DLP (Data Loss Prevention, ochrona przed wyciekiem danych) to kategoria technologii bezpieczeństwa, która zapobiega opuszczeniu firmy przez wrażliwe dane — dane osobowe, dokumenty finansowe, własność intelektualną, kod źródłowy, dane klientów — przez nieautoryzowane kanały. Rozwiązania DLP monitorują dane w trzech stanach: w spoczynku (storage), w tranzycie (sieć), w użyciu (endpointy). Gdy wrażliwe dane są wykryte przy kopiowaniu, wysyłaniu mailem, uploadowaniu lub drukowaniu z naruszeniem polityki, DLP może blokować, alertować lub kwarantannować akcję. DLP jest wymagane lub silnie rekomendowane przez RODO (Art. 32), HIPAA, PCI-DSS, ISO 27001, NIS2 i DORA — i jest jedną z niewielu kontroli bezpośrednio demonstrujących 'odpowiednie środki techniczne' regulatorom po naruszeniu.

Trzy tradycyjne kategorie plus nowoczesna czwarta: (1) **Network DLP** — monitoruje i blokuje dane wychodzące przez email, web, IM na egress sieci; wdrażane inline (Forcepoint, Symantec, Proofpoint), (2) **Endpoint DLP** — agent na każdym urządzeniu monitoruje copy/paste, USB, drukowanie, screen capture, uploady plików (Microsoft Purview, Trellix, CrowdStrike Falcon Data Protection), (3) **Cloud DLP** — chroni dane w aplikacjach SaaS (M365, Salesforce, Google Workspace) przez integrację API; często część platform CASB, (4) **Nowoczesne zintegrowane DLP** — Microsoft Purview (pokrywa M365, endpointy, chmurę, on-prem na jednej platformie), Google Cloud DLP API, Cisco Cloudlock. Nowoczesne firmy wdrażają wszystkie trzy warstwy jednocześnie; legacy network-only DLP jest niewystarczające dla cloud-first pracowników.

Pięciu liderów rynku: (1) **Microsoft Purview Data Loss Prevention** — wbudowany w M365 E5/G5, pokrywa email, Teams, SharePoint, OneDrive, endpointy; szybko nadrabia dystans do specjalistów, (2) **Forcepoint DLP** — długoletni lider enterprise, kompleksowy silnik polityk, silny w sektorach regulowanych, (3) **Symantec DLP (Broadcom)** — szerokie wdrożenia w Fortune 500, rozległe rozpoznawanie treści, (4) **Proofpoint Information Protection** — silny email DLP, zintegrowany z platformą email security, (5) **Trellix DLP** (dawniej McAfee) — pokrycie endpoint i network. Nowocześni gracze: Nightfall AI, Polymer, Cyberhaven (data lineage), Code42 Incydr (fokus insider threat). Cloud-native: Google Cloud DLP API, Microsoft Purview, Cisco Cloudlock.

DLP bezpośrednio wspiera Art. 32 RODO ('odpowiednie środki techniczne i organizacyjne') na kilka sposobów: (1) **Discovery i klasyfikacja danych** — DLP odkrywa dane osobowe w całej organizacji (często zaskakuje co i gdzie istnieje), (2) **Kontrole dostępu** — alertuje lub blokuje nieautoryzowany dostęp do wrażliwych danych, (3) **Monitoring outbound** — zapobiega wysłaniu danych osobowych mailem, uploadowi lub kopiowaniu do nieautoryzowanych miejsc, (4) **Wymuszanie szyfrowania** — automatycznie szyfruje emaile zawierające wrażliwe dane, (5) **Ślad audytowy** — kompleksowe logowanie wspiera raportowanie incydentów i demonstruje accountability, (6) **Redukcja naruszeń** — wykryte próby eksfiltracji często unikają obowiązku powiadomienia z Art. 33/34 (i powiązanej szkody reputacyjnej). Kary RODO za nieadekwatną ochronę danych osobowych sięgają 20 mln EUR / 4% obrotu; inwestycja w DLP to typowo ułamek ekspozycji na pojedynczy incydent.

Ceny różnią się znacząco wg modelu wdrożenia: (1) **Microsoft Purview DLP** — wliczony w M365 E5/G5 (~250 PLN/użytkownika/mies) dla firm na M365, (2) **Forcepoint DLP** — 170-450 PLN/użytkownika/rok zależnie od modułów, (3) **Symantec DLP** — typowo 250-650 PLN/użytkownika/rok dla pełnego pakietu, (4) **Proofpoint Information Protection** — 130-300 PLN/użytkownika/rok, (5) **Standalone SaaS-focused** (Nightfall, Polymer) — 20-110 PLN/użytkownika/mies per integracja. Koszty wdrożenia często przekraczają licencje pierwszego roku — DLP wymaga znacznego tuningu żeby zbalansować bezpieczeństwo z produktywnością (false positives to #1 powód porażek projektów DLP). Oczekuj 200k-2M PLN dla rolloutu enterprise. Microsoft Purview ma najniższe TCO dla firm już na M365 E5.

Sześć high-value przypadków: (1) **Zgodność RODO/HIPAA/PCI** — blokuj nieszyfrowane emaile zawierające dane osobowe/medyczne/płatności, (2) **Ochrona kodu źródłowego** — alertuj gdy developerzy kopiują własnościowy kod na prywatny email lub cloud storage, (3) **Poufność M&A** — chroń dokumenty deal-related w wrażliwych okresach, (4) **Insider risk** — wykrywaj pracowników w trakcie odchodzenia eksfiltrujących listy klientów lub IP, (5) **Kontrola cloud sprawl** — monitoruj nieaprobowane uploady SaaS (Shadow IT), (6) **Limity exportu danych klientów** — zapobiegaj masowemu eksportowi rekordów klientów przez pojedynczych pracowników. Nowoczesny DLP integruje się z platformami insider risk (Code42, DTEX, Microsoft Insider Risk Management) dla detekcji opartej na zachowaniu.

Pięć typowych trybów porażki: (1) **Nadmiar false positives** — zbyt rygorystyczne polityki blokują legalną pracę, użytkownicy znajdują obejścia, (2) **Niekompletna klasyfikacja danych** — bez wiedzy co jest wrażliwe, DLP nie może działać efektywnie, (3) **Brak buy-in biznesu** — DLP postrzegane jako kontrola IT, właściciele biznesowi nie przeglądają ani nie udoskonalają polityk, (4) **Tool sprawl** — wiele produktów DLP bez orkiestracji, (5) **Niewystarczająca zdolność reakcji** — alerty wystrzeliwują ale nikt nie bada ani nie remediates. Udane programy: (1) zacznij od trybu 'monitor only' przez 60-90 dni żeby poznać przepływy danych, (2) priorytetyzuj top 3-5 kategorii danych najpierw (PII, płatności, IP), (3) iteracyjnie dostrajaj na podstawie przeglądu alertów, (4) angażuj zespoły compliance i legal w projektowanie polityk, (5) integruj z SOC dla reakcji.