RODO a oprogramowanie 2026 — jakie licencje są wymagane (DPIA checklist)

RODO a oprogramowanie w 2026 roku: licencja nie daje zgodności, ale pomaga ją wykazać

RODO nie wskazuje konkretnych programów, które trzeba kupić. Wymaga natomiast, aby administrator dobrał środki techniczne i organizacyjne adekwatne do ryzyka: szyfrowanie, kontrolę dostępu, odporność systemów, backup, możliwość odtworzenia danych i regularne testowanie zabezpieczeń. Dlatego pytanie „jakie licencje są wymagane” warto przetłumaczyć na bardziej praktyczne: jakie funkcje muszą działać, aby firma mogła obronić swoje decyzje przed klientem, audytorem lub UODO.

Ten przewodnik jest dla MŚP, kancelarii, biur rachunkowych, firm medycznych, e-commerce i usług B2B. Łączy wymagania art. 32 RODO, DPIA checklist, szyfrowanie, AIP/Purview, audyt logów, eDiscovery, EU Data Boundary, antywirus i backup immutable. Typowe artykuły konkurencji opisują zgody i polityki prywatności, ale pomijają mapowanie: ryzyko → funkcja w licencji → dowód dla audytu. Tu skupiamy się właśnie na tej warstwie.

Art. 32 RODO: punkt wyjścia dla licencji IT

Art. 32 wymaga bezpieczeństwa odpowiadającego ryzyku, w tym w stosownych przypadkach szyfrowania, ciągłej poufności, integralności, dostępności i odporności systemów, zdolności szybkiego przywrócenia danych oraz testowania zabezpieczeń. UODO podkreśla, że dobór środków powinien wynikać z oceny ryzyka, a nie z przypadkowej listy zakupów: UODO o środkach technicznych i organizacyjnych.

W praktyce legalna i właściwie dobrana licencja jest elementem rozliczalności. Bez niej nie ma aktualizacji, prawa używania funkcji biznesowych, centralnego zarządzania, raportów ani pewności, że konfiguracja obejmuje wszystkich użytkowników. RODO nie wymaga „licencji RODO”, ale wymaga możliwości wykazania, że środki bezpieczeństwa faktycznie działają.

DPIA checklist: kiedy ocena skutków jest konieczna

DPIA, czyli ocena skutków dla ochrony danych, jest wymagana przy przetwarzaniu mogącym powodować wysokie ryzyko dla praw lub wolności osób. Sam fakt używania chmury nie oznacza automatycznie DPIA; decyduje kontekst: skala danych, profilowanie, monitoring, automatyczne decyzje, dane dzieci, dane zdrowotne, dane pracownicze lub nowe technologie. Kryteria dobrze opisują wytyczne EDPB: Guidelines on Data Protection Impact Assessment.

DPIA krok po kroku

1. Opisz proces: administrator, procesorzy, cel, źródło danych, kategorie osób i odbiorcy.
2. Sprawdź, czy występuje wysokie ryzyko: duża skala, dane szczególnych kategorii, profilowanie, monitoring, AI lub automatyczne decyzje.
3. Zmapuj systemy: Microsoft 365, CRM, księgowość, endpointy, backup, antywirus, aplikacje SaaS i serwery.
4. Oceń ryzyka dla osób: ujawnienie, utrata kontroli nad danymi, kradzież tożsamości, brak dostępności usługi.
5. Dobierz zabezpieczenia: MFA, Conditional Access, BitLocker, etykiety poufności, logi, eDiscovery, backup immutable.
6. Zapisz ryzyko rezydualne, właściciela procesu, decyzję biznesową i termin ponownego przeglądu.

Licencje, które najczęściej wspierają zgodność

Dla małych i średnich firm najczęstszym punktem startu jest Microsoft 365 Business Premium, bo obejmuje pocztę, aplikacje Office, Entra ID P1, Intune, Defender for Business i zarządzanie urządzeniami. Dla organizacji powyżej 300 użytkowników lub z bardziej formalnym zarządzaniem dobrym progiem jest Microsoft 365 E3. Firmy z danymi wrażliwymi powinny rozważyć dodatki Purview/E5 Compliance lub E5.

Na stacjach roboczych z danymi osobowymi warto utrzymywać Windows 11 Pro, bo umożliwia BitLocker, dołączanie do domeny/Entra i zarządzanie politykami. Dla środowisk lokalnych znaczenie ma również wspierany system serwerowy, np. Windows Server 2025, oraz legalne licencje biurowe, np. Office 2024, jeśli firma nie pracuje w modelu subskrypcyjnym.

Szyfrowanie: BitLocker, AIP/Purview, TLS i backup

RODO nie nakazuje jednego algorytmu ani jednego producenta, ale szyfrowanie jest wprost wymienione w art. 32 jako środek bezpieczeństwa. Brak szyfrowania laptopów z danymi klientów w 2026 roku jest trudny do obrony. Minimum to Windows 11 Pro z BitLockerem, wymuszenie szyfrowania przez Intune oraz bezpieczne przechowywanie kluczy odzyskiwania.

Dla dokumentów poufnych dawne AIP funkcjonuje dziś głównie jako Microsoft Purview Information Protection: etykiety poufności, szyfrowanie plików i ograniczanie dostępu po stronie dokumentu. W transmisji wymagaj TLS dla poczty, paneli klienta, API, VPN i administracji. Microsoft opisuje aktualny zakres lokalizacji danych w dokumentacji EU Data Boundary.

• Endpointy: BitLocker, blokada urządzeń niezgodnych, aktualizacje i EDR.
• Pliki: etykiety poufności, prawa dostępu, ograniczenie linków anonimowych.
• Transmisja: TLS, VPN, bezpieczne API i osobne kanały dla haseł do archiwów.
• Backup: szyfrowanie repozytorium, oddzielne klucze, kopia immutable/offline.

Audit logs, art. 30 i DSAR

Art. 30 dotyczy rejestru czynności przetwarzania, ale audyt IT wymaga także dowodów technicznych: logów logowania, zmian ról, udostępnień plików, eksportów danych, alertów antywirusowych i wyników backupu. Rejestr mówi, co firma deklaruje; logi pokazują, co faktycznie wydarzyło się w systemach.

W Microsoft 365 zakres retencji logów zależy od planu. Audit Premium daje dłuższą retencję i polityki audytu dla uprawnionych licencji, a eDiscovery pomaga obsługiwać żądania dostępu do danych, eksporty i wewnętrzne postępowania. Procedura DSAR powinna wskazywać, kto szuka danych, w jakich systemach, w jakim terminie i jak dokumentuje wynik.

Data residency: EU Data Boundary dla kancelarii i zdrowia

EU Data Boundary ma znaczenie dla podmiotów, które muszą opisać lokalizację danych i transfery poza EOG. Od 2024 roku Microsoft rozszerzał zakres przechowywania i przetwarzania danych w UE/EFTA, a w 2025 ogłosił istotne domknięcie programu dla głównych usług chmurowych. Nie zwalnia to z analizy wyjątków: wsparcia technicznego, usług połączonych, integracji, funkcji AI i dostawców trzecich.

Dla kancelarii, ochrony zdrowia, HR i finansów warto przechowywać w dokumentacji: region tenanta, DPA, opis transferów, listę procesorów, ustawienia udostępniania zewnętrznego oraz decyzję, czy dane szczególnych kategorii wymagają DPIA.

Antywirus, EDR i backup immutable

Antywirusy biznes są środkiem ochrony danych, nie tylko narzędziem IT. Malware i ransomware mogą prowadzić do ujawnienia, zaszyfrowania lub utraty danych osobowych. Dla MŚP liczą się centralna konsola, izolacja urządzenia, raporty, alerty, ochrona poczty i jasna procedura reakcji. Przy wyborze można sprawdzać niezależne testy, np. AV-TEST.

Backup immutable jest praktyczną odpowiedzią na wymóg dostępności i odtwarzalności z art. 32. Model 3-2-1-1-0 oznacza trzy kopie, dwa typy nośników, jedną kopię poza lokalizacją, jedną niezmienialną lub offline i zero błędów po weryfikacji. ENISA w materiałach o ransomware wskazuje znaczenie backupu, segmentacji, aktualizacji i ćwiczeń odtworzeniowych: ENISA ransomware guidance.

Plan wdrożenia dla MŚP w 30 dni

1. Zrób inwentaryzację licencji, kont, urządzeń, serwerów, aplikacji SaaS i lokalizacji danych.
2. Włącz MFA, Conditional Access, BitLocker, podstawowe polityki Intune i centralny antywirus.
3. Uporządkuj SharePoint, Teams, gości zewnętrznych, linki anonimowe i etykiety poufności.
4. Wdróż Backup z encryption dla serwerów, Microsoft 365 i kluczowych stacji.
5. Przygotuj rejestr czynności, procedurę DSAR, rejestr incydentów i szablon DPIA.
6. Wykonaj uodo audyt licencji: sprawdź, czy kupione plany obejmują funkcje, które opisujesz w dokumentacji.

Praktyczna rekomendacja

Minimum dla MŚP to legalny Windows Pro, MFA, centralny antywirus i backup z szyfrowaniem. Rozsądny standard to Microsoft 365 Business Premium, zarządzane urządzenia, BitLocker, etykiety poufności i backup immutable. Wariant regulowany, np. kancelaria, zdrowie, finanse lub HR, powinien rozważyć Microsoft 365 E3 z dodatkami Purview/E5, dłuższą retencję logów, formalne DPIA i cykliczne testy odtworzeniowe.