02920 829 100 
Y Rheoliadau Diogelu Data Cyffredinol – a yw eich busnes yn barod?
Mawrth 29, 2017
Waeth beth fo Brexit, bydd y GDPR yn dal i effeithio ar fusnesau yn y DU.
Er y bydd llawer o agweddau ar gyfraith diogelu data yn aros yr un fath, bydd rhai newidiadau sylweddol y dylai eich busnes fod yn barod ar eu cyfer.
Dyma 8 mater allweddol y dylech fod yn ymwybodol ohonynt:
O dan y Ddeddf Diogelu Data, uchafswm y ddirwy yw £500,000. O dan y GDPR bydd dwy haen o ddirwyon. Haen un yw hyd at 2% o drosiant byd-eang blynyddol y flwyddyn ariannol flaenorol neu €10 miliwn (pa un bynnag sydd fwyaf) ar gyfer troseddau sy'n ymwneud â chadw cofnodion mewnol, contractau prosesu data, diogelwch data. Mae haen dau hyd at 4% o drosiant byd-eang blynyddol y flwyddyn ariannol flaenorol neu €20 miliwn (pa un bynnag sydd uchaf) ar gyfer troseddau mewn perthynas â thorri’r egwyddorion diogelu data, amodau caniatâd, hawliau gwrthrych data a throsglwyddiadau data rhyngwladol.
Bydd angen i unigolion roi caniatâd drwy sefydlu camau cadarnhaol clir cytundeb penodol, gwybodus a diamwys a roddir yn rhydd i brosesu data personol. Gellir gwneud hyn trwy ddatganiad ysgrifenedig, electronig neu lafar yr unigolyn. Bydd yn rhaid i fusnesau sy'n dibynnu ar ganiatâd i ddefnyddio data personol adolygu sut maent yn ei gael; ni fydd cydsynio yn unig fel blychau wedi'u ticio ymlaen llaw, tawelwch ac anweithgarwch yn ddigon mwyach. Dylai busnesau ailymweld a diwygio lle bo angen dogfennau megis eu telerau busnes a’u polisïau preifatrwydd.
Mae’r GDPR yn canolbwyntio ar “breifatrwydd trwy gynllun” a dylai busnesau gynnal asesiadau risg i lywio eu prosesau a’u gweithdrefnau mewnol. Mewn rhai achosion, er enghraifft, busnesau sy’n gweithredu mewn sefyllfaoedd “risg uchel” (e.e. y rhai sy’n ymwneud â phroffilio, neu ddefnyddio technolegau newydd), bydd angen cynnal asesiad o’r effaith ar breifatrwydd, y mae canllawiau ar eu cyfer ar gael gan yr ICO.
Rhaid i rai busnesau (gan gynnwys awdurdodau cyhoeddus) hefyd benodi DPO, yn benodol y rhai sy’n monitro unigolion ar raddfa fawr a’r rhai sy’n delio â chategorïau data penodol. Fodd bynnag, gall unrhyw fusnes ddewis penodi DPO a byddai’n cael ei ystyried yn arfer gorau i wneud hynny.
Bydd yn rhaid i fusnesau hysbysu’r Asiantaeth Diogelu Data Cenedlaethol (yn y DU, Swyddfa’r Comisiynydd Gwybodaeth) am bob achos o dorri rheolau data heb oedi gormodol ac, os yn bosibl, o fewn 72 awr. Bydd angen rhoi cynllun ymateb i dor-data ar waith i alluogi'r busnes i ymateb yn brydlon. Bydd angen i fusnesau sicrhau bod ganddynt bolisïau priodol ar waith i nodi ac ymateb i unrhyw doriad data yn gyflym.
Bydd gan unigolion yr hawl i ofyn i fusnesau ddileu eu data personol mewn rhai amgylchiadau. Dylai busnesau sicrhau bod ganddynt weithdrefn ar waith i ymdrin â chais i ddileu gwybodaeth. Bydd angen i fusnesau ailedrych ar eu systemau presennol – pa mor hawdd y gellir dileu data? A oes digon o adnoddau mewnol i ymdrin â cheisiadau? Os oes rhaid cadw gwybodaeth benodol am resymau rheoleiddiol, dylai busnes sicrhau bod hyn yn cael ei adlewyrchu yn ei bolisi preifatrwydd.
Mewn rhai amgylchiadau, gall unigolyn arfer yr hawl i wrthwynebu proffilio – gall hyn gynnwys tracio ar-lein a hysbysebu ymddygiadol. Mae sut y bydd hyn yn effeithio ar fusnes yn dibynnu ar ba mor aml y mae'n cymryd rhan mewn gweithgareddau proffilio. Os yw busnes yn defnyddio proffilio yn rheolaidd, bydd angen iddo ystyried y ffordd orau o roi mecanweithiau caniatâd priodol ar waith.
O dan y GDPR, ni fydd busnesau bellach yn gallu codi tâl ar unigolion mewn perthynas â delio â SARs. Mae’r amser ar gyfer ymateb i SAR hefyd yn lleihau o 40 diwrnod i fis yn unig.
Bydd y GDPR yn cyflwyno rhai newidiadau sylweddol drwy greu cysoni ar draws yr UE a mynd i’r afael â datblygiadau technolegol. Mae’n bosibl y bydd angen newid sefydliadol mawr ar lawer o fusnesau i sicrhau cydymffurfiaeth. Efallai y bydd angen i fusnesau hefyd ddiwygio eu contractau gyda thrydydd partïon (e.e. cyflenwyr TG), ailgynllunio systemau prosesu data a diweddaru eu polisïau preifatrwydd. Mae’r GDPR hefyd yn effeithio ar symud data, yn enwedig yn ymwneud â throsglwyddo data allan o’r DU a’r AEE.
O ystyried y cosbau sylweddol am beidio â chydymffurfio â’r GDPR, mae’n hollbwysig bod busnesau’n dechrau meddwl am y newidiadau nawr cyn iddynt ddod i rym ar 25 Mai 2018.
Os hoffech ragor o wybodaeth am ddiogelu data neu’r GDPR, cysylltwch â’n Diogelu Data tîm.
I siarad ag un o'n harbenigwyr heddiw, cysylltwch â ni ar 02920 829 100 neu drwy ddefnyddio ein ffurflen Cysylltwch â Ni am sgwrs gychwynnol am ddim i weld sut gallwn ni helpu.
