Microsoft 365 dla kancelarii prawnej — RODO, eDiscovery, Information Protection

Microsoft 365 dla kancelarii prawnej: decyzja licencyjna to decyzja o ryzyku

W kancelarii prawnej pakiet biurowy nie jest tylko pocztą, Wordem i miejscem na pliki. To system, w którym żyją opinie prawne, dane klientów, projekty umów, akta spraw, korespondencja objęta tajemnicą zawodową oraz materiały, które w razie sporu muszą zostać szybko zabezpieczone i odnalezione. Dlatego wybór planu Microsoft 365 powinien zaczynać się od pytań o poufność, retencję, RODO i eDiscovery, a dopiero później od ceny za użytkownika.

Dla mniejszych kancelarii sensownym punktem startowym jest Microsoft 365 Business Premium, bo łączy aplikacje Office, Exchange Online, SharePoint, OneDrive, Teams, Intune oraz ochronę Microsoft Defender dla firm. Kancelarie średnie częściej powinny analizować Microsoft 365 E3, gdzie dochodzą szersze funkcje zgodności, eDiscovery Standard i Information Protection P1. Dla zespołów prowadzących spory gospodarcze, transakcje M&A, obsługę podmiotów regulowanych lub sprawy z wysokim ryzykiem wycieku danych naturalnym kandydatem jest Microsoft 365 E5 z eDiscovery Premium, Defender XDR, Insider Risk Management i zaawansowanym audytem.

Co większość porównań pomija

Typowe artykuły porównujące licencje M365 skupiają się na tabeli aplikacji i cenie. W praktyce kancelarii ważniejsze są luki operacyjne: czy można zaszyfrować wiadomość do klienta jednym kliknięciem, czy plik z opinią nie zostanie przypadkowo udostępniony poza organizację, czy da się założyć legal hold na skrzynkę wspólnika, czy audyt pokaże kto pobrał paczkę dokumentów z SharePoint. Druga luka to polski kontekst: tajemnica adwokacka i radcowska, wymogi notariatu, rozliczalność RODO oraz realny obowiązek wdrożenia technicznych i organizacyjnych środków ochrony, a nie tylko podpisania regulaminu pracy zdalnej.

W tym artykule traktujemy Microsoft 365 jako platformę kancelaryjną: poczta, urządzenia, dokumenty, klasyfikacja informacji, retencja i proces dowodowy. Ceny podane są orientacyjnie według publicznych cenników Microsoft w USD, bez podatków i bez lokalnych rabatów CSP; w Polsce końcowa cena w PLN zależy od kursu, kanału zakupu, wariantu z Teams lub bez Teams oraz długości zobowiązania.

RODO i tajemnica zawodowa: czego oczekiwać od środowiska M365

RODO nie narzuca konkretnego narzędzia, ale wymaga podejścia opartego na ryzyku, rozliczalności i adekwatnych zabezpieczeń. UODO w poradniku o naruszeniach akcentuje obowiązki administratorów: ocenę ryzyka, dokumentowanie naruszeń, zgłaszanie ich do organu i zawiadamianie osób, jeżeli ryzyko jest wysokie; warto zestawić to z oficjalnym materiałem UODO dotyczącym naruszeń ochrony danych osobowych. Dla kancelarii oznacza to potrzebę kontroli dostępu, MFA, szyfrowania, rejestrowania zdarzeń, zarządzania urządzeniami oraz procedur awaryjnych.

Polska Adwokatura w dokumentach dotyczących korzystania z usług chmurowych wskazuje m.in. na potrzebę umów powierzenia, zgodności z RODO, ochrony tajemnicy zawodowej i unikania niezabezpieczonego przekazywania danych. Warto odnieść wdrożenie do wytycznych samorządowych, takich jak dokument NRA o korzystaniu z usług chmurowych przez kancelarie, dostępny na stronie Naczelnej Rady Adwokackiej. W notariacie dochodzi szczególny rygor przechowywania dokumentów: art. 90 Prawa o notariacie przewiduje przekazanie dokumentów notarialnych do archiwum sądu po upływie 10 lat od sporządzenia albo przy zakończeniu działalności kancelarii. Nie oznacza to, że każda kancelaria adwokacka ma identyczną regułę retencji, ale pokazuje, dlaczego plan retencji musi wynikać z rodzaju spraw i podstaw prawnych.

Porównanie planów dla kancelarii

Business Premium: dobry start dla małej kancelarii

Business Premium jest najczęściej najlepszym kompromisem dla jednoosobowej kancelarii, małej spółki prawniczej lub pięcioosobowego zespołu. Oficjalny cennik Microsoft pokazuje cenę rzędu 22 USD za użytkownika miesięcznie przy rocznym rozliczeniu, a plan jest adresowany do organizacji do 300 użytkowników. Największą przewagą nad Business Standard jest pakiet bezpieczeństwa: Intune pozwala wymuszać szyfrowanie dysków, PIN, blokadę urządzenia i zdalne wymazanie danych, a Defender for Business chroni stacje robocze przed malware, ransomware i podejrzanymi zachowaniami.

• MFA i Conditional Access dla wspólników, aplikantów oraz asystentów.
• Zarządzanie laptopami i telefonami przez Intune, w tym BYOD z ochroną aplikacji mobilnych.
• Podstawowa klasyfikacja dokumentów i wiadomości etykietami poufności.
• Defender for Business jako praktyczny poziom ochrony endpointów bez oddzielnego EDR.
• DLP dla poczty i plików, np. ostrzeżenia przy wysyłce numerów PESEL, danych finansowych lub dokumentów klienta poza domenę.

To plan dla kancelarii, która chce przestać przechowywać akta na prywatnych dyskach i wysyłać hasła SMS-em, ale nie prowadzi jeszcze dużych postępowań discovery. Wdrożenie powinno objąć minimum: MFA, zasady urządzeń, szyfrowanie BitLocker, etykiety poufności, bezpieczne linki SharePoint zamiast załączników oraz procedurę utraty laptopa.

E3: standard dla kancelarii rosnącej

Microsoft 365 E3 ma sens, gdy kancelaria przestaje być „małym zespołem z jednym administratorem” i zaczyna potrzebować powtarzalnej architektury informacji. W praktyce to etap 25-100 osób, wielu zespołów spraw, folderów klient-sprawa, kontroli dostępu na poziomie praktyk oraz regularnych audytów. E3 daje solidniejszy fundament pod Purview: eDiscovery Standard, Information Protection P1, retencję i governance dla dokumentów w SharePoint oraz OneDrive.

eDiscovery Standard wystarcza do typowych działań: Content Search, sprawy, podstawowe holdy i eksport wyników. To nie jest jeszcze pełna platforma review, ale pozwala kancelarii odpowiedzieć na żądanie klienta, zabezpieczyć skrzynkę pracownika odchodzącego z projektu albo odnaleźć korespondencję z konkretną stroną sporu. Microsoft opisuje funkcje etykiet poufności w dokumentacji Microsoft Purview sensitivity labels, a mechanizm retencji w Microsoft Purview retention policies and labels.

E5: gdy sprawy wymagają defensible eDiscovery i pełniejszej detekcji

E5 należy rozważyć tam, gdzie koszt incydentu jest wyższy niż różnica licencyjna: spory o dużej wartości, arbitraż, obsługa spółek giełdowych, postępowania regulacyjne, wewnętrzne dochodzenia, duże due diligence lub praca z danymi szczególnych kategorii. eDiscovery Premium zapewnia przepływ pracy od zachowania danych, przez kolekcje i analizę, po review set i eksport. Microsoft opisuje Premium jako rozwiązanie end-to-end do zachowania, zebrania, analizy, przeglądu i eksportu treści na potrzeby dochodzeń i sporów w dokumentacji Microsoft Purview eDiscovery Premium.

Różnica jest praktyczna. W E3 można wyszukać i wyeksportować materiały. W E5 można prowadzić bardziej kontrolowany proces: custodian management, legal hold dla konkretnych osób i lokalizacji, review sets, analytics, deduplikacja, conversation threading i lepsza kontrola kto przegląda materiał. Dodatkowo Defender XDR koreluje sygnały z poczty, endpointów, tożsamości i aplikacji chmurowych, a Insider Risk Management pomaga wykrywać ryzykowne zachowania, np. masowe pobieranie dokumentów przed odejściem z kancelarii.

Use case: ochrona tajemnicy klienta etykietami poufności

Najbardziej praktyczny model klasyfikacji w kancelarii to prosta hierarchia etykiet, której ludzie rzeczywiście będą używać: „Publiczne”, „Wewnętrzne”, „Klient”, „Klient - poufne”, „Tajemnica zawodowa - ograniczone”. Etykieta powinna robić coś konkretnego, nie tylko wyglądać. Dla pliku „Tajemnica zawodowa - ograniczone” można ograniczyć dostęp do zespołu sprawy, dodać znak wodny, zablokować drukowanie lub wymusić szyfrowanie. Dla wiadomości e-mail do klienta można użyć szyfrowania i opcji ograniczających przekazywanie dalej.

W małej kancelarii wystarczy ręczne etykietowanie i domyślna etykieta dla dokumentów w lokalizacjach spraw. W E3 i E5 warto dodać reguły automatycznego rekomendowania etykiet, np. gdy dokument zawiera PESEL, numer dowodu osobistego, dane medyczne, dane finansowe lub frazy charakterystyczne dla opinii prawnej. W E5 można podejść do tego szerzej: auto-labeling, DLP, alerty ryzyka i analiza aktywności użytkowników.

Use case: szyfrowanie korespondencji wychodzącej

Wysyłka załącznika z opinią prawną na prywatny adres klienta to jeden z najprostszych scenariuszy naruszenia poufności. Microsoft Purview Information Protection pozwala powiązać etykietę z szyfrowaniem i uprawnieniami. Zamiast załącznika bez kontroli kancelaria może wysłać link do SharePoint z dostępem tylko dla wskazanego odbiorcy albo wiadomość chronioną etykietą. To pomaga spełnić standard organizacyjny wskazywany również przez dokumenty samorządowe: jeśli klient wymaga mniej bezpiecznego kanału, kancelaria powinna mieć ślad decyzji i poinformowania o ryzyku.

Use case: retencja dokumentów sprawy przez 10 lat

Retencja nie powinna być jedną globalną zasadą „trzymamy wszystko zawsze”. W kancelarii lepiej zaprojektować klasy spraw: sprawy cywilne, gospodarcze, karne, pracownicze, podatkowe, notarialne, windykacyjne, wewnętrzne dokumenty kancelarii. Dla każdej klasy należy określić podstawę prawną, termin przechowywania, właściciela decyzji i moment startu okresu retencji. Reguła 10 lat jest dobrym przykładem dla określonych dokumentów, zwłaszcza w notariacie, ale nie powinna być bezrefleksyjnie kopiowana na każdy plik.

W Microsoft Purview można tworzyć retention labels i retention policies dla SharePoint, OneDrive, Exchange i Teams. Dla sprawy klienta można utworzyć witrynę SharePoint lub bibliotekę „Akta sprawy”, przypisać domyślną etykietę retencji „Sprawa klienta - 10 lat” i zabezpieczyć ją przed przypadkowym usunięciem. Przy wyższej dojrzałości warto stosować disposition review, aby przed skasowaniem dokumentów właściciel praktyki zatwierdził decyzję.

Use case: litigation hold, custodian search i review

Gdy klient prosi o zabezpieczenie materiałów do sporu, kancelaria musi działać szybko i powtarzalnie. W E3 można utworzyć sprawę eDiscovery Standard, zdefiniować zapytanie, przeszukać skrzynki, SharePoint i OneDrive, a następnie wyeksportować wyniki. W E5 proces jest mocniejszy: wskazujemy kustoszy, zabezpieczamy ich źródła danych, tworzymy kolekcje, ładujemy wyniki do review set, filtrujemy, deduplikujemy i eksportujemy pakiet z lepszą kontrolą audytową.

1. Zidentyfikuj zakres sprawy: klient, sygnatura, strony, okres, słowa kluczowe, domeny e-mail i zespoły projektowe.
2. Wskaż kustoszy danych: wspólnicy, prawnicy prowadzący, asystenci, skrzynki współdzielone, witryny SharePoint i kanały Teams.
3. Załóż legal hold przed rozpoczęciem szerokich wyszukiwań, aby ograniczyć ryzyko utraty materiału.
4. Uruchom kolekcję testową, sprawdź trafność zapytań i dopiero potem poszerz zakres.
5. Przenieś wyniki do review set, jeżeli korzystasz z E5, i udokumentuj decyzje o wyłączeniach, duplikatach oraz eksporcie.
6. Zachowaj raport z eksportu, listę osób mających dostęp i podstawę przetwarzania danych w rejestrze sprawy.

3-letni TCO: kancelaria 10-osobowa

Poniższe wyliczenie pokazuje sam koszt licencji przez 36 miesięcy dla 10 użytkowników, bez wdrożenia, migracji poczty, konfiguracji Purview, szkoleń i wsparcia administratora. Dla polskiej kancelarii trzeba doliczyć VAT, przeliczenie na PLN, ewentualne rabaty partnera i koszt pracy wdrożeniowej. Mimo to tabela dobrze pokazuje skalę różnicy.

Dla 10-osobowej kancelarii E5 kosztuje w tym modelu o 11 790 USD więcej niż Business Premium w horyzoncie 3 lat. To dużo, jeśli zespół obsługuje głównie standardowe umowy i nie wykorzysta review sets, insider risk ani advanced audit. To mało, jeśli jeden incydent z plikiem due diligence lub spór o dużej wartości wymaga pełnego odtworzenia ścieżki dostępu, szybkiego holda i wiarygodnego eksportu dowodów.

Rekomendacja wyboru

• Wybierz Business Premium, jeśli kancelaria ma do 10-15 osób, chce uporządkować pocztę, urządzenia, MFA, szyfrowanie i podstawowe etykiety, a eDiscovery pojawia się sporadycznie.
• Wybierz E3, jeśli masz 25-100 osób, kilka praktyk, rosnące repozytorium SharePoint, regularne audyty klientowskie i potrzebę eDiscovery Standard oraz retencji na poziomie całej organizacji.
• Wybierz E5 dla zespołów prowadzących spory, dochodzenia wewnętrzne, transakcje o wysokiej poufności lub obsługę podmiotów regulowanych, gdzie liczy się Premium review, XDR i audyt.
• Rozważ miks licencji: E5 dla wspólników, zespołu litigation i IT/compliance, E3 albo Business Premium dla pozostałych, o ile licencjonowanie funkcji i procesy dostępu są zgodne z zasadami Microsoft.

Plan wdrożenia krok po kroku

1. Spisz mapę danych: typy spraw, lokalizacje dokumentów, skrzynki współdzielone, urządzenia prywatne, kanały komunikacji z klientem.
2. Ustal minimalny standard: MFA dla wszystkich, blokada legacy authentication, Conditional Access, szyfrowanie dysków i zarządzanie urządzeniami.
3. Zaprojektuj etykiety poufności: maksymalnie 4-6 poziomów, z jasnymi skutkami dla szyfrowania, udostępniania i DLP.
4. Zaprojektuj retencję według kategorii spraw, nie według przypadkowych folderów. Dla wybranych akt wprowadź 10-letnią retencję i przegląd dyspozycji.
5. Przećwicz scenariusz eDiscovery na fikcyjnej sprawie: hold, wyszukiwanie, eksport, raport i zamknięcie sprawy.
6. Przeszkol prawników na realnych przykładach: wysyłka opinii, udostępnienie folderu klientowi, praca na telefonie, utrata laptopa.
7. Co kwartał sprawdzaj raporty: użytkownicy bez MFA, urządzenia niezgodne, zewnętrzne udostępnienia, dokumenty bez etykiet i aktywne holdy.