Assassin’s Creed oynarken verileriniz izinsiz toplanıyor olabilir: Ubisoft'a 92 milyon euro ceza talebi
- Fransız oyun stüdyosu Ubisoft, Assassin’s Creed ve Far Cry gibi tek oyunculu oyunlarında kullanıcıları çevrimiçi olmaya zorlayarak izinsiz veri toplamakla suçlandı.
- Avrupa merkezli veri koruma kuruluşu noyb, Ubisoft’un veri işleme faaliyetlerinin Avrupa Birliği Genel Veri Koruma Yönetmeliği’ne aykırı olduğunu belirterek, şirkete 92 milyon euro'ya kadar para cezası verilmesini talep etti.
- Oyun sırasında kullanıcı verilerinin izinsiz toplandığı ve Google, Amazon gibi üçüncü taraflara aktarıldığı iddia edildi.
Avrupalı veri koruma örgütü noyb (none of your business), Fransız oyun devi Ubisoft’a, tek oyunculu oyunlarda çevrimiçi olma zorunluluğu getirdiği ve kullanıcıların kişisel verilerini gereksiz şekilde işlediği gerekçesiyle şikayette bulundu.
Avusturya Veri Koruma Otoritesi’ne (DSB) yapılan başvuruda, Ubisoft'un Avrupa Birliği Genel Veri Koruma Yönetmeliği'ndeki (GDPR) maddeyi ihlal ettiği ve bu nedenle 92 milyon euro'ya kadar para cezasına çarptırılması gerektiği belirtildi.
Tek oyunculu oyunlarda bile internet bağlantısı zorunluluğu
Ubisoft’un Assassin's Creed, Far Cry ve Prince of Persia gibi serileri, tek oyunculu deneyime odaklı olarak tasarlanıyor. Ancak şirket, bu oyunları PC'de oynamak isteyen kullanıcıların internete bağlanmasını ve Ubisoft hesabına giriş yapmasını zorunlu kılıyor.
Noyb’un şikayetine göre, Steam’den Far Cry Primal satın alan bir kullanıcı, çevrimdışı modda oynamaya çalıştığında oyunun başlamadığını ve Ubisoft hesabına giriş yapması gerektiğini fark etti.
Noyb veri koruma avukatı Joakim Söderberg, durumu şöyle özetledi: "Monopoly adamının masanıza oturduğunu ve masa oyunu oynarken her hareketinizi kaydettiğini düşünün. Video oyunlarında da durum aynı: İnternet bağlantınız açık olduğu sürece verileriniz toplanıyor ve analiz ediliyor."
10 dakikada 150 veri aktarımı: Google, Amazon ve Datadog'a gönderildi
Teknolojiye hakim olan şikayetçi, oyun oynarken Ubisoft’un veri trafiğini inceledi. Sadece 10 dakika içinde oyun, dış sunucularla 150 kez bağlantı kurdu. Toplanan verilerin Google, Amazon ve ABD'li bulut yazılım şirketi Datadog gibi üçüncü taraflara aktarıldığı belirlendi.
Şikayetçi ayrıca GDPR 15. madde kapsamında Ubisoft’a bir erişim talebinde bulundu. Ubisoft, kullanıcı hakkında benzersiz bir tanımlayıcı, oyun başlatma ve çıkış zamanları gibi bilgileri topladığını kabul etti.
Ubisoft’un açıklamaları tatmin etmedi
Şikayetçi, detaylı bilgi almak için Ubisoft'un müşteri hizmetleriyle de iletişime geçti. Ubisoft, yalnızca oyun lansmanı sırasında sahiplik kontrolü yaptığını savundu ve diğer veri toplama faaliyetlerini kullanıcı sözleşmesine ve gizlilik politikasına yönlendirdi.
Bu belgelerde Ubisoft, 'daha iyi bir oyun deneyimi sunmak amacıyla' veri topladığını ve 'kullanıcıların oyun alışkanlıkları hakkında üçüncü taraf analiz araçlarıyla bilgi edinildiğini' doğruladı.
Ancak noyb, bu veri işlemenin gerekli olmadığını, oyuncuların rızası alınmadan gerçekleştirildiğini belirtiyor. Noyb avukatı Lisa Steinfeld, durumu şöyle değerlendirdi: "Video oyunları pahalı olabilir, ancak bu Ubisoft gibi şirketlerin müşterilerini izinsiz veri toplayarak daha fazla gelir elde etmek için çevrimiçi olmaya zorlamasını meşru kılmaz. Bu açıkça hukuka aykırıdır ve durdurulmalıdır."
'Veri toplama yasal dayanak olmadan yapılıyor'
Noyb’un iddiasına göre, Ubisoft'un veri işlemesi, GDPR 6(1) maddesine aykırı şekilde herhangi bir yasal dayanak olmaksızın yapılıyor.
Örgüt, Ubisoft'un:
- Şikayetçinin verilerini silmesini,
- Gelecekte hukuka aykırı veri işlemeyi durdurmasını,
- Ve şirkete 92 milyon euro'ya kadar idari para cezası kesilmesini talep etti.
Şikayet dosyasına göre, Ubisoft'un cirosu 2 milyar euro’yu aşıyor ve bu nedenle GDPR kapsamında ceza oranı yüzde 4 seviyesine kadar çıkabiliyor.
