Jak reagować na zapytania służb o dane osobowe?

Administratorzy danych często zgłaszają się do nas z wątpliwościami, jak reagować na różnego rodzaju zapytania o dane osobowe od służb, np. Policji. Problemami, które przysparzają najwięcej trudności są m.in. podstawy prawne ewentualnego udostępnienia czy zakres danych, o które wnioskuje dana służba. Liczymy, że dzięki naszemu artykułowi uda się rozwiać te i inne wątpliwości.

Jaki jest zakres stosowania przepisów: art.15 §3 KPK, art.217 KPK, art. 218a KPK, art.15 ust.1 pkt 7 oraz art. 20c ustawy o Policji?

Nie wchodząc w kwestie analizy dogmatycznoprawnej, poniżej postaram się w formie usystematyzowanej wskazać różnice między ww. przepisami.

Po kliknięciu w przepis rozwinie się szczegółowy opis

art. 15 par.3 KPK art. 217 KPK art. 15 ust. 1 pkt 7 UoP art. 20c UoP art. 218a KPK

Artykuł 15 par. 3 KPK

Kiedy: Postępowanie karne (postępowanie przygotowawcze, sądowe) i ws. wykroczeń – czynności dochodzeniowo-śledcze Policji.

Kto: Organ prowadzący postępowanie przygotowawcze (prokurator, Policja lub inne organy) i sąd.

Zakres: Udzielanie pomocy w zakresie i w terminie wyznaczonym przez organ prowadzący postępowanie karne w granicach dozwolonych prawem i z poszanowaniem dóbr prawnych, a także jeśli bez pomocy przeprowadzenie czynności procesowej jest niemożliwe albo znacznie utrudnione.

Obowiązek: Tak.

Sankcja: Kara do 3000 zł.

Podstawa aktualizująca obowiązek: Wezwanie.

Odwołanie: Zażalenie na postanowienie o nałożeniu grzywny.

Podstawa udostępnienia z RODO: Art. 6 ust. 1 lit. c RODO

Jaka jest relacja między art.15 ust. 1pkt 7 UoP a art. 20c UoP?

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
ODBIERZ PAKIET
W praktyce art. 20c UoP jest najczęściej powoływany jako podstawa dostępu do danych internetowych z art. 18 UŚUDE. Dotyczyć on może również danych telekomunikacyjnych z art. 180c i art. 180d ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne oraz danych pocztowych z art. 82 ust. 1 pkt 1 ustawy z dnia 23 listopada 2012 r. - Prawo pocztowe.

Policja niejednokrotnie powołuje się na art. 20c UoP przy próbie żądania danych internetowych, dlatego też administratorzy niejednokrotnie mają problem ze zrozumieniem relacji między ww. powołanym przepisami a art. 15 ust. 1 pkt 7 UoP.

W mojej ocenie art. 20c UoP jest osobnym uprawnieniem Policji. Świadczy o tym umiejscowienie w akcie prawnym, wskazanie innych celów i warunków udostępnienia.

Oznacza to, że powyższe żądanie z art. 20c UoP bez stosownego upoważnienia będzie nieprawidłowe, a podmiot do którego zwraca się Policja, nie ma obowiązku udzielenia informacji. W mojej ocenie jednak udostępnienie będzie możliwe na podstawie art. 15 ust.1 lit. 7 UoP, przy czym brak jest obowiązku prawnego i sankcji.

Jaki wpływ na uzyskanie danych internetowych ma etap postępowania?

Etap postępowania ma wpływ na sposób uzyskiwania danych internetowych. Należy pamiętać, że art. 20c UoP ma zastosowanie tylko w celu zapobiegania lub wykrywania przestępstw, przestępstw skarbowych albo w celu ratowania życia lub zdrowia ludzkiego bądź wsparcia działań poszukiwawczych lub ratowniczych, a zatem w toku czynności przedprocesowych (operacyjnych) dane internetowe może uzyskać jedynie Policja (CBA i inne służby na podstawie ustaw regulujących ich działanie). 20c UoP należy czytać łącznie z art. 18 ust. 6 UŚUDE, który stanowi o obowiązku nieodpłatnego udostępniania danych internetowych, w tym eksploatacyjnych, organom państwa uprawnionym na podstawie odrębnych przepisów, na potrzeby prowadzonych przez nie postępowań. Tylko w tym wypadku administrator będzie zatem objęty obowiązkiem udostępnienia danych internetowych.

W mojej ocenie, po wszczęciu postępowania przygotowawczego zasadą powinno być pozyskiwanie danych internetowych na podstawie 217 KPK. w zw. z art. 236a KPK bądź 218a KPK, jakkolwiek mogą się zdarzyć sytuacje, w których w ocenie organu prowadzącego postępowanie będzie możliwe powołanie się na art. 15 § 3 KPK bądź art. 20c UoP (jeśli organem tym jest Policja).

Jeśli chodzi o dane nieinternetowe, to w przypadku działań operacyjno-rozpoznawczych na etapie przedprocesowym zastosowanie ma jedynie UoP. Po wszczęciu postępowania w zakresie działań dochodzeniowo-śledczych podstawy z UoP i KPK mogą mieć zastosowanie, przy czym ich łączenie przez Policję jest błędne.

Jak powinna wyglądać podstawa prawna do uzyskania danych internetowych?

Przepisy kompetencyjne i wykonawcze nie określają treści wystąpienia, jakkolwiek wydaje się, że powinno ono zawierać wskazanie zakresu danych, podstawę prawną (tj. co najmniej art. 20c UoP), a także cel (zapobieganie lub wykrywanie przestępstw, przestępstw skarbowych albo ratowanie życia lub zdrowia ludzkiego bądź wsparcie działań poszukiwawczych lub ratowniczych) i dane występującego.

Wystąpienie może mieć formę pisemną bądź ustną.  Z reguły administratorów nie będzie dotyczyło udostępnienie przez sieć telekomunikacyjną.

W przypadku żądań z art. 15 ust. 1 pkt 7 UoP szczegóły treści żądań reguluje rozporządzenie z dnia 4 lutego 2020 r. Rady Ministrów w sprawie postępowania przy wykonywaniu niektórych uprawnień policjantów (Dz.U. z 2020 r. poz. 192). Zgodnie ze wskazanym aktem, żądanie udzielenia niezbędnej pomocy zawiera powołanie podstawy prawnej żądania, określenie rodzaju i zakresu niezbędnej pomocy oraz wskazanie policjanta korzystającego z pomocy. Oznacza to, że żądanie to powinno wskazywać wprost na art. 15 ust. 1 pkt 7.

Funkcja IOD - to się dobrze przekazuje

Czy można oprzeć żądanie na jednej podstawie prawnej w przypadku danych nieinternetowych jak internetowych?

Wszystko zależy od kontekstu żądania i etapu postępowania. W przypadku czynności operacyjnych, gdy dane dotyczą świadczenia usługi drogą elektroniczną i są wskazane w art. 18 UŚUDE, odpowiednią podstawą powinien być art. 20c UoP. W innych wypadkach – art. 15 ust. 1 pkt 7 UoP.

W toku postępowania karnego zasadą powinny być odpowiednie przepisy rozdziału 25 KPK, jednak w praktyce w zakresie czynności dochodzeniowo-śledczych może się zdarzyć powołanie na ustawę kompetencyjną danej służby.

Monitoring wizyjny nie będzie wchodził w zakres danych internetowych, zatem podstawą udostępnienia będą, w zależności od etapu postępowania i podmiotu wnioskującego, art. 15 ust. 1 pkt 7 UoP, art. 15§3 KPK lub art. 217 KPK.

Podsumowanie

Analizowane zagadnienie z punktu widzenia administratora danych osobowych i inspektora ochrony danych jest trudne i złożone. Wynika to z różnych podstaw, na jakie mogą powoływać się organy ścigania żądając udostępnienia danych, które mają różne i nieprecyzyjne zakresy żądanych informacji, dlatego też tabela przedstawiona na wstępie niniejszej opinii pokazuje najważniejsze różnice pomiędzy tymi podstawami i pozwala je usystematyzować.

Tabela wskazuje również, że z punktu widzenia RODO obowiązek pomocy nie rodzi większych problemów interpretacyjnych. W przypadku żądań opartych na przepisach, które konstytuują bezpośredni obowiązek przekazania informacji, podstawą przetwarzania zawsze będzie art. 6 ust. 1 lit. c RODO, jedynie w przypadku art. 15 ust. 1 pkt 7 UoP to art. 6 ust. 1 lit. f RODO wydaje się adekwatny (przy założeniu że przepis UoP nie nakłada obowiązku udostępnienia danych). Przypomnieć należy, że udostępnienie danych to również ich przetwarzanie i musi mieć ważną podstawę prawną.

Diagnoza zgodności RODO.
Zrób to sam

Wykorzystaj elastyczne narzędzie do inwentaryzacji, audytu, przeprowadzenia DPIA oraz analizy ryzyka.
POZNAJ DR RODO
Powyższe nie zmienia faktu, że inne zasady przetwarzania danych również mają zastosowanie, np. minimalizacja danych, rozliczalność, a także integralność i poufność. Pierwsza z zasad wskazuje, że nie powinniśmy udostępniać więcej danych niż wynika z wezwania, kolejna – że cały proces powinien być udokumentowany (zawsze żądamy wniosku pisemnego, dokumentujemy decyzje dot. udostępnienia, rejestrujemy udostępnienia, np. w rejestrze), a ostatnia z wymienionych zasad wskazuje, że udostępnienie powinno uwzględniać podstawowe zasady bezpiecznego przesyłania informacji przez Internet. Jeśli to możliwe, zalecam wypracowanie z policjantem proszącym o informacje bezpiecznej formy przesłania danych. Takim środkiem jest szyfrowanie i hasłowanie plików z przesłaniem hasła osobnym kanałem komunikacji. Takie rozwiązanie oferuje nam darmowy 7zip (szyfrowanie metodami kryptograficznym z możliwością nadania hasła) oraz wymyślone, silne hasło (powyżej 12 znaków, małe i wielkie litery, cyfry, znaki specjalne; można też posłużyć się generatorem haseł).  

W kwestii minimalizacji danych warto dodać, że uprawnienia Policji nie są bezwzględne i nie może ona żądać informacji nadmiarowych. Należy pamiętać, że żądanie nie może naruszać obowiązującego prawa, musi być związane z zadaniami Policji lub danym postępowaniem. Należy również pamiętać o konstytucyjnej zasadzie proporcjonalności i zasadach związanych z obowiązkiem ponoszenia ciężarów i świadczeń publicznych określonych ustawą (żądanie nie może przekształcić się w zaspokajanie potrzeb organu prowadzącego postępowanie kosztem obowiązanego). Co więcej, usługodawca usług świadczonych droga elektroniczną nie ma obowiązku przetwarzania wszystkich danych wskazanych w katalogu z art. 18 UŚUDE, dlatego też oczywiste jest, że w niektórych przypadkach odmowa udzielenia informacji będzie wynikała z nieposiadania danych osobowych żądanych przez organ.

Administrator, otrzymując dane żądanie, powinien w pierwszej kolejności dokonać oceny, jaki organ się z nim kontaktuje, w razie wątpliwości co do tożsamości czy umocowania pracownik procesujący pismo powinien zgłosić problem do IOD, ewentualnie uzyskać potwierdzenie tożsamości. Zdarzają się przypadki wyłudzania danych przez osoby podające się za różne służby; często na pierwszy rzut oka widać, że nie jest to uprawniony organ (np. dziwny adres e-mail, błędy w tekście, widoczne tłumaczenie maszynowe tekstu), ale zdarzają się również profesjonalnie sfałszowane pisma.  

Następnie konieczna jest ocena podstawy żądania oraz jego zakresu. W przypadku niewskazania podstawy, należy się zwrócić o jej wskazanie. W przypadku, jeśli jest to art. 15 ust. 1 pkt 7 UoP, a zakres jest obszerny i nieproporcjonalny, można ograniczyć się do części danych bądź odmówić udzielenia odpowiedzi. Istnieje również możliwość zażalenia na czynności do właściwego prokuratora.

W razie żądania udostępnienia danych internetowych związanych bezpośrednio z usługą świadczoną drogą elektroniczną należy powołać się na art. 20c UoP w zw. z art. 18 ust. 6 UŚUDE. Oczywiście, udostępnienie danych internetowych na podstawie innych przepisów wciąż jest możliwe, niekoniecznie jednak będzie obowiązkowe.

Warto pamiętać, że po rozpoczęciu postępowania karnego docelowo powinny być stosowane przepisy KPK, przy czym art. 15 § 3 nie powinien w mojej ocenie dotyczyć danych informatycznych.

W przypadku żądań wydanych na podstawie KPK i art. 20c UoP trzeba pamiętać, że co do zasady otrzymanie wezwania konstytuuje obowiązek udzielenia informacji bądź wydania środka dowodowego. Na podstawie KPK przysługuje jednak ścieżka odwoławcza, przy czym należy mieć na uwadze ograniczone możliwości kwestionowania żądania z art. 15 § 3 KPK. Żądanie z art. 20c UoP nie jest zaskarżalne w ogóle – ustawodawca przewidział tutaj kontrolę wewnętrzną (w ramach wewnętrznych procedur Policji, prowadzenie rejestrów wystąpień, upoważnienia) i zewnętrzną kontrolę sądową (raportowanie do właściwego sądu okręgowego).

W praktyce każde żądanie należy oceniać indywidualnie. Każdorazowo powinno się konsultować zapytanie z inspektorem ochrony danych lub inną osobą odpowiedzialną za obszar ochrony danych osobowych.  

quiz

Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!

Co stanowi podstawę prawną z RODO udostępnienia danych osobowych na podstawie Kodeksu postępowania karnego?

Czytaj także:

Najczęstsze błędy przy zawieraniu umów powierzenia
Pamiętaj: sprawdź link, zanim klikniesz!
Never gonna give you up!
Check the link before you click
Never gonna give you up!

Czy ankieta bezpieczeństwa dla podmiotu przetwarzającego powinna być indywidualnie dostosowana do każdej umowy powierzenia/ konkretnego rodzaju usług?

Nie ma konieczności, aby ankieta była dopasowywana każdorazowo do konkretnej umowy/konkretnego rodzaju usług świadczonych przez potencjalnego procesora. Z jednej strony byłoby to czasochłonne, a z drugiej nie jestem przekonana, czy byłoby efektywne: o ile możemy mniej więcej ocenić, które z wymagań co do zasady powinny być realizowane przez dany podmiot i o które warto zapytać w ankiecie, to trudno dopasować pytanie idealnie pod danego kontrahenta.

Wydaje się, że najlepszym rozwiązaniem byłoby stworzenie paru wersji ankiety dla procesora, np. szczegółowej (przesyłanej podmiotom dostarczającym rozwiązania IT czy firmom kadrowo-płacowym) i uproszczonej (dla podmiotów, którym będziemy powierzać dane w ograniczonym zakresie).

Wynik takiej ankiety mógłby być weryfikowany przez IOD, który na jej podstawie podejmowałby decyzję o tym, czy dany podmiot daje odpowiednie gwarancje związane z zapewnieniem bezpieczeństwa danym osobowym.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy zasadne jest zawarcie umowy powierzenia z podmiotem świadczącym usługi migracji danych?

Umowę powierzenia danych osobowych należy zawrzeć wówczas, gdy administrator zleca innemu zewnętrznemu podmiotowi przetwarzanie danych osobowych  w jego imieniu. Opisana sytuacja zlecenia przez administratora danych zewnętrznemu podmiotowi usługi migracji danych z jednego serwera na drugi będzie się wiązała z powierzeniem danych osobowych do przetwarzania. Przetwarzanie danych osobowych zgodnie z treścią art. 4 pkt. 1 RODO to nie tylko ich gromadzenie,  ale również inne operacje wykonywane na danych, takie jak ich przeglądanie, przesyłanie czy przenoszenie.

Taka czynność będzie się zatem mieściła się w pojęciu przetwarzania danych osobowych. Podsumowując, w sytuacji zlecenia innemu zewnętrznemu podmiotowi usługi migracji danych powinna być zawarta umowa powierzenia przetwarzania danych osobowych.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy kancelaria prawna prowadzona przez adwokata lub radcę prawnego powinna podpisywać umowę powierzenia danych osobowych z klientami?

Kancelaria prawna nie powinna ze swoim klientem zawierać umowy powierzenia danych osobowych w ramach realizacji usługi świadczenia pomocy prawnej związanej z prowadzeniem sprawy sądowej. Radca prawny lub adwokat wykonujący zawód w ustawowo określonych formach nie jest podmiotem przetwarzającym w zakresie przetwarzania danych związanych ze świadczeniem pomocy prawnej. Argumentem przemawiającym za takim stanowiskiem jest to, że istotą podmiotu przetwarzającego jest podporządkowanie się decyzjom administratora w zakresie przetwarzania danych osobowych.

Dodatkowo świadczenie usług prawnych w sposób zgodny z prawem oraz zasadami etyki, z równoczesnym zachowaniem tajemnicy zawodowej, wymaga samodzielnego podejmowania decyzji przez profesjonalnego pełnomocnika. Ponadto należy wskazać, że wykonywanie poleceń klienta (występującego jako ADO) przez prawnika stworzyłoby ryzyko nie tylko komplikacji przy wykonywaniu czynności zawodowych, lecz także (a może przede wszystkim) naruszenia zasad etyki.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy procesor powinien ujawniać podmiotowi, z którym łączy go umowa powierzenia, treść polityki ochrony danych osobowych obowiązującej w jego organizacji?

Zapis dotyczący tego, że podmiot przetwarzający zobowiązuje się do udostępnienia dokumentacji z zakresu ochrony danych osobowych, w tym polityki ochrony danych osobowych, jest niewłaściwy. Podmiot, jakim jest administrator danych osobowych (ADO), powinien oczywiście być uprawniony do kontroli procesora, niemniej jednak kontrola ta nie powinna polegać na udostępnieniu całej dokumentacji, w tym polityki ochrony danych osobowych, która reguluje pozycję procesora jako ADO – niezależnie od pozycji procesora w ramach relacji powierzenia.

Można zapisać, że ADO będzie miał wgląd do wyciągu z polityki ochrony danych w części dotyczącej powierzenia oraz do wyciągu z rejestru kategorii czynności przetwarzania jego dotyczących czy możliwość weryfikacji nadanych upoważnień lub odebranych oświadczeń o zachowaniu poufności, podpisanych przez pracowników, który przetwarzają takie dane w ramach zawartej umowy. W pozostałym zakresie wszelkie inne informacje stanowią wewnętrzną dokumentację podmiotu, która nie powinna być ujawniana.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy pomiędzy uczelnią/szkołą a zakładem pracy powinna zostać zawarta umowa powierzenia danych osobowych?

Umowę powierzenia danych administrator jest zobowiązany zawrzeć wówczas, gdy powierza do przetwarzania dane osobowe innemu zewnętrznemu podmiotowi w jego imieniu i na jego rzecz. Udostępnienie danych osobowych oznacza zaś sytuację, w której administrator danych osobowych ujawnia/udostępnia dane osobowe innemu zewnętrznemu podmiotowi do realizacji jego własnych celów przetwarzania i własnymi sposobami. W przypadku zawarcia umowy o praktyki studenckie pomiędzy uczelnią (administratorem danych osobowych studentów) a zakładem pracy będzie dochodziło do udostępnienia danych osobowych, nie zaś do ich powierzenia.

Za przyjęciem takiego stanowiska przemawia fakt, że zakład pracy z chwilą otrzymania od uczelni danych osobowych studenta będzie je przetwarzał we własnych celach przetwarzania tj. ewidencja wejść i wyjść, ewidencja czasu praktyki czy nadanie studentowi upoważnienia do przetwarzania danych osobowych). Ponadto również zakład pracy będzie decydował o sposobach przetwarzania otrzymanych danych osobowych. .

Powyższe przemawia za tym, aby uznać zakład pracy za niezależnego administratora danych osobowych, a nie podmiot przetwarzający dane osobowe.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy w umowie powierzenia procesor może wpisać postanowienie o stawce za godzinę pracy jego IOD przy obsłudze audytu administratora?

W mojej ocenie będzie to zależało od charakteru współpracy administratora i procesora. Trudno oczekiwać pełnej i nieograniczonej obsługi indywidualnej administratora w każdym aspekcie, bez dodatkowych kosztów, jeśli zakres współpracy jest bardzo ograniczony i sprowadza się do paru godzin obsługi w miesiącu za np. łączną kwotę 600 zł.

Dlatego są głosy, że można uznać za dopuszczalne ustalenie, że koszty procesora ponoszone w związku z inspekcją/audytem powinny być zwrócone przez prowadzącego audyt administratora przy czym powinny to być faktyczne koszty i to w rozsądnej wysokości. Uzasadnione wydaje się pokrycie kosztów pracy pracowników procesora, którzy będą zaangażowani w czynności audytowe (np. koszty pracy pracownika procesora towarzyszącego prowadzącemu inspekcję w pomieszczeniach procesora).

Znajdą się też głosy przeciwne, że takie działania ograniczają przysługujące administratorowi prawo do audytu. Rekomendowanym byłoby tu znalezienie złotego środka, czyli przykładowo ustalenie opłat za zaangażowanie IOD w audyt inny niż wstępny/coroczny/związany z konkretnym naruszeniem, tj. że dodatkowe opłaty byłyby związane z tymi „nadprogramowymi” audytami.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Audyt wewnętrzny i zewnętrzny: kiedy zasadne jest nadanie upoważnienia audytorom, a kiedy zawarcie umowy powierzenia?

W przypadku audytu wewnętrznego osoby przeprowadzające audyt powinny posiadać upoważnienie do przetwarzania danych osobowych na potrzeby czynności związanych z audytem. W przypadku audytu zewnętrznego konieczność zawarcia umowy powierzania będzie zależna od tego, czy audyt jest przeprowadzany na zlecenie podmiotu administratora – wówczas umowa powierzenia powinna być zawarta. Jeśli audyt zewnętrzny jest przeprowadzany przez podmiot działający w oparciu o konkretne przepisy prawa, wówczas podmiot ten działa w oparciu o przepisy rangi ustawowej, nadające mu prawo do przeprowadzenia audytu/kontroli.

Zapytaj o ofertę

 

Katarzyna Szczypińska
Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".