Dnes, noyb podala sťažnosť na francúzskeho vývojára a vydavateľa videohier Ubisoft (známeho hrami Assassins Creed, Far Cry, Prince of Persia). Spoločnosť núti svojich zákazníkov pripojiť sa na internet pri každom spustení hry pre jedného hráča. Deje sa tak aj v prípade, že hra nemá žiadne online funkcie. To umožňuje spoločnosti Ubisoft zhromažďovať informácie o správaní ľudí pri hraní. Spoločnosť okrem iného zhromažďuje údaje o tom, kedy ste hru spustili, ako dlho ste ju hrali a kedy ste ju ukončili. Ani po tom, čo sa sťažovateľ výslovne opýtal, prečo je nútený byť online, Ubisoft nezverejnil, prečo sa tak deje. Podľa článku 6 ods. 1 GDPR zrejme neexistuje žiadny platný právny základ na náhodné zhromažďovanie takýchto údajov používateľov.
Offline hry - s povinnosťou byť online. Väčšina videohier, ktoré ponúka francúzsky vývojár a vydavateľ Ubisoft, je navrhnutá pre jedného hráča. Medzi najpopulárnejšie ponuky v tejto kategórii patria série Assassins Creed, Far Cry a Prince of Persia. Aj keď tieto hry možno hrať bez toho, aby ste niekedy komunikovali s inými hráčmi, Ubisoft núti hráčov na PC pripojiť sa na internet a prihlásiť sa na účet Ubisoft skôr, ako môžu zakúpenú hru skutočne hrať. To sa stalo aj sťažovateľovi: Po zakúpení hry Far Cry Primal od spoločnosti Ubisoft na online trhu Steam sa ju pokúsil spustiť, keď bol offline - len aby zistil, že to nie je možné. Namiesto toho bol nútený prihlásiť sa do účtu Ubisoft predtým, ako mohol začať hrať.
Joakim Söderberg, právnik pre ochranu údajov v spoločnosti noyb: "Predstavte si, že by si k vášmu stolu prisadol človek z Monopoly a robil si poznámky zakaždým, keď si chcete zahrať stolnú hru s rodinou alebo priateľmi. Nuž, taká je realita videohier. Často ani nezáleží na tom, či sa hry hrajú online alebo offline. Pokiaľ máte pri hraní otvorené internetové pripojenie, vaše údaje sa zhromažďujú a analyzujú."
Tajný zber údajov. Aby sa sťažovateľ dozvedel viac o postupoch spoločnosti Ubisoft pri zhromažďovaní a sledovaní údajov, podal žiadosť o prístup podľa článku 15 GDPR. Ubisoft odpovedal informáciami, ako je jedinečný identifikátor sťažovateľa a informácie o tom, kedy spustil hru, ako dlho bola spustená a kedy hru ukončil. Keďže je sťažovateľ technicky zdatný, dodatočne preskúmal, aké presné údaje sa pri hraní odosielali spoločnosti Ubisoft. Sťažovateľ zistil, že v priebehu iba 10 minút hra 150-krát nadviazala spojenie s externými servermi. Medzi príjemcami údajov sťažovateľa boli napr: Google, Amazon a americká softvérová spoločnosť Datadog.
Hra na mačku a myš s cieľom získať viac informácií. V snahe zistiť viac sa sťažovateľ obrátil aj na zákaznícku podporu spoločnosti Ubisoft. Spoločnosť Ubisoft vo svojej odpovedi tvrdila, že pri spustení hry vykonáva len kontrolu vlastníctva. V prípade všetkého ostatného bol sťažovateľ odkázaný na licenčnú zmluvu s koncovým používateľom (EULA) a zásady ochrany osobných údajov spoločnosti. Tam Ubisoft potvrdzuje, že zhromažďuje osobné údaje "s cieľom poskytnúť Vám lepší zážitok z hry", že používa "analytické nástroje tretích strán na zhromažďovanie informácií týkajúcich sa vašich herných návykov a používania produktu a návykov ostatných používateľov" a že zhromažďuje "herné údaje" ako aj "údaje o prihlásení a prehliadaní".
Nie je to potrebné - a preto je to nezákonné. Ide o to: Sťažovateľ s týmto spracovaním nikdy nesúhlasil. Podľa článku 6 ods. 1 GDPR to znamená, že operácia spracovania je zákonná len vtedy, ak je nevyhnutná - čo nie je prípad sťažovateľa. Po zakúpení hry v službe Steam je už potvrdené jej vlastníctvo. Spoločnosť Ubisoft tiež poskytuje (skrytú) možnosť hrať hru offline, čo ukazuje, že spracúvanie všetkých osobných údajov v štandardnom nastavení v skutočnosti nie je nevyhnutné. A aj keby bolo, nevysvetľuje to zhromažďovanie údajov počas hrania hry. Ak Ubisoft chce údaje na zlepšenie hry, môže jednoducho požiadať používateľov o súhlas. Spoločnosť sa tiež môže hráčov opýtať, či chcú na jej servery posielať jednotlivé hlásenia o chybách. Zdá sa však, že nie je legálne, aby počítač používateľa štandardne odosielal neustále hlásenia.
Lisa Steinfeldová, právnička v oblasti ochrany údajov noyb: "Videohry sú drahé - to však nebráni spoločnostiam, ako je Ubisoft, aby nútili svojich zákazníkov hrať offline hry online zbytočne, len aby mohli zarobiť viac peňazí sledovaním ich správania. Konanie spoločnosti Ubisoft je jednoznačne nezákonné a musí byť zastavené."
Sťažnosť podaná v Rakúsku. noyb preto podal sťažnosť na GDPR rakúskemu úradu na ochranu údajov (DSB). Žiadame DSB, aby vyhlásil, že spoločnosť Ubisoft porušila článok 6 ods. 1 GDPR spracovaním osobných údajov bez platného právneho základu. Okrem toho žiadame, aby spoločnosť Ubisoft vymazala všetky osobné údaje sťažovateľa, ktoré boli spracované bez platného právneho základu - a aby spoločnosť ukončila ďalšie nezákonné spracúvanie. V neposlednom rade navrhujeme, aby orgán na ochranu údajov uložil správnu pokutu. Na základe informácií spoločnosti Ubisoft obratu viac ako 2 miliardy EUReUR, by orgán na ochranu údajov mohol udeliť pokutu až do výšky 92 miliónov EUR.
