5.3 Y Rheoliad Cyffredinol ar Ddiogelu Data (GDPR)
Cyfraith diogelu data Ewropeaidd sy’n rhoi mwy o reolaeth i unigolion dros eu gwybodaeth bersonol. I sefydliadau, mae hyn yn golygu sicrhau bod polisïau a phrosesau preifatrwydd data cadarn, sy’n cyfyngu ar sut y ceir mynediad i ddata personol a’r hyn y gall sefydliad ei wneud â’r data hwnnw.
Mae’n bwysig deall nad yw data a gwybodaeth wedi’u cyfyngu i’r hyn a geir mewn dogfennau, yn hytrach mae’n gynnwys a ddefnyddir mewn unrhyw system, ased neu gyfathrebiad sy’n bodoli’n ddigidol neu’n ffisegol.
Gall data a gwybodaeth fodoli mewn:
- dogfennau, taenlenni, cyflwyniadau
- systemau Cronfa Ddata
- cynnwys ar blatfformau dysgu ar-lein
- ffeiliau fideo neu sain, asedau delwedd
- gwefannau
- negeseuon e-bost
- adroddiadau
- cofnodion staff
Mae GDPR y DU yn cynnwys saith egwyddor allweddol:
Egwyddor
|
Gofyniad Erthygl 5(1) |
|---|---|
| Cyfreithlondeb, tegwch a thryloywder | Bydd data personol yn cael eu prosesu’n gyfreithlon, yn deg ac mewn modd tryloyw mewn perthynas ag unigolion |
Cyfyngiad pwrpas
|
Bydd data personol yn cael eu casglu at ddibenion penodol, eglur a chyfreithlon ac ni fyddant yn cael eu prosesu ymhellach mewn modd sy’n anghydnaws â’r dibenion hynny; ni ystyrir y bydd prosesu pellach at ddibenion archifo er budd y cyhoedd, at ddibenion ymchwil gwyddonol neu hanesyddol neu ddibenion ystadegol yn anghydnaws â’r dibenion gwreiddiol |
Lleihau data
|
Bydd data personol yn ddigonol, yn berthnasol ac yn gyfyngedig i’r hyn sy’n angenrheidiol mewn perthynas â’r dibenion y maent yn cael eu prosesu ar eu cyfer |
Manwl gywirdeb
|
Bydd data personol yn gywir a lle bo angen, byddant yn cael eu diweddaru; rhaid cymryd pob cam rhesymol i sicrhau bod data personol nad ydynt yn gywir, gan ystyried y dibenion y maent yn cael eu prosesu ar eu cyfer, yn cael eu dileu neu eu cywiro heb oedi |
Cyfyngiad storio
|
Ni fydd data personol yn cael eu cadw ar ffurf sy’n galluogi adnabod y sawl sy’n destun y data am fwy o amser nag sy’n angenrheidiol ar gyfer y dibenion y caiff y data eu prosesu; gellir storio data personol am gyfnodau hirach cyn belled ag y bydd y data personol yn cael eu prosesu at ddibenion archifo er budd y cyhoedd, dibenion ymchwil gwyddonol neu hanesyddol neu ddibenion ystadegol yn amodol ar weithredu’r mesurau technegol a threfniadaethol priodol sy’n ofynnol yn ôl y GDPR er Mwyn diogelu hawliau a rhyddid unigolion |
Uniondeb a chyfrinachedd (diogelwch)
|
Bydd data personol yn cael eu prosesu mewn modd sy’n sicrhau diogelwch priodol i’r data personol, gan gynnwys eu diogelu rhag prosesu anghyfreithlon neu heb ei awdurdodi a’u diogelu rhag eu colli, eu dinistrio neu eu difrodi yn ddamweiniol, trwy ddefnyddio mesurau technegol neu drefniadaethol priodol |
Atebolrwydd
|
Bydd y rheolwr yn gyfrifol am yr egwyddorion hyn ac yn gallu dangos cydymffurfiaeth â nhw (Erthygl 5(2)) |
Sylwch: Er efallai bod gan sefydliad ‘rheolydd’ enwebedig sy’n goruchwylio GDPR, mae gan unrhyw un sy’n trin data personol gyfrifoldeb i gadw at y saith Egwyddor fel y’u hamlinellir drwy’r polisïau a phrosesau sefydliadol perthnasol. Yn y rhan fwyaf o SAUau, mae'n ofynnol i chi gwblhau hyfforddiant GDPR yn flynyddol i sicrhau eich bod yn deall eich cyfrifoldebau. Gwiriwch - beth sydd ar waith yn eich sefydliad chi?
Gweithgaredd 16 Meddyliwch am y wybodaeth a’r data rydych yn eu trin
Pa mor aml ydych chi’n ystyried GDPR wrth drin gwybodaeth a data? A ydych yn hyderus, pan fyddwch yn gwneud hynny, y byddai eich ymddygiad yn bodloni gofynion polisïau a phrosesau eich sefydliad?
Mae gan lawlyfr ffynhonnell agored GitLab ddull syml i’ch helpu i wneud dewisiadau gwybodus, ac maent wedi creu’r fframwaith ‘SAFE’ i weithredu fel canllaw, sy’n cynnwys enghreifftiau o beth i’w wneud os rhennir gwybodaeth anniogel a sut maent yn atgyfnerthu SAFE.
Gwnewch ychydig o nodiadau isod. Pa gamau gweithredu, os o gwbl, sydd angen i chi eu cymryd nawr?