Cloud Act a generatívna umelá inteligencia: kto skutočne rozhoduje o tom, kde sa vaše dáta uchovávajú?
Vložíte dôverný dokument do ChatGPT alebo Copilota. Návrh zmluvy, tabuľku marží, strategickú správu. Dnes večer je tento dokument uložený na americkom serveri. A americký systém spravodlivosti k nemu má prístup, aj keď je fyzicky uložený v Európe. Má názov: Cloud Act.
Videl som, ako si manažéri uvedomili túto realitu uprostred rokovaní. Bolo už neskoro nastoľovať otázku hostingu. Dátová suverenita nie je zodpovednosťou IT oddelenia; je to rozhodnutie vedenia, rovnako ako výber banky alebo poisťovne. Tu je dôvod a čo je dôležitejšie, čo robiť.
Zákon o cloude, ten zákon, ktorý si nikto neprečíta predtým, ako vloží dokument do chatbota.
Kľúčové poznatky
- Zákon o cloude (2018) umožňuje americkým orgánom požadovať údaje uchovávané akýmkoľvek poskytovateľom podliehajúcim právnym predpisom USA, a to aj v prípade, že sú uložené v Európe, bez toho, aby vás o tom informovali. Týka sa to ChatGPT, Copilot, Gemini a Claude.
- Článok 48 GDPR v zásade odmieta tieto zverejnenia, ale za nezákonné prevody je zodpovedná vaša spoločnosť ako prevádzkovateľ údajov: až do výšky 20 miliónov EUR alebo 4 % z celosvetového obratu.
- Dňa 17. apríla 2026 Európska komisia udelila zmluvu na poskytovanie suverénnych cloudových služieb (180 miliónov eur, 6 rokov) štyrom európskym skupinám – najmä OVHcloud, Scaleway a STACKIT – na základe rámca pre referenčné podmienky suverenity (SEAL), ktorý môže opätovne použiť ktorákoľvek spoločnosť.
- Tieňová umelá inteligencia je rozsiahla: 61 % zamestnancov používa umelú inteligenciu prostredníctvom osobných účtov; 54 % nedeklarovaných nástrojov získalo citlivé údaje.
- Tri manažérske rozhodnutia: klasifikovať údaje podľa citlivosti, rezervovať suverénnu alebo lokálnu sieť pre strategické údaje (Mistral, hosting SecNumCloud, nasadenie v lokálnej sieti) a ponechať arbitráž na výkonný výbor.
Čo hovorí text, bez žargónu
Zákon o objasňovaní zákonného používania údajov v zahraničí schválil Kongres USA 23. marca 2018. Mení zákon o uloženej komunikácii z roku 1986 a rieši dlhodobý problém FBI: ako získať údaje, ktoré americká spoločnosť uchováva v zahraničí, bez toho, aby musela prejsť pomalými postupmi medzinárodnej vzájomnej právnej pomoci.
Odpoveď sa dá zhrnúť do jednej vety: Americké úrady môžu od poskytovateľa, na ktorého sa vzťahujú americké zákony, požadovať, aby im odovzdal údaje, ktoré má v držbe alebo ktoré kontroluje, bez ohľadu na to, kde sú tieto údaje uložené. Server vo Frankfurte, dátové centrum v Paríži, cloudový región v „západnej Európe“: na tom nezáleží. Dôležitá je štátna príslušnosť poskytovateľa, nie geografická poloha strojov.
Dva kľúčové body, ktoré všetko menia. Po prvé, postup nezahŕňa informovanie príslušnej spoločnosti: nikdy sa nedozviete, že k vašim údajom bol prístup. Po druhé, rozsah je široký: americké spoločnosti, ich dcérske spoločnosti a potenciálne akákoľvek zahraničná spoločnosť s významnou obchodnou prítomnosťou v Spojených štátoch.
ChatGPT, Copilot, Gemini, Claude: rovnaký systém
OpenAI, Microsoft, Google a Anthropic sú spoločnosti založené podľa amerického práva. Ich generatívni asistenti s umelou inteligenciou – ChatGPT, Copilot, Gemini a Claude – preto podliehajú zákonu o cloudových službách (Cloud Act), a to aj v prípade, že ponúkajú hosting v Európe. Írske dátové centrum prevádzkované americkým subjektom zostáva pod jurisdikciou amerických súdov. Toto je samotný princíp exteritoriality: zákon sa riadi spoločnosťou, nie serverom.
V praxi každý e-mail obsahujúci súbory vašich zákazníkov, informácie o cenách, výskumné a vývojové práce alebo osobné údaje zamestnancov predstavuje prenos údajov subjektu podliehajúcemu zahraničnému právu. Vaše údaje putujú ďalej ako vy. A nevyžadoval si to váš súhlas.
GDPR vás označuje za prevádzkovateľa údajov. Nie vášho dodávateľa.
Článok 48, skôr teoretický ako praktický zámok
Európske právo tento problém neignorovalo. Článok 48 GDPR stanovuje, že rozhodnutie orgánu tretej krajiny vyžadujúce zverejnenie osobných údajov možno uznať len vtedy, ak je založené na medzinárodnej dohode, zvyčajne zmluve o vzájomnej právnej pomoci. Zákon o cloude je však jednostranným právnym predpisom USA, nie zmluvou. Už v roku 2019 Európsky výbor pre ochranu údajov (EDPB) a Európsky dozorný úradník pre ochranu údajov (EDPS) vo svojej spoločnej analýze dospeli k záveru, že žiadosť založená výlučne na zákone o cloude nepredstavuje platný základ pre prenos údajov.
Americký dodávateľ tak čelí dvom protichodným právnym príkazom: poslúchnuť amerického sudcu a porušiť GDPR, alebo odmietnuť a riskovať sankcie v Spojených štátoch. Hádajte, ktorým smerom sa prikloní spoločnosť, ktorej sídlo, vedenie a väčšina príjmov sú v Amerike.
Schrems II, Meta: účet za ostatných už bol zaplatený
Toto napätie nezostalo obmedzené len na akademickú sféru. Dňa 16. júla 2020 Súdny dvor Európskej únie vo veci Schrems II zrušil štít na ochranu osobných údajov z dôvodu, že americké sledovacie programy nezaručovali ochranu rovnocennú ochrane poskytovanej európskym právom. V máji 2023 írsky úrad na ochranu údajov udelil spoločnosti Meta pokutu vo výške 1,2 miliardy eur za nezákonné prenosy osobných údajov do Spojených štátov. CNIL (francúzsky úrad na ochranu údajov) tiež vydal formálne oznámenia francúzskym organizáciám používajúcim Google Analytics z rovnakých dôvodov.
A tu je bod, ktorý mnohí manažéri podceňujú: ako prevádzkovateľ údajov je za zákonnosť prenosov zodpovedná vaša spoločnosť, nie OpenAI alebo Microsoft. Odporúčania EDPB z januára 2020 vyžadujú, aby ste posúdili vystavenie vašich spracovateľov extrateritoriálnym zákonom a zdokumentovali dodatočné opatrenia – vrátane šifrovania s kľúčmi, ku ktorým poskytovateľ nemá prístup. Ak tak neurobíte, môžu byť udelené pokuty podľa článku 83 GDPR vo výške až 20 miliónov eur alebo 4 % vášho globálneho ročného obratu. Poskytovateľ vyberá vaše poplatky za predplatné; riziko znášate vy.
Apríl 2026: Európa hlasovala svojou peňaženkou
Toto už nie je predmetom diskusie medzi expertmi. Európska komisia 17. apríla 2026 oznámila udelenie rámcovej zmluvy o suverénnom cloude – v hodnote 180 miliónov eur na šesť rokov v rámci iniciatívy Cloud III – štyrom výlučne európskym konzorciám: Post Telecom so spoločnosťami OVHcloud a CleverCloud, nemecká spoločnosť STACKIT, francúzska spoločnosť Scaleway a Proximus v partnerstve so spoločnosťami S3NS, Clarence a Mistral. Medzi priamymi príjemcami nie sú spoločnosti AWS, Microsoft Azure a Google Cloud, ktoré predtým dominovali v inštitucionálnych zmluvách.
Aby Brusel mohol uskutočniť svoj výber, vytvoril jedinečný nástroj: Rámec cloudovej suverenity, ktorý hodnotí suverenitu na stupnici SEAL od 0 do 4. SEAL-3, ktorý dosiahli traja zo štyroch víťazných poskytovateľov, vyžaduje, aby žiadny neeurópsky subjekt nemal právo veta, doložku o prístupe k údajom ani technickú schopnosť vypnúť službu. Inými slovami, imunita voči zákonu o cloude sa stala merateľným a vymáhateľným kritériom verejného obstarávania. Tento rámec je verejný – môžete ho slobodne použiť vo svojich vlastných tendroch. Francúzsko sa uberá rovnakou cestou: doktrína „štátneho cloudu“, revidovaná v marci 2026, nariaďuje, aby citlivé vládne údaje boli hostované na infraštruktúrach certifikovaných ako SecNumCloud francúzskou národnou agentúrou pre kybernetickú bezpečnosť (ANSSI).
Keď Európska komisia, ECB a približne päťdesiat agentúr odmietajú zveriť svoju pracovnú záťaž dodávateľom, na ktorých sa vzťahuje právo USA, zaslúži si to aspoň nastolenie tejto otázky vo vašom riadiacom výbore.
Medzitým, vo vašich kanceláriách: Tieňová umelá inteligencia
Zatiaľ čo Európa si organizuje svoju digitálnu suverenitu, čo sa deje vo vašej krajine? Podľa štúdie YouGov pre Microsoft France (január 2026, 657 manažérov a vedúcich pracovníkov) 80 % manažérov používa generatívnu umelú inteligenciu aspoň raz týždenne – a 61 % zamestnancov k nej pristupuje prostredníctvom osobných účtov, mimo akéhokoľvek IT rámca, pričom 38 % ju používa denne. Viac ako sedem z desiatich manažérov neabsolvovalo žiadne školenie.
Toto sa nazýva tieňová umelá inteligencia a miluje vaše citlivé údaje. Správa Netwrix z roku 2026 odhaduje, že 54 % nedeklarovaných nástrojov umelej inteligencie zistených v podnikoch prijímalo citlivé údaje: zdrojový kód, súbory zákazníkov a regulované dokumenty. Netskope meria v priemere 223 mesačných incidentov odosielania citlivých údajov do generatívnych nástrojov umelej inteligencie na spoločnosť. A barometer súkromia skupiny EQS z roku 2026 to zdôrazňuje: 80 % organizácií nemá jasnú predstavu o používaní umelej inteligencie a iba 32 % tých, ktorí realizujú projekty umelej inteligencie, dokončilo posúdenie vplyvu na ochranu údajov (DPIA).
Vypočítajte si to pre svoju vlastnú organizáciu. Ak sú vaše tímy aspoň trochu ako francúzsky priemer, časti vašich zmlúv, personálnych údajov a údajov o výskume a vývoji už odišli na servery, na ktoré sa vzťahuje zákon o cloude. Bez rozhodnutia. Bez stopy vo vašom... register liečbyBez toho, aby ste o tom informovali svoju zodpovednú osobu.
Chcete vedieť, čo sa vo vašej spoločnosti skutočne deje? Odborníci zo spoločnosti Viqtor® vám pomôžu zmapovať využívanie umelej inteligencie a prenosy dát.
Tri rozhodnutia, ktoré treba urobiť – a ktoré sa majú ponechať na úrovni manažmentu
1. Zoraďte si údaje podľa citlivosti
Nie všetko je rovnaké. Produktový katalóg je možné preniesť prostredníctvom akéhokoľvek nástroja; vaša zákaznícka databáza, vaše marže, váš predajný kanál a vaša výskumná a vývojová práca nie. Stanovte jednoduchú klasifikáciu – postačujú tri úrovne: verejná, interná, strategická/regulovaná – a založte ju na skutočnom správa údajov Kto môže čo odoslať, v ktorom nástroji a s akým overením? Bez tohto mapovania zostáva akákoľvek politika v oblasti umelej inteligencie len zbožným prianím.
2. V citlivých záležitostiach požiadajte panovníka alebo miestneho úradníka
V súčasnosti existujú dôveryhodné alternatívy. Francúzska spoločnosť Mistral AI spracováva dáta na európskych serveroch mimo dosahu zákona o cloude s podnikovými ponukami, ktoré dokážu využiť infraštruktúry certifikované SecNumCloud – a francúzske ministerstvo ozbrojených síl ju v januári 2026 poverilo nasadením generatívnej umelej inteligencie vo francúzskych ozbrojených silách. Jej modely s otvorenou váhou je možné nasadiť dokonca na vašich vlastných serveroch: dáta nikdy neopustia vašu infraštruktúru. V prípade hostingu ponúkajú OVHcloud, Scaleway a Outscale európsky hosting imúnny voči exteritorialite USA. O niečo menej sofistikovaná suverénna umelá inteligencia je vhodnejšia ako špičková umelá inteligencia, ktorá odhaľuje vaše najcennejšie aktívum. Pre necitlivé použitie zostávajú americké nástroje použiteľné – za predpokladu, že ide o zdokumentovanú voľbu, ktorá sa riadi subdodávateľskou zmluvou v súlade s článkom 28.
3. Zachovať arbitráž na úrovni výkonného výboru
Kam idú vaše dáta, nie je technická otázka. CIO optimalizuje náklady a výkon; poskytovateľ služieb predáva svoj katalóg. Ani jeden z nich nebude niesť zodpovednosť pred CNIL (francúzskym úradom na ochranu údajov), vašimi akcionármi ani vašimi klientmi v prípade úniku údajov alebo nezákonného prenosu. Vy budete. Rozhodnutie o vyvážení sily nástrojov s kontrolou nad informačnými aktívami je na vrcholovom manažmente, s podporou... Audit GDPR vážnosť, neustále hodnotenie vášho subdodávatelia a partneri a zdokumentované procesy GDPR — AIPD zahrnuté pre rizikové použitie umelej inteligencie.
Aj tá najvýkonnejšia umelá inteligencia je bezcenná, ak vám spôsobí, že stratíte kontrolu nad tým, čo vás robí cennými: vašimi údajmi. Skutočná otázka dnes večer je jednoduchá: Sú vaše najcitlivejšie údaje len vaše – alebo niekoho iného?
Viqtor® vám pomôže získať späť kontrolu: mapovanie spracovateľských aktivít, hodnotenie poskytovateľov umelej inteligencie, dodržiavanie GDPR spravované zo suverénnej platformy 100 %.
Často kladené otázky – Vaše otázky týkajúce sa auditu GDPR
Uplatňuje sa zákon o cloudových službách, aj keď sú servery v Európe?
Áno. Kritériom zákona o cloude je štátna príslušnosť poskytovateľa, nie umiestnenie serverov. Parížske dátové centrum prevádzkované americkou spoločnosťou alebo jej dcérskou spoločnosťou naďalej podlieha americkým predpisom. Iba právne európsky poskytovateľ bez akejkoľvek americkej kontroly sa štrukturálne vyhýba tejto exteritorialite.
Je používanie ChatGPT alebo Copilot podľa GDPR nezákonné?
Nie, samo o sebe nie. Spracovanie osobných údajov si však vyžaduje zmluvu so spracovateľom údajov v súlade s článkom 28, posúdenie rizika prenosu údajov (po Schrems II), v prípade potreby ďalšie opatrenia a posúdenie vplyvu na ochranu údajov (DPIA) v prípade vysokorizikových použití. Porušenie spôsobuje neregulované použitie – tieňová umelá inteligencia, nie samotný nástroj.
Kto je zodpovedný v prípade nezákonného prevodu: moja spoločnosť alebo poskytovateľ umelej inteligencie?
Vaša spoločnosť ako prevádzkovateľ údajov je zodpovedná za výber svojich subdodávateľov a zabezpečenie zákonnosti prenosov údajov pred CNIL (francúzskym úradom na ochranu údajov). Dodávateľ má svoje vlastné povinnosti, ale tie vás nezbavujú zodpovednosti: sankcie podľa článku 83 GDPR sa primárne zameriavajú na stranu, ktorá určuje účely a prostriedky spracovania.
Čo je to vlastne suverénna umelá inteligencia?
Umelá inteligencia, ktorej poskytovateľ, hosting a riadenie sa riadia výlučne európskym právom: európska spoločnosť, servery umiestnené v EÚ a žiadny mimoeurópsky subjekt s prístupom k údajom. Mistral AI je najúspešnejším francúzskym príkladom. Ďalšia úroveň zahŕňa nasadenie modelu otvorenej váhy na vašej vlastnej infraštruktúre: údaje potom nikdy neopustia vaše priestory.
Stačí šifrovanie na to, aby ma ochránilo pred zákonom o cloude?
Pomáha to, ale len za jednej prísnej podmienky: šifrovacie kľúče musia zostať pre poskytovateľa neprístupné. Toto je hlavné technické opatrenie uznané v odporúčaniach EDPB z januára 2020. Pri generatívnej umelej inteligencii však táto ochrana narúša: na spracovanie vašej výzvy musí model prečítať vaše údaje v obyčajnom texte. Šifrovanie chráni úložisko, nie inferenciu.
Kde mám začať s reguláciou používania generatívnej umelej inteligencie v mojej spoločnosti?
Proces začína úvodným posúdením: ktoré nástroje sa skutočne používajú, kým a s akými údajmi. Nasleduje klasifikácia na základe citlivosti, charta používania, výber overených nástrojov (zvrchované nástroje pre citlivé údaje), aktualizácia registra spracovania a posúdenie vplyvu na ochranu údajov (DPIA) pre prípady s vysokým rizikom. Audit GDPR, ktorý využíva platformu ako Viqtor®, pokrýva tieto kroky bez toho, aby si vyžadoval mesiace interných zdrojov.