Zakon o oblaku i generativna umjetna inteligencija: tko zapravo odlučuje gdje se vaši podaci čuvaju?
Zalijepite povjerljivi dokument u ChatGPT ili Copilot. Nacrt ugovora, tablicu margina, strateški memorandum. Večeras se taj dokument nalazi na američkom poslužitelju. A američki pravosudni sustav mu može pristupiti, čak i ako je fizički pohranjen u Europi. Ima ime: Zakon o oblaku.
Vidio sam rukovoditelje kako otkrivaju ovu stvarnost usred pregovora. Prekasno je za pokretanje pitanja hostinga. Suverenitet podataka nije odgovornost IT odjela; to je odluka vodstva, baš kao i odabir banke ili osiguravajućeg društva. Evo zašto, a što je još važnije, što učiniti.
Zakon o oblaku, onaj zakon koji nitko ne čita prije nego što zalijepi dokument u chatbota
Ključne zaključke
- Zakon o oblaku (Cloud Act) (2018.) omogućuje američkim vlastima da zahtijevaju podatke koje posjeduje bilo koji pružatelj usluga koji podliježe zakonima SAD-a, čak i ako su pohranjeni u Europi, bez da vas o tome obavještavaju. Pogođeni su ChatGPT, Copilot, Gemini i Claude.
- Članak 48. GDPR-a u načelu se protivi ovim otkrivanjima, ali vaša je tvrtka, kao voditelj obrade podataka, odgovorna za nezakonite prijenose: do 20 milijuna eura ili 4 % globalnog prometa.
- Dana 17. travnja 2026. Europska komisija dodijelila je svoj ugovor o suverenom oblaku (180 milijuna eura, 6 godina) četirima europskim grupama - posebno OVHcloudu, Scalewayu i STACKIT-u - na temelju okvira za referencu suverenosti (SEAL) koji može ponovno koristiti bilo koja tvrtka.
- Umjetna inteligencija u sjeni je ogromna: 61% zaposlenika koristi umjetnu inteligenciju putem osobnih računa; 54% neprijavljenih alata unijelo je osjetljive podatke.
- Tri upravljačke odluke: klasificirati podatke prema osjetljivosti, rezervirati suverenu ili lokalnu mrežu za strateške podatke (Mistral, SecNumCloud hosting, implementacija na lokaciji) i zadržati arbitražu Izvršnom odboru.
Što tekst kaže, bez žargona
Zakon o pojašnjenju zakonite upotrebe podataka u inozemstvu donio je američki Kongres 23. ožujka 2018. Njime se mijenja Zakon o pohranjenim komunikacijama iz 1986. i rješava dugogodišnji problem FBI-a: kako doći do podataka koje američka tvrtka drži u inozemstvu bez prolaska kroz spore postupke međunarodne uzajamne pravne pomoći.
Odgovor se može sažeti u jednoj rečenici: američke vlasti mogu zahtijevati od pružatelja usluga koji podliježe zakonima SAD-a da preda podatke koje posjeduje ili kontrolira, bez obzira na to gdje su ti podaci pohranjeni. Poslužitelj u Frankfurtu, podatkovni centar u Parizu, cloud regija u "Zapadnoj Europi": nije važno. Ono što je važno jest zakonska nacionalnost pružatelja usluga, a ne geografska lokacija strojeva.
Dvije ključne točke koje mijenjaju sve. Prvo, postupak ne uključuje obavještavanje dotične tvrtke: nikada nećete znati da je vašim podacima pristupljeno. Drugo, opseg je širok: američke tvrtke, njihove podružnice i potencijalno bilo koja strana tvrtka sa značajnom komercijalnom prisutnošću u Sjedinjenim Državama.
ChatGPT, Copilot, Gemini, Claude: isti sustav
OpenAI, Microsoft, Google i Anthropic su tvrtke osnovane prema američkom zakonodavstvu. Njihovi generativni AI asistenti - ChatGPT, Copilot, Gemini i Claude - stoga podliježu Zakonu o oblaku, čak i kada nude europski hosting. Irski podatkovni centar kojim upravlja američki subjekt ostaje pod nadležnošću američkih sudova. To je sam princip eksteritorijalnosti: zakon slijedi tvrtku, a ne poslužitelj.
U praksi, svaka e-pošta koja sadrži vaše korisničke datoteke, informacije o cijenama, istraživačko-razvojni rad ili osobne podatke zaposlenika predstavlja prijenos podataka subjektu koji podliježe stranom pravu. Vaši podaci putuju dalje od vas. I nije bio potreban vaš pristanak.
GDPR vas određuje kao voditelja obrade podataka, a ne vašeg dobavljača.
Članak 48., više teorijska nego praktična brava
Europsko pravo nije ignoriralo problem. Članak 48. GDPR-a propisuje da se odluka tijela treće zemlje kojom se zahtijeva otkrivanje osobnih podataka može priznati samo ako se temelji na međunarodnom sporazumu, obično ugovoru o međusobnoj pravnoj pomoći. Međutim, Zakon o računalstvu u oblaku jednostrani je američki zakon, a ne ugovor. Još 2019. godine Europski odbor za zaštitu podataka (EDPB) i Europski nadzornik za zaštitu podataka (EDPS) u svojoj su zajedničkoj analizi zaključili da zahtjev koji se temelji isključivo na Zakonu o računalstvu u oblaku ne predstavlja valjanu osnovu za prijenos podataka.
Američki dobavljač se stoga suočava s dva sukobljena pravna naloga: pokoravati se američkom sucu i kršiti GDPR ili odbiti i riskirati sankcije u Sjedinjenim Državama. Pogodite u kojem će se smjeru nagnuti tvrtka čije je sjedište, uprava i većina prihoda u Americi.
Schrems II, Meta: račun je već plaćen za druge
Ova napetost nije ostala ograničena samo na akademsku zajednicu. Dana 16. srpnja 2020., presuda Suda Europske unije u predmetu Schrems II poništila je Štit privatnosti, uz obrazloženje da američki programi nadzora nisu jamčili zaštitu jednaku onoj koju pruža europsko pravo. U svibnju 2023. irsko tijelo za zaštitu podataka kaznilo je Metu s 1,2 milijarde eura zbog nezakonitog prijenosa osobnih podataka u Sjedinjene Američke Države. CNIL (Francusko tijelo za zaštitu podataka) također je izdalo službene obavijesti francuskim organizacijama koje koriste Google Analytics iz istih razloga.
I evo poante koju mnogi rukovoditelji podcjenjuju: kao kontrolor podataka, vaša je tvrtka odgovorna za zakonitost prijenosa, a ne OpenAI ili Microsoft. Preporuke EDPB-a iz siječnja 2020. zahtijevaju da procijenite izloženost svojih obrađivača ekstrateritorijalnim zakonima i dokumentirate dodatne mjere - uključujući enkripciju s ključevima nedostupnima davatelju usluga. Nepoštivanje toga može rezultirati kaznama prema članku 83. GDPR-a koje dosežu 20 milijuna eura ili 4% vašeg globalnog godišnjeg prometa. Davatelj usluga naplaćuje vaše pretplate; vi snosite rizik.
Travanj 2026.: Europa je glasala svojim novčanikom
Ovo više nije rasprava među stručnjacima. Dana 17. travnja 2026. Europska komisija obavijestila je o dodjeli svog okvirnog ugovora o suverenom oblaku - 180 milijuna eura tijekom šest godina, u okviru inicijative Cloud III - četirima isključivo europskim konzorcijima: Post Telecomu s OVHcloudom i CleverCloudom, njemačkoj tvrtki STACKIT, francuskoj tvrtki Scaleway i Proximusu u partnerstvu sa S3NS-om, Clarenceom i Mistralom. AWS, Microsoft Azure i Google Cloud, koji su prije dominirali institucionalnim ugovorima, nisu među izravnim dobitnicima.
Kako bi izvršio svoj odabir, Bruxelles je stvorio jedinstveni alat: Okvir za suverenitet u oblaku (Cloud Sovereignty Framework), koji ocjenjuje suverenitet na SEAL ljestvici od 0 do 4. SEAL-3, koji su postigla tri od četiri pobjednička pružatelja usluga, zahtijeva da nijedan neeuropski subjekt nema pravo veta, klauzulu o pristupu podacima ili tehničku mogućnost isključivanja usluge. Drugim riječima, imunitet od Zakona o oblaku postao je mjerljiv i provediv kriterij javne nabave. Ovaj okvir je javan - slobodni ste ga koristiti u vlastitim natječajima. Francuska slijedi isti put: doktrina "Državnog oblaka", revidirana u ožujku 2026., nalaže da se osjetljivi vladini podaci pohranjuju na infrastrukturama koje je Francuska nacionalna agencija za kibernetičku sigurnost (ANSSI) certificirala kao SecNumCloud.
Kada Europska komisija, ESB i pedesetak agencija odbijaju povjeriti svoj posao dobavljačima izloženim američkom zakonu, to pitanje zaslužuje da se barem pokrene u vašem upravnom odboru.
U međuvremenu, u vašim uredima: Shadow AI
Dok Europa organizira svoj digitalni suverenitet, što se događa u vašoj zemlji? Prema studiji YouGova za Microsoft France (siječanj 2026., 657 menadžera i rukovoditelja), 80% menadžera koristi generativnu umjetnu inteligenciju barem jednom tjedno, a 61% zaposlenika pristupa joj putem osobnih računa, izvan bilo kojeg IT okvira, dok je 38% koristi svakodnevno. Više od sedam od deset menadžera nije prošlo nikakvu obuku.
To se zove shadow AI, a obožava vaše osjetljive podatke. Izvješće Netwrixa za 2026. procjenjuje da je 54% neprijavljenih AI alata otkrivenih u tvrtkama unijelo osjetljive podatke: izvorni kod, datoteke kupaca i regulirane dokumente. Netskope mjeri prosječno 223 mjesečna incidenta slanja osjetljivih podataka generativnim AI alatima po tvrtki. A Barometar privatnosti EQS Grupe za 2026. godinu jasno pokazuje poantu: 80% organizacija nema jasno razumijevanje korištenja AI-a, a samo 32% onih koji provode AI projekte dovršilo je Procjenu utjecaja na zaštitu podataka (DPIA).
Izračunajte za vlastitu organizaciju. Ako su vaši timovi imalo slični francuskom prosjeku, dijelovi vaših ugovora, HR podataka i istraživanja i razvoja već su otišli na poslužitelje koji podliježu Zakonu o oblaku. Bez odluke. Bez traga u vašem registar liječenjaBez da vaš DPO bude obaviješten.
Želite li znati što stvarno dolazi iz vaše tvrtke? Stručnjaci tvrtke Viqtor® pomažu vam mapirati korištenje umjetne inteligencije i prijenos podataka.
Tri odluke koje treba donijeti — i koje će ostati na razini uprave
1. Sortirajte podatke prema osjetljivosti
Nije sve jednako. Brošura o proizvodu može se prenijeti putem bilo kojeg alata; vaša baza podataka o kupcima, vaše marže, vaš prodajni proces i vaš istraživačko-razvojni rad ne mogu. Uspostavite jednostavnu klasifikaciju - tri razine su dovoljne: javna, interna, strateška/regulirana - i temeljite je na stvarnom upravljanje podacima Tko što može poslati, u kojem alatu i s kojom validacijom? Bez ovog mapiranja, svaka politika umjetne inteligencije ostaje pusta želja.
2. Za osjetljiva pitanja, zatražite od suverena ili lokalne vlasti
Sada postoje vjerodostojne alternative. Mistral AI, francuska tvrtka, obrađuje podatke na europskim poslužiteljima, izvan dosega Zakona o oblaku, s ponudama za poduzeća koje mogu iskoristiti infrastrukture certificirane od strane SecNumClouda - a francusko Ministarstvo oružanih snaga povjerilo joj je u siječnju 2026. implementaciju generativne umjetne inteligencije unutar francuskih oružanih snaga. Njeni modeli otvorene težine mogu se čak implementirati i na vašim vlastitim poslužiteljima: podaci nikada ne napuštaju vašu infrastrukturu. Za hosting, OVHcloud, Scaleway i Outscale nude europski hosting imun na američku eksteritorijalnost. Nešto manje sofisticirana suverena umjetna inteligencija poželjnija je od vrhunske umjetne inteligencije koja otkriva vašu najvrjedniju imovinu. Za neosjetljive upotrebe, američki alati ostaju upotrebljivi - pod uvjetom da je riječ o dokumentiranom izboru, uređenom ugovorom o podizvođaču u skladu s člankom 28.
3. Arbitražu zadržati na razini Izvršnog odbora
Kamo idu vaši podaci nije tehničko pitanje. CIO optimizira troškove i performanse; pružatelj usluga prodaje svoj katalog. Niti jedno ni drugo neće biti odgovorno pred CNIL-om (Francuskom agencijom za zaštitu podataka), vašim dioničarima ili vašim klijentima u slučaju kršenja podataka ili nezakonitog prijenosa. Vi ćete biti. Odluka o uravnoteženju moći alata s kontrolom nad informacijskom imovinom pada na viši menadžment, uz podršku GDPR revizija ozbiljnost, kontinuirana procjena vašeg podizvođači i partneri i dokumentirani GDPR procesi — AIPD uključen za rizične upotrebe umjetne inteligencije.
Najmoćnija umjetna inteligencija je bezvrijedna ako vas zbog nje natjera da izgubite kontrolu nad onim što vas čini vrijednima: vašim podacima. Pravo pitanje večeras je jednostavno: Jesu li vaši najosjetljiviji podaci samo vaši - ili tuđi?
Viqtor® vam pomaže da ponovno preuzmete kontrolu: mapiranje aktivnosti obrade, evaluacija pružatelja umjetne inteligencije, usklađenost s GDPR-om upravljana s neovisne 100 % platforme.
Često postavljana pitanja — Vaša pitanja o reviziji GDPR-a
Primjenjuje li se Zakon o oblaku čak i ako su poslužitelji u Europi?
Da. Kriterij Zakona o oblaku je pravna nacionalnost pružatelja usluga, a ne lokacija poslužitelja. Pariški podatkovni centar kojim upravlja američka tvrtka ili njezina podružnica i dalje podliježe američkim propisima. Samo pravno europski pružatelj usluga, bez ikakve američke kontrole, strukturno izbjegava ovu eksteritorijalnost.
Je li korištenje ChatGPT-a ili Copilota ilegalno prema GDPR-u?
Ne, ne sama po sebi. Ali obrada osobnih podataka zahtijeva ugovor o obradi podataka u skladu s člankom 28., procjenu rizika prijenosa podataka (nakon Schrems II), dodatne mjere ako je potrebno i procjenu utjecaja na zaštitu podataka (DPIA) za visokorizične upotrebe. Neregulirana upotreba – umjetna inteligencija u zavjesi – stvara kršenje, a ne sam alat.
Tko je odgovoran u slučaju nezakonitog prijenosa: moja tvrtka ili pružatelj umjetne inteligencije?
Vaša tvrtka, kao voditelj obrade podataka, odgovorna je za odabir svojih podizvođača i osiguravanje zakonitosti prijenosa podataka pred CNIL-om (Francuskim tijelom za zaštitu podataka). Dobavljač ima vlastite obveze, ali one vas ne oslobađaju odgovornosti: kazne prema članku 83. GDPR-a prvenstveno su usmjerene na stranu koja određuje svrhe i sredstva obrade.
Što je točno suverena umjetna inteligencija?
Umjetna inteligencija čiji su pružatelj usluga, hosting i upravljanje regulirani isključivo europskim pravom: europska tvrtka, poslužitelji smješteni u EU i nijedan neeuropski subjekt nema pristup podacima. Mistral AI je najuspješniji francuski primjer toga. Sljedeća razina uključuje implementaciju modela otvorene težine na vlastitoj infrastrukturi: podaci tada nikada ne napuštaju vaše prostorije.
Je li enkripcija dovoljna da me zaštiti od Zakona o oblaku?
Pomaže, ali samo pod jednim strogim uvjetom: da ključevi za šifriranje ostanu nedostupni pružatelju usluga. Ovo je glavna tehnička mjera koju prepoznaju preporuke EDPB-a iz siječnja 2020. Međutim, s generativnom umjetnom inteligencijom ova zaštita se raspada: da bi obradio vaš upit, model mora pročitati vaše podatke u običnom tekstu. Šifriranje štiti pohranu, a ne zaključivanje.
Gdje da počnem regulirati korištenje generativne umjetne inteligencije u svojoj tvrtki?
Proces započinje početnom procjenom: koji se alati zapravo koriste, tko ih koristi i s kojim podacima. Nakon toga slijedi klasifikacija na temelju osjetljivosti, povelja o korištenju, odabir validiranih alata (suvereni alati za osjetljive podatke), ažuriranje registra obrade i procjena utjecaja na zaštitu podataka (DPIA) za slučajeve visokog rizika. GDPR revizija koju pokreće platforma poput Viqtor® pokriva ove korake bez potrebe za mjesecima internih resursa.