2. kolovoza 2026. — datum koji mijenja pravila igre
EU AI Act stupa u punu primjenu 2. kolovoza 2026. Od tog datuma svaka organizacija u javnom sektoru — komunalno poduzeće, gradska tvrtka, vodovod, turistička zajednica, jedinica lokalne samouprave — koja koristi chatbot za komunikaciju s građanima i korisnicima podliježe novim obvezama transparentnosti, dokumentiranja i kontrole nad AI sustavima koje primjenjuje.
Za mnoge organizacije ovo znači jednu konkretnu odluku: provjeriti je li dobavljač chatbota usklađen — i, ako nije, što napraviti dalje.
Problem je u tome što odgovor na pitanje "je li naš chatbot usklađen?" nije uvijek očit. Većina komercijalnih SaaS chatbot platformi koje se danas koriste u Hrvatskoj — Tidio, Drift, Intercom, ChatBot.com, Brevo i druge — na svojim stranicama spominje GDPR. Ali GDPR nije AI Act. I "spominjanje" nije isto što i "usklađen".
U nastavku donosimo pet konkretnih pitanja koja vam pomažu otkriti pravu sliku trenutnog stanja.
Pitanje 1: Gdje fizički stoje serveri na kojima se obrađuju razgovori naših građana?
Zašto je važno: GDPR i AI Act ne traže samo da podaci budu "zaštićeni" — traže da znate gdje su, tko im ima pristup i pod čijim pravom rade. Za javne tvrtke u Hrvatskoj to znači: podaci o pitanjima građana ne smiju nesvjesno putovati izvan EU.
Tipičan odgovor SaaS dobavljača: "Naši serveri su u EU ili SAD-u, koristimo Standard Contractual Clauses i adekvatne pravne mehanizme."
Kao primjer, ChatBot.com — jedna od najraširenijih platformi koje se koriste u Hrvatskoj — na svojoj pravnoj stranici eksplicitno navodi:
"We are located in the United States therefore, to facilitate EU/US cross-border data transfers..."
"Copyright © 2026 Text, Inc. All rights reserved"
Drugim riječima — serveri u SAD-u, vlasnik američki Text, Inc., a razgovori vaših građana putuju preko Atlantika na obradu. Prema našim saznanjima i interpretaciji njihovih javno dostupnih pravnih dokumenata, ovakva struktura nije usklađena s EU AI Act zahtjevima za javni sektor.
Što biste trebali tražiti: dobavljača koji jasno potvrđuje da su podaci pohranjeni i obrađivani u EU ili Hrvatskoj — bez potrebe za pozivanjem na Standard Contractual Clauses ili Data Privacy Framework.
Pitanje 2: Tko je pravni vlasnik platforme i pod čijim pravom radi?
Zašto je važno: Pravni vlasnik određuje pod kojim pravnim sustavom platforma operira. Američka tvrtka, čak i ako ima servere u EU, podliježe američkom Cloud Act-u koji omogućuje američkim vlastima pristup podacima bez znanja klijenta. Za javni sektor — vodovod, komunalno, gradsku tvrtku — to je strukturna ranjivost o kojoj se rijetko govori unaprijed.
Tipičan odgovor SaaS dobavljača: američka korporacija s europskim podružnicama ili "EU representative" za GDPR pitanja.
Primjer ChatBot.com: operativni vlasnik je Text, Inc. iz Bostona, Massachusetts. Iako je matica Text S.A. poljski entitet listan na Varšavskoj burzi, operativni proizvod ChatBot.com vodi se kao američki proizvod, copyright pripada američkom subjektu, a svi pravni mehanizmi izgrađeni su oko EU–US prekograničnih transferskih okvira.
Što biste trebali tražiti: dobavljača čiji je operativni i pravni entitet u EU ili Hrvatskoj, bez američke jurisdikcije nad vašim podacima.
Pitanje 3: Koji je AI model u pozadini i gdje se odvija obrada (inference)?
Zašto je važno: Mnogi SaaS chatbotovi se reklamiraju kao "AI", ali zapravo koriste vanjske AI modele (OpenAI, Anthropic, Google) preko API-ja. To znači da svaki razgovor — čak i ako su vaši dokumenti pohranjeni u EU — putuje na AI obradu (inference) na servere tog vanjskog dobavljača, najčešće u SAD-u.
Ovo je razlika koju većina dobavljača ne ističe, ali je presudna za AI Act usklađenost. Možete imati EU pohranu podataka, a istovremeno svaki razgovor obrađivati u SAD-u.
Tipičan odgovor SaaS dobavljača: "Koristimo najnaprednije AI modele za najbolje korisničko iskustvo." Bez konkretnog odgovora gdje se obrada točno odvija.
Što biste trebali tražiti: jasnu informaciju o tome koji AI model se koristi i gdje se odvija obrada — idealno, lokalni ili EU-hostani model bez prijenosa podataka u treće zemlje.
Pitanje 4: Imate li potpisan DPA prema EU GDPR-u i koji pravni mehanizam koristite za transfer podataka izvan EU?
Zašto je važno: Ako vaš dobavljač transferira podatke izvan EU, GDPR traži poseban pravni mehanizam — najčešće EU–US Data Privacy Framework (DPF) ili Standard Contractual Clauses (SCCs).
Problem je u tome što je DPF treći takav okvir u 25 godina. Prethodna dva — Safe Harbor (2000–2015) i Privacy Shield (2016–2020) — poništio je Europski sud pravde. Trenutno je u tijeku pravni postupak protiv DPF-a (poznat kao "Schrems III"). Ako padne, transferi se preko noći vraćaju u pravnu nesigurnost, a klijenti koji se na njega oslanjaju gube zakonsku osnovu za obradu podataka.
Tipičan odgovor SaaS dobavljača: DPA + SCCs + DPF certifikacija, dostupna na zahtjev.
ChatBot.com to potvrđuje na svojoj stranici:
"By achieving certification under the EU-US Data Privacy Framework (EU-US DPF), Text has obtained 'adequacy' status."
Trenutno legalno — ali strukturno krhko, jer ovisi o okviru koji je u prethodnim verzijama dvaput poništen.
Što biste trebali tražiti: dobavljača kod kojega prijenos podataka izvan EU jednostavno nije potreban. Ako podaci ostaju u EU ili Hrvatskoj, SCCs i DPF postaju irelevantni — a vi ne ovisite o pravnom okviru koji može pasti.
Pitanje 5: Kako platforma zadovoljava AI Act transparency obaveze koje stupaju na snagu 2.8.2026.?
Zašto je važno: EU AI Act od kolovoza 2026. uvodi konkretne obveze za chatbot sustave koji komuniciraju s građanima:
- jasna identifikacija da se radi o AI sustavu (već je standardna)
- dokumentacija o tome kako AI donosi odluke
- mogućnost ljudske intervencije i kontrole
- pravo korisnika na razumno objašnjenje odgovora
- klasifikacija rizika prema use case-u (za javni sektor često "high-risk" kategorija)
GDPR usklađenost ne pokriva AI Act usklađenost. To su odvojeni regulatorni okviri s odvojenim zahtjevima i odvojenim mehanizmima sankcija.
Tipičan odgovor SaaS dobavljača: spominjanje "GDPR compliance" bez konkretnog odgovora na AI Act obveze. Većina platformi razvijenih izvan EU jednostavno još nije pripremila strukturirani odgovor na ovaj sloj regulative.
Što biste trebali tražiti: dobavljača koji ima konkretan dokument o AI Act usklađenosti, klasifikaciji rizika prema vašem use case-u, transparency mehanizmima i ljudskoj kontroli — ne samo GDPR potvrdu.
Sažetak — što tipično dobijete, a što biste trebali
| Pitanje | Što tipično dobijete | Što biste trebali |
|---|---|---|
| Gdje su serveri? | SAD ili "EU/SAD" preko SCCs | EU ili Hrvatska, bez SCCs |
| Tko je vlasnik? | Američka tvrtka | EU/HR pravni entitet |
| Gdje je AI obrada? | Vanjski model (OpenAI), SAD | Lokalni ili EU-hostani model |
| Pravni mehanizam? | DPA + SCCs + DPF | Nije potreban — podaci u EU |
| AI Act usklađenost? | Spominje se samo GDPR | Strukturirani odgovor + dokumentacija |
Ako vaš trenutni dobavljač ne može jasno i potvrdno odgovoriti na svih pet pitanja prije 2. kolovoza 2026. — vrijedi razmotriti alternativu. AI Act nije savjetodavni dokument, već uredba s mehanizmima sankcija koji se primjenjuju jednako na javni i privatni sektor.
KomunalAI — gotov odgovor na svih pet pitanja
KomunalAI je prva domaća chatbot platforma s podacima koji ne napuštaju Hrvatsku. Razvijena je i hostana u KomunalAI podatkovnom centru u Hrvatskoj, certificirana prema ISO 9001 i ISO/IEC 27001 (DNV), izgrađena za potrebe javnog sektora — komunalnih poduzeća, gradskih tvrtki, vodovoda, turističkih zajednica i jedinica lokalne samouprave.
Na svih pet pitanja iznad imamo konkretan, dokumentiran i provjerljiv odgovor — ne marketinški, već operativni.
Besplatna analiza vašeg trenutnog chatbota
Ako imate chatbot na svom sajtu i niste sigurni gdje točno putuju razgovori vaših građana i korisnika — pošaljite nam URL svoje stranice. Napravit ćemo besplatnu analizu i poslati vam izvještaj o trenutnoj situaciji prije AI Act-a 2026.
Bez prodajnog pritiska, bez obveze. Cilj nam je da imate informaciju koja vam je potrebna za pravu odluku.
Kontakt: info@komunalai.hr | komunalai.hr
Analiza je provedena u svibnju 2026. na temelju javno dostupnih pravnih dokumenata platformi koje hrvatske organizacije koriste, uključujući ChatBot.com (Text, Inc.) — pravni dokumenti dostupni na chatbot.com/legal/international-data-transfer/. Tvrdnje o usklađenosti s EU AI Actom temelje se na našim saznanjima i interpretaciji javno objavljenih pravila platforme te regulatornih okvira na dan 27. svibnja 2026.
KomunalAI je AI platforma za korisničku podršku, razvijena i hostana u Hrvatskoj. Poslovanje certificirano prema ISO 9001 i ISO/IEC 27001 (DNV). Više informacija: komunalai.hr