Dzisiaj, noyb złożył skargę przeciwko francuskiemu producentowi i wydawcy gier wideo Ubisoft (znanemu z Assassins Creed, Far Cry, Prince of Persia). Firma zmusza swoich klientów do łączenia się z Internetem za każdym razem, gdy uruchamiają grę dla jednego gracza. Dzieje się tak nawet wtedy, gdy gra nie ma żadnych funkcji online. Pozwala to Ubisoft na zbieranie informacji na temat zachowań graczy. Firma gromadzi między innymi dane o tym, kiedy użytkownik uruchamia grę, jak długo w nią gra i kiedy ją zamyka. Nawet po tym, jak skarżący wyraźnie zapytał, dlaczego jest zmuszony do bycia online, Ubisoft nie ujawnił, dlaczego tak się dzieje. Zgodnie z art. 6(1) RODO, wydaje się, że nie ma ważnej podstawy prawnej do losowego gromadzenia takich danych użytkownika.
Gry offline - z obowiązkiem bycia online. Większość gier wideo oferowanych przez francuskiego dewelopera i wydawcę Ubisoft jest zaprojektowana z myślą o rozgrywce dla jednego gracza. Do najpopularniejszych tytułów w tej kategorii należą gry z serii Assassins Creed, Far Cry i Prince of Persia. Mimo że w gry te można grać bez interakcji z innymi graczami, Ubisoft zmusza graczy PC do połączenia się z Internetem i zalogowania się na konto Ubisoft, zanim będą mogli faktycznie zagrać w zakupioną grę. Tak też stało się w przypadku skarżącego: Po zakupie gry Ubisoft "Far Cry Primal" na internetowym rynku Steam, próbował uruchomić ją będąc offline - tylko po to, by zauważyć, że nie było to możliwe. Zamiast tego został zmuszony do zalogowania się na konto Ubisoft przed rozpoczęciem gry.
Joakim Söderberg, prawnik zajmujący się ochroną danych w noyb: "Wyobraź sobie, że człowiek Monopoly siedzi przy twoim stole i robi notatki za każdym razem, gdy chcesz zagrać w grę planszową z rodziną lub przyjaciółmi. Cóż, taka jest rzeczywistość gier wideo. Często nie ma nawet znaczenia, czy gry są rozgrywane online czy offline. Tak długo, jak masz otwarte połączenie internetowe podczas gry, twoje dane są gromadzone i analizowane"
Tajne gromadzenie danych. Aby dowiedzieć się więcej o praktykach gromadzenia i śledzenia danych przez Ubisoft, skarżący złożył wniosek o dostęp na podstawie art. 15 RODO. Ubisoft odpowiedział informacjami takimi jak unikalny identyfikator skarżącego oraz informacje o tym, kiedy uruchomił grę, jak długo była ona uruchomiona i kiedy z niej zrezygnował. Będąc osobą obeznaną z technologią, skarżący dodatkowo sprawdził, jakie dokładnie dane były wysyłane do Ubisoft podczas gry. Skarżący odkrył, że w ciągu zaledwie 10 minut gra nawiązała połączenie z zewnętrznymi serwerami 150 razy. Wśród odbiorców danych skarżącego znaleźli się m.in: Google, Amazon i amerykańska firma programistyczna Datadog.
Gra w kotka i myszkę, aby uzyskać więcej informacji. Próbując dowiedzieć się więcej, skarżący skontaktował się również z obsługą klienta Ubisoft. W swojej odpowiedzi Ubisoft twierdził, że po prostu przeprowadza kontrolę własności przy uruchomieniu. W pozostałych kwestiach skarżący został odesłany do umowy licencyjnej użytkownika końcowego (EULA) i polityki prywatności firmy. Tam Ubisoft potwierdza, że gromadzi dane osobowe "w celu zapewnienia lepszych wrażeń z gry", że używa "narzędzia analityczne stron trzecich do zbierania informacji dotyczących nawyków gry i korzystania z produktu przez użytkownika i innych użytkowników" oraz że gromadzi "dane gry" jak również "dane logowania i przeglądania".
Nie jest to konieczne - a zatem niezgodne z prawem. Rzecz w tym, że: Skarżący nigdy nie wyraził zgody na takie przetwarzanie. Zgodnie z art. 6(1) RODO oznacza to, że operacja przetwarzania jest legalna tylko wtedy, gdy jest konieczna - co nie ma miejsca w przypadku skarżącego. Po zakupie gry na Steamie własność jest już potwierdzona. Ponadto Ubisoft zapewnia (ukrytą) opcję gry w trybie offline, co pokazuje, że przetwarzanie wszystkich danych osobowych w standardowej konfiguracji nie jest w rzeczywistości konieczne. A nawet gdyby tak było, nie wyjaśniałoby to gromadzenia danych podczas gry. Jeśli Ubisoft chce uzyskać dane w celu ulepszenia gry, może po prostu poprosić użytkowników o zgodę. Firma może również zapytać graczy, czy chcą wysyłać indywidualne raporty o błędach na jej serwery. Nie wydaje się jednak legalne, by komputer użytkownika domyślnie wysyłał ciągłe raporty.
Lisa Steinfeld, prawnik ds. ochrony danych w noyb: "Gry wideo są drogie - ale to nie powstrzymuje firm takich jak Ubisoft przed zmuszaniem swoich klientów do niepotrzebnego grania w gry offline online, tylko po to, aby mogli zarobić więcej pieniędzy, śledząc ich zachowanie. Działania Ubisoft są wyraźnie niezgodne z prawem i muszą zostać powstrzymane"
Skarga złożona w Austrii. noyb złożył zatem skargę GDPR do austriackiego organu ochrony danych (DSB). Zwracamy się do DSB o stwierdzenie, że Ubisoft naruszył art. 6 ust. 1 PKBR poprzez przetwarzanie danych osobowych bez ważnej podstawy prawnej. Ponadto żądamy, aby Ubisoft usunął wszystkie dane osobowe skarżącego, które były przetwarzane bez ważnej podstawy prawnej - i aby firma zaprzestała dalszego niezgodnego z prawem przetwarzania. Wreszcie, sugerujemy, aby organ ochrony danych nałożył grzywnę administracyjną. W oparciu o obroty Ubisoft wynoszących ponad 2 miliardy euroorgan ochrony danych mógłby nałożyć grzywnę w wysokości do 92 milionów euro.
