Avoin kirje EU:n ja Yhdysvaltojen välisen tiedonsiirron tulevaisuudesta

May 23, 2022

Avoin kirje EU:n ja Yhdysvaltojen välisen tiedonsiirron tulevaisuudesta

Vaikka monet yksityiskohdat ovat vielä epäselviä, suunnitellusta EU:n ja Yhdysvaltojen välisestä tiedonsiirtosopimuksesta on tullut esiin yhä enemmän yksityiskohtia. Nämä yksityiskohdat näyttävät herättävän lisää kysymyksiä Euroopan komission tekemän uuden tietosuojan riittävyyttä koskevan sopimuksen vakaudesta. Näiden huolestuttavien tapahtumien valossa Schrems I- ja Schrems II -tapausten pääasian kantaja on lähettänyt asianomaisille sidosryhmille seuraavan avoimen kirjeen (PDF ):


Hyvä komission jäsen Didier Reynders,

Hyvä ministeri Gina Raimondo,

Hyvä Pauline Dubarry,

Hyvä Euroopan tietosuojaneuvoston puheenjohtaja Andrea Jelinek,

Hyvä LIBE:n puheenjohtaja Juan Fernando López Aguilar,

Panemme merkille ilmoituksen periaatesopimuksesta uudesta transatlanttisesta tietosuojapuitteesta. Ymmärrämme, että tuleva "periaatteessa sovittu" sopimus perustuu pääasiassa komission puheenjohtajan von der Leyenin ja Yhdysvaltain presidentin Joe Bidenin väliseen poliittiseen sopimukseen, mutta se ei ole seurausta siitä, että Yhdysvaltain lainsäädäntöön olisi tehty olennaisia muutoksia vastauksena Euroopan unionin tuomioistuimen tuomioon. Tämä lähestymistapa näyttää toistavan Privacy Shield -sopimusta, ja se on erittäin huolestuttava.

Olemme tietoisia siitä, että ilmoituksessa esitetään vain karkeat ideat ja otsikot ja että lopullisesta tekstistä on vielä neuvoteltava. Seuraavat alustavat huomiot perustuvat näin ollen rajoitettuun poliittiseen ilmoitukseen ja muihin yksityiskohtiin, joita EU ja Yhdysvallat ovat epävirallisesti jakaneet sidosryhmien kanssa eri julkisissa tai puolijulkisissa muodoissa.

Näiden lausuntojen perusteella olemme ymmärtäneet, että Yhdysvallat on hylännyt kaikki olennaiset suojatoimet muille kuin yhdysvaltalaisille henkilöille ja jatkaa muiden kuin yhdysvaltalaisten henkilöiden syrjintää kieltäytymällä perustason suojatoimista, kuten yksittäisten valvontatoimenpiteiden oikeudellisesta hyväksymisestä

Käsityksemme mukaan suunniteltu sopimus perustuu suurelta osin Yhdysvaltojen täytäntöönpanomääräyksiin. Olemme työskennelleet tämän asian parissa yhdysvaltalaisten valvonta-asiantuntijoiden ja lakimiehen kanssa, ja tällaiset täytäntöönpanomääräykset vaikuttavat rakenteellisesti riittämättömiltä täyttämään EU:n tuomioistuimen vaatimukset.

Tunnettujen kulmakivien perusteella varoitamme neuvottelijoita Atlantin molemmin puolin, EU:n neuvostoa, Euroopan tietosuojaneuvostoa ja Euroopan parlamentin LIBE-valiokuntaa siitä, että ilmoitetut puitteet uhkaavat kokea saman kohtalon kuin kaksi edeltäjäänsä EU:n tuomioistuimen edessä, ellei Yhdysvalloissa toteuteta merkittäviä (lainsäädäntö)uudistuksia

Kehotamme neuvottelijoita jatkamaan työskentelyä pitkäaikaisen, yksityisyyden suojaa turvaavan ratkaisun löytämiseksi transatlanttisia tietovirtoja varten, jotta vältetäänSchrems III-päätös. Nykyinen lähestymistapa voi aiheuttaa kansalaisille ja yrityksille lisää oikeudellista epävarmuutta tuleviksi vuosiksi - pelko, jonka myös alan edustajat ilmaisivat reaktiossaan "periaatesopimukseen".

Olemme täysin tietoisia siitä, että tämä on kaikkea muuta kuin helppo tehtävä, mutta investoimalla siihen, että asia saadaan hoidettua oikein, voidaan varmistaa, että asia ratkaistaan pitkällä aikavälillä, ja lisäksi se hyödyttää kansalaisia ja taloutta molemmin puolin.

Tämän tavoitteen saavuttamiseksi esitämme seuraavat yksityiskohtaisemmat huomiot ja suositukset:

(1) Oikean suhteellisuustestin soveltaminen Yhdysvaltojen valvontalainsäädäntöön CFR 8 artiklan nojalla

Ymmärtääksemme Yhdysvaltojen neuvottelijat eivät aio hakea muutoksia Yhdysvaltojen lakiin materiaalivalvonnan osalta, vaan aikovat lähinnä korvata signaalitiedustelutoimintaa koskevan presidentin poliittisen direktiivin 28 (PPD-28) uudella toimeenpanomääräyksellä, joka sisältäisi sanat "välttämätön ja oikeasuhteinen"

Näyttää siltä, että Euroopan komissio pyrkii toteamaan, että nämä sanat Yhdysvaltain toimeenpanomääräyksessä vastaisivat EU:n suhteellisuustestissä käytettyä suhteellisuusperiaatetta, joka on esitetty kaavion 52 artiklassaer perusoikeuskirjan (CFR) 52 artiklan mukainen

On kuitenkin vaikea nähdä, miten Yhdysvaltojen nykyinen valvonta voi olla "tarpeellista ja oikeasuhteista" EU:n lainsäädännön mukaan, jos Euroopan unionin tuomioistuin on kahdessa tuomiossaan nimenomaisesti todennut päinvastaista

Tämä lähestymistapa vaikuttaa riittämättömältä ainakin seuraavista syistä:

  • EU:n tuomioistuin on molemmissa tuomioissa ("Schrems I" ja "Schrems II") todennut selvästi, että Yhdysvaltojen valvontalait ja -käytännöt rikkovat perusoikeuskirjan 7, 8 ja 47 artiklaa. EUT on jopa nimenomaisesti todennut, että nämä lait ja käytännöt eivät ole "tarpeellisia ja oikeasuhteisia"
  • Schrems II-tuomio annettiin ottaen huomioon PPD28 (tuolloin voimassa ollut täytäntöönpanodirektiivi). Kuten Euroopan komissio ja Yhdysvaltojen hallitus ovat väittäneet EU:n tuomioistuimessa, PPD-28 sisältää jo sanamuodon "niin räätälöity kuin mahdollista", jonka komissio on tulkinnut vastaavan CFR:n 52 artiklan mukaista suhteellisuutta. EUT on hylännyt tämän ajatuksen. Emme ymmärrä, miten lait ja käytännöt, jotka EUT on nimenomaisesti todennut, etteivät ne ole "tarpeellisia ja oikeasuhteisia", voisivat yhtäkkiä vakuuttaa EUT:n, jos ne nimetään uudelleen "tarpeellisiksi ja oikeasuhteisiksi" sen sijaan, että ne olisivat "räätälöityjä niin hyvin kuin mahdollista".
  • Käsittääksemme Yhdysvallat voi hyväksyä nämä sanat, mutta se ei ole suostunut rajoittamaan muiden kuin yhdysvaltalaisten rekisteröityjen henkilöidenvalvontaa millään olennaisella tavalla. Yhdysvallat ei ole ilmoittanut aikovansa rajoittaa tai tarkistaa valvontakäytäntöjä, joita se harjoittaa niiden lakien ja ohjelmien (FISA 702, EO 12 333, PRISM ja Upstream) nojalla, jotka EU:n tuomioistuin mainitsi tuomiossaan. Yhdysvallat ei ole myöskään ilmoittanut, että se tekisi muutoksia lopettaakseen massavalvontakäytäntönsä . Valvontaohjelmat näyttävät jatkuvan entisellään. EU:n tuomioistuin on suorittanut suhteellisuustestin yhteisön perusoikeuskirjan 52 artiklan nojalla ja todennut, että Yhdysvaltojen valvontakäytännöt eivät läpäisseet tätä testiä. Jos Yhdysvallat sisällyttää"välttämättömyyden ja oikeasuhteisuuden" käsitteen, se tarkoittaisi näiden valvontakäytäntöjen lopettamista tai niiden vakavaa rajoittamista. Neuvottelijat ovat tehneet selväksi, että näin ei ole tarkoitus tehdä.
  • Neuvottelijat näyttävät siis vain kopioivan CFR:n ja EU:n tuomioistuimen oikeuskäytännön sanat Yhdysvaltojen täytäntöönpanomääräykseen, mutta todennäköisesti soveltavat eri merkitystä kuin EU:n tuomioistuin, sillä muuten tämä johtaisi ulkomaantiedustelun valvontaa koskevan lain (Foreign Intelligence Surveillance Act, FISA) 702 pykälän mukaisten Upstream- ja Downstream-ohjelmien (aiemmin "PRISM") lopettamiseen ja täytäntöönpanomääräyksen nro 12 333 mukaisen massavalvonnan lopettamiseen.
  • Olemme lisäksi huolissamme siitä, että täytäntöönpanomääräykset eivät yleensä anna kolmansille osapuolille oikeuksia. Vaikuttaa siltä, että vaikka toimeenpanomääräyksellä toteutettaisiinkin yhteisön perusoikeuskirjan 52 artiklan mukainen "välttämätön ja oikeasuhteinen" testi, yksikään rekisteröity ei välttämättä pystyisi valvomaan tällaisia rajoituksia tuomioistuimessa.

Yhteenvetona voidaan todeta, että tämä lähestymistapa näyttää tyydyttävän vain molempien osapuolten poliittiset, diplomaattiset ja PR-vaatimukset, mutta siinä ei oteta huomioon sitä, että EU:n tuomioistuin on jo todennut, että Yhdysvaltojen harjoittama valvonta ei ole "tarpeellista ja oikeasuhteista", ja että Yhdysvallat jatkaa näitä käytäntöjä.

(2) Merkityksellisten oikeussuojakeinojen luominen CFR 47 artiklan nojalla

Ymmärtääksemme Yhdysvaltojen neuvottelijat eivät aio muuttaa Yhdysvaltojen lainsäädäntöä siten, että EU:n rekisteröidyille luotaisiin oikeussuojakeinoja

Sen sijaan Yhdysvaltojen toimeenpanovallan pitäisi muodostaa toimeenpanovallan piiriin uusi "elin" (joka muistuttaa aiempaa "Ombudspersonia", mutta on julkisasiamiehen alaisuudessa), joka käsittelee Yhdysvaltojen lainsäädännön ja toimeenpanomääräysten mahdollisia rikkomuksia. Tämä "Data Protection Review Court" -niminen elin ei nimestään poiketen ole "tuomioistuin" vaan toimeenpaneva elin. Se on osa toimeenpanevaa elintä, jonka riippumattomuus on rajallinen

Ymmärtääksemme EU:n rekisteröidyt eivät voisi saada tietoa heitä koskevista mahdollisista tarkkailutoimista menettelyn aikana eivätkä he voisi valittaa tämän "tuomioistuimen" päätöksistä täysin riippumattomalle oikeudelliselle elimelle, joka on perustettu Yhdysvaltojen perustuslain 3 artiklan nojalla

Tämä lähestymistapa näyttää rikkovan EU:n oikeuskäytäntöä ainakin seuraavilta osin:

  • Ehdotetussa ratkaisussa ei säädetä oikeussuojakeinoista vaan toimeenpanovallan piirissä olevasta muutoksenhakuelimestä - joka muistuttaa oikeusasiamiestä , jonka EUT totesi olevan suhteeton ja rikkovan perusoikeuskirjan 47 artiklan ydinsisältöä. Pelkkä toimeenpanevan elimen nimeäminen "tuomioistuimeksi" ei luo oikeussuojakeinoja. Lähestymistapaa näyttäisi olevan parempi kuvata "Ombudsperson Plus".
  • On vaikea nähdä, miten tämä uusi elin täyttäisi yhteisön perusoikeuskirjan 47 artiklan mukaiset tuomioistuimen muodolliset vaatimukset, varsinkin kun sitä verrataan EU:ssa (esimerkiksi Puolassa ja Unkarissa) sovellettaviin tapauksiin ja normeihin. EU:n tuomioistuinta pyydettäisiin soveltamaan "korkeaa" CFR 47 artiklan mukaista standardia EU:ssa, mutta "matalaa" CFR 47 artiklan mukaista standardia yhdysvaltalaisessa "tietosuojaa käsittelevässä tuomioistuimessa". Euroopan komission olisi vakuutettava EU:n tuomioistuin näistä erilaisista CFR 47 artiklan mukaisista standardeista.
  • Ymmärtääksemme tämäuusi "tuomioistuin" jatkaa toimintaansa nykyisen "Ombudspersonin" tapaan, eikä se vahvista eikä kiellä , onko henkilöä tarkkailtu ja onko Yhdysvaltojen lainsäädäntöä rikottu. Käsityksemme mukaan rekisteröidyllä ei ole suoraa tai epäsuoraa mahdollisuutta tutustua todisteisiin, pyytää selvitystä, kuulustella vastapuolta tai saada perusteltua tuomiota. Tämä tekee siitä "kumileimasimen" toimielimen, jolla ei ole käytännön merkitystä.
  • Tämä "kumileimasin" -lähestymistapa rajoittaa myös mahdollisuuksia mahdolliseen muutoksenhakuun toissijaisessa elimessä: Jos "tietosuojaa käsittelevän muutoksenhakutuomioistuimen" on lähetettävä määrätty vakiovastaus, emme näe, että olisi tilaa tietoon perustuvalle, mielekkäälle muutoksenhaulle. Jos kussakin tapauksessa on vain yksi mahdollinen ennalta määritelty lopputulos, näyttää siltä, että kansalainen voi tuskin missään tapauksessa tuoda esiin virheen, koska vastauksia näyttää olevan vain yksi.
  • On perustavanlaatuisia kysymyksiä siitä, voidaanko Yhdysvaltojen oppeja, kuten" valtiosalaisuuksia" sovelletaan näihin elimiin ja rajoitetaan entisestään mahdollisuutta oikeudenmukaiseen kuulemiseen. Ymmärtääksemme Yhdysvaltain hallitus aikoo jatkossakin vedota näihin oppeihin.

Yhteenvetona toteamme, että emme näe, miten tämä uusi "tuomioistuin" olisi perusoikeuskirjan 47 artiklan mukainen, erityisesti kun otetaan huomioon EU:n tuomioistuimen viimeaikainen oikeuskäytäntö Yhdysvaltojen harjoittamasta tarkkailusta, mutta myös EU:n tuomioistuimen oikeuskäytäntö oikeussuojakeinoista ja oikeusvaltioperiaatteesta EU:n jäsenvaltioissa. Näyttää siltä, että EU:n olisi kehitettävä erillinen CFR 47 artiklan mukainen testi Yhdysvaltoja varten, jotta se voisi todeta, että toimeenpaneva elin, joka antaa vastauksia kumileimasimella, on todellakin oikeussuojakeino. Emme ymmärrä, miten tällainen kehitys EU:n oikeuskäytännössä olisi edes etäisesti realistista tai edes toivottavaa.

(3) Tarve ajantasaistaa yksityisyyden suojaa kaupallisessa mielessä

Ilmoitetun periaatesopimuksen puutteiden lisäksi, jotka liittyvät Yhdysvaltain valvontaa koskevien uudistusten puuttumiseen ja lakien, varoitamme EU:n neuvottelijoita myös tarpeesta päivittää kaupallisia tietosuojavelvoitteita mahdollisessa tulevassa sopimuksessa.

Olemme huolissamme siitä, että EU:n ja Yhdysvaltojen neuvottelijat eivät näytä suunnittelevan mitään päivityksiä itse Privacy Shield -periaatteisiin. Ymmärtääksemme Privacy Shield -periaatteisiin ja -sertifiointeihin ei puututtaisi eikä niitä edes nimettäisi uudelleen. Tämä on erittäin ongelmallista, sillä periaatteet perustuvat pitkälti vuonna 2000 laadittuihin Safe Harbor -periaatteisiin, joita on päivitetty vain vähän vuonna 2016. Ne eivät vastaa GDPR:n vaatimuksia, joita alettiin soveltaa vuonna 2018. Itse asiassa Privacy Shield -periaatteissa viitataan jopa direktiiviin 95/46/EY, jota ei enää sovelleta, eikä GDPR:ään

Korostamme tässä muutamia esimerkkejä Privacy Shield -periaatteiden monista puutteista ja siitä, missä ne poikkeavat GDPR:stä:

  • Privacy Shield -periaatteissa ei ole yleistä vaatimusta oikeusperustasta, kuten yleisen tietosuoja-asetuksen 6 artiklan 1 kohdassa ja kaavion 8 artiklan 2 kohdassa säädetään perusoikeuskartassa. Itse asiassa on vain niin sanottu "ilmoitus ja valinta" -lähestymistapa, johon sisältyy oikeus kieltäytyä (opt-out). Erityisesti koska periaatteita sovelletaan yleensä alihankkijoihin, jotka eivät ole suoraan yhteydessä rekisteröityyn, näyttää tuskin olevan realistista skenaariota, jossa rekisteröidylle edes ilmoitettaisiin ongelmallisesta käsittelystä.
  • Privacy Shield -periaatteissa ei edellytetä, että tietojenkäsittelyn on oltava "välttämätöntä", kuten yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdassa ja yhteisen viitekehyksen 52 artiklan 1 kohdassa edellytetään, vaan ainoastaan "asianmukaista".
  • Useimmat yleisen tietosuoja-asetuksen 15 artiklan ja kaavion 8 artiklan 2 kohdan mukaisen tiedonsaantioikeuden osatekijätperus- ja ihmisoikeusyleissopimuksen suurimmat osat eivät näy Privacy Shield -periaatteissa.
  • Oikeussuojamekanismi properiaatteiden mukainen mekanismi perustuu yksityiseen välimiesmenettelyyn, joka on kielletty EU:ssa kuluttajiin nähden direktiivin 93/13/ETY jälkeen. Yksityisen välimiesmenettelyn maksaa yhdysvaltalainen yritys, eikä sillä ole tarvittavia "valvonta- ja havaintomekanismeja" tai valtuuksia, jotka edes etäisesti muistuttaisivat EU:n valvontaviranomaisten valtuuksia yleisen tietosuoja-asetuksen 58 artiklan mukaisesti. Välitystuomion täytäntöönpanokelpoisuus Yhdysvaltain lainsäädännön mukaan edellyttää useita vaiheita.

On myös lukemattomia muita esimerkkejä siitä, että Privacy Shield -periaatteet eivät ole "olennaisilta osiltaan vastaavat" GDPR:ää, minkä vuoksi yhdysvaltalaiset kilpailijat voivat toimia Euroopan markkinoilla noudattamatta EU:n lainsäädäntöä. Vaikka Yhdysvaltojen valvontaan liittyvät kysymykset ratkaistaisiinkin, EU:n tuomioistuin voi mitätöidä kaikki uudet sopimukset sillä perusteella, että Privacy Shield -periaatteet eivät ole lainkaan "olennaisilta osiltaan vastaavia" kuin yleinen tietosuoja-asetus.


Kansainvälisten tiedonsiirtojen tulevaisuus

Olemme pahoillamme siitä, että neuvottelijat eivät ole käyttäneet tätä tilaisuutta hyväkseen varmistaakseen, että ihmisoikeudet yksityisyyteen ja tietosuojaan turvataan Atlantin molemmin puolin maantieteellisestä sijainnista tai kansalaisuudesta riippumatta. Olemme syvästi vakuuttuneita siitä, että maailmanlaajuinen internet ja henkilötietojen vapaa liikkuvuus ovat mahdollisia vain, jos suoja ei perustu historiallisiin ja nationalistisiin käsitteisiin, kuten kansalaisuuteen. Vaikka tietosuoja-asetus ja CFR:n 7, 8 ja 47 artikla ovat ihmisoikeuksia ja koskevat kaikkia käyttäjiä kansallisista siteistä riippumatta, FISA 702 -laki ja asiaa koskevat täytäntöönpanomääräykset Yhdysvalloissa noudattavat edelleen vanhanaikaista käsitystä "yhdysvaltalaisista henkilöistä" ja "muista kuin yhdysvaltalaisista henkilöistä".

Tämä ei ainoastaan aiheuta ihmisoikeusloukkauksia, vaan näyttää myös heikentävän näiden valvontalakien väitettyjä tavoitteita: Tiedämme, että useimmat nykyiset vaarat (kuten kotoperäinen terrorismi, vakoilu ja muut vastaavat) eivät perustu kohteen kansalaisuuteen.

Kehotamme neuvottelijoita ja muita asiaankuuluvia sidosryhmiä, kuten Yhdysvaltojen teknologiateollisuutta, kyseenalaistamaan perinteiset nationalistiset käsitteet. Jos internetin ei pitäisi tuntea kansallisia rajoja, yksityisyydensuojaa ja valvontaa koskevien lakien on yhtä lailla voitettava nationalistiset käsitteet. Yksi vaihtoehto olisivat demokraattisten valtioiden väliset kansainväliset sopimukset.

Yleisen tietosuoja-asetuksen 5 luvussa sallitaan jo nyt tietojen vapaa liikkuvuus, jos suoja on "olennaisilta osiltaan vastaava". Pahoittelemme, että Yhdysvaltojen ja EU:n kansalliset valvontalait pitävät edelleen kiinni kansalaisuuden kaltaisista käsitteistä, eikä niissä toistaiseksi ole nykyaikaisia yhteentoimivuuslausekkeita.

Tämä ristiriita (yhteentoimivien) yksityisyyden suojan ja (kansallismielisten) valvontalakien välillä estää kansainvälisiä tietovirtoja, kauppaa ja lähentymistä.

Reaktio uuteen riittävyyspäätökseen

Koska riita-asioissamme pyritään aina varmistamaan kestävä ratkaisu, joka sekä suojaa käyttäjien tietoja että mahdollistaa vapaan tietovirran, olisimme ensimmäisinä tyytyväisiä tällaiseen lopputulokseen. Toivomme edelleen, että lopullisessa tekstissä voidaan korjata tässä kirjeessä esiin tuodut puutteet, ja kannustamme neuvottelijoita Atlantin molemmin puolin etenemään Yhdysvaltojen lainsäädäntöön tarvittavien uudistusten parissa.

Jos näitä lainsäädännöllisiä muutoksia ei tehdä, olemme huolissamme siitä, että mikä tahansa tuleva sopimus perustuisi (jälleen kerran) poliittisiin toiveisiin eikä oikeudellisiin realiteetteihin. Olemme erityisen huolissamme siitä, että Euroopan komissio saattaa tietoisesti tehdä uuden lainvastaisen riittävyyspäätöksen, jonka tarkoituksena on heikentää Euroopan unionin tuomioistuimen tuomioita. Tätä kutsutaan usein "parin vuoden lisäajan ostamiseksi". Tämä voi johtaa loputtomaan pingispeliin Brysselin ja Luxemburgin välillä, mutta se myös uhkaa luottamusta oikeusvaltioon ja yhteisön viitekehykseen Euroopan tasolla.

Edellä esitetyn perusteella noyb on valmis riitauttamaan kaikki sellaiset lopulliset riittävyyspäätökset, jotka eivät anna tarvittavaa oikeusvarmuutta. Jos tällainen oikeudenkäynti on todellakin tarpeen, keskitymme erityisesti nopeaan ja tehokkaaseen menettelyyn EU:n tuomioistuimessa nopean päätöksen aikaansaamiseksi. Toivomme, että tämä takaa lyhyemmän oikeudellisen epävarmuuden ajan, jos poliittinen sopimus on huonosti suunniteltu

Tällaiseen haasteeseen voi sisältyä pyyntö siitä, että EU:n tuomioistuin keskeyttäisi Yhdysvaltojen riittävyyttä koskevan päätöksen kolmannen version soveltamisen. Tällaisesta vaihtoehdosta määrätään SEUT-sopimuksen 278 artiklassa, ja sillä voitaisiin varmistaa, että Euroopan komissio ei heikennä Euroopan unionin tuomioistuimen toimintaa tekemällä uusia lainvastaisia riittävyyspäätöksiä yrittäessään ohittaa Euroopan unionin tuomioistuimen suorittamaa uudelleentarkastelua.

Toivomme, että näistä alustavista huomautuksista on teille hyötyä. Olemme käytettävissäsi, jos sinulla on kysyttävää tai haluat antaa meille lisäselvityksiä suunnitellusta uudesta sopimuksesta.

Ystävällisin terveisin,

Max Schrems

Kunniapuheenjohtaja, noyb

Ystävällisin terveisin,

Max Schrems

Kunniapuheenjohtaja, noyb