<div dir="auto"><div><br><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, 24 Jun 2022, 01:40 Ronald F. Guilmette via db-wg, <<a href="mailto:db-wg@ripe.net">db-wg@ripe.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">In message <<a href="mailto:e7ddcc2c-3d1a-2fbc-8d3e-5472679ad842@foobar.org" target="_blank" rel="noreferrer">e7ddcc2c-3d1a-2fbc-8d3e-5472679ad842@foobar.org</a>>, <br>
Nick Hilliard <<a href="mailto:nick@foobar.org" target="_blank" rel="noreferrer">nick@foobar.org</a>> wrote:<br>
<br>
>denis walker via db-wg wrote on 22/06/2022 23:54:<br>
>> Perhaps the RIPE NCC can publish the top entries from a new set of these <br>
>> stats. If anyone then wishes to contest the numbers they can take it up <br>
>> directly with the RIPE NCC.<br>
><br>
>fwiw, the ripe ncc has consistently been clear that there is a handful <br>
>of organisations who export very large quantities of registration <br>
>information to the ripedb, so this issue is not particularly in question.<br>
<br>
There are multiple obvious problems with this line of argument/reasoning/logic.<br>
<br>
First and foremost, if in fact there exist such telecom companies, then<br>
-somebody- should be able to give us their names.  I'm still waiting.<br>
I haven't seen -any- names of any such supposed telecom companies yet.<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto">AFAIK the names of these organisations is not public information, only anonymous statistics have been published. If you have an issue with this I suggest you discuss it directly with the RIPE NCC  legal team. </div><div dir="auto"><br></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
Second as was previously discussed, responsiblity, both legal and otherwise,<br>
for any unnecessary "leakage" of PII under GDPR belongs to the party that<br>
first leaked the data.  So if some telecom company is carelessly shoveling<br>
their customer PII into the RIPE data base in a way that is not consistant<br>
with GDPR then the entire legal responsibility for that belongs to the telecom<br>
companies involved... *not* to RIPE.  It is therefore quite obviously false<br>
to continue to insist that RIPE needs to take some action because of these<br>
specific companies or these specific WHOIS records.  It doesn't.<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto">This policy proposal is not about managing the legal responsibilities or liabilities of the RIPE NCC.  It is about establishing a set of principles by which those who enter data into this database will manage personal data. </div><div dir="auto"><br></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
Third and lastly, underlying these arguments is a sort-of implicit and<br>
unspoken assumption that simply is not true and that can quite easily<br>
disproven, i.e. the obviously flawed assumption that the RIPE region is<br>
synomymous with the EU and/or the EEA and that thus, GDPR applies<br>
throughout the RIPE region.  It doesn't.<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto">The RIPE NCC is the data controller and is a Dutch organisation based in the EU. The RIPE Database is operated from servers within the EU. GDPR  therefore applies to all data subjects within this database regardless of where they are located. </div><div dir="auto"><br></div><div dir="auto">Article 3.1 of the GDPR states:</div><div dir="auto">"<span style="background-color:rgb(255,255,255);color:rgb(51,51,51);font-family:roboto-light,-apple-system,blinkmacsystemfont,"segoe ui",roboto,"helvetica neue",arial,sans-serif,"apple color emoji","segoe ui emoji","segoe ui symbol","noto color emoji";font-size:14px">This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not."</span></div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
In addition to such notable and significant countries as Russia, Ukraine,<br>
and Turkey, it appears that there exist a whole raft of other<br>
countries also that are -in- RIPE but -outside- of EU/EEA, for example<br>
Aland Islands, Albania, Andorra, Armenia, Azerbaijan... and that's just<br>
the As!  I'm sure that there are plenty more also.  Companies and natural<br>
persons in these countries are not bound by GDPR, despite the fact that<br>
some would wish it to be so.  Thus companies and persons outside of EU/EEA<br>
remain free to put whatever they like into the RIPE WHOIS data base, and<br>
RIPE is free to publish whatever they do put in there, as has already been<br>
discussed and agreed here.  (Note that the Personally Identifiable Information<br>
involved in many of these cases will pertain to natural persons who themselves<br>
reside -outside- of the EU/EEA area, and GDPR is simply not applicable to<br>
the PII of any such persons.)<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto">There are Russian lirs who provide address space and services to end users based in the Netherlands. Internet operations and business are not bound by geographical, political or legal jurisdictions. </div><div dir="auto"><br></div><div dir="auto">Cheers</div><div dir="auto">denis </div><div dir="auto">Proposal author </div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
I understand the desire of some in Europe to impose GDPR upon the entire<br>
rest of the world, and onto all persons and companies from Alaska to<br>
Zanzibar, but wishing does not make it so.  RIPE is free, morally, ethically,<br>
and legally to publish *my* phone number any time it wishes, as I am an<br>
American, and thus not a subject of the GDPR regime, and also not least<br>
because I myself have, in the first instance, made my own phone number<br>
public in my own domain WHOIS records, thus relieving any and all parties<br>
of any legal responsibility, under GDPR, for any mere re-publication of<br>
this Personally Identifiable Information.<br>
<br>
<br>
Regards,<br>
rfg<br>
<br>
-- <br>
<br>
To unsubscribe from this mailing list, get a password reminder, or change your subscription options, please visit: <a href="https://lists.ripe.net/mailman/listinfo/db-wg" rel="noreferrer noreferrer" target="_blank">https://lists.ripe.net/mailman/listinfo/db-wg</a><br>
</blockquote></div></div></div>