Политика конфиденциальности
1. Общие положения
1.1. Настоящая Политика определяет порядок обработки и защиты персональных данных физических лиц — пользователей сайта he-shuai.ru (далее — Сайт), включая представителей юридических лиц. Положения Политики также распространяются на обработку реквизитов юридических лиц (в том числе ИНН организации) в части, не противоречащей Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных».
1.2. Политика разработана во исполнение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ-152), Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», а также Приказа ФСТЭК России от 11.02.2013 № 21.
1.3. Заполняя формы обратной связи на Сайте и проставляя отметку в соответствующем поле (чекбоксе), Пользователь выражает свое согласие с условиями настоящей Политики. В случае несогласия Пользователь обязан прекратить использование Сайта и не отправлять формы.
1.4. Обработка персональных данных осуществляется на основании: согласия Пользователя на обработку его персональных данных как физического лица (представителя юридического лица), предоставляемого путем проставления отметки в чекбоксе при отправке формы; а также договора (оферты), стороной которого является Пользователь как представитель юридического лица, включая обработку реквизитов организации (в т.ч. ИНН) для идентификации контрагента и предоставления ответа на запрос.
1.5. Оператор персональных данных: ООО «ХЭ ШУАЙ РУС», ИНН 7802969716, КПП 780201001, ОГРН 1257800103450, адрес: 194100, город Санкт-Петербург, Большой Сампсониевский пр-кт, д. 68 литера Н, помещ. 18-н, адрес электронной почты: sales@he-shuai.ru.
2. Состав и цели обработки данных
2.1. Оператор осуществляет обработку следующих данных Пользователей (представителей юридических лиц), необходимых для идентификации и связи: персональные данные физического лица (представителя) — контактное лицо (фамилия, имя, отчество), адрес электронной почты, номер контактного телефона; а также реквизиты юридического лица — ИНН организации (обязательное поле для обработки запроса). Контактное лицо несет ответственность за корректность указанного ИНН.
2.2. Персональные данные физических лиц обрабатываются исключительно в следующих целях: предоставления ответа на обращения Пользователей через формы обратной связи на Сайте; возможного заключения и исполнения договора купли-продажи продукции.
2.3. Реквизиты юридических лиц (в т.ч. ИНН) обрабатываются для: идентификации контрагента; подготовки ответа на запрос; возможного заключения договора; выставления коммерческого предложения и/или счёта.
2.4. Специальные категории персональных данных в соответствии со статьей 10 Федерального закона № 152-ФЗ (касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни) Оператором не обрабатываются. Биометрические персональные данные (сведения, характеризующие физиологические и биологические особенности человека) не обрабатываются. Публично недоступные персональные данные (в том числе из открытых источников, указанных в статье 8 ФЗ-152) не обрабатываются. Иные способы и цели обработки не предусмотрены. Оператор не осуществляет: передачу персональных данных третьим лицам для их маркетинговых или иных целей; трансграничную передачу персональных данных; принятие решений на основании исключительно автоматизированной обработки (профилирование).
2.5. Обработка файлов cookie и данных веб-аналитики: файлы cookie, IP-адреса и данные о поведении пользователей обрабатываются сервисом веб-аналитики Яндекс.Метрика. Согласие на такую обработку запрашивается при первом посещении Сайта через всплывающее уведомление. Пользователь вправе отказаться от cookies в настройках браузера или в настройках cookie-уведомления. Указанные данные не относятся к персональным данным в понимании ФЗ-152 и используются исключительно для улучшения работы Сайта.
3. Порядок и условия обработки данных
3.1. Обработка данных осуществляется с использованием средств автоматизации и без использования таких средств, в соответствии с законодательством Российской Федерации.
3.2. Персональные данные, поступающие через Сайт, обрабатываются Оператором с использованием почтового сервиса российского поставщика услуг. Фактическое хранение и дальнейшая обработка таких данных осуществляются в пределах контролируемой Оператором учетной записи, при этом Оператор принимает необходимые меры для защиты персональных данных в соответствии с законодательством Российской Федерации. Серверы указанного почтового сервиса расположены на территории Российской Федерации, что соответствует требованиям ч. 5 ст. 18 ФЗ-152. Информационная система персональных данных как структурная единица (ИСПДн) у Оператора отсутствует; обработка носит неавтоматизированный характер (просмотр писем в почтовом ящике) либо соответствует 4-му уровню защищенности для целей отчётности.
3.3. Оператор может передавать персональные данные третьим лицам только в следующих случаях: ООО «ЯНДЕКС 360 ДЛЯ БИЗНЕСА» (ИНН 9704259180, КПП 770401001, ОГРН 1257700155668, юридический адрес: 119021, г. Москва, вн.тер.г. муниципальный округ Хамовники, ул. Тимура Фрунзе, д. 11, стр. 44) — оператор сервиса Яндекс 360 для бизнеса, которому Оператор поручает обработку персональных данных на основании договора (пользовательского соглашения). ООО «ЯНДЕКС 360 ДЛЯ БИЗНЕСА» обеспечивает хранение, систематизацию, накопление и извлечение персональных данных на своих серверах, расположенных на территории Российской Федерации, и принимает меры по защите персональных данных в соответствии с требованиями законодательства. Хостинг-провайдер не осуществляет обработку и не имеет доступа к персональным данным, поскольку техническая архитектура Сайта исключает хранение или транзит ПДн через серверы хостинга. В иных случаях, предусмотренных федеральным законом (например, по запросу суда, правоохранительных органов). Оператор не осуществляет передачу персональных данных третьим лицам для их маркетинговых или иных не связанных с целью обработки целях.
3.4. Сроки хранения и уничтожения данных: срок хранения персональных данных в почтовом ящике Оператора составляет не более 3 (трёх) лет с момента последнего обращения Пользователя либо до достижения цели обработки (в зависимости от того, что наступит раньше), если иной срок не установлен договором или законом. В случае заключения договора (купли-продажи, поставки) срок хранения документов, содержащих ПДн и реквизиты (в том числе ИНН), может быть продлён до истечения сроков исковой давности (3 года) и/или сроков налогового учёта (4 года в соответствии со статьей 23 Налогового кодекса РФ). По достижении цели обработки, истечения указанных сроков или в случае отзыва согласия данные подлежат уничтожению. Уничтожение осуществляется путём удаления писем с ПДн из почтового ящика, а также из корзины и папки «Спам» (функция «очистить корзину»), без возможности восстановления. Дополнительная техническая процедура (перезапись или деинсталляция носителя) не требуется в связи с отсутствием хранения ПДн на локальных носителях Оператора и использованием отказоустойчивого облачного хранения.
4. Защита персональных данных
4.1. Оператор принимает необходимые и достаточные правовые, организационные и технические меры для защиты данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.
4.2. Определённая категория и уровень защищённости: в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119 для информационной системы персональных данных Оператора установлен 4-й (четвёртый) уровень защищённости. При этом фактически информационная система персональных данных как структурное подразделение у Оператора отсутствует, обработка персональных данных осуществляется в неавтоматизированном порядке либо в рамках 4-го уровня защищённости, что подтверждается архитектурой обработки.
4.3. Организационные меры: назначение ответственного — Оператор является единственным сотрудником и ответственным за организацию обработки ПДн; утверждена настоящая Политика и форма согласия на обработку; осуществляется регулярная проверка соответствия обработки требованиям ФЗ-152.
4.4. Технические меры защиты на Сайте: используется протокол HTTPS (TLS 1.2/1.3 only) — устаревшие протоколы отключены; включён HSTS (HTTP Strict Transport Security) с preload — браузер всегда использует защищённое соединение; настроены заголовки CSP (Content Security Policy), X-Frame-Options, X-Content-Type-Options: nosniff для защиты от XSS и clickjacking; административная панель защищена механизмом Basic Auth, доступ к ней осуществляется по скрытому административному адресу, известному только Оператору с дополнительно установлено ограничение числа попыток входа в минуту (Rate Limit); осуществляется блокировка запросов к .env, .git, wp-*, xmlrpc.php (выдача ответа 444); запросы от сканеров уязвимостей Nikto, sqlmap и подобных инструментов блокируются; на рабочей станции Оператора установлено и регулярно обновляется антивирусное ПО.
4.5. Меры безопасности при доступе к ПДн через Яндекс Браузер: в браузере включён режим «Всегда HTTPS»; включена двухфакторная аутентификация (2FA) на аккаунте Яндекса; пароль от почтового ящика не сохраняется в браузере, отключена синхронизация паролей; для работы с почтой клиентов используется отдельный профиль браузера (или Режим инкогнито); синхронизация закладок, истории и паролей с облаком Яндекса отключена.
4.6. Защита силами поставщика услуг: поставщик почтового сервиса (ООО «ЯНДЕКС 360 ДЛЯ БИЗНЕСА») обеспечивает шифрование хранимых данных (at-rest) и передаваемых данных (in-transit), многоуровневую антивирусную защиту на почтовых серверах, контроль физического доступа к дата-центрам, системы обнаружения вторжений (IDS/IPS), а также имеет сертификаты соответствия требованиям безопасности (в том числе ISO/IEC 27001).
4.7. В случае выявления инцидентов, повлекших нарушение конфиденциальности данных, Оператор незамедлительно принимает меры, предусмотренные законодательством Российской Федерации, включая уведомление Роскомнадзора в порядке, установленном ст. 21 ФЗ-152.
5. Права Пользователей
5.1. Пользователь (его уполномоченный представитель) имеет право на получение информации, касающейся обработки его персональных данных, а также право требовать уточнения, блокирования или уничтожения своих персональных данных в случае, если они являются неполными, устаревшими, неточными или обрабатываются с нарушением закона.
5.2. Отзыв согласия на обработку персональных данных: Пользователь вправе отозвать согласие на обработку персональных данных в любой момент, направив соответствующий запрос на электронную почту Оператора: sales@he-shuai.ru. Отзыв согласия может быть осуществлён в той же форме, в какой оно было получено (путём направления письма с указанием данных, по которым идентифицируется пользователь). После получения отзыва согласия Оператор обязан прекратить обработку персональных данных Пользователя и уничтожить их в срок, не превышающий 30 (тридцати) календарных дней с даты поступления отзыва, если обязанность продолжить обработку не установлена федеральным законом (например, для исполнения требований налогового законодательства или в пределах сроков исковой давности).
5.3. Сроки рассмотрения запросов: Оператор рассматривает запросы Пользователей, связанные с реализацией их прав, указанных в п. 5.1 настоящей Политики, и предоставляет мотивированный ответ в срок, не превышающий 10 (десяти) рабочих дней с даты получения и регистрации запроса. Указанный срок может быть продлён, но не более чем на 5 (пять) рабочих дней, при условии направления Пользователю уведомления о причинах продления.
5.4. Порядок направления запросов: запрос должен быть направлен на адрес электронной почты sales@he-shuai.ru. В запросе должно быть указано: фамилия, имя, отчество субъекта ПДн, контактные данные для обратной связи, суть требования (уточнение, блокирование, уничтожение, отзыв согласия). Для идентификации пользователя Оператор вправе запросить дополнительные сведения, подтверждающие, что запрос исходит от субъекта ПДн или его законного представителя.
6. Заключительные положения
6.1. Настоящая Политика является общедоступным документом и подлежит размещению на Сайте Оператора по постоянному URL: https://he-shuai.ru/politika-konfidentsialnosti.
6.2. Политика вступает в силу с момента её утверждения и действует бессрочно до замены новой версией.
6.3. Оператор имеет право вносить изменения в настоящую Политику. Новая редакция Политики вступает в силу с момента её размещения на Сайте, если иное не предусмотрено текстом новой редакции.
6.4. Контроль за исполнением требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных Оператора (Оператором).
14 ноября 2025