Mate iT – Digital Architects

Pillar 28. travnja 2026. 7 min čitanja

GDPR-usklađeni AI u srednjem poduzeću — Arhitektura

GDPR-usklađen AI u srednjem poduzeću 2026: arhitektonski obrasci, platformski setupovi i najčešće greške — iz 400+ produktivnih implementacija.

  • gdpr
  • ai
  • ai-agenti
  • srednje-poduzeće
  • zaštita-podataka
  • eu-hosting

Što to znači za vaše poduzeće?

Želite koristiti AI u svakodnevnom radu — čitati račune, razvrstavati upite za podršku, pripremati rutinske mailove. Ali u zraku visi pitanje: „Smijemo li to uopće? Što kaže zaštita podataka?”

Kratak odgovor: Da, ako to ispravno postavite. Tri stvari moraju biti u redu — tko obrađuje vaše podatke, gdje vaši podaci leže, i zašto to uopće smijete raditi. Ako su te tri točke uredno riješene, AI u srednjem poduzeću je GDPR-usklađen — i to bez maratona kod odvjetnika.

Čitajte dalje ako želite proći kroz te tri točke sami ili ako želite dati svom službeniku za zaštitu podataka temeljitu podlogu. Svaku točku obrađujemo s točnim ugovornim klauzulama i preporukama dobavljača koje smo naučili iz 400+ projekata srednjeg poduzeća. Ako želite kraći put: 30-minutni inicijalni razgovor s nama obično je brži.

TL;DR — GDPR + AI je arhitektura, ne zabrana

Pokretati AI agente GDPR-usklađeno u srednjem poduzeću u 2026. nije pitanje “ako”, nego “kako”. Arhitektura odlučuje — tri stupa moraju biti u redu: Ugovor o obradi podataka (DPA) s AI dobavljačem, EU rezidencija podataka za obradu, dokumentirana pravna osnova kod voditelja obrade. Ako su ova tri stupa čista, 80 % tipičnih AI primjena u srednjem poduzeću je nekritično.

Ono što je složeno nije sam GDPR — već logika izbora između platformskih obrazaca. Od 2023. produktivno gradimo AI agente za njemačka srednja poduzeća i ovdje pišemo koji setup obrasci funkcioniraju, gdje se događaju najčešće greške, i kako izgleda čista arhitektura.

Tri stupa GDPR-usklađene AI arhitekture

Stup 1 — Ugovor o obradi podataka (DPA) s AI dobavljačem

Čim AI obrađuje osobne podatke (što je automatski slučaj kod svake helpdesk, CRM ili e-mail primjene), čl. 28 GDPR-a se primjenjuje: pisani ugovor o obradi podataka između voditelja obrade i AI dobavljača je obavezan.

Što mora biti u DPA-u:

  • Što se obrađuje — npr. “tekstovi iz helpdesk tiketa za klasifikaciju”
  • Gdje se obrađuje — fizička regija podataka (idealno EU)
  • Koliko dugo — tipično 30 dana logiranja, zatim automatski izbrisano
  • Tko odgovara — kod povreda zaštite podataka prvenstveno voditelj obrade, sekundarno dobavljač
  • Koje TOM-ove — Tehničke i organizacijske mjere (enkripcija, prava pristupa, backup rutine)
  • Pod-procesori — ako AI dobavljač sam koristi cloud usluge (tipičan slučaj: OpenAI koristi Microsoft Azure, Anthropic koristi AWS)

Svi ozbiljni AI dobavljači imaju DPA predloške iz tvornice. Ako dobavljač odbija ili kaže “uzmite naše standardne uvjete poslovanja” — to je upozorenje.

Stup 2 — EU rezidencija podataka

Pozadina: Schrems-II (Sud EU 2020.) oborio je EU-US Privacy Shield. Prijenos podataka u SAD od tada je dopušten samo s dodatnim sigurnosnim mehanizmima (Standard Contractual Clauses + Transfer Impact Assessment). Izvedivo je, ali složeno i s preostalim rizikom.

Pragmatičko rješenje: EU rezidencija podataka ugovorno osigurana. To znači: svi procesi obrade i pohrane fizički se odvijaju u EU. Time zaobilazite cijeli Schrems-II kompleks.

Konkretno:

  • Zoho ima EU podatkovne centre u Amsterdamu — standardni setup za njemačke kupce
  • OpenAI Enterprise nudi EU rezidenciju (Frankfurt regija) iz tvornice
  • Anthropic obrađuje upite preko AWS-EU regija ako je odgovarajuće konfigurirano
  • Mistral je francuska tvrtka s EU hosting standardom
  • Aleph Alpha je njemačka tvrtka s on-premise / EU-cloud opcijama
  • Odoo se može self-hostati u vlastitoj EU cloud infrastrukturi — AI moduli poput OCA-AI mogu se spojiti s lokalnim LLM-ovima

Ako AI dobavljač ne može osigurati EU regiju — odaberite drugačije.

Stup 3 — Dokumentirana pravna osnova

Na strani voditelja obrade (dakle kod vas, srednjeg poduzeća) svaka obrada osobnih podataka treba pravnu osnovu prema čl. 6 GDPR-a:

  • Izvršenje ugovora (čl. 6(1)(b)) — AI-podržana obrada narudžbi, izvršavanje naloga
  • Legitimni interes (čl. 6(1)(f)) — AI predkvalifikacija u helpdesku, AI snimanje dokumenata u računovodstvu
  • Privola (čl. 6(1)(a)) — marketinška personalizacija, profiliranje, personalizacija newslettera

Legitimni interes je najčešća osnova u kontekstu srednjeg poduzeća. Treba balansiranje interesa: vaš interes (učinkovitost) vs. interes ispitanika (zaštita podataka). Kod čiste predkvalifikacije u helpdesku tipično prevladava vaš interes — sve dok AI ne donosi odluke za čovjeka, već samo prijedloge.

To balansiranje treba dokumentirati u evidencijama obrade (čl. 30). Ako to nikad niste vodili — postavite uz AI uvođenje, ne čekajte sljedeću provjeru zaštite podataka.

Platformski obrasci — tri načina za čisto uvođenje AI-a

Obrazac A — Platformski-integrirani AI (Zoho Zia, Odoo OCA-AI)

AI funkcije su dio ERP/CRM platforme. Prednosti: DPA je već dio platformskih ugovora, EU rezidencija osigurana je preko same platforme, nema dodatnog dobavljača u postavci.

Kad odgovara:

  • Standardne primjene (helpdesk predkvalifikacija, lead scoring, generiranje e-maila)
  • Kupci s Zoho One ili Odoo kao kičmom
  • Ako želite AI funkcije brzo u radu

Primjer: Reifen24 koristi AI predkvalifikaciju u helpdesku — AI klasificira dolazne tikete u četiri kategorije (status dostave, reklamacija, savjetovanje, račun). Klasifikacija teče na modelu s EU rezidencijom, osobni podaci se prethodno pseudonimiziraju. Više o tome u Reifen24 slučaju.

Detaljni članak: /hr/blog/dsgvo-ki-zoho

Obrazac B — Custom LLM u vlastitom cloudu (Odoo Self-Hosted + Mistral/Aleph Alpha)

AI radi na vlastitoj infrastrukturi (ili provjerenom EU cloudu), ERP platforma šalje upite izravno LLM API-ju. Prednosti: maksimalna kontrola, podaci nikad ne napuštaju vlastitu infrastrukturu.

Kad odgovara:

  • Vrlo osjetljivi podaci (HR, financije)
  • Compliance zahtjevi izvan GDPR-a (npr. ISO 27001, HANFA, sektorski-specifično)
  • Vrlo individualne primjene s prilagođenim radnim tijekovima

Trud: tipično 3-4 puta više nego platformski-integrirani setup. To preporučujemo samo ako Obrazac A stvarno ne odgovara.

Detaljni članak: /hr/blog/dsgvo-ki-odoo

Obrazac C — EU cloud hosting za vanjske LLM-ove (OpenAI EU, Anthropic, Mistral)

Koristite state-of-the-art LLM (npr. Claude, GPT, Mistral Large), ali regija obrade je obavezno postavljena na EU. Prednosti: najbolja AI kvaliteta, istovremeno Schrems-II usklađeno.

Kad odgovara:

  • Trebate punu sposobnost modernih LLM-ova (složeno reasoning, dugi konteksti, multimodalni unosi)
  • Standardne primjene koje trebaju kvalitetu — npr. analiza ugovora, istraživanje tržišta, tehnička dokumentacija
  • Nemate IT dubinu za vlastito self-hosting postavljanje

Detaljni članak: /hr/blog/dsgvo-ki-eu-hosting

Najčešće greške — što vidimo na discovery radionicama

1. „Koristimo ChatGPT, ali samo besplatno” — ChatGPT Free Tier nema nikakav Enterprise-DPA, nikakav EU rezidencijski commitment, a upiti se standardno koriste za treniranje. U srednjem poduzeću kod svake primjene s osobnim podacima nedopušteno. Ako se AI u postavci stvarno treba: ChatGPT Enterprise ili API s opt-out — ali nikada Free Tier za poslovne podatke.

2. „Dobavljač kaže da je GDPR-usklađen — točka” — GDPR-usklađenost nije dobavljačev certifikat, nego pitanje arhitekture. I najbolji dobavljač postaje neusklađen ako voditelj obrade obrađuje podatke bez pravne osnove. Odgovornost ostaje na voditelju obrade — dobavljač odgovara samo za svoje TOM-ove.

3. „Imamo DPA, dakle u redu je” — DPA je preduvjet, ali ne i dovoljan. Trebate dodatno: dokumentiranu pravnu osnovu, minimizaciju podataka, pseudonimizaciju gdje je moguće, edukaciju djelatnika, plan za slučaj povrede.

4. „Pseudonimizaciju ćemo napraviti kasnije” — to je točka u kojoj 80 % postavki propada. Pseudonimizacija mora biti PRIJE produktivnog rada, ne naknadno priključena. Uvijek je gradimo kao prvi korak podatkovne pipeline.

5. „Ne trebamo evidencije obrade” — da, trebate. Čl. 30 GDPR. Za poduzeća s više od 250 zaposlenika obavezno, za manje preporučeno — i službenik za zaštitu podataka to očekuje na svakoj provjeri.

Mate iT preporuka — tri pravila

Prvo: Arhitektura prije alata. Koju AI platformu koristite, druga je najvažnija odluka. Najvažnija je: kako je uvodite — sa ili bez pseudonimizacije, sa ili bez dokumentirane pravne osnove, sa ili bez jasnog opsega primjene.

Drugo: EU rezidencija podataka nije za pregovaranje. Onih nekoliko postotaka razlike u performansama između US i EU regija irelevantno je u odnosu na Schrems-II rizik. Odbijamo postavke koje ne mogu osigurati EU rezidenciju.

Treće: Korak ljudske potvrde u radnom tijeku. AI agente tipično gradimo tako da daju prijedloge, ali ne odlučuju samostalno. To štiti od dva rizika: prvo, tehničkih grešaka (LLM-ovi haluciniraju), drugo, čl. 22 GDPR-a (automatizirane odluke su u načelu zabranjene bez izričitog pristanka).

Sljedeći korak

Ako želite GDPR-usklađeno uvesti AI agente — pišite nam. 30 minuta inicijalnog razgovora, prolazimo vaš slučaj primjene, vašu klasifikaciju podataka i pravnu situaciju s vašim službenikom za zaštitu podataka. Na kraju razgovora imate jasnu procjenu: je li slučaj nekritičan (standardni setup), kritičan (sa slojem pseudonimizacije), ili visoko kritičan (vlastiti cloud).

Više o našim AI uslugama: /hr/leistungen/ki-agenten. Više o našoj filozofiji rješenja: /hr/leistungen/ki-im-alltag. Konkretni Mate iT slučaj s GDPR-usklađenim AI-em: /hr/cases/reifen24.

Česta pitanja

Što GDPR-usklađenost konkretno znači kod AI agenata? +

Tri uvjeta moraju biti ispunjena: Prvo, postoji važeći ugovor o obradi podataka (DPA prema čl. 28 GDPR-a) s AI dobavljačem. Drugo, regija obrade podataka jasno je definirana — kod osjetljivih osobnih podataka EU rezidencija podataka mora biti ugovorno osigurana. Treće, voditelj obrade (srednje poduzeće) ima dokumentiranu pravnu osnovu za obradu — tipično legitimni interes ili izvršenje ugovora. Kada su sve tri točke čisto dokumentirane, primjena AI-a je GDPR-usklađena.

Koji su AI dobavljači GDPR-usklađeni za hrvatska srednja poduzeća? +

Trenutno postoje tri glavna puta: (1) US dobavljači (OpenAI, Anthropic, Google) s EU rezidencijom — funkcionalni za standardne primjene, ali s preostalim rizikom kroz Schrems-II implikacije. (2) Europski dobavljači (Mistral, Aleph Alpha, Black Forest Labs) — GDPR-nativni, nešto manje sposobnosti od US tržišnih lidera, ali dovoljno za primjene u srednjem poduzeću. (3) Platformski-integrirani AI (Zoho Zia u EU-DC-u, Odoo OCA AI moduli) — manji setup trud, jer je DPA već dio ERP platformskih ugovora. Tipično preporučujemo (2) ili (3), ovisno o slučaju.

Trebam li ugovor o obradi podataka (DPA) za AI agente? +

Da, uvijek kada AI obrađuje osobne podatke — to je automatski slučaj kod svake helpdesk, CRM ili e-mail primjene. DPA regulira: što dobavljač smije raditi s podacima (ništa osim obrade), gdje se pohranjuju, koliko dugo, tko odgovara za povrede, koje TOM-ove (tehničke i organizacijske mjere) dokumentira. Bez DPA-a korištenje AI-a formalno nije dopušteno. Svi ozbiljni AI dobavljači (OpenAI Enterprise, Anthropic, Mistral, Zoho, Odoo) nude DPA iz tvornice.

Što je EU rezidencija podataka i zašto je važna za AI? +

EU rezidencija podataka znači: svi procesi obrade i pohrane fizički se odvijaju u EU — bez usmjeravanja preko US poslužitelja, bez backupa u trećim zemljama. Kod AI-a je to relevantno jer je mnogo LLM-ova trenirano na US infrastrukturi i upiti standardno idu tamo. Schrems-II je oborio EU-US Privacy Shield — prijenos podataka u SAD danas treba dodatne sigurnosne mehanizme (SCC + TIA). S EU rezidencijom izbjegavate cijeli Schrems-II kompleks. Preporučujemo za srednja poduzeća: ugovorni partner mora osigurati EU regiju (npr. Frankfurt, Amsterdam, Dublin).

Mogu li se osobni podaci dijeliti u AI promptima? +

Da, ako DPA to pokriva i rezidencija podataka je EU. Važno: dijelite samo podatke potrebne za svrhu obrade (princip minimizacije podataka). Primjer helpdesk predkvalifikacije: tiketi se dijele jer je to svrha — ali datumi rođenja ili brojevi računa NE moraju biti uključeni. Tipično gradimo sloj pseudonimizacije koji uklanja nepotrebna podatkovna polja prije AI predaje. To drastično smanjuje rizik u slučaju povreda podataka.

Što se događa s podacima nakon AI obrade? +

Kod ozbiljnih dobavljača: podaci se NE koriste za treniranje (to mora biti ugovorno osigurano, kod OpenAI-a izričito kroz Enterprise tier ili API opt-out, kod Anthropica standardno, kod Mistrala standardno). Obrađeni podaci brišu se nakon definiranog roka (tipično 30 dana logiranja za analizu pogrešaka, zatim automatski). To mora biti u DPA-u. Ako dobavljač to ne jamči ili se u standardnom ugovoru pojavljuje klauzula o treniranju — ruke dalje.

Što košta GDPR-usklađeno uvođenje AI agenata? +

AI licence same po sebi često su jeftine (tipično 10-30 € po korisniku/mjesecu kod platformski-integriranih rješenja, 50-200 € kod custom-LLM postavki). Stvarni pokretač troškova je arhitektura postavljanja: provjera DPA-a sa službenikom za zaštitu podataka, izgradnja sloja pseudonimizacije, validacija primjene, edukacija djelatnika. Za srednje veliki helpdesk setup poput Reifen24 računamo s 8-15.000 € implementacije plus tekuće AI troškove. Distribuirano kroz tri godine: tipično 30-40 % licence, 60-70 % implementacija + usklađenost.

Koje su AI primjene u srednjem poduzeću posebno GDPR-osjetljive? +

Tri klastera su posebno osjetljiva: (1) HR područje — predkvalifikacija prijava, analize učinka zaposlenika, praćenje raspoloženja. Tu često GDPR nije dovoljan, EU AI Act klasificira to kao High-Risk. (2) Podaci o kupcima s osjetljivim dijelom — zdravstveni, financijski, religijski/svjetonazorni. Tu trebaju dodatne pravne osnove prema čl. 9 GDPR-a. (3) Promatračke primjene — e-mail nadzor, analiza ponašanja, prediktivna segmentacija kupaca. Te primjene tipično ne preporučujemo, ili samo s izričitim pristankom. Standardne primjene poput helpdesk predkvalifikacije, snimanja dokumenata, prijevoda nisu kritične ako su DPA + EU rezidencija u redu.

Cluster

Pročitajte dalje

Drugi članci u istom tematskom klasteru.