1. Trosolwg
Mae’r canllawiau hyn yn darparu cyflwyniad i’r Rheoliad Diogelu Data Cyffredinol.
Ar 25 Mai 2018, bydd y DU yn gweld y newid mwyaf erioed yn ei chyfreithiau Diogelu Data, drwy weithredu Rheoliad Diogelu Data Cyffredinol yr UE, a fydd yn disodli’r ddeddf bresennol, sef Deddf Diogelu Data 1998.
2. Sut gyfreithiau yw’r cyfreithiau Diogelu Data presennol
Mae holl aelod-wladwriaethau’r UE wedi defnyddio dulliau gwahanol er mwyn gweithredu deddfwriaeth Diogelu Data, gan greu anawsterau cydymffurfio i lawer o fusnesau sy’n gweithredu ar draws yr UE.
Bydd Rheoliad Diogelu Data Cyffredinol yn cysoni pob un o gyfreithiau Diogelu Data yr UE.
3. Beth yw Data?
Mae data yn cael ei gategoreiddio fel un ai Data Personol neu Ddata Personol Sensitif:
- Data Personol – mae hwn yn golygu gwybodaeth sy’n ymwneud ag unigolyn y gellir ei adnabod. Er enghraifft: manylion cyswllt personol; manylion ynglŷn â chyfrifon banc; a delweddau o deledu cylch cyfyng
- Data Personol Sensitif – sy’n cynnwys data genetig a biometreg yn ogystal â data ynglŷn â tharddiad hil neu ethnig, barn wleidyddol, credoau crefyddol neu athronyddol, aelodaeth o undebau llafur, iechyd, bywyd rhywiol a chyfeiriadedd rhywiol. Mae’n cynnwys euogfarnau troseddol hefyd
4. Termau allweddol
- Gwrthrychau’r Data: unigolion y mae’r data yn ymwneud â nhw h.y. cyflogwyr, cwsmeriaid, defnyddwyr
- Rheolyddion Data: sefydliadau sy’n casglu Data Personol ac yn gyfrifol amdano ac mae’n rhaid iddyn nhw ddangos cydymffurfiaeth â’r egwyddorion, h.y. cyflogwyr, busnesau, cwmnïau
- Prosesydd Data: unigolyn neu gorff sy’n prosesu data personol ar ran Rheolydd Data h.y. cyflogres allanol, CThEM
5. Beth yw prosesu?
Yn syml, unrhyw ansoddair y gallwch chi ei ddefnyddio i ddisgrifio gwneud rhywbeth gyda’r data.
Yr enghreifftiau amlwg yw casglu, copïo, rhannu, datgelu a defnyddio, ond mae’n cynnwys yn ogystal gweithredoedd fel storio, archifo, dileu, rhwygo a dinistrio.
Sail gyfreithiol dros brosesu
Er mwyn i brosesu fod yn gyfreithlon o dan RhDDC, mae angen i chi nodi sail gyfreithiol cyn i allu prosesu Data Personol.
Y seiliau cyfreithiol sydd ar gael ar gyfer prosesu Data Personol yw:
- caniatâd gan Wrthrych y Data
- mae prosesu yn angenrheidiol er mwyn gweithredu’r cytundeb gyda Gwrthrych y Data neu er mwyn cymryd camau i lunio cytundeb
- mae prosesu yn angenrheidiol er mwyn cydymffurfio â rhwymedigaeth gyfreithiol
- mae prosesu yn angenrheidiol er mwyn diogelu buddiannau hanfodol Gwrthrych y Data neu unrhyw unigolyn arall
- mae prosesu yn angenrheidiol ar gyfer perfformio tasg sy’n cael ei gwneud er budd y cyhoedd neu wrth ymarfer awdurdod swyddogol a roddwyd i’r Rheolydd
- mae’n angenrheidiol ar gyfer dibenion buddiannau cyfreithlon sy’n cael eu dilyn gan y Rheolydd neu drydydd parti, ac eithrio lle mae buddiannau o’r fath yn cael eu trechu gan fuddiannau, hawliau neu ryddidau Gwrthrych y Data
6. Y broblem gyda chaniatâd
Mae rhoi caniatâd gan Wrthych y Data yn un o’r ffyrdd y gall Rheolydd Data sefydlu sail gyfreithiol ar gyfer prosesu Data Personol.
Mae’r RhDDC yn amlinellu amodau llymach a manylach ar gyfer defnyddio caniatâd gan ei wneud yn fwy anodd ei gael:
- mae’n rhaid i ganiatâd gael ei roi o wirfodd, yn benodol, yn ddeallus ac yn ddiamwys
- ni fydd yn cael ei ystyried o wirfodd, os nad oes unrhyw ddewis rhydd dilys. Mae’r cyfrifoldeb ar Reolydd y Data i ddangos bod Gwrthrych y Data wedi rhoi caniatâd
- os rhoddir caniatâd drwy gyfrwng datganiad ysgrifenedig, mae’n rhaid i’r cais gael ei wneud mewn modd sy’n amlwg yn wahaniaethadwy oddi wrth agweddau eraill o’r ddogfen
- mae gan Wrthrych y Data yr hawl i dynnu’i ganiatâd yn ôl ar unrhyw adeg ac mae’n rhaid iddo gael gwybod am yr hawl hon gan y Rheolydd Data
- mae’n rhaid iddi fod mor hawdd i dynnu caniatâd yn ôl ag ydyw i’w roi
7. Egwyddorion y RhDDC
Unwaith y mae gan Reolydd Data un neu fwy o’r seiliau cyfreithiol i brosesu data, yna mae’n rhaid iddo gydymffurfio â’r holl egwyddorion canlynol:
- wedi’i brosesu yn gyfreithlon, yn deg ac mewn modd tryloyw mewn perthynas ag unigolion
- wedi’i gasglu ar gyfer dibenion penodol, manwl a chyfreithlon a heb ei brosesu ymhellach mewn modd sy’n anghydnaws â’r dibenion hyn; prosesu pellach ar gyfer dibenion archifo er budd y cyhoedd; ni fydd dibenion gwyddonol neu ymchwil hanesyddol neu ddibenion ystadegol yn cael eu hystyried yn anghydnaws â’r dibenion cychwynnol
- digonol, perthnasol ac wedi’i gyfyngu i’r hyn sydd yn angenrheidiol mewn perthynas â’r dibenion y maen nhw’n cael eu prosesu
- manwl gywir a, lle y bo angen, yn gyfredol; mae’n rhaid cymryd pob cam rhesymol i sicrhau bod Data Personol yn fanwl gywir, yn parchu’r dibenion ar gyfer yr hyn y maen nhw’n cael eu prosesu, yn cael eu dileu neu’u cywiro heb oedi
- wedi’i gadw mewn ffurf sy’n caniatáu adnabod Gwrthrychau’r Data am ddim mwy nag sydd ei angen ar gyfer y dibenion y mae’r Data Personol yn cael ei brosesu; Gellir storio Data Personol am gyfnodau hirach cyn belled ag y bydd y Data Personol yn cael ei brosesu yn unig ar gyfer dibenion archifo er budd y cyhoedd, dibenion ymchwil gwyddonol neu hanesyddol neu ddibenion ystadegol sy’n amodol ar weithredu’r mesurau technegol a sefydliadol priodol sydd eu hangen gan y RhDDC er mwyn diogelu hawliau a rhyddidau’r unigolion
- wedi’i brosesu mewn modd sy’n sicrhau diogelu’r Data Personol yn briodol, gan gynnwys diogelu yn erbyn prosesu anawdurdodedig neu anghyfreithlon ac yn erbyn colli yn ddamweiniol, dinistrio neu niweidio, drwy ddefnyddio mesurau technegol neu sefydliadol priodol
Yn ogystal, ceir cyfyngiadau ynglŷn â throsglwyddo data y tu allan i Ardal Economaidd Ewrop.
8. Atebolrwydd
Un o’r newidiadau mwyaf o dan y RhDDC yw’r egwyddor newydd o atebolrwydd; mae’r RhDDC angen i Reolyddion y Data ddangos cydymffurfiaeth â’r egwyddorion.
Mae hwn yn cael ei ddangos mewn rhwymedigaethau estynedig ar gyfer Rheolyddion Data, yn cynnwys yr angen i gadw cofnodion mewnol eang ynglŷn â gweithrediadau prosesu data, sy’n rhaid eu dangos i’r awdurdod arolygol ar gyfer eu harchwilio pan ofynnir amdanyn nhw.
9. Asesiadau Effaith Diogelu Data
Dyletswydd arall o dan yr egwyddor atebolrwydd yw i Reolyddion Data gwblhau asesiadau effaith diogelu data (AEDau) lle mae’r prosesu yn defnyddio technolegau newydd sy’n debygol o arwain at risg uchel i Wrthrychau’r Data.
10. Swyddogion Diogelu Data
Ar gyfer rhai sefydliadau, bydd angen cyfreithiol i benodi Swyddog Diogelu Data (SDD).
Mae hyn yn cynnwys, er enghraifft:
- le mae’i weithgareddau craidd ynghlwm â monitro systematig neu brosesu Data Sensitif ar raddfa fawr
- os yw’n gorff cyhoeddu
11. Tryloywder
Mae’r egwyddor tryloywder angen i Reolyddion Data ddarparu llawer mwy o wybodaeth nag a wneir ar hyn o bryd.
Bydd hyn yn cynnwys dweud wrth weithwyr, ymgeiswyr swyddi a chwsmeriaid er enghraifft:
- ffynhonnell y data (os nad yw’n tarddu gan Wrthrych y Data)
- pwy fydd yn derbyn y Data Personol (neu’r categorïau’r derbynwyr)
- y cyfnod y bydd y data yn cael ei storio, neu os nad yw hynny’n bosibl, y meini prawf a ddefnyddir i benderfynu ar y cyfnod
- bodolaeth hawliau Gwrthrych y Data
- yr hawl i wrthwynebu’r prosesu
- yr hawl i dynnu’r caniatâd yn ôl
- yr hawl i gwyno wrth y rheolydd
- Y sail gyfreithiol ar gyfer trosglwyddo’r data i drydydd gwlad y tu allan i’r UE
12. Hawliau Gwrthrych y Data
Mae gan Wrthrychau’r Data rhai hawliau o dan y RhDDC, sy’n cynnwys yr hawl i:
- wybodaeth
- cael mynediad at eu data personol eu hunain (ac ni ellir codi ffi yn y mwyafrif helaeth o’r achosion)
- cywiro data personol
- dileu data personol
- cyfyngu ar brosesu’r data
- gwrthwynebu prosesu’r data
- derbyn copi o’u data personol neu drosglwyddo eu data personol i reolydd data arall
- peidio â bod yn destun gwneud penderfyniadau awtomataidd
- cael eu hysbysu ynglŷn â thor-diogelwch y data
13. Proseswyr Data
Mae’r RhDDC yn tynhau’r rheolau ynglŷn â’r defnydd o Broseswyr Data. Ar hyn o bryd, Rheolyddion Data yn unig sy’n atebol i Wrthrychau’r Data am gydymffurfiaeth. O dan y rheolau diwygiedig, bydd gan Broseswyr Data ddyletswydd i gydymffurfio ac wynebu atebolrwydd posibl os ydyn nhw’n methu â gwneud hynny.
14. Torri rheolau Data Personol
Mae torri rheolau Data Personol yn torri diogelwch sy’n arwain at ddinistrio, colli, newid neu ddatgelu anawdurdodedig y Data personol un ai’n ddamweiniol neu’n anghyfreithlon.
Adrodd ynglŷn â thorri rheolau data
Mae’n rhaid i Reolyddion Data sy’n darganfod torri rheolau Data Personol roi gwybod i’r rheolydd yn brydlon ac o fewn 72 awr, os yw’n ddichonadwy.
Nid yw’r angen i hysbysu yn berthnasol os yw’r toriad yn annhebygol o arwain at risg i Wrthrychau’r Data (er enghraifft, oherwydd bod yr holl ddata ar liniadur wedi cael ei amgryptio).
Os oes risg uchel i Wrthych y Data, mae’n rhaid iddo ef/hi gael gwybod gan y Rheolydd Data.
Cofrestr torri rheolau data
Mae’n rhaid cadw cofnodion o’r holl dorri rheoli data a’r camau gweithredu a gymerwyd, yn cynnwys y rhai hynny lle nad oedd unrhyw rwymedigaeth i hysbysu’r rheolydd.
15. Gorfodaeth
Mae’r rheolau yn y RhDDC yn cael eu hategu gan drefn gosb lymach. Y gosb eithaf yw hyd at 4% o drosiant byd eang blynyddol y flwyddyn ariannol flaenorol neu 20 miliwn ewro (pa’r un bynnag yw’r mwyaf).
Mae pwerau archwiliad y rheolydd yn cynnwys grym i ymgymryd ag archwiliadau, yn ogystal ag angen i wybodaeth gael ei darparu, a chael mynediad i adeiladau.
16. Pwy yw’r Rheolydd?
Y Rheolydd ar gyfer Diogelu Data yn y DU yw Swyddog y Comisiynydd Gwybodaeth (SCG).