Diogelu data a diogelwch ar-lein: Cyflwyniad
Awdur: Naomi Korn;
Amser Darllen: 10 munud
Mae hwn yn adnodd agored. Mae croeso i chi ei gopïo a'i addasu. Darllenwch y telerau.
Os hoffech gymorth pellach gyda'ch her ddigidol, trefnwch sesiwn am ddim gyda DigiCymru
Mae’r canllaw yma yn cynnig trosolwg o’r gweithgareddau gweithio ar-lein a gyflawnir gan sefydliadau elusennol yn y DU, ac yn cyfeirio at amrywiaeth o faterion preifatrwydd a diogelu data rydych chi’n debygol o darfu arnynt. Mae’n cynnwys rhestrau gwirio, cyngor ymarferol ac adnoddau i’ch helpu deall a rheoli gweithgarwch ar-lein. Mae’r canllaw yma’n darparu manylion ar lefel cyflwyniad a dolenni i ffynonellau eraill.
Gwadiad: barn yn unig yw’r wybodaeth a ddarperir yma ac ni ddylid ei ddehongli fel cyngor cyfreithiol.
1. Beth yw diogelu data?
Mae deddfwriaeth diogelu data yn y DU yn cynnwys Deddf Diogelu Data 2018 a Rheoliad Diogelu Data Cyffredinol y DU (UK GDPR). Mae’r ddeddfwriaeth diogelu data yn ymwneud â phrosesu data personol, sydd yn cynnwys data a gedwir ar daenlenni, gohebiaeth bapur, cofnodion ac o fewn ffotograffau, ffilmiau ac eitemau casglu eraill hefyd.
Mae data personol yn ymwneud ag unrhyw wybodaeth sydd yn perthyn i fywyd preifat, proffesiynol neu gyhoeddus person byw a all ddatgelu pwy yw’r person hwnnw, naill ai’n uniongyrchol neu’n anuniongyrchol o’i gyfuno â gwybodaeth arall. Gall gynnwys mynegi barn am unigolyn.
Mae enghreifftiau o ddata personol yn cynnwys:
- Rhestrau aelodaeth
- Data cwsmeriaid a chleientiaid
- Gwybodaeth ymwelwyr
- Manylion staff, ymddiriedolwyr a gwirfoddolwyr
- Eitemau casgliad, fel unigolion yn ymddangos mewn lluniau a ffilmiau ac enwau a chyfeiriadau mewn llythyrau
Rheolwr data yw unrhyw berson neu sefydliad sy’n gwneud penderfyniadau am, neu’n pennu, sut a pham y caiff data ei brosesu. Nhw sydd yn gyfrifol ac yn atebol am sicrhau bod unrhyw ddata personol a brosesir yn cael ei wneud yn gyfreithiol, gan gynnwys eu rôl o ran sicrhau bod data’n cael ei gadw’n ddiogel. Rhan o gyfrifoldeb rheolwr data yw osgoi toriad data.
Bydd toriad data yn deillio o ddigwyddiad diogelwch sy’n effeithio ar gyfrinachedd, cywirdeb neu argaeledd data personol, er enghraifft: mae toriad data wedi digwydd pan fo data personol yn cael ei: golli, dinistrio, lygru neu ddatgelu, gyrchu neu rannu heb ganiatâd, ddim ar gael neu wedi ei golli neu ddinistrio’n ddamweiniol.
2. Preifatrwydd trwy gynlluniad: meddwl am ddiogelu data o’r cychwyn cyntaf
Mae preifatrwydd trwy gynlluniad yn ddull o reoli data personol sy’n hyrwyddo preifatrwydd a chydymffurfiaeth diogelu data yn eich holl weithgareddau. Mae hyn yn sicrhau bod preifatrwydd a diogelu data yn ystyriaeth allweddol yng nghamau cynnar unrhyw weithgareddau, gan gynnwys prosiect er enghraifft, ac yna drwy gydol ei gylch bywyd.
Er enghraifft wrth:
- Adeiladu systemau TG newydd ar gyfer storio neu gael mynediad i ddata personol
- Casglu data personol
- Datblygu polisi neu strategaethau sydd â goblygiadau preifatrwydd
- Cychwyn menter rhannu data
- Defnyddio data at ddibenion newydd
Rhaid i sefydliadau gwblhau Asesiad Effaith Diogelu Data (DPIA) ar gyfer prosesu sy’n debygol o arwain at risg uchel i unigolion. Mae hefyd yn arfer da gwneud DPIA ar gyfer unrhyw brosiect mawr arall sy’n gofyn am brosesu data personol.
3. Rheoli ‘data categori arbennig’
Mae yna wybodaeth sy’n cael ei ystyried yn arbennig o sensitif ac mae angen diogelwch ychwanegol os caiff ei gasglu:
- Ethnigrwydd
- Crefydd
- Hanes meddygol
- Rhywioldeb
- Safbwyntiau gwleidyddol
Mae’r risg o ddiffyg cydymffurfio os caiff data o’r fath ei golli, ei ddwyn, neu ei gamddefnyddio, naill ai drwy ddamwain neu’n fwriadol, yn golygu risg i enw da eich sefydliad a’r posibilrwydd o gosbau neu ddirwyon. Gall fod yn gymhleth deall yr hyn a olygir gan ‘data’. Mae Swyddfa Comisiynydd Gwybodaeth y DU (ICO) wedi darparu canllaw manwl.
4. Ystyried llif data
I reoli sut mae data personol yn llifo o fewn eich sefydliad, mae angen defnyddio Cofnod o Weithgareddau Prosesu Data (ROPAs) a’i ddiweddaru’n rheolaidd. Cofnodion yw’r rhain o sut rydym yn prosesu’r data personol sydd gennym. Mae’n ofynnol bod hwn ar bapur neu ar ffurf electronig. Yn gyffredinol, bydd y rhan fwyaf o sefydliadau yn elwa o gadw eu dogfennaeth yn electronig fel y gellir ei diweddaru, a’i newid yn hawdd fel dogfen fyw.
Fel Rheolwyr Data, bydd sefydliadau’n gyfrifol ac yn atebol am ei holl waith prosesu data personol, neu ar ran trydydd parti. Mae hyn yn cynnwys adnabod unrhyw beryglon a sicrhau ei fod yn nodi’r holl weithgareddau prosesu a’r penderfyniadau sy’n cael eu gwneud. Mae’n bwysig cael trywydd archwilio gellir ei adolygu’n rheolaidd gan y perchnogion data sy’n gyfrifol o fewn gwahanol feysydd y sefydliad.
Mae saith egwyddor sy’n sail i holl brosesu data personol:
- Cyfreithlondeb, tegwch a thryloywder
- Cyfyngiad pwrpas
- Minimeiddio data
- Cywirdeb
- Cyfyngiad storio
- Uniondeb a chyfrinachedd (diogelwch)
- Atebolrwydd
5. Defnyddio offer digidol newydd a’r Cwmwl: eich cyfrifoldebau preifatrwydd
Wrth ddefnyddio offer digidol newydd, mae’n debygol y bydd goblygiadau diogelu data. Dylai sefydliadau wirio telerau ac amodau a hysbysiadau preifatrwydd y cyflenwr i sicrhau bod cyfrifoldebau diogelu data eu sefydliad yn cael eu cyrraedd. Mae hyn yn cynnwys darparwyr yn y Cwmwl sy’n cael eu defnyddio i gefnogi mynediad at wasanaethau, cynulleidfaoedd a chynnwys.
Fel arfer, mae gwasanaethau Cwmwl yn cynnwys: storio data ar-lein a datrysiadau cadw wrth gefn, gwasanaethau e-bost ar y we, gwasanaethau swît Office a chydweithredu ar ddogfennau, prosesu cronfeydd data a gwasanaethau cymorth technegol a reolir. Gellir cyrchu darparwyr cwmwl naill ai’n uniongyrchol a/neu drwy lwyfan arall fel Zoom (yn enwedig os ydych yn cytuno i recordiadau fod ar gael drwy’r Cwmwl). Fel Rheolwyr Data, rhaid i sefydliadau fod yn ofalus wrth ddewis pa ddarparwyr Cwmwl i’w ddefnyddio a dogfennu’r penderfyniadau a wneir. Os bydd darparwyr Cwmwl yn methu â chyrraedd y safonau prosesu data sy’n ofynnol gan y ddeddfwriaeth, bydd angen i’r sefydliad naill ai drafod trefniadau gwell neu gerdded i ffwrdd a dewis darparwr arall yn y Cwmwl o bosib.
Cyn i chi ddefnyddio gwasanaethau Cwmwl, bydd angen i chi:
- Cwblhau DPIA. Os ydych yn symud i ddarparwr Cwmwl, dylech gwblhau DPIA fel y gallech chi werthuso’r risg.
- Gwirio telerau ac amodau defnydd ar-lein y darparwr Cwmwl yn ogystal â’u Datganiadau Preifatrwydd ar-lein. Dylai unrhyw bolisïau/datganiadau Preifatrwydd a Thelerau ac Amodau fod yn glir, yn dryloyw ac yn gyfredol.
- Sicrhau bod y darparwr Cwmwl yn cynnig data ar ffurf a fyddai’n bodloni’r hawl i gludo data. Os yw rhywun eisiau’r data personol rydych chi wedi’i lwytho ar y Cwmwl, ydy’r darparwr Cwmwl (neu chi), yn caniatáu i chi drosglwyddo i rywle arall? A yw’r darparwr Cwmwl, ar gais, yn gallu caniatáu i chi gael copi o’r data mewn ffurf gellir ei ddefnyddio?
Os ydych chi’n dewis CRM, sydd yn byw ar y Cwmwl, bydd angen i chi ystyried y canlynol hefyd:
- Deall beth yw eich sail gyfreithlon ar gyfer prosesu data personol yn y modd yma ac ydych chi angen caniatâd? Ydy’r bobl rydych chi’n cadw eu data yn gwybod beth yw’r bwriad â’r data yma a phwy sydd â mynediad iddo? Lle bo angen, ydych chi wedi gofyn am ganiatâd gan yr holl wrthrychau data sydd yn adlewyrchu’r prosesu gan y darparwyr Cwmwl a ddewiswyd ac unrhyw drydydd parti arall y maent yn rhannu’r data â nhw? Ydych chi wedi diweddaru eich Hysbysiad Preifatrwydd i adlewyrchu hyn?
- Deall sut mae eich CRM yn cadw data personol yn ddiogel. Bydd yn bwysig deall y peryglon os yw gwybodaeth bersonol pobl yn cael ei golli, dwyn, neu ei gamddefnyddio trwy’r CRM. Pa mor gyflym bydd y darparwr CRM yn ymateb os nodir bod bregusrwydd diogelwch yn eu cynnyrch a/neu eu bod yn canfod toriad data? A fyddant yn rhoi gwybod i chi os yw data personol y maent yn ei brosesu i chi wedi ei gynnwys a pha mor hir nes y byddant yn dweud wrthych? Fel Rheolwr data, cofiwch fod gennych chi 72 awr i roi gwybod i’r ICO am unrhyw doriadau gallai fod yn niweidiol i’r bobl dan sylw.
- Gyda phwy mae’r darparwr CRM yn rhannu’r data personol a ddarperir gennych ac a fydd hwn yn ddiogel? Ydy nhw’n gyfreithlon, a fydda nhw’n cadw’r data personol yn ddiogel? Oes yna gytundeb cadarn rhwng eich darparwr CRM ac unrhyw ddarparwyr/gwasanaethau eraill? Ym mha amgylchiadau bydd eich data yn cael ei drosglwyddo i wledydd eraill? A all eich darparwr CRM gyfyngu ar drosglwyddo eich data i wledydd sy’n briodol yn eich barn chi? A yw eich darparwr CRM yn darparu asesiad diogelwch trydydd parti priodol ac ydy hwn yn cydymffurfio â chod ymarfer priodol y diwydiant neu safon ansawdd arall?
- A fydd eich darparwr CRM yn galluogi dileu data personol? Beth yw’r amserlen dileu a chadw data? A yw hyn yn cynnwys dinistrio diwedd oes? A fydd eich darparwr CRM yn dileu eich holl ddata yn ddiogel os ydych chi’n penderfynu tynnu’n ôl o’r llwyfan yn y dyfodol a/neu’n derbyn cais i ddileu’r data?
- Gwnewch restr o’r data personol sydd gennych a sut bydd y darparwr CRM yn ei brosesu. Yn y gwerthusiad, dywedwch os yw’r darparwr CRM yn cynhyrchu ystadegau defnyddwyr a.y.b. fydd yn cynhyrchu data personol ychwanegol. Mae’n bwysig gwybod pa ddata bydd y platfform hwn yn ei brosesu, er mwyn i chi fedru olrhain a chydymffurfio ag unrhyw Geisiadau Gwrthrych am Wybodaeth (SARS).
6. Seiberddiogelwch
Mae cadw offer yn ddiogel yn hanfodol i reoli data da. Cadwch gofnod o ba ddyfeisiau sy’n cael eu defnyddio gan yr holl staff a gwirfoddolwyr sy’n gweithio i’ch sefydliad, gan gynnwys brand y ddyfais, rhifau model a chodau trefniadaethol unigryw. Bydd y wybodaeth yma yn eich helpu chi i olrhain dyfeisiau mae’r sefydliad yn berchen arnynt rhag iddynt gael eu colli neu eu dwyn a nodi unrhyw ddyfeisiau sydd angen diweddariadau a meddalwedd ychwanegol i’ch diogelu rhag unrhyw faterion seiberddiogelwch posibl.
Cadw data yn ddiogel
Dim ond data sydd ei angen arnoch ar gyfer eich gwaith y dylech ei gasglu, a dylech sicrhau eich bod yn gwybod beth sy’n cael ei gasglu a sut y caiff ei ddefnyddio, fel y nodir yn Hysbysiad Preifatrwydd eich sefydliad. Os cesglir data personol at ddibenion gwaith, er mwyn cydymffurfio â’r ddeddfwriaeth diogelu data, rydych chi angen gwybod:
- Pa ddata personol sy’n cael ei gasglu a pham
- Ble mae’n cael ei storio
- Sut rydych chi’n diogelu’r data ac am ba mor hir. Mae’n ofynnol yn ôl deddfwriaeth diogelu data i chi gadw data personol am yr amser rydych chi ei angen yn unig
Bydd hyn yn dibynnu ar nifer o ffactorau, gan gynnwys pwrpas y data ac unrhyw ofynion cyfreithiol sy’n ymwneud â’r cyfnod o amser y mae’n rhaid cadw mathau penodol o ddata. Er enghraifft, mae’n ofynnol yn ôl rheoliadau ariannol i gadw data sy’n ymwneud â phensiwn cyhyd ag y mae gweithiwr yn fyw, p’un a yw’n parhau i weithio i’ch sefydliad ai peidio. Mae’n bosibl y bydd defnydd cyfyngedig iawn i rai o’r data personol a gesglir, fel gwybodaeth yn ymwneud â phobl sy’n mynychu digwyddiad penodol. Yn yr achos yma, heb ganiatâd ychwanegol i gysylltu â chyfranogwyr yn y dyfodol, bydd angen i chi ddileu’r data yma ar ôl y digwyddiad unwaith y bydd yr angen busnes wedi’i dod i ben.
Gweithio’n ddiogel gyda data
- Sicrhewch nad yw pobl sydd heb ganiatâd i weld data cyfrinachol, masnachol, personol, neu ddata sensitif fel arall, yn gallu gweld hyn pan fyddwch chi’n edrych arno ar eich sgrin
- Cau eich sgrin bob amser os ydych i ffwrdd o’r cyfrifiadur
- Defnyddiwch nodweddion diogelwch fel cyfrinair neu amddiffyniad cod PIN
- Gosod terfyn amser sesiwn awtomatig ar eich dyfais
- Allgofnodi o sesiynau os ydych chi’n gadael eich dyfais heb oruchwyliaeth neu pan fyddwch yn gadael cyfrifiadur a rennir
Canllawiau pellach ar gael yng nghanllawiau Preifatrwydd a Diogelwch Ar-lein Cronfa Dreftadaeth y Loteri Genedlaethol.
Adnoddau defnyddiol
- Gwefan y Comisiynydd Gwybodaeth
- Gwefan Heritage Digital ar gyfer hyfforddiant a chymorth sgiliau digidol am ddim
- Naomi Korn Associates sydd wedi datblygu’r canllaw yma
- Canllaw digidol: preifatrwydd a diogelwch ar-lein
Datblygwyd gan Naomi Korn, Sylfaenydd a Rheolwr Gyfarwyddwr Naomi Korn Associates, arbenigwyr diwydiant blaenllaw yn y maes hawlfraint a diogelu data, ar gyfer y Prosiect Beyond.
Delwedd trwy garedigrwydd Blogtrepreneur. Cedwir rhai hawliau.
Wedi'i gomisiynu gan Catalyst