Пеня расчет: Калькулятор пеней 2021 | Формула расчета пеней по налогам

Пени = Сумма задолженности × Количество дней просрочки × Ключевая ставка × Размер штрафа

где размер свой для каждого типа задолженности.

Расчет пеней по налогам, сборам и страховым взносам

Размер пеней по налогам и взносам равняется 1/300 ставки рефинансирования. Это значение действительно для физических лиц и ИП, а также для юридических лиц, период просрочки которых не превышает 30 дней. Дело в том, что с 1 октября 2017 года изменился расчет штрафа для организаций: начиная с 31-го дня просрочки размер пеней будет составлять уже 1/150 ключевой ставки.

Если во время периода просрочки была изменена ключевая ставка, необходимо считать пени отдельно за каждый период, до и после изменения.

Механизм начисления пеней описан в статье 75 Налогового кодекса. Иногда возникают споры, необходимо ли включать день уплаты в период просрочки. На практике Налоговая служба всегда этот день включает и наш калькулятор разработан с учетом этой практики.

Пени за коммунальные услуги

С 1 января 2016 года за нарушение сроков оплаты коммунальных услуг штраф начисляется следующим образом:

— c 1 по 30 день просрочки — не начисляются.

— c 31 по 90 день просрочки — начисляются в размере 1/300 ключевой ставки ежедневно.

— c 91 дня — в размере 1/130 ключевой ставки.

Сделать такой расчет вручную довольно трудоемко, а наш калькулятор сделает все за вас.

Компенсация за несвоевременную выплату заработной платы

За просрочку в выплате зарплаты с организации можно потребовать компенсацию. Эта норма описана в Трудовом кодексе РФ, статья 236. Размер компенсации в этом случае — 1/150 ключевой ставки. Однако, ставка может быть изменена условиями трудового договора, но она не может быть ниже той, что установлена Трудовым кодексом.

Настройка расчета пени

Настройка расчета пени

Документы для настройки пени находятся в меню «Настройки расчета квартплаты», блок «Пени».

Если в вашей базе еще не настроены пени, то при открытии обработки «Настройки пени» программа предложит вам их настроить. Необходимо нажать на кнопку «Выполнить настройку?»

В открывшейся форме установки настроек пени следует указать:

1. Дату, с которой будут применяться настройки.

2. Значение ставки рефинансирования будет автоматически получено из центробанка.

3. Срок оплаты – это количество дней, в течение которых необходимо внести плату.

4. При необходимости установить флаг «использовать дату отсчета задолженности».

Если дата отсчета задолженности указана, то пени будут начисляться на задолженность, которая образуется с этой даты (на старую задолженность  — до  «Даты отсчета задолженности» пени начисляться не будут).

Если поле не заполнено, пени будут начисляться на всю задолженность.

5. Если необходимо, чтобы по услуге кап. ремонта было отдельное правило для расчета пени, необходимо установить соответствующий флаг. Отдельная настройка пени будет создана для видов услуг с настройкой «Капитальный ремонт».

6. При установке тумблера «По всем услугам» введенные настройки будут применены ко всем услугам в базе. Если необходимо присвоить настройки списку услуг, то следует выбрать «По списку услуг» и указать услуги в табличной части.

После установки всех настроек следует нажать кнопку «Установить».

В результате будут созданы документы «Изменение ставок расчета пени» и «Изменение расчета пени» с указанными настройками, а также будут записаны правила расчета пени.

В обработке на вкладке «Услуги без настроек» будут отображены все услуги, по которым еще не настроен расчет пени. Для установки настроек следует выбрать услуги, по которым необходимо установить настройки и нажать кнопку «Установить».

Вкладка «Постановление от 02.04.2020 №424»:

• По умолчанию установлен способ расчета «По-старому»
  . В этом случае изменения в расчете пени нет.
• При установке способа расчета «Не начислять», пени, начиная с 06.04.20, не будут начисляться. 
• При установке способа расчета «Начислять справочно», расчет и перерасчет пени выполняются в полном объеме за весь период. При этом в платежных документах (квитанции и ЕПД, ГИС ЖКХ) будут отражаться только пени, начисленные до 06.04.2020. При установке флага «Распределять оплату на пени, начисленные справочно» оплата будет распределяться на пени, начисленные после 06.04.2020. 

Расчет пени.
В обработке «Групповое начисление за услуги» необходимо выбрать действие по начислению пени – «Выполнить».

Можно сформировать отчет «Оборотно-сальдовую ведомость по пени» (пункт «Расчеты» — «Отчеты»).

Расшифровку начисления пени можно увидеть в отчете «Комментарий расчета». Данный отчет открывается непосредственно из документа «Начисление пени» и «Перерасчет пени». Чтобы его открыть необходимо выделить нужный документ и нажать на кнопку «Печать» — «Комментарий расчета».

Расшифровку начислений пени за произвольный период можно увидеть в отчете «Комментарий расчета пени», который находится в меню «Расчеты» –  блок «Отчеты».

Инструкция вам помогла?

ДаНет

39

Как исчислять срок просрочки по контрактам 44-ФЗ

За неисполнение обязательств по госконтракту предусмотрена ответственность как в виде штрафа в фиксированной сумме (см. Постановление Правительства РФ от 30.08.2017 N 1042), так и в виде пени, которая начисляется за каждый день просрочки исполнения обязательства в размере 1/300 ключевой ставки ЦБ РФ на дату уплаты пеней. Вопрос об исчислении срока просрочки важен именно для расчета пени.

В некоторых случаях, например, при закупке у единственного поставщика, требования ст. 34 Закона 44-ФЗ, связанные с установлением неустойки, не применяются. Ответственность за нарушение обязательств можно установить в таком случае так, как это делается в любом гражданско-правовом договоре.

Порядок определения начала и окончания течения срока, в течение которого начисляется пеня, подчиняется общим правилам исчисления сроков с особенностями, установленными Законом 44-ФЗ. Срок просрочки считают со дня, следующего за днем исполнения обязательств по контракту. При этом день, когда обязательство все же будет исполнено, включается в расчет просрочки.

Если заказчик расторгает контракт в одностороннем порядке, пени нужно начислять до момента его прекращения.

При расчете пени по любому обязательству, не только в рамках госконтракта, возникают вопросы, когда обязательство можно считать нарушенным и начать начислять пени.

В рамках практики по госзакупкам Верховный Суд РФ в Определении по делу А40-236034/2018 указал на то, что если подрядчик уложился и сдал в срок работы без учета времени на их приемку, то он не считается просрочившим. В период просрочки исполнения обязательства не подлежат включению дни, которые нужны заказчику для приемки работ или услуг и оформления итогов приемки.

При просрочке обязательств Заказчиком по оплате по контракту пеню рассчитывают от неуплаченной в срок суммы оплаты по госконтракту (п. 5 ст. 34 Закона 44-ФЗ).

Подрядчик (исполнитель) по госконтракту выполняет работы (оказывает услуги, продает товары), однако, пеню надо рассчитать в денежном выражении. Для этого цену контракта (или отдельного этапа контракта) уменьшают пропорционально тому объему обязательств, который уже фактически выполнен.

Учитывайте, что если подрядчик (исполнитель) нарушает не основное обязательство по контракту, то к нему предъявляют не требования о взыскании пени, а взыскивают штраф в порядке и размере, установленном Постановлением Правительства РФ от 30.08.2017 г. № 1042.

Разъяснения по этому поводу даны Верховным Судом Российской Федерации (далее – ВС РФ) в Определении от 13.08.2020 г. № 305-ЭС20-10760 (в конкретном случае указано на недопустимость выставления пени за несоблюдение сроков передачи сопроводительных документов).

В связи с внесением изменений в п. 7 ст. 34 Закона 44-ФЗ с 1 апреля 2020 года, в случае, если контракт разбит на этапы, то пени считаются исходя из стоимости каждого из этапов, даже если вы не предусмотрите это непосредственно в контракте.

НДС включается в сумму расчета пени, если только сторона не применяет налоговый режим, при котором она не является плательщиком НДС.

Если заказчик не может рассчитать потребность в товарах (объеме работ или услуг), то неустойку, в том числе пеню, можно рассчитать от максимального значения цены контракта.

1. Вопрос изменения размера ключевой ставки ЦБ РФ

В п . 5 и  п. 7 ст. 34 Закона 44-ФЗ буквально указано, что пеня рассчитывается на дату уплаты пеней. Но, т.к. ключевая ставка на протяжении всего действия контракта (особенно если это контракт с несколькими этапами) может меняться, возникают сложности при расчетах.

Исходя из разъяснений пункта 38 Обзора судебной практики, утвержденного Президиумом ВС РФ 28.06.2017 г., а также судебных актов ВС РФ о рассмотрении конкретных дел (Определения ВС РФ от 04.12.2018 N 302-ЭС18-10991, от 18.09.2019 N 308-ЭС19-8291, от 18.09.2019 N 308-ЭС19-8291), можно сделать вывод о том, что:

• если речь идет о неисполненных обязательствах по оплате по контракту – то сумма пени взыскивается на дату вынесения решения. Соответственно, при расчете используется ключевая ставка ЦБ РФ на соответствующую дату;
• при взыскании пени по добровольно исполненным обязательствам используется размер ключевой ставки на дату такого исполнения.

2. Действие отраслевых специальных норм при расчете пени

Если отраслевыми нормами установлены другие, отличные от Закона 44-ФЗ, правила определения неустойки (при заключении контрактов/договоров о газо- энерго- теплоснабжении, водоснабжении и водоотведении), то нужно руководствоваться специальными нормами. Как правило, отраслевые ставки для расчета пени выше, чем это установлено Законом 44-ФЗ.

Для расчета пени сумму неисполненных обязательств по госконтракту (или этапу контракта) умножают на 1/300 ключевой ставки ЦБ РФ на момент расчета пени и на количество дней просрочки.

К неустойкам (в.т.ч. пеням) по госконтрактам применяется общее правило статьи 333 ГК РФ о том, что такая неустойка может быть уменьшена в случае ее несоразмерности основному обязательству. Для этого должник должен заявить об уменьшении до окончания рассмотрения дела по существу и удаления суда 1 инстанции в совещательную комнату.

Если статья была вам полезна, пожалуйста, оцените ее по «звездной» шкале ниже, где 5 звезд — очень полезна.

Мы хотим, чтобы вы читали только интересные материалы, и будем благодарны за обратную связь!

Порядок расчета пеней / Оплата услуг ЖКХ / Жителям / Управляющая жилищная компания «Радомир-Инвест»

1. Главная
2. Жителям
3. Оплата услуг ЖКХ
4. Порядок расчета пеней

Порядок расчета пеней

Пени (от латинского poena — наказание) — это вид неустойки, штрафная санкция за неуплату в срок или несвоевременное выполнение обязательств, начисляющиеся в процентах от неоплаченной суммы за каждый просроченный день. Жилищный кодекс РФ ч.14, ст.155: «Лица, несвоевременно и (или) не полностью внесшие плату за жилое помещение и коммунальные услуги (должники), обязаны уплатить кредитору пени в размере одной трехсотой ставки рефинансирования Центрального банка Российской Федерации, действующей на момент оплаты, от невыплаченных в срок сумм за каждый день просрочки, начиная со следующего дня после наступления установленного срока оплаты по день фактической выплаты включительно…». Таким образом , если Вы оплатили не всю сумму, указанную в квитанции за жилое помещение и коммунальные услуги, или заплатили позднее 10 числа, то по Вашему лицевому счету будут начислены пени. Пени начисляются с 11 числа по день погашения долга включительно. Формула для расчета пеней: сумма задолженности х количество дней х 1/300 ставки рефинансирования ЦБ РФ.

Пени начисляются на задолженность: по оплате жилого помещения, по оплате коммунальных услуг (электроэнергия, газ, холодная вода, водоотведение, горячая вода, отопление).

Если Вы погашаете сумму основного долга, а начисленные пени нет, непогашенные пени складываются с суммой пеней за прошлые периоды и отражаются в квитанции за следующий месяц. Таким образом, если Вы оплачиваете только начисления за жилое помещение и коммунальные услуги, то начисленные ранее пени сохраняются по лицевому счету и суммируются с новой суммой. При поступлении денежных средств на лицевой счет, в первую очередь погашается задолженность, затем начисления за жилое помещение и коммунальные услуги и в последую очередь оплачиваются пени.

29 CFR § 2700.31 — Урегулирование штрафов. | CFR | Закон США

§ 2700.31 Урегулирование штрафа.

(а) Общие. Предлагаемый штраф, который был обжалован в Комиссии, может быть урегулирован только с одобрения Комиссии по ходатайству. Во всех судебных разбирательствах, за исключением разбирательств по делу о дискриминации, возникающих в соответствии с разделом 105 (c) Закона о шахтах, 30 U.S.C. 815 (c), ходатайство об урегулировании должно сопровождаться предложенным приказом об утверждении урегулирования. При рассмотрении дела о дискриминации сторона должна подать ходатайство об одобрении урегулирования, которое включает фактическую поддержку, описанную в параграфе (b) (1) настоящего раздела, и которое должно быть подано и вручено в соответствии с положениями 29 CFR 2700.5 и 2700,7 соответственно. При рассмотрении дела о дискриминации сторона не обязана подавать предложенное постановление.

(б) Содержание движения —

(1) Фактическое подтверждение. Ходатайство об одобрении урегулирования штрафа должно включать за каждое нарушение размер штрафа, предложенный Секретарем, размер штрафа, согласованный при урегулировании, и факты в поддержку штрафа, согласованного сторонами. Вместо того, чтобы подробно излагать такую ​​информацию, ходатайство может включать посредством ссылки информацию, которая была включена в сопровождающий предлагаемый порядок, как требуется параграфом (c) (1) этого раздела.

(2) Сертификация. Сторона, подающая ходатайство, должна подтвердить, что противная сторона уполномочила подающую сторону представить, что противная сторона согласна на удовлетворение ходатайства и внесение предлагаемого порядка утверждения урегулирования.

(c) Содержание предлагаемого заказа —

(1) Фактическое подтверждение. Предлагаемый приказ об утверждении штрафа должен включать за каждое нарушение размер штрафа, предложенный Секретарем, размер штрафа, согласованный при урегулировании, и факты в поддержку штрафа, согласованного сторонами.Формы для предложенных приказов об утверждении расчетов доступны на веб-сайте Комиссии (http://www.fmshrc.gov). Хотя от сторон не требуется использовать формы на веб-сайте Комиссии, если предлагаемые приказы не содержат соответствующей информации, ходатайство и предлагаемый приказ могут быть отклонены для подачи Комиссией в соответствии с параграфом (f) этого раздела. Предлагаемые заказы не подаются в формате PDF.

(2) Внешний вид по CLR. Если ходатайство было подано представителем по конференциям и судебным разбирательствам («CLR») от имени Секретаря, предлагаемый приказ об утверждении урегулирования, сопровождающий ходатайство, должен включать положение, в котором судья принимает CLR для представления Секретаря в соответствии с уведомление об ограниченном или неограниченном явке, ранее поданное в Комиссию.CLR не нужно получать разрешение от Комиссии на представление Секретаря, прежде чем CLR подаст ходатайство об утверждении урегулирования и предложенного порядка.

(d) Подача и вручение ходатайства вместе с предлагаемым приказом —

(1) Электронная архивация. Ходатайство и предлагаемый приказ должны быть поданы в электронном виде в соответствии с требованиями, изложенными в этом правиле и инструкциях на веб-сайте Комиссии (http://www.fmshrc.gov). Подача документов вступает в силу после их успешного получения Комиссией.

(i) Подписи. Любая строка подписи, изложенная в предложении об одобрении урегулирования, поданном в электронном виде, должна включать запись «/ s /», за которой следует машинописное имя стороны или представителя стороны, подающей документ, или графическая копия собственноручной подписи сторона или представитель стороны, подавшей документ. Такое представление подписи считается оригинальной подписью представителя для всех целей, если только представитель стороны не докажет, что такое представление подписи было несанкционированным.См. 29 CFR 2700.6.

(ii) Статус документов. Ходатайство и предлагаемый приказ, поданные в электронном виде, представляют собой письменные документы с целью применения процедурных правил Комиссии (29 CFR часть 2700), и такие правила применяются, если исключение из этих правил специально не указано в данном правиле.

(2) Подача не электронными средствами. Сторона может подать ходатайство об одобрении урегулирования и сопутствующего предложенного приказа неэлектронными средствами только с разрешения судьи.

(3) Сервис. Ходатайство об урегулировании и предлагаемый порядок должны быть вручены всем сторонам или, если стороны представлены, их представителям наиболее быстрым из возможных способов и не менее чем за пять рабочих дней до подачи ходатайства и предлагаемого постановления в Комиссию. Если сторона не может быть обслужена по электронной почте, факсимильной связью или коммерческой доставкой, копия ходатайства и предлагаемого заказа может быть доставлена ​​по почте. Сертификат обслуживания должен сопровождать ходатайство и предлагаемый заказ с указанием даты, метода обслуживания и всей используемой контактной информации.

(e) Подача ходатайства и предлагаемый порядок до подачи ходатайства. Если ходатайство об одобрении урегулирования и предлагаемый приказ подается в Комиссию до того, как Секретарь подал ходатайство об оценке штрафа, сторона, подающая заявку, также должна представить в виде приложений электронные копии предлагаемой оценки штрафа, а также цитаты и постановления, о которых идет речь. Если такие приложения поданы, Секретарь не должен подавать ходатайство о наложении штрафа.

(f) Непринятие предложения и предложенного порядка.Если сторона, подающая ходатайство об одобрении урегулирования и предложенное постановление, не включает в ходатайство и предлагаемое постановление соответствующую информацию, требуемую этим правилом и инструкциями Комиссии, размещенными на веб-сайте Комиссии, Комиссия не примет для подачи ходатайства и предложенного порядок. Скорее, Комиссия проинформирует подающую заявку сторону о необходимости исправления и повторного представления.

(г) Окончательный заказ. В любом приказе Судьи об утверждении мирового соглашения должны быть указаны причины одобрения, и он должен быть подтвержден протоколом.Такое распоряжение становится окончательным приказом Комиссии через 40 дней после выдачи, если Комиссия не потребовала пересмотра приказа. Судья может исправить опечатки в приказе об утверждении урегулирования в соответствии с положениями 29 CFR 2700.69 (c).

Информация о гражданских штрафах и правоприменении

Информация о правоприменении 2021

Обзор правоохранительных мероприятий OFAC по годам

2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003

Информационная карта по гражданским штрафам

Выбранные дополнительные мировые соглашения

Дополнительное руководство по политике OFAC в области правоприменения и соответствия

Положения, правила и положения, касающиеся расчетов OFAC и гражданских штрафов

Устав

Свод федеральных правил

• 31 CFR 501 Положение об отчетности, процедурах и штрафах

Уведомления Федерального реестра

• 86 FR 18895-21 — Корректировка суммы применимого графика
• 86 FR 14534-21 — Осуществление Федерального закона о регулировании инфляции в области гражданских наказаний
• 85 FR 54911-20 — Осуществление Федерального закона о регулировании инфляции в области гражданских наказаний
• 85 FR 48474-20 — Корректировка суммы применимого графика
• 85 FR 19884-20 — Осуществление Федерального закона о регулировании инфляции в области гражданских наказаний
• 84 FR 27714-19 — Осуществление Федерального закона о регулировании инфляции в области гражданских наказаний
• 83 FR 11876-18 — Осуществление Федерального закона о регулировании инфляции в области гражданских наказаний
• 82 FR 10434-17 — Осуществление Федерального закона о регулировании инфляции в области гражданских наказаний
• 81 FR 43070-16 — Осуществление Федерального закона о регулировании инфляции в области гражданских наказаний
• 74 FR 57593-09 — Правила исполнения OFAC
• 73 FR 32650-08 — Окончательное постановление о внесении поправок в положения о гражданском наказании в 17 частях нормативных актов, которыми занимается OFAC, в частности тех, для которых Закон о международных чрезвычайных экономических полномочиях («IEEPA») предусматривает полномочия по гражданским штрафам
• 71 FR 29251-06 — пересмотренные правила, отражающие поправки к Закону о международных чрезвычайных экономических полномочиях (IEEPA), внесенные Законом о борьбе с финансированием терроризма 2005 года.
• 70 FR 15761-05 — Административное взыскание гражданских штрафов в Положениях о контроле за активами Ирана, Положениях о санкциях в отношении Ливии и Положениях о санкциях в отношении Ирака
• 68 FR 61359-03 — Выполнение требований Федерального закона о регулировании инфляции в области гражданских наказаний от 1990 г.
• 68 FR 53640-03 — Права и процедуры гражданских наказаний в рамках программы санкций против Кубы

FTC вводит штраф в размере 5 миллиардов долларов и новые ограничения конфиденциальности на Facebook

ПРИМЕЧАНИЕ. FTC организовала ЛИЧНУЮ пресс-конференцию в штаб-квартире FTC, 600 Pennsylvania Ave, NW, Вашингтон Д.С., 24 июля 2019 г. Смотрите архивную видеозапись пресс-конференции.

В числе участников: председатель Федеральной торговой комиссии Джо Саймонс, члены Комиссии Федеральной торговой комиссии Ноа Джошуа Филлипс и Кристин С. Уилсон, а также Густав В. Эйлер, директор Отдела защиты прав потребителей Департамента юстиции по гражданским делам.

Facebook, Inc. заплатит рекордный штраф в размере 5 миллиардов долларов и подчинится новым ограничениям и измененной корпоративной структуре, которая будет требовать от компании ответственности за решения, которые она принимает в отношении конфиденциальности своих пользователей, для урегулирования обвинений Федеральной торговой комиссии в том, что Компания нарушила приказ Федеральной торговой комиссии от 2012 года, обманув пользователей относительно их способности контролировать конфиденциальность их личной информации.

Штраф в размере 5 миллиардов долларов, наложенный на Facebook, — самый крупный штраф, когда-либо наложенный на любую компанию за нарушение конфиденциальности потребителей, и почти в 20 раз больше, чем самый крупный штраф за конфиденциальность или безопасность данных, когда-либо наложенный во всем мире. Это один из самых больших штрафов, когда-либо применявшихся правительством США за любое нарушение.

Объявленный сегодня порядок урегулирования также налагает новые беспрецедентные ограничения на бизнес-операции Facebook и создает множество каналов для соблюдения требований. Постановление требует, чтобы Facebook реструктурировал свой подход к конфиденциальности с уровня корпоративного совета директоров и установил новые надежные механизмы, гарантирующие, что руководители Facebook несут ответственность за решения, которые они принимают в отношении конфиденциальности, и что эти решения подлежат значительному надзору.

«Несмотря на неоднократные обещания миллиардам пользователей по всему миру, что они могут контролировать распространение их личной информации, Facebook подорвал выбор потребителей», — сказал председатель FTC Джо Саймонс. «Размер штрафа в размере 5 миллиардов долларов и радикальное облегчение поведения беспрецедентны в истории Федеральной торговой комиссии. Облегчение предназначено не только для наказания будущих нарушений, но, что более важно, для изменения всей культуры конфиденциальности Facebook, чтобы снизить вероятность продолжающихся нарушений.Комиссия серьезно относится к конфиденциальности потребителей и будет обеспечивать выполнение распоряжений Федеральной торговой комиссии по всей строгости закона ».

«Министерство юстиции обязуется защищать конфиденциальность данных потребителей и следить за тем, чтобы компании, работающие в социальных сетях, такие как Facebook, не вводили людей в заблуждение относительно использования их личной информации», — сказал помощник генерального прокурора Джоди Хант из Гражданского отдела Министерства юстиции. «Исторические штрафы и условия соблюдения этого мирового соглашения пойдут на пользу американским потребителям, и Департамент ожидает, что Facebook будет относиться к своим обязательствам по обеспечению конфиденциальности со всей серьезностью.”

Facebook ежедневно используют более 185 миллионов человек в США и Канаде. Facebook монетизирует пользовательскую информацию с помощью целевой рекламы, которая принесла компании большую часть доходов в размере 55,8 млрд долларов в 2018 году. Чтобы побудить пользователей делиться информацией на своей платформе, Facebook обещает пользователям, что они могут контролировать конфиденциальность своей информации с помощью настроек конфиденциальности Facebook.

После годичного расследования, проведенного FTC, Министерство юстиции подает жалобу от имени Комиссии, утверждая, что Facebook неоднократно использовал вводящие в заблуждение сообщения и настройки, чтобы подорвать предпочтения пользователей в отношении конфиденциальности в нарушение своего приказа FTC от 2012 года.Эта тактика позволила компании поделиться личной информацией пользователей со сторонними приложениями, которые были загружены «друзьями» пользователя в Facebook. FTC утверждает, что многие пользователи не знали, что Facebook делится такой информацией, и поэтому не предприняли шагов, необходимых для отказа от обмена.

Кроме того, FTC утверждает, что Facebook предпринял неадекватные шаги для борьбы с приложениями, которые, как он знал, нарушали политику платформы.

В связи с этим, но отдельно, FTC также объявила сегодня об отдельных действиях правоохранительных органов против компании по анализу данных Cambridge Analytica, ее бывшего генерального директора Александра Никса и Александра Когана, разработчика приложения, который работал с компанией, утверждая, что они использовали ложные сведения. и обманные методы сбора личной информации миллионов пользователей Facebook.Коган и Никс договорились о соглашении с FTC, которое ограничит их ведение бизнеса в будущем.

Новые требования к заказу в Facebook

Чтобы Facebook не обманывал своих пользователей относительно конфиденциальности в будущем, новый 20-летний приказ FTC пересматривает способ принятия компанией решений о конфиденциальности, повышая прозрачность принятия решений и обеспечивая подотчетность Facebook через перекрывающиеся каналы соответствия.

Приказ повышает подотчетность на уровне совета директоров.Он создает независимый комитет по конфиденциальности при совете директоров Facebook, что устраняет неограниченный контроль со стороны генерального директора Facebook Марка Цукерберга над решениями, влияющими на конфиденциальность пользователей. Члены комитета по конфиденциальности должны быть независимыми и назначаются независимым комитетом по назначениям. Члены могут быть уволены только подавляющим большинством в совете директоров Facebook.

Приказ также улучшает подотчетность на индивидуальном уровне. Facebook будет необходимо назначить сотрудников по комплаенсу, которые будут отвечать за программу конфиденциальности Facebook.Эти должностные лица должны быть одобрены новым комитетом совета директоров по конфиденциальности и могут быть удалены только этим комитетом, а не генеральным директором Facebook или сотрудниками Facebook. Генеральный директор Facebook Марк Цукерберг и назначенные сотрудники по комплаенсу должны независимо предоставлять FTC ежеквартальные подтверждения того, что компания соблюдает программу конфиденциальности, предусмотренную приказом, а также ежегодное подтверждение того, что компания в целом соблюдает этот приказ. Любая ложная справка повлечет за собой индивидуальную гражданскую и уголовную ответственность.

Приказ также усиливает внешний надзор за Facebook. Приказ расширяет возможности независимого стороннего эксперта по оценке эффективности программы обеспечения конфиденциальности Facebook и выявления любых пробелов. Двухгодичные оценки программы обеспечения конфиденциальности Facebook оценщиком должны основываться на независимом сборе фактов, выборке и тестировании оценщиком и не должны в первую очередь полагаться на утверждения или подтверждения со стороны руководства Facebook. Приказ запрещает компании давать какие-либо искажения оценщику, который может быть одобрен или удален FTC.Важно отметить, что независимый оценщик должен будет ежеквартально отчитываться перед новым комитетом совета по конфиденциальности. Приказ также разрешает FTC использовать инструменты обнаружения, предусмотренные Федеральными правилами гражданского судопроизводства, для отслеживания соблюдения Facebook этого приказа.

В рамках обязательной программы конфиденциальности Facebook, которая охватывает WhatsApp и Instagram, Facebook должен проводить проверку конфиденциальности каждого нового или измененного продукта, услуги или практики до их внедрения и задокументировать свои решения о конфиденциальности пользователей.Назначенные сотрудники по комплаенсу должны составлять ежеквартальный отчет о проверке конфиденциальности, который они должны передавать генеральному директору и независимому эксперту, а также FTC по запросу агентства. Приказ также требует, чтобы Facebook документировал инциденты, когда данные 500 или более пользователей были скомпрометированы, и свои усилия по устранению такого инцидента, а также доставлял эту документацию в Комиссию и оценщику в течение 30 дней с момента обнаружения компанией инцидента.

Кроме того, приказ налагает значительные новые требования к конфиденциальности, в том числе следующие:

• Facebook должен осуществлять более строгий надзор за сторонними приложениями, в том числе путем увольнения разработчиков приложений, которые не могут подтвердить, что они соблюдают политику платформы Facebook или не могут обосновать свою потребность в определенных пользовательских данных;
• Facebook запрещено использовать телефонные номера, полученные для включения функции безопасности (например,ж., двухфакторная аутентификация) для рекламы;
• Facebook должен предоставить четкое и заметное уведомление об использовании технологии распознавания лиц и получить явно выраженное согласие пользователя до любого использования, которое существенно превышает ранее раскрытые им сведения;
• Facebook должен разработать, внедрить и поддерживать комплексную программу защиты данных;
• Facebook должен шифровать пароли пользователей и регулярно сканировать, чтобы определить, хранятся ли какие-либо пароли в виде открытого текста; и
• Facebook запрещено запрашивать пароли электронной почты для других сервисов, когда потребители подписываются на его сервисы.

Заявление о нарушении приказа от 2012 г.

Мировое соглашение связано с предполагаемыми нарушениями распоряжения Федеральной торговой комиссии США 2012 года об урегулировании с Facebook. Среди прочего, приказ 2012 года запрещает Facebook искажать информацию о конфиденциальности или безопасности личной информации потребителей, а также о том, в какой степени она передает личную информацию, такую ​​как имена и даты рождения, третьим лицам. Это также потребовало от Facebook поддержки разумной программы обеспечения конфиденциальности, обеспечивающей конфиденциальность и конфиденциальность информации о пользователях.

FTC утверждает, что Facebook нарушил приказ 2012 года, обманув своих пользователей, когда компания делилась данными друзей пользователей Facebook со сторонними разработчиками приложений, даже когда эти друзья установили более строгие настройки конфиденциальности.

В мае 2012 года Facebook добавил на свою центральную страницу «Настройки конфиденциальности» информацию о том, что информация, переданная друзьям пользователя в Facebook, также может быть передана в приложения, используемые этими друзьями. FTC утверждает, что через четыре месяца после того, как заказ 2012 года был завершен в августе 2012 года, Facebook удалил это раскрытие с центральной страницы «Настройки конфиденциальности», несмотря на то, что он все еще обменивался данными друзей пользователя приложения в Facebook со сторонними разработчиками.

Кроме того, Facebook запустил различные службы, такие как «Ярлыки конфиденциальности» в конце 2012 года и «Проверка конфиденциальности» в 2014 году, которые, как утверждается, помогают пользователям лучше управлять своими настройками конфиденциальности. Эти службы, однако, якобы не раскрыли, что даже когда пользователи выбирают самые ограничительные настройки совместного использования, Facebook все равно может делиться информацией о пользователе с приложениями друзей пользователя Facebook, если они также не перешли на «страницу настроек приложений» и не отказались от такой обмен. FTC утверждает, что компания не раскрывала нигде на странице настроек конфиденциальности или в разделе «О программе» страницы профиля, что Facebook все еще может делиться информацией со сторонними разработчиками на платформе Facebook о друзьях пользователей приложения в Facebook.

Facebook объявил в апреле 2014 года, что прекратит позволять сторонним разработчикам собирать данные о друзьях пользователей приложения («данные о друзьях»). Несмотря на это обещание, компания отдельно сообщила разработчикам, что они могут собирать эти данные до апреля 2015 года, если у них уже есть существующее приложение на платформе. FTC утверждает, что Facebook дождался по крайней мере до июня 2018 года, чтобы прекратить делиться информацией о пользователях со сторонними приложениями, используемыми их друзьями в Facebook.

Кроме того, в жалобе утверждается, что Facebook ненадлежащим образом контролировал разработчиков приложений на своей платформе.FTC утверждает, что, как правило, Facebook не проверял разработчиков или их приложения перед тем, как предоставить им доступ к огромным объемам пользовательских данных. Вместо этого Facebook якобы требовал от разработчиков согласия с политикой и условиями Facebook только при регистрации своего приложения на платформе Facebook. Компания утверждала, что полагается на администрирование последствий нарушений политики, которые впоследствии привлекли ее внимание после того, как разработчики уже получили данные о пользователях Facebook. В жалобе, однако, утверждается, что Facebook не применял такую ​​политику последовательно и часто основывал ее на том, извлекла ли Facebook финансовую выгоду из своих договоренностей с разработчиком, и что эта практика нарушала требование постановления 2012 года поддерживать разумную программу конфиденциальности.

FTC также утверждает, что Facebook искажал способность пользователей контролировать использование технологии распознавания лиц со своими учетными записями. Согласно жалобе, обновленная в апреле 2018 года политика данных Facebook вводила в заблуждение десятки миллионов пользователей, у которых есть параметр распознавания лиц Facebook под названием «Предложения тегов», поскольку этот параметр был включен по умолчанию, а обновленная политика данных предполагала, что пользователи необходимо будет включить распознавание лиц для своих учетных записей.

В дополнение к этим нарушениям своего приказа от 2012 года FTC утверждает, что Facebook нарушил закон FTC о запрете обманных действий, когда он сказал пользователям, что будет собирать их номера телефонов для включения функции безопасности, но не сообщил, что он также использовал эти номера. в рекламных целях.

Комиссия проголосовала за передачу жалобы и вынесение окончательного решения в Министерство юстиции со счетом 3: 2. Департамент подаст жалобу и огласит окончательный приказ в U.S. Окружной суд округа Колумбия. Председатель Саймонс вместе с членами Комиссии Ноа Джошуа Филлипс и Кристин С. Уилсон выступили с заявлением по этому поводу. Комиссары Рохит Чопра и Ребекка Келли Слотер сделали отдельные заявления по этому поводу.

ПРИМЕЧАНИЕ: Комиссия подает жалобу, когда у нее есть «основания полагать», что названные ответчики нарушают или собираются нарушить закон, и Комиссия считает, что судебное разбирательство отвечает общественным интересам.Предусмотренные окончательные постановления имеют силу закона, если они утверждены и подписаны судьей районного суда.

Федеральная торговая комиссия работает над поощрением конкуренции, а также защитой и обучением потребителей. Вы можете узнать больше о потребителях и подать жалобу через Интернет или по телефону 1-877-FTC-HELP (382-4357). Как FTC на Facebook, подписывайтесь на нас в Twitter, читайте наши блоги и подписывайтесь на пресс-релизы для получения последних новостей и ресурсов FTC.

FirstEnergy обвиняется в федеральном порядке, соглашается с условиями урегулирования отсрочки судебного преследования | USAO-SDOH

CINCINNATI — FirstEnergy Corp.был обвинен на федеральном уровне в сговоре с целью мошенничества с использованием электронных средств связи и согласился выплатить денежный штраф в размере 230 миллионов долларов. Компания подписала соглашение об отсрочке судебного преследования, которое потенциально может привести к снятию обвинения.

Обвинение и согласие связаны с продолжающимся судебным преследованием по делу о коррупции, проводимым прокуратурой США. В сегодняшних судебных документах FirstEnergy Corp., холдинговая коммунальная компания из Акрона, штат Огайо, признает, что вступила в сговор с государственными должностными лицами и другими физическими и юридическими лицами, чтобы выплатить миллионы долларов государственным должностным лицам в обмен на конкретные официальные действия для FirstEnergy Corp.Выгода.

FirstEnergy Corp. признала в соглашении об отсрочке судебного преследования, что она заплатила миллионы долларов избранному государственному должностному лицу через якобы 501 (c) (4) этого должностного лица в обмен на официальное соблюдение ядерного законодательства в интересах FirstEnergy Corp.

Компания также подтвердила, что она использовала объекты 501 (c) (4), включая одну, которую она контролировала, для продвижения схемы, поскольку она позволяла некоторым FirstEnergy Corp.руководители и сообщники, чтобы скрыть от общественности характер, источник и контроль платежей.

FirstEnergy Corp. также подтвердила, что выплатила 4,3 миллиона долларов второму государственному должностному лицу. В свою очередь, это лицо действовало в своем официальном качестве для продвижения интересов First Energy Corp., связанных с принятием ядерного законодательства и другими приоритетами компании.

FirstEnergy Corp. в значительной степени сотрудничала с правительством, и в соответствии с соглашением об отсрочке судебного преследования компания должна продолжать в полной мере сотрудничать с Соединенными Штатами по всем вопросам, связанным с поведением компании, описанным в соглашении, и другим поведением, расследуемым правительством. , среди других обязательств.

Например, в течение 60 дней с момента подачи сегодняшней заявки FirstEnergy Corp. должна выплатить 115 миллионов долларов США и 115 миллионов долларов США по плану Procentage of Income Payment Plus Агентства развития штата Огайо, программе, которая предоставляет помощь жителям штата Огайо в оплате их регулируемых коммунальных предприятий. счета.

Другие условия в соглашении включают публичное раскрытие на своем веб-сайте любых вкладов FirstEnergy Corp. в организации и организации 501 (c) (4), известные FirstEnergy Corp.действовать в интересах государственного должностного лица, прямо или косвенно, и принимать различные меры для улучшения корпоративного соответствия в будущем.

В рамках соглашения FirstEnergy Corp. признала факты, указанные в Информации и изложенные в Заявлении о фактах, в котором подробно описаны действия руководителей FirstEnergy Corp. по выплате денег государственным должностным лицам в обмен на официальные действия. Как корпорация FirstEnergy Corp. несет ответственность за действия своих нынешних и бывших должностных лиц, директоров, сотрудников и агентов.

Випал Дж. Патель, исполняющий обязанности прокурора США в Южном округе Огайо, и Крис Хоффман, ответственный специальный агент Федерального бюро расследований (ФБР), округ Цинциннати, объявили об обвинении и согласились. Заместитель начальника уголовного правосудия Эмили Н. Глатфелтер и помощник прокурора США Мэтью С. Сингер представляют Соединенные Штаты в этом деле.

# #

Платежи пострадавшим потребителям по делам

Когда мы принимаем принудительные меры против лица или компании за нарушение закона о финансовой защите потребителей, иногда это лицо или компания может быть вынуждено компенсировать своим потребителям причиненный ими вред.

Некоторыми платежами управляет ответчик (называемый «ответчиком» в административном иске). В других случаях мы можем потребовать от лица или компании, нарушившей закон, произвести платеж в пользу CFPB, а затем распределить эти деньги среди жертв.

Во многих случаях ответчики управляют выплатой возмещения самостоятельно или через назначенного администратора урегулирования.Специфика процесса возмещения ущерба определяется индивидуально в каждом отдельном правоприменительном действии.

По вопросам, связанным с выплатами по делу с возмещением, администрируемым ответчиком, обращайтесь напрямую в компанию-ответчик.

В некоторых случаях приказ может потребовать от лица или компании, нарушившей закон, выплатить нам возмещение, а затем мы распределим эти деньги между потерпевшими.Мы часто нанимаем стороннего администратора для отправки этих платежей жертвам.

По вопросам, связанным с выплатами по делу с возмещением, администрируемым Бюро, см. Отдельные случаи ниже.

В некоторых случаях, когда доступное возмещение недостаточно для полной компенсации потребителям причиненного им вреда, Бюро может выплачивать компенсацию потерпевшим из Гражданского штрафного фонда Бюро.Деньги в Гражданский штрафной фонд поступают от штрафов, которые Бюро получает в результате принудительных действий в отношении юридических и физических лиц, нарушивших закон.

Гражданский штрафной фонд и управляемые Бюро выплаты компенсации потерпевшим

— 14 апреля 2021 г .: Суперинтендант DFS Ласуэлл объявляет о соглашении о кибербезопасности с лицензированной страховой компанией

Пресс-релиз

14 апреля 2021 г.

Суперинтендант финансовых услуг Линда А.Ласуэлл объявила сегодня, что Национальная корпорация ценных бумаг («Национальные ценные бумаги») выплатит штату Нью-Йорк штраф в размере 3 миллионов долларов за нарушение Положения о кибербезопасности DFS, которое привело к раскрытию значительного количества конфиденциальных, закрытых личных данных, принадлежащих ее клиентам. , включая тысячи потребителей в Нью-Йорке.

«Департамент по-прежнему привержен ведущим национальным мерам для обеспечения того, чтобы все лицензиаты соблюдали Регламент кибербезопасности DFS и защищали личные данные всех потребителей», — сказал суперинтендант Ласуэлла . «Поскольку киберугрозы продолжают расти, Департамент ожидает, что регулируемые лицензиаты будут уделять приоритетное внимание кибербезопасности и защите личных данных».

National Securities, лицензированная страховая компания, собирает частные данные в ходе своей повседневной деятельности, продавая страхование жизни, страхование от несчастных случаев и медицинское страхование, а также страхование жизни с переменным / переменным аннуитетом. В ходе расследования Департамента были обнаружены доказательства того, что в период с 2018 по 2020 год национальные ценные бумаги подверглись четырем кибербезопасным нарушениям, о двух из которых не было сообщено в Департамент в соответствии с Положением о кибербезопасности.

Эти кибер-нарушения включали несанкционированный доступ к учетным записям электронной почты сотрудников National Securities и независимых подрядчиков, которые имеют доступ к значительному количеству конфиденциальных личных данных клиентов National Securities. Расследование показало, среди прочего, что National Securities нарушила Регламент кибербезопасности DFS, не реализовав многофакторную аутентификацию («MFA») и не реализовав разумно эквивалентные или более безопасные средства контроля доступа, одобренные в письменной форме главным сотрудником по информационной безопасности компании. .Кроме того, National Securities ложно сертифицировала соблюдение Регламента кибербезопасности на 2018 календарный год из-за того, что MFA не был полностью реализован.

В рамках урегулирования компания National Securities согласилась на штраф и приступила к дальнейшим улучшениям своей существующей программы кибербезопасности, гарантируя, что ее средства контроля кибербезопасности полностью соответствуют Положению о кибербезопасности.

DFS о кибербезопасности вступил в силу в марте 2017 года.Положение о кибербезопасности было разработано при значительном участии отрасли: DFS провела опрос почти 200 регулируемых банковских учреждений и страховых компаний, встретилась с различными опрошенными и экспертами по кибербезопасности в течение периода разработки и предоставила два раунда уведомления и комментариев. Для нескольких положений было предоставлено дополнительное время, и постановление не полностью вступило в силу до марта 2019 года.

DFS послужил образцом для других регулирующих органов, включая U.S. Федеральная торговая комиссия, несколько штатов, Национальная ассоциация комиссаров по страхованию и Конференция надзорных органов штатов.

Чтобы получить копию приказа о согласии, перейдите на сайт DFS.

###

Самые большие штрафы, пени и платежи за нарушение данных на сегодняшний день

Значительные штрафы, начисленные за утечку данных с 2019 года, свидетельствуют о том, что регулирующие органы все более серьезно относятся к организациям, которые не защищают данные потребителей должным образом.Marriott был оштрафован на 124 миллиона долларов, который позже был уменьшен, в то время как Equifax согласился выплатить минимум 575 миллионов долларов за нарушение в 2017 году.

Это произошло после активного 2018 года. Плохая работа Uber с утечкой информации в 2016 году обошлась Uber почти в 150 миллионов долларов. Слабо защищенные и жестко регулируемые данные о здоровье в этом году стоили медицинским учреждениям больших затрат, в результате чего Министерство здравоохранения и социальных служб США взимало все более крупные штрафы.

Equifax: (как минимум) 575 миллионов долларов

В 2017 году Equifax потерял личную и финансовую информацию почти 150 миллионов человек из-за непропатченного фреймворка Apache Struts в одной из своих баз данных.Компания не смогла исправить критическую уязвимость через несколько месяцев после выпуска патча, а затем не проинформировала общественность о нарушении в течение нескольких недель после его обнаружения.

В июле 2019 года кредитное агентство согласилось выплатить 575 миллионов долларов США — потенциально увеличиваясь до 700 миллионов долларов — в рамках мирового соглашения с Федеральной торговой комиссией, Бюро финансовой защиты потребителей (CFPB) и всеми 50 штатами и территориями США над территорией компании. «непринятие разумных мер для защиты своей сети.«

300 миллионов долларов из этой суммы пойдут в фонд, предоставляющий пострадавшим потребителям услуги кредитного мониторинга (еще 125 миллионов долларов будут добавлены, если первоначального платежа будет недостаточно для компенсации потребителям), 175 миллионов долларов пойдут в 48 штатов, округ Колумбия. и Пуэрто-Рико, а 100 миллионов долларов пойдут в CFPB. Мировое соглашение также требует, чтобы компания каждые два года получала сторонние оценки своей программы информационной безопасности.

«Компании, извлекающие прибыль из личной информации, несут дополнительную ответственность за защиту и защитите эти данные », — сказал председатель Федеральной торговой комиссии Джо Саймонс.«Equifax не предприняла основных шагов, которые могли бы предотвратить нарушение, затронувшее примерно 147 миллионов потребителей».

Equifax уже был оштрафован в Великобритании на 500000 фунтов стерлингов [~ 625000 долларов США] за нарушение в 2017 году, что было максимальным штрафом, разрешенным в соответствии с Законом о защите данных 1998 года до принятия GDPR. на нарушение: 7,75 миллиона долларов (плюс 2 миллиона долларов на судебные издержки) финансовым учреждениям в США плюс 18,2 миллиона и 19,5 миллиона долларов штатам Массачусетс и Индиана соответственно.

Home Depot: ~ 200 миллионов долларов

В 2014 году Home Depot была вовлечена в одну из крупнейших утечек данных на сегодняшний день, связанную с системой кассовых терминалов (POS), что привело к выплате ряда штрафов и выплат. Украденные учетные данные третьей стороны позволили злоумышленникам проникнуть в сеть Home Depot, повысить привилегии и в конечном итоге взломать POS-систему. За пятимесячный период с апреля по сентябрь 2014 года было украдено более 50 миллионов номеров кредитных карт и 53 миллиона адресов электронной почты.

Home Depot, как сообщается, выплатила не менее 134,5 миллиона долларов компаниям, выпускающим кредитные карты, и банкам в результате взлома. Кроме того, в 2016 году Home Depot согласилась выплатить 19,5 миллиона долларов клиентам, пострадавшим от взлома, включая стоимость услуг кредитного мониторинга для жертв взлома. В 2017 году фирма согласилась выплатить дополнительно 25 миллионов долларов пострадавшим от нарушения финансовым учреждениям, которые могли быть востребованы потерпевшими, и покрыть убытки банков.

Нарушения могут повлечь за собой большие расходы, особенно когда речь идет о штрафах и расчетах.В ноябре 2020 года ритейлер заплатил еще 17,5 млн долларов 46 штатам США и Вашингтону за нарушение. Соглашение также обязывает Home Depot нанимать высококвалифицированного директора по информационной безопасности, проводить обучение по вопросам безопасности для ключевого персонала и обеспечивать меры безопасности и политики в таких областях, как идентификация и доступ, мониторинг и реагирование на инциденты.

Uber: 148 миллионов долларов

В 2016 году приложение Uber для перевозки пассажиров взломало 600 000 водителей и 57 миллионов учетных записей пользователей. Вместо того, чтобы сообщить об инциденте, компания заплатила злоумышленнику 100 000 долларов, чтобы он держал взлом в секрете.Однако эти действия дорого обошлись компании. В 2018 году компания была оштрафована на 148 миллионов долларов — крупнейший штраф за нарушение данных в истории на тот момент — за нарушение государственных законов об уведомлении об утечке данных.

Yahoo: 85 миллионов долларов

В 2013 году Yahoo испытала серьезное нарушение безопасности, затронувшее всю базу данных, около 3 миллиардов учетных записей — почти все население Интернета. Однако компания не раскрывала эту информацию в течение трех лет.

В апреле 2018 г.Комиссия по ценным бумагам и биржам (SEC) оштрафовала компанию на 35 миллионов долларов за нераскрытие информации о нарушении. В сентябре новый владелец Yahoo, Альтаба, признал, что урегулировал коллективный иск, возникший в результате нарушения, на сумму 50 миллионов долларов.

Общий счет в 85 миллионов долларов за 3 миллиарда учетных записей составляет около 36 долларов за запись.

Capital One: 80 миллионов долларов

В 2019 году банк Captial One пострадал от взлома, затронувшего 100 миллионов человек в США и 6 миллионов в Канаде.Компания заявила, что «посторонний человек», позже идентифицированный как бывший инженер-программист Amazon Web Services Пейдж Томпсон, получил личную информацию о клиентах кредитных карт Capital One и лицах, подавших заявки на продукты кредитных карт, через уязвимость конфигурации в брандмауэре веб-приложения компании. .

Полученная информация включала имена, адреса, почтовые индексы / почтовые индексы, номера телефонов, адреса электронной почты, даты рождения, собственный доход, а также кредитные баллы, кредитные лимиты, остатки, историю платежей, контактную информацию, фрагменты данных транзакции , некоторые номера социального страхования и некоторые номера банковских счетов.

Управление валютного контролера оштрафовало Capital One на 80 миллионов долларов за «неспособность установить эффективные процессы оценки рисков» при переносе операций в среду общедоступного облака, а также «неспособность своевременно исправить недостатки».

Morgan Stanley: 60 миллионов долларов

Несмотря на отсутствие нарушений, отказ от проведения надежных процессов вывода оборудования из эксплуатации обошелся Morgan Stanley после того, как компания не оправдала ожиданий регулирующего органа.В октябре 2020 года Управление валютного контролера США (OCC) оштрафовало банк на 60 миллионов долларов за неспособность должным образом списать оборудование, содержащее данные управления капиталом из двух его центров обработки данных в США, в 2016 году.

По данным OCC, банк « не осуществили надлежащий надзор »за выводом центров из эксплуатации. Перечисленные проблемы включают неспособность эффективно оценить или устранить риски, связанные с выводом оборудования из эксплуатации, отсутствие оценки рисков и должной осмотрительности в отношении использования сторонних поставщиков или мониторинга производительности поставщиков, а также неспособность вести соответствующий инвентарь данных о клиентах, хранящихся на сервере. устройств.

OCC заявило, что в 2019 году банк столкнулся с аналогичными недостатками средств контроля со стороны поставщиков в связи с выводом из эксплуатации устройств глобальных служб приложений, но признал, что с тех пор Morgan Stanley предпринял корректирующие действия и «обязуется» предпринять необходимые и соответствующие шаги для устранения недостатков. .

В то время как Morgan Stanley сделал заявление, в котором говорится, что он не считает, что информация о клиентах была получена или использована не по назначению в результате ее предыдущих действий, компания также столкнулась с иском о утечке данных на сумму 5 миллионов долларов в связи с этими сбоями.

British Airways: 26,2 миллиона долларов

Несмотря на все угрозы и опасения по поводу возможного размера штрафов, первые 12 месяцев действия Общего регламента ЕС по защите данных (GDPR) практически не имели карательных мер. Штрафы, наложенные фирмами по защите данных в континентальной Европе за утечки данных, составляли десятки или сотни тысяч евро и соответствовали видам находок, которые компании получали в соответствии с предыдущими правилами. Ситуация быстро изменилась после того, как British Airways (BA) была оштрафована на рекордные 183 миллиона фунтов стерлингов [~ 230 миллионов долларов] после того, как авиакомпания была оштрафована органом по защите данных Великобритании, ICO, после того, как группа Magecart использовала скрипты для снятия карт для сбора личных и данные о платежах до 500 000 клиентов за двухнедельный период.

ICO заявило, что его расследование показало, что «плохие меры безопасности в компании» привели к нарушению. Штраф BA показывает, что у этого правила есть настоящие зубы, и органы по защите данных не боятся использовать свои полномочия. Учитывая, что GDPR был одним из основных драйверов для повышения безопасности в повестке дня советов директоров, это даст ОГО и предложениям о конфиденциальности / соблюдении новых требований для дальнейшего укрепления своих программ безопасности.

Однако окончательная сумма, которую должен был выплатить BA, была значительно уменьшена.После нескольких месяцев задержек и переговоров ICO снизило штраф до 20 миллионов фунтов стерлингов за «неспособность защитить личные и финансовые данные более чем 400 000 своих клиентов».

Хотя окончательная цифра менее климатична, чем первоначально предложенный штраф, это по-прежнему самый крупный штраф, когда-либо наложенный ICO, и подчеркивает опасность плохой практики безопасности. Согласно предыдущему постановлению Великобритании о защите данных, самый крупный штраф, который мог быть наложен, составлял 500 000 фунтов стерлингов.

Как в уведомлении BA для окончательного штрафа, так и в других инструкциях по COVID ICO заявило, что при рассмотрении вопроса о наложении штрафов признает «экономическое влияние и доступность».Это могло объяснить, почему авиакомпании, испытывающей трудности, была предоставлена ​​такая большая скидка от первоначальной суммы. Однако в будущем авиакомпания все еще может столкнуться с крупными коллективными исками о компенсации.

Сеть отелей Marriott International заявила, что ожидает значительного сокращения штрафа в размере 99 миллионов фунтов стерлингов за задержку ICO в размере около 50%, но после этого заявления произошла еще одна проблема.

Marriott International: 23,7 миллиона долларов

Штрафы GDPR похожи на автобусы: вы ждете целую вечность, пока один, а потом два появятся одновременно.Всего через несколько дней после рекордного штрафа для British Airways ICO наложило второй крупный штраф за утечку данных. Как и в случае с BA, окончательный штраф был значительно снижен после долгой задержки.

Marriott International была первоначально оштрафована на 99 миллионов фунтов стерлингов [~ 124 миллиона долларов] после того, как информация об оплате, имена, адреса, номера телефонов, адреса электронной почты и номера паспортов были скомпрометированы до 500 миллионов клиентов. Источником взлома была дочерняя компания Marriott Starwood; Считалось, что злоумышленники находились в сети Starwood до четырех лет и около трех лет после того, как в 2015 году сеть была куплена Marriott.

Согласно заявлению ICO, Marriott «не предприняла достаточных мер должной осмотрительности при покупке Starwood, а также должна была сделать больше для защиты своих систем». Генеральный директор Marriott Арне Соренсон сказал, что компания «разочарована» штрафом и планирует его оспорить.

Однако, как и в случае с огромным штрафом, наложенным ICO на BA, окончательный штраф был намного меньше. На самом деле сеть отелей была вынуждена выплатить 18,4 миллиона фунтов стерлингов [~ 23,7 миллиона долларов] только после более чем годовой задержки.Хотя регулирующий орган заявил, что Marriott не приняла надлежащих технических или организационных мер для защиты персональных данных, обрабатываемых в его системах, он также признал шаги, предпринятые компанией для смягчения последствий инцидента для своих клиентов и экономического воздействия COVID-19 как причины сокращения. В заявлении Marriott говорится, что он признал решение и не будет обжаловать его, но, хотя он глубоко сожалеет об инциденте, он не признает ответственности.

Как и в случае с BA, хотя окончательный размер взимаемого сбора был значительно снижен по сравнению с первоначально объявленным, он по-прежнему оставался большой суммой, которая была намного выше, чем могла бы быть выплачена в соответствии с предыдущим Законом о защите данных, и является вторым по величине штрафом за нарушение данных. выдается регулирующим органом Великобритании.

Турецкий орган по защите данных оштрафовал сеть отелей на 1,5 миллиона лир (~ 265000 долларов) — не в соответствии с законодательством GDPR — за пляж, что подчеркивает, как одно нарушение может повлечь за собой несколько штрафов во всем мире.

Tesco Bank: 21 миллион долларов

Tesco Bank, подразделение розничных банковских услуг британской сети супермаркетов, в 2018 году было оштрафовано Управлением финансового надзора Великобритании (FCA) на сумму 16,4 миллиона фунтов стерлингов (21,2 миллиона долларов США) после того, как в 2018 году было наложено чуть менее 3 миллионов долларов США. был украден с 9000 клиентских счетов в 2016 году. FCA обвинило Tesco в «недостатках» в конструкции своей дебетовой карты, в средствах контроля за финансовыми преступлениями и в отделе операций с финансовыми преступлениями.

Цель: 18,5 миллиона долларов

В 2017 году гигант розничной торговли Target согласился на 18 долларов.5-миллионное урегулирование с 47 штатами и округом Колумбия в связи с нарушением в 2013 году, когда около 40 миллионов счетов кредитных и дебетовых карт были украдены во время пика продаж после празднования Дня благодарения в Черную пятницу. Более поздние расследования показали, что имена, адреса, номера телефонов и адреса электронной почты также были изъяты у 70 миллионов человек. Общие затраты, связанные с взломом, превышают 200 миллионов долларов.

Anthem: 16 миллионов долларов

Американская страховая компания Anthem в 2015 году пострадала от взлома, от которого пострадали 79 миллионов человек.Нарушение касалось имен, дат рождения, номеров социального страхования и медицинских документов. В октябре 2018 года Министерство здравоохранения и социальных служб США оштрафовало компанию на 16 миллионов долларов за нарушение Закона о переносимости и подотчетности медицинского страхования (HIPAA). Этот штраф был добавлен к 115 миллионам долларов, которые компания должна была выплатить в 2017 году для урегулирования коллективного иска, связанного с нарушением.

В 2020 году компания согласилась выплатить группе штатов еще 39,5 миллиона долларов для урегулирования претензий. Страховая компания не смогла защитить свои данные, но отказалась признать вину за инцидент.«Anthem не считает, что нарушила закон в связи с безопасностью своих данных, и не признает никаких подобных нарушений в этом соглашении с генеральными прокурорами штата», — говорится в заявлении компании.

Большинство компаний в этом списке были оштрафованы за нарушение данных. Ticketmaster имеет сомнительную честь быть оштрафованным за нарушение правил работы конкурирующей фирмы. В январе 2021 года американская компания по продаже билетов согласилась выплатить уголовный штраф в размере 10 миллионов долларов за использование паролей, незаконно сохраненных бывшим сотрудником конкурента, для получения доступа к системам конкурирующей компании.

Министерство юстиции США (DOJ) заявляет, что в 2013 году сотрудник компании-жертвы, известный как заговорщик 1, присоединился к Ticketmaster и получил доступ к компьютерным системам своего предыдущего работодателя, используя свои старые учетные данные. В отчете также говорится, что руководители Ticketmaster запросили конфиденциальную служебную информацию о компании-жертве через заговорщика с целью кражи крупных клиентов.

Наряду с предоставлением документов, включая калькулятор комиссии за бронирование, одной из систем, к которым был получен доступ, был пакет веб-анализа данных для продажи билетов, известный как Artist Toolbox, который в режиме реального времени предоставлял клиентам данные о продажах билетов, проданных через компанию-жертву.Несанкционированный доступ к компании-жертве продолжался более 12 месяцев с начала 2014 года до середины 2015 года.

В отчете Министерства юстиции говорится, что в 2015 году компания-жертва изменила способ генерации URL-адресов для своих веб-страниц с билетами специально, чтобы сотрудники Ticketmaster не могли их находить и получать к ним доступ, а затем подала гражданскую жалобу о нарушениях антимонопольного законодательства. Неназванная британская фирма объединилась с другой компанией в 2015 году и объявила о банкротстве в 2016 году.

Некоторые публикации сообщили о компании как о компании, занимающейся предпродажным оформлением билетов Songkick, которая объединилась с Crowdsurge в 2015 году и в том же году подала в суд на Ticketmaster за антиконкурентное поведение.В 2018 году Songkick выиграл иск в размере 110 миллионов долларов, хотя в рамках соглашения материнская компания Ticketmaster Live Nation приобрела оставшиеся технологические активы потерпевшей компании.

Google: 7,5 миллиона долларов

В 2020 году Google согласился выплатить 7,5 миллиона долларов для разрешения коллективного иска по двум инцидентам с Google+. Первоначально поисковый гигант объявил, что планирует закрыть свою социальную сеть Google+ в октябре 2018 года после обнаружения ошибки в API Google+, которая позволяла разработчикам получать доступ к данным, помеченным как конфиденциальные.Хотя Google утверждал, что нет никаких доказательств использования этой ошибки, он признал, что более 400 приложений использовали этот API и потенциально затронули более 500 000 учетных записей.

Два месяца спустя Google объявила о втором инциденте, связанном с Google+, и закрылась на четыре месяца раньше, чем было заявлено изначально, после того, как другая проблема с API предоставила разработчикам доступ к информации личного профиля 52,5 миллиона пользователей. (Опять же, компания заявила, что не думала, что эта ошибка использовалась.)

Два коллективных иска были поданы в 2018 году, но позже объединены в один, и в январе 2020 года было согласовано мировое соглашение, которое позволит всем пользователям с учетными записями Google+ в период с января 2015 года по 2 апреля 2019 года, чья закрытая информация была раскрыта для получения от 5 до 12 долларов за штуку.

Premera Blue Cross: 6,85 миллиона долларов

Хотя инциденты оставались обычным явлением, 2020 год в целом прошел спокойно с точки зрения штрафных санкций. Но в сентябре базирующаяся в Вашингтоне медицинская страховая компания Premera Blue Cross была оштрафована на 6 долларов.85 миллионов за нарушения HIPAA.

Управление гражданских прав (OCR) Министерства здравоохранения и социальных служб США оштрафовало компанию Premera после того, как обнаружило нарушение, затронувшее более 10,4 миллиона человек. PBC подала отчет о взломе в марте 2015 года после того, как кибер-злоумышленники получили несанкционированный доступ к ее системам. Фишинговая атака 2014 года оставалась незамеченной в течение почти девяти месяцев и привела к раскрытию защищенной медицинской информации более 10,4 миллионов человек, включая их имена, адреса, даты рождения, адреса электронной почты, номера социального страхования, информацию о банковских счетах и ​​план медицинского страхования. клиническая информация.

Расследование OCR выявило «системное несоблюдение» требований HIPAA, в том числе неспособность провести анализ рисков, внедрить управление рисками или ввести контрольные меры аудита. Эти неудачи привели к тому, что OCR наложило второй по величине штраф HIPAA за всю историю наблюдений.

Excellus: 5,1 миллиона долларов

Медицинская страховая компания Excellus из Нью-Йорка согласилась выплатить 5,1 доллара за нарушение правил конфиденциальности и безопасности HIPAA. Это нарушение стало известно после того, как в период с конца 2013 года по май 2015 года в результате взлома данных была раскрыта личная информация более 9 миллионов человек.Штраф был выплачен Управлению по гражданским правам (OCR) Министерства здравоохранения и социальных служб США.

Нарушенные данные включали широкий спектр конфиденциальной информации: имена, адреса, даты рождения, адреса электронной почты, номера социального страхования, информацию о банковском счете, заявления о планах медицинского страхования и информацию о лечении. Согласно OCR, штраф был наложен на основании «неспособности провести анализ рисков в масштабах всего предприятия и неспособности внедрить управление рисками, анализ деятельности информационной системы и контроль доступа».

Онкологический центр доктора медицины Андерсона Техасского университета: 4,3 миллиона долларов

В июне 2018 года судья оставил в силе решение о наложении штрафа на онкологический центр имени доктора медицины Андерсона Техасского университета на 4,3 миллиона долларов за нарушения HIPAA. В период с 2012 по 2013 год онкологический центр пострадал от трех утечек данных, что привело к потере медицинской информации более чем 33 500 человек. В одном случае незашифрованный ноутбук был украден из дома сотрудника. Два других нарушения связаны с потерей незашифрованных USB-накопителей.

Fresenius Medical Care Северная Америка: 3,5 миллиона долларов

Сбой HIPAA снова случается. В феврале 2018 года Fresenius Medical Care North America (FMCNA) был выставлен счет на 3,5 миллиона долларов после того, как в период с февраля по июль 2012 года в разных местах компании было совершено пять отдельных нарушений. точный и тщательный анализ потенциальных рисков и уязвимостей для конфиденциальности, целостности и доступности всей медицинской информации, которую он хранил в своих различных подразделениях.

Эти сбои включают в себя отсутствие предотвращения несанкционированного доступа к объектам и оборудованию, неспособность зашифровать данные о состоянии здоровья, отсутствие управления удалением электронных носителей, содержащих данные о состоянии здоровья, и отсутствие процедур защиты от инцидентов.

Cottage Health, Touchstone Medical Imaging и Медицинский центр Университета Рочестера (URMC): по 3 миллиона долларов за каждый

В 2019 году было зафиксировано три крупных нарушения HIPAA; 3 миллиона долларов каждая для Cottage Health & Touchstone Medical Imaging.

Компания Cottage Health была оштрафована за два нарушения — одно в 2013 году, а другое в 2015 году — в результате утечки электронной защищенной медицинской информации (ePHI) затронули более 62 500 человек.Оба инцидента были связаны с серверами, на которых ePHI был доступен через Интернет.

Компания Touchstone Medical Imaging, базирующаяся в Теннесси, была оштрафована после того, как оставила защищенную медицинскую информацию (PHI) более 300 000 пациентов доступной в Интернете через открытый FTP-сервер. Touchstone было уведомлено об этом разоблачении ФБР в 2014 году, но заявила, что не было выявлено ни одного пациента PHI.

Департамент здравоохранения и социальных служб США (HHS) обнаружил, что Touchstone «не провела тщательного расследования инцидента безопасности в течение нескольких месяцев после получения уведомления о нарушении как от ФБР, так и от OCR.Кроме того, HHS заявило, что уведомление лиц, пострадавших от нарушения, было «несвоевременным», что Touchstone «не провела точный и тщательный анализ потенциальных рисков», а компания «не смогла заключить соглашения с деловыми партнерами. своих продавцов ».

В ноябре 2019 года Медицинский центр Университета Рочестера (URMC) также был оштрафован на 3 миллиона долларов за неспособность шифровать мобильные устройства. Центр, в состав которого входят Медицинская и стоматологическая школа и больница Strong Memorial Hospital, потерял незашифрованную флешку в 2013 году, а в 2017 году был украден незашифрованный ноутбук.URMC был оштрафован за неспособность должным образом защитить личную медицинскую информацию, несмотря на то, что ранее сообщал о взломе через незашифрованный диск в 2010 году.

Система здравоохранения Джексона: 2,15 миллиона долларов

Еще одно крупное нарушение HIPAA, на этот раз для некоммерческой академической медицинской системы Майами Jackson Health System ( JHS), которая управляет рядом больниц и медицинских центров во Флориде. DHS оштрафовало JHS на 2,15 миллиона долларов за несколько инцидентов в период с 2013 по 2016 год.

Хотя JHS действительно сообщило DHS о потере бумажных записей о 756 пациентах в 2013 году, оно не смогло сообщить о потере трех дополнительных ящиков с историями болезни после инцидента. внутреннее расследование.В 2015 году JHS обнаружила, что два сотрудника получили доступ к электронной медицинской карте пациента без служебной цели. В 2016 году JHS сообщила о взломе после того, как обнаружила, что с 2011 года сотрудник продавал данные о пациентах на общую сумму 24 000 записей пациентов.

Ticketmaster: 1,25 миллиона фунтов стерлингов (1,7 миллиона долларов США)

Американская компания по организации мероприятий Ticketmaster была оштрафована на 1,25 миллиона фунтов стерлингов (1,7 миллиона долларов США). миллионов) согласно GDPR после того, как небезопасный чат-бот на его платежной странице выявил 9,4 миллиона клиентов Ticketmaster по всей Европе.

Злоумышленник взломал серверы чат-бота Inbenta и вставил вредоносный код в JavaScript чат-бота, который Ticketmaster использовал для обслуживания клиентов. Код очищал введенные пользователем персональные данные, и поскольку Ticketmaster включил чат-бота на свою платежную страницу, зараженный бот смог собрать финансовые данные, такие как имена, номера платежных карт, срок действия и номера CVV.

Компания была уведомлена о потенциальном инциденте в апреле 2018 года через онлайн-банк Monzo после того, как он обнаружил мошеннические платежи, но Ticketmaster проинформировал банк, что внутреннее расследование не обнаружило доказательств нарушения.После того, как другие банки сообщили о подобной деятельности и обратились к нескольким фирмам по реагированию на инциденты, фирма в конце концов сообщила о нарушении регулирующим органам в июне 2018 года.

Регулятор Великобритании обнаружил, что Ticketmaster не смог должным образом оценить риски использования чат-бота на своей платежной странице. и принять соответствующие меры безопасности, чтобы свести на нет риски, связанные с чат-ботом, или своевременно выявить источник предполагаемых мошеннических действий.

ICO отмечает, что, хотя нарушение началось в феврале 2018 года — до того, как GDPR вступил в силу 25 мая, — вредоносный чат-бот был полностью удален с веб-сайта Ticketmaster UK Limited только в июне, и на время между ними налагается штраф.

1 & 1 Telecom: 1 миллион долларов (сокращение с 10,6 миллиона долларов)

Не только Великобритания назначает крупные штрафы GDPR только для того, чтобы впоследствии их уменьшить. Немецкая веб-хостинговая компания 1 & 1 была оштрафована Федеральным комиссаром Германии по защите данных и свободе информации (BfDI) на 9,55 млн евро (10,6 млн долларов) за непринятие «достаточных технических и организационных мер» для предотвращения использования ее отдела обслуживания клиентов посторонними лицами для получения доступа. к данным клиента. Плохие процессы аутентификации означали, что звонящие могли получить информацию о других клиентах, просто указав имя и дату рождения человека, о котором они хотели получить информацию.

Однако, как и в случае штрафов британского ICO против BA и Marriott, окончательная цифра была значительно уменьшена. Правда, на этот раз штраф снизил не регулятор. В ноябре 2020 года Земельный суд (Landgericht) Бонна сократил размер штрафа до

0 евро (1 миллион долларов) на том основании, что он был несоразмерным.

1 & 1 обжаловала первоначальное решение в суде, утверждая, что сумма, основанная на доходах, была чрезмерной. Хотя суд постановил, что меры безопасности 1 & 1 недостаточны, он счел штраф несоразмерным по сравнению с незначительным нарушением, которое он считал незначительным.

Equifax, Facebook, DSG Retail Limited и Cathay Pacific: 650 000 долларов за каждую

Четыре компании в Великобритании могут считать себя удачливыми. В 2018 году Управление комиссара по информации Великобритании оштрафовало Equifax и Facebook или сбой данных в соответствии с Законом о защите данных до принятия GDPR, согласно которому максимально возможный штраф составляет всего 500 000 фунтов стерлингов (~ 650 000 долларов США). Согласно GDPR, штрафы могли быть намного выше. Facebook получил законопроект в октябре из-за скандала с данными Cambridge Analytica, а Equifax был приговорен к максимальному штрафу в сентябре за нарушение в 2017 году.

В начале 2020 года — почти через два года после введения GDPR — регулятор оштрафовал еще две компании по старому DPA. Британский розничный торговец DSG Retail Limited (DSG) получил штраф после того, как вредоносное ПО было обнаружено на более чем 5000 компьютерах в его магазинах Currys PC World и Dixons Travel. Однако, поскольку атака началась в июле 2017 года — до введения GDPR — компания была оштрафована на старый максимум в размере 500000 фунтов стерлингов, несмотря на то, что, как сообщается, злоумышленники продолжали собирать информацию до апреля 2018 года после введения в действие новых правил.

Атака позволила получить несанкционированный доступ к 5,6 миллионам данных платежных карт и личной информации примерно 14 миллионов человек, включая полные имена, почтовые индексы, адреса электронной почты и неудачные проверки кредитоспособности с внутренних серверов. ICO заявило, что у компании «плохие меры безопасности» и не было предпринято адекватных шагов для защиты личных данных, включая неадекватные исправления, отсутствие локального брандмауэра, отсутствие сегрегации сети и отсутствие стандартного тестирования безопасности. ICO ранее оштрафовала компанию DSG Carphone Warehouse на 400 000 фунтов стерлингов [~ 520 000 долларов США] за аналогичные недостатки в январе 2018 года.

Китайская авиакомпания Cathay Pacific была оштрафована на максимальный размер DPA в марте 2020 года за «неспособность защитить безопасность личных данных своих клиентов». ICO постановило, что в период с октября 2014 года по май 2018 года в системах Cathay Pacific «не было надлежащих мер безопасности», что привело к раскрытию личных данных клиентов.

Примечание редактора: эта статья, первоначально опубликованная в июле 2019 года, часто обновляется по мере появления новой информации о штрафах за инциденты.

Авторские права © IDG Communications, Inc.