Diogelu data
Beth yw diogelu data?
Mae’r adran hon yn rhoi cyflwyniad i ddiogelu data a sut mae’n berthnasol i’ch mudiad. Mae hwn yn bwnc manwl a bydd y camau y bydd angen i’ch mudiad eu cymryd yn dibynnu ar eich amgylchiadau. Rydyn ni wedi cymryd yr wybodaeth hon o’r canllawiau a ddarparwyd gan Swyddfa’r Comisiynydd Gwybodaeth (ICO) a dylech gyfeirio at eu gwefan am ganllawiau manwl a fydd yn helpu eich mudiad i roi’r gofynion angenrheidiol yn eu lle.
Mae diogelu data yn ymwneud â sicrhau y gall pobl ymddiried ynoch i ddefnyddio eu data mewn modd teg a chyfrifol.
Os yw eich mudiad yn casglu gwybodaeth am unigolion am unrhyw reswm, bydd angen i chi gydymffurfio â’r ddeddfwriaeth diogelu data.
Mae trefniadau diogelu data’r DU wedi’u nodi yn Neddf Diogelu Data 2018, ynghyd â Rheoliad Cyffredinol ar Ddiogelu Data (GDPR) y DU. Mae’n mynd ati mewn modd hyblyg, seiliedig ar risg, sy’n gofyn i chi feddwl am, a chyfiawnhau, sut a pham rydych chi’n defnyddio data.
Mae’r gyfraith yn gymwys i unrhyw ‘ddata personol sy’n cael ei brosesu’, a bydd yn cynnwys y mwyafrif o fusnesau a mudiadau, waeth beth yw eu maint. Mae’n berthnasol i ddata a gaiff ei storio’n ddigidol a chofnodion ar bapur os ydyn nhw’n rhan o system ffeilio.
Yr ICO sy’n rheoleiddio systemau diogelu data yn y DU. Maen nhw’n cynnig cyngor ac arweiniad, yn hybu arferion da, yn cynnal archwiliadau, yn ystyried cwynion, yn monitro cydymffurfiaeth ac yn cymryd camau gorfodi pan fo’n briodol.
Beth yw data personol?
Mae deall yr hyn rydyn ni’n ei olygu wrth ‘ddata personol’ yn eithaf cymhleth. Mae canllawiau’r ICO yn ei egluro fel a ganlyn:
Mae data personol yn golygu gwybodaeth am unigolyn byw penodol. Gall hwn fod yn unrhyw un, gan gynnwys cwsmer, cleient, cyflogai, partner, aelod, cefnogwr, cyswllt busnes, aelod swyddogol o’r cyhoedd neu aelod o’r cyhoedd.
Nid oes angen iddi fod yn wybodaeth ‘breifat’ – gall hyd yn oed wybodaeth gyhoeddus am fywyd proffesiynol rhywun fod yn ddata personol.
Nid yw’n cynnwys gwybodaeth sy’n gwbl ddienw – ond os gallech chi adnabod rhywun o’r manylion, neu drwy gyfuno’r wybodaeth â gwybodaeth arall, bydd yn parhau i gael ei ystyried yn ddata personol.
Mae enw a chyfeiriad rhywun yn enghraifft o ddata personol, ond gallai hefyd gynnwys pethau eraill fel rhif cofrestru car, rhif Yswiriant Gwladol, neu lun o’r unigolyn ar deledu cylch cyfyng (CCTV).
Mae gan y mathau mwyaf sensitif o ddata personol ddiogelwch ychwanegol a gallwch chi ddim ond eu prosesu mewn rhai amgylchiadau. Mae’r rhain yn cynnwys data sy’n ymwneud ag euogfarnau troseddol a throseddau a’r rhestr o ‘gategorïau arbennig o ddata personol’ a nodir isod:
- Hil
- Tarddiad ethnig
- Safbwyntiau gwleidyddol
- Credoau crefyddol neu athronyddol
- Aelodaeth o undeb llafur
- Data genetig
- Data biometrig (pan gaiff ei ddefnyddio at ddibenion adnabod)
- Data iechyd
- Bywyd rhywiol
- Cyfeiriadedd rhywiol
Gallwch chi gael rhagor o wybodaeth am ddata personol yng nghanllawiau’r ICO (cynnwys Saesneg yn unig)
Egwyddorion diogelu data
Bydd angen i chi ddeall yr egwyddorion diogelu data a nodir yn y ddeddfwriaeth a’u cymhwyso i waith eich mudiad. Dyma’r prif egwyddorion:
- Cyfreithlondeb, tegwch a thryloywder – mae gennych chi sail gyfreithiol dros gasglu data personol ac yn ymdrin ag ef mewn modd teg, agored ac onest
- Diben cyfyngedig – caiff data personol ei gasglu at ddibenion penodol, pendant a dilys, ac ni chaiff ei brosesu mewn unrhyw fodd nad yw’n cyd-fynd â’r dibenion hynny;
- Lleihau data – mae’r data personol a gesglir yn ddigonol, yn berthnasol ac yn gyfyngedig i’r hyn sy’n angenrheidiol o ran y diben y caiff ei brosesu;
- Cywirdeb – rydych chi’n cymryd pob cam rhesymol i sicrhau nad yw’r data personol sydd gennych chi’n anghywir na’n gamarweiniol ac yn ei ddiweddaru pan fo angen.
- Cyfyngiad storio – ni chedwir data personol am hirach nag sydd ei angen
- Uniondeb a chyfrinachedd (diogelwch) – mae gennych chi fesurau diogelu priodol ar waith i ddiogelu’r data personol sydd gennych chi.
- Atebolrwydd – mae’r egwyddor drosfwaol hon yn gofyn i chi gymryd cyfrifoldeb dros yr hyn rydych chi’n ei wneud gyda data personol a sut rydych chi’n cydymffurfio ag egwyddorion eraill.
Dylai eich dull o fynd ati i brosesu data personol fod yn seiliedig ar yr egwyddorion hyn. Gallwch chi gael rhagor o wybodaeth am yr egwyddorion ar wefan yr ICO (cynnwys Saesneg yn unig).
Y ffordd gywir o Ddiogelu Data
Mae angen i fudiadau gwirfoddol gydymffurfio â gofynion diogelu data er mwyn diogelu’r bobl y maen nhw’n gysylltiedig â nhw. Os na fyddwch chi’n dilyn y gofynion, gallech niweidio enw da’r mudiad a gallai’r ICO godi dirwy ariannol arnoch am dorri’r rheolau.
Er mwyn sicrhau eich bod yn cydymffurfio â’ch cyfrifoldebau, byddem yn eich argymell i fynd i adran yr ICO i fudiadau bach (cynnwys Saesneg yn unig). Mae’r adran hon yn cynnwys rhestrau gwirio a thempledi y gallwch chi eu defnyddio, a gwybodaeth sy’n ymwneud â phynciau sydd angen ystyriaeth fwy manwl fel gweithio gyda phlant, codi arian a marchnata uniongyrchol.
Mae CGGC wedi credu Pecyn Cymorth GDPR sy’n cynnwys set o dempledi o ddogfennau polisi y gallwch chi eu haddasu ar gyfer eich gofynion diogelu data chi. I gael copi o’r Pecyn Cymorth GDPR, sydd am ddim i fudiadau gwirfoddol yng Nghymru, anfonwch e-bost at [email protected]
Ffynonellau eraill o wybodaeth
NCVO – Camau i wella systemau diogelu data eich mudiad (Saesneg yn unig)