Canllawiau ar gymhwyso Erthygl 36(4) o'r Rheoliad Cyffredinol ar Ddiogelu Data (GDPR)
Diweddarwyd 29 November 2023
© Hawlfraint y Goron 2023
Mae'r cyhoeddiad hwn wedi'i drwyddedu o dan delerau Trwydded Agored y Llywodraeth v3.0 ac eithrio ble nodir yn wahanol. I weld y drwydded hon, ewch i nationalarchives.gov.uk/doc/open-government-licence/version/3 neu ysgrifennwch at y Tîm Polisi Gwybodaeth, Yr Archifau Gwladol, Kew, Llundain TW9 4DU, neu anfonwch e-bost at: psi@nationalarchives.gov.uk.
Lle byddwn wedi nodi unrhyw wybodaeth am hawlfraint trydydd parti, bydd angen i chi gael caniatâd gan ddeiliaid yr hawlfraint dan sylw.
Mae'r cyhoeddiad hwn ar gael yn https://www.gov.uk/government/publications/guidance-on-the-application-of-article-364-of-the-general-data-protection-regulation-gdpr/e8512834-3c4b-4e15-b864-bb49a1069181
1. Manylion cyswllt
Mae’r ddogfen hon yn darparu canllawiau ffurfiol i Adrannau’r Llywodraeth ac i gyrff perthnasol y sector cyhoeddus sy’n ofynnol, o dan Erthygl 36(4) o’r Rheoliad Cyffredinol ar Ddiogelu Data (GDPR) i ymgynghori â Swyddfa’r Comisiynydd Gwybodaeth (ICO) ar gynigion polisi ar gyfer mesurau deddfwriaethol neu statudol yn ymwneud â phrosesu data personol
Gellir anfon ymholiadau am y ddogfen hon at:
Data Protection Team
Department for Digital, Culture, Media & Sport
4th Floor
100 Parliament Street
London
SW1A 2BQ
Rhif Ffôn: 020 7211 6000
E-bost: enquiries@culture.gov.uk
Cwynion neu sylwadau
Os oes gennych unrhyw gwynion neu sylwadau am y canllawiau hyn, dylech gysylltu â’r Tîm Diogelu Data yn y cyfeiriad uchod.
2. Cefndir a throsolwg
Rhagarweiniad
2.1. Rheoliad gan yr UE yw’r Rheoliad Cyffredinol ar Ddiogelu Data (‘GDPR’) a’i bwrpas yw gwarchod hawliau gwybodaeth pobl. Mae’n uniongyrchol berthnasol i holl wledydd yr UE ac wedi’i ategu yng nghyfraith y Deyrnas Unedig gan Ddeddf Diogelu Data 2018 (‘DPA 2018’). Daeth y GDPR a DPA 2018 i rym ar 25 Mai 2018, gan gyflwyno fframwaith rheoleiddio mwy diweddar ar gyfer diogelu data yn y DU, gan gynnwys nifer o ofynion newydd ar gyfer rheolyddion data.
2.2. Mae’r ddogfen hon yn darparu canllawiau i Adrannau’r Llywodraeth ac i gyrff perthnasol y sector cyhoeddus ar eu cyfrifoldebau o dan Erthygl 36(4) o’r GDPR, a beth sydd angen iddynt ei wneud i gwrdd â gofynion yr Erthygl hon.
2.3. Ategir y canllawiau hyn gan Ffurflen Ymholiad Erthygl 36(4), y dylid ei defnyddio i gysylltu â’r ICO yn y lle cyntaf er mwyn ymgynghori o dan Erthygl 36(4).
Trosolwg ar Erthygl 36(4)
2.4. Mae Erthygl 36(4) yn un o’r darpariaethau yn y GDPR sy’n ei gwneud yn benodol ofynnol i Lywodraeth y DU ymgynghori ag Awdurdod Diogelu Data’r DU (yr ICO) wrth ddatblygu cynigion polisi’n ymwneud â phrosesu data personol.
2.5. Dyma y mae Erthygl 36(4) yn ei ddweud:
“Rhaid i Wledydd yr Undeb ymgynghori â’r awdurdod goruchwylio wrth baratoi cynnig ar gyfer mesur deddfwriaethol sydd i’w fabwysiadu gan senedd genedlaethol, neu wrth baratoi mesur rheoleiddio ar sail mesur deddfwriaethol o’r fath, sy’n ymwneud â phrosesu.”
2.6. Rhoddir mwy o fanylion yng Nghronicliad 96, sy’n nodi: “Dylai ymgynghori â’r awdurdod goruchwylio hefyd ddigwydd wrth baratoi mesur deddfwriaethol neu fesur rheoleiddio sy’n darparu ar gyfer prosesu data personol, er mwyn sicrhau bod y prosesu sydd mewn golwg yn cydymffurfio â’r Rheoliad hwn ac yn benodol er mwyn lliniaru’r risg ar gyfer gwrthrych y data.”
2.7. Mae hyn yn gyfreithiol ofynnol ar gyfer pob sefydliad perthnasol yn y sector cyhoeddus sy’n gyfrifol am fesurau deddfwriaethol neu statudol, a byddai methu ag ymgynghori’n ddigonol â’r ICO yn torri rheoliad y GDPR.
Cwmpas a chymhwysiad
2.8. Mae’n ofynnol i bob swyddog sector cyhoeddus (gan gynnwys rhai mewn Cyrff Hyd Braich ac yn Adrannau’r Llywodraeth) sy’n datblygu cynigion deddfwriaethol sy’n ymwneud, gofyn neu’n darparu ar gyfer prosesu data, gydymffurfio â’r ddarpariaeth hon.
2.9. Mae’n ofynnol ymgynghori â’r ICO ar bob cynnig polisi deddfwriaethol perthnasol sy’n cael ei fabwysiadu gan senedd genedlaethol. Mae hyn yn cynnwys:
● deddfwriaeth sylfaenol ac is-ddeddfwriaeth
● mesurau rheoleiddio (fel cyfarwyddiadau a gorchmynion) a wneir o dan ddeddfwriaeth sylfaenol neu is-ddeddfwriaeth
● codau ymarfer statudol a
● canllawiau statudol
2.10. Mae Erthygl 36(4) yn uniongyrchol berthnasol i’r DU, felly mae gofynion y ddarpariaeth hon hefyd yn berthnasol i fesurau deddfwriaeth a statudol sy’n cael eu mabwysiadu gan gyrff deddfu’r gwledydd datganoledig.
2.11. Nid yw’n gyfreithiol ofynnol o dan Erthygl 36(4), ynddi ei hun, i Lywodraeth a’r sector cyhoeddus ehangach ymgynghori â’r ICO ar gynigion polisi’n ymwneud â data personol na fydd ag allbwn deddfwriaethol neu statudol. Fodd bynnag, gan ddibynnu ar gynnwys y cynigion hyn, gallai fod yn beth doeth i arweinwyr polisi ymgynghori â’r ICO y tu allan i ofynion Erthygl 36(4).
2.12. Nid yw’n benodol ofynnol ychwaith o dan Erthygl 36(4) ymgynghori â’r cyhoedd neu â rhanddeiliaid ar gynigion polisi’n ymwneud â data personol.
2.13. O dan ddarpariaeth ar wahân yn Erthygl 36 (Erthygl 36(1)), mae’n ofynnol ymgynghori â’r ICO pan fydd asesiad o’r effaith ar ddiogelu data (DPIA) wedi awgrymu y byddai’r prosesu’n creu risg uchel pe na bai’r rheolydd data’n cymryd mesurau i liniaru’r risg. Mae’r gofyniad hwn yn berthnasol p’un ai yw’r gweithgaredd prosesu’n gofyn cael deddfwriaeth newydd neu beidio. Mae canllawiau ar asesiadau DPIA a phryd y mae’n ofynnol ymgynghori â’r ICO ar wefan yr ICO.
Mathau o weithgareddau prosesu
2.14. Diffinnir prosesu data gan y GDPR o dan Erthygl 4(2) fel: “unrhyw weithgaredd neu gyfres o weithgareddau a gyflawnir ar ddata personol neu setiau o ddata personol, p’un ai’n drwy ddull awtomataidd neu beidio, fel casglu, cofnodi, trefnu, strwythuro, storio, addasu neu newid, adalw, ymgynghori, defnyddio, datgelu drwy drosglwyddo, dosbarthu neu drefnu bod data ar gael fel arall, alinio neu gyfuno, cyfyngu, dileu neu ddinistrio data”
2.15. Mae data personol yn cynnwys gwybodaeth am berson byw’n unig, rhywun y gellir eu hadnabod neu y mae modd eu hadnabod o’r wybodaeth dan sylw’n unig; neu y gellir eu hadnabod o’r wybodaeth dan sylw mewn cyfuniad â gwybodaeth arall. Er enghraifft, gall hyn gynnwys: enw, manylion banc, cyfeiriad, cyflog neu luniau o unigolyn. Ceir canllawiau pellach ar y diffiniad o ddata personol ar wefan yr ICO.
2.16. Mewn gwirionedd, bydd unrhyw gynnig yn creu mesur deddfwriaethol neu statudol sy’n cyfeirio’n uniongyrchol a phenodol at brosesu data personol yn dod o fewn cwmpas y ddarpariaeth hon. Er enghraifft:
● Cyflwyno gofyniad newydd i gasglu data personol
● Gorfodaeth newydd neu ddiwygiedig i rannu setiau data sydd eisoes yn bodoli
● Gofynion ychwanegol i ddatgelu gwybodaeth bersonol
● Creu cronfa ddata i gadw enwau a chyfeiriadau pobl ynddi
2.17. Gall prosesu data yn y cyd-destun hwn fod naill ai drwy ddull awtomataidd neu ddi-awtomataidd (dull llaw) (fel system ffeilio ar gyfer cofnodion papur, fel y diffinnir hynny o dan Erthygl 2(1) o’r GDPR).
PEgwyddorion ymgynghori
2.18. Er mwyn cwrdd yn effeithiol ag egwyddorion y gofyniad hwn, dylid ymgynghori â’r ICO ar bwynt ffurfiannol yn natblygiad y cynigion polisi, i sicrhau bod cyfle i roi sylw dyledus i fewnbwn yr ICO cyn drafftio’r cynigion terfynol. Lle bo hynny’n briodol, dylid ymgynghori’n unol ag egwyddorion ymgynghori Swyddfa’r Cabinet. Mae’n bwysig bod arweinwyr polisi, ar y cyd â Swyddog Diogelu Data eu sefydliad, yn ymgysylltu’n gynnar er mwyn cadw at ysbryd y gofyniad hwn. Mae’r gofyniad i ymgynghori’n un parhaus, a dylai arweinwyr polisi barhau i ddiweddaru’r ICO drwy gydol y broses o ddatblygu’r cynigion polisi, yn enwedig lle bwriedir gwneud newidiadau polisi sylweddol yn dilyn yr ymgynghori cychwynnol. Bydd unrhyw ymateb gan yr ICO o ganlyniad i ymgynghori o dan Erthygl 36(4) yn unol â statws y corff fel rheoleiddiwr annibynnol.
2.19. Er nad oes amserlen benodol ar gyfer ymgynghori, yr argymhelliad yw bod arweinwyr polisi’n caniatáu o leiaf 12 wythnos o’r cyswllt cychwynnol â’r ICO tan y bydd eu cynigion polisi’n cael eu drafftio’n derfynol. Gallai methu â chaniatáu digon o amser i ymgynghori achosi oedi diangen cyn rhoi mesurau deddfwriaethol gerbron y Senedd, neu cyn cyhoeddi codau ymddygiad neu ganllawiau statudol, pe bai angen eu diwygio ar y funud olaf.
2.20. Yn unol â’r egwyddorion arferol ar gyfer ymgynghori, nid oes raid i’r Llywodraeth weithredu ar unrhyw ymateb gan yr ICO i’r broses ymgynghori, neu ar unrhyw gyngor gan yr ICO, ond rhaid ystyried barn yr ICO.
Polisi diogelu data ar ôl gadael yr UE
2.21. O’r diwrnod gadael (ar hyn o bryd 29 Mawrth 2019, oni bai y caiff y Cytundeb Gadael ei ddiwygio), bydd y GDPR yn aros yng nghyfraith y DU o dan Ddeddf (Gadael) yr Undeb Ewropeaidd 2018. Bydd rheoliadau a wnaed o dan y Ddeddf honno’n ‘domestigeiddio’ y GDPR fel y bydd yn parhau i gael ei weithredu yng nghyd-destun y DU, ond bydd yr egwyddorion sylfaenol, gan gynnwys gofyniad Erthygl 36(4) yn aros yr un fath. Felly bydd yn gyfreithiol ofynnol o hyd i Adrannau’r Llywodraeth a chyrff cyhoeddus perthnasol ymgynghori, o fewn amserlen briodol, â’r ICO ar fesurau deddfwriaethol a statudol yn ymwneud â phrosesu data.
2.22. Gallwch anfon unrhyw ymholiad ar y mater hwn at Dîm Diogelu Data’r DCMS yn y cyfeiriad uchod.
3. Y broses ymgynghori
3.1. Ffurflen Ymholiad Erthygl 36(4) wedi’i dylunio i gasglu’r wybodaeth gychwynnol sydd ei hangen ar yr ICO i asesu a oes angen ymgynghori’n ffurfiol ar gynigion polisi o dan Erthygl 36(4).
3.2. Dylai arweinwyr polisi lenwi’r ffurflen, drwy ymgynghori â Swyddog Diogelu Data eu sefydliad, ac e-bostio’r ffurflen i’r ICO yn legcon@ico.org.uk i gychwyn y broses ymgynghori.
3.3. Dylai’r ICO anfon e-bost yn cydnabod derbyn y ffurflen o fewn 48 awr i’w chyflwyno. Bydd yr ICO yna’n cysylltu eto o fewn pythefnos i gadarnhau a yw’r ICO wedi canfod unrhyw faterion rhagarweiniol o’r wybodaeth gychwynnol a gawsant, ac yn cadarnhau a oes angen ymgynghori ymhellach.