Fflur Jones o gwmni Darwin Gray sy’n egluro am reoliadau newydd a fydd yn newid cyfrifoldebau cwmnïau a sefydliadau wrth warchod ein data ni

Mae data defnyddwyr cyfryngau cymdeithasol yn debyg i drysor yn yr oes ddigidol hon ac mae cwmnïau ymchwil wedi elwa ers sawl blwyddyn ar y ffrwd werthfawr yma o wybodaeth. Yn wir, mae’r stori newyddion ddiweddar am Facebook a Cambridge Analytica yn ddigon i sobri unrhyw un.

Yn 2015 roedd telerau Facebook yn rhoi rhwydd hynt i ddatblygwyr gloddio am wybodaeth defnyddwyr y cyfrwng, gan gynnwys gwybodaeth am eu rhestr ffrindiau. Trwy ymatebion 270,000 o bobol i un cwis roedd modd casglu data 50 miliwn o ddefnyddwyr Facebook. Roedd y data hwn yn cynnwys lleoliadau, diddordebau, lluniau, diweddariadau statws a llawer mwy.

Y gred yw fod data tua 30 miliwn o’r unigolion hynny wedi cael eu gwerthu i Cambridge Analytica. Y cyhuddiad yw i’r data wedyn gael eu defnyddio i ddylanwadu ar etholiad arlywyddol yr Unol Daleithiau trwy dargedu a dylanwadu ar yr etholwyr hynny – drwy ecsbloetio eu tueddiadau, a oedd wedi eu datgelu gan y data.

Mae’r achos arbennig yma yn glasur o enghraifft o bŵer cynaeafu data. Ond pe bai hyn wedi digwydd yn y Deyrnas Unedig ar ôl 25 Mai 2018, pan ddaw’r Rheoliad Gwarchod Data Cyffredinol (GDPR) i rym, gallai Facebook fod wedi wynebu dirwyon llym iawn.

Beth felly mae’r GDPR yn ei olygu?

Bellach mae bron i bob agwedd o’n bywyd yn troi o amgylch data a bwriad y rheoliadau hyn yw i’n diogelu yn yr oes ddigidol sydd ohonni. Maen nhw’n llawer mwy grymus na’r hen Ddeddf Diogelu Data 1998.

Yn eu hanfod mae’r rheolau newydd wedi eu cynllunio i roi mwy o reolaeth i unigolion dros eu data ac, felly, dros eu hunaniaeth, eu heiddo a’u gwybodaeth.

I unrhyw gwmni neu sefydliad sy’n rheoli neu’n prosesu data bydd yn peri cryn waith i lanhau gwybodaeth sy’n cael ei gadw am unigolion ar hyn o bryd, er mwyn gwarchod y busnes rhag cwynion ac achosion dan y rheoliadau newydd hyn.

Dyma grynodeb o rai o brif agweddau’r GDPR:

1. Mae ‘data personol’ yn cwmpasu cryn dipyn o wybodaeth am unigolion, gan gynnwys lluniau, gwybodaeth bancio, enwau a phostiau ar gyfryngau cymdeithasol, cyfeiriadau ebost, a dyddiadau geni.

2. Rheolaeth yr unigolyn dros ei ddata: Ni fydd modd dibynnu ar gymalau yn delio gyda diogelu data mewn cytundebau cyflogaeth bellach. Bydd angen darparu Rhybuddion Preifatrwydd ac Amcanion y Cwmni ynglŷn â phrosesu data. Bydd gofyn i gwmniau a mudiadau ystyried pa ddata personol sy’n cael eu cadw ganddyn nhw, pwy sydd wedi rhoi’r data iddyn nhw a gyda phwy y mae bwriad rhannu’r data.

3. Bydd bob unigolyn yr hawl i ofyn am ddileu ei ddata ac ymarfer yr ‘hawl i gael ei anghofio’.

4. Cais am wybodaeth: Os bydd unigolyn yn gofyn am weld ei ddata neu gael copi ohono, fydd dim ffi yn cael ei chodi bellach am y gwaith o hel y data at ei gilydd, a dim ond mis sydd gan gwmni neu fudiad i gwblhau’r cais a datgelu’r wybodaeth, oni bai ei fod yn gais cymhleth.

5. Cadw dogfennaeth: Bydd angen i gwmniau gadw adroddiadau llawn o’r holl ddata sy’n cael eu prosesu, gan gynnwys y math o ddata sy’n cael ei gadw ganddynn nhw a’r rheswm dros ei brosesu. Bydd angen cynnal adolygiadau rheolaidd o’r data y mae unrhyw gwmni’n ei gadw a’r deunydd a wneir ohono.

6. Cyfrifoldeb ar gwmniau i roi gwybod am golli data: Os bydd cwmni yn torri’r gyfraith newydd drwy eu ffordd o ymdrin â data, rhaid iddyn nhw adael i’r Swyddfa Comisiynydd Gwybodaeth (yr ‘ICO’) wybod o fewn 72 awr o’r digwyddiad.

7. Dirwyon llym: Mae peidio â chydymffurfio gyda’r rheoliadau yn golygu y gall cwmniau neu fudiadau gael eu dirwyo. Gall y ddirwy fod yr uchaf o 10 miliwn Ewro neu 2% o drosiant rhyngwladol unrhyw gwmni neu yr uchaf o 20 miliwn Ewro neu 4% o drosiant rhyngwladol unrhyw sefydliad.