Canllawiau i sefydliadau sy'n delio â chwynion diogelu data

Sut i ddelio â chwynion diogelu data

Mae'n rhaid ichi gael proses i ymdrin â chwynion diogelu data o fewn eich sefydliad.

Gall cwynion diogelu data ddod gan unrhyw un sy'n anfodlon ar y ffordd rydych chi wedi trin eu gwybodaeth bersonol. Er enghraifft, gall cwynion ddod gan bobl sydd:

• yn anfodlon ar eich ymateb i'w cais testun am weld gwybodaeth (SAR), neu gais arall ynglŷn â’u hawliau;
• wedi cael eu heffeithio gan dor data, ni waeth a oes angen rhoi gwybod am y tor i ni neu beidio; neu
• yn anfodlon ar y ffordd rydych chi wedi defnyddio’u gwybodaeth bersonol (e.e. ble rydych chi’n ei storio, pa mor hir rydych chi wedi’i chadw, neu gywirdeb yr wybodaeth).

Darllenwch y canllaw yma i sicrhau eich bod yn gyfarwydd â'r hyn mae'n rhaid ichi ei wneud, y dylech ei wneud ac y cewch ei wneud.

Sut i ddefnyddio'r canllawiau hyn

I’ch helpu i ddeall y gyfraith a'r arferion da mor glir â phosibl, mae'r canllawiau hyn yn dweud yr hyn mae'n rhaid i sefydliadau ei wneud, yr hyn y dylen nhw ei wneud a’r hyn maen nhw’n cael ei wneud er mwyn cydymffurfio.

Gofynion y ddeddfwriaeth neu’r gyfraith

Mae rhaid yn cyfeirio at y canlynol:

• gofynion y ddeddfwriaeth o fewn ein cylch gorchwyl ni; neu
• y gyfraith achosion sydd wedi ennill ei phlwyf (yn achos y cyfreithiau rydyn ni'n eu rheoleiddio) ac sy'n gyfrwymol.

Arferion da

Nid yw dylech yn cyfeirio at ofyniad yn y ddeddfwriaeth, ond yr hyn rydyn ni’n disgwyl ichi ei wneud er mwyn cydymffurfio'n effeithiol â'r gyfraith. Rydyn ni’n disgwyl ichi wneud hyn oni bai bod rheswm da dros beidio â gwneud. Os byddwch chi'n dewis dull gwahanol, mae angen ichi allu dangos bod y dull yma hefyd yn cydymffurfio â'r gyfraith.

Mae gallech yn cyfeirio at opsiwn neu enghraifft y gallech ei ystyried i'ch helpu i gydymffurfio'n effeithiol. Mae'n debygol y bydd amryw o ffyrdd eraill ichi gydymffurfio.

Dim ond pan nodir hynny yn ein canllawiau y mae'r dull yma yn gymwys. Byddwn ni’n diweddaru canllawiau eraill maes o law.

Cipolwg 

Mae’r gyfraith diogelu data yn dweud bod rhaid ichi:

• rhoi ffordd i bobl wneud cwynion ichi ynghylch diogelu data;
• cydnabod bod cwynion wedi dod i law o fewn 30 diwrnod ar ôl iddyn nhw ddod i law;
• heb oedi amhriodol, cymryd camau priodol i ymateb i gwynion, gan gynnwys gwneud ymholiadau priodol, a rhoi gwybodaeth i bobl yn gyson; a
• heb oedi amhriodol, dweud wrth bobl beth yw canlyniad eu cwyn.

Yn fyr

• Sut mae paratoi i gael cwynion diogelu data?
• Beth wnawn ni pan gawn ni gŵyn?
• Beth wnawn ni ar ôl inni orffen ein hymchwiliad?
• Sut mae'r ICO yn delio â chwynion?

Sut mae paratoi i gael cwynion diogelu data?

Rhowch ffordd i bobl gwyno ichi

Mae'n rhaid roi ffordd i bobl wneud cwynion ynghylch diogelu data yn uniongyrchol i chi. Fe allech chi wneud hyn drwy gymryd y camau canlynol:

• darparu ffurflen gwyno y gall pobl ei chyflwyno ichi naill ai'n electronig neu mewn ysgrifen (e.e. drwy’r ebost neu drwy'r post);
• caniatáu i bobl wneud cwyn dros y ffôn;
• darparu porth cwynion ar-lein;
• cynnig swyddogaeth sgwrsio byw gyda'r opsiwn o uwchgyfeirio at berson os oes angen; neu
• rhoi ffordd i bobl wneud cwynion ichi yn bersonol (e.e. os nad oes gennych bresenoldeb ar-lein).

Mae cael proses ar gyfer delio â chwynion diogelu data yn eich helpu i fod yn atebol a gall wella’r ddeialog rhyngoch chi a'r bobl sy'n dymuno gwneud cwyn. Gall helpu i adeiladu ymddiriedaeth ynghylch sut y byddwch chi'n trin eu gwybodaeth ac arwain at lai o gwynion amdanoch chi i ni.

Cwynion gan blant, neu ar ran plant

Os cewch chi gwynion gan blant, neu ar ran plant, fe ddylech chi sicrhau hefyd eich bod yn annerch plant mewn iaith blaen, glir y gallan nhw ei ddeall. Fe ddylech chi ystyried hyn ym mhob cam o'r broses.

Mae gan blant yr un hawliau ag oedolion dros eu gwybodaeth bersonol. Er hynny, efallai y byddan nhw’n llai ymwybodol o'r risgiau, y canlyniadau a'r mesurau diogelu.

Mae'n rhaid ichi asesu gallu'r plentyn i ddeall ac arfer ei hawliau. (I gael rhagor o wybodaeth, gweler yr adran When may a child exercise their rights? yn ein canllaw ar blant a GDPR y Deyrnas Unedig.).)

Efallai y cewch chi gwynion ar ran plentyn, er enghraifft gan riant, oedolyn arall, neu gynrychiolydd fel gwasanaeth eiriolaeth plant, elusen neu gyfreithiwr. (I gael rhagor o wybodaeth am yr hyn y bydd angen ichi ei ystyried, gweler ein canllawiau When may a parent exercise these rights on behalf of a child.) 

Os yw'ch sefydliad yn dod o fewn rhychwant y Cod dylunio oed-briodol, fe ddylech chi:

• darparu mecanweithiau i helpu plant i arfer eu hawliau neu wneud cwynion;
• cael mecanweithiau i blant nodi eu bod yn credu bod eu cwyn neu eu cais yn un brys a pham;
• mynd ati i ystyried unrhyw wybodaeth y maen nhw’n ei darparu am hyn a rhoi blaenoriaeth iddyn nhw yn unol â hynny; a
• rhoi gweithdrefnau ar waith i gymryd camau cyflym lle maen nhw’n rhoi gwybodaeth sy'n nodi bod yna fater diogelu parhaus.

Beth arall sydd angen inni ei ystyried?

Ysgrifennu gweithdrefn gwyno

Os nad oes un gennych yn barod, fe ddylech chi ysgrifennu gweithdrefn gwyno. Mae gweithdrefn ysgrifenedig yn ei gwneud hi'n hawdd i bobl wybod sut i wneud cwynion i chi yn uniongyrchol, a all arwain at lai o gwynion i ninnau.

Mae'n ddylech gyhoeddi hyn ar eich gwefan neu ei ddarparu i bobl cyn gynted â phosibl.

Mae'n ddylech gynnwys gwybodaeth am sut y gall pobl wneud cwynion ynglŷn â diogelu data a'r hyn y gallant ei ddisgwyl o'ch proses. Er enghraifft, dywedwch wrthyn nhw y byddwch chi'n cydnabod eu cwyn o fewn 30 diwrnod, yn eu hysbysu am y cynnydd ac yn esbonio'r canlyniad.

Mae'n ddylech ddefnyddio iaith blaen yn hytrach na jargon neu dermau cyfreithiol.

Datblygu system ar gyfer gofyn am ragor o wybodaeth

Os oes arnoch chi angen tystiolaeth neu wybodaeth ategol, rhifau cyfeirnod, neu brawf ID, fe allech chi chi gynnwys gwybodaeth am hyn yn eich gweithdrefn gwyno. ddylech sicrhau hefyd eich bod yn gofyn amdano ar y cyfle cynharaf. rhaid ichi fod yn rhesymol ac yn gymesur ynglŷn â'r hyn rydych chi'n gofyn amdano. Rhaid ichi beidio â gofyn am ragor o wybodaeth os yw hi’n amlwg ichi pwy yw’r ceisydd.

Os bydd rhywun (e.e. aelod o'r teulu neu gyfreithiwr) yn gwneud cwyn ar ran person arall, mae’n rhaid ichi wirio eu bod wedi'u hawdurdodi i weithredu ar ran yr achwynydd. Mae ffurf y dystiolaeth y mae'n ofynnol ichi ei gwirio yn dibynnu ar amgylchiadau pob cais, ond dyma rai enghreifftiau:

• atwrneiaeth; neu
• lythyr awdurdod wedi'i lofnodi gan y person y maen nhw’n gweithredu ar ran.

Os nad oes tystiolaeth bod trydydd parti wedi'i awdurdodi i weithredu ar ran rhywun, dyw hi ddim yn ofynnol i chithau ymchwilio i'r gŵyn. Er hynny, fe ddylech chi barhau i ymateb iddyn nhw gan egluro hyn.

Ystyried a oes fframweithiau cyfreithiol eraill i gydymffurfio â nhw

Mae'r canllawiau hyn yn ymwneud â’r gyfraith diogelu data. Mae yna fframweithiau a rhwymedigaethau cyfreithiol eraill y gall fod rhaid ichi eu hystyried wrth ymdrin â chwynion, megis Deddf Cydraddoldeb 2010.

Gwirio bod eich system cadw cofnodion yn addas i'r diben

Mae'n ddylech chi sicrhau bod gennych system ar gyfer cadw'ch cofnodion yn gyfredol, a honno wedi'i threfnu ac wedi’i labelu'n glir. Bydd hyn yn eich helpu i ddod o hyd i'r holl wybodaeth sydd ei hangen arnoch yn gyflym ac yn effeithiol.

Hyfforddi’ch staff ynglŷn â chwynion diogelu data

Mae'n ddylech sicrhau bod eich staff yn gallu adnabod cwyn diogelu data a gwybod beth i'w wneud os bydd un yn dod i law. Mae hyn yn cynnwys gwybod ble i gyfeirio'r gŵyn o fewn eich sefydliad.ddylech gynnwys gwybodaeth am ymdrin â chwynion diogelu data mewn unrhyw hyfforddiant diogelu data mewnol rydych chi'n ei roi i'ch staff.

Beth wnawn ni pan gawn ni gŵyn?

Cydnabod y gŵyn

Mae'n rhaid ichi gydnabod bod y gŵyn wedi dod i law o fewn 30 diwrnod er mwyn rhoi gwybod i'r achwynydd eich bod wrthi’n edrych i mewn iddi.

Cewch ymateb mewn gwahanol ffyrdd gan ddibynnu sut mae’r gŵyn yn dod i law:

• Os cewch chi gŵyn ar lafar (e.e. dros y ffôn neu wyneb yn wyneb), ddylech gofnodi hyn. Fe allech chi chi ddilyn hyn mewn ysgrifen o fewn 30 diwrnod.
• Os cewch chi gŵyn yn electronig (e.e. trwy’r ebost neu sgwrs fyw), fe allech chi chi ddefnyddio ymateb awtomatig. Os cewch chi’r gŵyn trwy'r cyfryngau cymdeithasol, ddylech ofyn am ddull cysylltu arall gan ei bod yn bosibl na fydd hyn yn ffordd ddiogel o anfon gwybodaeth bersonol.
• Os cewch chi gŵyn yn ysgrifenedig (e.e. drwy'r post), fe allech chi chi anfon llythyr cydnabod.

Mae cadw cofnod o'ch cydnabyddiaeth yn gallu’ch helpu i ddangos eich bod wedi bodloni'ch rhwymedigaethau o fewn yr amserlen 30 diwrnod.

Os oes gennych chi staff yn absennol am gyfnodau penodol o'r flwyddyn (e.e. gwyliau ysgol neu salwch), mae’n rhaid ichi sicrhau bod gennych chi drefniadau i barhau i ymdrin â chwynion diogelu data yn ystod y cyfnodau yma.

Ymchwilio i'r gŵyn

Mae'n rhaid ichi wneud ymholiadau i'r gŵyn heb oedi’n amhriodol. Mae hyn yn golygu cyn gynted â phosibl.rhaid ichi wneud lefel briodol o ymholiadau a gallu cyfiawnhau pam yr ymdrinioch chi â chwyn yn y ffordd y gwnaethoch.

Mae'n ddylech chi ddechrau trwy gasglu cymaint o wybodaeth ag sydd arnoch ei hangen, gan gynnwys:

• edrych ar yr holl ffeithiau perthnasol yn drylwyr, yn deg ac yn fanwl gywir;
• siarad ag aelodau perthnasol o staff;
• cymharu'r wybodaeth o'r gŵyn â'r wybodaeth sydd gennych chi; a
• gwirio eich bod wedi cynnal eich telerau, eich polisïau a’ch safonau chi’ch hun.

Os nad ydych chi'n siŵr beth yw testun y gŵyn, dylech ddylech ofyn i'r person sy'n gwneud y gŵyn am ragor o wybodaeth cyn gynted â phosibl. Mae hyn yn eich helpu i nodi pa ymholiadau y mae angen ichi eu gwneud. Fe allech chi chi ofyn hefyd pa ganlyniad maen nhw'n chwilio amdano. Er enghraifft, ydyn nhw am ichi newid penderfyniad rydych chi wedi'i wneud, ymddiheuro am gamgymeriad, neu newid eich prosesau? Gall hyn eich helpu i gyfyngu rhychwant eich ymchwiliad a datrys y gŵyn yn gyflym.

Mae'n rhaid ichi roi'r wybodaeth ddiweddaraf i'r person sy'n gwneud y gŵyn am gynnydd yr ymchwiliad heb oedi amhriodol. Os yw'r ymchwiliad yn debygol o gymryd peth amser, dilynwch eich ymateb cychwynnol fel eu bod nhw’n gwybod eich bod chi wrthi’n gweithio i ddatrys y broblem. allech chi roi dyddiad iddyn nhw ar gyfer pryd rydych chi'n disgwyl gorffen eich ymchwiliad a phwynt cysylltu os oes ganddyn nhw gwestiynau. Gall deialog agored adeiladu ymddiriedaeth ac arwain at lai o gwynion i ni gan bobl, cyn i chithau gael y cyfle i unioni pethau.

Cofnodi’ch gweithredoedd

Mae'n ddylech gadw cofnod:

• o’r dyddiad y cawsoch y gŵyn diogelu data;
• o’ch cydnabyddiaeth;
• o unrhyw sgyrsiau a dogfennau perthnasol;
• o ganlyniad y gŵyn; ac
• o unrhyw gamau a gymerwyd gennych o ganlyniad i'ch ymchwiliad.

Mae hyn yn rhoi tystiolaeth o'r hyn rydych chi wedi'i wneud. Efallai y byddwn ni, neu gyrff diwydiant, yn gofyn am weld hyn os bydd cwyn yn cael ei gwneud amdanoch chi yn y dyfodol.

Mae'n Rhaid ichi beidio ichi beidio â chadw gwybodaeth bersonol am fwy o amser nag sydd arnoch ei hangen.

Beth wnawn ni ar ôl inni orffen ein hymchwiliad?

Rhoi canlyniad i'r gŵyn

Ar ôl gorffen eich ymchwiliad, rhaid ichi roi gwybod i'r achwynydd am y canlyniad, heb oedi amhriodol. Mae hyn yn golygu cyn gynted â phosibl. Mae'n rhaid ichi allu cyfiawnhau pam y gwnaethoch ymdrin â’r gŵyn yn y ffordd y gwnaethoch.

Mae'n ddylech esbonio'n glir beth rydych chi wedi'i wneud i ddatrys eu cwyn diogelu data a, lle bo hynny'n briodol, unrhyw gamau rydych chi wedi'u cymryd o ganlyniad iddi. Cynhwyswch ddigon o wybodaeth i helpu'r achwynydd i ddeall sut rydych chi wedi dod i'ch casgliad. Gall fod yn ddefnyddiol rhestru meysydd y gŵyn mewn rhestr o bwyntiau bwled, gan ymateb i bob pwynt a darparu tystiolaeth briodol, lle bo modd.

Os yw'r achwynydd yn anfodlon ar eich canlyniad, ddylech roi gwybod iddyn nhw fod ganddyn nhw’r hawl i gwyno i ni a rhoi ein manylion cysylltu ni iddyn nhw.

Adolygu'r gwersi a ddysgwyd

Ar ôl ichi roi canlyniad, ddylech adolygu'r hyn ddigwyddodd. Ystyriwch a oes unrhyw beth y gallwch ei ddysgu neu ei wella er mwyn atal cwynion yn y dyfodol. Gall cofnodi'r wybodaeth yma eich helpu i nodi tueddiadau neu feysydd i'w gwella.

Sut mae'r ICO yn delio â chwynion?

Os bydd rhywun yn dweud wrthoch chi eu bod nhw’n codi cwyn gyda ni, does dim angen i chithau ddweud wrthon ni. Byddwn yn cysylltu â chi os oes arnon ni angen rhagor o wybodaeth gennych.
Gan amlaf, os bydd rhywun yn cwyno i ni am y ffordd rydych chi wedi trin eu gwybodaeth bersonol, byddwn yn gofyn iddyn nhw godi cwyn gyda chi yn gyntaf.