Что в проектной документации создаёт риск
По Градостроительному кодексу архитектурно-строительное проектирование связано с подготовкой проектной и рабочей документации применительно к объекту капитального строительства. Состав проектной документации раскрывается, в частности, через постановление Правительства РФ № 87. На практике в комплекте могут быть титульные листы, сведения о разработчиках, задания, технические условия, схемы инженерных сетей, сметы, разделы по пожарной безопасности, охране окружающей среды и организации строительства.
Риск появляется не потому, что файл называется «ПЗ.pdf» или «АР.pdf». Риск появляется из-за конкретных данных внутри файла и условий их передачи третьему лицу.
| Что есть в файле | Почему это важно | Практическое действие |
|---|---|---|
| ФИО, должности, подписи, СНИЛС, контакты | Это может быть персональными данными по 152-ФЗ | Обезличить или оформить законное основание обработки |
| Сметы, цены, КП, состав подрядчиков | Может действовать NDA или режим коммерческой тайны | Проверить договор и разрешённые каналы передачи |
| Схемы безопасности, режимные зоны, чувствительные сети | Возможны ограничения заказчика или специальный режим доступа | Использовать только согласованный закрытый контур |
| Сведения, составляющие государственную тайну | Передача во внешний сервис недопустима без специального режима | Не загружать; работать по установленным правилам защиты гостайны |
Как выбрать режим работы
Универсального ответа нет. Один и тот же инструмент может быть приемлем для открытого обезличенного фрагмента и недопустим для полного комплекта по объекту с ограничениями. Разумнее использовать простую развилку.
Низкий риск
Файл опубликован законно, не содержит персональных данных и коммерчески чувствительных сведений. Можно использовать внешний сервис, но всё равно проверьте пользовательское соглашение.
Средний риск
Есть ФИО, подписи, контакты, цены, внутренние замечания или договорные ограничения. Нужны обезличивание, согласование и контроль хранения.
Высокий риск
Есть гостайна, ДСП, режимный объект, критичная инфраструктура или прямой запрет заказчика. Внешний облачный сервис не используйте.
Для рутинного сравнения PDF безопаснее сначала удалить титулы, листы подписей, персональные данные, коммерческие приложения и сведения, не нужные для самой задачи. Если нужно сравнить геометрию или изменения в спецификации, часто достаточно фрагмента без реквизитов объекта и участников.
Персональные данные: что проверить
152-ФЗ определяет персональные данные как любую информацию, относящуюся к прямо или косвенно определённому или определяемому физическому лицу. Обработка включает не только хранение, но и передачу, предоставление доступа, извлечение, использование и обезличивание. Поэтому загрузка файла с персональными данными во внешний сервис может быть обработкой и передачей данных третьему лицу.
Если сервис действует как обработчик по поручению оператора, в поручении должны быть определены перечень данных, действия с ними, цели обработки, конфиденциальность, безопасность и требования к защите. Если данные уходят иностранному лицу или в инфраструктуру за пределами России, дополнительно возникает вопрос трансграничной передачи и уведомления Роскомнадзора до её начала.
Минимальный тест по персональным данным
- Есть ли в файле ФИО, СНИЛС, подписи, номера телефонов, e-mail, должности, сведения о квалификации или трудовой роли конкретного человека?
- Нужны ли эти данные для задачи или можно удалить титулы, штампы и листы согласования?
- Есть ли согласие, договорное поручение или иное законное основание для передачи данных сервису?
- Понятно ли, где сервис хранит данные, кто получает доступ и используются ли загруженные файлы для обучения или дообучения моделей?
- Настроено ли удаление файлов после обработки и есть ли журнал, кто и что загружал?
NDA, коммерческая тайна и ДСП
Даже если персональных данных нет, проектная документация может быть закрыта договором. NDA обычно шире закона о коммерческой тайне: стороны сами определяют, какие сведения нельзя передавать третьим лицам, какие сервисы можно использовать, кто согласует субподрядчиков и облачные инструменты.
Коммерческая тайна требует режима: перечень сведений, ограничение доступа, учёт лиц, получивших доступ, регулирование отношений с работниками и контрагентами, нанесение грифа при необходимости. Если компания не ввела режим, это не означает, что документ можно свободно отправлять куда угодно: могут действовать договорные ограничения, авторские права, служебные правила заказчика и требования информационной безопасности.
| Режим | Что проверить | Решение |
|---|---|---|
| NDA | Запрещена ли передача третьим лицам и облачным сервисам без согласия | Получить письменное согласование или использовать внутренний контур |
| Коммерческая тайна | Введён ли режим, указан ли перечень сведений, есть ли учёт доступа | Не передавать без основания и договорной защиты |
| ДСП или внутренний ограничительный гриф | Кто утвердил режим и какие каналы передачи разрешены | Работать только по локальному регламенту заказчика |
| Государственная тайна | Есть ли сведения, отнесённые к гостайне, и установленный допуск | Внешние сервисы исключить; применять специальный режим защиты |
Публикация документации на открытой закупочной площадке не всегда снимает все ограничения для подрядчика. Нужно отличать законно опубликованный заказчиком комплект от рабочей копии с дополнительными листами, персональными данными, внутренними замечаниями, КП и перепиской.
Практический чек-лист перед загрузкой
Перед передачей документации во внешний сервис заведите короткий внутренний порядок. Он не должен быть громоздким: достаточно, чтобы исполнитель понимал, какие файлы можно загружать, какие нужно очищать, а какие запрещены.
- Определите цель. Для сравнения версий часто не нужен полный комплект: достаточно двух листов, спецификации или фрагмента ведомости.
- Проверьте состав сведений. Отдельно смотрите титулы, штампы, листы согласования, приложения, сметы и реквизиты участников.
- Удалите лишнее. Закройте или удалите ФИО, СНИЛС, подписи, телефоны, e-mail, внутренние номера договоров, цены и данные объекта, если они не нужны для анализа.
- Проверьте договор. NDA, контракт с заказчиком и внутренние регламенты могут прямо запрещать передачу файлов внешним сервисам.
- Оцените провайдера. Где хранятся данные, кто имеет доступ, можно ли отключить использование файлов для обучения, есть ли удаление и договор обработки.
- Зафиксируйте решение. Для спорных комплектов сохраните согласование заказчика или руководителя проекта.
- Используйте закрытый контур. Для чувствительных объектов применяйте локальные инструменты или корпоративную инфраструктуру без передачи данных наружу.
Если задача — проверить применимость норм или подготовить перечень документов без загрузки полного комплекта, используйте формулировку запроса без конфиденциальных данных: тип объекта, стадия, регион, раздел, вопрос и обезличенный фрагмент требования. Для ориентира по нормам можно использовать проверку соответствия строительным нормам с AI, а по юридическим рискам проектировщика — материал как защитить проектировщика в договоре.
Выводы
- Загружать проектную документацию во внешний сервис можно только после оценки состава сведений и договорных ограничений.
- ФИО, СНИЛС, подписи и контакты в составе ПД могут превращать простую загрузку PDF в обработку персональных данных.
- NDA и режим коммерческой тайны могут запрещать передачу даже обезличенных фрагментов, если они раскрывают экономику проекта, технические решения или состав участников.
- Гостайна, ДСП и режимные объекты требуют отдельного закрытого порядка; внешний облачный сервис для них не подходит.
- Самая практичная мера — работать с минимальным обезличенным фрагментом, а полный комплект передавать только в согласованном контуре.
Источники и материалы
Инструменты GostCheck
- AI-подсказки по строительным нормам — используйте без загрузки полного комплекта, если достаточно обезличенного вопроса.
Нормативные источники