Preskočiť na obsah
12.7Pokročilý7 min

Mistral a Aleph Alpha: Výhody európskych poskytovateľov LLM v oblasti GDPR

Blck Alpaca·
Definition

Poskytovatelia LLM z EÚ sú poskytovatelia jazykových modelov so sídlom v EÚ, ako Mistral AI (Francúzsko) a Aleph Alpha (Nemecko). Ich výhoda z hľadiska GDPR: spracovanie údajov v EÚ, žiadny prenos do tretích krajín do USA, a teda žiadne štrukturálne riziko CLOUD Act či FISA 702. To zjednodušuje posúdenia vplyvu prenosu, no nenahrádza úplnú kontrolu súladu.

Key Takeaways

  • Mistral AI (FR) a Aleph Alpha (DE) ponúkajú spracovanie údajov v EÚ, a teda výhodu, že pre samotnú inferenciu môžu odpadnúť mechanizmy prenosu podľa kapitoly V GDPR (SCC, DPF, TIA).
  • Jadrom výhody suverenity nie je samotný model, ale vyhnutie sa rizikám prístupu tretích krajín CLOUD Act, FISA 702 a EO 12333, ktoré u amerických poskytovateľov môžu pretrvávať aj pri hostingu v EÚ.
  • Aleph Alpha (Pharia) ponúka možnosti nasadenia on-prem a EÚ-suverénne s DPA podľa nemeckého práva a so šablónami kompatibilnými s BfDI; Mistral má sídlo v EÚ s publikovaným zoznamom subspracovateľov a 10-dňovou lehotou na námietku pri nových subspracovateľoch.
  • Kompromisy sú reálne: kvalita modelu, vyspelosť ekosystému a sčasti vyššie náklady oproti americkým frontier modelom sa musia zvážiť voči prínosu v oblasti súladu.
  • Poskytovatelia z EÚ majú zmysel najmä pri údajoch podľa čl. 9, v regulovaných odvetviach (FINMA/úver/poistenie) a pri požiadavkách na on-prem; poskytovateľ z EÚ však neoslobodzuje od DPA, DPIA a povinností podľa čl. 22 a povinností poskytnúť informácie.
  • Stav rešerše je 14. máj 2026; EU-US DPF bol 3. septembra 2025 v prvostupňovom konaní potvrdený Všeobecným súdom EÚ (VSEÚ), odvolanie Latombe pred SDEÚ je od 31. októbra 2025 prejednávané (stav 2026, s výhradou zmeny).

Poskytovatelia LLM z EÚ sú poskytovatelia jazykových modelov so sídlom v Európskej únii — predovšetkým Mistral AI z Francúzska a Aleph Alpha z Nemecka. Ich kľúčovou výhodou z hľadiska GDPR je spracovanie údajov v EÚ, a tým možnosť vzdať sa pri samotnej inferencii prenosu do tretích krajín podľa kapitoly V GDPR. To výrazne zjednodušuje súlad, no nenahrádza ho.

  • Žiadny prenos do tretích krajín: Ak spracovanie zostáva v EÚ, pre tento krok odpadajú štandardné zmluvné doložky, opieranie sa o EU-US Data Privacy Framework a príslušné posúdenie vplyvu prenosu.
  • Žiadny prístup orgánov tretích krajín ako predvolený stav: Riziko CLOUD Act, FISA 702 a EO 12333, ktoré u amerických poskytovateľov môže pretrvávať, u poskytovateľa z EÚ bez americkej materskej spoločnosti štrukturálne odpadá.
  • Suverenita až po on-prem: Aleph Alpha (Pharia) ponúka možnosti nasadenia on-prem a EÚ-suverénne s DPA podľa nemeckého práva a so šablónami kompatibilnými s BfDI.

Prečo na sídle poskytovateľa z hľadiska ochrany údajov záleží

Každé spracúvanie osobných údajov v LLM agentovi — prompt, výstup, pamäť agenta, payload volania nástroja, vektorové úložisko, logy — je spracúvaním v zmysle čl. 4 GDPR. Ak tieto údaje opustia EHP, uplatní sa kapitola V GDPR. Meradlom je od rozsudku SDEÚ Schrems II (C-311/18, 16. júl 2020): štandardné zmluvné doložky sú platné len vtedy, ak posúdenie vplyvu prenosu (TIA) viazané na konkrétny prípad potvrdí v podstate rovnocennú úroveň ochrany a prípadne sa prijmú doplnkové opatrenia.

Pre amerických poskytovateľov je pritom v centre EU-US Data Privacy Framework (DPF), ktorý Európska komisia prijala 10. júla 2023. Jeho status nie je v roku 2026 naďalej definitívne vyjasnený: Všeobecný súd EÚ (VSEÚ) DPF 3. septembra 2025 vo veci Latombe v Commission (T-553/23) v prvostupňovom konaní potvrdil — a to z hľadiska jeho platnosti k okamihu prijatia; odvolanie k SDEÚ je od 31. októbra 2025 prejednávané (stav 2026, s výhradou zmeny). NOYB/Max Schrems signalizoval širšie, samostatné napadnutie. Operatívne odporúčanie rešerše preto znie: DPF je v súčasnosti platným právnym základom prenosu, podniky by však mali mať pripravené SCC ako záložnú možnosť a aj u príjemcov certifikovaných podľa DPF vykonať TIA — Garante a CNIL v roku 2025 odporúčajú toto dvojité zabezpečenie.

Presne tu nastupuje výhoda európskych poskytovateľov: kto drží inferenciu, RAG index a logy úplne v EÚ, nemusí pre tieto kroky využívať DPF, SCC ani TIA. Katalóg rizík pre amerických dodávateľov — prístup podľa CLOUD Act, FISA 702, EO 12333, vynútené sprístupnenie voči americkým orgánom nezávisle od miesta uloženia — u poskytovateľa z EÚ bez väzby na americký koncern štrukturálne odpadá.

Mistral AI a Aleph Alpha v profile GDPR

Obaja poskytovatelia sú v rešerši vedení ako konštelácia prevádzkovateľ→sprostredkovateľ s prísľubom „No-Training" — teda ako sprostredkovatelia so zmluvným prísľubom nepoužívať zákaznícke údaje na trénovanie modelu. Tieto prísľuby majú zmluvný charakter, nie sú zákonným štandardom, a preto sa pri uzatváraní zmluvy musia overiť.

Mistral AI (Francúzsko): sídlo v EÚ, s dôrazom na spracovanie údajov v EÚ. Platí prísľub netrénovania pre komerčné produkty. Zoznam subspracovateľov sa zverejňuje, s lehotou na námietku desať dní pri nových subspracovateľoch. Retencia je konfigurovateľná. Mistral je navyše dostupný cez AWS Bedrock a Google Vertex AI v regiónoch EÚ, čo vytvára flexibilitu smerovania.

Aleph Alpha (Pharia, Nemecko): DPA podľa nemeckého práva so šablónami kompatibilnými s BfDI, prísľub netrénovania, ako aj výslovne suverénne možnosti nasadenia. Ponúkané sú prevádzkové modely on-prem a EÚ-suverénne, zoznam subspracovateľov sa poskytuje na základe zmluvy, retencia je riadená na strane zákazníka. Pre regulované odvetvia je to relevantné: rešerš uvádza on-prem Aleph Alpha Pharia ako suverénnu možnosť pre švajčiarske inštitúcie regulované úradom FINMA, popri Swisscom Sovereign AI.

Nad rámec samotných poskytovateľov modelov existuje v regióne DACH suverénny hostingový ekosystém: IONOS AI Model Hub, STACKIT (skupina Schwarz) a T-Systems Open Telekom Cloud pracujú podľa rešerše so šablónami DPA podľa nemeckého práva, orientované na BfDI/DSK, so spracovaním in-country výlučne v DE/EÚ. Swisscom Sovereign AI pokrýva s DPA v súlade s revDSG a rezidenciou v CH Švajčiarsko.

Porovnávacia tabuľka: poskytovatelia z EÚ vs. trasy cez amerických hyperscalerov

Kritérium

Mistral AI (FR)

Aleph Alpha / Pharia (DE)

Americký model cez región EÚ (napr. Bedrock/Vertex)

Sídlo poskytovateľa

EÚ (Francúzsko)

EÚ (Nemecko)

americký koncern, región EÚ

Rezidencia údajov

EÚ, zdôraznená

DE/EÚ; možný on-prem

voliteľný región EÚ

Prenos do tretích krajín (inferencia)

v zásade žiadny

v zásade žiadny

podľa smerovania; možná zvyšková expozícia

CLOUD Act / FISA 702

žiadna štrukturálna väzba

žiadna štrukturálna väzba

riziko zostáva (americká materská spol.)

DPA / zmluva o spracúvaní

Mistral DPA

DPA podľa nemeckého práva, kompatibilná s BfDI

DPA hyperscalera

Prísľub netrénovania

áno (komerčne)

áno (+ suverénne)

áno (modely poskytovateľa izolované)

Transparentnosť subspracovateľov

publikovaná, 10-dňová námietka

na základe zmluvy

zoznam hyperscalera

Možnosť on-prem

nie (primárne API)

áno

nie

Kompromisy pomenovať úprimne

Poskytovateľ z EÚ nie je samozrejmosťou. Pravidelne treba urobiť tri zváženia:

  • Kvalita modelu: Americké frontier modely v mnohých benchmarkoch naďalej zaujímajú špičku. Kto potrebuje maximálny výkon v oblasti uvažovania alebo multimodality, u poskytovateľa z EÚ za určitých okolností akceptuje ústupky.
  • Ekosystém a nástroje: Vyspelosť SDK, integrácií, MCP serverov a napojenia na observabilitu je u veľkých amerických poskytovateľov často širšia. Poskytovatelia z EÚ doháňajú náskok, no trhový štandard sa často nastavuje inde.
  • Náklady: Suverénne a on-prem možnosti spôsobujú prevádzkové a licenčné náklady; regionálne koncové body môžu niesť príplatok. Tomu stojí oproti ušetrená námaha na zabezpečenie súladu.

Dôležité: poskytovateľ z EÚ rieši iba otázku prenosu a suverenity. Všetky ostatné povinnosti zostávajú zachované — zmluva o spracúvaní podľa čl. 28 ods. 3 písm. a)–h), takmer vždy vyvolané posúdenie vplyvu na ochranu údajov podľa čl. 35, udržateľný právny základ podľa čl. 6 (väčšinou čl. 6 ods. 1 písm. f) s dokumentovaným vyvážením záujmov), zaobchádzanie s osobitnými kategóriami podľa čl. 9, architektúra pre automatizované individuálne rozhodovanie podľa čl. 22, ako aj práva dotknutých osôb. Ani due diligence na strane nasadzovateľa ohľadom zákonnosti tréningových údajov zo stanoviska EDPB 28/2024 (17. december 2024) neodpadá.

Kedy je poskytovateľ z EÚ správnou voľbou

Európsky poskytovateľ sa odporúča najmä vtedy, keď:

  • sa spracúvajú osobitné kategórie (čl. 9) — zdravotné, biometrické alebo porovnateľne citlivé údaje;
  • je odvetvie sektorovo regulované: rešerš uvádza pre nasadenia v oblasti úverov a poistenia, ako aj pre inštitúcie regulované úradom FINMA výslovnú preferenciu suverénneho cloudu;
  • sa vyžaduje on-prem alebo plná kontrola nad údajmi, pre čo je koncipovaná Aleph Alpha Pharia;
  • podnik nechce zabudovať právnu neistotu okolo DPF do svojej architektúry.

Príklad s číslami: tri preskoky subspracovateľov

Stredne veľký podnik prevádzkuje interného RAG agenta nad personálnymi dokumentmi. S americkým poskytovateľom prejde každý prompt tri preskoky citlivé z hľadiska tretích krajín: API modelu, cloudový hosting, observabilita. Na každý preskok treba zdokumentovať jednu TIA a priradenie modulu SCC — pri troch preskokoch teda tri TIA plus priebežný monitoring DPF. Ak podnik nasadí Aleph Alpha Pharia on-prem s vektorovým úložiskom v EÚ a observabilitou v EÚ, počet prenosov podliehajúcich kapitole V klesne na nulu. Namiesto troch TIA zostáva bežná námaha na DPA a DPIA. Pri ročnej opätovnej validácii každej TIA a konzervatívnom prístupe približne jedného človekodňa na TIA to zodpovedá úspore okolo troch človekodní ročne — plus odpadnutiu zvyškového rizika z možného zániku DPF.

Pre agentúry a B2B rozhodovateľov

Pre marketingové agentúry je výber poskytovateľa predajným argumentom: kto obsluhuje zákazníkov z regiónu DACH v regulovaných odvetviach, môže s LLM stackom z EÚ (Mistral alebo Aleph Alpha plus suverénny hosting v EÚ) ponúknuť štíhlejší a ľahšie auditovateľný príbeh súladu než pri nastavení len s americkými riešeniami. Pre B2B rozhodovateľov platí: výber poskytovateľa urobte ako vedomé zváženie rizika a prínosu — poskytovatelia z EÚ tam, kde dominujú osobitné kategórie, sektorová regulácia alebo požiadavky na on-prem; americké modely tam, kde rozhoduje špičková kvalita modelu a riziko tretej krajiny zostáva zvládnuteľné cez regióny EÚ a záložné SCC. Rozhodnutie zdokumentujte v DPIA a v zázname o spracovateľských činnostiach.

Agentúra Blck Alpaca z Viedne podporuje pri neutrálnom hodnotení poskytovateľov, budovaní mapy subspracovateľov a integrácii DPIA pre architektúry agentov založené na riešeniach z EÚ aj USA.

Poznámka: Tento príspevok slúži na odbornú orientáciu a nepredstavuje právne poradenstvo. Podmienky poskytovateľov sa často menia a pri uzatváraní zmluvy sa musia overiť; pre konkrétne nastavenie si prosím prizvite kvalifikované právne poradenstvo. Stav rešerše, z ktorej príspevok vychádza: 14. máj 2026.

Často kladené otázky

Čo sú poskytovatelia LLM z EÚ a prečo sú relevantní pre GDPR?
Poskytovatelia LLM z EÚ sú poskytovatelia jazykových modelov so sídlom v Európskej únii, predovšetkým Mistral AI (Francúzsko) a Aleph Alpha (Nemecko). Pre GDPR sú relevantní preto, že spracovanie údajov v EÚ môže pri samotnej inferencii zabrániť prenosu do tretích krajín podľa kapitoly V GDPR. Vďaka tomu pre tento krok spracovania odpadajú štandardné zmluvné doložky, opieranie sa o EU-US Data Privacy Framework a príslušné posúdenie vplyvu prenosu. Povinnosti ako DPA, DPIA a práva dotknutých osôb však zostávajú zachované.
Ponúka Mistral AI spracovanie údajov v súlade s GDPR?
Mistral AI má sídlo v EÚ a zdôrazňuje spracovanie údajov v EÚ. Podľa rešerše Mistral nepoužíva zákaznícke údaje pri komerčných produktoch na trénovanie a zverejňuje zoznam subspracovateľov s lehotou na námietku desať dní pri nových subspracovateľoch; retencia je konfigurovateľná. Tieto vlastnosti uľahčujú súlad s GDPR, no nenahrádzajú vlastnú kontrolu prevádzkovateľa vrátane zmluvy o spracúvaní a posúdenia vplyvu na ochranu údajov.
Aké výhody v oblasti ochrany údajov ponúka Aleph Alpha s Phariou?
Aleph Alpha (produkt Pharia) ponúka podľa rešerše DPA podľa nemeckého práva so šablónami kompatibilnými s BfDI, prísľub netrénovať na zákazníckych údajoch, ako aj možnosti nasadenia on-prem a EÚ-suverénne so zákazníkom riadenou retenciou. Pre švajčiarske inštitúcie regulované úradom FINMA rešerš výslovne uvádza on-prem Aleph Alpha Pharia ako suverénnu možnosť popri Swisscom Sovereign AI.
Znamená poskytovateľ z EÚ automaticky súlad s GDPR?
Nie. Poskytovateľ z EÚ znižuje predovšetkým riziko z prenosov do tretích krajín podľa kapitoly V a z prístupu orgánov tretích krajín. Všetky ostatné povinnosti GDPR zostávajú: zmluva o spracúvaní podľa čl. 28 ods. 3, posúdenie vplyvu na ochranu údajov podľa čl. 35, právny základ podľa čl. 6, osobitné kategórie podľa čl. 9, automatizované individuálne rozhodovanie podľa čl. 22, ako aj práva dotknutých osôb. Ani due diligence na strane nasadzovateľa ohľadom zákonnosti tréningových údajov podľa stanoviska EDPB 28/2024 neodpadá.
Kedy je americký poskytovateľ napriek riziku tretej krajiny lepšou voľbou?
Keď rozhoduje maximálna kvalita modelu, široký ekosystém nástrojov alebo špecifické funkcie a údaje sú nekritické alebo sa smerujú cez regióny v EÚ. U amerických poskytovateľov však pretrváva riziko CLOUD Act, FISA 702 a EO 12333, a preto sa podľa rešerše popri EU-US DPF odporúčajú SCC ako záložná možnosť, ako aj posúdenie vplyvu prenosu.

Ísť hlbšie?

Získajte nové analýzy priamo do schránky – alebo sa pozrite, ako tieto poznatky nasadzujeme pre firmy.

Odoberať newsletterNaše služby
PreviousPoužívanie OpenAI / ChatGPT v súlade s GDPR: Consumer vs. Enterprise vs. APINextPrenos do tretích krajín do USA: Data Privacy Framework a AI