Zašto je 2026. pravi trenutak za ozbiljniju higijenu

ChatGPT, Claude, Gemini i Microsoft Copilot više nisu eksperimentalni alati. Hrvatske banke ih koriste za korisničku podršku, državna uprava ih testira u eUprava prijavama, vaš susjed u Zagrebu pita ChatGPT da mu sastavi otkazni ugovor, vaš računovođa kopira tablice u prompt. Sve to znači da gomila osjetljivih podataka putuje servisima koji nisu nužno hrvatski ni europski.

Tri promjene zaslužuju pažnju 2026.:

  1. EU AI Act je u snazi od kolovoza 2025., a obveze za "general purpose AI" modele s velikim utjecajem stupile su na snagu početkom 2026. OpenAI, Anthropic, Google i Microsoft imaju nove obveze prema EU korisnicima, ali to ne znači da je sve riješeno samim time — još uvijek mnogo ovisi o vašim postavkama.
  2. Hrvatska AZOP je u listopadu 2025. izdala smjernicu o korištenju generativnih AI alata u javnom sektoru. Zabranjeno je unositi osobne podatke građana u javne ChatGPT/Gemini varijante bez ugovora o obradi (DPA). Privatna uporaba nije zabranjena, ali iste smjernice su dobra orijentacija što ne raditi.
  3. Phishing aplikacije koje se predstavljaju kao OpenAI ili Anthropic eksplodirale su 2025. Lažne mobilne app-e u Google Play i Apple App Storeu, lažne ekstenzije za Chrome, lažne stranice ChatGPT.com / chat-gpt.cm — uvijek provjerite tko zaista stoji iza alata.

Što NE smijete ulijepiti u prompt

Zlatno pravilo: prompt je e-mail koji potpisujete svojim imenom i šaljete javnom OIB-u. Sve što napišete nakon ovog prosjeka — pisac, čitatelj, server, trening tim, neki budući security incident — može vidjeti. Konkretni nikadi:

Nikad ne unosite

  • Osobne identifikacijske brojeve: OIB, JMBG, broj putovnice, broj osobne, broj zdravstvene iskaznice.
  • Cijele brojeve kartica: kreditne, debitne, transakcijskih računa. Posljednje 4 znamenke u redu su za demonstraciju.
  • Lozinke i tokene: API ključeve, SSH ključeve, OAuth tokene, RSA private keys, MFA seed kodove. Nikad "evo moja lozinka XY, je li ovo dobra struktura?".
  • Medicinske dijagnoze konkretnih osoba s imenima: "Moj djed Ivan Horvat ima dijagnozu X" je puno gore od "muška osoba 78, dijagnoza X". Anonimizirajte ako baš trebate medicinski savjet.
  • Pravne dokumente s identitetom strana: ugovori, pisma odvjetnika, tužbe — barem zamijenite imena i OIB-ove placeholderima.
  • Sadržaj internih e-mailova ili dokumenata poslodavca ako u radnom ugovoru postoji NDA. To je često ugovorno kršenje neovisno od privatnosti.

Smije se, ali pažljivo

  • Sažeci pravnih i medicinskih situacija bez imena — "imam zakup stana, vlasnik traži povećanje 20%, koje su moje opcije" je u redu.
  • Pitanja o vlastitom kodu — ako pišete privatni hobi projekt, slobodno. Ako pišete kod za poslodavca s NDA-om, koristite ugovorenu enterprise varijantu (ChatGPT Enterprise, Microsoft Copilot for Business).
  • Razlikovanje generičkog savjeta od konkretnog: "kako se priprema kineski jastog" je sigurno; "kako odgovoriti odvjetniku g. Marka Marića na zahtjev 15. listopada" nije.

Postavke privatnosti po servisu

ChatGPT (OpenAI)

OpenAI je 2025. uveo razdvojene kontrole obuke i memorije.

  1. Prijavite se na chatgpt.com → klik na avatar → Settings → Data Controls.
  2. Improve the model for everyone — isključite ako ne želite da se vaši razgovori koriste za treniranje budućih modela. Default je tipično uključen na besplatnom planu.
  3. Memory — ChatGPT 2024.-2026. ima trajnu memoriju koja prepoznaje uzorke razgovora. Možete je očistiti ili potpuno isključiti. Memorija nije isto što i obuka — ali ako ne želite da se servis "sjeća" da imate dijabetes, isključite.
  4. Temporary Chat (Privremeni razgovor) — sličan inkognito modu. Ne ostaje u povijesti, ne ulazi u memoriju, ne koristi se za obuku. Za pojedinačno osjetljive teme — koristite ovaj mod.
  5. Connections / Plugins — provjerite koje su aplikacije povezane s vašim ChatGPT računom (Gmail, Google Drive, Slack). Svaka veza nosi rizik propusta. Otkažite što ne koristite svaki tjedan.
  6. Mobilna aplikacija — provjerite dozvole (mikrofon, kontakti, fotografije). ChatGPT iOS / Android može poslati cijeli sadržaj fotografije ako mu date pristup; voice input ide u OpenAI servere za transkripciju.

Claude (Anthropic)

Anthropic je tradicionalno restriktivniji s obukom modela na korisničkim podacima.

  1. claude.ai → klik na inicijale → Settings → Privacy.
  2. Help improve Claude — default isključen za Pro korisnike, provjeriti je li i za vas.
  3. Memory je u Claudeu 2025.-2026. također dostupan, opcionalno uključuje se po projektima.
  4. Projects — sve što ulaupite u "Project Knowledge" ostaje povezano s tim projektom. Ako napravite projekt "računovodstvo" i ulaupite stvarne dokumente, oni će se referencirati u svakom razgovoru u tom projektu.
  5. API i Workbench — odvojena infrastruktura. Ako koristite Anthropic API kroz svoje aplikacije, podaci se ne koriste za obuku (po politici).

Google Gemini i Workspace Gemini

Gemini je dio Google Workspace-a, što znači da vrijede istovremeno Google Account postavke i Workspace administrator postavke.

  1. gemini.google.com → Settings → Activity.
  2. Gemini Apps Activity — sve što razgovarate s Gemini je vezano uz vaš Google račun po defaultu. Možete isključiti ili postaviti auto-brisanje na 3 / 18 / 36 mjeseci.
  3. Gemini može koristiti vaš Gmail, Drive i Calendar kao kontekst preko Workspace ekstenzija. Provjerite koje su uključene — Workspace Extension daje Gemini-ju pristup vašim e-mailovima kao da je on čovjek koji čita preko vašeg ramena.
  4. Poslovni Workspace (s domenom @vasatvrtka.com) — administrator može zabraniti dijeljenje s vlasničkim Google podacima izvan organizacije. Provjerite s IT-em što su omogućili.

Microsoft Copilot (Bing Chat / Microsoft 365 Copilot)

Copilot postoji u nekoliko varijanti — Copilot (consumer, besplatan), Copilot Pro, Microsoft 365 Copilot (poslovni). Politike privatnosti se razlikuju.

  1. Copilot consumer (copilot.microsoft.com) — može koristiti razgovore za obuku. Provjerite Settings → Privacy i podesite.
  2. Microsoft 365 Copilot (poslovni) — sve unutar vaše Microsoft 365 enterprise pretplate. Politika je da se ne koristi za obuku temeljnih modela. Provjerite s IT-em za tenant-specifične postavke.
  3. Copilot u Windows 11/12 (sidebar) — verzija integrirana u OS može preuzeti screenshot vaše desktop sredine za kontekst. Provjerite Postavke → Privatnost i sigurnost → Copilot.

DeepSeek, Mistral, lokalni modeli

DeepSeek i drugi kineski modeli šalju podatke prema kineskim serverima. Ako želite koristiti besplatne open-weight modele za osjetljive zadatke, razmislite o lokalnom modelu (Llama, Mistral, Gemma) preko Ollama ili LM Studio na svom računalu. Sve ostaje na vašem hardveru, ali rezultati su slabiji nego najveći komercijalni modeli.

EU AI Act i što to znači za vas

EU AI Act je počeo se primjenjivati u fazama od kolovoza 2024., a najvažnije obveze za "general purpose AI" stupile su na snagu 2. veljače 2026. za visokorizične sustave i kontinuirano nadalje.

Što to konkretno znači:

  • Transparentnost: AI servisi moraju jasno označiti da je sadržaj generiran AI-em. Slike, video i tekst trebaju imati metapodatke (watermarke) kad je to tehnički moguće.
  • Zabrana "social scoringa": zabranjeno je da AI dodjeljuje točke građanima na temelju ponašanja. Hrvatska to nije ni planirala, ali ako neki "service" obećava biometričko prepoznavanje emocija — to je sad protupravno.
  • High-risk sustavi: AI za zapošljavanje, kreditiranje, granicu, obrazovanje — moraju imati ljudski nadzor, registraciju u EU AI bazi, dokumentaciju. Ako AI odlučuje o vašem kreditu, imate pravo na ljudsku reviziju.
  • General Purpose AI (ChatGPT, Claude, Gemini i sl.): obveze transparentnosti, dokumentacije obuke, sažetka korištenih podataka. Ne zabranjuje uporabu, ali ojačava vaša prava.

Praktično: imate pravo na ljudsku reviziju ako AI sustav donosi odluku o vama kao građaninu. Pravo na pristup vlastitim podacima koje ste predali AI-u i pravo brisanja (GDPR) još uvijek vrijedi.

Kako prepoznati lažne aplikacije

  1. je bila godina eksplozije lažnih AI app-ova. Tipovi prevara:

  2. "Free ChatGPT 5" mobilne aplikacije koje traže plaćanje pretplate i dijele odgovor s OpenAI API-ja kojeg vlasnik aplikacije plaća, dok kradu vaš e-mail, IMEI i kontakte. Provjera: otvorite chatgpt.com s mobilnog Safarija / Chromea — to je prava stvar. App je nadalje samo PWA / native wrapper.

  3. Chrome ekstenzije "AI Helper" koje obećaju ChatGPT funkcionalnost ali u pozadini kopiraju vaš sadržaj iz svakog tab-a u svoj server. Pravilo: ChatGPT, Claude, Gemini službene ekstenzije izdaju OpenAI, Anthropic i Google. Sve drugo provjerite preko broja preuzimanja i ocjena.
  4. Lažne stranice s domenama tipa chat-gpt.cm, chatgpt-ai.com koje imitiraju login OpenAI-ja i kradu vjerodajnice. Uvijek upišite URL ručno: chatgpt.com, claude.ai, gemini.google.com, copilot.microsoft.com.
  5. YouTube i TikTok promocije besplatnih API ključeva — netko vam u komentaru ostavi OpenAI / Anthropic API ključ. To je ili ukradeni ključ ili honey-pot. Ne diraj.

Što napraviti ako ste već prijavili previše

Ako ste u proteklim mjesecima ulipili previše u prompt:

  1. Obrišite razgovore — ChatGPT: Settings → Data Controls → Delete all chats. Claude: pojedinačni razgovori imaju trash. Gemini: My Activity → Delete by date range.
  2. Tražite brisanje obuke — OpenAI i Anthropic imaju formu za "data deletion request" kao GDPR pravo. Pošaljite zahtjev s e-maila s kojim ste registrirani.
  3. Promijenite lozinke — ako ste lozinku negdje napisali u prompt, ona je sada potencijalno dostupna. Promijenite je odmah i ne koristite je negdje drugdje.
  4. Pokrenite "have I been pwned" check — haveibeenpwned.com. Ako se nešto pojavi, idu hitne radnje.

Vodič po situaciji

"Radim u banci / državnoj upravi / pravnoj firmi, smijem li koristiti ChatGPT?": Provjerite s pravnim odjelom postoji li enterprise ugovor (DPA — Data Processing Agreement) s OpenAI / Microsoft. Ako ne, koristite samo za generičke teme ili anonimizirane primjere. Microsoft 365 Copilot s vašim tenantom je najsigurniji izbor jer su podaci ugovorno odvojeni.

"Pišem osobni dnevnik s ChatGPT-em": Privremeni razgovori (Temporary Chat) ili memorija isključena. Bez stvarnih imena. Razmislite da li vam je takav alat odgovoran za osjetljive teme — ChatGPT nije terapeut i nije zavjet šutnje.

"Programiram open-source projekt": Sve OK, slobodno. Ako je projekt zatvoreni izvor poslodavca, slijedite NDA i koristite ugovornu enterprise verziju.

"Pomoć s domaćom zadaćom djeci": OK za matematiku, fizio, lekture. Ne ulajepiti dijete fotografije, OIB-ove, podatke škole. Razmislite kako ovaj alat utječe na razvoj djetetovih vlastitih vještina rasuđivanja.

"Marketing copywriting": OK ako ne ulajepite klijent-specifične NDA-ovane materijale. Generička pitanja "kako napisati landing page za eko-proizvod" su bezopasna.

Sažetak

Sigurnost s AI chatbotima 2026. svodi se na nekoliko pravila:

  1. Tretirajte prompt kao razglednicu, ne kao šifriranu poštu.
  2. Anonimizirajte osobne podatke prije unosa.
  3. Isključite obuku na vašim podacima u postavkama svakog servisa kojeg koristite.
  4. Koristite Privremeni razgovor za jednokratne osjetljive teme.
  5. Provjerite je li to prava stranica/aplikacija — službene domene i izdavači.
  6. Posao = enterprise verzija s DPA-om, hobi = consumer verzija s isključenom obukom.
  7. Imate prava prema GDPR-u i EU AI Actu — koristite ih ako trebate.

AI alati su moćni i dolaze ostati. Pošten kompromis je iskoristiti ih za produktivnost dok zadržite kontrolu nad onim podacima koji su zaista važni — vaš OIB, lozinke, medicinska povijest, pravne stvari, finansije. Sve to spada na šifrirane sustave i odvjetnike, ne na javne LLM-ove.