English

Ydy'r cynnwys rwy'n ei rannu ar-lein yn cydymffurfio â gofynion diogelu data?

Beth bynnag y nodau, os ydych chi'n rhannu data personol ar-lein, mae angen i chi gydymffurfio â chyfreithiau diogelu data. Mae'r canllaw yma gan Dr Kit Good yn eich tywys drwy'r pethau allweddol mae angen i chi eu hystyried wrth rannu data personol ar-lein.

Mae'r adnodd hwn ar gael yn Saesneg a Chymraeg
old computer with screen and floppy disc
Photo by bert b on Unsplash
old computer with screen and floppy disc

Is the content I’m sharing online data protection compliant?

Cynnwys

Mae gwefan neu gyfrif ar y cyfryngau cymdeithasol yn sianel hanfodol i hyrwyddo nodau a gweithgareddau eich sefydliad.

Beth bynnag y nodau, os ydych chi’n rhannu data personol ar-lein, mae angen i chi gydymffurfio â chyfreithiau diogelu data. Mae’r canllaw yma yn eich tywys drwy’r pethau mae angen i chi eu hystyried.

Mapping to the UK GDPR diagram
Proses ar gyfer gwirio a yw’r cynnwys rydych chi’n ei rannu ar-lein yn cydymffurfio â gofynion Diogelu Data – o ddiffiniadau, i egwyddorion diogelu data bob cam ymlaen i hawliau. Caiff y broses yma ei hamlinellu yn yr adnodd yma isod.

 

1. Adnabod eich data

Ydych chi’n postio ‘data personol’?

Diffinnir data personol mewn cyfraith diogelu data fel “gwybodaeth sy’n ymwneud â pherson naturiol byw a adnabyddir neu sy’n adnabyddadwy.” Y tu hwnt i ddangosyddion amlwg fel enw neu fanylion cyswllt, gallai fod gwybodaeth arall rydych chi’n ei dal a allai ddatgelu pwy yw unigolion yn uniongyrchol, neu drwy gyfuniad o ddarnau o wybodaeth. Rhai enghreifftiau fyddai:

  • Enw
  • Delwedd ffotograffig
  • Gwybodaeth fiograffig (dyddiad a man geni, ysgol neu alwedigaeth)
  • Cyfeiriad post / e-bost
  • Rhif cofrestru eu car
  • Manylion banc / cerdyn credyd
  • Slip cyflog
  • Pasbort neu drwydded yrru
  • Ffurflen aelodaeth wedi’i chwblhau
  • Cofnod rhoddion

Os ydych chi’n postio data personol ar-lein, yn nhermau diogelu data, rydych chi’n ‘prosesu data personol.’ Mae ‘prosesu’ yn ymwneud ag unrhyw weithgarwch a wnewch mewn perthynas â data personol, o’i gasglu i’w storio a’i ddadansoddi i’w ddileu.

Ydych chi’n ‘rheolydd data’?

Os yw eich sefydliad yn prosesu data personol at ddibenion rheoli staff, gweithio gyda gwirfoddolwyr neu gefnogi unigolion, yna mae’n ‘rheolydd data’ o dan gyfraith diogelu data, ac mae ganddo ystod o gyfrifoldebau cyfreithiol diffiniedig.

Mae rheolydd data:

  • yn penderfynu pa ddata personol maen nhw’n ei gasglu (e.e. enw, cyfeiriad e-bost neu fanylion banc a chyfeiriad gartref)
  • yn penderfynu at ba ddibenion maen nhw’n mynd i ddefnyddio’r data personol (e.e. rhoi’r wybodaeth ddiweddaraf i gefnogwyr drwy newyddlenni rheolaidd neu dalu cyflogau staff)
  • yn gyfrifol am reoli’r data personol i gydymffurfio â’r gyfraith (e.e. ei gadw’n ddiogel, cyhoeddi rhybudd preifatrwydd)

Yn y rhan fwyaf o achosion, bydd angen i chi gofrestru gyda Swyddfa’r Comisiynydd Gwybodaeth (ICO) a gallwch chi hunanasesu’r gofyniad yma ar eu gwefan: https://ico.org.uk/for-organisations/data-protection-fee/self-assessment/

 

2. Adnabod eich data risg uchel

Ydych chi’n postio data ‘categori arbennig’ neu ddata ‘euogfarnau troseddol’?

Mae rhai mathau o ddata personol yn cael eu hystyried yn rhai mwy sensitif ac mae mwy o risg yn gysylltiedig â nhw. Os ydych chi’n postio data am unigolion yn ymwneud â’r meysydd canlynol, sy’n cael eu diffinio fel ‘data categori arbennig’, yna mae angen ystyriaeth ychwanegol.

  • tarddiad hiliol neu ethnig unigolyn
  • barn wleidyddol
  • credoau crefyddol neu athronyddol
  • aelodaeth o undeb llafur
  • data mewn perthynas ag iechyd
  • data mewn perthynas â bywyd rhyw neu gyfeiriadedd rhywiol rhywun
  • data genetig neu ddata biometrig

Os ydych chi’n postio data yn ymwneud ag euogfarnau troseddol, yna mae gofynion diogelu data eraill ar waith. Byddwn ni’n ystyried y rhain yn yr adran nesaf.

 

3. Meddu ar reswm da

Beth yw ein sail gyfreithiol dros brosesu data personol?

Os ydych chi’n prosesu unrhyw ddata personol, mae angen bod gennych reswm da. Mewn cyfraith diogelu data, mae chwe sail gyfreithiol dros ei brosesu:

  • Mae’r unigolyn wedi cydsynio i’r prosesu
  • Mae’r prosesu’n ofynnol ar gyfer contract mae’r unigolyn yn rhan ohono
  • Mae ar eich sefydliad rwymedigaeth gyfreithiol i brosesu’r data, o bosibl o dan gyfraith elusennau neu’r Ddeddf Treftadaeth Genedlaethol 1983
  • Mae angen i’ch sefydliad brosesu data i ddiogelu buddiannau allweddol i fywyd unigolyn
  • Os yw eich sefydliad yn awdurdod cyhoeddus, mae angen iddyn nhw brosesu data yn rhan o’u pwerau a sefydlwyd o dan y gyfraith
  • Mae gan eich sefydliad fuddiant dilys dros brosesu’r data, wedi’i gydbwyso yn erbyn hawliau a rhyddid yr unigolyn

Beth yw’r seiliau cyfreithiol mwyaf priodol ar gyfer postio gwybodaeth ar-lein?

Rhwymedigaeth gyfreithiol neu dasg gyhoeddus

Gallai rhywfaint o wybodaeth fod yn gysylltiedig ag Ymddiriedolwyr neu uwch staff yn eich sefydliad y gallai fod angen ei hychwanegu i wefan neu ei chyhoeddi mewn adroddiad blynyddol. Mae hyn yn debygol o gyd-fynd â ‘rhwymedigaeth gyfreithiol’ neu ‘dasg gyhoeddus’ fel sail gyfreithiol, yn dibynnu ar natur eich sefydliad treftadaeth neu elusennol.

Enghraifft – sail gyfreithiol / rhwymedigaeth gyfreithiol

Mae amgueddfa’r Museum of Musical Instruments yn elusen gofrestredig. Fel elusen, mae arni rwymedigaeth gyfreithiol i gyhoeddi adroddiad blynyddol gydag enwau ei Hymddiriedolwyr. Y sail gyfreithiol ar gyfer y prosesu yma yw ‘rhwymedigaeth gyfreithiol’

 

Enghraifft – sail gyfreithiol awdurdod cyhoeddus / tasg gyhoeddus

Mae amgueddfa’r National Museum of Dance yn awdurdod cenedlaethol o dan y Ddeddf Rhyddid Gwybodaeth. Mae’n rheoli manylion y dawnswyr yn ei chasgliad ac yn postio’r rhain, e.e., “Joan Smith, Llundain, 1962- ” ar ei gwefannau a’i chyfrifon cyfryngau cymdeithasol. Mae’r gwaith prosesu data yma’n dod o dan sail gyfreithiol ei thasg gyhoeddus fel sefydliad diwylliannol i ddatblygu ac ymestyn mynediad y cyhoedd i’w chasgliad.

 

Cydsyniad

Os mai eich rheswm dros bostio data ar-lein yw bod unigolyn wedi dweud, “gallwch, gallwch chi bostio hyn ar-lein”, yna rydych chi’n defnyddio cydsyniad fel eich sail gyfreithiol. Fodd bynnag, mae sawl cafeat i sicrhau bod y cynnwys yn ddilys.

Mae’r ICO yn nodi bod “yn rhaid i gydsyniad go iawn roi rheolaeth i unigolion, creu ymddiriedaeth ac ymgysylltiad, ac ychwanegu at eich enw da.” Er mwyn gwneud y cydsyniad yna’n ddilys, mae angen iddo fod:

  • yn weithred gadarnhaol glir: yn benderfyniad i “optio i mewn”, yn hytrach nag un i “optio allan”
  • yn gwbl wybodus: mae angen i bobl wybod i beth maen nhw’n optio i mewn, pwy fydd yn storio’u data a sut
  • yn cael ei roi o’u gwirfodd: ni ddylai fod unrhyw anghydbwysedd grym na phwysau ymhlyg i roi’r cydsyniad. Dylai’r cydsyniad fod mor hawdd i’w dynnu’n ôl ag yr oedd i’w ddarparu.
  • wedi’i recordio: dylai’r sefydliad gadw cofnod o’r cydsyniad

Enghraifft – cydsyniad annilys

Mae amgueddfa’r Museum of Musical Instruments yn gofyn am farn y bobl wrth iddyn nhw giwio i ddod i mewn. Mae’r aelod o staff sy’n cynnal yr arolwg yn dweud y bydd cyfweliad i bawb ac y caiff eu henw, o ble y teithion nhw a pham y daethon nhw’n cael eu hychwanegu at dudalen Facebook yr Amgueddfa.
Mae’n nodi y gallan nhw optio allan wrth y ddesg flaen drwy ofyn am y rheolwr os nad ydyn nhw am gael eu cynnwys. Mae pawb sydd wedi bod yn dod i’r amgueddfa wedi bod yn gwneud hyn, meddai, wrth iddo gwblhau’r cyfweliadau a gadael, gan baratoi i’w postio i’r dudalen.

 

Enghraifft – cydsyniad dilys

Mae amgueddfa’r Museum of Musical Instruments yn hysbysebu ymlaen llaw ar ei gwefan y bydd yn gofyn barn y bobl wrth iddyn nhw giwio i ddod i mewn ar ddydd Sadwrn penodol. Mae’n ychwanegu arwydd i’r ciw, gan esbonio’r ymarfer a sut caiff y data ei ddefnyddio.

Mae’r cyfwelydd yn gofyn i bob aelod o’r ciw os hoffen nhw gymryd rhan, gan roi ffeithlen iddyn nhw sy’n esbonio sut caiff y data ei ddefnyddio a ffurflen i’w llofnodi i roi cydsyniad i’r wybodaeth gael ei defnyddio. Mae’r ffeithlen yn cynnwys gwybodaeth am sut i ofyn i’r manylion gael eu dileu, sy’n gallu cael ei wneud drwy e-bost neu neges uniongyrchol i dudalen Facebook yr amgueddfa.

Mae’r cyfwelydd yn cadw’r ffurflenni llofnodedig, ac mae’r Amgueddfa yn eu storio am gyfnod y cyhoeddusrwydd, gan ddileu unrhyw gofnodion o’r dudalen os yw cyfranogwyr yn eu hysbysu yn y cyfamser.

Buddiant dilys

Ar gyfer rhai postiadau ar-lein, mae’n bosibl mai ‘buddiannau dilys’ yw’r sail gyfreithiol gywir. Os ydych chi’n tynnu lluniau o ddigwyddiad neu lun cyffredinol o amgueddfa brysur i’w cyhoeddi ar-lein, yna ni fyddai’n ymarfer cael cydsyniad. Mae bob amser angen cydbwyso buddiannau dilys eich sefydliad, fel hyrwyddo’i gasgliadau neu annog rhoddion, yn erbyn hawliau a rhyddid yr unigolion. Po leiaf mae’r llun neu’r fideo’n amharu ar breifatrwydd, y mwyaf mae’r cydbwysedd yn ffafrio’r buddiant dilys.

Beth am ddata ‘categori arbennig’ neu ddata euogfarnau troseddol?

Rydyn ni wedi gweld bod rhai mathau o ddata’n cael eu diffinio mewn cyfraith diogelu data fel data risg uchel. Mewn llawer o achosion, ni fyddwch chi’n ystyried postio’r wybodaeth yma ar-lein. Os oes angen i chi ei phostio mewn amgylchiadau eithriadol, bydd gofyn sail gyfreithiol ychwanegol i brosesu’r data yma. Mewn rhai achosion, gallai’r data fod wedi cael ei wneud yn gyhoeddus yn amlwg gan wrthrych y data, fel gwleidydd â barn a theyrngarwch hysbys iawn neu ymgyrchydd dros ddiwygio carchardai a dreuliodd amser yn y carchar, ac sy’n tynnu’n gyffredin ar y profiad hynny. Mae’r canlynol, fodd bynnag, yn fwyaf tebygol o fod yn berthnasol ar gyfer ‘data categori arbennig’ a data euogfarnau troseddol.

Cydsyniad pendant

Mae trothwy uchel ar gyfer cydsyniad mewn unrhyw gyd-destun, ond mae’r ICO yn gofyn i ‘gydsyniad pendant’ gael ei gadarnhau mewn datganiad clir, i bennu natur y data categori arbennig a hynny ar wahân i gydsyniadau eraill rydych chi’n gofyn amdanyn nhw.

Enghraifft – cydsyniad pendant dilys

Mae amgueddfa’r Museum of Musical Instruments yn cyfweld â chyfranogydd sy’n cyfeirio at gyflwr iechyd yn eu hymateb. Mae’r cyfwelydd yn esbonio bod cynnwys y data iechyd yn y trawsgrifiad o’u cyfweliad ar y wefan yn wahanol i’r cynnwys arferol, ac yn gwirio eto bod y cyfwelai’n fodlon, gan ofyn iddyn nhw gadarnhau hyn yn ysgrifenedig ar y ffurflen sy’n bodoli.

 

4. Cadw cwmpas, perthnasedd a chywirdeb

Ydyn ni ond yn defnyddio’r data at ei ddiben cytunedig?

Dim ond at ei ddiben cytunedig y dylai data a gasglwyd ar gyfer postiad ar-lein gael ei ddefnyddio. Os ydych chi’n bwriadu ailddefnyddio ac ailbostio’r data, mae’n rhaid i’r wybodaeth yma gael ei darparu i’r unigolyn wrth ei chasglu.

Os ydych chi’n ailddefnyddio’u data i bostio gwybodaeth arall ar-lein ac nid yw unigolion yn ymwybodol o hyn, mae’n bosibl bydd angen i chi gysylltu â nhw am y canlynol:

  • os mai cydsyniad oedd eich sail gyfreithiol, dylech gael eu cydsyniad eto,
  • os mai tasg gyhoeddus, rhwymedigaeth gyfreithiol neu fuddiannau dilys oedd eich sail gyfreithiol, rhowch wybod iddyn nhw beth rydych chi’n bwriadu ei wneud gyda rhybudd preifatrwydd wedi’i ddiweddaru.

Enghraifft – cyfyngu diben

Mae amgueddfa’r National Museum of Dance am dynnu lluniau o dderbyniad codi arian a’u postio. Mae wedi darparu gwybodaeth i’w mynychwyr mai ei sail gyfreithiol dros y lluniau yw buddiannau dilys wrth hyrwyddo’r derbyniad. Am yr hoffen nhw ailddefnyddio’r lluniau o bosibl mewn deunydd hyrwyddo pellach, maen nhw hefyd wedi cynnwys hyn yn y rhybudd preifatrwydd i osgoi gorfod cysylltu â mynychwyr eto.

Ydy’r data rydyn ni’n ei gasglu’n berthnasol i’r diben?

Mae angen ystyriaeth ofalus wrth bostio data ar-lein, ac mae angen i chi osgoi postio fwy nag sy’n angenrheidiol, a allai gael effaith ar breifatrwydd yr unigolyn. Os ydych chi’n tynnu llun o gyfranogydd neu wirfoddolwr i’w gyhoeddi ar-lein, mae’n bosibl y byddwch chi am osgoi cefndir gyda chartref neu aelodau eraill o deulu’r unigolyn.

Enghraifft – minimeiddio data

Mae amgueddfa’r National Museum of Dance yn gweithio ar gapsiynau ar gyfer ei lluniau o’r derbyniad. I gychwyn, mae’r ffotograffydd yn ysgrifennu, ‘Un o’n rhoddwyr, John, gyda Seema (ei wraig) a Rachel o’r tîm casgliadau yn y derbyniad’, ond mae’n ei ailddrafftio fel ‘Mynychwyr yn ein derbyniad.’

Ydy’r data’n gywir?

Os yw eich sefydliad yn postio gwybodaeth bersonol ar-lein, mae rhwymedigaeth i sicrhau ei bod yn gywir. Gall effaith postiadau anghywir amrywio o fod yn annifyr i beri niwed neu drallod amlwg. Dylai unrhyw gamgymeriadau gael eu cywiro cyn gynted â phosibl.

 

5. Ei ddileu ar ôl iddo gael ei ddefnyddio

Am ba mor hir dylwn i gadw’r wybodaeth sydd wedi’i phostio ar-lein?

Nid oes angen i bostiad o wybodaeth bersonol ar y cyfryngau cymdeithasol neu ar wefan fod ar gael am byth i’r cyhoedd ei weld. Mae’n bosibl y byddwch chi am reoli faint o ddata sydd ar eich gwefan neu dacluso’ch postiadau cyfryngau cymdeithasol o bryd i’w gilydd. Mae’n bosibl bod gan rai mathau o wybodaeth gyfnod cadw cyfreithiol, fel yr adroddiad blynyddol neu’r cyfrifon, neu gellid eu cadw’n barhaol, fel cofnod mewn catalog casgliad. Am ddata arall, fel postiadau hyrwyddo sy’n cynnwys data personol, dylech ystyried cyfnod rhesymol ynghylch pryd dylid dileu data oddi ar eich gwefan neu’ch ffrwd.

Enghraifft – terfyn storio

Mae gwefan amgueddfa’r National Museum of Dance yn hoffi dangos cyfrifon neu luniau o’i digwyddiadau o’r ddwy flynedd diwethaf yn unig. Caiff pob tudalen ei hadolygu o bryd i’w gilydd a chaiff postiadau hŷn eu dileu. Caiff y dull yma ei nodi yn ei rhybudd preifatrwydd.

 

6. Ei gadw’n ddiogel

Sut ydw i’n cadw’r data’n ddiogel?

Wrth reoli gwybodaeth bersonol ar eich gwefan neu’ch ffrwd cyfryngau cymdeithasol, dylech chi sicrhau bod y data’n cael ei gadw’n ddiogel. Dylai fod gan wefannau gamau diogelu diogelwch cadarn, fel waliau tân, profion hacio a meddalwedd gyfoes. Dylai cyfrifon cyfryngau cymdeithasol sefydliadau fod â chyfrineiriau cadarn a chymhleth i atal achosion o hacio. Dylai staff sy’n cyrchu data personol ac yn ei bostio ar-lein gael eu hyfforddi mewn diogelu data ac egwyddorion diogelwch TG. Mae arweiniad pellach gan yr ICO i’w gael yn https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/security/

 

7. Bod yn atebol

Sut ydw i’n dangos ein bod ni’n cydymffurfio?

Os oes cwyn neu achos o dor diogelwch data ac mae’r ICO yn penderfynu ymchwilio, mae angen i chi allu dogfennu eich sefyllfa gyfreithiol a’ch gwaith gwneud penderfyniadau mewn perthynas â data personol. Gwiriwch fframwaith atebolrwydd yr ICO yn  https://ico.org.uk/for-organisations/accountability-framework/ <https://ico.org.uk/for-organisations/accountability-framework/> am wybodaeth bellach.

 

8. Dweud wrth bobl beth rydych chi’n ei wneud

Sut ydw’n i’n rhoi gwybod i bobl sut rydyn ni’n prosesu eu data?

Mae gofyn i sefydliadau fod yn dryloyw am sut maen nhw’n prosesu’r data personol maen nhw’n ei gasglu. Y ffordd fwyaf cyffredin o gyflawni hyn yw drwy gyhoeddi rhybudd preifatrwydd. Mae rhybudd preifatrwydd yn esbonio pwy yw’r ‘rheolydd data’, pa ddata sy’n cael ei gasglu ac at ba ddiben, beth yw’r sail gyfreithiol, pa ddata y gellid ei rannu, a manylion cyswllt i gael gwybod mwy. Mae’n bosibl y bydd hi’n haws i’ch sefydliad rannu’r rhybudd yn gategorïau fel staff, gwirfoddolwyr neu unigolion mewn postiadau a chyhoeddiadau ar-lein. Gallwch chi ddod o hyd i arweiniad pellach gan yr ICO drwy’r ddolen ganlynol: https://ico.org.uk/for-organisations/accountability-framework/transparency/

 

9. Gadael i bobl gael gwybod mwy

Sut ydw i’n sicrhau fy mod i’n parchu hawliau unigolion?

Mae gan unigolion nifer o hawliau o dan gyfraith diogelu data i gael gwybod mwy am sut mae eu data personol yn cael ei brosesu. Mae’r hawliau hyn yn arbennig o berthnasol i wybodaeth bersonol sy’n cael ei phostio ar-lein, ac mae angen i’ch sefydliad allu nodi’r ceisiadau hawliau hyn a gweithredu arnyn nhw, yn y rhan fwyaf o achosion, o fewn 30 diwrnod. Yr hawliau allweddol ar gyfer gwybodaeth sy’n cael ei phostio ar-lein yw:

  • Hawl mynediad (neu “Gais Gwrthrych am Wybodaeth”, “SAR” neu “DSAR”)
  • Hawl i gywiro
  • Hawl i ddileu (neu’r “hawl mynd yn angof”)
  • Hawl i wrthwynebu

Enghraifft – hawl i ddileu

Mae un o gyfweleion ciw amgueddfa’r Museum of Musical Instruments yn cysylltu, yn dymuno dileu eu cydsyniad i’w cyfweliad gael ei gyhoeddi ar y wefan ac yn gofyn i’r data gael ei ddileu. Mae’r Amgueddfa’n cytuno i’r cais ac yn dileu’r wybodaeth o fewn 30 diwrnod.

Am wybodaeth bellach, gweler gwefan yr ICO yn https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/

 

10. Gwybodaeth bellach

Crynodeb yw’r arweiniad hwn, sydd wedi’i seilio ar destunau llawn GDPR y DU a Deddf Diogelu Data 2018. Mae gwefan Swyddfa’r Comisiynydd Gwybodaeth www.ico.org.uk  yn cynnwys arweiniad helaeth ar bob agwedd ar gyfraith diogelu data.

 



More help here


Mobile phone displaying Mona Lisa painting

Data protection checklist

This data protection checklist by Dr Kit Good will help your heritage organisation determine whether the content you are sharing online is data protection compliant.

 
A file drawer with multicoloured paper folders packed tightly together is seen. One pink folder is in focus and pulled out slightly compared to the rest.

How can I ensure that personal data is protected when creating and sharing content online?

In this article, Laura Stanley explores how heritage organisations can remain compliant under the relevant data protection laws when sharing content on their digital channels.

 
Published: 2022


Creative Commons Licence Except where noted and excluding company and organisation logos this work is shared under a Creative Commons Attribution 4.0 (CC BY 4.0) Licence

Please attribute as: "Is the content I’m sharing online data protection compliant? (2022) by Dr Kit Good, Naomi Korn Associates supported by The National Lottery Heritage Fund, licensed under CC BY 4.0




 
 


More help here



Digital Heritage Hub is managed by Arts Marketing Association (AMA) in partnership with The Heritage Digital Consortium and The University of Leeds. It has received Department for Digital, Culture, Media and Sport (DCMS) and National Lottery funding, distributed by The Heritage Fund as part of their Digital Skills for Heritage initiative. Digital Heritage Hub is free and answers small to medium sized heritage organisations most pressing and frequently asked digital questions.

Arts Marketing Association
Heritage Digital
University of Leeds logo
The Heritage Fund logo