1. svibnja 2026. 6 min čitanja
EU rezidencija podataka za AI — što konkretno znači, koji je dobavljači mogu
EU rezidencija podataka je ključ za GDPR-usklađen AI u srednjem poduzeću — ali ne ispunjavaju svi dobavljači obećanja. Koji LLM-ovi i cloud platforme to stvarno isporučuju u 2026. i na što treba paziti u ugovoru.
- gdpr
- ai
- eu-hosting
- schrems-ii
- zaštita-podataka
- srednje-poduzeće
Zašto EU rezidencija podataka nije za pregovaranje
Ako želite AI čisto uvesti u srednje poduzeće, EU rezidencija podataka je najvažnija pojedinačna arhitektonska odluka. Ne izbor modela (GPT vs Claude vs Mistral), ne izbor platforme (Zoho vs Odoo) — regija podataka.
Pozadina: Sud EU oborio je s presudom Schrems-II (2020) EU-US Privacy Shield. Prijenos podataka u SAD je od tada dopušten samo s složenim dodatnim sigurnosnim mehanizmima:
- Standard Contractual Clauses (SCC) — bilateralni ugovori između EU voditelja obrade i US dobavljača
- Transfer Impact Assessment (TIA) — analiza rizika po kategoriji podataka
- Dodatne mjere enkripcije ili pseudonimizacije — kad TIA otkrije rizike
Izvedivo je, ali:
- Trudno — po AI dobavljaču vlastiti TIA, koji se mora provjeriti sa službenikom za zaštitu podataka
- S preostalim rizikom — nadzorna tijela mogu pojedine slučajeve drugačije procijeniti
- Politički nestabilno — Schrems III je već u pripremi, EU-US Data Privacy Framework iz 2023. ponovno je pod napadom
Pragmatična alternativa: EU rezidencija podataka ugovorno osigurana. Ako podaci ne napuštaju EU, nema Schrems problema. Točka.
Koji LLM dobavljači stvarno isporučuju EU rezidenciju
| Dobavljač | EU regija | DPA dostupan | Doplata vs US | Mate iT iskustvo |
|---|---|---|---|---|
| Mate iT EU hosting | Mate iT-vlastita EU infrastruktura | ✅ DPA iz tvornice | Servisno-cijeno | Naše vlastito hosting rješenje — open-source LLM-ovi (Mistral, Llama 3.1, Mixtral) na Mate iT-upravljanoj EU infrastrukturi. Bez US dobavljača, bez self-hosting DevOps tereta. |
| Mistral | Pariz (nativno) | ✅ Standard | — (EU-nativno) | Produktivno korišten, dobra sposobnost za primjene srednjeg poduzeća |
| Aleph Alpha (Luminous) | Heidelberg/Köln | ✅ Standard | — (EU-only) | Niša, kad postoji njemački zahtjev za suverenost |
| Anthropic Claude | AWS-EU regija (Frankfurt) | ✅ Enterprise tier | ~10-15 % | Snažan za reasoning, dugi kontekst, analizu ugovora |
| OpenAI Enterprise | Azure-EU (Frankfurt) | ✅ Enterprise | ~15-20 % | Standardni setup za standardne primjene |
| Google Vertex AI (Gemini) | europe-west (Belgija) | ✅ Enterprise | ~5-10 % | Snažan za multimodalno (slike/video) |
| Microsoft Copilot | Azure-EU | ✅ preko M365 | u bundlu | Ako je M365 već tu, blizak izbor |
| Self-Hosted (Ollama, vLLM) | vlastita infrastruktura | n/a (bez dobavljača) | samo hosting troškovi | Maksimalna suverenost, ali DevOps trud |
Nije na popisu jer nema stvarne EU rezidencije:
- ChatGPT Free / Plus / Team — US regija, bez Enterprise DPA
- Anthropic standardni API bez Enterprise ugovora — US zadano
- Open-Source LLM aplikacije (Perplexity, You.com) — uglavnom US backend
- LinkedIn-Sales-Navigator-AI, HubSpot-AI — US backend
Što mora biti u ugovoru
Kad AI dobavljač obećava „EU rezidenciju podataka”, provjerite ovih pet točaka eksplicitno:
1. Regija obrade — gdje teče LLM inferencija? Mora biti imenovana u ugovoru (npr. „AWS eu-central-1 (Frankfurt)”).
2. Regija pohrane — gdje se pohranjuju logovi, cacheovi, backupi? Mora također biti EU. Česta greška: obrada EU, ali backupi u US regiji.
3. Pod-procesori — koristi li dobavljač sam cloud usluge? OpenAI koristi Azure, Anthropic koristi AWS, Mistral hosta sam. Pod-procesori moraju svi imati EU regiju.
4. Pristup za održavanje — može li dobavljač izvana EU tehnički pristupiti vašim podacima? Standardni uvjeti poslovanja US dobavljača to dopuštaju. Kod stvarnih EU postavki isključeno.
5. Brisanje podataka — kad se upiti i odgovori konačno brišu? Standard je 30 dana logiranja za analizu pogrešaka, zatim auto-delete. Ako to nije u ugovoru ili „indefinitely” — ruke dalje.
Mate iT EU hosting — open-source LLM-ovi na vlastitoj infrastrukturi
Iz 400+ projekata srednjeg poduzeća naučili smo: mnogi voditelji obrade žele suverenost self-hosted setupa, ali nemaju ni DevOps kapacitet ni želju brinuti se o GPU serverima, ažuriranjima modela i nadzoru usklađenosti. Točno tu prazninu zatvaramo s Mate iT EU hostingom.
Što je to:
- Vlastita EU infrastruktura — fizički pokrenuta u njemačkim i austrijskim podatkovnim centrima, bez US dobavljača u stacku, bez pitanja o prijenosu podataka u treću zemlju
- Open-source modeli — Mistral 8x22B, Llama 3.1 70B, Mixtral, te specijalizirani modeli za primjene poput analize ugovora, generacije koda, OCR-a
- DPA iz tvornice s Mate iT GmbH-om kao izvršiteljem obrade — jedan ugovor, bez pinpong igre između dobavljača, clouda, pod-procesora
- DevOps preuzimamo mi — ažuriranja modela, sigurnosni patchovi, skaliranje, monitoring teku kod nas. Vi koristite API.
- Servisna cijena — bez token-baziranih skrivenih troškova, već jasno izračunljive mjesečne stope ovisno o volumenu korištenja
Tehnički gledano, ovo je hibrid Obrasca B (Self-Hosted) i Obrasca C (EU-hostani API): dobivate suverenost Self-Hostinga uz setup-komfor komercijalnog API-ja. Za srednja poduzeća koja imaju ISO 27001, HANFA-u ili kritičnu infrastrukturu na umu, a ne žele graditi vlastiti AI inženjerski tim, to je često čist odgovor.
Nudimo to kao add-on uz naše ERP implementacijske projekte — najčešće u kombinaciji s Odoo postavkama (vidi /hr/blog/dsgvo-ki-odoo), ali i samostalno kad postojeći ERP stack već stoji i treba samo dopuniti AI sloj.
Mate iT preporuka — matrica
| Primjena | Preporuka |
|---|---|
| Standardno srednje poduzeće (helpdesk, CRM, računovodstvo) | Mistral ili Anthropic Claude (EU-AWS) — dobra sposobnost, jasna GDPR priča |
| Vrlo njemačko-centrične primjene (HR, obrana, javna uprava) | Aleph Alpha — politički čist, nešto manje sposobnosti ali nekritično |
| Multimodalno (analiza slike/videa) | Google Vertex (Gemini) s europe-west — najjači multimodalni model s EU rezidencijom |
| M365 stack postoji | Microsoft Copilot s Azure-EU — blizak, DPA već dio M365 ugovora |
| Suverenost bez DevOps kapaciteta | Mate iT EU hosting — open-source LLM-ovi na našoj infrastrukturi, DPA s Mate iT GmbH-om, bez US dobavljača u stacku |
| Maksimalna suverenost (kritična infrastruktura, HANFA, ISO 27001 stroga interpretacija) | Self-Hosted Ollama + Open-Source model na vašoj infrastrukturi — bez ovisnosti o dobavljaču, ali DevOps trud kod vas |
Najčešća greška pri provjeri ugovora
„Standardni ugovor, sve se poklapa, EU regija je tu, DPA potpisan — kvačica.” Zvuči OK, ali: konfiguracija EU regije mora biti aktivno izvedena, a ne standardno.
Primjer OpenAI: Enterprise tier ima EU regiju kao opciju, ali Default je US. Ako OpenAI Admin konzola nije eksplicitno prebačena na „Frankfurt”, sve unatoč ugovoru teče preko US regije. Provjeravamo to kod svake AI postavke kao prvi korak — Admin konzola screenshot s aktiviranom EU regijom kao dokaz.
Isto vrijedi za Microsoft Azure OpenAI Service, Google Vertex AI, AWS Bedrock. Default je US, EU mora biti aktivno konfigurirana.
Pillar pregled
Više o GDPR-AI arhitekturi u cjelini: /hr/blog/dsgvo-ki-mittelstand. Platformsko-specifični obrasci: /hr/blog/dsgvo-ki-zoho, /hr/blog/dsgvo-ki-odoo. AI usluge u Mate iT-u: /hr/leistungen/ki-agenten.
Česta pitanja
Što se konkretno smatra EU rezidencijom podataka? +
Tri uvjeta moraju biti svi ispunjena: (1) Obrada se fizički odvija u EU podatkovnom centru (Frankfurt, Amsterdam, Dublin, Pariz itd.). (2) Pohrana podataka i backupa također EU regija. (3) Bez tehničkog pristupa izvan EU — ni za održavanje, monitoring, podršku. Ugovorno dobavljač mora osigurati sve tri točke. Ako je samo obrada EU, ali backupi u SAD-u — nije prava rezidencija.
Koji LLM dobavljači imaju stvarnu EU rezidenciju podataka u 2026.? +
Mistral (francuski, EU-nativni, svi podaci EU), Aleph Alpha (njemački, EU-only), Anthropic Claude preko AWS-EU regije (s Enterprise ugovorom), OpenAI Enterprise s Frankfurt regijom (dostupno od 2024.), Google Vertex AI s europe-west regijom (Belgija/Frankfurt). Microsoft Azure OpenAI Service s West-Europe regijom. Ne: ChatGPT Free ili Plus — to je uvijek US regija, bez Enterprise DPA. Ne: standardni Anthropic API bez Enterprise ugovora.
Što je Schrems-II i zašto je važan za AI postavke? +
Schrems-II je presuda Suda EU iz 2020. koja je oborila EU-US Privacy Shield. Prijenos podataka u SAD je od tada dopušten samo s dodatnim sigurnosnim mehanizmima — Standard Contractual Clauses (SCC) plus Transfer Impact Assessment (TIA) plus eventualno mjere enkripcije. Izvedivo je, ali složeno i s preostalim rizikom. EU rezidencija zaobilazi cijeli kompleks: ako podaci ne napuštaju EU, nema Schrems-II problema.
Koliko je skuplja EU regija u odnosu na US regiju? +
Kod velikih LLM dobavljača (OpenAI, Anthropic, Google) tipično 0-20 % doplata za EU regiju. Mistral i Aleph Alpha nemaju US usporednu cijenu (oni su EU-nativni). Razlika u cijeni je irelevantna u odnosu na Schrems-II rizik. Odbijamo postavke koje ne mogu osigurati EU regiju — doplata je osiguranje za usklađenost.
Cluster
Pročitajte dalje
Drugi članci u istom tematskom klasteru.
- Nº 01 Pillar
GDPR-usklađeni AI u srednjem poduzeću — Arhitektura
GDPR-usklađen AI u srednjem poduzeću 2026: arhitektonski obrasci, platformski setupovi i najčešće greške — iz 400+ produktivnih implementacija.
Pročitaj članak - Nº 02
GDPR-usklađeni AI s Odoom — Self-Hosted, Custom-LLM, puna suverenost podataka
Odoo nudi najveću fleksibilnost u AI integracijama — sve do self-hosted LLM-a na vlastitoj infrastrukturi. Kad je to prava arhitektura, što košta i kako Mate iT to tipično postavlja.
Pročitaj članak - Nº 03
GDPR-usklađeni AI sa Zoho — Zia, EU podatkovni centar, DPA iz tvornice
Zoho One donosi svoju AI komponentu Zia izravno sa sobom — uključujući EU podatkovni centar u Amsterdamu i standardni DPA. GDPR pitanje je tako uglavnom riješeno prije nego što setup uopće počne. Što to praktično znači.
Pročitaj članak