Hafan Gwasanaethau Cyfreithiol Cyflogaeth ac Adnoddau Dynol
Dysgwch sut i ymdrin â diogelu data gweithwyr yn y gweithle. Mae ein canllaw ymarferol yn ymdrin â chydymffurfiaeth GDPR y DU, ceisiadau mynediad at ddata gan bwnc, rheolau monitro, a'ch rhwymedigaethau fel cyflogwr.
Ysgrifennwyd gan: Rachel Ford-Evans, Partner Cyfraith Cyflogaeth, Darwin Gray | Diweddarwyd ddiwethaf: 21/04/2026 | Adolygwyd gan: Rachel Ford-Evans
Mae trin data gweithwyr yn rhan annatod o redeg busnes. O'r eiliad y mae rhywun yn gwneud cais am swydd hyd at ymhell ar ôl iddynt adael, rydych chi'n casglu, storio a phrosesu eu gwybodaeth bersonol. Manylion cyflog, adolygiadau perfformiad, cofnodion salwch, cysylltiadau brys, hyd yn oed lluniau teledu cylch cyfyng o faes parcio'r swyddfa. Mae'r cyfan yn cyfrif fel data personol, ac mae angen ei ddiogelu i gyd.
Os ydych chi'n ei gael yn anghywir, rydych chi'n edrych ar fwy na dim ond ergyd ar yr arddwrn. Mae Swyddfa'r Comisiynydd Gwybodaeth (ICO) wedi cynyddu gorfodi'n sylweddol yn ystod y blynyddoedd diwethaf, gyda dirwyon cyfartalog yn neidio i dros £2.8 miliwn yn hanner cyntaf 2025 yn unig. Y tu hwnt i'r cosbau ariannol, gall torri data niweidio ymddiriedaeth gweithwyr, dadreilio achosion tribiwnlys, a niweidio'ch enw da gyda chleientiaid a phartneriaid.
Mae'r canllaw hwn yn eich tywys drwy'r hyn y mae angen i gyflogwyr y DU ei wybod mewn gwirionedd am ddiogelu data yn y gweithle. Byddwn yn trafod eich rhwymedigaethau cyfreithiol, camau ymarferol ar gyfer cydymffurfio, sut i ymdrin â cheisiadau mynediad at ddata, a'r hyn y mae'r rheolau'n ei ddweud am fonitro'ch gweithlu. Dim jargon lle gallwn ei osgoi, ac atebion uniongyrchol lle mae eu hangen arnoch. Am waith GDPR a chydymffurfiaeth data ehangach y tu hwnt i'r gweithle, dolen i'n Gwasanaeth Diogelu Data.
Mae diogelu data yn ymwneud â diogelu gwybodaeth bersonol a sicrhau ei bod yn cael ei defnyddio'n briodol ac yn gyfreithlon. Mewn cyd-destun cyflogaeth, mae hynny'n golygu trin popeth rydych chi'n ei wybod am eich gweithwyr yn ofalus, o'u henw a'u cyfeiriad i'w hanes meddygol a'u cofnodion perfformiad.
Daw'r rheolau o ddau brif ddarn o ddeddfwriaeth: Rheoliad Diogelu Data Cyffredinol y DU (GDPR y DU) a Deddf Diogelu Data 2018. Gyda'i gilydd, maent yn creu fframwaith sy'n llywodraethu sut y gall cyflogwyr gasglu, defnyddio, storio a rhannu data gweithwyr.
Efallai y byddwch chi'n synnu faint o wybodaeth sy'n cronni mewn ffeiliau AD ac ar draws systemau busnes. Mae enghreifftiau cyffredin yn cynnwys:
Mae rhywfaint o hyn yn gymwys fel "data categori arbennig" o dan GDPR y DU. Mae hyn yn cynnwys gwybodaeth am iechyd, hil neu ethnigrwydd, credoau crefyddol, aelodaeth o undeb llafur, a chyfeiriadedd rhywiol. Mae angen amddiffyniad ychwanegol a chyfiawnhad cryfach dros brosesu data categori arbennig.
Y tu hwnt i osgoi dirwyon, mae rhesymau busnes cadarn dros gymryd diogelu data o ddifrif.
Mae ymddiriedaeth gweithwyr wrth wraidd unrhyw weithle iach. Mae pobl yn rhannu gwybodaeth sensitif gyda'u cyflogwyr, o gyflyrau iechyd sy'n effeithio ar eu gwaith i amgylchiadau personol a allai fod angen trefniadau hyblyg. Os nad ydyn nhw'n ymddiried ynoch chi i drin y wybodaeth honno'n iawn, maen nhw'n llai tebygol o fod yn agored am faterion a allai effeithio ar eu perfformiad neu eu lles.
Mae methiannau diogelu data hefyd yn creu amlygiad cyfreithiol y tu hwnt i orfodi ICO. Gall gweithwyr gyflwyno hawliadau cyfreithiol os yw torri data yn achosi gofid neu golled ariannol iddynt. Yn aml, mae ceisiadau am fynediad at ddata yn dod i'r amlwg yn ystod anghydfodau, a gall cadw cofnodion gwael danseilio'ch sefyllfa mewn ymgyfreitha cyflogaeth.
Dechreuodd GDPR y DU fel cyfraith yr UE ond cafodd ei ymgorffori mewn deddfwriaeth ddomestig ar ôl Brexit. Mae'n gweithio ochr yn ochr â Deddf Diogelu Data 2018 (DPA 2018), sy'n llenwi'r manylion ac yn creu rheolau penodol ar gyfer sefyllfaoedd cyflogaeth.
Mae angen i bob cyflogwr ddeall a chymhwyso'r egwyddorion hyn wrth drin data gweithwyr:
Cyfreithlondeb, tegwch a thryloywder – Rhaid bod gennych sail gyfreithiol ddilys ar gyfer prosesu data personol. Mae angen i chi fod yn agored gyda gweithwyr ynglŷn â pha ddata rydych chi'n ei gasglu a pham.
Cyfyngiad pwrpas – Dim ond at ddibenion penodol, eglur a chyfreithlon y dylid casglu data. Ni allwch chi hwfro gwybodaeth “rhag ofn” y gallai fod yn ddefnyddiol yn ddiweddarach.
Lleihau data – Casglwch yr hyn sydd ei angen arnoch mewn gwirionedd yn unig. Os nad oes angen dyddiad geni rhywun arnoch i wneud y gwaith, peidiwch â gofyn amdano.
Cywirdeb – Rhaid i ddata personol fod yn gywir a chael ei gadw’n gyfredol. Mae hyn yn golygu cael prosesau i weithwyr gywiro eu gwybodaeth.
Cyfyngiad storio – Peidiwch â chadw data yn hirach nag sydd ei angen. Mae cyfnodau cadw gwahanol yn berthnasol i wahanol fathau o wybodaeth.
Uniondeb a chyfrinachedd – Rhaid i chi amddiffyn data personol rhag mynediad heb awdurdod, colled ddamweiniol, dinistr neu ddifrod.
Atebolrwydd – Mae angen i chi ddangos cydymffurfiaeth, nid dim ond ei honni. Mae hynny'n golygu dogfennu eich prosesau a'ch penderfyniadau.
Ni allwch brosesu data personol heb sail gyfreithlon. At ddibenion cyflogaeth, y seiliau mwyaf perthnasol yw:
Contract – Mae prosesu yn angenrheidiol ar gyfer y contract cyflogaeth. Mae talu cyflogau, rheoli absenoldeb, a gweinyddu buddion i gyd yn dod o dan y rhestr hon.
Rhwymedigaeth gyfreithiol – Mae'n ofynnol i chi brosesu'r data yn ôl y gyfraith. Mae enghreifftiau'n cynnwys adrodd PAYE, cofnodion cofrestru awtomatig ar gyfer pensiynau, a gwiriadau hawl i weithio.
Buddiannau cyfreithlon – Mae prosesu yn angenrheidiol er eich buddiannau cyfreithlon, ar yr amod nad yw'n diystyru hawliau'r gweithiwr. Gallai hyn gynnwys pethau fel diogelwch busnes neu reoli perfformiad, ond mae angen i chi gynnal prawf cydbwyso.
Caniatâd – Mae’r gweithiwr wedi rhoi caniatâd clir. Ond byddwch yn ofalus yma. Mae caniatâd yn anodd mewn perthnasoedd cyflogaeth oherwydd yr anghydbwysedd pŵer. Dywed yr ICO na ddylid dibynnu ar ganiatâd fel arfer ar gyfer prosesu llawer o fathau o ddata gweithwyr gan y gallai gweithwyr deimlo dan bwysau i gytuno.
Ar gyfer data categori arbennig (gwybodaeth iechyd, aelodaeth o undeb llafur, ac ati), mae angen amod ychwanegol arnoch o dan Erthygl 9 o GDPR y DU. Mewn cyd-destunau cyflogaeth, mae hyn yn aml yn golygu bod y prosesu yn angenrheidiol ar gyfer cyflawni eich rhwymedigaethau ac arfer hawliau penodol mewn cyflogaeth.
Gwnaeth Deddf Data (Defnyddio a Mynediad) 2025 sawl gwelliant i fframwaith diogelu data'r DU. Mae'r newidiadau allweddol sy'n effeithio ar gyflogwyr yn cynnwys:
Mae'r ICO wedi cadarnhau y bydd yn cyhoeddi canllawiau pellach ar y newidiadau hyn drwy gydol 2026.
Dolen i ganllawiau ICO: https://ico.org.uk/
Rhaid i chi ddweud wrth weithwyr pa ddata personol rydych chi'n ei gasglu a pham. Dylai hysbysiad preifatrwydd esbonio:
Dylai'r hysbysiad gael ei ysgrifennu mewn iaith glir y gall pobl ei deall mewn gwirionedd. Rhowch ef i weithwyr newydd ar ddechrau eu cyflogaeth a gwnewch yn siŵr bod gweithwyr presennol yn gwybod ble i ddod o hyd iddo.
Mae angen polisi diogelu data clir ar bob sefydliad y mae staff yn ei ddeall ac yn ei ddilyn. Dylai hyn gynnwys:
Mae hyfforddiant yn bwysig hefyd. Mae angen i staff sy'n trin data personol wybod eu cyfrifoldebau. Mae angen canllawiau penodol ar gyfrinachedd a defnydd priodol ar reolwyr sy'n ymdrin â gwybodaeth sensitif am eu timau.
Rhaid i chi benodi Swyddog Diogelu Data (DPO) os ydych chi'n awdurdod cyhoeddus neu os yw eich gweithgareddau craidd yn cynnwys prosesu data categori arbennig ar raddfa fawr. Nid oes angen un ar lawer o gyflogwyr preifat, ond mae'n arfer da dynodi rhywun â chyfrifoldeb am gydymffurfiaeth â diogelu data, hyd yn oed yn anffurfiol.
Mae Asesiad Effaith Diogelu Data (DPIA) yn broses ffurfiol ar gyfer nodi a lleihau risgiau diogelu data. Rhaid i chi gynnal DPIA pan fo prosesu yn debygol o arwain at risg uchel i hawliau unigolion.
Mewn cyd-destunau cyflogaeth, mae hyn fel arfer yn golygu DPIAs ar gyfer:
Mae'r ICO yn argymell gwneud DPIAs yn ehangach fel arfer da, hyd yn oed pan nad yw'n gwbl ofynnol.
Mae GDPR y DU yn ei gwneud yn ofynnol i chi gadw cofnodion o'ch gweithgareddau prosesu. Dylai'r cofnodion hyn gynnwys:
Ar gyfer sefydliadau sydd â 250 neu fwy o weithwyr, mae'r cadw cofnodion hyn yn orfodol. Dim ond os yw eu prosesu yn debygol o arwain at risg i hawliau a rhyddid, os nad yw'n achlysurol, neu os yw'n cynnwys data categori arbennig neu ddata euogfarnau troseddol y mae angen cofnodion ar gyflogwyr llai. Yn ymarferol, dylai'r rhan fwyaf o gyflogwyr gadw'r cofnodion hyn waeth beth fo'u maint.
Cais mynediad gwrthrych data (DSAR) yw cais gan unigolyn i weld y data personol y mae sefydliad yn ei ddal amdano. Mae gan weithwyr, cyn-weithwyr ac ymgeiswyr am swyddi yr hawl hon, a gallant ei harfer ar unrhyw adeg.
Nid oes angen i DSARau ddilyn unrhyw fformat penodol. Nid oes angen i weithiwr ddefnyddio geiriau penodol fel “cais mynediad pwnc” na dyfynnu GDPR y DU. Os yw rhywun yn gofyn am weld eu data personol, dyna DSAR.
Enghreifftiau o geisiadau dilys:
Hyfforddwch reolwyr a staff AD i gydnabod y ceisiadau hyn fel eu bod yn cael eu trin yn brydlon.
Rhaid i chi ymateb i DSAR o fewn mis i'w dderbyn. Os yw'r cais yn gymhleth neu os ydych chi wedi derbyn sawl cais gan yr un person, gallwch ymestyn hyn hyd at ddau fis, ond rhaid i chi ddweud wrth y ceisydd o fewn y mis cyntaf ac egluro pam.
Os oes angen i chi wirio hunaniaeth rhywun neu egluro beth maen nhw'n gofyn amdano, mae'r cloc yn oedi nes i chi dderbyn yr hyn sydd ei angen arnoch.
Dylai ymateb dilys i DSAR gynnwys:
Dylid darparu'r data mewn fformat hygyrch a ddefnyddir yn gyffredin.
Gallwch wrthod cais am DSAR os yw'n "amlwg ddi-sail neu'n ormodol." Ond mae'r trothwy hwn yn uchel. Mae'r ICO wedi egluro nad yw cais yn ormodol dim ond oherwydd ei fod yn anghyfleus neu'n cynnwys llawer o ddata.
Efallai y byddwch yn gwrthod yn gyfreithlon os:
Hyd yn oed yn ystod achosion cyfreithiol neu dribiwnlys sy'n parhau, ni allwch wrthod dim ond oherwydd eich bod yn credu bod y gweithiwr yn ceisio cael dogfennau ar gyfer ei achos. Rhaid ystyried pob cais yn ôl ei rinweddau ei hun.
Yn aml, mae ymatebion DSAR yn cynnwys gwybodaeth am bobl eraill. Mae angen i chi gydbwyso hawl mynediad y ceisydd yn erbyn preifatrwydd unigolion eraill.
Os byddai darparu'r data yn golygu datgelu gwybodaeth bersonol rhywun arall, dim ond os yw'r person hwnnw'n cydsynio neu os yw'n rhesymol ei ddarparu heb ganiatâd y gallwch wneud hynny. Mae ffactorau i'w hystyried yn cynnwys disgwyliadau rhesymol y person arall, unrhyw ddyletswyddau cyfrinachedd, ac a ydynt wedi gwrthod caniatâd yn benodol.
Mae datganiadau tystion o ymchwiliadau disgyblu yn bwyntiau fflach cyffredin. Nid oes rhaid i chi ddileu pob sôn am weithwyr eraill yn awtomatig, ond mae angen i chi feddwl yn ofalus am yr hyn sy'n briodol i'w ddatgelu.
Mae monitro gweithleoedd wedi cynyddu'n sylweddol gyda gweithio o bell a gweithio hybrid. O olrhain e-bost i feddalwedd cynhyrchiant i deledu cylch cyfyng, mae gan gyflogwyr fwy o offer nag erioed i gadw golwg ar eu gweithlu.
Nid yw cyfraith diogelu data yn gwahardd monitro. Ond mae'n ei gwneud yn ofynnol i chi ei wneud yn gyfreithlon, yn deg, ac yn gymesur.
Cyhoeddodd yr ICO ganllawiau cynhwysfawr ar fonitro gweithleoedd ym mis Hydref 2023, gan adlewyrchu'r twf mewn gweithio o bell a thechnolegau monitro newydd. Mae'r pwyntiau allweddol yn cynnwys:
Rhaid cyfiawnhau monitro. Mae angen rheswm clir, wedi'i ddogfennu arnoch dros fonitro a sail gyfreithlon o dan GDPR y DU. Nid yw "Efallai y bydd ei angen arnom ryw ddydd" yn ddigon da.
Mae cyfrannedd yn bwysig. Mae'r canllawiau'n pwysleisio defnyddio'r dulliau lleiaf ymwthiol i gyflawni eich amcanion. Os ydych chi'n poeni am gynhyrchiant, mae olrhain pob ergyd allwedd yn debygol o fod yn anghymesur o'i gymharu â, dyweder, adolygu allbwn a chael gwiriadau rheolaidd.
Mae gan weithwyr ddisgwyliadau preifatrwydd uwch gartref. Mae gweithwyr o bell yn disgwyl mwy o breifatrwydd nag y byddent mewn swyddfa. Gallai monitro a allai fod yn dderbyniol mewn gweithle fod yn anghyfiawn pan fydd yn ymestyn i gartrefi pobl, lle mae mwy o risg o gasglu gwybodaeth am eu teulu a'u bywyd preifat.
Osgowch “ymlediad swyddogaeth”. Peidiwch ag ehangu monitro y tu hwnt i'w bwrpas gwreiddiol. Os ydych chi wedi gosod teledu cylch cyfyng ar gyfer diogelwch, ni ddylech chi ddechrau ei ddefnyddio i olrhain egwyliau toiled.
Cynnwys gweithwyr. Mae'r ICO yn argymell ymgynghori â staff neu eu cynrychiolwyr cyn gweithredu monitro, a'u cynnwys mewn adolygiadau.
Cyn monitro gweithwyr, dylech:
Mae rhywfaint o fonitro yn anochel yn dal gwybodaeth sensitif. Gallai monitro e-byst ddatgelu apwyntiadau iechyd neu gyfathrebiadau undebau llafur. Gallai gwyliadwriaeth fideo gofnodi gwybodaeth am anableddau neu wisg grefyddol.
Os yw'n debygol y bydd eich monitro yn casglu data categori arbennig, hyd yn oed yn ddamweiniol, mae angen sail gyfreithiol arnoch o dan Erthygl 6 ac Erthygl 9 o GDPR y DU. Cynlluniwch ar gyfer hyn o'r cychwyn cyntaf.
Dim ond mewn amgylchiadau eithriadol y mae monitro cudd, lle nad yw gweithwyr yn gwybod eu bod yn cael eu gwylio, yn gyfiawn. Dywed yr ICO y dylid ei gyfyngu i sefyllfaoedd lle:
Hyd yn oed wedyn, dylai monitro cudd fod yn gyfyngedig o ran amser ac yn dargedig. Mae'n annhebygol y bydd cyfiawnhad dros oruchwylio cudd cyffredinol o'r holl staff o dan unrhyw amgylchiadau.
Canfu ymchwil a gomisiynwyd gan yr ICO y byddai 70% o bobl yn gweld monitro yn y gweithle yn ymwthiol. Dim ond 19% a ddywedodd y byddent yn teimlo'n gyfforddus yn cymryd swydd lle byddent yn gwybod y byddent yn cael eu monitro. Dylai'r ffigurau hyn roi cyfle i gyflogwyr feddwl. Gall monitro gormodol niweidio ymddiriedaeth, effeithio ar forâl, ac yn y pen draw niweidio cynhyrchiant, yr union beth y mae'n aml i fod i'w wella.
Mae toriad data personol yn ddigwyddiad diogelwch sy'n arwain at ddinistrio, colli, newid neu ddatgelu data personol yn ddamweiniol neu'n anghyfreithlon. Mewn cyd-destunau cyflogaeth, gallai toriadau gynnwys:
Rhaid i chi roi gwybod am doriad diogelwch i'r ICO o fewn 72 awr i ddod yn ymwybodol ohono os yw'n debygol o arwain at risg i hawliau a rhyddid unigolion. Nid yw pob toriad diogelwch yn bodloni'r trothwy hwn, ond os oes gennych amheuaeth, mae'n well rhoi gwybod.
Os yw'r toriad yn debygol o arwain at risg uchel i unigolion yr effeithir arnynt, rhaid i chi hefyd eu hysbysu heb oedi gormodol.
Gall methu ag adrodd pan fo angen arwain at ddirwyon o hyd at £8.7 miliwn neu 2% o drosiant byd-eang.
Mae tueddiadau gorfodi diweddar yn dangos bod yr ICO yn canolbwyntio ar fethiannau systemig yn hytrach na chamgymeriadau untro. Roedd yr achosion a ddenodd y dirwyon mwyaf yn 2025 yn cynnwys:
Mae'r neges yn glir: mae cael prosesau wedi'u dogfennu, tystiolaeth o welliant parhaus, ac atebolrwydd clir yn bwysicach na honni eich bod chi'n "cymryd diogelwch o ddifrif".
Dylai fod gan bob cyflogwr gynllun ar gyfer ymateb i achosion o dorri data. Dylai hyn gynnwys:
Profwch y cynllun yn rheolaidd. Yn aml, mae proses ymateb i ddigwyddiadau heb ei phrofi yn methu pan fo ei hangen fwyaf.
Mae egwyddor cyfyngu storio yn ei gwneud yn ofynnol i chi gadw data personol cyhyd ag sydd ei angen yn unig. Ond mae "angenrheidiol" yn amrywio yn dibynnu ar ba ddata rydych chi'n sôn amdano a pham mae ei angen arnoch chi.
Mae'r ICO yn cynghori yn erbyn dull un maint i bawb o gadw data. Mae gan wahanol fathau o ddata gweithwyr wahanol resymau dros eu cadw:
| Math o Ddata | Cyfnod Cadw Nodweddiadol | Rhesymu |
|---|---|---|
| Cofnodion recriwtio (ymgeiswyr aflwyddiannus) | 6-12 mis | Hawliadau gwahaniaethu posibl |
| Cyflogres a chofnodion treth | 6 mlynedd ar ôl i gyflogaeth ddod i ben | Gofynion CThEM |
| Cofnodion iechyd a diogelwch | Isafswm o 3 blynedd, yn hirach ar gyfer rhai digwyddiadau | Cyfnodau cyfyngu ar gyfer hawliadau |
| Cofnodion pensiwn | O bosibl am gyfnod amhenodol | Cyfrifiadau budd-daliadau parhaus |
| Cofnodion disgyblu | Yn dibynnu ar y canlyniad; yn aml 6-12 mis ar gyfer rhybuddion | Rheoli gweithle |
| Ffeiliau personél cyffredinol | 6 mlynedd ar ôl i gyflogaeth ddod i ben | Hawliadau tribiwnlys cyflogaeth |
Canllawiau cyffredinol yw'r rhain. Mae angen i chi asesu cadw yn seiliedig ar eich amgylchiadau penodol a dogfennu eich rhesymeg.
Pan fydd cyfnodau cadw yn dod i ben, dylid dinistrio data yn ddiogel. Ar gyfer cofnodion papur, mae hynny'n golygu rhwygo neu wasanaethau gwastraff cyfrinachol. Ar gyfer data electronig, mae'n golygu dileu ffeiliau'n iawn a sicrhau eu bod yn cael eu tynnu o gopïau wrth gefn.
Nid yw dileu e-bost yn unig o reidrwydd yn dinistrio'r data os yw'n aros ar weinyddion neu mewn archifau. Dylai eich tîm TG ddeall beth sydd ei angen mewn gwirionedd ar gyfer "dileu diogel" yn eich systemau.
Mae caniatâd yn gofyn am ddewis gwirioneddol. Mewn perthnasoedd cyflogaeth, lle mae anghydbwysedd pŵer cynhenid, gall gweithwyr deimlo na allant wrthod yn rhydd. Mae'r ICO yn argymell defnyddio seiliau cyfreithlon eraill ar gyfer y rhan fwyaf o brosesu cyflogaeth.
Mae gormod o hysbysiadau preifatrwydd naill ai wedi'u claddu mewn papurau sefydlu lle nad ydyn nhw byth yn cael eu darllen, neu wedi'u hysgrifennu mewn iaith gyfreithiol mor ddwys fel eu bod nhw'n annealladwy. Dylai eich hysbysiad fod yn hygyrch a dweud wrth bobl beth sydd angen iddyn nhw ei wybod mewn gwirionedd.
Mae amgylchiadau gweithwyr yn newid. Cyfeiriadau, cysylltiadau brys, cyflyrau iechyd. Heb brosesau i staff ddiweddaru eu gwybodaeth, ac anogwyr i wneud hynny'n rheolaidd, mae cofnodion yn mynd yn anghywir.
Mae cadw popeth am byth “rhag ofn” yn creu risg ddiangen. Po fwyaf o ddata sydd gennych, y mwyaf sydd i’w amddiffyn a’r mwyaf difrifol fydd unrhyw doriad.
Nid systemau AD yw'r unig le mae data personol yn byw. Mae rheolwyr yn cadw nodiadau mewn llyfrau nodiadau, ar eu byrddau gwaith, mewn negeseuon e-bost. Mae staff yn trafod cydweithwyr ar WhatsApp. Mae rheoli'r data hwn yn anodd ond mae ei anwybyddu yn creu mannau dall.
Mae rhai cyflogwyr yn mynd yn amddiffynnol pan fydd gweithwyr yn gwneud ceisiadau mynediad at wybodaeth, yn enwedig yn ystod anghydfodau. Ond mae DSAR yn hawl gyfreithiol. Mae ei drin fel ymosodiad yn hytrach na chais cyfreithlon yn cynyddu'r risg o gael yr ymateb yn anghywir.
Gall monitro rhai staff ond nid eraill, neu fonitro gwahanol dimau i wahanol raddau heb gyfiawnhad clir, greu risgiau gwahaniaethu ochr yn ochr â materion diogelu data.
Nid oes angen caniatâd arnoch ar gyfer y rhan fwyaf o brosesu data sy'n gysylltiedig â chyflogaeth. Gallwch gadw data sy'n angenrheidiol ar gyfer y contract cyflogaeth, cydymffurfiaeth gyfreithiol, neu'ch buddiannau cyfreithlon fel cyflogwr. Mae hyn yn cynnwys pethau fel enw, cyfeiriad, dyddiad geni, rhif Yswiriant Gwladol, manylion banc ar gyfer cyflogres, cysylltiadau brys, a chofnodion sy'n gysylltiedig â pherfformiad ac ymddygiad. Y gamp yw cael sail gyfreithiol briodol, nid o reidrwydd caniatâd.
Rhaid i chi benodi Swyddog Diogelu Data os ydych chi'n awdurdod cyhoeddus, neu os yw eich gweithgareddau craidd yn cynnwys prosesu data categori arbennig ar raddfa fawr neu fonitro unigolion yn rheolaidd ac yn systematig. Nid yw'r rhan fwyaf o gyflogwyr yn y sector preifat yn bodloni'r trothwyon hyn. Ond mae cael rhywun yn gyfrifol am ddiogelu data, hyd yn oed heb y teitl Swyddog Diogelu Data ffurfiol, yn arfer da.
Mae'r rhan fwyaf o gyflogwyr yn cadw ceisiadau aflwyddiannus am 6-12 mis. Mae hyn yn caniatáu amser ar gyfer hawliadau gwahaniaethu posibl ac yn darparu cronfa o ymgeiswyr os bydd swyddi gwag tebyg yn codi. Y tu hwnt i hyn, anaml y bydd cyfiawnhad dros gadw'r data. Mae rhai cyflogwyr yn gofyn i ymgeiswyr aflwyddiannus a hoffent i'w manylion gael eu cadw ar ffeil am gyfnod hirach.
Mae gan weithwyr hawl i ddileu (yr “hawl i gael eich anghofio”) mewn rhai amgylchiadau, ond nid yw hyn yn absoliwt. Gallwch wrthod os oes angen i chi gadw'r data ar gyfer hawliadau cyfreithiol, rhwymedigaethau cyfreithiol, neu ddibenion penodol eraill. Ar ôl i'r cyflogaeth ddod i ben, mae'n debyg y bydd gennych resymau cyfreithlon i gadw llawer o'r data am y cyfnodau cadw perthnasol.
Rhaid i chi ymateb i'r DSAR o hyd. Nid yw ymgyfreitha parhaus yn eich eithrio rhag y gofyniad. Ymdriniwch â'r DSAR ar wahân i'r broses ymgyfreitha, gan gymhwyso eithriadau arferol lle bo'n briodol (megis braint broffesiynol gyfreithiol). Nid yw'r ffaith yn unig bod rhywun yn cyflwyno hawliad yn gwneud eu DSAR yn "amlwg ddi-sail".
Ydw, ond mae angen i chi fod yn fwy gofalus. Mae gan weithwyr ddisgwyliadau preifatrwydd uwch gartref. Mae mwy o risg o gipio gwybodaeth deuluol a phreifat. Dylech gynnal DPIA, defnyddio'r monitro lleiaf ymwthiol sy'n angenrheidiol, bod yn dryloyw ynglŷn â'r hyn rydych chi'n ei wneud, a sicrhau bod monitro yn gymesur â'ch nodau cyfreithlon.
Ydw. Rhaid i chi fod yn dryloyw ynglŷn â gwyliadwriaeth teledu cylch cyfyng. Dylid arddangos arwyddion yn glir mewn ardaloedd sy'n cael eu monitro, a dylid cynnwys gwybodaeth am deledu cylch cyfyng yn eich hysbysiad preifatrwydd. Os yw teledu cylch cyfyng yn cwmpasu ardaloedd lle mae gweithwyr yn gweithio, dylent wybod amdano.
Ar gyfer prosesu data sy'n hanfodol i'r berthynas gyflogaeth, efallai na fydd gwrthod yn ymarferol. Ni allwch dalu rhywun heb eu manylion banc, er enghraifft. Lle mae caniatâd yn sail gyfreithlon (a ddylai fod yn brin ar gyfer data cyflogaeth), gall gweithwyr dynnu caniatâd yn ôl. Lle mae prosesu'n dibynnu ar seiliau eraill, mae gwrthwynebiad y gweithiwr yn un ffactor i'w ystyried ond nid yw o reidrwydd yn atal prosesu.
Mae'n dibynnu ar pam a sut. Efallai y bydd angen rhannu manylion proffesiynol sylfaenol (enw, teitl swydd, gwybodaeth gyswllt) gyda chleientiaid er eich buddiannau cyfreithlon. Mae rhannu gwybodaeth fwy sensitif yn gofyn am ystyriaeth ofalus. Mewn rhai diwydiannau, efallai y bydd angen gwybodaeth benodol ar gleientiaid am resymau rheoleiddio. Gwnewch yn siŵr bob amser bod rhannu'n gymesur ac wedi'i gynnwys yn eich hysbysiad preifatrwydd.
Gall yr ICO ddirwyo sefydliadau hyd at £17.5 miliwn neu 4% o'u trosiant blynyddol byd-eang, pa un bynnag sydd uchaf. Mae cosbau is yn berthnasol i rai mathau o dorri data (hyd at £8.7 miliwn neu 2% o'u trosiant). Y tu hwnt i ddirwyon, gall yr ICO gyhoeddi hysbysiadau gorfodi, ceryddon, a gorchmynion i roi'r gorau i brosesu. Gall unigolion hefyd hawlio iawndal drwy'r llysoedd os ydynt yn dioddef difrod neu ofid oherwydd methiannau diogelu data.
| Term | Diffiniad |
|---|---|
| Rheolydd data | Y sefydliad sy'n penderfynu sut a pham y caiff data personol ei brosesu. Mewn cyd-destunau cyflogaeth, y cyflogwr yw hwn fel arfer. |
| Prosesydd data | Sefydliad sy'n prosesu data personol ar ran y rheolwr. Mae darparwyr cyflogres a chyflenwyr meddalwedd cwmwl yn enghreifftiau cyffredin. |
| Testun data | Yr unigolyn y mae ei ddata personol yn cael ei brosesu. Gweithwyr, gweithwyr ac ymgeiswyr am swyddi yw pynciau data. |
| DPIA | Asesiad Effaith Diogelu Data. Proses ar gyfer nodi a lleihau risgiau diogelu data cyn i brosesu ddechrau. |
| DSAR | Cais Mynediad i Ddata gan Wrthrych. Cais gan unigolyn i weld y data personol y mae sefydliad yn ei ddal amdano. |
| ICO | Swyddfa'r Comisiynydd Gwybodaeth. Rheoleiddiwr diogelu data'r DU. |
| Sail gyfreithlon | Y cyfiawnhad cyfreithiol dros brosesu data personol. Y chwe sail yw caniatâd, contract, rhwymedigaeth gyfreithiol, buddiannau hanfodol, tasg gyhoeddus, a buddiannau cyfreithlon. |
| Data personol | Unrhyw wybodaeth sy'n ymwneud â pherson byw wedi'i adnabod neu y gellir ei adnabod. |
| Prosesu | Unrhyw beth a wneir gyda data personol, gan gynnwys ei gasglu, ei storio, ei ddefnyddio, ei rannu a'i ddileu. |
| Data categori arbennig | Data personol sensitif sydd angen amddiffyniad ychwanegol, gan gynnwys gwybodaeth iechyd, tarddiad hiliol neu ethnig, barn wleidyddol, credoau crefyddol, aelodaeth o undeb llafur, data genetig, data biometrig, a data am fywyd rhywiol neu gyfeiriadedd rhywiol. |
| Rheoliad Cyffredinol ar Ddiogelu Data (GDPR) | Rheoliad Diogelu Data Cyffredinol y DU, y ddeddfwriaeth diogelu data sylfaenol yn y DU. |
Gall cydymffurfiaeth â diogelu data deimlo'n llethol, yn enwedig pan fyddwch chi'n delio â chais mynediad gwrthrych anodd, yn cynllunio trefniadau monitro newydd, neu'n ymateb i doriad. Rydym yma i helpu.
Mae ein tîm cyflogaeth yn gweithio gyda busnesau ledled Cymru a Lloegr ar bob agwedd ar ddiogelu data yn y gweithle. Byddwch yn gweithio'n uniongyrchol gyda'r cyfreithiwr sy'n ymdrin â'ch mater, dim haenau o geidwaid, a chewch gyngor ymarferol y gallwch ei ddefnyddio mewn gwirionedd.
Gallwn eich helpu gyda:
Fel cwmni cyfraith fasnachol blaenllaw Cymru yn y Gymraeg, gallwn ddarparu hyn i gyd yn y Gymraeg neu'r Saesneg, pa un bynnag sy'n gweithio orau i chi.
Yn barod am sgwrs? Cysylltwch â ni am sgwrs am ddim, heb unrhyw rwymedigaeth, ynglŷn â sut y gallwn ni helpu.
I siarad ag un o'n harbenigwyr heddiw, cysylltwch â ni ar 02920 829 100 neu drwy ddefnyddio ein ffurflen Cysylltwch â Ni am sgwrs gychwynnol am ddim i weld sut gallwn ni helpu.
02920 829 100 
