GDPR – Flwyddyn yn ddiweddarach

Mae'r mis yma'n nodi blwyddyn ers i'r Rheoliad Diogelu Data Cyffredinol (GDPR) ddod i rym yn yr Undeb Ewropeaidd.

Daeth y Rheoliad Diogelu Data Cyffredinol, ynghyd â Deddf Diogelu Data 2018 yng ngwledydd Prydain, i rym ar 25 Mai 2018 ac maen nhw'n berthnasol i bob sefydliad sy'n prosesu data personol unigolion. Mae'r Rheoliadau'n cwmpasu busnesau o bob maint, sy'n amrywio o unig fasnachwyr i gwmnïau corfforaethol byd-eang, er bod y rheolau'n wahanol mewn rhai ffyrdd, yn dibynnu ar faint a gweithgareddau'r sefydliad.

Ledled yr Undeb Ewropeaidd, mae rheoleiddwyr diogelu data wedi rhoi dirwyon o fwy na €56 miliwn hyd yma, o ganlyniad i dorri amodau'r Rheoliadau.

Yng ngwledydd Prydain, mae Swyddfa'r Comisiynydd Gwybodaeth (ICO) yn dal i fod yn brysur yn cyhoeddi canlyniadau achosion a ddeilliodd yn sgil Deddf Diogelu Data 1998, cyn GDPR, ac nid yw wedi cyhoeddi manylion unrhyw ddirwyon sylweddol y mae wedi'u rhoi o dan GDPR eto – er y gallwn ddisgwyl i'r rhain ymddangos yn ystod y misoedd nesaf.

Er gwaethaf hyn, mae'r cyhoeddusrwydd sy'n gysylltiedig â GDPR yn golygu y bydd llawer o fusnesau wedi gweld effeithiau ymarferol y rheoliadau wrth iddyn nhw ddelio â'u cwsmeriaid a'u staff.

O ran staff yn benodol, mae cynnydd mewn ymwybyddiaeth am ddiogelu data yn golygu ein bod wedi gweld cynnydd yn nifer y "Ceisiadau Gwrthrych am Wybodaeth" sy'n cael eu cyflwyno gan weithwyr cyflogedig sydd am wybod beth mae eu cyflogwyr wedi bod yn ei wneud ac yn ei ddweud amdanyn nhw a sut maen nhw wedi bod yn defnyddio'u gwybodaeth bersonol. Mae'r rheolau llym ar gyfer Ceisiadau Gwrthrych o dan GDPR yn golygu bod yn rhaid i gyflogwyr gasglu a throsglwyddo'r wybodaeth yma o fewn mis ar ôl i gais gael ei wneud.

Er mwyn atgoffa busnesau o'u dyletswyddau diogelu data, dylai pob sefydliad:

  • Gofrestru â Swyddfa'r Comisiynydd Gwybodaeth fel rheolydd data

  • Bod â hysbysiad preifatrwydd ar gyfer gweithwyr a chontractwyr (ac ar gyfer ymgeiswyr am swyddi), sy'n nodi sut y gall eu data gael ei gadw a'i brosesu

  • Bod â hysbysiadau preifatrwydd ar gyfer cwsmeriaid, cleientiaid, cyflenwyr ac unrhyw un arall maen nhw'n debygol o fod yn ymdrin â'u data personol

  • Bod â pholisi diogelu data sy'n nodi sut mae'n rhaid i weithwyr drin data personol pobl eraill, a chanlyniadau torri'r polisi hwnnw

  • Bod â chytundebau rhannu data ar waith gydag unrhyw ddarparwyr gwasanaeth trydydd parti y gallan nhw drosglwyddo data personol iddyn nhw

  • Cynnal archwiliadau data rheolaidd a, phan fo angen, Asesiadau o'r Effaith ar Breifatrwydd wrth gynnal gweithgareddau prosesu data nad ydyn nhw'n rhai arferol.

Dylid nodi hefyd ei bod yn annhebygol y bydd y rheolau ar ddiogelu data ym Mhrydain yn cael eu llacio yn sgil Brexit, er gwaethaf y ffaith bod GDPR yn gyfraith ledled yr Undeb Ewropeaidd. Mae Llywodraeth y Deyrnas Unedig wedi ymrwymo i gadw effeithiau GDPR yng ngwledydd Prydain tan o leiaf ddiwedd unrhyw gyfnod pontio (os bydd Senedd San Steffan yn cadarnhau'r Cytundeb Ymadael) ac mae'n debygol o geisio cytundeb gyda'r Undeb Ewropeaidd y dylai'r rheolau barhau am gyfnod amhenodol.

Os hoffech fwy o wybodaeth ar y mater yma neu ar unrhyw fater arall, plis cysylltwch â’r tim Cyflogaeth ac Adnoddau Dynol.

Anna ShererNewyddion