Zakon o oblaku in generativna umetna inteligenca: kdo v resnici odloča, kje spijo vaši podatki?
V ChatGPT ali Copilot prilepite zaupen dokument. Osnutek pogodbe, tabelo marž, strateški memorandum. Nocoj je ta dokument shranjen na ameriškem strežniku. In ameriški pravosodni sistem lahko do njega dostopa, tudi če je fizično shranjen v Evropi. Ima ime: Zakon o oblaku.
Videl sem že vodstvene delavce, ki so to resničnost odkrili sredi pogajanj. Prepozno je, da bi se lotili vprašanja gostovanja. Suverenost podatkov ni odgovornost oddelka IT; je odločitev vodstva, tako kot izbira banke ali zavarovalnice. Tukaj je razlog in, kar je še pomembneje, kaj storiti.
Zakon o oblaku, tisti zakon, ki ga nihče ne prebere, preden prilepi dokument v klepetalni robot.
Ključne ugotovitve
- Zakon o oblaku (2018) dovoljuje ameriškim oblastem, da zahtevajo podatke, ki jih hrani kateri koli ponudnik, za katerega velja ameriška zakonodaja, tudi če so shranjeni v Evropi, ne da bi vas o tem obvestili. To vpliva na ChatGPT, Copilot, Gemini in Claude.
- Člen 48 GDPR načeloma nasprotuje tem razkritjem, vendar je vaše podjetje kot upravljavec podatkov odgovorno za nezakonite prenose: do 20 milijonov EUR ali 4 % svetovnega prometa.
- Evropska komisija je 17. aprila 2026 podelila pogodbo o suverenem oblaku (180 milijonov evrov, 6 let) štirim evropskim skupinam – zlasti OVHcloud, Scaleway in STACKIT – na podlagi okvira za referenčno suverenost (SEAL), ki ga lahko ponovno uporabi katero koli podjetje.
- Senčna umetna inteligenca je ogromna: 61 % zaposlenih uporablja umetno inteligenco prek osebnih računov; 54 % neprijavljenih orodij je vneslo občutljive podatke.
- Tri vodstvene odločitve: razvrstiti podatke po občutljivosti, rezervirati suvereno ali lokalno omrežje za strateške podatke (Mistral, gostovanje SecNumCloud, namestitev na lokaciji) in arbitražo prepustiti izvršnemu odboru.
Kaj pravi besedilo, brez žargona
Zakon o razjasnitvi zakonite uporabe podatkov v tujini je ameriški kongres sprejel 23. marca 2018. Spreminja Zakon o shranjenih komunikacijah iz leta 1986 in rešuje dolgoletno vprašanje FBI: kako pridobiti podatke, ki jih ameriško podjetje hrani v tujini, ne da bi se pri tem lotil počasnih postopkov mednarodne medsebojne pravne pomoči.
Odgovor lahko povzamemo v enem stavku: ameriški organi lahko od ponudnika, za katerega velja ameriška zakonodaja, zahtevajo, da jim izroči podatke, ki jih hrani ali nadzoruje, ne glede na to, kje so ti podatki shranjeni. Strežnik v Frankfurtu, podatkovni center v Parizu, območje v oblaku v "Zahodni Evropi": ni pomembno. Pomembna je zakonita državljanska pripadnost ponudnika, ne pa geografska lokacija naprav.
Dve ključni točki, ki vse spremenita. Prvič, postopek ne vključuje obveščanja zadevnega podjetja: nikoli ne boste vedeli, da je bil dostop do vaših podatkov. Drugič, obseg je širok: ameriška podjetja, njihove podružnice in potencialno katero koli tuje podjetje s pomembno komercialno prisotnostjo v Združenih državah.
ChatGPT, Copilot, Gemini, Claude: isti sistem
OpenAI, Microsoft, Google in Anthropic so podjetja, ustanovljena v skladu z ameriškim pravom. Njihovi generativni pomočniki umetne inteligence – ChatGPT, Copilot, Gemini in Claude – so zato predmet zakona o oblaku, tudi če ponujajo gostovanje v Evropi. Irski podatkovni center, ki ga upravlja ameriški subjekt, ostaja pod jurisdikcijo ameriških sodišč. To je samo načelo ekstrateritorialnosti: pravo sledi podjetju, ne strežniku.
V praksi vsako e-poštno sporočilo, ki vsebuje vaše datoteke strank, informacije o cenah, raziskovalno-razvojno delo ali osebne podatke zaposlenih, predstavlja prenos podatkov subjektu, za katerega velja tuja zakonodaja. Vaši podatki potujejo dlje kot vi. In za to ni bilo potrebno vaše soglasje.
GDPR vas določa kot upravljavca podatkov. Ne pa vašega dobavitelja.
Člen 48, bolj teoretična kot praktična ključavnica
Evropska zakonodaja tega problema ni prezrla. Člen 48 GDPR določa, da se odločitev organa tretje države, ki zahteva razkritje osebnih podatkov, lahko prizna le, če temelji na mednarodnem sporazumu, običajno na pogodbi o medsebojni pravni pomoči. Vendar pa je Zakon o računalništvu v oblaku enostranski ameriški zakon, ne pa pogodba. Že leta 2019 sta Evropski odbor za varstvo podatkov (EDPB) in Evropski nadzornik za varstvo podatkov (EDPS) v skupni analizi ugotovila, da zahteva, ki temelji izključno na Zakonu o računalništvu v oblaku, ne predstavlja veljavne podlage za prenos podatkov.
Ameriški dobavitelj se tako sooča z dvema nasprotujočima si pravnima odredbama: ubogati ameriškega sodnika in kršiti GDPR ali zavrniti in tvegati sankcije v Združenih državah. Uganite, v katero smer se bo nagnilo podjetje, katerega sedež, vodstvo in večina prihodkov so ameriški.
Schrems II, Meta: račun za druge je že plačan
Ta napetost ni ostala omejena le na akademske kroge. Sodišče Evropske unije je 16. julija 2020 s sodbo Schrems II razveljavilo zasebnostni ščit, ker ameriški programi nadzora niso zagotavljali zaščite, enakovredne tisti, ki jo zagotavlja evropska zakonodaja. Maja 2023 je irski organ za varstvo podatkov družbi Meta naložil globo v višini 1,2 milijarde evrov zaradi nezakonitih prenosov osebnih podatkov v Združene države. Tudi francoski organ za varstvo podatkov (CNIL) je iz istih razlogov francoskim organizacijam, ki uporabljajo Google Analytics, izdal uradne opomine.
In tukaj je bistvo, ki ga mnogi vodilni delavci podcenjujejo: kot upravljavec podatkov je vaše podjetje odgovorno za zakonitost prenosov, ne OpenAI ali Microsoft. Priporočila Evropskega odbora za varstvo podatkov iz januarja 2020 zahtevajo, da ocenite izpostavljenost svojih obdelovalcev ekstrateritorialnim zakonom in dokumentirate dodatne ukrepe – vključno s šifriranjem s ključi, ki ponudniku niso dostopni. Če tega ne storite, lahko kazni v skladu s členom 83 GDPR dosežejo 20 milijonov evrov ali 4 % vašega svetovnega letnega prometa. Ponudnik pobira vaše naročnine; tveganje nosite vi.
April 2026: Evropa je glasovala s svojo denarnico
To ni več predmet razprave med strokovnjaki. Evropska komisija je 17. aprila 2026 obvestila o dodelitvi svoje okvirne pogodbe za suverene storitve v oblaku – v vrednosti 180 milijonov evrov za šest let v okviru pobude Cloud III – štirim izključno evropskim konzorcijem: Post Telecom z OVHcloud in CleverCloud, nemškemu podjetju STACKIT, francoskemu podjetju Scaleway in Proximusu v partnerstvu s S3NS, Clarence in Mistral. AWS, Microsoft Azure in Google Cloud, ki so prej prevladovali v institucionalnih pogodbah, niso med neposrednimi prejemniki.
Za svoj izbor je Bruselj ustvaril edinstveno orodje: okvir za suverenost v oblaku, ki ocenjuje suverenost na lestvici SEAL od 0 do 4. SEAL-3, ki so ga dosegli trije od štirih zmagovalnih ponudnikov, zahteva, da noben neevropski subjekt nima pravice veta, klavzule o dostopu do podatkov ali tehnične zmožnosti za zaustavitev storitve. Z drugimi besedami, imuniteta pred zakonom o oblaku je postala merljivo in izvršljivo merilo za javna naročila. Ta okvir je javen – lahko ga uporabljate v svojih lastnih razpisih. Francija sledi isti poti: doktrina "državnega oblaka", revidirana marca 2026, nalaga, da se občutljivi vladni podatki gostijo na infrastrukturah, ki jih je francoska nacionalna agencija za kibernetsko varnost (ANSSI) certificirala kot SecNumCloud.
Ko Evropska komisija, ECB in približno petdeset agencij nočejo zaupati svojih del dobaviteljem, za katere velja ameriška zakonodaja, si to vprašanje zasluži vsaj začeti v vašem upravnem odboru.
Medtem, v vaših pisarnah: senčna umetna inteligenca
Medtem ko Evropa ureja svojo digitalno suverenost, kaj se dogaja v vaši državi? Glede na študijo YouGov za Microsoft France (januar 2026, 657 menedžerjev in vodilnih delavcev) 80 % menedžerjev uporablja generativno umetno inteligenco vsaj enkrat na teden – 61 % zaposlenih do nje dostopa prek osebnih računov, zunaj kakršnega koli IT-okvira, 38 % pa jo uporablja dnevno. Več kot sedem od desetih menedžerjev ni bilo deležnih nobenega usposabljanja.
Temu pravimo senčna umetna inteligenca, ki obožuje vaše občutljive podatke. Poročilo Netwrix 2026 ocenjuje, da je 54 % neprijavljenih orodij umetne inteligence, odkritih v podjetjih, vnašalo občutljive podatke: izvorno kodo, datoteke strank in regulirane dokumente. Netskope v povprečju meri 223 mesečnih incidentov pošiljanja občutljivih podatkov generativnim orodjem umetne inteligence na podjetje. Barometer zasebnosti skupine EQS za leto 2026 pa to jasno poudari: 80 % organizacij nima jasnega razumevanja uporabe umetne inteligence, le 32 % tistih, ki izvajajo projekte umetne inteligence, pa je opravilo oceno vpliva na varstvo podatkov (DPIA).
Izračunajte za svojo organizacijo. Če so vaše ekipe vsaj malo podobne francoskemu povprečju, so deli vaših pogodb, kadrovskih podatkov ter podatkov o raziskavah in razvoju že odšli na strežnike, za katere velja zakon o oblaku. Brez odločitve. Brez sledi v vašem register zdravljenjaBrez da bi bila vaša pooblaščena oseba za varstvo podatkov obveščena.
Želite vedeti, kaj v resnici prihaja iz vašega podjetja? Strokovnjaki Viqtor® vam pomagajo pri načrtovanju uporabe umetne inteligence in prenosa podatkov.
Tri odločitve, ki jih je treba sprejeti – in jih ohraniti na ravni vodstva
1. Razvrstite podatke po občutljivosti
Ni vse ustvarjeno enako. Brošuro izdelka je mogoče posredovati s katerim koli orodjem; vaša baza strank, vaše marže, vaš prodajni proces in vaše raziskovalno-razvojno delo ne morejo. Vzpostavite preprosto klasifikacijo – zadostujejo tri ravni: javna, interna, strateška/regulirana – in jo utemeljite na resničnem upravljanje podatkov Kdo lahko kaj pošlje, v katerem orodju in s kakšno potrditvijo? Brez tega preslikavanja ostaja vsaka politika umetne inteligence le pobožna želja.
2. Za občutljive zadeve zahtevajte od suverena ali lokalnega
Zdaj obstajajo verodostojne alternative. Francosko podjetje Mistral AI obdeluje podatke na evropskih strežnikih, ki so zunaj dosega zakona o oblaku, s ponudbami za podjetja, ki lahko izkoristijo infrastrukture s certifikatom SecNumCloud – francosko ministrstvo za oborožene sile pa mu je januarja 2026 zaupalo uvedbo generativne umetne inteligence znotraj francoskih oboroženih sil. Njihove modele odprte teže je mogoče namestiti celo na vaše lastne strežnike: podatki nikoli ne zapustijo vaše infrastrukture. Za gostovanje OVHcloud, Scaleway in Outscale ponujajo evropsko gostovanje, ki je imuno na ameriško eksteritorialnost. Nekoliko manj dovršena suverena umetna inteligenca je boljša od najsodobnejše umetne inteligence, ki razkriva vaše najdragocenejše sredstvo. Za neobčutljive uporabe ostajajo ameriška orodja uporabna – pod pogojem, da gre za dokumentirano izbiro, ki jo ureja podizvajalska pogodba v skladu s členom 28.
3. Arbitražo ohraniti na ravni izvršnega odbora
Kam gredo vaši podatki, ni tehnično vprašanje. Direktor informatike optimizira stroške in učinkovitost; ponudnik storitev prodaja svoj katalog. Nobeden od njiju ne bo odgovoren pred CNIL (francoskim organom za varstvo podatkov), vašimi delničarji ali vašimi strankami v primeru kršitve podatkov ali nezakonitega prenosa. Vi boste. Odločitev o uravnoteženju moči orodij z nadzorom nad informacijskimi sredstvi je v rokah višjega vodstva, ki ga podpira GDPR revizija resnost, nenehno ocenjevanje vašega podizvajalci in partnerji in dokumentirani postopki GDPR — Vključeni so navodila za uporabo umetne inteligence (AIPD) za tvegane uporabe umetne inteligence.
Najmočnejša umetna inteligenca je ničvredna, če zaradi nje izgubite nadzor nad tem, kar vas dela dragocene: vašimi podatki. Pravo vprašanje nocoj je preprosto: Ali so vaši najobčutljivejši podatki pri vas – ali pri nekom drugem?
Viqtor® vam pomaga ponovno prevzeti nadzor: kartiranje dejavnosti obdelave, ocenjevanje ponudnikov umetne inteligence, skladnost z GDPR, upravljano s suverene platforme 100 %.
Pogosta vprašanja – Vaša vprašanja o reviziji GDPR
Ali se Zakon o oblaku uporablja, tudi če so strežniki v Evropi?
Da. Merilo Zakona o oblaku je zakonita nacionalnost ponudnika, ne lokacija strežnikov. Pariški podatkovni center, ki ga upravlja ameriško podjetje ali njegova podružnica, še naprej velja za ameriške predpise. Le zakonito evropski ponudnik brez kakršnega koli ameriškega nadzora se strukturno izogne tej ekstrateritorialnosti.
Ali je uporaba ChatGPT ali Copilota nezakonita v skladu z GDPR?
Ne, sama po sebi ne. Vendar pa obdelava osebnih podatkov zahteva pogodbo o obdelovalcu podatkov, ki je skladna s členom 28, oceno tveganja prenosov podatkov (po Schrems II), dodatne ukrepe, če je potrebno, in oceno učinka na varstvo podatkov (DPIA) za uporabo z visokim tveganjem. Kršitev povzroča neregulirana uporaba – senčna umetna inteligenca – ne orodje samo.
Kdo je odgovoren v primeru nezakonitega prenosa: moje podjetje ali ponudnik umetne inteligence?
Vaše podjetje je kot upravljavec podatkov odgovorno za izbiro podizvajalcev in zagotavljanje zakonitosti prenosa podatkov pred CNIL (francoskim organom za varstvo podatkov). Dobavitelj ima svoje obveznosti, vendar vas te ne odvezujejo odgovornosti: kazni v skladu s členom 83 GDPR so namenjene predvsem stranki, ki določa namene in sredstva obdelave.
Kaj točno je suverena umetna inteligenca?
Umetna inteligenca, katere ponudnika, gostovanje in upravljanje ureja izključno evropska zakonodaja: evropsko podjetje, strežniki, ki se nahajajo v EU, in noben neevropski subjekt, ki bi imel dostop do podatkov. Mistral AI je najuspešnejši francoski primer tega. Naslednja raven vključuje uvedbo modela odprte teže na vaši lastni infrastrukturi: podatki nato nikoli ne zapustijo vaših prostorov.
Ali je šifriranje dovolj, da me zaščiti pred zakonom o oblaku?
Pomaga, vendar le pod enim strogim pogojem: da ponudniku šifrirni ključi ostanejo nedostopni. To je glavni tehnični ukrep, ki ga priznavajo priporočila EDPB iz januarja 2020. Vendar pa pri generativni umetni inteligenci ta zaščita ne deluje: za obdelavo vašega poziva mora model prebrati vaše podatke v navadnem besedilu. Šifriranje ščiti shranjevanje, ne sklepanja.
Kje naj začnem z regulacijo uporabe generativne umetne inteligence v svojem podjetju?
Postopek se začne z začetno oceno: katera orodja se dejansko uporabljajo, kdo jih uporablja in s katerimi podatki. Sledi razvrstitev glede na občutljivost, listina o uporabi, izbor validiranih orodij (suverena orodja za občutljive podatke), posodobitev registra obdelav in ocena vpliva na varstvo podatkov (DPIA) za primere z visokim tveganjem. Revizija GDPR, ki jo poganja platforma, kot je Viqtor®, zajema te korake, ne da bi zahtevala mesece notranjih virov.