Y Rheoliad Diogelu Data Cyffredinol

null

Ar 25 Mai 2018, bydd y Rheoliad Diogelu Data Cyffredinol (GDPR - y Rheoliad) yn disodli Deddf Diogelu Data 1998. 

Mae llawer o brif gysyniadau ac egwyddorion y Rheoliad yr un â rhai'r Ddeddf Diogelu Data bresennol ond mae'n cynnwys rhai elfennau newydd a newidiadau pwysig, felly bydd rhai pethau'n newydd a bydd rhaid i ni wneud rhai pethau'n wahanol.

Y newid mwyaf i'w gyflwyno pan ddaw’r Rheoliad Cyffredinol i rym yw'r angen i gynyddu rheolaeth pobl dros eu data. 

Mae'r newidiadau allweddol yn cynnwys:   rheolau newydd ynghylch cydsyniad, hysbysiadau preifatrwydd manylach, hysbysiad gorfodol am achosion o dorri diogelwch data, dirwyon uwch, hawliau newydd neu estynedig ar gyfer gwrthrychau data, cwmpas tiriogaethol ehangach a chyflwyniad egwyddor atebolrwydd. O ganlyniad, mae rhai arferion a argymhellwyd o'r blaen fel arfer da, bellach yn ofynion cyfreithiol mewn amgylchiadau penodol, e.e. cynnal asesiad effaith ar breifatrwydd ac ymgorffori diogelwch data wrth gynllunio prosiectau, cadw cofnodion mewnol manwl o weithgareddau prosesu, a sicrhau bod unrhyw brosesu data trydydd parti a wneir dan gontract yn unol â gofynion y Rheoliad.

Newidiadau Allweddol - Y Rheoliad Diogelu Data Cyffredinol

Cydsyniad

Mae'r Rheoliad wedi pennu cyfundrefn fwy caeth o lawer mewn perthynas â chydsyniad. Mae'r Rheoliad:

  • yn pennu safon uchel newydd o ran cydsyniad;
  • yn nodi'n fanylach bod rhaid i arwydd o gydsyniad fod yn ddiamwys ac ar sail gweithred glir a chadarnhaol - nid yw tawelwch a blychau wedi'u ticio ymlaen llaw'n gyfwerth â chydsyniad;
  • yn mynnu bod angen i gydsyniad fod yn benodol ac yn wybodus - rhaid iddo ymwneud yn uniongyrchol â'r diben y cafodd ei roi ar ei gyfer;
  • yn nodi bod rhaid i gydsyniad fod ar wahân i amodau a thelerau eraill a rhaid iddo gynrychioli dewis rhydd go iawn - ni ddylai fod yn rhag-amod cofrestru am wasanaeth;
  • yn gosod dyletswydd ar y Brifysgol i gadw cofnodion clir fel y gall wirio sut a phryd y cafwyd cydsyniad;
  • yn rhoi hawl benodol i dynnu cydsyniad yn ôl - rhaid i chi roi gwybod i bobl am yr hawl hon a chynnig ffyrdd hawdd o fanteisio arni.

    Nid yw'n ofynnol adnewyddu pob cydsyniad sydd eisoes gennych o dan y Ddeddf Diogelu Data. Fodd bynnag, mae'n rhaid i chi:
  • wirio eich prosesau a'ch cofnodion yn ofalus i sicrhau bod pob cydsyniad sydd eisoes gennych yn bodloni'r safon newydd; a
  • rhoi mecanweithiau yn eu lle i ganiatáu i unigolion dynnu cydsyniad yn ôl yn rhwydd.

Sail Gyfreithiol Amgen

Er mwyn i brosesu data fod yn gyfreithlon, rhaid i chi nodi sail gyfreithiol i brosesu'r data. Mae'r Rheoliad yn darparu nifer o seiliau cyfreithiol ar gyfer prosesu data, yn eu plith cydsyniad. Os na allwch eich bodloni eich hun eich bod wedi derbyn cydsyniad dilys, rhaid i chi sicrhau eich bod yn gallu dibynnu ar sail gyfreithiol amgen i brosesu'r data hwnnw.  Dyma rai seiliau cyfreithiol amgen:

  • mae'r prosesu'n angenrheidiol i gyflawni contract gyda gwrthrych y data neu er mwyn gweithredu ar gais gwrthrych y data cyn ymrwymo i gontract;
  • mae'r prosesu'n angenrheidiol  er mwyn cydymffurfio â rhwymedigaeth gyfreithiol ar y Brifysgol;
  • mae'r prosesu'n angenrheidiol er mwyn diogelu buddiannau hanfodol gwrthrych y data neu berson naturiol arall;
  • mae'r prosesu'n angenrheidiol i gyflawni tasg a wneir er budd y cyhoedd;

mae'r prosesu'n angenrheidiol er lles buddiannau cyfreithlon y Brifysgol neu drydydd parti, ac eithrio lle y mae buddiannau neu hawliau a rhyddid sylfaenol gwrthrych y data'n drech na buddiannau o'r fath (gan mai awdurdod cyhoeddus yw'r Brifysgol, ni all y Brifysgol ddefnyddio'r amod hwn oni bai fod y prosesu y tu allan i'n swyddogaeth graidd, sef darparu addysg a gwneud ymchwil).

Mae'r Hawl I Gael Eich Hysbysu

Un o brif amcanion y Rheoliad yw estyn hawliau unigolion. Ar y cyfan, mae'n rhaid ymateb i bob hawl  o fewn un mis. Mae gan Wrthrychau Data wyth hawl newydd neu estynedig.

Mae'r hawl i gael eich hysbysu yn un o'r hawliau estynedig o dan y Rheoliad.  Bydd angen diweddaru Hysbysiadau Preifatrwydd a dogfennau eraill, i sicrhau eu bod yn hawdd eu deall i'r unigolion y bydd angen arnynt eu defnyddio. Yn achos gwybodaeth a brosesir gan y Brifysgol sydd wedi'i derbyn yn uniongyrchol gan yr unigolyn, dylid hysbysu'r unigolyn am y canlynol ar adeg casglu'r wybodaeth:

  • Enw a manylion cyswllt y rheolydd data a'r Swyddog Diogelu Data.
  • Diben a sail gyfreithiol y prosesu.
  • Buddiannau cyfreithlon y rheolydd (neu'r trydydd parti, lle y bo'n briodol)
  • Pwy fydd yn derbyn yr wybodaeth.
  • Unrhyw drosglwyddo data i wledydd eraill a'r mesurau diogelwch sydd ar waith.
  • Am faint o amser bydd yr wybodaeth yn cael ei chadw.
  • Bod ganddynt hawliau o dan y Rheoliad a natur yr hawliau hynny.
  • Bod ganddynt hawl i dynnu cydsyniad yn ôl unrhyw bryd.
  • Bod ganddynt hawl i gwyno i Swyddfa'r Comisiynydd Gwybodaeth.
  • A yw'n ofyniad cyfreithiol bod yr wybodaeth yn cael ei rhannu, a goblygiadau posib peidio â gwneud hynny
  • Unrhyw benderfyniadau awtomataidd a wneir ar sail yr wybodaeth.

  Canllawiau ac Enghraifft o Ffurflen Hysbysiad Preifatrwydd

 

Diffiniadau Data Diwygiedig a Seiliau Cyfreithiol dros Brosesu

Mae hyn yn ymwneud â'r hyn roeddem yn arfer ei alw'n "Amodau Prosesu" dan Atodlenni 2 a 3 Deddf Diogelu Data 1998". Dan y Rheoliad, mae Swyddfa'r Comisiynydd Gwybodaeth yn pwysleisio y dylai sefydliadau edrych ar y mathau gwahanol o ddata maent yn eu prosesu er mwyn nodi'r sail gyfreithiol dros ei brosesu, a chofnodi canlyniadau'r broses hon.

 1.      Data Personol Mae'r Rheoliad yn diffinio hyn fel a ganlyn:-

unrhyw wybodaeth sy'n ymwneud â pherson naturiol a enwir neu y gellir ei adnabod ('gwrthrych y data'); mae person naturiol y gellir ei adnabod yn rhywun y gellir ei adnabod, yn uniongyrchol neu'n anuniongyrchol, drwy gyfeirio at fanylyn megis enw, rhif adnabod, data lleoliad, manylion adnabod ar-lein, neu un neu fwy o ffactorau sy'n benodol i hunaniaeth gorfforol, ffisiolegol, genetig, feddyliol, economaidd, ddiwylliannol neu gymdeithasol y person naturiol hwnnw’.

 Mae'r diffiniad yn y Rheoliad ychydig yn fanylach na diffiniad y Ddeddf Diogelu Data, gan egluro bod unrhyw ddata y gellir ei ddefnyddio i adnabod unigolion, gan gynnwys manylion ar-lein megis cyfeiriad IP cyfrifiadur, yn gallu cael ei ystyried yn ddata personol.

 Mae Swyddfa'r Comisiynydd Gwybodaeth yn nodi: "Mae'r diffiniad ehangach yn darparu ar gyfer cynnwys amrywiaeth eang o fanylion mewn data personol, gan adlewyrchu newidiadau mewn technoleg a'r ffyrdd mae sefydliadau'n casglu gwybodaeth am bobl." Gan ystyried hyn, ni chaniateir prosesu Data Personol oni fodlonir un o'r amodau canlynol dan Erthygl 6 y Rheoliad:

  • Mae Gwrthrych y Data wedi rhoi ei gydsyniad.
  • Mae'r prosesu'n angenrheidiol i gyflawni contract gyda Gwrthrych y Data.
  • Mae'r prosesu'n angenrheidiol i gydymffurfio â rhwymedigaeth gyfreithiol.
  • Mae'r prosesu'n angenrheidiol er mwyn diogelu buddiannau hanfodol Gwrthrych y Data neu unigolyn arall.
  • Mae'r prosesu'n angenrheidiol  er mwyn cyflawni tasg a wneir er budd y cyhoedd neu wrth arfer awdurdod swyddogol a freinir yn y Rheolydd Data.
  • Mae'r prosesu'n angenrheidiol at ddibenion buddiannau cyfreithlon a ddilynir gan y Rheolydd Data neu drydydd parti (defnydd cyfyngedig ar gyfer awdurdodau cyhoeddus).

Ychydig yn unig, os oes rhai o gwbl, o newidiadau sylweddol sydd i Atodlen 2 y Ddeddf Diogelu Data. Fodd bynnag, y gwahaniaeth allweddol sy'n effeithio ar y Brifysgol yw'r ffaith na fydd awdurdodau cyhoeddus bellach yn gallu dibynnu ar yr amod buddiannau cyfreithlon lle mae prosesu'n rhan o'i dyletswyddau craidd, h.y. darparu addysg ac ymgymryd ag ymchwil.  Hefyd, bydd angen dangos hawliad o fuddiannau cyfreithlon yn glir mewn perthynas â phrosesu data.

 2.      Categorïau Arbennig o Ddata

Cyfeiriwyd at hyn o'r blaen fel Data Personol Sensitif dan y Ddeddf Diogelu Data. I raddau helaeth, nid yw wedi newid, ar wahân i rai mân ddiwygiadau, megis cynnwys data genetig a biometrig a allai alluogi adnabod unigolyn o'i brosesu. Nid yw data personol sy'n ymwneud ag euogfarnau troseddol a throseddau wedi'i gynnwys, er bod mesurau diogelu ychwanegol tebyg yn berthnasol i'w ddefnyddio. I'r perwyl hwn, ni chaniateir prosesu Categorïau Arbennig o Ddata oni fodlonir un o'r amodau canlynol dan Erthygl 9 y Rheoliad:

  • Mae Gwrthrych y Data wedi rhoi cydsyniad penodol
  • Mae'r prosesu'n angenrheidiol er mwyn cyflawni rhwymedigaethau dan gyfraith cyflogaeth, nawdd cymdeithasol neu ddiogelwch cymdeithasol, neu gydgytundeb.
  • Mae'r prosesu'n angenrheidiol er mwyn diogelu buddiannau hanfodol Gwrthrych y Data neu unigolyn arall.
  • Prosesir y data gan gorff nid er elw â nod gwleidyddol, athronyddol, crefyddol neu undeb llafur.
  • Mae'r prosesu'n ymwneud â data personol mae gwrthrych y data wedi'i wneud yn gyhoeddus.
  • Mae'r prosesu'n angenrheidiol er mwyn sefydlu, arfer neu amddiffyn hawliadau cyfreithiol neu pan fydd llysoedd yn gweithredu yn eu rhinwedd farnwrol.
  • Mae'r prosesu'n angenrheidiol am resymau budd sylweddol y cyhoedd o fewn cyfraith yr UE neu gyfraith un o'r aelod-wladwriaethau.
  • Mae'r prosesu'n angenrheidiol at ddibenion meddygaeth ataliol neu alwedigaethol, i asesu gallu aelod staff i weithio, darparu diagnosis meddygol, darparu gofal neu driniaeth iechyd neu gymdeithasol neu reoli systemau iechyd neu ofal cymdeithasol.
  • Mae'r prosesu'n angenrheidiol am resymau budd cyhoeddus ym maes iechyd cyhoeddus.
  • Mae'r prosesu'n angenrheidiol at ddibenion archifo er budd y cyhoedd, at ddibenion ymchwil gwyddonol neu hanesyddol neu ddibenion ystadegol.

Bydd rhaid i'r Brifysgol esbonio pa sail gyfreithiol a ddefnyddiwyd i brosesu data personol mewn Hysbysiadau Preifatrwydd ac wrth ymateb i Geisiadau Gan Wrthrych Data. Bydd hyn yn helpu'r Brifysgol i gydymffurfio â gofynion atebolrwydd y Rheoliad Diogelu Data Cyffredinol ac i atal cwynion ac, ar yr amod bod y rhesymau'n ddilys, bydd yn atal, neu o leiaf yn lleihau, unrhyw hawliadau yn erbyn y Brifysgol am brosesu amhriodol.

Diogelu Data drwy Ddylunio ac Asesiadau Effaith ar Breifatrwydd

Yn sgil cyflwyno'r egwyddor atebolrwydd newydd dan y Rheoliad, mae angen i sefydliadau ddeall y risgiau maent yn eu creu, eu lliniaru a gallu dangos eu bod yn cydymffurfio. Mae rhai arferion, a oedd gynt yn cael eu hargymell fel ymarfer da, bellach yn ofynion cyfreithiol - mae'r rhain yn cynnwys diogelu data drwy ddylunio ac asesiadau effaith ar breifatrwydd.

Diogelu data drwy ddylunio - Wrth ddylunio system, proses neu wasanaeth newydd, bydd rhaid i sefydliadau ddangos eu bod wedi ystyried ac wedi integreiddio diogelwch data yn eu gweithgareddau prosesu, o gamau cychwynnol y broses ddylunio. Mae sicrhau bod preifatrwydd a diogelwch data yn ystyriaethau allweddol ar ddechrau cynllunio unrhyw brosiect, a thrwy gydol ei oes, yn ofyniad cyfreithiol bellach. Er enghraifft:  

  • adeiladu systemau TG newydd ar gyfer storio neu gyrchu data personol;
  • datblygu deddfwriaeth, polisi neu strategaethau sydd â goblygiadau o ran preifatrwydd;
  • cychwyn menter rhannu data; neu
  • defnyddio data at ddibenion newydd.

Dyma rai ffyrdd o ddangos tystiolaeth o ddiogelu data drwy ddylunio:

  • Cofnodi unrhyw strategaethau a rheolyddion a roddwyd ar waith eisoes
  • Ymgynghori â Swyddog Diogelu Data'r sefydliad i helpu wrth werthuso a threfnu camau i liniaru risg.
  • Sicrhau bod darparwyr diogelwch/systemau yn dangos eu bod yn cydymffurfio.
  • Gweithredu canllawiau cyfredol Swyddfa'r Comisiynydd Gwybodaeth ynghylch Asesiadau Effaith ar Breifatrwydd/Asesiadau Effaith ar Ddiogelwch Data ym mhob rhan o'r sefydliad.
  • Creu dogfennaeth a phrosesau asesu effaith ar breifatrwydd.

Mae'n hanfodol mabwysiadu ymagwedd preifatrwydd drwy ddylunio er mwyn lleihau risgiau i breifatrwydd a meithrin ymddiriedaeth. Gall cynnwys preifatrwydd o'r dechrau wrth ddylunio prosiectau, prosesau neu gynhyrchion arwain at fanteision gan gynnwys:

  • Nodir problemau posib yn gynnar, pan fydd yn haws ac yn rhatach eu datrys.
  • Ymwybyddiaeth gynyddol o breifatrwydd a diogelu data mewn sefydliad.
  • Mae sefydliadau'n fwy tebygol o gyflawni eu rhwymedigaethau cyfreithiol ac yn llai tebygol o weithredu'n groes i'r Ddeddf Diogelu Data.
  • Mae gweithgareddau'n llai tebygol o amharu ar breifatrwydd a chael effaith negyddol ar unigolion.

Asesiadau Effaith ar Breifatrwydd - offeryn i'w ddefnyddio gan sefydliadau i nodi ffyrdd effeithiol o gydymffurfio â rhwymedigaethau'r Rheoliad. Bydd Swyddfa'r Comisiynydd Gwybodaeth yn disgwyl gweld tystiolaeth o ddiogelu data drwy ddylunio, drwy ddefnyddio Asesiad Effaith ar Breifatrwydd neu Asesiad Effaith ar Ddiogelwch Data. Mae'n orfodol cynnal asesiad effaith ar breifatrwydd yn yr amgylchiadau canlynol:

  • Defnyddio technoleg newydd - gall hyn beri'r angen i gynnal asesiad effaith ar breifatrwydd oherwydd y gall gynnwys ffyrdd newydd o gasglu a defnyddio data, gan arwain at risg uchel, o bosib, i hawliau a rhyddidau unigolyn.
  • Lle mae'r prosesu'n debygol o beri risg uchel i hawliau a rhyddidau unigolion. Bydd prosesu risg uchel yn cynnwys:
  • Gwerthuso neu sgorio, gan gynnwys proffilio a rhagfynegi yn enwedig ar sail 'agweddau sy'n ymwneud â pherfformiad gwaith gwrthrychau data, eu sefyllfa economaidd, eu hiechyd, eu dewisiadau neu eu diddordebau personol, eu dibynadwyedd neu eu hymddygiad, eu lleoliadau neu eu symudiadau'. Enghraifft o hyn fyddai sefydliad yn creu proffiliau ymddygiad neu farchnata ar sail defnydd o'i wefan neu ymweliadau â rhannau o'i wefan.  
  • Penderfynu awtomataidd ag effaith gyfreithiol neu effaith sylweddol debyg. Enghreifftiau o hyn fyddai lle gall prosesu arwain at eithrio neu wahaniaethu yn erbyn unigolion.
  • Monitro systematig - prosesu data er mwyn arsylwi ar wrthrychau data, eu monitro neu eu rheoli, e.e. Camerâu Cylch Cyfyng
  • Categorïau Arbennig o Ddata neu Wybodaeth Bersonol Sensitif – e.e. cofnodion meddygol cleifion mewn ysbyty neu ddata personol sy'n ymwneud ag euogfarnau troseddol. Mae hyn yn cyfeirio'n bennaf at brosesu data personol sensitif ar raddfa fawr, lle mae'r risgiau posib i hawliau a rhyddidau unigolion yn uwch. Mae sefydliad sy'n trefnu digwyddiad corfforaethol ac yn casglu data am alergeddau gwesteion yn prosesu data personol sensitif, ond ni fyddai angen cynnal asesiad effaith ar breifatrwydd.
  • Prosesu data ar raddfa fawr - byddai hyn yn dibynnu ar nifer y gwrthrychau data, swm y data, hyd y gweithgarwch prosesu a hyd a lled daearyddol y gweithgarwch prosesu.
  • Data sy'n ymwneud â gwrthrychau data sy'n agored i niwed.
  • Trosglwyddo data ar draws ffiniau y tu allan i'r Undeb Ewropeaidd.

Os nad yw'n amlwg a oes angen Asesiad Effaith ar Breifatrwydd, neu a ydych yn prosesu data personol sensitif, efallai y dylech ystyried cynnal Asesiad Effaith ar Breifatrwydd beth bynnag - cofiwch, mae'n ffordd o ddangos eich bod yn cydymffurfio â'r Rheoliad Diogelu Data Cyffredinol. Am fanylion am sut i gynnal Asesiad Effaith ar Breifatrwydd, ffoniwch Bev Buckley  ar estyniad 6281 neu e-bostiwch dataprotection@abertawe.ac.uk

Y Gyfundrefn Newydd

Bydd y Rheoliad yn golygu cynnydd sylweddol yn uchafswm y dirwyon y gallai sefydliadau eu hwynebu, ar ddwy lefel:
1) Hyd at 2% o drosiant blynyddol byd-eang y flwyddyn ariannol flaenorol, neu 10 miliwn Ewros (pa swm bynnag sydd uchaf) am dramgwyddau sy'n ymwneud â chadw cofnodion mewnol, contractau prosesydd data, asesiadau effaith ar breifatrwydd, diogelwch data a hysbysiad am dorri'r rheoliadau a diogelu data drwy ddylunio (ymysg eraill); a

2) Hyd at 4% o drosiant blynyddol byd-eang y flwyddyn ariannol flaenorol neu 20 miliwn Ewros (pa swm bynnag sydd uchaf), am dramgwyddau sy'n ymwneud â gweithredu'n groes i'r egwyddorion diogelu data, yr amodau cydsyniad, hawliau gwrthrych y data a throsglwyddiadau rhyngwladol.
Mae'r dirwyon esgynnol hyn yn uwch o lawer na'r uchafswm presennol o £500,000 yn ôl y Ddeddf Diogelu Data.

Gweithdrefn Hysbysu am Dorri'r Rheoliad

Mae'r Rheoliad Diogelu Data Cyffredinol yn gosod dyletswydd ar bob sefydliad i roi gwybod i'r awdurdod goruchwylio priodol (Swyddfa'r Comisiynydd  Gwybodaeth yn y DU) am fathau penodol o dorri'r rheoliad ynghylch data personol. Mae'n rhaid i sefydliadau hysbysu'r awdurdod priodol o fewn 72 awr o ddod yn ymwybodol o unrhyw ddigwyddiad o'r fath.

Gall methu rhoi gwybod am achos o dorri'r rheoliad pan fydd yn ofynnol gwneud hynny arwain at ddirwy sylweddol i'r Brifysgol.

Os yw'r digwyddiad yn debygol o beri risg uchel o effeithio'n niweidiol ar hawliau a rhyddid unigolion, mae dyletswydd hefyd i roi gwybod i'r unigolion hynny'n ddi-oed.

Er mwyn cyflawni'r ddyletswydd hon, bydd angen i'r Brifysgol roi gweithdrefnau cadarn ar waith at ddiben canfod achosion o dorri'r Rheoliad, ymchwilio iddynt a hysbysu mewnol. Bydd hyn yn hwyluso'r broses o benderfynu a ddylid hysbysu Swyddfa'r Comisiynydd Gwybodaeth a'r unigolion yr effeithir arnynt ai peidio.

Yn ogystal, bydd angen i'r Brifysgol gofnodi unrhyw achosion o fynediad diawdurdod i ddata personol, waeth a yw'n ofynnol iddi hysbysu Swyddfa'r Comisiynydd Gwybodaeth ai peidio.

Beth yw gweithred sy'n torri'r rheoliadau ynghylch data personol?

Mae hyn yn golygu methiant diogelwch sy'n arwain at ddinistrio, colli, newid, neu ddatgelu data personol heb ganiatâd neu roi mynediad i ddata personol heb ganiatâd yn ddamweiniol neu'n anghyfreithlon. Mae’n cynnwys digwyddiadau sydd o ganlyniad i weithredoedd damweiniol a bwriadol. Mae hefyd yn golygu bod gweithred o'r fath yn ehangach na cholli data personol yn unig. Gall gweithredoedd sy'n groes i'r Rheoliad ynghylch data personol gynnwys:

  • mynediad gan drydydd parti heb awdurdod;
  • gwaith papur wedi'i golli neu ei ddwyn;
  • anfon data personol drwy'r post at y derbynnydd anghywir;
  • e-bostio data personol at dderbynnydd anghywir;
  • peidio â defnyddio bcc pan fydd hyn yn ofynnol;
  • gwaredu ar ddata personol mewn modd anniogel;
  • dyfeisiau sy'n cynnwys data personol yn cael eu colli neu eu dwyn, e.e. colli cof bach sy'n cynnwys data personol;
  • digwyddiadau seiber;
  • newid data personol heb ganiatâd; a
  • cholli argaeledd data personol.

Sut dylwn i roi gwybod am ddigwyddiad sy'n torri’r rheoliad ynghylch data personol?

Os bydd unrhyw aelod staff yn amau digwyddiad sy'n torri’r rheoliad ynghylch data personol, neu'n dod yn ymwybodol o ddigwyddiad o'r fath, rhaid dilyn y weithdrefn ganlynol ar unwaith:-

  • Cynnal asesiad cyflym o natur a hyd a lled y digwyddiad, fel y gallwch ddisgrifio'r hyn sydd wedi digwydd. 
  • Rhoi gwybod am y digwyddiad cyn gynted ag y daw i'ch sylw, gan nodi eich bod yn credu bod y rheoliadau ynghylch data personol wedi'u torri, i Dîm Gwasanaeth Cwsmeriaid GGS drwy un o'r dulliau canlynol:- 
  • Yn Bersonol:  Drwy fynd i Ddesgiau Gwybodaeth y Llyfrgell
  • Dros y ffôn: 01792 (29) 5500
  •  Drwy'r Ddesg Wasanaeth ar-lein sydd ar gael i'r holl fyfyrwyr a staff - Peidiwch â chynnwys data personol a data personol sensitif wrth gwblhau'r ffurflen ar-lein. https://servicedesk.swansea.ac.uk/ 
  • Darparwch gynifer o fanylion â phosib, gan gynnwys:- 
  • beth yw'r wybodaeth dan sylw, i bwy mae'n berthnasol a data faint o unigolion sydd dan sylw, dyddiad a lleoliad y digwyddiad (os yw'n briodol)
  • beth ddigwyddodd iddo - gafodd ei golli, ei ddwyn neu ei ddatgelu'n ddamweiniol?
  • beth allai fod wedi achosi'r digwyddiad
  • camau a gymerwyd hyd yn hyn
  • manylion cyswllt unrhyw unigolyn neu unigolion a fydd yn gwybod am y digwyddiad ac sy'n gallu cydlynu'r ymchwiliad cychwynnol o safbwynt adrannol. 
  • Gwnewch yn siŵr eich bod yn cael cyfeirnod ar gyfer eich cofnodion. 
  • Rhowch wybod i'ch rheolwr llinell. 
  • Cymerwch unrhyw gamau unioni y gallwch i leihau effaith y digwyddiad. 
  • Byddwch yn barod i weithio gyda Thîm Diogelwch Gwybodaeth GGS a Swyddog Diogelu Data'r Brifysgol i gynnal adolygiad manylach, er mwyn deall effaith lawn y digwyddiad a rhoi mesurau lliniaru ar waith i atal digwyddiadau o'r fath yn y dyfodol. 
  • Sicrhewch nad yw manylion y digwyddiad yn cael eu lledaenu ymhellach ar yr adeg hon a bod unrhyw benderfyniadau i wneud pobl yn ymwybodol yn cael eu gwneud o fewn y tîm sy'n delio â'r digwyddiad.

Contractau gyda phroseswyr data trydydd parti

Mae'r Rheoliad yn gosod dyletswydd gofal mawr ar reolwyr data (y Brifysgol) o ran dewis darparwyr gwasanaeth prosesu data personol. Pryd bynnag y mae'r rheolwr data yn defnyddio prosesydd i brosesu data personol ar ei ran, rhaid bod ganddo gontract ysgrifenedig ar waith. Mae'r contract yn bwysig fel bod y ddau barti'n deall eu cyfrifoldebau a'u rhwymedigaethau.

Y gwahaniaeth allweddol rhwng Deddf Diogelu Data 1998 a'r Rheoliad yw bod y Rheoliad yn nodi'r hyn y mae angen ei gynnwys yn y contract. Mae rhestr o'r manylion gorfodol sydd i'w cynnwys mewn contract ar gael ar wefan Swyddfa'r Comisiynydd Gwybodaeth:-

https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/contracts/

Y rheolwyr sy'n gyfrifol am gydymffurfio â'r Rheoliad, a rhaid iddynt ond penodi proseswyr data sy'n gallu darparu sicrwydd digonol y bydd gofynion y Rheoliad yn cael eu bodloni ac y bydd hawliau gwrthrychau data yn cael eu diogelu.

Rhaid i'r proseswyr ond gweithredu ar sail y cyfarwyddiadau a nodwyd gan y rheolwr. Fodd bynnag, bydd ganddynt rai cyfrifoldebau uniongyrchol o dan y Rheoliad ac mae'n bosibl y cânt ddirwyon neu gosbau eraill os na fyddant yn cydymffurfio.

Dyma rai enghreifftiau o sefydliadau sy'n darparu gwasanaethau sy'n cynnwys gwaith prosesu data personol: cwmnïau megis y rhai sy'n darparu storfeydd yn y cwmwl; gwasanaethau Technoleg Gwybodaeth; swyddogaethau Adnoddau Dynol; gwasanaethau marchnata; a gwasanaethau cyflogres.

Gweithredu

Bydd y gofynion hyn yn berthnasol ar unwaith o 25 Mai 2018 yn achos contractau newydd a chontractau sydd eisoes yn bodoli. Mae'r Brifysgol wedi diweddaru ei chymalau diogelu data safonol ar gyfer contractau newydd, ond bydd hefyd angen diweddaru contractau sydd eisoes yn bodoli lle y mae gwaith prosesu data gan drydydd parti. Os ydych yn ymwybodol o gontract y bydd angen ei amrywio yn unol â gofynion y Rheoliad Diogelu Data Cyffredinol, rhowch wybod i Swyddog Diogelu Data y Brifysgol – gdprcontracts@abertawe.ac.uk.

Cofnod o Weithgareddau Prosesu

Fel Rheolydd Data, mae'n ofynnol i'r Brifysgol gadw cofnod o weithgareddau prosesu, sy'n cynnwys yr holl ddata personol a brosesir gan y Brifysgol. Ymysg pethau eraill, mae'r cofnod hwn yn cynnwys manylion am y rhesymau pam mae'r data personol yn cael ei brosesu, y mathau o unigolion y cedwir gwybodaeth amdanynt, â phwy mae'r wybodaeth bersonol yn cael ei rhannu a manylion am unrhyw wybodaeth bersonol sy'n cael ei throsglwyddo i wledydd y tu allan i'r UE.

Mae cofnodi gweithgareddau prosesu'n ofyniad newydd o dan y Rheoliad Diogelu Data Cyffredinol. Mae'n bwysig cofnodi gweithgareddau prosesu'r Brifysgol, nid yn unig am fod hyn yn ofyniad cyfreithiol, ond hefyd oherwydd y gall gefnogi arfer da ym maes llywodraethu data a helpu i ddangos cydymffurfiaeth ag agweddau eraill ar y Rheoliad.

Swyddog Diogelu Data'r Brifysgol fydd yn cadw Cofnod o Weithgareddau Prosesu'r Brifysgol a chaiff ei adolygu'n flynyddol.

Trosglwyddo Gwybodaeth yn Rhyngwladol

Mae deddfwriaeth diogelu data'n cyfyngu ar weithgareddau trosglwyddo data i wledydd y tu allan i'r Undeb Ewropeaidd, i drydedd wlad neu i sefydliadau rhyngwladol, er mwyn sicrhau na chaiff y lefel o ddiogelu data sydd ar gael i unigolion ei thanseilio. Trosglwyddir data personol o'r wlad lle cafodd ei gynhyrchu, ar draws ffiniau, pan gaiff ei drosglwyddo neu ei anfon at wlad wahanol, ei weld neu ei gyrchu mewn gwlad wahanol.

Ni ddylid trosglwyddo data personol y tu allan i'r UE oni fodlonir yr amodau canlynol:

  • Mae'r Comisiwn Ewropeaidd wedi cyhoeddi penderfyniad yn cadarnhau bod y wlad lle bwriedir trosglwyddo'r data yn gallu sicrhau lefel ddigonol o ddiogelwch ar gyfer hawliau a rhyddidau'r unigolyn ('penderfyniad digonolrwydd').
  • Trosglwyddir y data personol o dan Amddiffynnydd Preifatrwydd yr UE-UD.
  • Mae mesurau diogelwch priodol ar waith. Gellir darparu mesurau diogelwch digonol drwy:
    • cytundeb cyfreithiol rhwymol rhwng awdurdodau neu gyrff cyhoeddus;
    • rheolau corfforaethol rhwymol (cytundebau sy'n rheoli trosglwyddiadau rhwng sefydliadau o fewn grŵp corfforaethol);
    • cymalau diogelu data safonol ar ffurf cymalau trosglwyddo enghreifftiol a fabwysiadwyd gan y Comisiwn;
    • cymalau diogelu data safonol ar ffurf cymalau trosglwyddo enghreifftiol a fabwysiadwyd gan awdurdod goruchwylio ac a gymeradwywyd gan y Comisiwn;
    • cydymffurfiaeth â chôd ymddygiad a gymeradwywyd gan awdurdod goruchwylio;
    • ardystio o dan fecanwaith ardystio cymeradwy yn unol â darpariaethau'r Rheoliad Diogelu Data Cyffredinol;
    • cymalau cytundebol cytunedig a awdurdodwyd gan yr awdurdod goruchwylio cymwys; neu
    • darpariaethau a ychwanegwyd at drefniadau gweinyddol rhwng awdurdodau cyhoeddus neu gyrff a awdurdodwyd gan yr awdurdod goruchwylio cymwys.

Mae rhagor o wybodaeth am restr y Comisiwn Ewropeaidd o wledydd cymeradwy a'r cymalau cytundebol safonol ar gael ar wefan y Comisiynydd Gwybodaeth https://ico.org.uk/for-organisations/guide-to-data-protection/principle-8-international/

Mae deddfwriaeth diogelu data hefyd yn cynnwys nifer o eithriadau i'r cyfyngiadau ar drosglwyddo data personol y tu allan i'r UE (waeth i ba wlad y trosglwyddir y data personol neu'r sefydliad derbyn). Dyma'r eithriadau:

a)      Mae Gwrthrych y Data wedi rhoi cydsyniad penodol i drosglwyddo'r data ar ôl cael ei hysbysu am y risgiau a allai fod ynghlwm wrth y fath drosglwyddo oherwydd diffyg penderfyniad digonolrwydd a mesurau diogelu priodol.

b)      Mae'r trosglwyddo'n angenrheidiol er mwyn cyflawni contract rhwng Gwrthrych y Data a'r Brifysgol neu er mwyn cymryd camau gweithredu cyn cytundeb ar gais Gwrthrych y Data.

c)       Mae'r trosglwyddo'n angenrheidiol er mwyn cwblhau neu gyflawni contract a gyflawnir er lles Gwrthrych y Data rhwng y Brifysgol a Thrydydd Parti.

ch) Mae'r trosglwyddo'n angenrheidiol am resymau pwysig sy'n berthnasol i fuddiant y cyhoedd.

d)      Mae'r trosglwyddo'n angenrheidiol er mwyn sefydlu, arfer neu amddiffyn hawliadau cyfreithiol.

dd)  Mae'r trosglwyddo'n angenrheidiol er mwyn diogelu buddiannau hanfodol Gwrthrychau'r Data neu unigolion eraill.

e)      Mae'r data sy'n cael ei drosglwyddo'n rhan o ddata personol ar gofrestr gyhoeddus.

Gan mai awdurdod cyhoeddus yw'r Brifysgol, mae'r gallu i ddibynnu ar yr eithriadau a nodir yn (a), (b) ac (c) uchod yn gyfyngedig.

Dylid ceisio cyngor pellach gan y Swyddog Diogelu Data ar drosglwyddo data personol y tu allan i'r UE.