<div dir="ltr"><div class="gmail_default" style="font-family:arial,helvetica,sans-serif;color:#444444">Rubens,</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif;color:#444444"><br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif;color:#444444">I think I see where the disconnect might be. Section 3.2.2 says "Extraterritorial reach as described in section 3.2.1 above will apply, for instance,
when registrars and registries established outside the EU provide their domain
name registration services to natural persons in the EU."</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif;color:#444444"><br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif;color:#444444">Are you interpreting that to mean: "If a registrar/registry outside of the EU markets/offers their services to natural persons in the EU (that is, you either have some customers in the EU or you potentially could), then they are fully subject to the GDPR for all of their registrations."? Because I think that's a misreading of it. I think it means "with respect to the <u>actual</u> provision of services to a natural person in the EU." In other words, taking it to an extreme, I think you might be interpreting the Hamilton language in 3.2.2 to mean that all of a non-EU registrar's registrants are entitled to full GDPR protection if that registrar has even a single <u>potential</u> customer in the EU. However, I think they mean that even a non-EU registrar has to ensure that any natural person in the EU is afforded GDPR protections (and I'd agree with you on that -- my own company has been deep into GDPR compliance even though we aren't in the EU). </div></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><font color="#073763" face="arial, helvetica, sans-serif">John Horton<br>President and CEO, LegitScript</font><div><img src="https://docs.google.com/uc?export=download&id=0B13GfLt8zwZJRXE5UTAtclVxdTg&revid=0B13GfLt8zwZJSG9zOUVwN1lFKzFrRVlnaWU0NGZ4RmdkUjg4PQ" width="96" height="36"><br><div><p style="margin:0.0px 0.0px 0.0px 0.0px;font:12.0px Helvetica"><br></p><p style="margin:0px;font-style:normal;font-variant:normal;font-size:12px;line-height:normal;font-family:Helvetica"><b><font color="#444444">Follow</font><font color="#0b5394"> </font><font color="#000000">Legit</font><font color="#0b5394">Script</font></b>: <a href="http://www.linkedin.com/company/legitscript-com" style="color:rgb(17,85,204)" target="_blank"><font color="#cc0000">LinkedIn</font></a>  |  <a href="https://www.facebook.com/LegitScript" style="color:rgb(17,85,204)" target="_blank"><font color="#6aa84f">Facebook</font></a>  |  <a href="https://twitter.com/legitscript" style="color:rgb(17,85,204)" target="_blank"><font color="#674ea7">Twitter</font></a>  |  <font color="#ff9900"><u><a href="http://blog.legitscript.com/" style="color:rgb(17,85,204)" target="_blank">Blog</a></u></font>  |<font color="#ff9900">  <a href="http://go.legitscript.com/Subscription-Management.html" style="color:rgb(17,85,204)" target="_blank"><font color="#ff9900">Newsletter</font></a></font><br></p><p style="margin:0px;font-style:normal;font-variant:normal;font-size:12px;line-height:normal;font-family:Helvetica"><font color="#ff9900"><br></font></p><p style="text-align:left;margin:0px;font-style:normal;font-variant:normal;font-size:12px;line-height:normal;font-family:Helvetica"><font color="#ff9900"><img src="https://www.legitscript.com/wp-content/uploads/2015/09/LegitScript-Workplace.png" width="46" height="96"><img src="https://docs.google.com/uc?export=download&id=0B13GfLt8zwZJTmNWbmcwOTVJMXc&revid=0B13GfLt8zwZJQlZWOXVGbG9acC9nRGhzdEkxclFJVytCWVNjPQ" width="47" height="96"><br></font></p></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div>
<br><div class="gmail_quote">On Wed, Feb 14, 2018 at 2:00 PM, Rubens Kuhl <span dir="ltr"><<a href="mailto:rubensk@nic.br" target="_blank">rubensk@nic.br</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word;line-break:after-white-space"><br><div><span class=""><br><blockquote type="cite"><div>On 14 Feb 2018, at 19:12, Greg Aaron <<a href="mailto:gca@icginc.com" target="_blank">gca@icginc.com</a>> wrote:</div><br class="m_8966540060682964136Apple-interchange-newline"><div><div class="m_8966540060682964136WordSection1" style="font-family:Helvetica;font-size:12px;font-style:normal;font-variant-caps:normal;font-weight:normal;letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px"><div style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:Calibri,sans-serif">Reubens, you said that “GDPR applies to all domain services provided by a party that does business targeting EEA.”  That statement has multiple possible implications.  I want to understand: what exactly are you saying here about the publication of personal data in an RDS?</div></div></div></blockquote><div><br></div></span>Collection, processing and eventual publication. GDPR looks at the full lifecycle of all data, not limited to RDS data; but even the RDS PDP has to look at the full lifecycle of data that ends up in RDS, not only at publishing them. How they are collected, processed and stored has to be part of the policy for it to be implementable. </div><div><span class=""><blockquote type="cite"><div><div class="m_8966540060682964136WordSection1" style="font-family:Helvetica;font-size:12px;font-style:normal;font-variant-caps:normal;font-weight:normal;letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px"><div style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:Calibri,sans-serif"><u></u><u></u></div><div style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:Calibri,sans-serif"><u></u> <u></u></div><div style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:Calibri,sans-serif">Are you saying that any registrar outside the EU that does business with EU registrants must extend GDPR protection to all its registrants regarding RDS, no matter where the registrants live?  For example, GoDaddy is a U.S. company but has some registrants in the EU.  Are you saying that GoDaddy must extend GDRP-level protection to me, a U.S. registrant, so that my contact details (or some set of contact data fields) should not show up in WHOIS/RDS?</div></div></div></blockquote><div><br></div></span>I would say GDPR compliance, not GDPR protection. And yes, I am saying that GoDaddy should extend its compliance for all registrants, but if that means omitting contact details in WHOIS is a totally different matter; for instance, part 3 of the Hamilton memos hinted at the possibility of convincing European DPAs that publishing all information, or most of it, is a legitimate use. So that would open the possible publishing of data and still be compliant with GDPR, provided that written binding assurances from DPAs are obtained by ICANN or further legislation is approved by the EU, which is the long term road suggested by eco. </div><span class=""><div><br></div><div><br><blockquote type="cite"><div><div class="m_8966540060682964136WordSection1" style="font-family:Helvetica;font-size:12px;font-style:normal;font-variant-caps:normal;font-weight:normal;letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px"><div style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:Calibri,sans-serif"><u></u><u></u></div><div style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:Calibri,sans-serif"><u></u> <u></u></div><div style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:Calibri,sans-serif">If your answer is “yes”: please quote the section of the GDPR  regulation that you are referring to.  Also specifically the page and paragraph of which Hamilton memo; I tried to look up your previous reference but was unsure what exactly you were pointing at.  Generally, it is appreciated when members provide references we can all look at.</div></div></div></blockquote><br></div></span><div>The reference in the Hamilton memo can be found at:</div><div><a href="https://www.icann.org/en/system/files/files/gdpr-memorandum-part1-16oct17-en.pdf" target="_blank">https://www.icann.org/en/<wbr>system/files/files/gdpr-<wbr>memorandum-part1-16oct17-en.<wbr>pdf</a> </div><div><br></div><div>3.2 Territorial Application - 3.2.1 and 3.2.2</div><div><br></div><div>I'll let Hamilton answer from where in GDPR (and other applicable law like directive 2016/680 regarding law enforcement) they based that, but looks like GDRP articles 1 to 4 to me. </div><span class="HOEnZb"><font color="#888888"><div><br></div><div><br></div><div>Rubens</div><div><br></div><div><br></div><div><br></div></font></span></div></blockquote></div><br></div>