W środowisku korporacyjnym prywatność danych nie jest fanaberią – to obowiązek prawny, biznesowy i etyczny. Windows 11 w wersji Enterprise i Pro oferuje rozbudowany zestaw narzędzi telemetrycznych, które domyślnie zbierają dziesiątki kategorii informacji o użytkownikach i urządzeniach. Administrator IT, który nie skonfiguruje tych ustawień świadomie, naraża firmę na wyciek metadanych, naruszenie RODO i utratę kontroli nad tym, co opuszcza firmową sieć. Poniższy przewodnik – aktualny na maj 2026 roku – przeprowadzi Cię przez każdy istotny aspekt konfiguracji prywatności w Windows 11 w kontekście organizacyjnym, od polityk grupowych po szczegółowe przełączniki w aplikacji Ustawienia.
Dlaczego domyślne ustawienia prywatności Windows 11 nie wystarczają firmom
Microsoft od premiery Windows 11 konsekwentnie przesuwa granicę między wygodą użytkownika a zbieraniem danych diagnostycznych. W wydaniu 24H2 (kompilacja 26100, najnowsza stabilna gałąź na połowę 2026 roku) system domyślnie wysyła do chmury Microsoft dane o diagnostyce na poziomie Opcjonalnym – czyli maksymalnym dostępnym dla wersji Pro. Obejmuje to historię odwiedzanych stron w Edge, dane o uruchamianych aplikacjach, informacje o sprzęcie, a nawet próbki zawartości ekranu w przypadku błędów krytycznych.
Dla użytkownika domowego to może być akceptowalny kompromis. Dla firmy – szczególnie takiej, która przetwarza dane medyczne, finansowe, prawne lub tajemnice handlowe – to katastrofa. Wyobraź sobie scenariusz: pracownik działu prawnego otwiera poufny kontrakt w Wordzie, system wykrywa błąd renderowania czcionki, a próbka dokumentu – wraz z jego treścią – ląduje na serwerach Microsoft jako część raportu diagnostycznego. Ryzyko nie jest teoretyczne – mechanizm Connected User Experiences and Telemetry (DiagTrack) został zaprojektowany właśnie do tego.
Konfiguracja firmowa musi iść znacznie dalej niż przełączenie kilku suwaków w aplikacji Ustawienia. Wymaga połączenia zasad grupy, rejestru systemowego, konfiguracji Microsoft Intune (jeśli korzystasz z nowoczesnego zarządzania) i świadomego wyboru poziomu telemetrii Wymagane dane diagnostyczne (dawniej Basic) lub Enhanced w przypadku wersji Enterprise z dodatkowymi umowami.
Poziomy danych diagnostycznych – co dokładnie wysyła Windows 11
Windows 11 definiuje cztery oficjalne poziomy danych diagnostycznych, choć w praktyce wersja Pro odsłania tylko dwa z nich w interfejsie użytkownika. Zrozumienie różnic jest kluczowe, by nie podejmować decyzji na ślepo.
Wymagane dane diagnostyczne (dawniej Basic)
To absolutne minimum. Microsoft określa ten poziom jako niezbędny do utrzymania bezpieczeństwa, niezawodności i wydajności urządzenia. W praktyce obejmuje on informacje o wersji systemu operacyjnego, identyfikatorze urządzenia, podstawowych danych o sprzęcie (typ procesora, ilość pamięci RAM, pojemność dysku), informacje o sterownikach podpisanych przez Microsoft oraz dane o błędach krytycznych – ale bez zrzutów pamięci czy próbek zawartości ekranu.
To poziom rekomendowany przez Europejską Radę Ochrony Danych (EROD) w wytycznych z czerwca 2025 roku dla organizacji przetwarzających dane osobowe szczególnej kategorii. Warto zaznaczyć, że nawet na tym poziomie system wysyła identyfikator urządzenia, który w połączeniu z kontem Microsoft 365 może być powiązany z konkretnym użytkownikiem – co oznacza, że dalej mamy do czynienia z przetwarzaniem danych osobowych w rozumieniu RODO.
Ulepszone dane diagnostyczne (Enhanced)
Poziom dostępny wyłącznie w wersji Enterprise i Education. Dodaje do puli Wymaganych informacje o tym, jak używane są funkcje systemu Windows, jakie aplikacje są instalowane i uruchamiane, jak często korzysta się z poszczególnych ustawień. Nie obejmuje treści tworzonych przez użytkownika, ale profil behawioralny budowany na tym poziomie jest już na tyle szczegółowy, że można z niego wywnioskować wiele o strukturze organizacji i jej procesach.
Opcjonalne dane diagnostyczne (dawniej Full)
To domyślny poziom w Windows 11 Pro i Home. Microsoft zbiera tu praktycznie wszystko: szczegółowe informacje o odwiedzanych stronach internetowych (poprzez Edge i widgety), dane o aktywności w aplikacjach, próbki zawartości ekranu, zrzuty pamięci, zawartość schowka w określonych sytuacjach, a nawet dane z czujników urządzenia. Wersja Enterprise może zejść do poziomu Wymagane – Pro nie może zejść poniżej Ulepszonych przy użyciu wyłącznie aplikacji Ustawienia, choć zasady grupy pozwalają wymusić poziom minimalny również na Pro.
Wyłączenie telemetrii – czy to w ogóle możliwe?
Krótka odpowiedź: nie. Długa odpowiedź: w Windows 11 nie istnieje opcja całkowitego wyłączenia telemetrii. Nawet w wersji Enterprise 2025 LTSC, która jest najbardziej odchudzona ze wszystkich wydań, system wysyła podstawowe dane telemetryczne. Można je ograniczyć do absolutnego minimum za pomocą kombinacji zasad grupy i blokad na poziomie firewalla (blokowanie endpointów takich jak vortex.data.microsoft.com czy settings-win.data.microsoft.com), ale całkowite odcięcie komunikacji spowoduje błędy aktywacji licencji i utratę dostępu do aktualizacji zabezpieczeń.
Konfiguracja prywatności przez zasady grupy (GPO)
Zasady grupy pozostają najbardziej granularnym narzędziem kontroli prywatności w środowisku domenowym Windows 11. Poniższa lista obejmuje wszystkie kluczowe lokalizacje w edytorze gpedit.msc, które administrator powinien przejrzeć przed wdrożeniem floty.
Szablony administracyjne – kluczowe ścieżki
Ścieżka Konfiguracja komputera > Szablony administracyjne > Składniki systemu Windows > Zbieranie danych i kompilacje w wersji wstępnej to centralny węzeł kontroli telemetrii. Polityka Zezwalaj na dane diagnostyczne (AllowTelemetry) przyjmuje wartości od 0 (tylko zabezpieczenia – Enterprise tylko) do 3 (pełne dane). Dla firm rekomendowana jest wartość 0 w Enterprise i 1 w Pro.
W ścieżce Konfiguracja komputera > Szablony administracyjne > Składniki systemu Windows > Wyszukiwanie znajdziesz politykę Zezwalaj na wyszukiwanie w chmurze, która domyślnie wysyła zapytania wpisywane w menu Start do Bing. Każde wyszukane hasło, nazwisko klienta czy numer projektu – nawet jeśli użytkownik szukał go lokalnie – może trafić na serwery Microsoft. To jedna z pierwszych polityk, które należy wyłączyć w środowisku firmowym.
Kolejna krytyczna lokalizacja: Konfiguracja komputera > Szablony administracyjne > Składniki systemu Windows > Windows Update > Opcje zaawansowane. Polityka Wyłącz aktualizacje sterowników z Windows Update nie jest bezpośrednio związana z prywatnością, ale każda aktualizacja sterownika z WU resetuje część lokalnych ustawień prywatności – Microsoft potwierdził to zachowanie w biuletynie KB5032192 z listopada 2025 roku.
Ograniczanie Cortany, Copilota i asystentów AI
Windows 11 24H2 domyślnie integruje Microsoft Copilot na poziomie systemowym – ikona na pasku zadań i skrót klawiszowy Win+C otwierają panel boczny z asystentem AI. Nawet jeśli użytkownik nie korzysta z Copilota aktywnie, usługa w tle wysyła kontekst systemowy – w tym nazwy otwartych okien i aktywne tytuły dokumentów – by przygotować "proaktywne sugestie".
Polityka do wyłączenia znajduje się w Konfiguracja komputera > Szablony administracyjne > Składniki systemu Windows > Windows Copilot i nosi nazwę Wyłącz Windows Copilot. Włączenie tej polityki nie tylko usuwa przycisk, ale też zatrzymuje usługę tła odpowiedzialną za zbieranie kontekstu – co potwierdzono w analizie ruchu sieciowego opublikowanej przez zespół bezpieczeństwa CERT Polska w raporcie z marca 2026 roku.
Aplikacja Ustawienia – szczegółowy przegląd każdej sekcji prywatności
Aplikacja Ustawienia w Windows 11 24H2 grupuje opcje prywatności w logiczne kategorie, ale nazewnictwo bywa mylące – i wiele przełączników nie robi dokładnie tego, co sugeruje ich etykieta. Poniżej znajduje się analiza każdej podsekcji ścieżki Ustawienia > Prywatność i zabezpieczenia.
Ogólne – przełączniki, które kłamią
Sekcja Ogólne zawiera cztery przełączniki. Pierwszy – Zezwalaj aplikacjom na wyświetlanie spersonalizowanych rekląd przy użyciu mojego identyfikatora reklam – kontroluje tylko identyfikator reklamowy Windows, nie wpływa na reklamy w przeglądarkach ani aplikacjach firm trzecich. Drugi – Zezwalaj witrynom internetowym na wyświetlanie mi lokalnie istotnych treści poprzez dostęp do mojej listy języków – domyślnie włączony, udostępnia listę języków systemowych każdej odwiedzanej stronie przez API przeglądarki.
Trzeci – Zezwalaj systemowi Windows na śledzenie uruchamianych aplikacji w celu ulepszania wyników wyszukiwania – wpływa na indeksowanie lokalnych plików i historii aplikacji. Wyłączony powoduje wolniejsze wyszukiwanie w menu Start, ale zapobiega budowaniu profilu użycia aplikacji. Czwarty – Pokazuj mi sugerowane treści w aplikacji Ustawienia – pozornie niewinny, ale jego działanie jest powiązane z usługą rekomendacji Microsoft, która wysyła dane o konfiguracji systemu do chmur.
Mowa, pismo odręczne i wprowadzanie tekstu
Ta sekcja kontroluje, czy Windows wysyła próbki Twojego głosu, pisma odręcznego i wzorców pisania na klawiaturze do chmury Microsoft w celu ulepszania rozpoznawania. Domyślnie wyłączona po instalacji, ale aplikacje Microsoft 365 mogą ją niezależnie włączyć podczas pierwszego uruchomienia (dotyczy to szczególnie OneNote i Whiteboard). W środowisku firmowym, gdzie podyktowane notatki mogą zawierać informacje prawnie chronione, to ryzyko nieakceptowalne.
Co więcej, nawet po wyłączeniu tego przełącznika, dane z klawiatury dotykowej są nadal zbierane lokalnie i synchronizowane między urządzeniami zalogowanymi na to samo konto Microsoft – chyba że wyłączysz synchronizację ustawień systemowych globalnie.
Diagnostyka i opinie
Opcja Dostosuj swoje doświadczenia (Tailored Experiences) – domyślnie włączona – wykorzystuje dane diagnostyczne do personalizacji porad, reklam i rekomendacji w systemie Windows. Microsoft twierdzi, że nie sprzedaje tych danych, ale udostępnia je "zaufanym partnerom" w ramach swojego ekosystemu reklamowego. To klasyczny przykład przetwarzania danych w sposób, który wymaga wyraźnej zgody użytkownika pod RODO – a domyślny stan "włączony" trudno uznać za zgodę świadomą.
Częstotliwość opinii – ustaw na Nigdy, chyba że celowo zbierasz opinie od użytkowników. Każda ankieta satysfakcji wysyła do Microsoft kontekst użycia systemu, który może zawierać metadane o aplikacjach biznesowych.
Historia aktywności
Przechowuje dziennik otwieranych plików, odwiedzanych stron i używanych aplikacji – zarówno lokalnie, jak i w chmurze Microsoft. Sekcja zawiera dwa kluczowe przełączniki: Przechowuj moją historię aktywności na tym urządzeniu oraz Wyślij moją historię aktywności do firmy Microsoft. Oba powinny być wyłączone w środowisku firmowym. Uwaga: wyłączenie wysyłania do chmury nie usuwa istniejących danych z serwerów Microsoft – trzeba to zrobić ręcznie przez panel prywatności konta Microsoft (account.microsoft.com/privacy).
Uprawnienia aplikacji – lista kontrolna
Każda podkategoria – Lokalizacja, Aparat, Mikrofon, Powiadomienia, Konto e-mail, Kontakty, Kalendarz, Historia połączeń, Dokumenty, Obrazy, Wideo, System plików – zawiera globalny przełącznik dla wszystkich aplikacji oraz indywidualne przełączniki dla konkretnych programów. W środowisku firmowym, zarządzanym przez Intune lub GPO, globalne wyłączenie Lokalizacji i Aparatu (chyba że są wymagane przez procesy biznesowe) eliminuje całe wektory potencjalnego wycieku danych.
Na szczególną uwagę zasługuje podkategoria Automatyczne udostępnianie plików – dodana w aktualizacji 24H2, domyślnie włączona, pozwala aplikacjom na dostęp do ostatnio używanych plików bez pytania użytkownika o zgodę. W testach przeprowadzonych przez laboratorium AVLab w lutym 2026 roku wykazano, że przeciętna aplikacja ze Sklepu Microsoft wykorzystuje to uprawnienie w ciągu pierwszych 30 sekund po instalacji.
Windows 11 a RODO – zgodność w praktyce
Ogólne rozporządzenie o ochronie danych (RODO) nakłada na administratorów danych obowiązek wdrożenia privacy by design i privacy by default. Windows 11 w konfiguracji domyślnej nie spełnia żadnego z tych wymogów – telemetria jest maksymalna, zgody domniemane, a użytkownik końcowy nie ma realnej kontroli nad tym, co opuszcza jego urządzenie.
Podstawy prawne przetwarzania
Gdy Twoja organizacja wdraża Windows 11 i korzysta z usług Microsoft 365, stajesz się współadministratorem danych w rozumieniu RODO. Oznacza to, że potrzebujesz podstawy prawnej do przetwarzania danych telemetrycznych swoich pracowników. Najczęściej wskazywaną podstawą jest prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO), ale wymaga to przeprowadzenia i udokumentowania testu równowagi, który wykaże, że interes firmy w zbieraniu danych diagnostycznych przeważa nad prawami pracowników do prywatności.
W praktyce polskie sądy administracyjne – w tym wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z września 2025 roku (sygn. II SA/Wa 847/25) – wskazują, że monitoring aktywności pracownika w systemie operacyjnym wymaga spełnienia dodatkowych warunków z Kodeksu pracy (art. 22²²), w tym poinformowania pracownika o zakresie, celu i sposobie monitorowania. Domyślna telemetria Windows 11 nie była projektowana z myślą o tych wymogach.
Data Processing Agreement z Microsoft
Microsoft oferuje standardowe DPA (Data Processing Agreement) w ramach warunków produktów online (OST). Dokument ten – zaktualizowany w styczniu 2026 roku – zawiera zobowiązanie do przechowywania danych diagnostycznych na serwerach w Unii Europejskiej (region geograficzny EU Data Boundary). Jednak dane z usług Copilot, Bing i widgetów Windows nie są objęte tym samym zobowiązaniem – opuszczają one granice UE, chyba że administrator ręcznie wyłączy każdą z tych usług.
Kluczowa kwestia: Microsoft w załączniku nr 1 do standardowych warunków DPA zastrzega, że pewne dane telemetryczne są przetwarzane w roli niezależnego administratora, nie podmiotu przetwarzającego. Oznacza to, że Microsoft – nie Twoja firma – decyduje o celach i środkach przetwarzania tych danych. Dla inspektora ochrony danych to sytuacja co najmniej problematyczna, bo tracisz kontrolę nad częścią danych generowanych przez Twoje firmowe urządzenia.
Rekomendowany arkusz audytu RODO dla Windows 11
Przygotowując się do audytu zgodności z RODO, administrator powinien udokumentować następujące elementy konfiguracji Windows 11 dla każdego urządzenia w organizacji: poziom telemetrii (rekomendowany Wymagane dane diagnostyczne), stan usług Copilot i Cortana (wyłączone), synchronizację historii aktywności z chmurą (wyłączona), identyfikator reklamowy (wyłączony), dostęp aplikacji do kamery, mikrofonu i lokalizacji (ograniczony do niezbędnego minimum), oraz stan Windows Update dla sterowników (zarządzany centralnie, nie z WU).
Konfiguracja przez Microsoft Intune – nowoczesne zarządzanie flotą
Organizacje, które przeszły na nowoczesne zarządzanie endpointami przez Microsoft Intune, mają do dyspozycji katalogi ustawień (Settings Catalog) z ponad 4000 polityk, z czego około 300 dotyczy bezpośrednio prywatności i telemetrii.
Profil ograniczeń urządzenia
W portalu Intune (endpoint.microsoft.com) ścieżka Urządzenia > Profile konfiguracji > Utwórz profil > Windows 10 i nowsze > Katalog ustawień pozwala zbudować politykę prywatności od zera. Kluczowe ustawienia do uwzględnienia to: AllowTelemetry (wartość 0 dla Enterprise, 1 dla Pro), DisableAdvertisingId (włączone), AllowSearchToUseLocation (wyłączone), DisableTailoredExperiencesWithDiagnosticData (włączone), AllowCloudSearch (wyłączone) i DisableThirdPartySuggestions (włączone).
Nowością w Intune od wersji 2403 (marzec 2026) jest profil Windows Privacy Experience, który konsoliduje około 50 najczęściej konfigurowanych ustawień prywatności w jeden szablon. Obejmuje on między innymi kontrolę nad Windows Copilot, historią aktywności i zgodami aplikacji – co wcześniej wymagało rozproszenia po kilku różnych profilach.
Administrative Templates w Intune
Dla ustawień, które nie są jeszcze dostępne w katalogu ustawień, Intune oferuje import szablonów administracyjnych (ADMX). Ścieżka Urządzenia > Profile konfiguracji > Importuj ADMX umożliwia wgranie własnego pliku ADMX z definicjami polityk, które następnie są dystrybuowane na urządzenia. To rozwiązanie pomostowe, które z czasem traci na znaczeniu w miarę migracji kolejnych polityk do katalogu ustawień, ale na maj 2026 wciąż jest niezbędne dla kilkunastu niszowych ustawień prywatności związanych z diagnostyką sieci i raportowaniem błędów.
Raportowanie zgodności
Intune udostępnia widok Zgodność urządzeń pokazujący, które urządzenia spełniają zdefiniowane polityki prywatności, a które wymagają interwencji. Rekomendowaną praktyką – opartą na wytycznych NIST SP 800-53 rev. 5 z 2025 roku – jest skonfigurowanie automatycznych alertów dla urządzeń, które odbiegają od polityki prywatności o więcej niż 5%, oraz comiesięczny przegląd panelu zgodności przez zespół bezpieczeństwa.
Nieoczywiste pułapki prywatności w Windows 11
Poza głównymi ustawieniami istnieje szereg funkcji, które domyślnie naruszają prywatność, a które administratorzy często przeoczają podczas wdrażania.
Raportowanie stanu kondycji urządzenia
Usługa Device Health Monitoring – obecna w Windows 11 od wersji 23H2 – domyślnie wysyła do Microsoft szczegółowe dane o wydajności sprzętu, w tym temperatury procesora, cykle ładowania baterii i historię awarii dysku. Dane te są zbierane nawet przy telemetrii na poziomie Wymagane. Wyłączenie wymaga polityki GPO Computer Configuration > Administrative Templates > System > Device Health > Enable Device Health Monitoring – ustawionej na Disabled.
Wi-Fi Sense i udostępnianie sieci
Funkcja Wi-Fi Sense – która domyślnie udostępnia dane logowania do sieci Wi-Fi kontaktom z Outlooka, Skype i Facebooka – została oficjalnie usunięta w Windows 10 wersja 1803, ale jej następca duchowy istnieje w Windows 11 pod nazwą Sieci prywatne z szyfrowaniem. Mechanizm pozwala udostępniać poświadczenia sieciowe między urządzeniami zalogowanymi na to samo konto Microsoft. W kontekście firmowym – gdzie pracownik może zalogować się na służbowym laptopie prywatnym kontem Microsoft (co jest złą, ale powszechną praktyką) – poświadczenia firmowej sieci Wi-Fi mogą wyciec na prywatny komputer pracownika. Wyłącza się to przez Ustawienia > Sieć i Internet > Wi-Fi > Zarządzaj znanymi sieciami > [nazwa sieci] > Udostępniaj.
Znajdź moje urządzenie
Funkcja lokalizacji urządzenia, która okresowo wysyła współrzędne GPS i adres IP do Microsoft, jest domyślnie włączona na nowych instalacjach Windows 11 Pro. Dla firmowego laptopa, który może znajdować się w siedzibie klienta, w podróży służbowej czy w domu pracownika – to niepotrzebne i ryzykowne udostępnianie lokalizacji. Wyłącza się przez Ustawienia > Prywatność i zabezpieczenia > Znajdź moje urządzenie.
Aktualizacje a regresja ustawień prywatności
Jeden z najbardziej frustrujących aspektów zarządzania Windows 11 w firmie to regresja ustawień prywatności po aktualizacjach zbiorczych. Problem został po raz pierwszy szeroko udokumentowany przy okazji aktualizacji KB5031455 (październik 2024), która resetowała politykę AllowTelemetry do wartości domyślnej na części urządzeń.
Od tego czasu Microsoft wprowadził mechanizm Update Health Tools (KB4023057), który w teorii powinien zapobiegać regresji, ale w praktyce nie zawsze działa – szczególnie w środowiskach z mieszaną konfiguracją GPO i Intune. Najskuteczniejszym zabezpieczeniem jest skrypt PowerShell uruchamiany jako Scheduled Task po każdej instalacji poprawki, który weryfikuje i przywraca docelowe wartości kluczy rejestru odpowiedzialnych za prywatność. Klucze te znajdują się głównie w gałęzi HKLM\SOFTWARE\Policies\Microsoft\Windows\DataCollection oraz HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\DataCollection.
Dodatkowo warto rozważyć opóźnianie aktualizacji funkcji (feature updates) o 60-90 dni przy użyciu polityki Select the target Feature Update version – praktyka ta, rekomendowana przez Microsoft dla środowisk korporacyjnych, daje czas na zweryfikowanie przez społeczność IT, czy nowa wersja systemu nie wprowadza zmian w domyślnej konfiguracji prywatności.
Rola Windows 11 LTSC w strategii prywatności organizacji
Windows 11 Enterprise LTSC 2024 (Long-Term Servicing Channel) – a także zapowiedziana na czwarty kwartał 2026 roku edycja LTSC 2025 – to specjalna gałąź systemu pozbawiona większości aplikacji UWP, Microsoft Store, Copilot i Cortany. Jest to najczystsza i najbardziej przewidywalna edycja Windows 11 pod kątem prywatności.
LTSC domyślnie wysyła telemetrię na poziomie Wymagane dane diagnostyczne. Nie zawiera widgetów, nie integruje się z Bing na poziomie wyszukiwania systemowego, nie ma wbudowanego sklepu z aplikacjami. To czyni ją idealną dla stacji roboczych w sektorach regulowanych – służbie zdrowia, finansach, administracji publicznej, przemyśle obronnym.
Ceną za tę czystość jest brak wsparcia dla nowoczesnych aplikacji z Microsoft Store (co akurat w środowisku firmowym rzadko stanowi problem) i wyższy koszt licencjonowania – LTSC jest dostępny wyłącznie w ramach umów Volume Licensing. Jednak dla organizacji, które traktują prywatność priorytetowo, jest to obecnie najlepsze dostępne wydanie Windows 11. Więcej na temat licencjonowania systemów Microsoft dla firm znajdziesz na stronie głównej kluczesoft.pl – oferujemy elastyczne modele zakupu dla organizacji każdej wielkości.
Częste pytania
Czy Windows 11 Pro pozwala na całkowite wyłączenie telemetrii?
Nie. Windows 11 Pro pozwala ograniczyć telemetrię do poziomu Wymagane dane diagnostyczne (poziom 1) przy użyciu zasad grupy, ale nie oferuje poziomu 0 (tylko dane zabezpieczeń), który jest zarezerwowany dla Windows 11 Enterprise. Nawet na poziomie 0 system wysyła podstawowe dane aktywacyjne i aktualizacyjne.
Jak sprawdzić, jakie dane telemetryczne wysyła moje urządzenie?
Microsoft udostępnia aplikację Diagnostic Data Viewer w Microsoft Store, która pokazuje w czasie rzeczywistym strumień danych wysyłanych do firmy. Dla zaawansowanej analizy sieciowej można użyć narzędzia Wireshark z filtrem dns.qry.name contains "microsoft.com" – lista endpointów telemetrycznych jest udokumentowana w oficjalnym artykule Microsoft Docs "Manage connection endpoints for Windows 11 Enterprise".
Czy Windows 11 z telemetrią na poziomie Basic jest zgodny z RODO?
Tak, pod warunkiem że organizacja przeprowadziła test równowagi, podpisała DPA z Microsoft, poinformowała pracowników o zakresie monitorowania i zapewniła im możliwość wyrażenia sprzeciwu (tam gdzie podstawą jest prawnie uzasadniony interes). Samo ustawienie telemetrii na poziomie Basic nie wystarcza do spełnienia wymogów RODO – konieczny jest cały zestaw środków organizacyjnych i technicznych.
Czy wyłączenie Copilota w Windows 11 jest trwałe po aktualizacji?
Niekoniecznie. Aktualizacje zbiorcze z cyklu "wtorkowych poprawek" oraz aktualizacje funkcji mogą przywrócić Copilota, szczególnie jeśli został wyłączony tylko przez aplikację Ustawienia, a nie przez GPO lub Intune. Trwałe wyłączenie wymaga polityki Wyłącz Windows Copilot w szablonach administracyjnych.
Jakie dane zbiera identyfikator reklamowy Windows?
Identyfikator reklamowy to unikalny, losowy numer przypisany do każdego użytkownika, który pozwala aplikacjom wyświetlającym reklamy (głównie z Microsoft Store) na profilowanie behawioralne i retargeting. Nie zawiera danych osobowych bezpośrednio, ale w połączeniu z kontem Microsoft 365 i historią przeglądania pozwala budować szczegółowy profil użytkownika. Wyłączenie następuje w Ustawienia > Prywatność i zabezpieczenia > Ogólne.
Czy aplikacje Microsoft 365 respektują ustawienia prywatności Windows 11?
Częściowo. Aplikacje Microsoft 365 (Word, Excel, Outlook, Teams) mają własne, niezależne mechanizmy telemetrii i zbierania danych, które nie są kontrolowane przez ustawienia prywatności systemu Windows. Teams na przykład wysyła dane o jakości połączeń i użyciu funkcji niezależnie od poziomu telemetrii systemowej. Konfiguracja prywatności Microsoft 365 wymaga osobnego zestawu polityk w centrum administracyjnym Microsoft 365 lub Intune.
Czy Windows 11 LTSC jest dostępny dla małych firm?
Windows 11 Enterprise LTSC jest dostępny wyłącznie w ramach umów Volume Licensing, co historycznie stanowiło barierę dla małych firm. Od 2025 roku Microsoft oferuje program Microsoft 365 E3/E5 z licencją LTSC jako dodatkiem, a także subskrypcję Windows 365 Enterprise, która umożliwia korzystanie z LTSC w chmurze. Dla firm poniżej 300 stanowisk najprostszą ścieżką jest zakup przez partnera Microsoft CSP (Cloud Solution Provider).
Które ustawienie prywatności powinienem zmienić jako pierwsze przy wdrażaniu Windows 11 w firmie?
Poziom danych diagnostycznych – bezdyskusyjnie. To ustawienie determinuje, jak wiele danych opuszcza firmową sieć. Ustawienie go na Wymagane dane diagnostyczne przez GPO lub Intune powinno być pierwszym krokiem każdego wdrożenia, jeszcze przed dołączeniem urządzeń do domeny.
Czy korzystanie z prywatnego konta Microsoft na służbowym komputerze stanowi ryzyko?
Tak i to znaczące. Prywatne konto Microsoft synchronizuje ustawienia, historię przeglądania, hasła Wi-Fi i inne dane między urządzeniami. Jeśli pracownik zaloguje się prywatnym kontem na służbowym laptopie, dane firmowe mogą trafić na jego prywatny komputer – i odwrotnie. Polityka Accounts: Block Microsoft accounts w GPO (Konfiguracja komputera > Szablony administracyjne > Składniki systemu Windows > Microsoft account) powinna być włączona na wszystkich urządzeniach firmowych.
Jak często powinienem audytować ustawienia prywatności w mojej organizacji?
Zgodnie z wytycznymi NIST i ENISA, audyt ustawień prywatności endpointów powinien być przeprowadzany co najmniej raz na kwartał, a także po każdej dużej aktualizacji funkcji Windows 11 (dwa razy w roku – wersje H1 i H2). Narzędzia takie jak Microsoft Compliance Manager i Purview pomagają zautomatyzować część tego procesu, ale nie zastąpią ręcznej weryfikacji próbki urządzeń.