Canllawiau ar gymhwyso Erthygl 36(4) o'r Rheoliad Cyffredinol ar Ddiogelu Data (GDPR)
Diweddarwyd 29 Tachwedd 2023
漏 Hawlfraint y Goron 2023
Mae'r cyhoeddiad hwn wedi'i drwyddedu o dan delerau Trwydded Agored y Llywodraeth v3.0 ac eithrio ble nodir yn wahanol. I weld y drwydded hon, ewch i neu ysgrifennwch at y T卯m Polisi Gwybodaeth, Yr Archifau Gwladol, Kew, Llundain TW9 4DU, neu anfonwch e-bost at: psi@nationalarchives.gov.uk.
Lle byddwn wedi nodi unrhyw wybodaeth am hawlfraint trydydd parti, bydd angen i chi gael caniat芒d gan ddeiliaid yr hawlfraint dan sylw.
Mae'r cyhoeddiad hwn ar gael yn /government/publications/guidance-on-the-application-of-article-364-of-the-general-data-protection-regulation-gdpr/e8512834-3c4b-4e15-b864-bb49a1069181
1. Manylion cyswllt
Mae鈥檙 ddogfen hon yn darparu canllawiau ffurfiol i Adrannau鈥檙 Llywodraeth ac i gyrff perthnasol y sector cyhoeddus sy鈥檔 ofynnol, o dan Erthygl 36(4) o鈥檙 Rheoliad Cyffredinol ar Ddiogelu Data (GDPR) i ymgynghori 芒 Swyddfa鈥檙 Comisiynydd Gwybodaeth (ICO) ar gynigion polisi ar gyfer mesurau deddfwriaethol neu statudol yn ymwneud 芒 phrosesu data personol
Gellir anfon ymholiadau am y ddogfen hon at:
Data Protection Team
Department for Digital, Culture, Media & Sport
4th Floor
100 Parliament Street
London
SW1A 2BQ
Rhif Ff么n: 020 7211 6000
E-bost: enquiries@culture.gov.uk
Cwynion neu sylwadau
Os oes gennych unrhyw gwynion neu sylwadau am y canllawiau hyn, dylech gysylltu 芒鈥檙 T卯m Diogelu Data yn y cyfeiriad uchod.
2. Cefndir a throsolwg
Rhagarweiniad
2.1. Rheoliad gan yr UE yw鈥檙 Rheoliad Cyffredinol ar Ddiogelu Data (鈥楪DPR鈥) a鈥檌 bwrpas yw gwarchod hawliau gwybodaeth pobl. Mae鈥檔 uniongyrchol berthnasol i holl wledydd yr UE ac wedi鈥檌 ategu yng nghyfraith y Deyrnas Unedig gan Ddeddf Diogelu Data 2018 (鈥楧PA 2018鈥). Daeth y GDPR a DPA 2018 i rym ar 25 Mai 2018, gan gyflwyno fframwaith rheoleiddio mwy diweddar ar gyfer diogelu data yn y DU, gan gynnwys nifer o ofynion newydd ar gyfer rheolyddion data.
2.2. Mae鈥檙 ddogfen hon yn darparu canllawiau i Adrannau鈥檙 Llywodraeth ac i gyrff perthnasol y sector cyhoeddus ar eu cyfrifoldebau o dan Erthygl 36(4) o鈥檙 GDPR, a beth sydd angen iddynt ei wneud i gwrdd 芒 gofynion yr Erthygl hon.
2.3. Ategir y canllawiau hyn gan Ffurflen Ymholiad Erthygl 36(4), y dylid ei defnyddio i gysylltu 芒鈥檙 ICO yn y lle cyntaf er mwyn ymgynghori o dan Erthygl 36(4).
Trosolwg ar Erthygl 36(4)
2.4. Mae Erthygl 36(4) yn un o鈥檙 darpariaethau yn y GDPR sy鈥檔 ei gwneud yn benodol ofynnol i Lywodraeth y DU ymgynghori ag Awdurdod Diogelu Data鈥檙 DU (yr ICO) wrth ddatblygu cynigion polisi鈥檔 ymwneud 芒 phrosesu data personol.
2.5. Dyma y mae Erthygl 36(4) yn ei ddweud:
鈥淩haid i Wledydd yr Undeb ymgynghori 芒鈥檙 awdurdod goruchwylio wrth baratoi cynnig ar gyfer mesur deddfwriaethol sydd i鈥檞 fabwysiadu gan senedd genedlaethol, neu wrth baratoi mesur rheoleiddio ar sail mesur deddfwriaethol o鈥檙 fath, sy鈥檔 ymwneud 芒 phrosesu.鈥
2.6. Rhoddir mwy o fanylion yng Nghronicliad 96, sy鈥檔 nodi: 鈥淒ylai ymgynghori 芒鈥檙 awdurdod goruchwylio hefyd ddigwydd wrth baratoi mesur deddfwriaethol neu fesur rheoleiddio sy鈥檔 darparu ar gyfer prosesu data personol, er mwyn sicrhau bod y prosesu sydd mewn golwg yn cydymffurfio 芒鈥檙 Rheoliad hwn ac yn benodol er mwyn lliniaru鈥檙 risg ar gyfer gwrthrych y data.鈥
2.7. Mae hyn yn gyfreithiol ofynnol ar gyfer pob sefydliad perthnasol yn y sector cyhoeddus sy鈥檔 gyfrifol am fesurau deddfwriaethol neu statudol, a byddai methu ag ymgynghori鈥檔 ddigonol 芒鈥檙 ICO yn torri rheoliad y GDPR.
Cwmpas a chymhwysiad
2.8. Mae鈥檔 ofynnol i bob swyddog sector cyhoeddus (gan gynnwys rhai mewn Cyrff Hyd Braich ac yn Adrannau鈥檙 Llywodraeth) sy鈥檔 datblygu cynigion deddfwriaethol sy鈥檔 ymwneud, gofyn neu鈥檔 darparu ar gyfer prosesu data, gydymffurfio 芒鈥檙 ddarpariaeth hon.
2.9. Mae鈥檔 ofynnol ymgynghori 芒鈥檙 ICO ar bob cynnig polisi deddfwriaethol perthnasol sy鈥檔 cael ei fabwysiadu gan senedd genedlaethol. Mae hyn yn cynnwys:
鈼 deddfwriaeth sylfaenol ac is-ddeddfwriaeth
鈼 mesurau rheoleiddio (fel cyfarwyddiadau a gorchmynion) a wneir o dan ddeddfwriaeth sylfaenol neu is-ddeddfwriaeth
鈼 codau ymarfer statudol a
鈼 canllawiau statudol
2.10. Mae Erthygl 36(4) yn uniongyrchol berthnasol i鈥檙 DU, felly mae gofynion y ddarpariaeth hon hefyd yn berthnasol i fesurau deddfwriaeth a statudol sy鈥檔 cael eu mabwysiadu gan gyrff deddfu鈥檙 gwledydd datganoledig.
2.11. Nid yw鈥檔 gyfreithiol ofynnol o dan Erthygl 36(4), ynddi ei hun, i Lywodraeth a鈥檙 sector cyhoeddus ehangach ymgynghori 芒鈥檙 ICO ar gynigion polisi鈥檔 ymwneud 芒 data personol na fydd ag allbwn deddfwriaethol neu statudol. Fodd bynnag, gan ddibynnu ar gynnwys y cynigion hyn, gallai fod yn beth doeth i arweinwyr polisi ymgynghori 芒鈥檙 ICO y tu allan i ofynion Erthygl 36(4).
2.12. Nid yw鈥檔 benodol ofynnol ychwaith o dan Erthygl 36(4) ymgynghori 芒鈥檙 cyhoedd neu 芒 rhanddeiliaid ar gynigion polisi鈥檔 ymwneud 芒 data personol.
2.13. O dan ddarpariaeth ar wah芒n yn Erthygl 36 (Erthygl 36(1)), mae鈥檔 ofynnol ymgynghori 芒鈥檙 ICO pan fydd asesiad o鈥檙 effaith ar ddiogelu data (DPIA) wedi awgrymu y byddai鈥檙 prosesu鈥檔 creu risg uchel pe na bai鈥檙 rheolydd data鈥檔 cymryd mesurau i liniaru鈥檙 risg. Mae鈥檙 gofyniad hwn yn berthnasol p鈥檜n ai yw鈥檙 gweithgaredd prosesu鈥檔 gofyn cael deddfwriaeth newydd neu beidio. Mae canllawiau ar asesiadau DPIA a phryd y mae鈥檔 ofynnol ymgynghori 芒鈥檙 ICO ar .
Mathau o weithgareddau prosesu
2.14. Diffinnir prosesu data gan y GDPR o dan Erthygl 4(2) fel: 鈥渦nrhyw weithgaredd neu gyfres o weithgareddau a gyflawnir ar ddata personol neu setiau o ddata personol, p鈥檜n ai鈥檔 drwy ddull awtomataidd neu beidio, fel casglu, cofnodi, trefnu, strwythuro, storio, addasu neu newid, adalw, ymgynghori, defnyddio, datgelu drwy drosglwyddo, dosbarthu neu drefnu bod data ar gael fel arall, alinio neu gyfuno, cyfyngu, dileu neu ddinistrio data鈥
2.15. Mae data personol yn cynnwys gwybodaeth am berson byw鈥檔 unig, rhywun y gellir eu hadnabod neu y mae modd eu hadnabod o鈥檙 wybodaeth dan sylw鈥檔 unig; neu y gellir eu hadnabod o鈥檙 wybodaeth dan sylw mewn cyfuniad 芒 gwybodaeth arall. Er enghraifft, gall hyn gynnwys: enw, manylion banc, cyfeiriad, cyflog neu luniau o unigolyn. Ceir canllawiau pellach ar y diffiniad o ddata personol ar .
2.16. Mewn gwirionedd, bydd unrhyw gynnig yn creu mesur deddfwriaethol neu statudol sy鈥檔 cyfeirio鈥檔 uniongyrchol a phenodol at brosesu data personol yn dod o fewn cwmpas y ddarpariaeth hon. Er enghraifft:
鈼 Cyflwyno gofyniad newydd i gasglu data personol
鈼 Gorfodaeth newydd neu ddiwygiedig i rannu setiau data sydd eisoes yn bodoli
鈼 Gofynion ychwanegol i ddatgelu gwybodaeth bersonol
鈼 Creu cronfa ddata i gadw enwau a chyfeiriadau pobl ynddi
2.17. Gall prosesu data yn y cyd-destun hwn fod naill ai drwy ddull awtomataidd neu ddi-awtomataidd (dull llaw) (fel system ffeilio ar gyfer cofnodion papur, fel y diffinnir hynny o dan Erthygl 2(1) o鈥檙 GDPR).
PEgwyddorion ymgynghori
2.18. Er mwyn cwrdd yn effeithiol ag egwyddorion y gofyniad hwn, dylid ymgynghori 芒鈥檙 ICO ar bwynt ffurfiannol yn natblygiad y cynigion polisi, i sicrhau bod cyfle i roi sylw dyledus i fewnbwn yr ICO cyn drafftio鈥檙 cynigion terfynol. Lle bo hynny鈥檔 briodol, dylid ymgynghori鈥檔 unol ag egwyddorion ymgynghori Swyddfa鈥檙 Cabinet. Mae鈥檔 bwysig bod arweinwyr polisi, ar y cyd 芒 Swyddog Diogelu Data eu sefydliad, yn ymgysylltu鈥檔 gynnar er mwyn cadw at ysbryd y gofyniad hwn. Mae鈥檙 gofyniad i ymgynghori鈥檔 un parhaus, a dylai arweinwyr polisi barhau i ddiweddaru鈥檙 ICO drwy gydol y broses o ddatblygu鈥檙 cynigion polisi, yn enwedig lle bwriedir gwneud newidiadau polisi sylweddol yn dilyn yr ymgynghori cychwynnol. Bydd unrhyw ymateb gan yr ICO o ganlyniad i ymgynghori o dan Erthygl 36(4) yn unol 芒 statws y corff fel rheoleiddiwr annibynnol.
2.19. Er nad oes amserlen benodol ar gyfer ymgynghori, yr argymhelliad yw bod arweinwyr polisi鈥檔 caniat谩u o leiaf 12 wythnos o鈥檙 cyswllt cychwynnol 芒鈥檙 ICO tan y bydd eu cynigion polisi鈥檔 cael eu drafftio鈥檔 derfynol. Gallai methu 芒 chaniat谩u digon o amser i ymgynghori achosi oedi diangen cyn rhoi mesurau deddfwriaethol gerbron y Senedd, neu cyn cyhoeddi codau ymddygiad neu ganllawiau statudol, pe bai angen eu diwygio ar y funud olaf.
2.20. Yn unol 芒鈥檙 egwyddorion arferol ar gyfer ymgynghori, nid oes raid i鈥檙 Llywodraeth weithredu ar unrhyw ymateb gan yr ICO i鈥檙 broses ymgynghori, neu ar unrhyw gyngor gan yr ICO, ond rhaid ystyried barn yr ICO.
Polisi diogelu data ar 么l gadael yr UE
2.21. O鈥檙 diwrnod gadael (ar hyn o bryd 29 Mawrth 2019, oni bai y caiff y Cytundeb Gadael ei ddiwygio), bydd y GDPR yn aros yng nghyfraith y DU o dan Ddeddf (Gadael) yr Undeb Ewropeaidd 2018. Bydd rheoliadau a wnaed o dan y Ddeddf honno鈥檔 鈥榙omestigeiddio鈥 y GDPR fel y bydd yn parhau i gael ei weithredu yng nghyd-destun y DU, ond bydd yr egwyddorion sylfaenol, gan gynnwys gofyniad Erthygl 36(4) yn aros yr un fath. Felly bydd yn gyfreithiol ofynnol o hyd i Adrannau鈥檙 Llywodraeth a chyrff cyhoeddus perthnasol ymgynghori, o fewn amserlen briodol, 芒鈥檙 ICO ar fesurau deddfwriaethol a statudol yn ymwneud 芒 phrosesu data.
2.22. Gallwch anfon unrhyw ymholiad ar y mater hwn at D卯m Diogelu Data鈥檙 DCMS yn y cyfeiriad uchod.
3. Y broses ymgynghori
3.1. Ffurflen Ymholiad Erthygl 36(4) wedi鈥檌 dylunio i gasglu鈥檙 wybodaeth gychwynnol sydd ei hangen ar yr ICO i asesu a oes angen ymgynghori鈥檔 ffurfiol ar gynigion polisi o dan Erthygl 36(4).
3.2. Dylai arweinwyr polisi lenwi鈥檙 ffurflen, drwy ymgynghori 芒 Swyddog Diogelu Data eu sefydliad, ac e-bostio鈥檙 ffurflen i鈥檙 ICO yn legcon@ico.org.uk i gychwyn y broses ymgynghori.
3.3. Dylai鈥檙 ICO anfon e-bost yn cydnabod derbyn y ffurflen o fewn 48 awr i鈥檞 chyflwyno. Bydd yr ICO yna鈥檔 cysylltu eto o fewn pythefnos i gadarnhau a yw鈥檙 ICO wedi canfod unrhyw faterion rhagarweiniol o鈥檙 wybodaeth gychwynnol a gawsant, ac yn cadarnhau a oes angen ymgynghori ymhellach.