Microsoft Recall – co firma musi wiedzieć o prywatności

Czym jest Microsoft Recall i jak działa?

Microsoft Recall to funkcja dostępna wyłącznie na komputerach z certyfikatem Copilot+ – wymagany jest dedykowany procesor neuronowy (NPU) o mocy co najmniej 40 TOPS. Co kilka sekund system robi zrzut ekranu, a lokalne modele sztucznej inteligencji analizują jego zawartość: rozpoznają tekst, dokumenty, obrazy i strony internetowe. Wszystko trafia do zaszyfrowanej bazy danych SQLite przechowywanej lokalnie na urządzeniu.

Efektem jest funkcja wyszukiwania godna filmów science-fiction: wpisujesz faktura od dostawcy z marca albo oferta dla nowego klienta – i Recall pokazuje dokładnie, kiedy to widziałeś i jak wyglądał ekran. Microsoft podkreśla, że dane przetwarzane są wyłącznie na urządzeniu i nie trafiają do chmury.

Recall jest domyślnie włączony na Copilot+ PC i aktywuje się dla każdego zalogowanego użytkownika, chyba że administrator lub sam pracownik go wyłączy. Na rynku polskim pierwsze komputery spełniające wymagania sprzętowe tej funkcji pojawiły się masowo w 2025 roku.

Co Recall widzi – i dlaczego to problem dla firm

Recall nie robi wyjątków. Wszystko, co pojawi się na ekranie pracownika, trafia do bazy danych:

• Dokumenty finansowe – faktury, przelewy, salda rachunków widoczne w bankowości online
• Dane klientów i kontrahentów – adresy, numery telefonów, treści umów otwartych w PDF
• Hasła – jeśli pracownik chwilowo wyświetlił hasło w polu tekstowym przed jego ukryciem przez aplikację
• Korespondencja poufna – e-maile, wiadomości w Microsoft Teams, czaty z klientami
• Dane medyczne lub prawne – jeśli firma przetwarza wrażliwą dokumentację

Przeglądarki w trybie prywatnym (InPrivate) są domyślnie wyłączone z rejestracji, podobnie jak aplikacje, które oznaczą swoje okna jako chronione. Jednak zdecydowana większość oprogramowania biznesowego – systemy ERP, CRM, oprogramowanie kadrowo-płacowe – nie stosuje takich zabezpieczeń. Dla tych aplikacji nie ma żadnego automatycznego mechanizmu ochrony.

Pracownik przetwarzający dane klientów przy komputerze z włączonym Recall nieświadomie buduje lokalną bazę wrażliwych informacji – bez kontroli IT i bez świadomości osób, których dane przetwarza.

Zagrożenia bezpieczeństwa – dlaczego Recall to cel dla hakerów

Krótko po zapowiedzi Recall w maju 2024 roku badacze bezpieczeństwa wykazali krytyczne luki. Oryginalny projekt przechowywał bazę danych bez szyfrowania – każde złośliwe oprogramowanie z dostępem do systemu plików mogło skopiować pełną historię aktywności użytkownika. Microsoft wstrzymał premierę i wprowadził szyfrowanie powiązane z Windows Hello (biometria lub PIN). Mimo poprawek ryzyko pozostaje realne i dotyczy kilku scenariuszy:

• Infostealery podczas aktywnej sesji – złośliwe oprogramowanie działające z uprawnieniami użytkownika może odczytywać dane Recall wtedy, gdy baza jest odszyfrowana, czyli gdy pracownik jest zalogowany i pracuje
• Zagrożenie wewnętrzne – osoba z fizycznym dostępem do odblokowanego komputera współpracownika ma wgląd w pełną historię jego aktywności ekranowej
• Wyciek podczas udostępniania ekranu – sesja w Teams lub Zoom może nieświadomie ujawnić wyniki wyszukiwania Recall zawierające poufne dane firmy lub klientów
• Skoncentrowany cel ataku – Recall tworzy centralny magazyn wszystkich danych, jakie pracownik kiedykolwiek widział na ekranie; dla cyberprzestępcy to wyjątkowo atrakcyjny łup zamiast żmudnego szukania danych w wielu systemach

Eksperci bezpieczeństwa opisują bazę Recall jako cyfrowy stenogram całego życia zawodowego pracownika – i to właśnie czyni ją tak niebezpieczną w przypadku naruszenia bezpieczeństwa urządzenia.

Microsoft Recall a RODO – pułapki prawne dla pracodawcy

Recall rodzi poważne pytania w kontekście RODO i polskiego prawa pracy. Zanim dopuścisz tę funkcję w firmie, sprawdź cztery kluczowe obszary:

• Monitoring pracowników – art. 222–223 Kodeksu pracy wymaga poinformowania pracowników o monitoringu, wskazania jego celu i ograniczeń. Recall rejestrujący całą aktywność ekranu może wykraczać poza dopuszczalne granice monitoringu poczty i aktywności sieciowej przewidziane w Kodeksie pracy.
• Dane osobowe osób trzecich – jeśli na ekranie pracownika pojawią się dane klientów, pacjentów lub partnerów biznesowych, Recall je zarejestruje. Pracodawca jako administrator danych odpowiada za zgodność tej rejestracji z RODO, nawet jeśli o niej nie wiedział.
• Retencja danych – Recall domyślnie przechowuje dane do 90 dni lub do wyczerpania limitu miejsca na dysku. Pracodawca musi uwzględnić te dane w polityce retencji i w rejestrze czynności przetwarzania wymaganym przez art. 30 RODO.
• Prawo dostępu i usunięcia – pracownik może zażądać dostępu do swoich danych oraz ich usunięcia (prawo do bycia zapomnianym). Firma musi mieć procedurę obsługi takich żądań, uwzględniającą dane zebrane przez Recall.

Praktyczna rekomendacja: przed wdrożeniem Recall zaktualizuj klauzule informacyjne dla pracowników, dostosuj rejestr czynności przetwarzania i przeprowadź ocenę skutków dla ochrony danych (DPIA) – szczególnie jeśli firma przetwarza dane wrażliwe lub dane klientów indywidualnych.

Jak wyłączyć Recall w firmie – Intune i GPO krok po kroku

Administrator IT może zablokować Recall centralnie, zanim trafi on na urządzenia pracowników. Dostępne są cztery metody:

1. Microsoft Intune – w centrum administracyjnym Endpoint Manager utwórz profil konfiguracji: Devices > Configuration Profiles > Create > Windows 10 and later > Settings Catalog. Wyszukaj ustawienie Allow Recall w kategorii Windows AI i ustaw wartość na wyłączoną. Przypisz profil do grupy urządzeń Copilot+.
2. Group Policy (GPO) – po zainstalowaniu aktualnych szablonów ADMX dla Windows 11: Computer Configuration > Administrative Templates > Windows Components > Windows AI > Allow Recall. Ustaw politykę na wartość wyłączoną.
3. Rejestr Windows (bez MDM) – w kluczu HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsAI utwórz wartość DWORD AllowRecall z wartością 0. Metoda dla małych środowisk bez centralnego zarządzania urządzeniami.
4. Ustawienia użytkownika – jeśli nie blokujesz Recall centralnie, każdy pracownik może go wyłączyć w: Ustawienia > Prywatność i bezpieczeństwo > Recall i migawki > Zapisuj migawki (przełącznik wyłącz).

Jeśli zdecydujesz się pozostawić Recall aktywny, skonfiguruj wykluczenia aplikacji – możesz wskazać oprogramowanie, którego aktywności Recall nie będzie rejestrował. To absolutne minimum bezpieczeństwa dla systemów finansowych, kadrowych i CRM.

Rekomendacja dla MŚP – wyłączyć czy zostawić?

Dla zdecydowanej większości firm MŚP odpowiedź jest jednoznaczna: wyłącz Recall na urządzeniach służbowych. Oto uzasadnienie:

• Zysk produktywności jest marginalny w porównaniu z ryzykiem bezpieczeństwa i nakładem administracyjnym wymaganym przez RODO
• Baza danych Recall to premium cel dla infostealer'ów – kategorii złośliwego oprogramowania, która w 2025–2026 roku stała się dominującą formą cyberprzestępczości wymierzonej w firmy
• Pracownicy przetwarzający dane klientów mogą nieświadomie narażać firmę na odpowiedzialność RODO, nawet nie wiedząc o istnieniu Recall na ich komputerze

Jeśli mimo to chcesz przetestować tę funkcję, zacznij od pilota z zachowaniem procedur:

1. Zaktualizuj dokumentację RODO i klauzule informacyjne dla pracowników
2. Przeprowadź ocenę skutków dla ochrony danych (DPIA)
3. Pilotaż ogranicz do jednego urządzenia z pracownikiem, który nie przetwarza danych wrażliwych
4. Zdefiniuj listę wykluczonych aplikacji – co najmniej poczta, CRM i oprogramowanie finansowe
5. Włącz EDR na urządzeniu pilotażowym i monitoruj dostęp do plików systemowych Recall

Pamiętaj: Recall to opcja, nie konieczność. Wyłączenie jej nie ogranicza żadnych innych możliwości komputerów Copilot+. Politykę blokady najlepiej wdrożyć przez Intune lub GPO jeszcze przed zakupem i wdrożeniem nowych urządzeń – nie po fakcie, gdy funkcja jest już aktywna na biurkach pracowników.