Tänään, noyb teki valituksen ranskalaista videopelien kehittäjää ja julkaisijaa Ubisoftia (joka tunnetaan Assassins Creedistä, Far Crysta ja Prince of Persiasta) vastaan. Yhtiö pakottaa asiakkaansa ottamaan yhteyden internetiin aina, kun he käynnistävät yksinpelin. Näin tapahtuu, vaikka pelissä ei olisikaan verkko-ominaisuuksia. Näin Ubisoft voi kerätä ihmisten pelikäyttäytymistä. Yhtiö kerää tietoja muun muassa siitä, milloin peli käynnistetään, kuinka kauan sitä pelataan ja milloin se suljetaan. Jopa sen jälkeen, kun kantelija kysyi nimenomaisesti, miksi hänen on pakko olla verkossa, Ubisoft ei kertonut, miksi näin tapahtuu. Yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan nojalla ei näytä olevan pätevää oikeusperustaa tällaisten käyttäjätietojen satunnaiselle keräämiselle.
Offline-pelit - velvollisuus olla verkossa. Suurin osa ranskalaisen kehittäjän ja julkaisijan Ubisoftin tarjoamista videopeleistä on suunniteltu yhden pelaajan pelikokemuksen ympärille. Tämän luokan suosituimpia pelejä ovat Assassins Creed, Far Cry ja Prince of Persia. Vaikka näitä pelejä voi pelata ilman vuorovaikutusta muiden pelaajien kanssa, Ubisoft pakottaa PC-pelaajat ottamaan yhteyden internetiin ja kirjautumaan Ubisoft-tilille ennen kuin he voivat pelata ostamaansa peliä. Näin kävi myös kantelijalle: Kun hän oli ostanut Ubisoftin Far Cry Primal -pelin verkkokauppa Steamistä, hän yritti käynnistää pelin ollessaan offline-tilassa - vain huomatakseen, että se ei ollut mahdollista. Sen sijaan hänen oli pakko kirjautua Ubisoft-tilille, ennen kuin hän pystyi aloittamaan pelaamisen.
Joakim Söderberg, tietosuojalakimies osoitteessa noyb: "Kuvittele, että Monopoly-mies istuisi pöydässäsi ja tekisi muistiinpanoja joka kerta, kun haluat pelata lautapeliä perheesi tai ystäviesi kanssa. No, se on videopelien todellisuutta. Usein ei ole edes väliä, pelataanko pelejä verkossa vai offline. Kunhan sinulla on avoin internet-yhteys pelatessasi, tietosi kerätään ja analysoidaan."
Salainen tiedonkeruu. Saadakseen lisätietoja Ubisoftin tiedonkeruu- ja seurantakäytännöistä kantelija esitti yleisen tietosuoja-asetuksen 15 artiklan mukaisen tiedonsaantipyynnön. Ubisoft vastasi toimittamalla tietoja, kuten kantelijan yksilöllisen tunnisteen ja tietoja siitä, milloin hän käynnisti pelin, kuinka kauan se oli käynnissä ja milloin hän lopetti pelin. Koska kantelija on teknisesti taitava henkilö, hän tutki lisäksi, mitä tietoja Ubisoftille lähetettiin pelaamisen aikana. Kantelija havaitsi, että vain 10 minuutin aikana peli muodosti 150 kertaa yhteyden ulkoisiin palvelimiin. Kantelijan tietojen vastaanottajien joukossa oli mm. seuraavia: Google, Amazon ja yhdysvaltalainen ohjelmistoyritys Datadog.
Kissa ja hiiri -leikki lisätietojen saamiseksi. Saadakseen lisätietoja kantelija otti yhteyttä myös Ubisoftin asiakastukeen. Vastauksessaan Ubisoft väitti, että se suorittaa vain omistajuuden tarkistuksen julkaisun yhteydessä. Kaiken muun osalta kantelija viittasi yhtiön loppukäyttäjän lisenssisopimukseen (EULA) ja tietosuojakäytäntöön. Siinä Ubisoft vahvistaa keräävänsä henkilötietoja "tarjotakseen sinulle paremman pelikokemuksen", että se käyttää "kolmannen osapuolen analytiikkatyökaluja kerätäkseen tietoja sinun ja muiden käyttäjien pelitottumuksista ja tuotteen käytöstä" ja että se kerää "pelitietoja" sekä "kirjautumis- ja selaustiedot".
Ei välttämätöntä - ja siksi laitonta. Asia on niin: Kantelija ei ole koskaan antanut suostumustaan tähän käsittelyyn. Yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan mukaan tämä tarkoittaa sitä, että käsittely on laillista vain, jos se on välttämätöntä - mikä ei ole kantelijan tapauksessa totta. Koska hän on ostanut pelin Steamista, omistusoikeus on jo vahvistettu. Ubisoft tarjoaa myös (piilotetun) mahdollisuuden pelata peliä offline-tilassa, mikä osoittaa, että kaikkien henkilötietojen käsittely vakioasetuksissa ei ole oikeastaan välttämätöntä. Ja vaikka se olisikin, se ei selittäisi tietojen keräämistä pelin pelaamisen aikana. Jos Ubisoft haluaa tietoja pelin parantamiseksi, se voi vain pyytää käyttäjiltä suostumusta. Yhtiö voi myös kysyä pelaajilta, haluavatko he lähettää yksittäisiä vikailmoituksia sen palvelimille. Ei kuitenkaan näytä olevan laillista, että käyttäjän tietokone lähettää oletusarvoisesti jatkuvasti raportteja.
Lisa Steinfeld, tietosuojalakimies noyb: "Videopelit ovat kalliita - mutta se ei estä Ubisoftin kaltaisia yrityksiä pakottamasta asiakkaitaan pelaamaan offline-pelejä verkossa tarpeettomasti vain siksi, että ne voivat tehdä enemmän rahaa seuraamalla heidän käyttäytymistään. Ubisoftin toiminta on selvästi lainvastaista, ja se on lopetettava."
Valitus jätetty Itävallassa. noyb on siksi tehnyt GDPR-valituksen Itävallan tietosuojaviranomaiselle (DSB). Pyydämme DSB:tä toteamaan, että Ubisoft rikkoi yleisen tietosuoja-asetuksen 6 artiklan 1 kohtaa käsitellessään henkilötietoja ilman pätevää oikeusperustaa. Lisäksi pyydämme, että Ubisoft poistaa kaikki kantelijan henkilötiedot, joita on käsitelty ilman pätevää oikeusperustaa - ja että yritys lopettaa laittoman käsittelyn jatkamisen. Lopuksi ehdotamme, että tietosuojaviranomainen määrää Ubisoftille hallinnollisen sakon. Ubisoftin yli 2 miljardin euron liikevaihtoontietosuojaviranomainen voisi määrätä jopa 92 miljoonan euron sakon.
