br>
<b>Sent:</b> Thursday, April 15, 2021 9:14 PM<br>
<b>To:</b> <a href="mailto:gnso-epdp-team@icann.org">gnso-epdp-team@icann.org</a><br>
<b>Subject:</b> FW: [Gnso-epdp-team] On the proposed guidance<o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">>" Everyone who is named in a role in a registration must have already been informed
<o:p></o:p></p>
<p class="MsoNormal">> and consented to all of the conditions involved in the role. " This is the ideal. Sadly, this ideal
<o:p></o:p></p>
<p class="MsoNormal">> is very often not the case.<span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Whoa.
<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Of course, Volker, it is possible that a person making a registration for a legal person won’t do it properly. But it is absurd to expect a registrar to be legally
 responsible for that. How can the registrar be liable for privacy breaches made by the registrant? Indeed, I can’t understand why gaining the consent of the administrative assistant of the xyz department to have their name listed in the whois is a matter for
 DNS/ICANN policy at all. ICANN policy simply needs to inform registrants that under certain conditions the data will be published.
<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Let’s take an extreme case – suppose a nasty IT manager in a major corporation puts the name, email address and (what the heck) a revenge porn photo of her ex-husband
 in her company’s registration record. Are you telling me the registrar would be considered responsible for that breach of privacy? Not the nasty IT manager?
<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Show me a legal case in which that kind of liability has been assigned. I doubt you can, but I await the data from CP lawyers who have been involved in these
 cases. I do know of several cases in which agents for a corporation wrongly listed themselves as the technical and administrative contact, making it possible for them to hijack the name. The registrar was NEVER held liable for that.
<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Reminder: We had to reform Whois/RDS policy because ICANN,
<b>as a matter of contractual obligation, required registrars to publish sensitive PII of any and every Registrant</b>. Once we have removed that obligation, and once we have given registrants knowledge of the conditions under which the data in the record should
 be published, I don’t see why registrars need to worry about some corporation listing the personal email address of someone in their IT department.
<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">So if this alleged risk is being cited to scare us away from allowing registrants to self-designate as legal or natural, it is a pretty weak case, imho.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">--MM
<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> Gnso-epdp-team <<a href="mailto:gnso-epdp-team-bounces@icann.org">gnso-epdp-team-bounces@icann.org</a>>
<b>On Behalf Of </b>Volker Greimann via Gnso-epdp-team<br>
<b>Sent:</b> Thursday, April 15, 2021 10:10 AM<br>
<b>To:</b> Steve Crocker <<a href="mailto:steve@shinkuro.com">steve@shinkuro.com</a>><br>
<b>Cc:</b> <a href="mailto:gnso-epdp-team@icann.org">gnso-epdp-team@icann.org</a><br>
<b>Subject:</b> Re: [Gnso-epdp-team] On the proposed guidance<o:p></o:p></span></p>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<div>
<p class="MsoNormal">Employees are named by other employees without their knowledge, or remain named long after they leave. From the experience as a registrar dealing with registrants every day, this ideal is an assumption that does not survive contact with
 reality. <o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<div>
<div>
<div>
<div>
<p class="MsoNormal">-- <br>
Volker A. Greimann<br>
General Counsel and Policy Manager<br>
<b>KEY-SYSTEMS GMBH</b><br>
<br>
T: +49 6894 9396901<br>
M: +49 6894 9396851<br>
F: +49 6894 9396851<br>
W: <a href="http://www.key-systems.net/" target="_blank"><span style="color:#1155CC">www.key-systems.net</span></a><br>
<br>
Key-Systems GmbH is a company registered at the local court of Saarbruecken, Germany with the registration no. HR B 18835<br>
CEO: Oliver Fries and Robert Birkner<br>
<br>
Part of the CentralNic Group PLC (LON: CNIC) a company registered in England and Wales with company number 8576358.<br>
<br>
<span style="font-size:10.5pt;font-family:Roboto;background:#F8F9FA">This email and any files transmitted are confidential and intended only for the person(s) directly addressed. If you are not the intended recipient, any use, copying, transmission, distribution,
 or other forms of dissemination is strictly prohibited. If you have received this email in error, please notify the sender immediately and permanently delete this email with any files that may be attached.</span><o:p></o:p></p>
</div>
</div>
</div>
</div>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<div>
<p class="MsoNormal">On Thu, Apr 15, 2021 at 3:36 PM Steve Crocker via Gnso-epdp-team <<a href="mailto:gnso-epdp-team@icann.org">gnso-epdp-team@icann.org</a>> wrote:<o:p></o:p></p>
</div>
<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-top:5.0pt;margin-right:0in;margin-bottom:5.0pt">
<div>
<div>
<p class="MsoNormal"><span style="font-size:18.0pt;font-family:"Garamond",serif">Laureen,<o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:18.0pt;font-family:"Garamond",serif"><o:p> </o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:18.0pt;font-family:"Garamond",serif">Thanks for your note.  With respect to the details under legal person, we believe the issue of consent should be moot.  Everyone who is named in a role in a registration must have
 already been informed and consented to all of the conditions involved in the role.  This is a prerequisite for having a working system and is not specific to meeting a privacy regulation.  The fact that this requirement is not specified in the existing contractual
 documentation is an error and needs to be rectified.<o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:18.0pt;font-family:"Garamond",serif"><o:p> </o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:18.0pt;font-family:"Garamond",serif">Steve<o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:18.0pt;font-family:"Garamond",serif"><o:p> </o:p></span></p>
</div>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<div>
<p class="MsoNormal">On Thu, Apr 15, 2021 at 6:28 AM Kapin, Laureen via Gnso-epdp-team <<a href="mailto:gnso-epdp-team@icann.org" target="_blank">gnso-epdp-team@icann.org</a>> wrote:<o:p></o:p></p>
</div>
<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-top:5.0pt;margin-right:0in;margin-bottom:5.0pt">
<div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060">I think we share common ground on many key issues and I would like to build on the many helpful inputs
 received as to what would be advisable. </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060">Goal</span></b><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060">: publish
 non-personal, non-protected data to the greatest extent permissible under the GDPR and within low legal risks to data controllers and processors.  Note, the description below does
<i>not </i>fully detail the advised safeguards which B&B has documented and which we’ve adopted in our prior input because my impression is that we generally agree that the safeguards are prudent.  This description merely seeks to identify the key steps that
 must be taken to ensure that personal data is identified and protected and non-personal data is published.  I also highlight the addition of a potential additional safeguard – Confirmation.  I think this process incorporates what we’ve discussed and inputs
 received and could form a useful framework for discussion. </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060">Note:</span></b><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060"> </span></b><o:p></o:p></p>
<p><span style="font-size:14.0pt;font-family:Wingdings;color:#002060">n</span><span style="font-size:7.0pt;color:#002060"> 
</span><b><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060">New Registrations:
</span></b><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060">This process applies to new registrations (Steve C. has some useful thoughts on how to deal with existing Registrations)
</span><o:p></o:p></p>
<p><span style="font-size:14.0pt;font-family:Wingdings;color:#002060">n</span><span style="font-size:7.0pt;color:#002060"> 
</span><b><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060">Publish:
</span></b><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060">When I use the word “publish,” I mean made public directly; not via the SSAD. 
</span><o:p></o:p></p>
<p><span style="font-size:14.0pt;font-family:Wingdings;color:#002060">n</span><span style="font-size:7.0pt;color:#002060"> 
</span><b><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060">Flexibility:
</span></b><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060">Based on input from our Registrar colleagues, we should permit flexibility for how these steps are implemented to account for the varied business models in place. 
</span><o:p></o:p></p>
<p><span style="font-size:14.0pt;font-family:Wingdings;color:#002060">n</span><span style="font-size:7.0pt;color:#002060"> 
</span><b><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060">Timing:
</span></b><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060">All identifications need to take place at the time of registration or shortly thereafter (w/in the 13-day accuracy verification window) and no registration data should be
 published until the identification, consent, and confirmation process concludes</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060">Process:</span></b><o:p></o:p></p>
<p><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060">1.</span><span style="font-size:7.0pt;color:#002060">  
</span><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060">A threshold identification of the registrant as a natural or legal person;</span><o:p></o:p></p>
<p style="margin-left:1.0in"><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060">a.</span><span style="font-size:7.0pt;color:#002060">  
</span><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060">If natural, registration info redacted</span><o:p></o:p></p>
<p style="margin-left:1.0in"><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060"> </span><o:p></o:p></p>
<p style="margin-left:1.0in"><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060">b.</span><span style="font-size:7.0pt;color:#002060">  
</span><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060">If legal, further inquiries and advisories (safeguards):</span><o:p></o:p></p>
<p style="margin-left:1.5in"><span style="font-size:7.0pt;color:#002060">                                        
</span><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060">i.</span><span style="font-size:7.0pt;color:#002060">   
</span><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060">if the legal person identifies that it has a protected status under the GDPR</span><o:p></o:p></p>
<p style="margin-left:2.0in"><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060">1.</span><span style="font-size:7.0pt;color:#002060">  
</span><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060">registration info redacted</span><o:p></o:p></p>
<p style="margin-left:2.0in"><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060"> </span><o:p></o:p></p>
<p style="margin-left:1.5in"><span style="font-size:7.0pt;color:#002060">                                       
</span><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060">ii.</span><span style="font-size:7.0pt;color:#002060">   
</span><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060">If the legal person registration contains personal data, advise of consequences (publication)</span><o:p></o:p></p>
<p style="margin-left:2.0in"><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060">1.</span><span style="font-size:7.0pt;color:#002060">  
</span><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060">Obtain necessary consents</span><o:p></o:p></p>
<p style="margin-left:2.0in"><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060">2.</span><span style="font-size:7.0pt;color:#002060">  
</span><i><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060">Possible additional safeguard</span></i><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060">:
<i>Ask Registrant to Confirm any identification that will result in publication of contact data
</i>(akin to confirming a flight reservation or stock trade)</span><o:p></o:p></p>
<p style="margin-left:2.5in"><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060">a.</span><span style="font-size:7.0pt;color:#002060">  
</span><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060">Publish
</span><o:p></o:p></p>
<p style="margin-left:2.0in"><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060">3.</span><span style="font-size:7.0pt;color:#002060">  
</span><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060">If no consent</span><o:p></o:p></p>
<p style="margin-left:2.5in"><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060">a.</span><span style="font-size:7.0pt;color:#002060">  
</span><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060">Redact</span><o:p></o:p></p>
<p style="margin-left:2.0in"><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060"> </span><o:p></o:p></p>
<p><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060">2.</span><span style="font-size:7.0pt;color:#002060">  
</span><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060">Provide quick and easy opportunity to correct any mistakes</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060">I hope this is useful.
</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:14.0pt;font-family:"Helvetica",sans-serif;color:#5800B0">Kind regards,</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:14.0pt;font-family:"Helvetica",sans-serif;color:#5800B0"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:14.0pt;font-family:"Helvetica",sans-serif;color:#5800B0">Laureen Kapin</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:14.0pt;font-family:"Helvetica",sans-serif;color:#5800B0">Counsel for International Consumer Protection</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:14.0pt;font-family:"Helvetica",sans-serif;color:#5800B0">Federal Trade Commission</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:14.0pt;font-family:"Helvetica",sans-serif;color:#5800B0">(202) 326-3237
</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:14.0pt;font-family:"Arial",sans-serif;color:#002060"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> Gnso-epdp-team <<a href="mailto:gnso-epdp-team-bounces@icann.org" target="_blank">gnso-epdp-team-bounces@icann.org</a>>
<b>On Behalf Of </b>Volker Greimann via Gnso-epdp-team<br>
<b>Sent:</b> Thursday, April 15, 2021 8:35 AM<br>
<b>To:</b> Hadia Abdelsalam Mokhtar EL miniawi <<a href="mailto:Hadia@tra.gov.eg" target="_blank">Hadia@tra.gov.eg</a>><br>
<b>Cc:</b> <a href="mailto:gnso-epdp-team@icann.org" target="_blank">gnso-epdp-team@icann.org</a><br>
<b>Subject:</b> Re: [Gnso-epdp-team] On the proposed guidance</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
<div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">I think we need to be cognisant of the current status quo and use that as the basis for our thoughts on the matter:<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">1) There is no differentiation between legal or natural contacts.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">2) The redaction of all contacts is permitted and has become the de-facto standard.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">3) We allow consent-based disclosure.
<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">4) NIS 2 may at some point in the future require publication of non-personal information.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">This leads to two very simple follow-on questions:<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">a) How do we identify such non-personal information? What is really necessary for this end?<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">b) What would publication entail?<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">For a) we and Twobirds identified voluntary self-declaration of the data submitted. As all data is redacted by default, the differentiation of the data subject category is irrelevant
 as it ultimately only boils down to the declaration of the data subject thatthe data contains no personal information.
<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">For b), the term "publish" is undefined. For all we know, it could mean publication in a physical print edition (it doesn't mean that though). But publication within SSAD can very
 well be sufficient for that definition. There is no reason whatsoever to assume differently.
<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
</div>
<div>
<div>
<div>
<div>
<div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">-- <br>
Volker A. Greimann<br>
General Counsel and Policy Manager<br>
<b>KEY-SYSTEMS GMBH</b><br>
<br>
T: +49 6894 9396901<br>
M: +49 6894 9396851<br>
F: +49 6894 9396851<br>
W: <a href="http://www.key-systems.net/" target="_blank"><span style="color:#1155CC">www.key-systems.net</span></a><br>
<br>
Key-Systems GmbH is a company registered at the local court of Saarbruecken, Germany with the registration no. HR B 18835<br>
CEO: Oliver Fries and Robert Birkner<br>
<br>
Part of the CentralNic Group PLC (LON: CNIC) a company registered in England and Wales with company number 8576358.<br>
<br>
<span style="font-size:10.5pt;font-family:Roboto;background:#F8F9FA">This email and any files transmitted are confidential and intended only for the person(s) directly addressed. If you are not the intended recipient, any use, copying, transmission, distribution,
 or other forms of dissemination is strictly prohibited. If you have received this email in error, please notify the sender immediately and permanently delete this email with any files that may be attached.</span><o:p></o:p></p>
</div>
</div>
</div>
</div>
</div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
</div>
</div>
<div id="gmail-m_-3565268638294194630gmail-m_7094575180366425829DAB4FAD8-2DD7-40BB-A1B8-4E2AA1F9FDF2">
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
<table class="MsoNormalTable" border="1" cellspacing="3" cellpadding="0" style="border:none;border-top:solid windowtext 1.0pt;border-color:currentcolor currentcolor">
<tbody>
<tr>
<td width="57" style="width:41.25pt;border:none;padding:9.75pt .75pt .75pt .75pt">
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><a href="https://www.avast.com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=webmail" target="_blank"><span style="text-decoration:none"><img border="0" width="46" height="29" style="width:.4791in;height:.3055in" id="gmail-m_-3565268638294194630gmail-m_7094575180366425829_x005f_x0000_i1025" src="https://ipmcdn.avast.com/images/icons/icon-envelope-tick-round-orange-animated-no-repeat-v1.gif"></span></a><o:p></o:p></p>
</td>
<td width="397" style="width:352.5pt;border:none;padding:9.0pt .75pt .75pt .75pt">
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;line-height:13.5pt">
<span style="font-size:10.0pt;font-family:"Arial",sans-serif;color:#41424E">Virus-free.
<a href="https://www.avast.com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=webmail" target="_blank">
<span style="color:#4453EA">www.avast.com</span></a> </span><o:p></o:p></p>
</td>
</tr>
</tbody>
</table>
</div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
<div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">On Thu, Apr 15, 2021 at 1:52 PM Hadia Abdelsalam Mokhtar EL miniawi via Gnso-epdp-team <<a href="mailto:gnso-epdp-team@icann.org" target="_blank">gnso-epdp-team@icann.org</a>> wrote:<o:p></o:p></p>
</div>
<blockquote style="border:none;border-left:solid windowtext 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-top:5.0pt;margin-right:0in;margin-bottom:5.0pt;border-color:currentcolor currentcolor currentcolor rgb(204,204,204)">
<div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Dear Milton,</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Thank you for your constructive thoughts. I believe we have a lot to build on. In relation to principle
 one, I think we all agree that some legal data subjects would want to publish their data in the RDDS, but without your first principle they can only do this through consent. The legal memo received lately from Bird & Bird explains that if CPs publish the data
 of legal persons based on consent they are at a higher risk than if they publish the data of legal persons based on self-designation. In the latter case CPs might only be liable if they fail to address a complaint. So the question always was: what is the benefit
 of labeling the data as belonging to a natural or legal person? Of course we all know that GDPR protects the data of natural persons and not legal persons, but the important answer now is that the distinction significantly reduces the liability of CPs. In
 addition, the distinction is helpful in performing the balancing test in case the data is not published and I am sure if we look into individual use cases we can find much more benefits. Moreover, it could prove to be useful regarding possible upcoming regulations.
 I would also add that the level of protection assigned to the data elements suggested by Steve provides additional safe guards and flexibility in the implementation.
</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Finally, I join you in being optimistic about our ability to finish this.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Kind regards</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Hadia
</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"> </span><o:p></o:p></p>
<div>
<div style="border:none;border-top:solid windowtext 1.0pt;padding:3.0pt 0in 0in 0in;border-color:currentcolor">
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b><span style="font-size:10.0pt;font-family:"Tahoma",sans-serif">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma",sans-serif"> Gnso-epdp-team [mailto:<a href="mailto:gnso-epdp-team-bounces@icann.org" target="_blank">gnso-epdp-team-bounces@icann.org</a>]
<b>On Behalf Of </b>Mueller, Milton L via Gnso-epdp-team<br>
<b>Sent:</b> Wednesday, April 14, 2021 10:12 PM<br>
<b>To:</b> <a href="mailto:gnso-epdp-team@icann.org" target="_blank">gnso-epdp-team@icann.org</a><br>
<b>Subject:</b> Re: [Gnso-epdp-team] On the proposed guidance</span><o:p></o:p></p>
</div>
</div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
<div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Colleagues:</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">I have only gotten time to review the latest Guidance document and the surrounding debate today. Apologies,
 but there is a lot going on in my day job. </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">I am disappointed to see that we seem to be going backwards. I see divergence rather than convergence
 on the way we are approaching the problem.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">I see no point in adding more noise to the current document via the Comments function. What I would
 like to try to do is articulate some broad principles about how to deal with the legal/natural distinction. If we can agree on those principles, it will be relatively easy to complete the document. If we cannot/do not agree on those principles, additional
 wordsmithing and debates over terms will not get us anywhere. </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">So here are the broad principles that I would offer up for debate:
</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"> </span><o:p></o:p></p>
<p><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">1.</span><span style="font-size:7.0pt;color:#1F497D">      
</span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">The legal/natural distinction is relevant and we need to find a way make it in RDDS without compromising privacy rights.
</span><o:p></o:p></p>
<p><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">2.</span><span style="font-size:7.0pt;color:#1F497D">      
</span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Registrants should be able to self-designate as legal or natural, with no burden of authentication placed on registrars or registries</span><o:p></o:p></p>
<p><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">3.</span><span style="font-size:7.0pt;color:#1F497D">      
</span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">To protect small home offices or NGOs who are technically Legal persons but whose registration data may include Personal data, we need an additional check in the process.</span><o:p></o:p></p>
<p><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">4.</span><span style="font-size:7.0pt;color:#1F497D">      
</span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">As long as they conform with the above 3 principles, registrars/ries (CPs) should be given maximum flexibility to choose the way to differentiate.
</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Principle 1 discussion:</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">If we cannot agree on this (or agree to abandon this principle), _<i>nothing else will fall into place</i>_.
 Ever. So let’s settle that. Steve and Volker I suspect will disagree with this principle. Steve has argued that the L/N distinction is “not a central concern” and all that matters is whether the registrant’s data is to be made available to anyone. If he is
 right, we can discard the guidance altogether, because we already have a recommendation to allow the RNH to consent to the publication of their data. Volker has also suggested that it is personal data we need to differentiate, not L/N . I disagree with Steve
 and Volker on this and so do most of the rest of the group. L/N distinction is a central concern to certain stakeholder groups in the EPDP, because a) GDPR and other data protection laws do not protect it and this process is all about bringing RDS into compliance
 with privacy law; b) Legal person data could be published and it would provide easier access to their registration data. As a NCSG member I can find no basis for objecting to the publication of WalMart’s, Kroger’s or the local hardware store’s registration
 data. Any concerns about PII are addressed by principles 2 and 3. Steve is approaching this as an engineer, but this is a policy process, and we will not obtain agreement on a solution unless certain stakeholders are satisfied. If they think it is a central
 concern, it’s a central concern, that’s how policy/politics work.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Principle 2 discussion</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">This is the key principle that keeps NCSG and CPH satisfied. Registrants are in control of how they
 are designated. Yes, this means that some people will lie. That is just something we will have to accept. One cannot erase that possibility without creating a system that is too burdensome and costly as to outweigh any benefits.
</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Principle 3 discussion</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">This is something everyone seems to agree on already. But it is good to make it explicit, then we can
 work out how specific our guidance can get, so as to conform to …</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Principle 4</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Avoid being overly prescriptive, but ensure that the other 3 principles are honored. So yes, Volker,
 we give you maximum flexibility to implement in accordance with different business models, but you can NOT make a designation for a RNH, because it violates principle 2.
</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">I truly believe that if we can come to agreement on these 4 principles and use them as the basis for
 drafting guidance, we can actually finish this.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"> </span><o:p></o:p></p>
</div>
</div>
</div>
</div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">_______________________________________________<br>
Gnso-epdp-team mailing list<br>
<a href="mailto:Gnso-epdp-team@icann.org" target="_blank">Gnso-epdp-team@icann.org</a><br>
<a href="https://mm.icann.org/mailman/listinfo/gnso-epdp-team" target="_blank">https://mm.icann.org/mailman/listinfo/gnso-epdp-team</a><br>
_______________________________________________<br>
By submitting your personal data, you consent to the processing of your personal data for purposes of subscribing to this mailing list accordance with the ICANN Privacy Policy (<a href="https://www.icann.org/privacy/policy" target="_blank">https://www.icann.org/privacy/policy</a>)
 and the website Terms of Service (<a href="https://www.icann.org/privacy/tos" target="_blank">https://www.icann.org/privacy/tos</a>). You can visit the Mailman link above to change your membership status or configuration, including unsubscribing, setting digest-style
 delivery or disabling delivery altogether (e.g., for a vacation), and so on.<o:p></o:p></p>
</blockquote>
</div>
<div id="gmail-m_-3565268638294194630gmail-m_7094575180366425829DAB4FAD8-2DD7-40BB-A1B8-4E2AA1F9FDF2">
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
<table class="MsoNormalTable" border="1" cellspacing="3" cellpadding="0" style="border:none;border-top:solid windowtext 1.0pt;border-color:currentcolor currentcolor">
<tbody>
<tr>
<td width="57" style="width:41.25pt;border:none;padding:9.75pt .75pt .75pt .75pt">
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><a href="https://www.avast.com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=webmail" target="_blank"><span style="text-decoration:none"><img border="0" width="46" height="29" style="width:.4791in;height:.3055in" id="gmail-m_-3565268638294194630gmail-m_7094575180366425829_x005f_x0000_i1026" src="https://ipmcdn.avast.com/images/icons/icon-envelope-tick-round-orange-animated-no-repeat-v1.gif"></span></a><o:p></o:p></p>
</td>
<td width="397" style="width:352.5pt;border:none;padding:9.0pt .75pt .75pt .75pt">
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;line-height:13.5pt">
<span style="font-size:10.0pt;font-family:"Arial",sans-serif;color:#41424E">Virus-free.
<a href="https://www.avast.com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=webmail" target="_blank">
<span style="color:#4453EA">www.avast.com</span></a> </span><o:p></o:p></p>
</td>
</tr>
</tbody>
</table>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
</div>
</div>
</div>
<p class="MsoNormal">_______________________________________________<br>
Gnso-epdp-team mailing list<br>
<a href="mailto:Gnso-epdp-team@icann.org" target="_blank">Gnso-epdp-team@icann.org</a><br>
<a href="https://mm.icann.org/mailman/listinfo/gnso-epdp-team" target="_blank">https://mm.icann.org/mailman/listinfo/gnso-epdp-team</a><br>
_______________________________________________<br>
By submitting your personal data, you consent to the processing of your personal data for purposes of subscribing to this mailing list accordance with the ICANN Privacy Policy (<a href="https://www.icann.org/privacy/policy" target="_blank">https://www.icann.org/privacy/policy</a>)
 and the website Terms of Service (<a href="https://www.icann.org/privacy/tos" target="_blank">https://www.icann.org/privacy/tos</a>). You can visit the Mailman link above to change your membership status or configuration, including unsubscribing, setting digest-style
 delivery or disabling delivery altogether (e.g., for a vacation), and so on.<o:p></o:p></p>
</blockquote>
</div>
<p class="MsoNormal">_______________________________________________<br>
Gnso-epdp-team mailing list<br>
<a href="mailto:Gnso-epdp-team@icann.org" target="_blank">Gnso-epdp-team@icann.org</a><br>
<a href="https://mm.icann.org/mailman/listinfo/gnso-epdp-team" target="_blank">https://mm.icann.org/mailman/listinfo/gnso-epdp-team</a><br>
_______________________________________________<br>
By submitting your personal data, you consent to the processing of your personal data for purposes of subscribing to this mailing list accordance with the ICANN Privacy Policy (<a href="https://www.icann.org/privacy/policy" target="_blank">https://www.icann.org/privacy/policy</a>)
 and the website Terms of Service (<a href="https://www.icann.org/privacy/tos" target="_blank">https://www.icann.org/privacy/tos</a>). You can visit the Mailman link above to change your membership status or configuration, including unsubscribing, setting digest-style
 delivery or disabling delivery altogether (e.g., for a vacation), and so on.<o:p></o:p></p>
</blockquote>
</div>
<div>
<p class="MsoNormal"><br clear="all">
<o:p></o:p></p>
<div class="MsoNormal">
<hr size="1" width="33%" align="left">
</div>
</div>
</div>
<div style="mso-element:footnote-list"><br clear="all">
<hr align="left" size="1" width="33%">
<div style="mso-element:footnote" id="ftn1">
<p class="MsoFootnoteText"><a style="mso-footnote-id:ftn1" href="#_ftnref1" name="_ftn1" title=""><span class="MsoFootnoteReference"><span class="MsoFootnoteReference"><span style="font-size:8.0pt;font-family:"Georgia",serif;mso-fareast-language:EN-GB">[1]</span></span></span></a>
 As explained above, we have understood this question to be asking about scenarios where Registrants are legal persons, as per the EDPB quote at paragraph 1.  In respect of individual (natural person) Registrants, the issues will be largely similar: if a natural
 person incorrectly states that their data is not personal data, then (i) the verification measures should prevent the data from being published, since they will give the data subject an opportunity to correct their mistake; (ii) the mitigating factors and
 legal arguments described at paragraphs 11.7 and 11.8 and paragraphs 14.1 - 14.6 here, should confer reasonable legal protection for Contracted Parties.<span lang="EN-GB"><o:p></o:p></span></p>
</div>
<div style="mso-element:footnote" id="ftn2">
<p class="MsoFootnoteText"><a style="mso-footnote-id:ftn2" href="#_ftnref2" name="_ftn2" title=""><span class="MsoFootnoteReference"><span lang="EN-GB">[1]</span></span></a><span lang="EN-GB"> In its judgement in Case C</span><span lang="EN-GB" style="font-family:"Times New Roman",serif">‑</span><span lang="EN-GB">136/17
<i>GC and Others</i>, the CJEU explained that GDPR obligations relating to an erasure (“Right to Be Forgotten”) request apply “<i>to the operator of a search engine in the context of his responsibilities, powers and capabilities as the controller of the processing
 carried out in connection with the activity of the search engine, on the occasion of a verification performed by that operator, under the supervision of the competent national authorities, following a request by the data subject”</i>.  As the Advocate General
 explained in that case, “<i>such an operator can act only within the framework of its responsibilities, powers and capabilities. In other words, such an operator may be incapable of ensuring the full effect of the provisions of [EU data protection law], precisely
 because of its limited responsibilities, powers and capabilities. . . An ex ante control of internet pages which are referenced as the result of a search does not fall within the responsibilities or the capabilities of a search engine</i>.”  It could not know,
 from the moment it indexed a webpage, that the content of that page was (for example) out of date (as in the original
<i>Google Spain / Costeja</i> ruling), or (in the <i>GC and Others</i> case<i>) </i>
“special category” or “criminal offence” data for which it required consent.<o:p></o:p></span></p>
</div>
<div style="mso-element:footnote" id="ftn3">
<p class="MsoFootnoteText"><a style="mso-footnote-id:ftn3" href="#_ftnref3" name="_ftn3" title=""><span class="MsoFootnoteReference"><span lang="EN-GB">[2]</span></span></a><span lang="EN-GB"> See, for example,
<a href="https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=celex%3A32000L0031">
Article 14</a> of the e-Commerce Directive 2000/31/EC and its transposition into the national laws of EU/EEA Member States and the UK.
<o:p></o:p></span></p>
</div>
</div>
</body>
</html>