Na hitro
Brezplačne verzije ChatGPT/Claude/Gemini uporabljajo vaše podatke za trening modelov. To je za podjetja z osebnimi/finančnimi podatki problematično. Rešitev: ali plačani Team/Enterprise plani z opt-out, ali Microsoft Copilot v M365 (najbolj GDPR-prijazen), ali lokalni AI modeli. Plus 5 pravil za varno uporabo + checklist GDPR-skladnosti.
Najpogostejši razlog, zakaj slovenska podjetja ne uporabljajo AI, ni cena. Ni tehnično znanje. Je strah pred GDPR.
"Lahko vržem stranko v ChatGPT?" "Bo to v redu z GDPR?" "Kaj se zgodi, če Microsoft naredi z mojimi podatki?" Razumna vprašanja. Žal — večina slovenskih podjetij ali ignorira problem (= GDPR tveganje), ali izogiba AI (= konkurenčno zaostajanje).
V tem članku: kaj smete in kaj ne smete, kako konfigurirati AI orodja za varnost, in realna ocena tveganja. Brez pravniškega panike. Brez "kontaktirajte odvetnika za vsak primer". Praktično.
Pomembno: nismo odvetniki. Spodaj je naš najboljši praktičen pregled, ne pravna nasveta. Za kompleksne primere se obrnite na DPO ali odvetnika.
Problem v 1 stavku
Brezplačne verzije ChatGPT, Claude, Gemini in podobnih AI orodij uporabljajo vaše vnose (prompts) za izboljšavo svojih modelov. To pomeni: kar vnesete, lahko (teoretično) postane del prihodnjih verzij modela.
Za podjetje, ki dela z osebnimi podatki strank, finančnimi podatki, zdravstvenimi podatki, ali zaupnimi poslovnimi podatki — to je problem. GDPR (kot tudi vaše interne politike) zahteva, da imate nadzor nad tem, kam grejo osebni podatki.
Dobra novica: varna uporaba AI je mogoča in jasna. Slabe novice: tipičen način, ki ga vidim v praksi (paste podatkov v ChatGPT free verzijo) NI GDPR-skladen.
Kaj pravi GDPR (kratko)
Brez pravne razprave — najpomembnejše točke za podjetje, ki uporablja AI:
- Osebni podatki = vsako informacijo, ki jo je mogoče povezati z fizično osebo. Ime, e-mail, telefon, naslov, OIB, IBAN, fotografija, IP-naslov.
- Pravni temelj obdelave = potrebujete enega: privolitev, pogodba, zakon, vitalen interes, javna naloga, legitimni interes.
- Sub-processing = če pošljete podatke OpenAI-ju (ZDA), je to "pošiljanje podatkov tretjim osebam". Potrebujete pogodbo o obdelavi podatkov (DPA).
- Mednarodni prenos = ZDA niso v EU. Za prenos potrebujete posebne mehanizme (Standard Contractual Clauses ali EU-US Data Privacy Framework).
- Informiranje strank = stranka mora vedeti, da uporabljate AI orodja kot del obdelave njenih podatkov. Update privacy policy.
Te zahteve so obvladljive, če uporabljate prave plane in nastavitve. Niso obvladljive, če uporabljate brezplačne verzije za stranke.
Razlike med plani
To je najpomembnejša razlika za podjetja:
| Plan | Cena | Trening na vaših podatkih? | DPA na voljo? | GDPR-skladnost |
|---|---|---|---|---|
| ChatGPT Free | €0 | DA (default) | Ne | Slaba |
| ChatGPT Plus (osebni) | €20/mes | Lahko opt-out | Ne | Tvegano za podjetje |
| ChatGPT Team | €25/oseba | NE (default) | Da | Sprejemljivo |
| ChatGPT Enterprise | Po dogovoru | NE | Da, custom | Najboljše |
| Claude Free / Pro | €0 / €20 | NE (default) | Pro: omejeno | Pro: sprejemljivo |
| Claude Team | €25/oseba | NE | Da | Dobro |
| Microsoft Copilot M365 | €30/oseba | NE | Da, kot del M365 | Najboljše za EU |
| Gemini Free | €0 | DA (default) | Ne | Slaba |
| Google Workspace + Gemini | €20/oseba | NE | Da | Dobro |
Ključno opažanje: Plačani plani z DPA so dramatično varnejši kot brezplačne verzije. Razlika v ceni (€0 vs €25/mesec) ni zato, da bi imeli več funkcij. Razlika je v pravnem položaju vaših podatkov.
5 pravil za varno uporabo AI
Anonimizirajte pred AI
Pred kakršnim koli vnosom v AI — odstranite ali zamenjajte: imena, davčne številke, IBAN, naslove, e-maile, telefonske številke. Uporabite "stranka A", "podjetje X", "oseba 1".
❌ Slabo: "Janez Novak iz Ljubljane se pritožuje, ker..."
✅ Bolje: "Stranka A se pritožuje, ker..."
Vsebina ostane uporabna za AI, vi pa ne razkrijete osebnih podatkov.
Uporabljajte plačane plane (Team/Business)
Za vse delo z resničnimi podatki strank — ne uporabljajte free verzij. Plačani plani z DPA (Data Processing Agreement) so legalna podlaga za GDPR-skladno uporabo.
Posodobite privacy policy in pogodbe
Stranke morajo vedeti, da uporabljate AI orodja kot del obdelave njihovih podatkov. Dodajte kratko klavzulo v politiko zasebnosti in v pogodbe o storitvah.
"Pri obdelavi naročnikovih podatkov uporabljamo AI orodja (npr. ChatGPT, Claude, Microsoft Copilot) kot del internega delovnega procesa. Ta orodja so izbrana glede na GDPR-skladnost in z izvajalci imamo sklenjene ustrezne pogodbe o obdelavi podatkov (DPA)."
Vodite seznam, kdo uporablja katera orodja
Interno: kdo v ekipi ima licenco za katero AI orodje. Zakaj jo uporablja. Kakšen je primer uporabe. To je del register obdelovanja, ki ga GDPR zahteva.
Občutljive podatke obdelujte z lokalnimi modeli
Za najboljšo občutljivost (zdravstveni podatki, kazenske evidence, itd.): lokalni AI modeli. Llama 3, Mistral, DeepSeek lahko poženete na vaši lastni infrastrukturi. Brez interneta = brez tveganja uhajanja podatkov.
Niste prepričani, ali je vaša uporaba AI GDPR-skladna?
Brezplačen 20-min posvet, kjer pogledamo vaše procese in iskreno povemo, kje so tveganja. Brez pravnega žargona. Konkretno.
Rezerviraj posvet →Kaj SMETE in kaj NE smete dati v AI
Konkreten seznam za hitro orientacijo:
✅ SMETE (z plačanimi plani)
- Anonimizirana vsebina e-mailov
- Splošna poslovna vprašanja brez specifičnih strank
- Dokumenti, kjer so osebni podatki nadomeščeni z [stranka A]
- Marketing vsebina, brez podatkov o resničnih strankah
- Kodo, splošne analize, brainstorming
- Pregled javno dostopnih dokumentov (zakonodaja, javni razpisi)
⚠️ TVEGANO (samo s plačanimi plani + DPA)
- E-maili strank (z imeni in podatki)
- Pogodbe in ponudbe za konkretne stranke
- Finančni podatki podjetja (z imeni)
- Interne pogodbe in HR dokumenti
- Sales pipeline z imeni strank
❌ NE SMETE (sploh ne, niti s plačanimi plani brez izrecne privolitve)
- Zdravstveni podatki ljudi
- Občutljivi osebni podatki (vera, politično prepričanje, spolnost)
- Podatki o mladoletnih
- Kazenske evidence
- Bančni podatki strank (kartice, kompletno OIB + IBAN + ime hkrati)
GDPR-skladnost AI: 7-točkovni checklist
Preverite svoje podjetje:
- Plačani plan z DPA? Free verzije ChatGPT/Gemini niso primerne za podjetja s strankami.
- Politika zasebnosti posodobljena? Stranke morajo vedeti, da uporabljate AI orodja.
- Pogodbe s strankami posodobljene? Klavzula o uporabi AI orodij.
- Register obdelave podatkov posodobljen? Vključuje AI orodja kot sub-processor.
- Interna politika za zaposlene? Kaj smejo, kaj ne smejo dati v AI.
- Šolanje ekipe izvedeno? Vsi, ki uporabljajo AI, vedo pravila.
- DPO obveščen? Če imate, vključite v odločitve. Če nimate, vsaj zapišite proces.
Če imate pri katerikoli točki "ne", to je tveganje. Ne nujno katastrofa — ampak prostor za izboljšanje.
Napake, ki jih vidim v praksi
Iz delavnic in posvetov:
- "Vsi v ekipi delajo s ChatGPT free." Zaposleni paste-aju maile strank v ChatGPT, ker je "praktično". Brez kakršnegakoli plana ali pravila. To je največje tveganje, ki ga vidim.
- "Imamo plačan plan, vse je ok." Plačan plan je predpogoj, ne celotna rešitev. Še vedno potrebujete DPA, posodobljene pogodbe, register obdelave.
- "Stranke ne vedo, da uporabljamo AI." To je kršitev preglednosti. Stranke morajo biti obveščene, vsaj v privacy policy.
- "Eden v ekipi ve, ostali ne." Vsak zaposleni, ki ima dostop do podatkov strank, mora poznati pravila uporabe AI. Ne samo "AI champion".
- "Bomo to uredili kasneje." Med tem ekipa že paste-aja podatke. Vsak dan brez pravil = vsak dan tveganja.
Zakaj je Microsoft Copilot najbolj GDPR-prijazen
Najpogostejše vprašanje: "Katero orodje je najbolj varno za EU podjetje?"
Iskren odgovor: Microsoft Copilot for Microsoft 365, če že imate M365.
Razlogi:
- Vaši podatki ostanejo v vašem M365 tenant-u. Copilot ne kopira podatkov v "drugi cloud".
- EU data residency. Vaš tenant lahko nastavite v EU regijo. Podatki ne grejo v ZDA.
- Brez treninga modelov. Vaši podatki ne grejo v naslednje verzije Copilot-a.
- DPA je del M365 pogodbe. Že imate, ne potrebujete novega.
- SOC 2, ISO 27001, GDPR-compliant by default. Microsoft je investiral v compliance ogromno.
Edina slabost: cena (€30/oseba). In: Copilot ni tako "pameten" kot Claude Opus 4.5 ali GPT-5 thinking pri kompleksnih nalogah. Ampak za vsakodnevno poslovno uporabo z varnostjo — najboljše.
Lokalni AI modeli (advanced)
Za podjetja z najvišjimi zahtevami (zdravstvo, finance, pravo, državna uprava) — lokalni AI modeli.
Kaj to pomeni: AI model teče na vaši strežniški infrastrukturi. Brez interneta. Brez OpenAI. Brez Microsoft. Vaši podatki nikoli ne zapustijo vaše mreže.
Možnosti:
- Llama 3.3 (Meta): Brezplačen, odprtokoden, zelo dober za pisanje in analizo
- Mistral Large (FR): Evropski razvijalec, dobro za slovenščino
- DeepSeek V3: Kitajski model, odprtokoden, najboljši za kodo
- Qwen 3: Alibabin model, dober za multilingual
Tehnične zahteve:
- Strežnik z GPU (NVIDIA RTX 4090 ali boljše, idealno A100/H100)
- Tehnična ekipa za vzdrževanje (ali ponudnik)
- Investicija: €5.000-€15.000 enkratno + vzdrževanje
Realističen pristop: za večino slovenskih SME ni potrebno. Plačani plani v cloud-u so dovolj. Lokalni modeli pridejo v poštev pri 50+ zaposlenih ali pri specifičnih industrijah.
Zaključek — naslednji koraki
GDPR-skladna uporaba AI v slovenskem podjetju je obvladljiva. Ni potrebno odvetnika za vsak prompt. Ni potrebno lokalnega AI modela. Ni potrebno zavrniti AI zaradi "tveganja".
Potreben je:
- Plačani plan (Team/Business) namesto free verzije
- 5 pravil za varno uporabo (anonimizacija, opt-out, register, šolanje, dokumentacija)
- Posodobljena privacy policy in pogodbe
- Šolanje ekipe (delavnica)
To je standardna praksa, ne raketna znanost. Razlika med "ne uporabljamo AI zaradi GDPR strahov" in "AI je naš konkurenčni adut, GDPR-skladno" je 1 popoldan dela.