Ein hymrwymiad

Mae preifatrwydd data yn fater sy’n cael ei gymryd o ddifri ym Mhrifysgol Glyndŵr. Rydym ni wedi ymrwymo i gydymffurfio gyda ddeddfwriaeth diogelu data a thrin data personol yn gywir a phriodol.  

Rydym ni’n gweithio’n barhaus i ddiweddaru ein polisïau a’n prosesau i sicrhau bod gennym ni’r fframwaith priodol i gefnogi hawliau unigolion. 

Beth sydd angen i mi ei wybod

Meddyliwch am sut rydych chi’n rheoli gwybodaeth bersonol, os gwelwch yn dda. Am ragor o wybodaeth ynghylch gwybodaeth bersonol a’r Rheoliadau Diogelu Data Cyffredinol (GDPR), edrychwch ar ein hadran polisïau neu edrychwch ar wefan Swyddfa’r Comisiynydd Gwybodaeth: https://ico.org.uk/ 

Os ydych chi’n aelod o staff, cewch weld y mewnrwyd llywodraethu gwybodaeth (LINK) am gymorth a chefnogaeth o ran sut mae GDPR yn effeithio arnoch chi a’r hyn y mae angen i chi ei wybod (noder: bydd angen i chi fewngofnodi i’ch cyfrif Prifysgol i weld hyn). Hefyd mae angen i chi sicrhau eich bod chi wedi cwblhau’r cwrs e-ddysgu am GDPR.   

Deddfwriaeth Diogelu Data

Daeth y Rheoliadau Diogelu Data Cyffredinol newydd (GDPR) a Deddf Diogelu Data 2018 yn gyfraith ar 25 Mai 2018, gyda’r nod o ddiogelu data personol unigolion. Mae deddfwriaeth diogelu data yn nodi’r rheolau a’r safonau ar gyfer trin a defnyddio (‘prosesu’) gwybodaeth (‘data personol’) am unigolion byw y gellir eu hadnabod (‘gwrthrych data’) gan sefydliadau (‘rheolyddion data’). Mae wedi’i seilio ar egwyddorion, hawliau ac ymrwymiadau atebolrwydd. 

Mae harmoneiddio a chryfhau rheolau diogelu data yn rhan fawr o uchelgais yr Undeb Ewropeaidd i ymestyn yr economi ddigidol, gan wneud gwell defnydd o wasanaethau arloesol megis data mawr a chyfrifiadura cwmwl. Yn ddealladwy, mae angen i’r Deyrnas Unedig fod mewn sefyllfa i fod yn rhan o’r datblygiad economaidd hwn. 

Tanlinellir pwysigrwydd y ddeddfwriaeth newydd hon gan gynnydd sylweddol yn uchafswm y gosb ariannol am dorri’r rheolau, o £500,000 i oddeutu £17 miliwn i awdurdodau cyhoeddus neu 4% o drosiant y sefydliad.

Mae’r newidiadau a ddaeth yn sgîl GDPR yn ei gwneud yn ofynnol i ni fod yn fwy cydwybodol ynghylch y ffordd rydym ni’n prosesu data personol, gan roi hawliau unigolion wrth graidd yr hyn rydym ni’n ei wneud, a bod yn fwy tryloyw ynghylch sut rydym ni’n defnyddio’r data personol hwnnw.

Egwyddorion

Mae’n rhaid i reolyddion data sy’n prosesu data personol ddilyn – a medru dangos eu bod yn dilyn – yr egwyddorion diogelu data. 

Mae chwech egwyddor dan y rheoliadau GDPR. Rhaid prosesu data personol yn unol â’r egwyddorion hyn, fel bod y data:

  1. Yn cael ei brosesu’n deg, yn gyfreithlon ac yn dryloyw – a dim ond os oes ‘sail gyfreithiol’ ddilys ar gyfer gwneud hynny. 
  2. Yn cael ei brosesu ar gyfer dibenion penodol a chyfreithlon. 
  3. Yn ddigonol, perthnasol a chyfyngedig.
  4. Yn gywir (ac yn cael ei gywiro os yw’n anghywir).
  5. Ddim yn cael ei gadw am hirach nag sy’n angenrheidiol.
  6. Yn cael ei brosesu’n ddiogel – er mwyn cadw cyfrinachedd, uniondeb ac argaeledd data personol. 

Torri Rheolau Data Personol

Mae un o’r ymrwymiadau atebolrwydd pwysicaf yn ymwneud â thorri rheolau data personol – hynny yw, bod y data personol a gedwir gan y Brifysgol yn cael ei golli, ei ddwyn, ei ddatgelu’n ddiarwybod i gorff allanol neu ei gyhoeddi’n ddamweiniol. Rhai enghreifftiau nodweddiadol o hyn yw:

  • Anfon neges e-bost neu lythyr yn cynnwys data personol i’r derbynnydd anghywir. 
  • Datgelu cyfeiriadau e-bost personol yn ddamweiniol (e.e. trwy ddefnyddio cc yn hytrach na bcc wrth anfon neges e-bost).
  • Cyhoeddi’n ddiarwybod gofnodion y Brifysgol sy’n cynnwys data personol, neu fanylion mewngofnodi sy’n caniatáu mynediad at ddata personol ar y rhyngrwyd. 
  • Colli gliniadur neu ddyfais bersonol arall heb system ddiogelu/atal mynediad sy’n storio cofnodion y Brifysgol yn cynnwys data personol. 
  • Gwefan, cyfrif e-bost neu yriant y Brifysgol yn cael ei hacio, gyda data personol yn cael ei ddwyn neu ei ‘gloi’ gan yr haciwr. 

Gall torri rheolau data personol ddeillio o ddigwyddiadau diogeledd Technoleg Gwybodaeth, ond nid yw’r holl ddigwyddiadau diogeledd TG yn torri’r rheolau data personol, ac i’r gwrthwyneb. Mae’n rhaid hysbysu Swyddfa’r Comisiynydd Gwybodaeth am rai mathau o dorri rheolau data personol a’r gwrthrychau data a effeithwyd mewn cyfnod amser byr, felly mae eu hadnabod a hysbysu amdanynt yn fewnol yn hanfodol bwysig. Mae gan y Brifysgol broses benodol i ymdrin â thorri rheolau diogelu data mewn achosion lle bu (neu lle yr amheuir y gellid bod wedi) torri’r rheolau diogelu data. 

Mae’n ddyletswydd ar holl aelodau staff y Brifysgol i hysbysu am unrhyw achosion o’r fath yn ddioed. Hefyd, os yw myfyrwyr neu’r cyhoedd yn dod yn ymwybodol o dorri’r rheolau diogelu data gan y Brifysgol, yna byddem yn eich cynghori i’n hysbysu am hynny fel y medrwn ni ymchwilio a gweithredu. 

Cewch fanylion ynghylch sut rydym ni’n ymdrin â thorri rheolau data personol, yn cynnwys sut i’n hysbysu am hyn, yn yma

Hysbysiadau Preifatrwydd

Dan y rheoliadau GDPR mae’n rhaid i’r holl sefydliadau sy’n prosesu data personol hysbysu unigolion am y prosesu mewn modd cryno, tryloyw a dealladwy. Mae angen ysgrifennu hyn mewn iaith glir a sicrhau ei fod yn hygyrch.   

Mae gan y Brifysgol nifer o hysbysiadau preifatrwydd i hysbysu gwrthrychau data ynghylch sut rydym ni’n prosesu eu gwybodaeth bersonol. Cewch ddolenni i’r rhain yn yma.

Hawliau

Rhoir hawliau amrywiol i wrthrychau data dan y rheoliadau GDPR, y gellir eu gweithredu am ddim:

  • Yr hawl i gael eu hysbysu sut mae eu data personol yn cael ei ddefnyddio – yn arferol cyflawnir yr hawl hwn trwy ddarparu ‘hysbysiadau preifatrwydd’ fel y disgrifir uchod. 
  • Yr hawl i weld eu data personol – yn arferol mae gweld data personol yn y modd yma yn cael ei adnabod fel gwneud cais gwrthrych data. 
  • Yr hawl i gywiro unrhyw ddata personol anghywir. 
  • Yr hawl i ddileu eu data personol lle bo’n briodol – hefyd yn cael ei adnabod fel yr hawl i gael eu hanghofio. 
  • Yr hawl i gyfyngu ar brosesu eu data personol nes ei fod yn cael ei ddilysu neu ei gywiro. 
  • Yr hawl i dderbyn copïau o’u data personol mewn fformat a ddefnyddir yn gyffredin ac sy’n ddarllenadwy gan beiriannau – yn cael ei adnabod fel yr hawl i gludadwyedd data. 
  • Yr hawl i wrthwynebu prosesu (yn cynnwys proffilio) eu data personol sy’n digwydd dan seiliau cyfreithiol penodol; ar gyfer marchnata uniongyrchol; a phrosesu eu data at ddibenion ymchwil lle nad yw’r ymchwil er budd y cyhoedd. 
  • Yr hawl i beidio â bod yn ddarostyngedig i benderfyniad arwyddocaol wedi’i seilio’n unig ar wneud penderfyniadau awtomatig gan ddefnyddio eu data personol. 

Yn arferol mae angen anfon ymateb i gais ynghylch hawliau cyn pen mis. Fodd bynnag, mae amodau’n berthnasol i bron y cyfan o’r hawliau hyn mewn gwahanol ffyrdd, ac mae nifer o eithriadau penodol yn y GDPR a Deddf Diogelu Data 2018 (er enghraifft, efallai na fydd bron y cyfan o’r hawliau’n berthnasol os yw’r data personol yn cael ei brosesu yng nghyd-destun ymchwil academaidd yn unig). Mae’r hawliau hyn yn adeiladu ar ac yn cryfhau’r hawliau a roddwyd i wrthrychau data’n flaenorol dan Ddeddf Diogelu Data 1998.