Revised Privacy Policy and Information about Cookies

Before continuing, we ask you to review our Privacy Policy which includes how we use Cookies to help us improve the quality of your vist to Get Safe Online.

Personol
Busnes
General-Data-Protection-Regulation

GDPR (Rheoliad Cyffredinol ar Ddiogelu Data)

Bydd y Rheoliad Diogelu Data Cyffredinol – y cyfeirir ato yn fwy cyffredin fel GDPR – yn gymwys i bob sefydliad ledled y byd sy'n prosesu data personol dinasyddion o'r Undeb Ewropeaidd, sy'n golygu mai hi yw'r ddeddf diogelu data fyd-eang gyntaf. Mae'r broses o'i sefydlu yn seiliedig ar y ffaith bod llawer o fusnesau a gwasanaethau yn gweithredu ar draws ffiniau, sy'n golygu ei bod yn hanfodol cael cysondeb byd-eang ynghylch cyfreithiau a hawliau diogelu data sy'n hanfodol i sefydliadau ac unigolion fel ei gilydd. Mae'r economi ddigidol sy'n tyfu hefyd yn golygu ei bod yn bwysig cael camau diogelu ar waith mewn perthynas â data, a'r unigolion y maent yn gymwys ar eu cyfer.

Yn y DU, daeth GDPR i rym ym mis Mai 2018, ac nid yw ein tynnu’n ôl o’r UE (Brexit) yn effeithio ar hyn.

Os bydd eich sefydliad yn cael ei gynnwys o fewn y disgrifiad uchod, bydd dan rwymedigaeth gyfreithiol i gydymffurfio â GDPR. Mae GDPR yn rhoi mwy o bwyslais ar y dogfennau y mae'n rhaid i reolwyr data eu cadw er mwyn dangos eu hatebolrwydd. Bydd camau i gydymffurfio â'r holl feysydd allweddol yn ei gwneud yn ofynnol i'ch sefydliad adolygu ei ddull gweithredu ar gyfer llywodraethu a sut mae'n rheoli prosesau diogelu data fel mater corfforaethol. Gallai un agwedd o hyn gynnwys adolygu'r contractau a'r trefniadau eraill sydd gennych ar waith wrth rannu data â sefydliadau eraill.

Bydd gan bob gwlad yn Ewrop gorff rheoleiddiol er mwyn goruchwylio'r defnydd o GDPR, rhoi cyngor arno a'i orfodi. Yn y DU, y corff hwn yw Swyddfa'r Comisiynydd Gwybodaeth.

Mae'r trosolwg hwn - sy'n seiliedig ar wybodaeth gan Swyddfa'r Comisiynydd Gwybodaeth - yn amlygu themâu allweddol GDPR er mwyn eich helpu i ddeall y fframwaith cyfreithiol newydd yn y DU. Mae'n egluro'r tebygrwydd â'r Ddeddf Diogelu Data presennol, ac yn disgrifio rhai o'r gofynion newydd a gwahanol. Mae ar gyfer y sawl sydd â chyfrifoldeb o ddydd i ddydd am ddiogelu data.

I bwy mae GDPR yn gymwys?

  • Mae GDPR yn gymwys i 'reolwyr' a 'phroseswyr'. Mae'r diffiniadau yr un fath ag o dan y Ddeddf Diogelu Data yn fras – h.y. mae'r rheolwr yn dweud sut a pham y caiff data personol eu prosesu ac mae'r prosesydd yn gweithredu ar ran y rheolwr. Os ydych yn ddarostyngedig i'r Ddeddf Diogelu Data ar hyn o bryd, mae'n debygol y byddwch hefyd yn ddarostyngedig i GDPR.
    Os ydych yn brosesydd, mae GDPR yn rhoi rhwymedigaethau cyfreithiol penodol arnoch chi; er enghraifft, mae'n ofynnol i chi gynnal cofnodion o ddata personol a gweithgareddau prosesu. Bydd gennych lawer mwy o atebolrwydd cyfreithiol os byddwch yn gyfrifol am achos o dorri rheolau. Mae'r rhwymedigaethau hyn ar gyfer proseswyr yn ofyniad newydd o dan GDPR.
    Fodd bynnag, os ydych yn rheolwr, ni fyddwch yn cael eich rhyddhau o'ch rhwymedigaethau pan fydd prosesydd dan sylw – mae GDPR yn rhoi rhagor o rwymedigaethau arnoch er mwyn gwneud yn siŵr bod eich contractau â phroseswyr yn cydymffurfio â GDPR.
  • Mae GDPR yn gymwys i brosesau a gynhelir gan sefydliadau sy'n gweithredu o fewn yr UE. Mae hefyd yn gymwys i sefydliadau y tu allan i'r UE sy'n cynnig nwyddau neu wasanaethau i unigolion yn yr UE.
  • Nid yw'r GDPR yn gymwys i weithgareddau penodol yn cynnwys prosesau a gwmpesir gan y Gyfarwyddeb Gorfodi'r Gyfraith, prosesu at ddibenion diogelu cenedlaethol a phrosesau a gyflawnir gan unigolion ar gyfer gweithgareddau personol/yn y cartref yn unig.

Ar gyfer pa wybodaeth y mae GDPR yn gymwys?

Data Personol

Fel y Ddeddf Diogelu Data, mae GDPR yn gymwys i 'ddata personol'. Fodd bynnag, mae'r diffiniad o GDPR yn fanylach ac mae'n egluro bod gwybodaeth fel dynodwr ar-lein – e.e. cyfeiriad IP – yn gallu bod yn ddata personol. Mae'r diffiniad mwy eang yn golygu y gall amrywiaeth eang o ddynodwyr personol fod yn ddata personol, gan adlewyrchu newidiadau mewn technoleg a'r ffordd y mae sefydliadau yn casglu gwybodaeth am bobl.

I'r rhan fwyaf o sefydliadau, ni ddylai cadw cofnodion Adnoddau Dynol, neu fanylion cyswllt ac ati, y newid i'r diffiniad wneud fawr ddim gwahaniaeth yn ymarferol. Gallwch dybio, os bydd gennych wybodaeth sy'n dod o fewn cwmpas y Ddeddf Diogelu Data, bydd hefyd yn dod o fewn cwmpas GDPR.

Mae GDPR yn gymwys i ddata personol awtomataidd ac i systemau ffeilio â llaw lle mae data personol yn hygyrch yn unol â meini prawf penodol. Mae hyn yn ehangach na diffiniad y Ddeddf Diogelu Data a gallai gynnwys setiau o gofnodion a ychwanegwyd â llaw sy'n cynnwys data personol a roddwyd mewn trefn gronolegol.

Gall data personol sydd wedi cael eu cadw dan ffugenw – e.e. wedi'u codio ag allwedd – ddod o fewn cwmpas GDPR yn dibynnu ar ba mor anodd ydyw i roi'r ffugenw i unigolyn penodol.

Data personol sensitif

Mae GDPR yn cyfeirio at ddata personol sensitif fel categorïau arbennig o ddata personol (gweler Erthygl 9). Mae'r categorïau hyn yn gyffredinol yr un fath â'r rhai yn y Deddf Diogelu Data, ond mae rhai mân newidiadau.

Er enghraifft, mae'r categorïau arbennig yn cynnwys data genetig, a data biometrig lle cânt eu prosesu er mwyn adnabod unigolyn mewn ffordd unigryw.

Ni chaiff data personol sy'n ymwneud â chollfarnau a throseddau eu cynnwys, ond mae camau diogelu ychwanegol yn gymwys i'r prosesau (gweler Erthygl 10).

Paratoi ar gyfer y Rheoliad Diogelu Data Cyffredinol (GDPR) 12 o gamau i'w cymryd nawr

 

1

Ymwybyddiaeth

Dylech wneud yn siŵr bod gwneuthurwyr penderfyniadau a phobl allweddol yn eich sefydliad yn ymwybodol bod y gyfraith yn newid i GDPR. Mae angen iddynt werthfawrogi'r effaith y mae hyn yn debygol o'i chael.

2

Gwybodaeth sydd gennych

Dylech ddogfennu pa ddata personol sydd gennych, o ble y daeth a gyda phwy rydych yn eu rhannu. Efallai y bydd angen i chi drefnu archwiliad gwybodaeth.

3

Cyfathrebu gwybodaeth am breifatrwydd

Dylech adolygu eich hysbysiadau preifatrwydd presennol a rhoi cynllun ar waith ar gyfer gwneud unrhyw newidiadau angenrheidiol mewn pryd ar gyfer gweithredu GDPR.

4

Hawliau unigolion

Dylech wirio eich gweithdrefnau er mwyn gwneud yn siŵr eu bod yn cwmpasu'r holl hawliau sydd gan unigolion, yn cynnwys sut y byddech yn dileu data personol neu'n darparu data yn electronig ac mewn fformat a ddefnyddir yn gyffredin.

5

Ceisiadau mynediad gan wrthrych data

Dylech ddiweddaru eich gweithdrefnau a chynllunio sut y byddwch yn mynd i'r afael â cheisiadau o fewn yr amseroedd newydd a darparu unrhyw wybodaeth ychwanegol.

6

Sail gyfreithiol ar gyfer prosesu data personol

Dylech nodi'r sail gyfreithiol ar gyfer eich gweithgarwch prosesu yn GDPR, ei dogfennu a diweddaru eich hysbysiad preifatrwydd er mwyn ei egluro.

7

Cydsyniad

Dylech adolygu sut rydych yn ceisio, yn cofnodi ac yn rheoli cydsyniad a ph'un a oes angen i chi wneud unrhyw newidiadau. Diwygiwch gydsyniadau cyffrous nawr os nad ydynt yn cyrraedd y safon GDPR.

8

Plant

Dylech ddechrau meddwl nawr am p'un a oes angen i chi sefydlu systemau er mwyn dilysu oedrannau unigolion a chael cydsyniad rhiant neu warcheidwad ar gyfer unrhyw weithgarwch prosesu data.

9

Achosion o dorri data

Dylech wneud yn siŵr fod gennych y gweithdrefnau cywir ar waith er mwyn canfod achosion o dorri data personol, adrodd amdanynt ac ymchwilio iddynt.

10

Diogelu Data o'r Cychwyn ac Asesiadau o'r Effaith ar Ddiogelu Data

Dylech ymgyfarwyddo â chod ymarfer Swyddfa'r Comisiynydd Gwybodaeth ar Asesiadau o'r Effaith ar Breifatrwydd yn ogystal â'r canllawiau diweddaraf gan Weithgor Erthygl 29, a gweithio allan sut a phryd i'w rhoi ar waith yn eich sefydliad.

11

Swyddogion Diogelu Data

Dylech benodi rhywun i gymryd cyfrifoldeb am gydymffurfiaeth diogelu data ac asesu lleoliad y rôl hon o fewn strwythur eich sefydliad a'r trefniadau llywodraethu. Dylech ystyried p'un a oes angen i chi benodi Swyddog Diogelu Data.

12

Rhyngwladol

Os bydd eich sefydliad yn gweithredu mewn mwy nag un o aelod-wladwriaethau'r UE (h.y. rydych yn cynnal prosesau trawsffiniol), dylech benderfynu beth yw eich awdurdod goruchwylio diogelu data arweiniol. Bydd canllawiau Gweithgor Erthygl 29 yn eich helpu i wneud hyn.

Ymwybyddiaeth

Dylech wneud yn siŵr bod gwneuthurwyr penderfyniadau a phobl allweddol yn eich sefydliad yn ymwybodol bod y gyfraith yn newid i GDPR. Mae angen iddynt werthfawrogi'r effaith y mae hyn yn debygol o'i chael a nodi meysydd a allai beri problemau cydymffurfiaeth o dan GDPR. Byddai'n ddefnyddiol dechrau drwy edrych ar gofrestr risg eich sefydliad, os oes gennych un.

Gallai gweithredu'r GDPR gael goblygiadau sylweddol o ran adnoddau, yn enwedig ar gyfer sefydliadau mwy a mwy cymhleth. Efallai y byddwch yn gweld bod cydymffurfiaeth yn anodd os byddwch yn gadael eich paratoadau tan y funud olaf.

Gwybodaeth sydd gennych

Dylech ddogfennu pa ddata personol sydd gennych, o ble y daeth a gyda phwy rydych yn eu rhannu. Efallai y bydd angen i chi drefnu archwiliad gwybodaeth ar draws y sefydliad neu o fewn meysydd busnes penodol.

Mae GDPR yn ei gwneud yn ofynnol i chi gynnal cofnodion o'ch gweithgareddau prosesu. Mae'n diweddaru hawliau ar gyfer byd wedi'i rwydweithio. Er enghraifft, os oes gennych ddata personol anghywir ac wedi rhannu hyn â sefydliad arall, bydd yn rhaid i chi ddweud wrth y sefydliad arall am hyn fel y gall gywiro ei gofnodion ei hun. Ni fyddwch yn gallu gwneud hyn oni bai eich bod yn gwybod pa ddata personol sydd gennych, o ble y daeth a gyda phwy rydych yn eu rhannu. Dylech ddogfennu hyn. Bydd gwneud hyn hefyd yn eich helpu i gydymffurfio ag egwyddor atebolrwydd GDPR, sy'n ei gwneud yn ofynnol i sefydliadau allu dangos sut maent yn cydymffurfio â'r egwyddorion diogelu data, er enghraifft drwy gael polisïau a gweithdrefnau effeithiol ar waith.

Cyfathrebu gwybodaeth am breifatrwydd

Dylech adolygu eich hysbysiadau preifatrwydd presennol a rhoi cynllun ar waith ar gyfer gwneud unrhyw newidiadau angenrheidiol mewn pryd ar gyfer gweithredu GDPR.

Pan fyddwch yn casglu data personol sydd gennych ar hyn o bryd er mwyn rhoi gwybodaeth benodol i bobl, fel eich hunaniaeth a sut rydych yn bwriadu defnyddio eu gwybodaeth. Fel arfer, gwneir hyn drwy hysbysiad preifatrwydd. O dan GDPR mae pethau ychwanegol y bydd angen i chi eu dweud wrth bobl. Er enghraifft, bydd angen i chi egluro eich sail gyfreithiol dros brosesu'r data, eich cyfnodau cadw data a'r ffaith bod gan unigolion hawl i gwyno i Swyddfa'r Comisiynydd Gwybodaeth os byddant o'r farn bod problem gyda'r ffordd rydych yn trin eu data. Mae GDPR yn ei gwneud yn ofynnol i'r wybodaeth gael ei darparu mewn iaith gryno, glir, sy'n hawdd ei deall.

Mae cod ymarfer hysbysiadau preifatrwydd Swyddfa'r Comisiynydd Gwybodaeth yn adlewyrchu gofynion newydd GDPR.

Hawliau unigolion

Dylech wirio eich gweithdrefnau er mwyn gwneud yn siŵr eu bod yn cwmpasu'r holl hawliau sydd gan unigolion, yn cynnwys sut y byddech yn dileu data personol neu'n darparu data yn electronig ac mewn fformat a ddefnyddir yn gyffredin.

Mae GDP yn cynnwys yr hawliau canlynol ar gyfer unigolion:

  • yr hawl i gael eu hysbysu;
  • hawl mynediad;
  • yr hawl i gywiro data;
  • yr hawl i ddileu data;
  • yr hawl i gyfyngu ar brosesau;
  • yr hawl i gludadwyedd data;
  • yr hawl i wrthwynebu;
  • yr hawl i beidio â bod yn agored i brosesau gwneud penderfyniadau awtomataidd yn cynnwys proffilio.

Ar y cyfan, bydd yr hawliau y bydd unigolion yn eu mwynhau o dan GDPR yr un fath â'r rhai o dan y Ddeddf Diogelu Data ond gyda rhai gwelliannau sylweddol. Os ydych mewn sefyllfa i roi eu hawliau i unigolion nawr, yna dylai'r broses o drosglwyddo i GDPR fod yn gymharol rhwydd. Mae hon yn adeg dda i wirio eich gweithdrefnau a gweithio allan sut y byddech yn ymateb pe byddai rhywun yn gofyn am gael dileu ei ddata personol, er enghraifft. A fyddai eich systemau yn eich helpu i leoli a dileu'r data? Pwy fydd yn gwneud y penderfyniadau ynghylch dileu?

Mae'r hawl i gludadwyedd data yn newydd. Mae ond yn gymwys:

Dylech ystyried p'un a oes angen i chi ddiwygio eich gweithdrefnau a gwneud unrhyw newidiadau. Bydd angen i chi ddarparu'r data personol ar ffurf strwythuredig a ddefnyddir yn gyffredin ac y gellir ei darllen gan beiriant a darparu'r wybodaeth Paratoi ar gyfer y Rheoliad Cyffredinol ar Ddiogelu Data (GDPR): 12 cam i'w cymryd nawr, sy'n rhad ac am ddim.

  • i ddata personol y mae unigolyn wedi'u darparu i reolwr;
  • pan fydd y prosesau yn seiliedig ar gydsyniad yr unigolyn neu ar gyfer

cyflawni contract; 

  • pan gaiff prosesau eu cyflawni drwy ddulliau awtomataidd.

Ceisiadau mynediad gan wrthrych data

Dylech ddiweddaru eich gweithdrefnau a chynllunio sut y byddwch yn mynd i'r afael â cheisiadau i ystyried y rheolau newydd:

  • Yn y rhan fwyaf o achosion, ni fyddwch yn gallu codi tâl am gydymffurfio â chais.
  • Bydd gennych fis i gydymffurfio, yn hytrach na'r 40 diwrnod presennol.
  • Gallwch wrthod neu godi tâl am geisiadau sy'n amlwg yn ddi-sail neu'n ormodol.
  • Os byddwch yn gwrthod cais, rhaid i chi ddweud wrth yr unigolyn pam a bod ganddo'r hawl i gwyno i'r awdurdod gorchuchwylio ac i gael rhwymedi barnwrol. Rhaid i chi wneud hyn yn ddi-oed ac o fewn mis ar yr hwyraf.

Os bydd eich sefydliad yn trin nifer fawr o geisiadau mynediad, ystyriwch oblygiadau rhesymegol gorfod delio â cheisiadau yn gyflymach. Dylech ystyried p'un a yw'n ymarferol neu'n ddymunol i ddatblygu systemau sy'n galluogi unigolion i gyrchu eu gwybodaeth yn hawdd ar-lein.

Sail gyfreithiol ar gyfer prosesu data personol

Dylech nodi'r sail gyfreithiol ar gyfer eich gweithgarwch prosesu yn GDPR, ei dogfennu a diweddaru eich hysbysiad preifatrwydd er mwyn ei egluro.

Ni fydd llawer o sefydliadau wedi meddwl am eu sail gyfreithiol dros brosesu data personol. O dan y gyfraith bresennol, nid oes llawer o oblygiadau ymarferol i hyn. Fodd bynnag, bydd hyn yn wahanol o dan GDPR oherwydd caiff hawliau unigolion eu haddasu yn dibynnu ar eich sail gyfreithiol dros brosesu eu data personol. Yr enghraifft fwyaf amlwg yw y bydd gan bobl hawl gryfach i gael dileu eu data pan fyddwch yn defnyddio cydsyniad fel eich sail gyfreithiol dros brosesu.

Bydd hefyd angen i chi egluro eich sail gyfreithiol dros brosesu data personol yn eich hysbysiad preifatrwydd a phan fyddwch yn ateb cais mynediad gwrthrych data. Mae'r sail gyfreithiol yn GDPR yn gyffredinol yr un fath â'r amodau ar gyfer prosesu yn y Ddeddf Diogelu Data. Dylai fod yn bosibl adolygu'r mathau o weithgareddau prosesu a gyflawnir gennych a nodi eich sail gyfreithiol dros wneud hynny. Dylech ddogfennu eich sail gyfreithiol er mwyn i Paratoi ar gyfer y Rheoliad Cyffredinol ar Ddiogelu Data (GDPR): 12 cam i'w cymryd nawr, eich helpu i gydymffurfio â gofynion 'atebolrwydd' GDPR.

Cydsynio

Dylech nodi'r sail gyfreithiol ar gyfer eich gweithgarwch prosesu yn GDPR, ei dogfennu a diweddaru eich hysbysiad preifatrwydd er mwyn ei egluro.

Ni fydd llawer o sefydliadau wedi meddwl am eu sail gyfreithiol dros brosesu data personol. O dan y gyfraith bresennol, nid oes i hyn lawer o oblygiadau ymarferol.  Fodd bynnag, bydd hyn yn wahanol o dan GDPR oherwydd caiff hawliau unigolion eu haddasu yn dibynnu ar eich sail gyfreithiol dros brosesu eu data personol. Yr enghraifft fwyaf amlwg yw y bydd gan bobl hawl gryfach i gael dileu eu data pan fyddwch yn defnyddio cydsyniad fel eich sail gyfreithiol dros brosesu.

Bydd hefyd angen i chi egluro eich sail gyfreithiol dros brosesu data personol yn eich hysbysiad preifatrwydd a phan fyddwch yn ateb cais mynediad gwrthrych data. Mae'r sail gyfreithiol yn GDPR yn gyffredinol yr un fath â'r amodau ar gyfer prosesu yn y Ddeddf Diogelu Data. Dylai fod yn bosibl adolygu'r mathau o weithgareddau prosesu a gyflawnir gennych a nodi eich sail gyfreithiol dros wneud hynny. Dylech ddogfennu eich sail gyfreithiol er mwyn i Paratoi ar gyfer y Rheoliad Cyffredinol ar Ddiogelu Data (GDPR):  12 cam i'w cymryd nawr, eich helpu i gydymffurfio â gofynion 'atebolrwydd' GDPR.

Plant

Dylech ddechrau meddwl nawr am p'un a oes angen i chi sefydlu systemau er mwyn dilysu oedrannau unigolion a chael cydsyniad rhiant neu warcheidwad ar gyfer unrhyw weithgarwch prosesu data.

Am y tro cyntaf, bydd GDPR yn cyflwyno diogelwch arbennig ar gyfer data personol plant, yn enwedig yng nghyd-destun gwasanaethau rhyngrwyd masnachol fel rhwydweithio cymdeithasol. Os yw eich sefydliad yn cynnig gwasanaethau ar-lein ('gwasanaethau cymdeithas gwybodaeth') i blant ac yn dibynnu ar gydsyniad er mwyn casglu gwybodaeth amdanynt, yna efallai y bydd angen cydsyniad rhiant neu warcheidwad arnoch er mwyn prosesu eu data personol yn gyfreithiol.  Mae GDPR yn nodi'r oedran pan all plentyn roi ei gydsyniad ei hun i'r prosesau hyn yn 16 oed (er y gellir lleihau hyn i isafswm o 13 oed yn y DU). Os yw plentyn yn iau yna bydd angen i chi gael cydsyniad gan berson sydd â 'chyfrifoldeb rhiant'.

Gallai hyn gael goblygiadau sylweddol os bydd eich sefydliad yn cynnig gwasanaethau ar-lein i blant ac yn casglu eu data personol. Cofiwch fod yn rhaid gallu dilysu cydsyniad ac wrth gasglu data plant, rhaid ysgrifennu eich hysbysiad preifatrwydd mewn iaith y bydd plant yn ei deall.

Achosion o dorri data

Dylech wneud yn siŵr fod gennych y gweithdrefnau cywir ar waith er mwyn canfod achosion o dorri data personol, adrodd amdanynt ac ymchwilio iddynt.

Mae eisoes yn ofynnol i rai sefydliadau hysbysu Swyddfa'r Comisiynydd Gwybodaeth (a rhai cyrff eraill o bosibl) pan fyddant yn dod ar draws achos o dorri data personol. Mae GDPR yn cyflwyno dyletswydd ar bob sefydliad i adrodd am fathau penodol o achosion o dorri data i Swyddfa'r Comisiynydd Gwybodaeth, ac mewn rhai achosion, i unigolion. Dim ond os bydd achos o dorri data yn debygol o arwain at risg i hawliau a rhyddid unigolion y bydd angen i chi hysbysu Swyddfa'r Comisiynydd Gwybodaeth amdano – os, er enghraifft, y gallai arwain at wahaniaethu, niwed i enw da, colled ariannol, colli cyfrinachedd neu unrhyw anfantais economaidd neu gymdeithasol sylweddol arall.

Pan fydd achos o dorri data yn debygol o arwain at risg fawr i hawliau a rhyddid unigolion, bydd hefyd angen i chi hysbysu'r sawl dan sylw yn uniongyrchol yn y rhan fwyaf o achosion.

Dylech roi gweithdrefnau ar waith er mwyn canfod achosion o dorri data personol, adrodd amdanynt ac ymchwilio iddynt yn effeithiol. Efallai y byddwch am asesu'r mathau o ddata personol sydd gennych a dogfennu lle y byddai'n ofynnol i chi hysbysu Swyddfa'r Comisiynydd Gwybodaeth neu unigolion yr effeithir arnynt os bydd achos o dorri data yn digwydd. Bydd angen i sefydliadau mwy ddatblygu polisïau a gweithrefnau ar gyfer rheoli achosion o dorri data. Gallai methiant i adrodd am achos o dorri data pan fydd yn ofynnol i chi wneud hynny arwain at ddirwy, yn ogystal â dirwy ar gyfer yr achos o dorri data ei hun.

Diogelu Data o'r Cychwyn ac Asesiadau o'r Effaith ar Ddiogelu Data

Mae bob amser wedi bod yn arfer da i fabwysiadu dull preifatrwydd o'r cychwyn a chynnal Asesiad o'r Effaith ar Breifatrwydd fel rhan o hyn. Fodd bynnag, mae GDPR yn gwneud preifatrwydd o'r cychwyn yn ofyniad cyfreithiol penodol, o dan y term diogelu data o'r cychwyn ac yn ddiofyn. Mae hefyd yn golygu bod Asesiadau o'r Effaith ar Breifatrwydd – y cyfeirir ato fel 'Asesiadau o'r Effaith ar Ddiogelu Data' – yn orfodol mewn amgylchiadau penodol.

Mae Asesiad o'r Effaith ar Ddiogelu Data yn ofynnol mewn sefyllfaoedd pan fydd prosesu data yn debygol o arwain at risg uchel i unigolion, er enghraifft:

  • pan fydd technoleg newydd yn cael ei defnyddio;
  • pan fydd gweithrediad proffilio yn debygol o effeithio'n sylweddol ar unigolion; neu
  • pan fydd nodweddion arbennig data yn cael eu prosesu ar raddfa fawr.

Os bydd Asesiad o'r Effaith ar Ddiogelu Data yn nodi bod prosesu'r data yn cyflwyno risg uchel, ac ni allwch fynd i'r afael â'r risgiau hynny yn ddigonol, bydd yn ofynnol i chi ymgynghori â Swyddfa'r Comisiynydd Gwybodaeth er mwyn ceisio ei barn ar p'un a yw'r gweithrediad prosesu yn cydymffurfio â GDPR.

Felly, dylech ddechrau asesu'r sefyllfaoedd lle y bydd angen cynnal Asesiad o'r Effaith ar Ddiogelu Data. Pwy fydd yn gwneud hyn? Pwy arall y bydd angen eu cynnwys? A gaiff y broses ei chynnal yn ganolog neu'n lleol? Dylech hefyd ymgyfarwyddo â'r canllawiau y mae Swyddfa'r Comisinydd Gwybodaeth wedi eu llunio ar Asesiadau o'r Effaith ar Breifatrwydd yn ogystal â'r canllawiau o Weithgor Erthygl 29, a gweithio allan sut i'w gweithredu yn eich sefydliad. Mae'r canllawiau hyn yn dangos sut y gall Asesiadau o'r Effaith ar Breifatrwydd gysylltu â phrosesau sefydliadol eraill fel rheoli risg a rheoli prosiect.

Swyddogion Diogelu Data

Dylech benodi rhywun i gymryd cyfrifoldeb am gydymffurfiaeth diogelu data ac asesu lleoliad y rôl hon o fewn strwythur eich sefydliad a'r trefniadau llywodraethu. Dylech ystyried p'un a yw'n ofynnol i chi benodi Swyddog Diogelu Data yn ffurfiol. Rhaid i chi benodi Swyddog Diogelu Data os yw'r canlynol yn berthnasol i chi:

Mae'n bwysig iawn bod rhywun yn eich sefydliad, neu gynghorydd diogelu data allanol, yn cymryd cyfrifoldeb priodol dros eich cydymffurfiaeth o ran diogelu data a bod ganddo'r wybodaeth, y cymorth a'r awdurdod i gyflawni ei rôl yn effeithiol.

Rhyngwladol

 

Os yw eich sefydliad yn gweithredu mewn mwy nag un o aelod-wladwriaethau'r UE, dylech benderfynu beth yw eich awdurdod goruchwylio diogelu data arweiniol a dogfennu hyn.

Yr awdurdod arweiniol yw'r awdurdod goruchwylio yn yr aelod-wladwriaeth lle mae eich prif sefydliad. Eich prif sefydliad yw safle eich gweinyddiaeth ganolog yn yr UE neu'r lleoliad lle y caiff penderfyniadau ynghylch dibenion a dulliau prosesu eu gwneud a'u rhoi ar waith.

Mae hyn ond yn berthnasol pan fyddwch yn cynnal prosesau ar draws finiau – h.y. mae gennych sefydliadau mewn mwy nag un aelod wladwriaeth neu mae gennych un sefydliad yn yr UE sy'n cynnal prosesau sy'n effeithio'n sylweddol ar unigolion mewn aelod-wladwriaethau eraill yr UE.

Os yw hyn yn gymwys i'ch sefydliad, dylech fapio lle mae eich sefydliad yn gwneud ei benderfyniadau pwysicaf ynghylch ei weithgareddau prosesu. Bydd hyn yn helpu i benderfynu pa un yw eich 'prif sefydliad' ac felly eich awdurdod goruchwylio arweiniol. Mae Gweithgor Erthygl 29 wedi llunio canllawiau ar nodi awdurdod goruchwylio arweiniol rheolwr neu brosesydd.

Ffynhonnell: Swyddfa'r Comisiynydd Gwybodaeth