Ystyriaethau allweddol ar gyfer ysgrifennu polisi preifatrwydd eich busnes

Gorffennaf 3, 2023

Ystyriaethau allweddol ar gyfer ysgrifennu polisi preifatrwydd eich busnes

---

By Emily Shingler

Mewn byd sy'n cael ei yrru gan ddata, mae cwmnïau'n cael eu gorfodi i gymryd mwy o ofal dros ddata personol unigolion. Os yw'ch busnes yn casglu gwybodaeth bersonol gan unigolion, mae'n ofynnol i chi gadw a chyhoeddi polisi preifatrwydd sy'n esbonio nid yn unig pa wybodaeth rydych yn ei chasglu a pham - ond hefyd sut y byddwch yn gofalu amdani.

Mae fframwaith deddfwriaethol diogelu data'r DU yn cynnwys y Rheoliad Cyffredinol ar Ddiogelu Data (GDPR) (y fersiwn a gedwir o GDPR yr UE), Deddf Diogelu Data 2018 a’r Rheoliadau Preifatrwydd a Chyfathrebu Electronig – bydd yr erthygl hon yn cyfeirio at y rhain gyda’i gilydd fel “Cyfreithiau Diogelu Data y DU”.

Beth yw polisi preifatrwydd?

A polisi preifatrwydd yn ddatganiad sy'n hysbysu unigolion a oes unrhyw rai ohonynt data personol yn mynd i gael ei gasglu gan fusnes ac os felly, sut a pham mae’r wybodaeth honno’n cael ei defnyddio a’i storio. Mae polisïau preifatrwydd yn angenrheidiol ar gyfer unrhyw fusnes a fydd yn casglu data personol gan unigolion (gan gynnwys am eu staff). Mae eu hangen hefyd ar gyfer unrhyw wefan a rhai apiau symudol sy'n casglu data personol gan ymwelwyr â'u gwefannau.

Gellir casglu gwybodaeth mewn unrhyw nifer o ffyrdd – er enghraifft, gallai gael ei chasglu oddi wrth gwsmer sy’n rhoi ei wybodaeth i chi’n uniongyrchol, er enghraifft wrth archebu, neu roi eu cyfeiriad e-bost i chi wrth danysgrifio i gylchlythyr. Os oes gennych wefan, efallai y bydd y wefan yn casglu gwybodaeth yn awtomatig am ymwelwyr â'r wefan honno. Edrychwch ar ein canllaw cyflym i polisïau preifatrwydd gwefan i gael rhagor o wybodaeth.

Mae darparu polisi preifatrwydd yn golygu cydymffurfio ag egwyddorion tryloywder o fewn Deddfau Diogelu Data’r DU; mae deddfwriaeth preifatrwydd wedi datblygu’n sylweddol yn ystod y blynyddoedd diwethaf, gyda’r prif ffocws ar alluogi unigolion i wneud penderfyniadau gwybodus ar sut y gall busnesau ddefnyddio eu data personol.

Rhaid i'r holl wybodaeth a ddarperir fod yn gryno, yn dryloyw, yn hawdd ei chael ac wedi'i rhoi mewn iaith glir.

Beth yw data personol?

Diffinnir data personol gan Gyfreithiau Diogelu Data’r DU fel “yn golygu unrhyw wybodaeth sy’n ymwneud â pherson naturiol adnabyddadwy neu adnabyddadwy … y gellir ei adnabod, yn uniongyrchol neu’n anuniongyrchol, yn benodol drwy gyfeirio at ddynodwr megis enw…”.

I grynhoi, os yw'r wybodaeth yn gallu adnabod person byw, yna mae'n ddata personol.

Yn y rhan fwyaf o achosion, bydd yn hawdd penderfynu pa ddarnau o wybodaeth y byddwch yn eu casglu sy'n ddata personol. Ar adegau pan fo’n llai clir, dylid rhoi mwy o ystyriaeth i ba un a yw Deddfau Diogelu Data’r DU yn berthnasol.

Beth sydd angen iddo ei gynnwys?

• Yr holl wybodaeth berthnasol amdanoch chi/eich cwmni: mae hyn yn cynnwys manylion cyswllt a gwybodaeth gofrestru lle bo'n berthnasol. Os oes gennych Swyddog Diogelu Data, rhaid nodi'r person hwn yn y polisi.

• Pa wybodaeth a data sy'n cael eu casglu: Er enghraifft, gallai prynu nwyddau o wefan gynnwys casglu:
  • Data hunaniaeth: enwau, statws priodasol, dyddiad geni.
  • Data cyswllt: cyfeiriadau danfon, rhifau ffôn, cyfeiriadau e-bost.
  • Data ariannol: manylion cyfrif banc neu gerdyn talu.
• Pam rydych yn casglu’r data hwn: Mae’r ‘pam’ yn arbennig o bwysig er mwyn cydymffurfio â Chyfreithiau Diogelu Data’r DU, sy’n ei gwneud yn ofynnol i unrhyw gwmni neu fusnes sy’n casglu data personol wneud hynny “ar sail gyfreithlon”. Mae 6 sail gyfreithlon ar gyfer prosesu data personol – os na allwch ateb ar sail gyfreithlon, yna ni allwch gasglu’r data. Bydd y rhan fwyaf o gwmnïau yn gallu dibynnu ar y berthynas gytundebol rhyngddynt ac ymwelwyr gwefan fel sail gyfreithlon. Fodd bynnag, dylai busnesau gofio mai dim ond at ddiben unrhyw gontract o’r fath y maent yn casglu’r wybodaeth sydd ei hangen arnynt mewn gwirionedd. Os yw busnes yn casglu data ychwanegol nad oes ei wir angen, byddai hynny'n anghyfreithlon.
  • Sylwch hefyd, os ydych chi'n casglu data personol sensitif (er enghraifft, gwybodaeth feddygol) yna mae'r rheolau'n arbennig o llym, yn enwedig o ran storio a diogelu gwybodaeth o'r fath.
• Ble mae'r wybodaeth yn mynd ar ôl ei chasglu? A yw'n aros gyda'ch cwmni neu a ydych chi'n rhannu'r wybodaeth hon ag unrhyw un arall? Mae angen y wybodaeth hon ar ymwelwyr â'ch gwefan i wneud penderfyniad gwybodus ynghylch a ydynt yn rhannu eu data personol gyda chi ai peidio. Os yw eu data personol yn gadael y DU, efallai na fyddant am i hwn gael ei rannu. Sylwch, os ydych yn rhannu data personol y tu allan i’r DU, rhaid i chi gael cymalau penodol yn eich polisi preifatrwydd i’ch galluogi i wneud hyn yn gyfreithlon.
  • Efallai y bydd angen i chi hefyd ystyried y defnydd ehangach o ddata cwsmeriaid. Er enghraifft, a ydych chi'n gweithredu warws sy'n argraffu ffurflenni dosbarthu gan ddefnyddio'r wybodaeth a gesglir ar eich gwefan? Os felly, mae angen cynnwys y wybodaeth hon yn y polisi preifatrwydd. Wrth argraffu data personol cwsmer, mae'n anoddach ei reoli fel copi caled ac mae'n fwy agored i niwed.
• Am ba mor hir y byddwch yn storio'r wybodaeth? Dylai fod gan bob busnes bolisi ynghylch pa mor hir y cedwir gwybodaeth cyn iddi gael ei dinistrio. Efallai bod rhesymau rheoleiddiol pam fod angen cadw rhywfaint o wybodaeth am gyfnod hwy – dylai hyn oll gael ei ddogfennu yng nghofnodion mewnol y busnes.

• Hawliau i wneud cwyn: er bod yn well gan lawer o gwmnïau ymdrin ag unrhyw gwynion diogelu data heb ymglymiad y rheolydd, ni ddylai eich polisi preifatrwydd gael ei eirio i'r perwyl bod cwyn Rhaid cael ei wneud i chi cyn Swyddfa’r Comisiynydd Gwybodaeth (ICO). Er enghraifft: “rhaid i chi godi unrhyw gŵyn gyda ni, cyn gwneud hynny gyda’r ICO” ddim yn cydymffurfio â Chyfreithiau Diogelu Data’r DU.

Nid yw'r rhestr uchod yn hollgynhwysfawr a bydd angen i bolisi preifatrwydd pob cwmni gael ei deilwra i ofynion penodol eich cwmni.

Os oes gennych unrhyw bryderon am bolisi preifatrwydd presennol, neu’n meddwl bod angen un ar eich busnes, cysylltwch ag aelod o’n cwmni corfforaethol tîm, Emily Shingler, drwy e-bost ymlaen eshingler@darwingray.com neu dros y ffôn ar 029 2082 9102 am sgwrs gychwynnol am ddim i weld sut y gallwn eich helpu.