欧洲顶级域名管理协会，发布了Whois状态和GDPR影响的报告

　　欧洲国家代码顶级域名（ccTLD）注册管理机构协会，发布了关于Whois动态和GDPR影响的报告。

　　调查的受访者是以下ccTLD：at，.au，.be，.ch，.cz，.de，.dk，.ee，.es，.eu，.fi，.fr，.ie，.lu，.me，.nl，.no，.nz，.pl，.pt，.rs，.se，.si，.ua，.uk。

　　收集注册人数据

　　控制器/处理器角色 - 在注册人数据收集的背景下，64％的注册管理机构认为自己是与注册服务商关系中的“控制者”。还有29％的人认为他们的角色是混合的（控制器/处理器），具体取决于数据集。在那些认为自己是“控制者”的人中，大多数（79％）提供有关注册服务商

　　通过注册管理机构 - 注册商协议收集和传输的说明。

　　收集数据的法律依据 - 注册管理机构认为其收集注册人数据的法律依据的最常见原因是“履行合同”。

　　数据准确性 - 对注册人数据的验证

　　50％的注册管理机构在注册点之后进行域名持有者身份验证，在注册点之前执行18％。其余32％不执行任何验证。

　　用于验证身份的最常见来源是官方注册，例如商业注册和域名持有者的支持文档。一些注册管理机构依靠使用。

　　eID来验证个人，其他验证方式包括来自域名持有者的注册信件，以确认所提供数据的准确性，并在公开。

　　可用的Web地图服务和国家注册中重新检查所提供的数据。

　　25个注册管理机构中有17个表示注册人从注册服务商处收到的数据是完整且无混淆的。就某些注册管理机构混淆的数据而言，通常是电子邮件

　　或名称，地址和电子邮件的某种组合，它们是单独混淆的。对于电子邮件混淆，它通常是每个地址持有者的电子邮件，只有3个具有

　　针对不同持有者混淆的所有（每个注册商）电子邮件地址。

　　只有不到一半的注册管理机构允许“自动命令”，新的注册商通过传输命令自动从当前注册商处接收当前注册人的数据。

　　发布注册人数据

　　虽然有几个注册管理机构明确表示他们不会在whois中发布个人数据，但其他注册管理机构列出了他们依赖发布注册人数据的一些法律依据。一些常见的

　　原因是：

　　合法权益或允许第三方联系

　　合同或条款和条件

　　注册人同意（例如，选择加入）

　　国家法律

　　27个（44％）注册管理机构中有11个为公众提供选择加入服务，另有3个计划。这使得10个注册管理机构（40％）没有选择加入服务。（这里的报告数学有点偏僻。）

　　对于几乎所有注册表，数据主体都可以发出访问请求。最常见的是，这是通过电子邮件完成的，其中包含8个具有webform选项的注册表。

　　要纠正注册人数据，电子邮件和/或webform是注册商的常用方法，但46％的注册管理机构也接受电子邮件。

　　要同步注册表和注册商数据库，最常见的是注册商在其数据库中进行更改，并自动更新注册表数据库。在其他有限的情况下，注册管理机构不会更改数据，并将注册商视为唯一的“来源”。

　　数据保留和请求

　　对于60％的注册管理机构，域名持有者的数据在删除域名后保留超过5年，而32％（8个注册管理机构）的数据将永久保留。

　　“被遗忘的权利” - 对于许多注册管理机构而言，这一原则并未针对注册数据实施。一些注册管理机构根据当地法律和自己的判断，逐案考虑此类请求，其他注册管理机构因此类请求删除相关数据，并提供合理的理由。有些注册管理机构会考虑履行合同义务所必需的域名持有人的个人数据，因此无法请求被遗忘的权利。

　　通常，访问，纠正和删除请求由客户服务团队，法律部门和/或专门的DPO或隐私团队处理。没有一个部门或团队比另一个更常见。

　　数据访问

　　88％的注册管理机构提供某种形式的非公开信息。在大多数情况下，通过个人请求的电子邮件提供访问权限。访问权限如下：

　　法院命令中确定的当事人（86％）

　　具有“合法权益”的人（54％ 。

　　在提供访问权限的那些中，10个注册管理机构限制对卷和/或IP地址的访问。5个注册管理机构对所提供的访问权限没有限制。

　　在提供基于“合法利益”的访问权限时，最常见的是法律部门作出判断。只有少数注册管理机构也基于请求者的声明和/或客户服务团队的判断。有4个注册管理机构已经考虑并正在为具有合法利益的各方规划认证机制。另有8个注册管理机构有兴趣在CENTR内进一步讨论该主题。

　　在回复个别请求时，大多数会在1到3天之间做出回应

　　数据保护官员（DPO）

　　54％的注册管理机构在参与调查时已经指定了DPO，还有几个在规划中。超过一半的人，他们的DPO属于他们的法律部门。这留下了7个注册管理机构，其中DPO不属于专门的法律部门（请注意，并非所有注册管理机构都有专门的法律部门，员工都有重叠的角色）。

　　对于几乎所有注册管理机构，DPO直接向首席执行官或总经理报告

　　GDPR /其他

　　6个注册管理机构遇到了注册服务商不愿意共享所请求的注册数据的问题。所有其他人都表示没有遇到任何问题。

　　61％的注册管理机构执行“隐私影响评估”

　　88％的注册管理机构定期监督内部合规情况

　　70％的注册管理机构计划随机检查/审核

　　为了区分私人和组织作为注册人，68％的注册管理机构允许注册人自行选择。在某些情况下，注册管理机构使用社会安全号码，业务号码甚至税号文件。18％没有区别。

　　为了处理不合规的注册商，两种最常见的方法是在截止日期之前提供更多时间，然后在通知后终止合同。