Microsoft Purview dla MŚP — RODO compliance uproszczone 2026

Microsoft Purview dla MŚP: RODO compliance bez nadmiarowej biurokracji

Microsoft Purview dla MŚP to praktyczny zestaw narzędzi do ochrony danych w Microsoft 365: klasyfikacji dokumentów, DLP, szyfrowania poczty, retencji, audytu i monitorowania zgodności. Dla 25-osobowej firmy nie jest to projekt „enterprise compliance”, ale sposób, aby zasady RODO zaczęły działać w Wordzie, Excelu, Outlooku, OneDrive i SharePoint.

W 2026 roku Purview łączy obszary znane wcześniej jako Azure Purview i Microsoft 365 Compliance. Obejmuje Data Map, Information Protection, Data Loss Prevention, Insider Risk Management, eDiscovery, Audit, Records Management i Compliance Manager. Microsoft opisuje platformę jako rozwiązanie do zarządzania, ochrony i nadzoru nad danymi w środowiskach lokalnych, chmurowych i SaaS: Microsoft Purview.

Największa luka w wielu poradnikach o „purview rodo” polega na tym, że kończą się na definicjach. Poniżej jest plan dla polskiego MŚP: jakie licencje rozważyć, jak ustawić sensitivity labels, jak wykrywać PESEL, NIP i IBAN, kiedy blokować udostępnianie oraz co pokazać w razie kontroli UODO.

Co daje Purview w kontekście RODO?

• Information Protection - etykiety poufności dla plików, e-maili i spotkań.
• DLP M365 - reguły wykrywające i blokujące ryzykowne udostępnianie danych.
• Compliance Manager Microsoft - dashboard działań i ocena zgodności dla regulacji, w tym EU GDPR.
• Audit i eDiscovery - ścieżka dowodowa: kto otworzył, wysłał, pobrał lub udostępnił plik.
• Records Management - retencja i usuwanie danych po zakończeniu celu przetwarzania.
• Insider Risk - wykrywanie ryzykownych działań wewnętrznych, np. masowego pobierania plików.

Purview nie zastępuje dokumentacji RODO, podstaw prawnych, umów powierzenia ani decyzji IOD. Wspiera jednak zasadę rozliczalności. UODO w poradniku o naruszeniach wskazuje na potrzebę identyfikowania, reagowania, oceny ryzyka i dokumentowania zdarzeń: poradnik UODO o naruszeniach ochrony danych.

Licencje i ceny 2026: Business Premium, E3, E5

Dla małej firmy punktem startowym jest zwykle Microsoft 365 Business Premium. Microsoft podaje cenę 22 USD za użytkownika miesięcznie przy rozliczeniu rocznym. Według komunikatu licencyjnego Microsoft, od 1 lipca 2026 Microsoft 365 E3 rośnie z 36 do 39 USD, a E5 z 57 do 60 USD za użytkownika miesięcznie; Business Premium pozostaje w tabeli przy 22 USD. Źródło: Microsoft 365 pricing updates.

Microsoft oferuje też Purview Suite for Microsoft 365 Business Premium jako dodatek za 10 USD/użytkownika/miesiąc przy rocznym zobowiązaniu i limicie 300 miejsc. Przy 25 osobach oznacza to 250 USD miesięcznie ponad bazową subskrypcję. W modelu licencyjnym trzeba uważać na mieszanie planów: jeśli wszyscy korzystają z polityki obejmującej SharePoint, wszyscy objęci korzyścią powinni mieć właściwą licencję. Microsoft opisuje to w Purview licensing guidance.

Model etykiet: Publiczne, Wewnętrzne, Poufne

Najprostszy model sensitivity labels jest zwykle najskuteczniejszy. Użytkownik musi rozumieć etykietę w kilka sekund, inaczej wybierze wartość losowo. Dla pierwszego wdrożenia w Microsoft 365 wystarczą trzy poziomy.

Dla danych osobowych warto włączyć auto-labeling lub rekomendacje etykiety Poufne na podstawie wykrycia PII. Reguły należy testować na polskich przykładach: PESEL, NIP, IBAN, numery dowodów, adresy i dane finansowe. Microsoft Learn opisuje szablony regulacyjne Compliance Managera, w tym EU GDPR: Compliance Manager regulations.

DLP M365: od raportu do blokady

DLP nie powinno od pierwszego dnia blokować wszystkiego. W małej firmie rozsądne jest wdrożenie etapowe: najpierw obserwacja, potem ostrzeżenia, na końcu blokady dla danych wysokiego ryzyka. To ogranicza fałszywe alarmy i nie zatrzymuje pracy działu handlowego lub księgowości.

1. Utwórz politykę DLP dla Exchange Online, SharePoint i OneDrive.
2. Dodaj warunki: etykieta Poufne, PESEL, NIP, IBAN lub wiele danych osobowych w jednym pliku.
3. Włącz tryb testowy na 7-14 dni i przeanalizuj raporty.
4. Dodaj komunikat dla użytkownika: „Ten plik zawiera dane osobowe i nie może być udostępniony poza organizację”.
5. Zablokuj zewnętrzne udostępnianie plików Poufne, z wyjątkami dla zatwierdzonych grup.
6. Włącz alerty dla administratora i osoby odpowiedzialnej za ochronę danych.

DLP warto łączyć z podstawową ochroną urządzeń. Business Premium zawiera Defender for Business, a firmy z dodatkowymi wymaganiami mogą porównać także rozwiązania z kategorii antywirus dla firm. Jeżeli część danych nadal działa lokalnie, przy modernizacji środowiska warto równolegle uporządkować uprawnienia i kopie zapasowe na Windows Server 2025.

Retencja, audyt i Compliance Manager

Przykładowa polityka dla MŚP: dane klienta przechowywane przez czas współpracy, następnie usuwane 3 lata po zamknięciu sprawy, jeśli przepisy księgowe, umowa lub roszczenia nie wymagają dłuższego okresu. W Purview można zastosować etykietę retencji do biblioteki SharePoint albo folderów projektowych.

Compliance Manager powinien być traktowany jako pulpit zarządczy, nie certyfikat zgodności. Raz w miesiącu warto sprawdzić wynik, nowe działania usprawniające, alerty DLP, udostępnienia zewnętrzne i aktywność na plikach Poufne. ENISA w przewodniku dla MŚP podkreśla znaczenie polityk, szkoleń, kontroli dostępu i regularnych przeglądów bezpieczeństwa: Cybersecurity guide for SMEs.

Plan wdrożenia Purview w 4 tygodnie

1. Tydzień 1: uruchomienie. Wejdź do purview.microsoft.com, przypisz role, sprawdź audyt, wskaż biblioteki SharePoint z danymi klientów i przygotuj listę typów danych: PESEL, NIP, IBAN, płace, umowy, dokumenty tożsamości.
2. Tydzień 2: etykiety. Utwórz Publiczne, Wewnętrzne i Poufne, opublikuj je pilotażowo do 5 osób, ustaw Wewnętrzne jako domyślne i włącz szyfrowanie dla Poufne.
3. Tydzień 3: szkolenie. Pokaż przykłady w Word, Excel i Outlook. Wyjaśnij, kiedy stosować Poufne i co oznacza komunikat DLP. Skoryguj fałszywe alarmy.
4. Tydzień 4: DLP i retencja. Włącz reguły DLP, ustaw alerty, dodaj politykę retencji dla danych klienta i zaplanuj miesięczny przegląd Compliance Managera.

Przy okazji warto sprawdzić MFA, dostęp warunkowy i stan urządzeń. Jeżeli firma wymienia komputery, dobrze zaplanować przejście na Windows 11 Pro. Jeśli natomiast organizacja korzysta głównie z lokalnego pakietu biurowego, trzeba pamiętać, że pełna wartość Purview pojawia się dopiero w usługach chmurowych; licencje takie jak Office 2024 nie dają tego samego poziomu DLP i audytu.

Wniosek dla 25-osobowej firmy

Najlepszy pierwszy krok to Microsoft 365 Business Premium, trzy etykiety poufności, DLP dla Exchange/SharePoint/OneDrive, szyfrowanie wiadomości Poufne i miesięczny przegląd Compliance Managera. E3 lub E5 warto rozważyć, gdy firma potrzebuje bardziej zaawansowanego audytu, eDiscovery Premium, Insider Risk albo pełniejszego DLP. Dobrze wdrożony Purview zmienia RODO z dokumentu w zestaw realnych kontroli.