1. Beth yw ‘ystyriaethau moesegol’?

Ymdrech i sicrhau y gellir prosesu gwybodaeth am unigolyn mewn modd cyfreithlon, teg a thryloyw – dyna yw ystyriaethau moesegol. Mae’n fater mwyfwy cyffredin, oherwydd gall unrhyw faes yn y byd treftadaeth ddiwylliannol gynnwys data personol, cyfrinachol a sensitif sy’n cyflwyno gwybodaeth werthfawr ynglŷn â chyd-destun neu hanesyddiaeth er mwyn deall y gorffennol. Efallai hefyd y bydd eich sefydliad neu eich prosiect yn cynhyrchu’r cynnwys hwn trwy ohebu ag ymwelwyr eich safle neu â’ch cynulleidfa ar-lein.

Mae canllawiau llywodraeth y DU ar gyfer sefydliadau’r sector cyhoeddus ynglŷn â sut i ddefnyddio data’n briodol ac yn gyfrifol, sef y Fframwaith Moeseg Data, yn nodi rhai egwyddorion syml. Mae’r egwyddorion hyn yn arfer da i unrhyw sefydliad cyhoeddus:

• Tryloywder: dylid gallu archwilio eich camau, eich prosesau a’ch data yn rhwydd.
• Atebolrwydd: dylid sicrhau bod trefniadau llywodraethu a dulliau goruchwylio effeithiol ar waith.
• Tegwch: ni ddylai’r camau a gymerir gan eich sefydliad, na’r defnydd a wna o ddata, esgor ar effeithiau gwahaniaethol anfwriadol ar unigolion na grwpiau cymdeithasol.

Os oes gennych chi neu eich sefydliad gyfrifoldeb dros reoli data personol o unrhyw fath – boed hynny mewn perthynas â chasgliadau, archifau ffotograffig, neu yn sgil rhyngweithio â chwsmeriaid neu ymwelwyr – daw hyn oll o fewn cwmpas y Rheoliad Cyffredinol ar Ddiogelu Data (GDPR) a’r Ddeddf Diogelu Data (2018). Dylid nodi nad yw cyfraith diogelu data yn gwahardd yr arfer o storio data personol, ond mae’n diffinio mesurau diogelu sy’n ategu’r arfer hwnnw.

Ar ei ffurf symlaf, mae hyn yn ymdrin â’r wybodaeth a gedwir am unigolion byw adnabyddadwy (megis rhifau ffôn a chyfeiriadau e-bost), gwybodaeth sensitif am unigolion (megis data’n ymwneud â’u hiechyd), ynghyd â gwybodaeth sensitif fwy cyffredinol ei natur, megis gohebiaeth bersonol neu drafodion ariannol. Mae hefyd yn ymdrin â’r data y byddwch yn ei gynhyrchu yn y maes neu yn ystod gwaith ymchwil. Er enghraifft, mae lluniau neu fideos o unigolion byw (yn enwedig plant), ynghyd â hanes llafar neu gyfweliadau, yn dod dan ambarél ‘data sensitif neu gyfrinachol’.

Gellir storio a rhannu’r rhan fwyaf o ddata mewn modd moesegol a chyfreithiol trwy ddefnyddio strategaethau synhwyrol a thryloyw sy’n diogelu’r unigolyn. Er enghraifft, golygu/hepgor neu anonymeiddio’r cynnwys, neu ymdrechu i gael cydsyniad ysgrifenedig ar sail gwybodaeth.

Yn y canllawiau hyn, bydd ein harbenigwr, Tim Evans o Archaeology Data Service, yn eich tywys trwy’r camau er mwyn creu sylfaen wybodaeth a llifoedd gwaith a fydd yn eich helpu i roi arferion gorau ar waith.

2. Pennu eich anghenion a’ch cyfrifoldebau

Dod o hyd i gyngor

Yn gyntaf, ewch ati i ganfod a yw eich sefydliad eisoes yn meddu ar bolisïau a chanllawiau’n ymwneud â diogelu data a moeseg. Os oes gennych adran Adnoddau Dynol, bydd modd i staff yr adran honno roi cyngor ichi ynglŷn â chyfrifoldebau ac efallai y byddant yn cynnig gwybodaeth am weithwyr newydd a rhaglen gynefino.

Os nad oes polisi ar gael yn barod, neu os dymunwch wella eich gwybodaeth, mae yna nifer o adnoddau a all eich helpu. Er enghraifft:

• Mae’r fideo hwn gan Swyddfa’r Comisiynydd Gwybodaeth yn cynnig cyflwyniad defnyddiol. Gwyliwch ‘Egluro Diogelu Data mewn tri munud’.
• Mae’r Archifau Gwladol yn cynnig trosolwg o ofynion y Rheoliad Cyffredinol ar Ddiogelu Data (GDPR) mewn perthynas ag archifau, a cheir dolenni ar gyfer canllawiau Swyddfa’r Comisiynydd Gwybodaeth ar GDPR, ynghyd â chanllawiau gan Swyddfa’r Comisiynydd Gwybodaeth ar gyfer gwahanol fathau o sefydliadau, megis llywodraeth leol ac elusennau.

Deall sut y mae hyn yn berthnasol i’ch data chi

Ar ôl ichi ymgyfarwyddo â’r polisïau a’r deddfwriaethau sy’n bodoli eisoes, meddyliwch am y modd y mae hyn oll yn berthnasol i’ch data chi. I nifer o sefydliadau, mae dwy elfen yn perthyn i hyn. Yn gyntaf, data a gedwir neu a brosesir gennych ar gyfer rhedeg eich sefydliad a’ch gwasanaethau, megis cyfeiriadau e-bost a rhifau ffôn pobl sydd wedi cyflwyno data, neu restrau ar gyfer grwpiau aelodaeth neu gyhoeddusrwydd. Yn ail, data a roddir ichi neu a gynhyrchir gennych fel rhan o’ch prosiect neu eich cenhadaeth, megis canlyniadau arolygon neu ffotograffau o bobl neu ddigwyddiadau.

Dechreuwch trwy restru cynnwys y data, ynghyd â’r mathau o ddata a gedwir gennych (neu y byddwch yn ei gadw yn y dyfodol). Mewn ambell achos, data busnes bob dydd fydd hwn, megis cyfeiriadau e-bost ar gyfer cysylltiadau a phartneriaid. Mewn achosion mwy cymhleth lle byddwch yn cynhyrchu neu’n casglu cynnwys digidol (megis ffotograffau), bydd angen ichi ddechrau cynllunio a meddwl am y cynnwys ei hun.

Yn gyntaf, ewch ati i asesu a yw hi’n debygol y byddwch yn casglu ‘data personol categori arbennig’, a elwir yn aml yn ‘ddata personol sensitif’ (megis tarddiad ethnig, gwleidyddiaeth, credoau, aelodaeth o undebau llafur, data’n ymwneud ag iechyd corfforol neu feddyliol, neu ddata genetig). Efallai y bydd data o’r fath yn rhan ddilys o’ch gwaith ymchwil, ond rhaid ichi gymryd camau i sicrhau y bydd yn aros yn ddienw ac na ellir ei olrhain i unigolyn penodol, a bod yr unigolyn hwnnw yn ymwybodol o’r wybodaeth a gyflwynir ganddo a’r mesurau diogelu sydd gennych chi ar waith.

Hefyd, ystyriwch a ydych angen cydsyniad ar sail gwybodaeth gan yr unigolyn a gaiff ei recordio neu ei bortreadu. Er enghraifft, os byddwch yn recordio cyfweliadau neu’n tynnu lluniau/gwneud fideos o bobl fyw, yn enwedig plant, byddwch angen cydsyniad yr unigolion hyn neu eu rhieni/gwarcheidwaid.

Data sensitif

Hefyd, byddai’n ddoeth ichi bwyso a mesur a ellir ystyried bod yr wybodaeth ei hun yn sensitif, yn sarhaus neu’n debygol o esgor ar gywilydd i’r awdur neu’r testun a ddiffinnir mewn deddfwriaeth fel mesurau diogelu sy’n lleihau unrhyw effaith niweidiol (‘niwed neu ofid sylweddol’) i unigolion byw. Er nad yw’r ddeddfwriaeth yn diffinio’r term hwn ymhellach, ystyrir yn gyffredinol fod y term yn ymdrin â cholled ariannol neu niwed corfforol, neu boen emosiynol neu feddyliol a aiff y tu hwnt i anfodlonrwydd neu annifyrrwch.

Enghreifftiau o ddata sensitif

• Cyfweliadau neu hanes llafar lle caiff sylwadau enllibus, difrïol neu amhriodol eu gwneud ynglŷn ag unigolyn neu grŵp. A fyddai’r cyfwelai neu’r testun yn digio pe bai’r wybodaeth hon ar gael yn gyhoeddus?
• Data ariannol, yn enwedig pan fo modd tadogi costau ar unigolyn neu gwmni. Nid anghyffredin yw gweld bod adroddiadau neu ddyddiaduron yn cynnwys data am gyllideb prosiectau a/neu gyflogau staff.
• Cofnodion yn ymwneud â’r staff, megis adolygiadau perfformiad, cofnodion o gyfweliadau a cheisiadau am swyddi, a data personél o fath arall.
• Gohebiaeth bersonol, yn cynnwys e-byst neu lythyrau wedi’u sganio.
• Dyddiaduron prosiectau lle gellir adnabod unigolion a lle cânt eu disgrifio mewn modd angharedig.
• Data am ysgerbydau neu ddata arall yn ymwneud â chladdedigaethau – sef data y gellir ei gysylltu ag unigolion penodol. Mae hyn yn fwyfwy cyffredin wrth gloddio ar safleoedd claddu cymharol fodern (h.y. safleoedd o Oes Fictoria) yn sgil gwaith datblygu seilwaith. Mewn achosion o’r fath, efallai y bydd y cyrff yn dal i fod yng nghamau cyntaf y broses bydru ac efallai y ceir nodwyr beddau sy’n dangos yn glir bod yr ymadawedig yn perthyn i unigolyn byw. Dylid mynd ati bob amser i ymdrin yn sensitif â data o’r math hwn.
• Deunydd a fyddai’n peri gofid neu gywilydd i unigolyn byw. Er enghraifft, ffotograffau neu fideos ‘anffurfiol’ o unigolion, nad ydynt yn cynnig unrhyw wybodaeth neu gyd-destun defnyddiol (e.e. aelodau o dîm prosiect yn torheulo mewn dillad nofio, neu weithgareddau cymdeithasol lle yfir alcohol).

Yn olaf, ceir ‘dyletswydd cyfrinachedd’ yng nghyfraith gyffredin y DU. Dyma yw data cyfrinachol:

• data a roddir yn gyfrinachol neu y cytunir i’w gadw’n gyfrinachol rhwng dau barti (nid oes yn rhaid i hyn fod ar ddu a gwyn)
• data sy’n amodol ar ffactorau megis canllawiau moesegol, gofynion cyfreithiol, neu gytundebau cydsynio ymchwil benodol
• data nad yw eisoes ar gael yn gyhoeddus.

3. Astudiaeth Achos: Archaeology Data Service – canllawiau a llifoedd gwaith

Mae’r Archaeology Data Service (ADS) yn ystorfa ddigidol achrededig (CoreTrustSeal) ar gyfer data archaeoleg a threftadaeth yn y DU. Ers 1996, mae ADS wedi archifo cynhyrchion ymchwil ac ymchwil fasnachol fel y gellir eu cadw am byth a sicrhau eu bod ar gael i’w hailddefnyddio a’u harchwilio gan y cyhoedd.

Cafodd polisi cyntaf ADS ar gyfer delio â data sensitif ei lunio yn 2010. Seiliwyd y polisi hwn i raddau helaeth ar yr adroddiad ‘Managing and sharing data: a best practice guide for researchers’ a luniwyd gan Archif Ddata’r DU, Prifysgol Essex yn 2009. Ers hynny, mae nifer o ddatblygiadau pwysig wedi effeithio ar bolisïau a gweithdrefnau:

• Deddf Diogelu Data 2018, lle’r aethpwyd ati i ddiweddaru iaith y ddeddfwriaeth ddata flaenorol.
• Y ffaith bod ADS wedi cyflogi ychwaneg o staff; o’r herwydd, roedd yn ofynnol i fwy o bobl ddeall y gofynion moesegol.
• Y ffaith bod ADS wedi cynyddu lefel y data, a’r mathau o ddata, o bob rhan o’r tirlun treftadaeth; o’r herwydd, roedd yna fwy o ddata i’w arfarnu.

Er mai enghraifft unigol yw ADS, mae’r camau a gymerwyd a’r prosesau a roddwyd ar waith yn berthnasol i sefydliadau canolig neu fach sy’n ystyried moeseg yn eu llifoedd gwaith. Isod, nodir nifer o gamau ymarferol sy’n seiliedig ar brofiadau ac astudiaethau achos ADS.

Cam 1: Sicrhau bod y cyfrifoldeb mewn perthynas â moeseg yn cael ei ddiffinio yn eich sefydliad

Efallai y bydd nifer o sefydliadau mwy yn cyflogi Swyddog Diogelu Data, neu efallai y bydd ganddynt gyfrifoldebau ehangach yr ymdrinnir â nhw gan adrannau Adnoddau Dynol. Yn ADS, er ein bod yn elwa ar sgiliau a gwybodaeth prifysgol, caiff yr ystyriaethau moesegol mewn perthynas â’n data ni eu goruchwylio gan un aelod o’r tîm rheoli. Mae hyn wedi golygu rhoi amser i’r staff fynychu seminarau/digwyddiadau hyfforddi a darllen dogfennau ar-lein. Mae pennu cyfrifoldeb penodol ar gyfer moeseg, hyd yn oed mewn sefydliad bach, yn golygu nad yw’n syrthio i lawr rhestr flaenoriaethau’r sefydliad.

Cam 2: Deall eich data

Yn dilyn y cyngor cyffredinol yn Adran 2, ewch ati i lunio rhestr o risgiau hysbys neu astudiaethau achos rydych chi a’ch tîm wedi sylwi arnynt (neu y disgwyliwch ymdrin â nhw).

Cam 3: Llunio polisi sylfaenol

Mae hi’n hollbwysig i’ch tîm arwain ddechrau llunio a diffinio eich polisi ar gyfer delio ag ystyriaethau moesegol. Mae sicrhau bod polisi sylfaenol ar waith, ynghyd â gwybod pwy sy’n gyfrifol am ei gynnal a phwy sy’n gyfrifol am ddelio â chwestiynau gan y tîm, yn eithriadol o ddefnyddiol ar gyfer achub y blaen ar y rhan fwyaf o faterion. Mae hefyd yn sicrhau y bydd moeseg yn cael ei phlethu ag ethos eich sefydliad.

Nid oes yn rhaid i’r polisi fod yn gymhleth – yn achos ADS, yr hyn a wna’r polisi yw diffinio beth yw ein hystyriaethau moesegol a sut rydym yn delio â nhw’n ymarferol. Pa un a ydych yn derbyn data neu’n creu data eich hun, trwy gael polisi ysgrifenedig bydd modd cael gwared ag unrhyw amwysedd ar gyfer y staff a’r darparwyr data/defnyddwyr allanol. Er enghraifft, yn ADS rydym yn mynnu y dylid anonymeiddio data personol, cyfrinachol a sensitif, ac y dylid cael cydsyniad ysgrifenedig ar sail gwybodaeth ar ei gyfer. Os byddwn yn canfod tor rheol neu broblem, ac os na chaiff y materion hyn eu datrys, yna ni fyddwn yn cymryd neu’n cadw’r data.

Cam 4: Cynllunio ay gyfer moeseg

Yn ADS, trydydd parti sy’n rhoi’r data inni fel rheol. Pa bryd bynnag y bo modd, rydym yn annog pobl i gynllunio ar gyfer pob agwedd ar reoli data, yn cynnwys moeseg, cyn iddynt gynhyrchu’r data ei hun. Ar gyfer gofynion megis cydsyniad ar sail gwybodaeth, mae hyn yn cynnwys tasgau fel llunio ffurflenni/templedi cydsynio cyn y digwyddiad. Ar wefan Swyddfa’r Comisiynydd Gwybodaeth ceir canllawiau manwl ar yr hyn y dylid ei gynnwys, yn cynnwys canllawiau penodol ar ddelio â phlant a GDPR.

Cam 5: Creu llif gwaith syml ar gyfer eich tîm

Yn ADS, rydym wedi llunio rhestrau gwirio syml sy’n ymdrin â materion moesegol hollbwysig mewn perthynas â’r data a gedwir gennym. Caiff y rhain eu rhoi ar waith yn ystod camau arfarnu ac adolygu, lle bydd aelod o staff yn gwirio’r data rhag ofn ei fod yn cynnwys deunydd sy’n groes i’r polisi presennol – er enghraifft, llun plentyn heb gydsyniad ysgrifenedig ar sail gwybodaeth. Dyma bethau pwysig i’w cadw mewn cof: dylai’r rhestr wirio fod mor syml â phosibl; nid oes yn rhaid iddi gynnwys jargon na deddfwriaethau; gall staff newydd a phresennol ei defnyddio.

Cam 6: Neilltuo amser ar gyfer adolygu a hyfforddi

Yn ADS, nid yw’r polisïau a’r llifoedd gwaith mewn perthynas â moeseg yn aros yn eu hunfan. Wrth i natur data (a deddfwriaethau) digidol esblygu, dylech neilltuo amser ar gyfer adolygu datblygiadau diweddar, gan ystyried y rhain wrth ddiweddaru polisïau. Yn aml, caiff yr adolygiadau hyn eu cynnal unwaith y flwyddyn, oni bai y bydd angen ichi roi sylw’n ddi-oed i ryw ddatblygiad brys. Gwnewch yn siŵr fod gan y staff sy’n gyfrifol am foeseg ddigon o amser i adolygu’r camau hyn.

4. Hyfforddiant ac ymwybyddiaeth

Nid oes yn rhaid i’r holl staff fod yn arbenigwyr ar ddeddfwriaeth GDPR. O ran y gofynion i gydymffurfio trwy gyfrwng dulliau cofnodi maith a chymhleth ar-lein, dylid nodi mai i sefydliadau a chanddynt fwy na 250 o weithwyr yn unig y mae hyn yn berthnasol. Wedi dweud hyn, rhaid i sefydliadau o bob maint gydymffurfio.

Os ydych am gymryd cam cadarnhaol, dylai’r sawl sy’n gyfrifol am y maes hwn adolygu tudalen Swyddfa’r Comisiynydd Gwybodaeth ar hyfforddiant ac ymwybyddiaeth, gan ganolbwyntio ar sut i ymgorffori hyfforddiant ac ymwybyddiaeth yn eich sefydliad. Gan ddibynnu ar faint eich sefydliad, mae’r canlynol yn fan cychwyn da:

• trafod anghenion
• nodi braslun o raglen hyfforddi sylfaenol
• pennu amserlen adolygu.

Browse related resources by smart tags:

Customer data Data collection Data protection Safeguarding

Resource type: Articles

Except where noted and excluding company and organisation logos this work is shared under a Creative Commons Attribution 4.0 (CC BY 4.0) Licence

Please attribute as: "Ensuring ethical best practice in data storage and management (2022) by Tim Evans supported by The National Lottery Heritage Fund, licensed under CC BY 4.0