Idag är det noyb ett klagomål mot den franska videospelutvecklaren och förläggaren Ubisoft (känd för Assassins Creed, Far Cry, Prince of Persia). Företaget tvingar sina kunder att ansluta till internet varje gång de startar ett enspelarspel. Detta gäller även om spelet inte har några onlinefunktioner. Detta gör det möjligt för Ubisoft att samla in människors spelbeteende. Företaget samlar bland annat in uppgifter om när du startar ett spel, hur länge du spelar det och när du stänger det. Inte ens efter att den klagande uttryckligen frågat varför han tvingas vara online, har Ubisoft upplyst om varför detta sker. Enligt artikel 6.1 i GDPR verkar det inte finnas någon giltig rättslig grund för att slumpmässigt samla in sådana användardata.
Offlinespel - med skyldighet att vara online. De flesta av de videospel som erbjuds av den franska utvecklaren och utgivaren Ubisoft är utformade kring en enspelarupplevelse. Bland de mest populära spelen i denna kategori finns Assassins Creed, Far Cry och Prince of Persia. Även om dessa spel kan spelas utan att interagera med andra spelare, tvingar Ubisoft PC-spelare att ansluta till internet och logga in på ett Ubisoft-konto innan de kan spela ett spel som de har köpt. Detta hände också den klagande: Efter att ha köpt Ubisoft-spelet "Far Cry Primal" på onlinemarknadsplatsen Steam försökte han starta det medan han var offline - bara för att märka att det inte var möjligt. Istället tvingades han logga in på ett Ubisoft-konto innan han kunde börja spela.
Joakim Söderberg, dataskyddsjurist på noyb: "Tänk om Monopolmannen satt vid ditt bord och antecknade varje gång du vill spela ett brädspel med din familj eller dina vänner. Så ser verkligheten ut när det gäller tv-spel. Ofta spelar det inte ens någon roll om spelen spelas online eller offline. Så länge du har en öppen internetanslutning när du spelar samlas dina data in och analyseras."
Hemlig datainsamling. För att få reda på mer om Ubisofts datainsamling och spårningsmetoder lämnade den klagande in en begäran om tillgång enligt artikel 15 i GDPR. Ubisoft svarade med information såsom en unik identifierare för den klagande och information om när han startade spelet, hur länge det pågick och när han avslutade spelet. Eftersom den klagande är en tekniskt kunnig person undersökte han dessutom exakt vilka uppgifter som skickades till Ubisoft när han spelade. Den klagande upptäckte att spelet under en period på bara 10 minuter upprättade en anslutning till externa servrar 150 gånger. Bland mottagarna av den klagandes data: Google, Amazon och det amerikanska mjukvaruföretaget Datadog.
Katt- och råttalek för att få mer information. I ett försök att få reda på mer kontaktade den klagande även Ubisofts kundtjänst. I sitt svar hävdade Ubisoft att de bara utför en ägandekontroll vid lanseringen. För allt annat hänvisades den klagande till företagets licensavtal för slutanvändare (EULA) och integritetspolicy. Där bekräftar Ubisoft att man samlar in personuppgifter "för att kunna ge dig en bättre spelupplevelse", att det använder "analysverktyg från tredje part för att samla in information om dina och andra användares spelvanor och användning av produkten" och att det samlar in "speldata" såväl som "inloggnings- och surfningsdata".
Inte nödvändigt - och därför olagligt. Saken är den att: Den klagande har aldrig samtyckt till denna behandling. Enligt artikel 6.1 i GDPR innebär detta att behandlingen endast är laglig om den är nödvändig - vilket inte är fallet för den klagande. Eftersom han har köpt spelet på Steam är äganderätten redan bekräftad. Dessutom tillhandahåller Ubisoft ett (dolt) alternativ för att spela spelet offline, vilket visar att behandlingen av alla personuppgifter i standardkonfigurationen faktiskt inte är nödvändig. Och även om det vore så, skulle det inte förklara datainsamlingen medan ett spel spelas. Om Ubisoft vill ha data för att förbättra ett spel kan de bara be användarna om samtycke. Företaget kan också fråga spelare om de vill skicka enskilda felrapporter till sina servrar. Det verkar dock inte vara lagligt för en användares dator att skicka konstanta rapporter som standard.
Lisa Steinfeld, dataskyddsjurist på noyb: "Videospel är dyra - men det hindrar inte företag som Ubisoft från att tvinga sina kunder att spela offline-spel online i onödan, bara för att de ska kunna tjäna mer pengar genom att spåra deras beteende. Ubisofts agerande är helt klart olagligt och måste stoppas."
Klagomål inlämnat i Österrike. noyb har därför lämnat in ett GDPR-klagomål till den österrikiska dataskyddsmyndigheten (DSB). Vi begär att DSB ska förklara att Ubisoft har brutit mot artikel 6.1 i GDPR genom att behandla personuppgifter utan giltig rättslig grund. Dessutom begär vi att Ubisoft raderar all personlig information från den klagande som har behandlats utan giltig rättslig grund - och att företaget upphör med ytterligare olaglig behandling. Sist men inte minst föreslår vi att dataskyddsmyndigheten ålägger Ubisoft en administrativ sanktionsavgift. Baserat på Ubisofts omsättning på mer än 2 miljarder euroskulle dataskyddsmyndigheten kunna utfärda böter på upp till 92 miljoner euro.
