Dnes, noyb podala stížnost na francouzského vývojáře a vydavatele videoher Ubisoft (známého například hrami Assassins Creed, Far Cry nebo Prince of Persia). Společnost nutí své zákazníky připojovat se k internetu při každém spuštění hry pro jednoho hráče. A to i v případě, že hra neobsahuje žádné online funkce. To společnosti Ubisoft umožňuje shromažďovat informace o chování lidí při hraní. Společnost mimo jiné shromažďuje údaje o tom, kdy hru spustíte, jak dlouho ji hrajete a kdy ji ukončíte. Ani poté, co se stěžovatel výslovně zeptal, proč je nucen být online, Ubisoft nesdělil, proč se tak děje. Podle čl. 6 odst. 1 GDPR zřejmě neexistuje žádný platný právní základ pro náhodné shromažďování takových uživatelských údajů.
Offline hry - s povinností být online. Většina videoher, které nabízí francouzský vývojář a vydavatel Ubisoft, je navržena pro jednoho hráče. Mezi nejoblíbenější nabídky v této kategorii patří série Assassins Creed, Far Cry a Prince of Persia. Přestože tyto hry lze hrát bez jakékoli interakce s ostatními hráči, Ubisoft nutí hráče na PC připojit se k internetu a přihlásit se k účtu Ubisoft ještě předtím, než mohou zakoupenou hru skutečně hrát. To se stalo i stěžovateli: Poté, co si na online tržišti Steam zakoupil hru Far Cry Primal od společnosti Ubisoft, pokusil se ji spustit, když byl offline - jen aby zjistil, že to není možné. Místo toho byl nucen se přihlásit k účtu Ubisoft, než mohl začít hrát.
Joakim Söderberg, právník zabývající se ochranou osobních údajů ve společnosti noyb: "Představte si, že by u vašeho stolu seděl člověk z Monopolů a dělal si poznámky pokaždé, když si chcete s rodinou nebo přáteli zahrát deskovou hru. No, taková je realita videoher. Často ani nezáleží na tom, zda se hry hrají online nebo offline. Pokud máte při hraní otevřené připojení k internetu, vaše data jsou shromažďována a analyzována."
Tajný sběr dat. Aby se stěžovatel dozvěděl více o postupech společnosti Ubisoft při shromažďování a sledování údajů, podal žádost o přístup podle článku 15 GDPR. Společnost Ubisoft odpověděla informacemi, jako je jedinečný identifikátor stěžovatele a informace o tom, kdy hru spustil, jak dlouho byla spuštěna a kdy hru ukončil. Jelikož je stěžovatel technicky zdatný, dodatečně zkoumal, jaké přesné údaje byly společnosti Ubisoft při hraní odesílány. Stěžovatel zjistil, že během pouhých 10 minut hra 150krát navázala spojení s externími servery. Mezi příjemci stěžovatelových dat byli např: Google, Amazon a americká softwarová společnost Datadog.
Hra na kočku a myš za účelem získání dalších informací. Ve snaze zjistit více se stěžovatel obrátil také na zákaznickou podporu společnosti Ubisoft. Společnost Ubisoft ve své odpovědi tvrdila, že při spuštění pouze provádí kontrolu vlastnictví. Ve všem ostatním byl stěžovatel odkázán na licenční smlouvu s koncovým uživatelem (EULA) a zásady ochrany osobních údajů společnosti. Tam Ubisoft potvrzuje, že shromažďuje osobní údaje "aby Vám poskytla lepší herní zážitek", že používá "analytické nástroje třetích stran ke shromažďování informací týkajících se vašich herních návyků a používání produktu vámi i ostatními uživateli" a že shromažďuje "herní údaje" jakož i "údaje o přihlášení a prohlížení".
Není nutné - a tudíž nezákonné. Jde o to: Že stěžovatel nikdy nedal k tomuto zpracování souhlas. Podle čl. 6 odst. 1 GDPR to znamená, že operace zpracování je zákonná, pouze pokud je nezbytná - což není případ stěžovatele. Po zakoupení hry na službě Steam je již vlastnictví potvrzeno. Společnost Ubisoft také poskytuje (skrytou) možnost hrát hru offline, což ukazuje, že zpracování všech osobních údajů ve standardním nastavení není ve skutečnosti nezbytné. A i kdyby bylo, nevysvětluje to shromažďování údajů během hraní hry. Pokud Ubisoft chce údaje ke zlepšení hry, může prostě požádat uživatele o souhlas. Společnost se také může hráčů zeptat, zda chtějí na její servery posílat jednotlivá hlášení o chybách. Nezdá se však, že by bylo legální, aby počítač uživatele odesílal neustálá hlášení standardně.
Lisa Steinfeldová, právnička zabývající se ochranou osobních údajů ve společnosti noyb: "Videohry jsou drahé - to však nebrání společnostem, jako je Ubisoft, aby své zákazníky zbytečně nutily hrát offline hry online, jen aby mohly vydělat více peněz sledováním jejich chování. Jednání společnosti Ubisoft je jednoznačně protiprávní a musí být zastaveno."
Stížnost podaná v Rakousku. noyb proto podal stížnost na GDPR u rakouského úřadu pro ochranu osobních údajů (DSB). Žádáme DSB, aby prohlásil, že společnost Ubisoft porušila čl. 6 odst. 1 GDPR zpracováním osobních údajů bez platného právního základu. Dále žádáme, aby společnost Ubisoft vymazala všechny osobní údaje stěžovatele, které byly zpracovány bez platného právního základu - a aby společnost ukončila další protiprávní zpracování. V neposlední řadě navrhujeme, aby Úřad pro ochranu osobních údajů uložil správní pokutu. Na základě vyjádření společnosti Ubisoft obratu více než 2 miliardy EUReUR by mohl úřad pro ochranu osobních údajů udělit pokutu až do výše 92 milionů EUR.
