Ar 25 Mai 2018, daw’r Rheoliad Diogelu Data Cyffredinol (GDPR) i rym yn gyfreithiol.
Felly beth fydd y newidiadau’n ei olygu i fusnesau sy’n casglu, dal a defnyddio data?
Yn ddiweddar, daeth Cyflymu Cymru i Fusnesau a Swyddfa'r Comisiynydd Gwybodaeth, corff annibynnol y DU ar ddiogelu hawliau gwybodaeth, at ei gilydd i gynnal cyfres o ddigwyddiadau i roi cyfle i fusnesau ar draws Cymru i holi a gofyn cwestiynau am sut y bydd y GDPR yn effeithio arnynt.
Os ydych yn ansicr am oblygiadau’r GDPR i fusnesau bach a chanolig, neu beth yw’r newidiadau y dylech fod yn paratoi ar eu cyfer, dylech ddarllen ein Cwestiynau ac Atebion i ddeall rhai o'r cwestiynau go iawn a ofynnwyd gan fusnesau ar draws Cymru yn ein digwyddiadau GDPR am sut y bydd y rheoliadau data newydd yn newid sut y mae eu busnes yn rheoli data.
Ydy Brexit yn golygu na fydd y GDPR yn effeithio ar y DU ym mis Mai? Fydd o’n newid y gyfraith yn y dyfodol?
Ar 25 Mai 2018, bydd y DU yn parhau i fod yn aelod o’r Undeb Ewropeaidd, ac felly'r GDPR fydd y gyfraith mewn grym y bydd yr ICO yn ei rheoleiddio.
Yn ôl yr ICO “bydd y GDPR yn cael effaith uniongyrchol ar draws holl wledydd yr UE ac mae eisoes wedi’i basio. Mae hyn yn golygu y bydd angen i sefydliadau gydymffurfio â’r rheoliad a chyfeirio at y GDPR ar gyfer y rhan fwyaf o’u hymrwymiadau cyfreithiol."
“Fodd bynnag, mae’r GDPR yn rhoi rhai cyfleoedd i wledydd yr Undeb ddarparu ar gyfer sut y bydd yn berthnasol i’w gwlad hwy. Un elfen o'r Bil Diogelu Data yw manylion y darpariaethau hyn. Mae’n bwysig felly bod y GDPR a’r Mesur yn cael eu darllen ochr yn ochr.”
Dysgwch fwy am y Bil Diogelu Data yma.
A oes angen polisi diogelu data ar bob busnes – a sut y gall busnesau bach reoli hyn o’i gymharu â sefydliad mawr?
Yn ôl yr ICO “o dan yr egwyddor atebolrwydd yn Erthygl 5(2), mae’n ofynnol i chi ddangos eich bod yn cydymffurfio ag egwyddorion [y Rheoliad Diogelu Data Cyffredinol] gan nodi’n benodol mai chi sy’n gyfrifol am wneud hyn.”
Bydd polisïau’n rhan allweddol o ddangos atebolrwydd a bydd natur y manylion i’w cynnwys mewn polisi’n gymesur â’r math o ddata personol a gedwir gan unrhyw fusnes neu sefydliad. Mae canllawiau defnyddiol ar gael i sefydliadau llai yma.
Allwch chi ddefnyddio caniatâd y data neu restr farchnata sydd gennych eisoes pan ddaw’r GDPR i rym?
Bydd angen i unrhyw ganiatâd i farchnata o dan y GDPR gwrdd â’r safon uwch a ddisgrifir yma.
Yn ôl yr ICO, “mae’r GDPR yn gliriach o ran bod yn rhaid i ddangos caniatâd fod yn gwbl ddiamwys a chynnwys gweithred ganiatâd glir (optio mewn). Mae’n gwahardd blychau optio mewn a diciwyd yn barod yn llwyr. Mae hefyd yn gofyn cael opsiynau caniatâd manwl ar gyfer opsiynau prosesu gwahanol. Dylai’r caniatâd fod ar wahân i’r telerau ac amodau eraill ac fel rheol ni ddylai fod yn un o’r rhagofynion i gofrestru ar gyfer gwasanaeth.”
Mae hefyd yn bwysig nodi bod “yn rhaid i chi gadw cofnodion clir i ddangos caniatâd” a bod “y GDPR yn rhoi hawl benodol i dynnu caniatâd yn ôl. Rhaid i chi ddweud wrth bobl am eu hawl i dynnu’n ôl, a chynnig ffyrdd hawdd iddynt wneud hynny ar unrhyw adeg.”
A oes angen caniatâd gan bob person y mae gennych ddata arnynt?
Er mwyn prosesu data personol, dim ond un o chwe sail gyfreithlon yn Erthygl 6 y GDPR yw caniatâd.
Mae’r ICO yn nodi bod “y seiliau cyfreithlon ar gyfer prosesu wedi eu gosod allan yn Erthygl 6 y GDPR. Rhaid i un o'r rhain o leiaf fod yn berthnasol bob tro y proseswch ddata personol:
(a) Caniatâd: mae’r unigolyn wedi rhoi caniatâd clir i chi brosesu eu data personol i bwrpas penodol.
(b) Contract: mae angen y prosesu ar gyfer contract sydd gennych â’r unigolyn, neu oherwydd eu bod wedi gofyn i chi gymryd camau penodol cyn llunio contract.
(c) Rhwymedigaeth gyfreithiol: mae angen y prosesu fel eich bod yn cydymffurfio â’r gyfraith (heb gynnwys rhwymedigaethau contract).
(d) Buddiannau hanfodol: mae angen y prosesu i ddiogelu bywyd rhywun.
(e) Tasg gyhoeddus: mae angen prosesu er mwyn gallu cyflawni tasg sydd o fudd cyhoeddus neu ar gyfer eich swyddogaethau swyddogol, ac mae gan y dasg neu swyddogaeth sail glir gyfreithiol.
(f) Buddiannau cyfreithlon: mae angen y prosesu ar gyfer eich buddiannau cyfreithlon neu fuddiannau cyfreithlon trydydd parti oni bai fod rheswm da dros ddiogelu data personol yr unigolyn sy’n cael blaenoriaeth ar y buddiannau cyfreithlon hynny. (Ni fydd hyn yn berthnasol os ydych yn awdurdod cyhoeddus yn prosesu data i gyflawni eich tasgau swyddogol.)”
Gan ddilyn y seiliau cyfreithlon, efallai na fydd angen caniatâd arnoch i ddal data personol oherwydd gallwch brosesu eu data o dan un neu fwy o’r amodau eraill. Er mwyn penderfynu pa sail gyfreithlon sy’n berthnasol, dyma a ddywed yr ICO: “Dylech ystyried pa sail gyfreithlon sydd fwyaf addas i’r amgylchiadau. Efallai y credwch fod mwy nag un sail yn berthnasol, ac os felly dylech eu hadnabod a’u cofnodi i gyd o’r cychwyn.
Ni chewch fabwysiadu un ar gyfer pob dim. Ni ddylid ystyried bod un sail bob amser yn well, yn fwy diogel neu’n bwysicach na’r lleill, ac nid oes unrhyw hierarchaeth yn nhrefn y rhestr yn y GDPR.”
Sut y mae cadw data am ‘gyn hired ag y bo angen’ yn berthnasol i amser cadw wrth-gefn?
Er enghraifft, sut y mae’r GDPR yn berthnasol os yw’r adran Adnoddau Dynol yn dileu data person ond mae'r adran wedi cadw'r data wrth-gefn am 12 mis arall i bwrpas ei adfer?
Yn ôl yr ICO “Er mwyn i brosesu fod yn gyfreithlon o dan y GDPR, rhaid i chi adnabod sail gyfreithlon cyn y gallwch brosesu data personol. Mae’n bwysig i chi benderfynu beth yw eich sail gyfreithlon dros brosesu data personol a chofnodi hyn.”
Gallai cadw data i bwrpas Adnoddau Dynol fod yn wahanol i gadw’r un data ar gyfer pwrpas wrth-gefn. Fodd bynnag, mae’n bwysig deall os ydych yn prosesu data, y bydd y GDPR yn dal i fod yn berthnasol a bydd angen i chi adnabod sail gyfreithlon. Bydd cofnodi a dangos eich polisïau cadw wrth-gefn, hyd yn oed ar gyfer gwahanol adrannau yn y busnes, yn eich helpu i sicrhau eich bod ond yn dal data’n gyfreithlon ac am gyn hired ag y bo angen.
Beth yw’r gwahaniaeth rhwng rheolydd data a phrosesydd data?
Mae’n hanfodol bod unrhyw fusnes sy’n prosesu data personol yn gallu penderfynu a ydynt yn gweithredu fel y rheolydd data neu’r prosesydd data, oherwydd “mae’r GDPR yn berthnasol i reolyddion a phroseswyr”.
Yn ôl yr ICO “mae rheolydd yn penderfynu beth yw pwrpas a’r dull o brosesu data personol” ac mae “prosesydd yn gyfrifol am brosesu data personol ar ran rheolydd”.
Fel prosesydd data, a oes angen contract gyda phob cwsmer neu gleient arnaf?
Pe na bai gen i gontract a fyddai’r cyfrifoldeb yn disgyn ar y rheolydd data’n unig?
Mae’r ICO yn nodi'n glir “os ydych yn brosesydd, mae’r GDPR yn gosod rhwymedigaethau cyfreithiol penodol arnoch; er enghraifft, rhaid i chi gadw cofnodion o ddata personol a gweithgareddau prosesu.” O dan y GDPR, “byddwch yn gyfreithiol atebol os byddwch yn gyfrifol am dorri’r rheoliad”.
Fodd bynnag, nid yw hynny’n golygu bod proseswyr wedi eu heithrio o gyfrifoldeb.
“Os ydych yn rheolydd, ni fyddwch wedi eich eithrio o’ch rhwymedigaethau lle mae prosesydd yn y cwestiwn – mae’r GDPR yn rhoi rhwymedigaethau pellach arnoch i sicrhau bod eich contractau gyda phroseswyr yn cydymffurfio â’r GDPR.”
Mae canllawiau drafft yr ICO ar Gontractau ac Atebolrwydd yn rhoi cyngor defnyddiol ar hyn.
Os torrir y rheolau data neu os oes problem o dan y GDPR, a oes raid i chi ddweud wrth yr ICO? Pryd y dylech hysbysu’r ICO a beth fydd yn digwydd wedyn?
Bydd y GDPR yn cyflwyno dyletswydd ar bob sefydliad i adrodd mathau penodol o dorri rheolau data i’r awdurdod goruchwylio perthnasol. Mewn rhai achosion, rhaid i sefydliadau hefyd adrodd mathau penodol o dorri rheolau data i’r unigolion yr effeithir arnynt.
Yn ôl yr ICO “dim ond yr awdurdod goruchwylio perthnasol y mae’n rhaid i chi ei hysbysu lle mae’r torri rheolau data’n debygol o arwain at risg i hawliau a rhyddid unigolion. Heb roi sylw i hyn, mae'r achos o dorri rheolau'n debygol o gael effaith andwyol sylweddol ar unigolion – er enghraifft gallai arwain at wahaniaethu, niwed i enw da, colledion ariannol, colli cyfrinachedd neu anfantais economaidd neu gymdeithasol bwysig arall.
Rhaid asesu hyn ar sail pob achos yn unigol. Er enghraifft, bydd angen i chi hysbysu’r awdurdod goruchwylio perthnasol os collir manylion am gwsmer lle mae’r tor-rheol yn golygu y gellid dwyn hunaniaeth yr unigolyn. Ar y llaw arall, ni fyddai colli rhestr o rifau ffôn staff neu newid y rhestr yn amhriodol, er enghraifft, yn bodloni’r trothwy hwn fel arfer.”
Mae mwy o wybodaeth am adrodd achosion o dorri rheolau data yma.
Am ganllawiau clir ar bopeth yn ymwneud â’r Rheoliad Diogelu Data Cyffredinol, ewch i wefan Swyddfa’r Comisiynydd Gwybodaeth (ICO).