HEI Medical Travel hefur, samkvæmt úrskurði Persónuverndar, verið gert að greiða 1,5 milljón króna í stjórnvaldssekt vegna ólögmætrar öflunar og meðferðar á netföngum. Fyrirtækið sérhæfir sig meðal annars í tannlækna- og hárígræðsluferðum.

Tildrög málsins voru að HEI – Medical Travel sendi út markpóst á fjölda íslenskra lækna þann 27. Janúar 2020. Enginn þeirra sem fékk umræddan póst kannaðist við að hafa skráð sig á lista hjá fyrirtækinu. Hófust þá umræður innan læknasamfélagsins um hvernig fyrirtækið komst yfir netföngin. Læknafélag Íslands barst kvörtun vegna málsins og hafði samband við HEI og fyrirtækið upplýsti félagið hvernig netfangalistinn hafi verið fenginn. Á starfsmaður fyrirtækisins að hafa nýtt sér aðgang að innri vef Læknafélagsins, útbúið þar lista með netföngum og svo nýtt til markaðssetningar fyrir HEI. Viðkomandi starfsmaður tengdist lækni fjölskylduböndum og þannig haft aðgang en nýtt það að honum óaðvitandi.

Læknafélagið tilkynnti öryggisbrestinn til Persónuverndar þann 30. Janúar 2020. Stofnunin gaf út í byrjun apríl 2020 að ekki væri ástæða til aðgerða af þeirra hálfu, enda um afmarkað og einstakt tilvik að ræða. Persónuvernd áréttaði þó að ef kæra bærist frá einstakling, gæti málið verið endurupptekið.

Einn viðtakandi umrædds markaðsspóst kærði svo atvikið til Persónuverndar í maí 2020. Viðkomandi var frá því í janúar búinn að vera í sambandi við HEI – Medical Travel til að fá afrit af öllum gögnum um hann hjá fyrirtækinu. Fékk hann þau svör að öllum upplýsingum sem hann vörðuðu hafi verið eytt í kjölfar kvartana. Hann var ekki sáttur með þau svör og kærði.

Persónuvernd tók málið aftur til meðferðar í kjölfar kærunnar, en við málsmeðferð sagði HEI að umræddur starfsmaður hafi minnst á að hafa aðgang að póstlistanum og fyrirtækið hafi viljað nýta sér það til að koma upplýsingum til lækna. Fyrirtækið sagðist ekki hafa vitað annað en að starfsmanninum væri heimilt nýta listann. Persónuvernd vísaði til þess að þrátt fyrir að fyrirtækið hafi í upphafi talið sig heimilt að nota umrædd netföng, þá leysi það fyrirtækið ekki undan skyldum sínum að tryggja að öll vinnsla persónuupplýsinga, á þeirra vegum, sé í samræmi við lög.

Talið var óumdeilt að fyrirtækið hafi ekki haft heimild til að afla og nýta umræddar upplýsingar með þessum hætti. Þegar af þeirri ástæðu var það niðurstaða Persónuverndar að HEI – Medical Travel skyldi greiða 1,5 milljón í sekt.