
How can I ensure that personal data is protected when creating and sharing content online?
Mae diogelu data eich cynulleidfaoedd yn hanfodol ar gyfer sefydliadau treftadaeth. P’un a ydych chi’n cynnal ymchwil i’ch ardal leol neu’n creu cynnwys am brosiectau cymunedol, mae bob amser angen i chi sicrhau eich bod yn diogelu data personol y bobl sy’n cymryd rhan.
Yn yr erthygl yma, rydyn ni’n mynd i rannu cynghorion am ba gyfreithiau data sy’n berthnasol i greu a rhannu cynnwys, sut gall sefydliadau ofyn am gydsyniad gan y bobl sy’n gysylltiedig â’u cynnwys, a sut gallan nhw ddefnyddio ymchwil heb dramgwyddo cyfreithiau diogelu data.
1. Beth yw’r gyfraith?
Y peth cyntaf mae angen i chi ei wneud yw chwilio am yr wybodaeth gyfreithiol gywir. Mae’r rhan fwyaf o reoliadau ar gael ar-lein, ynghyd ag adnoddau sy’n rhoi gwybodaeth a chanllawiau gweithredu ar gyfer sefydliadau.
Ar gyfer deddfwriaeth y DU, gallwch ddod o hyd i ganllawiau defnyddiol dros ben sy’n trafod yn fanylach ar wefan Swyddfa’r Comisiynydd Gwybodaeth (ICO). Corff rheoleiddio annibynnol y DU yw Swyddfa’r ICO sy’n gofalu am hawliau gwybodaeth.
Caiff y prif reolau ar gyfer diogelu data yn Ewrop eu nodi gan y Rheoliad Cyffredinol ar Ddiogelu Data (GDPR). Cyflwynwyd hyn yn 2016 gan yr Undeb Ewropeaidd i sicrhau bod pob data’n cael ei ddefnyddio’n deg, yn gyfreithlon, ac yn dryloyw.
Ar ôl Brexit, cyflwynodd y DU GDPR y DU, sef UK-GDPR, a oedd yn ei hanfod yr un peth â GDPR Ewrop ond cafodd ei newid i gyd-fynd â chyfreithiau domestig. Caiff GDPR y DU ei ategu gan Ddeddf Diogelu Data 2018 (DPA 2018). Mae DPA 2018 yn trafod eithriadau rhag GDPR, megis at ddibenion gorfodi’r gyfraith neu ddiogelwch cenedlaethol.
Egwyddor arweiniol GDPR a GDPR y DU yw y dylai fod bob amser budd dilys yn y data rydych chi’n ei gasglu. O dan y ddeddfwriaeth, mae gan unigolion yr hawl i gael gwybod sut bydd eu data personol yn cael ei ddefnyddio, yr hawl i’w data personol gael ei ddileu, a’r hawl i wybod yn union pa elfennau o’u data personol y gallai sefydliad fod yn eu dal.
2. Beth yw data personol?
Unwaith i chi ymchwilio i’r gyfraith, y cam nesaf yw deall beth yw data personol.
Caiff data personol ei ddiffinio fel “gwybodaeth sy’n gysylltiedig ag unigolyn a adnabyddir neu unigolyn adnabyddadwy”. Gallai hyn fod yn unrhyw beth o enw a rhif i gyfeiriad IP.
Ar gyfer sefydliadau treftadaeth sy’n creu cynnwys, gallai hyn olygu data pobl y cyfwelwyd â nhw yn rhan o brosiect hanes llafar neu rywun yr anfonoch chi e-bost atyn nhw at ddibenion ymchwil. Os ydyn nhw’n adnabyddadwy drwy eich cynnwys, mae angen i chi gymryd camau i ddiogelu eu gwybodaeth neu gael eu cydsyniad i’w defnyddio.
Gallai hyn hefyd olygu unrhyw adnabyddadwy sy’n ymddangos yn eich lluniau neu’ch ffilmiau. I gydymffurfio â GDPR y DU, bydd angen i chi brofi eich bod wedi cael cydsyniad gan bob unigolyn adnabyddadwy yn eich cynnwys.
Yn ystod y broses yma, mae angen i chi gael yr hyn a elwir yn gydsyniad gwybodus – mae’n rhaid i chi ddweud wrthyn nhw sut y caiff eu data ei ddefnyddio, gan bwy, ac at ba ddiben. Gallai olygu rhywbeth mor syml â gofyn iddyn nhw dicio blwch ar-lein (ar arolygon a holiaduron, er enghraifft) neu ofyn iddyn nhw lofnodi ffurflen.
Drwy gael cydsyniad, rydych chi’n diogelu eich cynulleidfaoedd, gan roi rheolaeth iddyn nhw dros eu data personol a’r ffordd y caiff ei ddefnyddio.
3. Sut galla i ddiogelu data personol?
Anonymeiddio’ch data (ei wneud yn ddienw)
Nid yw data sydd wedi’i anonymeiddio yn ddarostyngedig i reolau GDPR y DU oherwydd bod yr holl wybodaeth adnabyddadwy wedi’i dileu.
Mae anonymeiddio data’n cyfyngu ar y risg i’ch cynulleidfaoedd oherwydd nad all arwain yn ôl atyn nhw’n uniongyrchol yn achos tor-seibrddiogelwch. Mae’n arfer da anonymeiddio data wrth gynnal arolygon neu ymchwil a fydd yn hysbysu eich cydsyniad, mewn achosion lle nad oes angen enwau na manylion penodol arnoch chi.
Fodd bynnag, mae’n rhaid i anonymeiddio data fod yn broses drwyadl. Nid yw’n ddigon dileu enwau – os gall unrhyw set ddata arwain nôl at unigolyn, fel enw eu sefydliad a rôl eu swydd, yna mae wedi’i siwdonymeiddio, nid ei anonymeiddio. Mae dal angen i’r data hwnnw gael ei ddiogelu o dan GDPR y DU.
Ffurflenni cydsyniad
Ni fydd anonymeiddio’n diogelu data’r sawl sy’n ymddangos yn eich cynnwys gweledol, fel siarad ar eich fideos neu yng nghefndir eich lluniau.
I’r bobl hynny, mae angen i chi gael caniatâd penodol i ddefnyddio’u henw a’u delwedd.
Mae ffurflenni cydsyniad a chaniatâd optio i mewn yn bwysig iawn wrth gadw cydymffurfiaeth o dan GDPR y DU. Dylech chi eu defnyddio wrth gasglu pob math o ddata. Gallech chi hyd yn oed ddefnyddio’ch cynnwys i gasglu data a fydd yn llywio’ch darn nesaf neu redeg cystadleuaeth ar gyfer y bobl sy’n cymryd rhan ynddi, ac felly mae’n bosibl bydd angen i chi gysylltu â nhw’n ddiweddarach.
Y peth pwysicaf yw bod yn dryloyw am y ffordd y byddwch chi’n defnyddio’r data maen nhw’n ei roi i chi ac, os oes unrhyw amheuaeth, gofynnwch am ganiatâd bob tro.
Gallwch chi ddarllen am yr hyn mae angen i chi ei gynnwys mewn ffurflen ganiatâd isod.
Y rhybudd cyffredin
Os ydych chi erioed wedi dod ar draws rhywun yn ffilmio, byddwch chi eisoes wedi gweld y rhybudd yma. “Mae’r digwyddiad yma’n cael ei ffilmio/recordio at ddibenion hyrwyddo. Drwy fynychu’r digwyddiad yma neu gymryd rhan ynddo, rydych chi’n rhoi cydsyniad i gael eich recordio ac i’ch llun gael ei ddefnyddio yn y dyfodol.”
Mae’r opsiwn yma’n dda ar gyfer pobl sy’n ffilmio neu’n recordio digwyddiadau byw, fel podlediad neu sgwrs gydag arbenigwr o’ch sefydliad. Ond mae’n rhaid i chi sicrhau eich bod yn glir am ddibenion y recordio, gan nodi i beth y caiff ei ddefnyddio ac i beth y gallai gael ei ddefnyddio yn y dyfodol.
Mae’n rhaid i chi sicrhau hefyd bod yr holl fynychwyr yn gweld yr arwydd. Mae’n rhaid iddo fod yn glir a gweladwy, er mwyn sicrhau bod mynychwyr yn rhoi eu cydsyniad yn wybodus i’w llun gael ei ddefnyddio. Gallai fod o fudd hefyd i sefydliadau gynnwys gwybodaeth o’r fath ar unrhyw docynnau, e-byst neu ar eu gwefan cyn ffilmio.
Mae’n llai tebygol bydd grwpiau mawr yn adnabyddadwy o’ch ffilmio os na fyddwch chi’n ffocysu ar unigolion, ac felly ni fydd GDPR y DU yn berthnasol. Ond i’r rhai sydd am fod yn ochelgar, mae cyhoeddi rhybudd yn ategu’r ffurflen ganiatâd. I unrhyw un sy’n cael ei ddangos yn uniongyrchol yn y recordiad, fel cyfwelai, mae dal angen iddyn nhw gwblhau ffurflen.
4. Beth i’w gynnwys mewn ffurflen ganiatâd?
Mae GDPR y DU yn nodi y dylai cydsyniad gael ei roi “yn rhydd, yn benodol, yn wybodus ac yn ddiamwys”. Dylai’r egwyddorion hyn gael eu hadlewyrchu yn eich ffurflenni cydsyniad.
Mae angen i chi gynnwys gwybodaeth am:
- I beth y caiff y cynnwys ei ddefnyddio (e.e. at ddibenion hyrwyddo neu archifo)
- Pwy sy’n ei ddefnyddio (e.e. enw eich sefydliad neu’ch prosiect)
- A gaiff y data ei storio at ddefnydd yn y dyfodol
- Pwy i gysylltu â nhw os oes ganddyn nhw unrhyw bryderon
Cofiwch: y nod gyda’ch ffurflen ganiatâd yw sicrhau tryloywder. Byddwch yn gryno ac yn glir – rydych chi am i bobl ddeall i beth maen nhw’n cytuno.
Mae hefyd yn bwysig bod yn ymwybodol bod gan bobl yr hawl i dynnu eu cydsyniad yn ôl ar unrhyw adeg, hyd yn oed os ydyn nhw’n cwblhau ffurflen ganiatâd i ddechrau. Os ydyn nhw’n penderfynu gwneud hynny, bydd angen i chi roi’r gorau i ddefnyddio’r data, ac felly eu llun, ar unwaith.
5. Mwy o awgrymiadau am ddiogelu eich data
Cadw’n seiberddiogel
Mae diogelu’ch data’n ymwneud â mwy na chydymffurfio’n unig – mae hefyd yn ymwneud â’i gadw’n ddiogel . Mae’n bwysig bod gennych dechnoleg y gallwch chi ymddiried ynddi.
Mae tordata’n digwydd pan fo seiberdroseddwyr yn gallu cael mynediad i rwydwaith sefydliad drwy wendidau yn eu system. I warchod yn erbyn hyn, mae’n rhaid i chi ddiweddaru eich meddalwedd a’ch apiau’n gyson (patsio yw enw hyn), a hyfforddi gweithwyr sut i adnabod ymosodiadau gwe-rwydo a allai arwain at ddwyn data.
Dylech chi hefyd fod â meddalwedd gwrthfeirws a meddalwedd diogelu dyfeisiau i atal rhywun rhag cael mynediad i’ch dyfeisiau – mae hyn yn arbennig o bwysig nawr bod gweithwyr yn gweithio gartref, ar eu rhwydweithiau di-wifr eu hunain ac yn y cwmwl.
Mae hefyd yn bwysig nodi, os bydd achosion o dordata’n digwydd, bod angen i chi adrodd amdanyn nhw i’r bobl dan sylw a’r ICO o fewn 72 awr.
Adolygu’r data sydd ei angen arnoch chi
Unwaith i chi gael cydsyniad, gallwch chi gadw data mor hir ag y mynnwch, cyhyd â’ch bod yn ei ddefnyddio at ddibenion archifo er budd y cyhoedd, at ddibenion gwyddonol neu hanesyddol, neu at ddibenion ystadegol. Mae’r gofyniad yma o gymorth mawr i brosiectau treftadaeth.
Fodd bynnag, os ydych chi’n adolygu’ch data ac yn gweld nad oes ei angen neu nad yw er budd y cyhoedd mwyach, mae’n fwy moesegol ei ddileu neu ei roi “y tu hwnt i ddefnydd”.
Cyfyngu mynediad
Drwy gyfyngu mynediad i rywfaint o ddata a chynnwys, gallwch chi olrhain pwy sydd â’i lygad arno drwy’r amser. Mae ymchwil wedi dangos bod elfen ddynol i 85% o achosion o dordata, hyd yn oed os mai clicio ar e-byst gwe-rwydo’n ddamweiniol oedd hyn. Ond drwy ganiatáu lefelau mynediad gwahanol i weithwyr a gwirfoddolwyr, gall sefydliadau gyfyngu’r risg yna.
Cadw i ddysgu
Mae cyfreithiau data’n newid o hyd – fel y gwelon ni gyda Brexit ac ychwanegu’r Ddeddf Diogelu Data yn 2018 – mae’n amrywio o wlad i wlad. Gwnewch eich ymchwil yn rheolaidd i sicrhau eich bod yn deall ac yn cydymffurfio â’r holl reoliadau perthnasol. Byddwch yn ochelgar bob tro.
Os ydych chi’n pryderu am sut mae eich sefydliad yn diogelu ei ddata, gallwch chi gynnal Hunanasesiad Diogelu Data drwy’r ICO.
Mae’r teclyn, sydd wedi’i ddylunio i helpu sefydliadau bach i ganolig eu maint ym mhob sector, yn helpu sefydliadau i asesu eu cydymffurfiaeth bresennol gyda chyfreithiau diogelu data ac mae’n cynnig camau ymarferol y gallan nhw eu cymryd i gadw data personol eu cynulleidfaoedd yn ddiogel.
Dolenni defnyddiol
Browse related resources by smart tags:
Data protection Digital content GDPR Legal compliance Sharing content

Please attribute as: "How can I ensure that personal data is protected when creating and sharing content online? (2022) by Laura Stanley, Charity Digital supported by The National Lottery Heritage Fund, licensed under CC BY 4.0