Ma, noyb panaszt nyújtott be a francia videojáték-fejlesztő és kiadó Ubisoft (Assassins Creed, Far Cry, Prince of Persia) ellen. A vállalat arra kényszeríti vásárlóit, hogy minden egyes alkalommal, amikor egyjátékos játékot indítanak, csatlakozzanak az internetre. Ez még akkor is így van, ha a játék nem rendelkezik online funkciókkal. Ez lehetővé teszi a Ubisoft számára, hogy összegyűjtse az emberek játékkal kapcsolatos viselkedését. A vállalat többek között adatokat gyűjt arról, hogy mikor indítjuk el a játékot, mennyi ideig játszunk vele, és mikor zárjuk be. A Ubisoft még azután sem hozta nyilvánosságra, hogy a panaszos kifejezetten megkérdezte, miért kényszerül online lenni, hogy ez miért történik. A GDPR 6. cikkének (1) bekezdése alapján úgy tűnik, nincs érvényes jogalap az ilyen felhasználói adatok véletlenszerű gyűjtésére.

Offline játékok - online kötelezettséggel. A francia Ubisoft fejlesztő és kiadó által kínált videojátékok többsége egyjátékos élményt nyújt. E kategória legnépszerűbb ajánlatai közé tartozik az Assassins Creed, a Far Cry és a Prince of Persia franchise. Bár ezek a játékok játszhatók anélkül, hogy valaha is kapcsolatba lépnének más játékosokkal, a Ubisoft arra kényszeríti a PC-s játékosokat, hogy csatlakozzanak az internetre és jelentkezzenek be egy Ubisoft-fiókba, mielőtt ténylegesen játszhatnának a megvásárolt játékkal. Ez történt a panaszossal is: Miután megvásárolta a Ubisoft "Far Cry Primal" című játékát a Steam online piactéren, megpróbálta elindítani azt offline állapotban - csakhogy észrevette, hogy ez nem lehetséges. Ehelyett kénytelen volt bejelentkezni egy Ubisoft-fiókba, mielőtt elkezdhette volna a játékot.
Joakim Söderberg, az adatvédelmi ügyvéd a noyb: "Képzelje el, hogy a Monopoly embere az asztalánál ül és jegyzetel minden alkalommal, amikor a családjával vagy barátaival társasjátékot akar játszani. Nos, ez a videojátékok valósága. Gyakran még az sem számít, hogy a játékokat online vagy offline játsszák. Mindaddig, amíg nyílt internetkapcsolat van játék közben, az adatokat összegyűjtik és elemzik"
Titkos adatgyűjtés. A panaszos, hogy többet megtudjon a Ubisoft adatgyűjtési és nyomonkövetési gyakorlatáról, a GDPR 15. cikke alapján hozzáférési kérelmet nyújtott be. A Ubisoft olyan információkkal válaszolt, mint a panaszos egyedi azonosítója, valamint információk arról, hogy mikor indította el a játékot, mennyi ideig futott, és mikor lépett ki a játékból. Mivel a panaszos műszaki ismeretekkel rendelkezik, megvizsgálta továbbá, hogy játék közben pontosan milyen adatokat küldött a Ubisoftnak. A panaszos felfedezte, hogy mindössze 10 perc alatt a játék 150 alkalommal létesített kapcsolatot külső szerverekkel. A panaszos adatainak címzettjei között voltak: Google, Amazon és az amerikai Datadog szoftvercég.
Macska-egér játék, hogy több információhoz jusson. A panaszos, hogy többet megtudjon, a Ubisoft ügyfélszolgálatával is kapcsolatba lépett. Válaszában a Ubisoft azt állította, hogy csak egy tulajdonosi ellenőrzést végez a játék indításakor. Minden mással kapcsolatban a panaszost a vállalat végfelhasználói licencszerződésére (EULA) és adatvédelmi szabályzatára hivatkoztak. Ebben a Ubisoft megerősíti, hogy személyes adatokat gyűjt "annak érdekében, hogy jobb játékélményt nyújtson Önnek", hogy felhasználja "harmadik féltől származó elemző eszközöket használ az Ön és más felhasználók játékszokásaival és a termék használatával kapcsolatos információk gyűjtésére" és hogy gyűjti "játékadatokat" valamint "bejelentkezési és böngészési adatokat".
Nem szükséges - és ezért jogellenes. A helyzet az: A panaszos soha nem járult hozzá ehhez a feldolgozáshoz. A GDPR 6. cikkének (1) bekezdése szerint ez azt jelenti, hogy az adatkezelési művelet csak akkor jogszerű, ha szükséges - ami a panaszos esetében nem áll fenn. Mivel a játékot a Steamen vásárolta meg, a tulajdonjog már megerősítést nyert. Emellett a Ubisoft (rejtett) lehetőséget biztosít a játék offline lejátszására, ami azt mutatja, hogy az összes személyes adat alapbeállításban történő feldolgozása valójában nem szükséges. És még ha így is lenne, ez nem magyarázná meg az adatgyűjtést a játék lejátszása közben. Ha a Ubisoftnak szüksége van adatokra a játék fejlesztéséhez, akkor egyszerűen kérheti a felhasználók hozzájárulását. A vállalat azt is megkérdezheti a játékosoktól, hogy akarnak-e egyedi hibajelentéseket küldeni a szervereire. Az azonban nem tűnik legálisnak, hogy a felhasználók PC-je alapértelmezés szerint állandóan jelentéseket küldjön.
Lisa Steinfeld, az adatvédelmi jogász a noyb: "A videojátékok drágák - de ez nem akadályozza meg az olyan cégeket, mint a Ubisoft, hogy a vásárlóikat arra kényszerítsék, hogy szükségtelenül online játsszanak offline játékokkal, csak azért, hogy a viselkedésük nyomon követésével több pénzt keressenek. A Ubisoft intézkedései egyértelműen jogszerűtlenek, és meg kell állítani őket"."
Panaszt nyújtottak be Ausztriában. A noyb ezért GDPR-panaszt nyújtott be az osztrák adatvédelmi hatósághoz (DSB). Arra kérjük a DSB-t, hogy állapítsa meg, hogy a Ubisoft megsértette a GDPR 6. cikkének (1) bekezdését a személyes adatok érvényes jogalap nélküli feldolgozásával. Továbbá kérjük, hogy a Ubisoft törölje a panaszos minden olyan személyes adatát, amelyet érvényes jogalap nélkül dolgozott fel - és a vállalat szüntesse be a további jogellenes adatfeldolgozást. Végül, de nem utolsósorban javasoljuk, hogy az adatvédelmi hatóság szabjon ki közigazgatási bírságot. A Ubisoft több mint 2 milliárd eurós forgalmáraaz adatvédelmi hatóság akár 92 millió eurós bírságot is kiszabhat.