Torri rheolau data personol

Beth i wneud mewn achos a dybir i dorri rheolau data personol  

Mae’r Rheoliad Diogelu Data Cyffredinol (GDPR) yn diffinio torri rheolau data personol fel “torri diogelwch sy’n arwain at ddinistrio, colli, newid, datgelu neu fynediad anawdurdodedig at y data personol, un ai’n ddamweiniol neu’n anghyfreithlon”.  

Gwybodaeth am unigolyn byw, y gellir ei adnabod yw data personol.  

Cyfrifoldeb pob aelod staff a myfyriwr sy’n darganfod achos posib o dorri rheolau data personol, waeth pa mor fach ydyw, yw rhoi gwybod amdano ar unwaith trwy anfon e-bost at y Tîm Llywodraethu Gwybodaeth – gweler ‘Adrodd ynglŷn â thorri rheolau data’ isod. Mae gan y Brifysgol weithdrefnau ar gyfer cyfyngu, lliniaru, rheoli a hysbysu ynglŷn â thorri rheolau data personol.  

Mewn rhai achosion, bydd yn rhaid i’r Brifysgol hysbysu Swyddfa’r Comisiynydd Gwybodaeth ynglŷn â thorri’r rheolau o fewn 72 awr, felly mae’n bwysig rhoi gwybod am bob achos o dorri rheolau yn ddi-oed. 

Sut ydw i’n gwybod a yw’r rheolau wedi’u torri?

Gall achosion o dorri rheolau fod yn fach, yn gysylltiedig ag un person, neu gallant effeithio ar gannoedd o unigolion. Gall achos o dorri rheolau gynnwys gwybodaeth a gedwir ar ffurf ddigidol neu mewn ffeiliau papur. Gall enghreifftiau o dorri rheolau data personol amrywio’n eang. Yr achos mwyaf cyffredin o dorri rheolau yw anfon e-byst at y derbynnydd/derbynyddion anghywir, a gall hefyd gynnwys dyfeisiau cludadwy sydd wedi’u colli neu’u dwyn (megis gliniaduron, cof bach USB), mynediad neu rannu data electronig yn amhriodol, colli neu ddwyn ffeiliau copi caled, gosod gwastraff cyfrinachol mewn biniau ailgylchu (yn hytrach na’u gosod mewn sachau gwastraff cyfrinachol neu eu torri’n stribedi mân). 

Yn ogystal â thorri diogelwch, gall rheolau data hefyd gael eu torri mewn ffyrdd eraill, megis cadw data am gyfnod hwy na’r angen neu gasglu gormod o ddata personol. 

Os nad ydych yn sicr, cysylltwch â ni.  

 

Pa gamau adfer gallwn i eu cymryd?

Os yw’n bosib, dylech wneud ymdrech ar unwaith i adfer y wybodaeth, atal trosglwyddo’r wybodaeth ymhellach neu ddileu’r wybodaeth a ddatgelwyd yn ddamweiniol, os byddwch yn darganfod achos o dorri rheolau data personol. 

Dyma rai enghreifftiau o gamau adfer i’w hystyried:  

  • Os anfonwyd gwybodaeth yn electronig at dderbynnydd/dderbynyddion, a ydych wedi ceisio galw’r e-bost yn ôl* neu a ofynnwyd iddynt ddileu’r wybodaeth (yn cynnwys ei dileu o’r ffolder o eitemau sydd wedi’u dileu)? 
    *Noder: go brin y bydd y ceisiadau i alw’r e-bost yn ôl yn llwyddiannus.  
  • Os cafodd dyfais ei cholli neu ei dwyn, a yw’n bosib ei glanhau o bell?  
  • Os cafodd cyfrinair ei ddatgelu, a gafodd ei newid? 
  • Allwch chi adhawlio ffeiliau copi caled sydd wedi’u gadael, o bosib, mewn man anniogel? 

Ar ôl ichi gymryd camau adfer, neu roi cynnig arnynt, neu os nad yw’n bosib ichi gymryd camau adfer, dylech gysylltu â’r Tîm Llywodraethu Gwybodaeth ar unwaith (gweler y manylion cysylltu isod). Dylai staff roi gwybod i’r rheolwr llinell perthnasol yn ogystal. 

Peidiwch â hysbysu’r gwrthrychau data sydd wedi’u heffeithio. Bydd y Tîm Llywodraethu Gwybodaeth yn pennu pwy dylai gael gwybod a sut.  

Adrodd ynglŷn â thorri rheolau data

Os byddwch chi’n darganfod achos posib o dorri rheolau data personol, mae’n rhaid ichi roi gwybod am y digwyddiad ar unwaith trwy anfon e-bost at llywodraethugwyb@aber.ac.uk. Dylech roi’r geiriau ‘torri rheolau’ yn llinell bwnc yr e-bost  

Er mwyn ein helpu i ymchwilio ymhellach, disgrifiwch y digwyddiad, gan ddarparu cymaint o wybodaeth â phosib. Meddyliwch am bwy, beth, pryd, ble, pam a sut, er enghraifft: 

  • Pryd torrwyd y rheolau? (dyddiad ac amser)  
  • Pryd gwnaethoch chi ddeall bod y rheolau data wedi’u torri? (dyddiad ac amser – os aeth 24 awr heibio cyn ichi roi gwybod, eglurwch pam)  
  • Beth sydd wedi digwydd? (sut cafodd y rheolau eu torri)  
  • Pa fath o ddata personol sydd wedi’i gynnwys? (e.e. enwau, cyfeiriadau, e-byst, manylion cysylltu, data am gategorïau arbennig) 
  • Faint, a pha fath o unigolion allai gael eu heffeithio? (a ydynt yn staff, myfyrwyr etc.) 
  • A ydych wedi cymryd camau adfer ac os ydych, pa rai?  

Os nad yw’r holl wybodaeth gennych, anfonwch yr wybodaeth sydd ar gael. Peidiwch ag oedi cyn rhoi gwybod am y digwyddiad er mwyn casglu rhagor o wybodaeth, gan fod yn rhaid adrodd ynglŷn â thorri rheolau data yn brydlon. Gall oedi effeithio ar y camau y gallwn eu cymryd i leihau effaith torri’r rheolau data a gall hefyd olygu na fyddwn yn bodloni’r amserlenni cyfreithiol ar gyfer rhoi gwybod i Swyddfa’r Comisiynydd Gwybodaeth.  

Beth fydd yn digwydd nesaf?

Ar ôl inni gael gwybod bod y rheolau diogelwch data wedi’u torri, byddwn yn cydweithio â chi a chyd-weithwyr perthnasol i sicrhau bod y data personol yn cael ei ddiogelu ac i leihau’r risgiau sy’n gysylltiedig â thorri rheolau.  

Os torrir rheolau mewn ffordd sy’n debygol o arwain at risg i hawliau a rhyddid unigolion, mae’n ddyletswydd arnom hysbysu Swyddfa’r Comisiynydd Gwybodaeth o fewn 72 awr ar ôl i’r Brifysgol gael ei hysbysu. Ceir rhagor o wybodaeth am y drefn hon yng nghanllawiau Swyddfa’r Comisiynydd Gwybodaeth ynglŷn â thorri rheolau data personol.  

Os yw torri rheolau data yn debygol o arwain at risg uchel i hawliau a rhyddid unigolion, mae’n rhaid i’r Brifysgol hefyd hysbysu’r unigolion dan sylw heb oedi’n ormodol.   

Mae’n rhaid i’r Brifysgol hefyd gadw cofnod o bob achos o dorri rheolau data personol, os yw’n achos y dylid adrodd yn ei gylch ai peidio. 

Polisi Diogelu Data a hyfforddiant

Mae pob unigolion sy’n cael mynediad at, yn defnyddio neu’n rheoli gwybodaeth y Brifysgol, yn gyfrifol am gadw at y Polisi Diogelu Data a rhoi gwybod ar unwaith ynglŷn ag achosion diogelu data sy’n hawlio eu sylw. 

Mae’n rhaid i’r staff hefyd gwblhau’r cyrsiau hyfforddi Diogelwch Gwybodaeth a’r Rheoliad Diogelu Data Cyffredinol (GDPR) gorfodol sydd ar gael ar Blackboard