GDPR Cookie Consent by Free Privacy Policy

Edrychwch ar ein cyrsiau bywiog ar gyfer mynediad mis Medi 2020.

WGU Logo
WGU ten years
Egwyddorion GDPR

Egwyddorion GDPR

Ein hymrwymiad

Mae preifatrwydd data yn fater sy’n cael ei gymryd o ddifri ym Mhrifysgol Glyndŵr. Rydym ni wedi ymrwymo i gydymffurfio gyda ddeddfwriaeth diogelu data a thrin data personol yn gywir a phriodol.  

Rydym ni’n gweithio’n barhaus i ddiweddaru ein polisïau a’n prosesau i sicrhau bod gennym ni’r fframwaith priodol i gefnogi hawliau unigolion. 

 

Beth sydd angen i mi ei wybod

Meddyliwch am sut rydych chi’n rheoli gwybodaeth bersonol, os gwelwch yn dda. Am ragor o wybodaeth ynghylch gwybodaeth bersonol a’r Rheoliadau Diogelu Data Cyffredinol (GDPR), edrychwch ar ein hadran polisïau:

https://www.glyndwr.ac.uk/cy/LlywodraethuGwybodaeth/Polisiau/neu edrychwch ar wefan Swyddfa’r Comisiynydd Gwybodaeth: https://ico.org.uk/ 

Os ydych chi’n aelod o staff, cewch weld y mewnrwyd llywodraethu gwybodaeth (LINK) am gymorth a chefnogaeth o ran sut mae GDPR yn effeithio arnoch chi a’r hyn y mae angen i chi ei wybod (noder: bydd angen i chi fewngofnodi i’ch cyfrif Prifysgol i weld hyn). Hefyd mae angen i chi sicrhau eich bod chi wedi cwblhau’r cwrs e-ddysgu am GDPR.   

 

Deddfwriaeth Diogelu Data

Daeth y Rheoliadau Diogelu Data Cyffredinol newydd (GDPR) a Deddf Diogelu Data 2018 yn gyfraith ar 25 Mai 2018, gyda’r nod o ddiogelu data personol unigolion. Mae deddfwriaeth diogelu data yn nodi’r rheolau a’r safonau ar gyfer trin a defnyddio (‘prosesu’) gwybodaeth (‘data personol’) am unigolion byw y gellir eu hadnabod (‘gwrthrych data’) gan sefydliadau (‘rheolyddion data’). Mae wedi’i seilio ar egwyddorion, hawliau ac ymrwymiadau atebolrwydd. 

Mae harmoneiddio a chryfhau rheolau diogelu data yn rhan fawr o uchelgais yr Undeb Ewropeaidd i ymestyn yr economi ddigidol, gan wneud gwell defnydd o wasanaethau arloesol megis data mawr a chyfrifiadura cwmwl. Yn ddealladwy, mae angen i’r Deyrnas Unedig fod mewn sefyllfa i fod yn rhan o’r datblygiad economaidd hwn. 

Tanlinellir pwysigrwydd y ddeddfwriaeth newydd hon gan gynnydd sylweddol yn uchafswm y gosb ariannol am dorri’r rheolau, o £500,000 i oddeutu £17 miliwn i awdurdodau cyhoeddus neu 4% o drosiant y sefydliad.

Mae’r newidiadau a ddaeth yn sgîl GDPR yn ei gwneud yn ofynnol i ni fod yn fwy cydwybodol ynghylch y ffordd rydym ni’n prosesu data personol, gan roi hawliau unigolion wrth graidd yr hyn rydym ni’n ei wneud, a bod yn fwy tryloyw ynghylch sut rydym ni’n defnyddio’r data personol hwnnw.

 

Egwyddorion

Mae’n rhaid i reolyddion data sy’n prosesu data personol ddilyn – a medru dangos eu bod yn dilyn – yr egwyddorion diogelu data. 

Mae chwech egwyddor dan y rheoliadau GDPR. Rhaid prosesu data personol yn unol â’r egwyddorion hyn, fel bod y data:

  1. Yn cael ei brosesu’n deg, yn gyfreithlon ac yn dryloyw – a dim ond os oes ‘sail gyfreithiol’ ddilys ar gyfer gwneud hynny. 
  2. Yn cael ei brosesu ar gyfer dibenion penodol a chyfreithlon. 
  3. Yn ddigonol, perthnasol a chyfyngedig.
  4. Yn gywir (ac yn cael ei gywiro os yw’n anghywir).
  5. Ddim yn cael ei gadw am hirach nag sy’n angenrheidiol.
  6. Yn cael ei brosesu’n ddiogel – er mwyn cadw cyfrinachedd, uniondeb ac argaeledd data personol. 

 

Torri Rheolau Data Personol

Mae un o’r ymrwymiadau atebolrwydd pwysicaf yn ymwneud â thorri rheolau data personol – hynny yw, bod y data personol a gedwir gan y Brifysgol yn cael ei golli, ei ddwyn, ei ddatgelu’n ddiarwybod i gorff allanol neu ei gyhoeddi’n ddamweiniol. Rhai enghreifftiau nodweddiadol o hyn yw:

  • Anfon neges e-bost neu lythyr yn cynnwys data personol i’r derbynnydd anghywir. 
  • Datgelu cyfeiriadau e-bost personol yn ddamweiniol (e.e. trwy ddefnyddio cc yn hytrach na bcc wrth anfon neges e-bost).
  • Cyhoeddi’n ddiarwybod gofnodion y Brifysgol sy’n cynnwys data personol, neu fanylion mewngofnodi sy’n caniatáu mynediad at ddata personol ar y rhyngrwyd. 
  • Colli gliniadur neu ddyfais bersonol arall heb system ddiogelu/atal mynediad sy’n storio cofnodion y Brifysgol yn cynnwys data personol. 
  • Gwefan, cyfrif e-bost neu yriant y Brifysgol yn cael ei hacio, gyda data personol yn cael ei ddwyn neu ei ‘gloi’ gan yr haciwr. 

Gall torri rheolau data personol ddeillio o ddigwyddiadau diogeledd Technoleg Gwybodaeth, ond nid yw’r holl ddigwyddiadau diogeledd TG yn torri’r rheolau data personol, ac i’r gwrthwyneb. Mae’n rhaid hysbysu Swyddfa’r Comisiynydd Gwybodaeth am rai mathau o dorri rheolau data personol a’r gwrthrychau data a effeithwyd mewn cyfnod amser byr, felly mae eu hadnabod a hysbysu amdanynt yn fewnol yn hanfodol bwysig. Mae gan y Brifysgol broses benodol i ymdrin â thorri rheolau diogelu data mewn achosion lle bu (neu lle yr amheuir y gellid bod wedi) torri’r rheolau diogelu data. 

Mae’n ddyletswydd ar holl aelodau staff y Brifysgol i hysbysu am unrhyw achosion o’r fath yn ddioed. Hefyd, os yw myfyrwyr neu’r cyhoedd yn dod yn ymwybodol o dorri’r rheolau diogelu data gan y Brifysgol, yna byddem yn eich cynghori i’n hysbysu am hynny fel y medrwn ni ymchwilio a gweithredu. 

Cewch fanylion ynghylch sut rydym ni’n ymdrin â thorri rheolau data personol, yn cynnwys sut i’n hysbysu am hyn, yn:

https://www.glyndwr.ac.uk/cy/LlywodraethuGwybodaeth/AdroddMynediaddiawdurdodatddata/ 

 

Hysbysiadau Preifatrwydd

Dan y rheoliadau GDPR mae’n rhaid i’r holl sefydliadau sy’n prosesu data personol hysbysu unigolion am y prosesu mewn modd cryno, tryloyw a dealladwy. Mae angen ysgrifennu hyn mewn iaith glir a sicrhau ei fod yn hygyrch.   

Mae gan y Brifysgol nifer o hysbysiadau preifatrwydd i hysbysu gwrthrychau data ynghylch sut rydym ni’n prosesu eu gwybodaeth bersonol. Cewch ddolenni i’r rhain yn:  https://www.glyndwr.ac.uk/cy/LlywodraethuGwybodaeth/DatganiadauPreifatrwydd/

 

Hawliau

Rhoir hawliau amrywiol i wrthrychau data dan y rheoliadau GDPR, y gellir eu gweithredu am ddim:

  • Yr hawl i gael eu hysbysu sut mae eu data personol yn cael ei ddefnyddio – yn arferol cyflawnir yr hawl hwn trwy ddarparu ‘hysbysiadau preifatrwydd’ fel y disgrifir uchod. 
  • Yr hawl i weld eu data personol – yn arferol mae gweld data personol yn y modd yma yn cael ei adnabod fel gwneud cais gwrthrych data. 
  • Yr hawl i gywiro unrhyw ddata personol anghywir. 
  • Yr hawl i ddileu eu data personol lle bo’n briodol – hefyd yn cael ei adnabod fel yr hawl i gael eu hanghofio. 
  • Yr hawl i gyfyngu ar brosesu eu data personol nes ei fod yn cael ei ddilysu neu ei gywiro. 
  • Yr hawl i dderbyn copïau o’u data personol mewn fformat a ddefnyddir yn gyffredin ac sy’n ddarllenadwy gan beiriannau – yn cael ei adnabod fel yr hawl i gludadwyedd data. 
  • Yr hawl i wrthwynebu prosesu (yn cynnwys proffilio) eu data personol sy’n digwydd dan seiliau cyfreithiol penodol; ar gyfer marchnata uniongyrchol; a phrosesu eu data at ddibenion ymchwil lle nad yw’r ymchwil er budd y cyhoedd. 
  • Yr hawl i beidio â bod yn ddarostyngedig i benderfyniad arwyddocaol wedi’i seilio’n unig ar wneud penderfyniadau awtomatig gan ddefnyddio eu data personol. 

Yn arferol mae angen anfon ymateb i gais ynghylch hawliau cyn pen mis. Fodd bynnag, mae amodau’n berthnasol i bron y cyfan o’r hawliau hyn mewn gwahanol ffyrdd, ac mae nifer o eithriadau penodol yn y GDPR a Deddf Diogelu Data 2018 (er enghraifft, efallai na fydd bron y cyfan o’r hawliau’n berthnasol os yw’r data personol yn cael ei brosesu yng nghyd-destun ymchwil academaidd yn unig). Mae’r hawliau hyn yn adeiladu ar ac yn cryfhau’r hawliau a roddwyd i wrthrychau data’n flaenorol dan Ddeddf Diogelu Data 1998. 

 

Diogelu Data a gadael yr Undeb Ewropeaidd (‘Brexit’)

Fel yr holl feysydd cyfraith yn deillio o’r Undeb Ewropeaidd, bydd deddfwriaeth diogelu data yn ddarostyngedig i newidiadau yn dilyn y Deyrnas Unedig yn gadael yr Undeb Ewropeaidd. Roedd hyn i fod i ddigwydd ar 29 Mawrth 2019, ac yna un ai 12 Ebrill neu 22 Mai 2019 ond (oni bai ei fod yn cael ei ganslo’n gyfangwbl) mae’n ymddangos bod hyn yn debygol o ddigwydd ar 31 Hydref 2019 ar yr hwyraf. Bydd y newidiadau penodol yn dibynnu ar y math o delerau gadael (yn gryno, p’un ai oes telerau’n cael eu llunio gyda’r Undeb Ewropeaidd ai peidio yn ymwneud â gadael sy’n cwmpasu materion diogelu data am gyfnod trosiannol a thu hwnt i hynny o bosibl). 

P’un ai  y cytunir ar delerau gadael ai peidio, y neges allweddol yw y bydd yr holl ddarpariaethau sylfaenol GDPR (fel y cawsant eu hategu gan Ddeddf Diogelu Data 2018) am yr egwyddorion, hawliau ac ymrwymiadau atebolrwydd yn parhau i fod yn berthnasol yn y Deyrnas Unedig yn dilyn gadael yr Undeb Ewropeaidd. Bydd mwyafrif y newidiadau’n rhai technegol i ganiatáu i GDPR weithredu mewn cyd-destun y Deyrnas Unedig yn unig heb gyfeirio at sefydliadau a chyrff yr Undeb Ewropeaidd. 

Os yw’r Deyrnas Unedig yn gadael yr Undeb Ewropeaidd heb gytuno ar delerau (neu os nad yw’r telerau hynny’n cwmpasu materion diogelu data yn ddigonol am gyfnod trosiannol a thu hwnt i hynny o bosibl), bydd y prif newid ymarferol i’r Brifysgol yn ymwneud â throsglwyddo data personol gan sefydliadau a busnesau wedi’u lleoli yn yr Ardal Economaidd Ewropeaidd (h.y. gwledydd yr Undeb Ewropeaidd ynghyd â Gwlad yr Ia, Leichtenstein a Norwy) i’r Brifysgol. (Ni effeithir ar drosglwyddo data personol gan y Brifysgol i sefydliadau/busnesau wedi’u lleoli yn yr Ardal Economaidd Ewropeaidd a thu hwnt ac eithrio dan amgylchiadau cyfyngedig iawn.) 

Mae Llywodraeth y Deyrnas Unedig a Swyddfa’r Comisiynydd Gwybodaeth wedi cyhoeddi canllawiau ehangach ar ddiogelu data yn achos gadael yr Undeb Ewropeaidd heb delerau, ac mae’r Bwrdd Diogelu Data Ewropeaidd wedi llunio canllawiau hefyd (o bersbectif yr Undeb Ewropeaidd). 

 

Darllenwch fwy am hyfforddiant cysylltiedeig â GDPR

Top