Awdurdod annibynnol y Deyrnas Unedig a sefydlwyd i gynnal hawliau gwybodaeth er budd y cyhoedd, annog cyrff cyhoeddus i fod yn agored a hybu preifatrwydd data i unigolion.

Beth yw’r ICO?

Swyddfa'r Comisiynydd Gwybodaeth yw'r ICO. Dyma awdurdod annibynnol y Deyrnas Unedig i gynnal hawliau gwybodaeth er budd y cyhoedd, gan hybu natur agored ymysg cyrff cyhoeddus a phreifatrwydd data i unigolion.

Mae hwn yn gyfnod allweddol ar gyfer diogelu data a phreifatrwydd ac nid yw gwaith yr ICO fel rheoleiddiwr hawliau gwybodaeth y Deyrnas Unedig erioed wedi bod yn fwy perthnasol.

Mae bron popeth a wnawn yn creu llwybr data digidol – siopa ar-lein, postio ar y cyfryngau cymdeithasol, bancio wrth fynd neu sganio cerdyn teithio. Ni fu data personol pobl erioed yn fwy gwerthfawr a dylem allu ymddiried y bydd sefydliadau'n ei drin yn deg ac yn gofalu amdano'n ddiogel.

P'un a ydyn ni’n ymchwilio i ymosodiad seiber ar gwmni rhyngwladol neu golled data cleifion o ysbyty lleol, bydd yr ICO yn gweithredu ar ran y cyhoedd yn y Deyrnas Unedig.

Mae'r deddfau diogelu data rydyn ni’n eu rheoleiddio wedi cael eu diwygio'n ddiweddar, mae ein brwydr i atal galwadau niwsans yn codi stêm ac mae’n rôl o ran cynnal y Ddeddf Rhyddid Gwybodaeth yn hanfodol er mwyn sicrhau hawl y cyhoedd i wybod.

Beth yw'r ffi diogelu data?

O dan Ddeddf Diogelu Data 2018 mae'n ofynnol i sefydliadau sy'n prosesu gwybodaeth bersonol dalu ffi diogelu data oni bai eu bod nhw wedi'u hesemptio.

Mae angen ichi adnewyddu’ch ffi diogelu data bob blwyddyn, neu ddweud wrth yr ICO os nad oes angen eich cofrestriad mwyach. Os byddwch yn methu gwneud hynny, gall yr ICO roi cosb ariannol o hyd at £4,000 ar ben y ffi y mae'n ofynnol ichi ei thalu.

Mae’n ddeddf gwlad bod rhaid talu'r ffi, sy'n ariannu gwaith yr ICO, ond mae hefyd yn gwneud synnwyr busnes da achos mae’r cwestiwn a ydych chi wedi talu neu beidio yn gallu cael effaith ar eich enw da.

Mae busnesau wedi bod yn talu rhyw fath o ffi diogelu data ers dros 30 mlynedd. Ond mae sut mae busnes nodweddiadol yn prosesu data personol heddiw yn gwbl wahanol i 30 mlynedd yn ôl ac mae data'n hynod werthfawr. Efallai nad yw'n syndod bod mwy o fasnachwyr a sefydliadau unigol wedi cyflawni eu gofyniad cyfreithiol i gofrestru gyda'r ICO nag erioed o'r blaen. Mae’n cofrestr o dalwyr ffioedd yn cynrychioli mwy na miliwn o gwmnïau ac mae’n ehangu bob dydd.

Yr ICO sy’n gyfrifol am gasglu'r ffi ac rydyn ni’n gyson yn rhoi cyhoeddusrwydd i’r angen i'w thalu. Pan fydd eich ffi wedi’i thalu, mae hynny’n farc cadarnhaol gyferbyn ag enw’ch cwmni ac mae’n golygu nad oes rhaid inni gysylltu â chi ynglŷn â'r ffi diogelu data.

Dwi wedi cael llythyr am y ffi diogelu data. Pam wnaethoch chi ysgrifennu ata i?

Ym mis Tachwedd 2019, lansiwyd ymgyrch gennym i gysylltu â phob cwmni cofrestredig yn y Deyrnas Unedig i'w hatgoffa am eu cyfrifoldeb cyfreithiol i dalu ffi diogelu data. Dyma ddechrau rhaglen helaeth i sicrhau bod y ffi diogelu data yn cael ei thalu gan bawb sydd angen ei thalu.

Mae’r llythyrau rydyn ni’n eu hanfon at sefydliadau yn eu helpu i gydymffurfio â'r gyfraith drwy eu hatgoffa i edrych i weld a oes angen iddyn nhw dalu ffi.

Mae’n rhaid i rywfaint o ddata cwmnïau fod ar gael i'r cyhoedd yn ôl y gyfraith megis data a gyhoeddir yn gov.uk. I gael gwybodaeth am yr hyn y mae'r ICO yn ei wneud gyda data personol, gweler ein hysbysiad preifatrwydd yn ico.org.uk/privacy-notice

Sut dwi'n gwybod a oes angen imi dalu'r ffi diogelu data a chofrestru gyda'r ICO?

Gallwch weld yn gyflym ac yn hawdd a oes angen i'ch sefydliad chi dalu’r ffi drwy ddefnyddio’n hunan-asesiad cofrestru.

Pa fath o gwmnïau sy'n debygol o fod angen talu?

Mae'r ffi yn daladwy gan amryw o gwmnïau, o unig fasnachwyr a busnesau bach a chanolig (SMEs) i sefydliadau mawr, gan ddibynnu ar eich arferion. Mae'r swm sydd i’w dalu yn amrywio yn ôl maint y sefydliad.

Mae'n ofynnol i unrhyw gwmni sy'n defnyddio CCTV er mwyn atal troseddau dalu ffi diogelu data flynyddol i'r ICO, waeth beth fo’r agweddau eraill ar eich busnes a'ch gweithrediadau. Mae hyn yn golygu nad oes angen ichi gymryd ein hunanasesiad cofrestru os ydych chi’n defnyddio CCTV i atal troseddau, oherwydd yr ateb i’r cwestiwn a oes rhaid ichi dalu fydd 'oes' bob amser. Gallwch dalu nawr drwy fynd i www.ico.org.uk/fee.

Os ydych chi’n cadw gwybodaeth bersonol at ddibenion busnes ar unrhyw ddyfais electronig, fe all fod angen ichi dalu ffi flynyddol a'ch cyfrifoldeb chi yw mynd ati i gael gwybod.

Beth ga i am dalu’r ffi?

Mae’n ddeddf gwlad bod rhaid talu'r ffi, sy'n ariannu gwaith yr ICO, ond mae hefyd yn gwneud synnwyr busnes da achos mae’r cwestiwn a ydych chi wedi talu neu beidio yn gallu cael effaith ar eich enw da.

Mae cael eich rhestru fel talwr ffi ar wefan yr ICO yn anfon neges gref i bawb sy'n ceisio gwneud busnes gyda chi: mae'n dangos eich bod yn ymwybodol o'ch rhwymedigaethau diogelu data, a'ch bod yn gweithio’n effeithiol.

Bydd aelodau o'r cyhoedd a chwmnïau eraill yn teimlo'n dawel eu meddwl o weld enw’ch cwmni ar y rhestr hon oherwydd mae'n golygu eich bod yn gwerthfawrogi eu gwybodaeth nhw. Maen nhw’n debycach o ymddiried ynoch chi nag mewn cwmni arall sydd heb fod ar y rhestr hon.

Sut mae'r arian o’r ffioedd yn cael ei ddefnyddio?

Mae talu'r ffi diogelu data yn bwysig gan ei fod yn ariannu gwaith yr ICO sy'n rhoi cyngor ac arweiniad ar sut i gydymffurfio â'r gyfraith, fel ein canllawiau ar-lein, ein llinell gymorth ffôn, a'n pecynnau cymorth digidol.

Beth sy’n digwydd os byddaf yn osgoi talu'r ffi?

Os oes angen ichi dalu ac na fyddwch yn gwneud, fe allech chi gael dirwy o hyd at £4,000. Rhwng mis Mai 2021 a mis Ionawr 2022, cafodd 126 o gosbau ariannol eu rhoi i sefydliadau a oedd heb dalu'r ffi diogelu data.

Ar ben enwi’r rhan fwyaf o’r sefydliadau y mae angen inni godi dirwy arnyn nhw, rydyn ni hefyd yn cyhoeddi enwau'r holl sefydliadau sy'n talu ffioedd ar y gofrestr o dalwyr ffioedd. Mae hyn yn eu helpu i'w gwneud yn glir i'w cwsmeriaid, eu cleientau a'u cyflenwyr eu bod yn ymwybodol o'u rhwymedigaethau cyfreithiol wrth brosesu gwybodaeth bersonol.

Mae angen inni sicrhau bod y ffi diogelu data yn cael ei thalu gan bawb sydd angen ei thalu.

Faint yw'r ddirwy os yw'r ICO yn darganfod bod fy nhaliad am y ffi diogelu data yn hwyr?

Mae’r dirwyon yn amrywio o £400 i £4,000.

Pryd mae fy ffi i’n ddyledus?

Os ydych chi wedi cael gohebiaeth gennym am eich ffi diogelu data, bydd yn cynnwys erbyn pa bryd rydyn ni’n disgwyl clywed gennych. Mae'n ffi flynyddol, felly os ydych chi wedi talu'n ddiweddar, ewch ati a gosod nodyn atgoffa i chi'ch hun i dalu eto o fewn y 12 mis nesaf.

Rydyn ni’n gwybod bod amser yn arian, yn enwedig i fusnes un person neu sefydliad bach, felly rydyn ni wedi'i gwneud mor hawdd â phosibl i dalu. Gallwch wneud hyn ar-lein a dim ond 15 munud mae'n ei gymryd i gwblhau'r broses.

Faent mae'n ei gostio?

Mae cost y ffi diogelu data yn dibynnu ar faint y cwmni a throsiant y cwmni. Mae tair haen o ffi yn amrywio o £40 a £2,900, ond i'r rhan fwyaf o sefydliadau bydd yn £40 neu £60. Os yw'n golygu osgoi talu dirwy ac os yw’n diogelu’ch enw da, rydyn ni’n credu bod hynny'n arian sy'n werth ei wario.

Mae yna ostyngiad o £5 yn y gost os byddwch yn talu drwy ddebyd uniongyrchol. Gallwch ddefnyddio’n hunan-asesiad am ddim i weld faint mae angen ichi ei dalu.

Mae'r haen y mae’ch sefydliad yn perthyn iddi yn dibynnu ar y canlynol:

  • faint o aelodau staff sydd gennych;
  • eich trosiant blynyddol;
  • os yw’ch sefydliad yn awdurdod cyhoeddus;
  • os yw’ch sefydliad yn elusen; neu
  • os yw’ch sefydliad yn gynllun pensiwn galwedigaethol bach.

Haen 1 – sefydliadau meicro

Mae gennych uchafswm trosiant o £632,000 ar gyfer eich blwyddyn ariannol neu ddim mwy na 10 aelod o staff. Y ffi ar gyfer haen 1 yw £40.

Haen 2 – sefydliadau bach a chanolig

Mae gennych uchafswm trosiant o £36 miliwn ar gyfer eich blwyddyn ariannol neu ddim mwy na 250 o aelodau staff. Y ffi ar gyfer haen 2 yw £60.

Haen 3 – sefydliadau mawr

Os nad ydych yn bodloni'r meini prawf ar gyfer haen 1 neu haen 2, rhaid ichi dalu ffi haen 3, sef £2,900.

Gallwch ddefnyddio’n hunan-asesiad am ddim i weld faint mae angen ichi ei dalu.

How do I pay?

If you need to pay, please visit ico.org.uk/fee. You must complete the online application before sending your payment if you have not previously registered with us. It takes about 15 minutes. You can save time, hassle and money each year by setting up a direct debit, which deducts £5 from your fee.

If I set up a direct debit, do I need to pay this year’s data protection fee by another method?

Not at all. If you complete a direct debit instruction, we will take a payment by direct debit for this year as well as subsequent years. It couldn’t be easier.

I paid online - where is my receipt?

If you have paid by credit or debit card, receipts will be emailed to you within 1-3 working days of completing your transaction. If you have not received a receipt after three working days, please Cysylltwch â ni. Ar hyn o bryd, ni allwn anfon derbynneb yn awtomatig pan fyddwch wedi talu drwy ddebyd uniongyrchol. Fodd bynnag, os oes angen derbynneb arnoch pan fyddwch wedi talu drwy ddebyd uniongyrchol, cysylltwch â ni a byddwn yn anfon un allan.

I think I've paid twice - what should I do?

This can happen if you have refreshed the payment page during payment, or if you have entered your card details and clicked ‘Pay’ twice for the same registration. If you find you have paid more than one fee for the same organisation, please Cysylltwch â ni.

I have a number of organisations with the same information – how should I pay the data protection fee?

Contact the data protection fees helpline on 0303 123 1113 ext. 6408 to discuss how we can help. Separate fees must be paid for each company individually if it is a data controller.

I have a limited company with numerous practices – do I need to pay a fee for each location?

If all the practices are part of the same legal entity then one fee would cover all of the sites, as long as each practice is not trading as a separate organisation and the limited company determines why and how personal data is used.

Can an agency pay the data protection fee on my behalf?

There are some private companies who offer to complete the data protection fee payment on behalf of your organisation, often charging more than the standard cost. Be aware that these agencies have no official standing or powers under data protection law, and there is no connection between them and the ICO - we recommend you pay us directly.

How can I protect myself from scams?

The ICO is warning companies to be aware of scams relating to payment of the data protection fee. If you have received a letter, text message, email or telephone call from us, you should always be directed to pay using our official website which is ico.org.uk. More generally, if you want to check that correspondence you have received is genuine, it is a good idea to search online for the organisation who sent it, or talk to someone you trust such as a friend or family member. You can also visit gov.ukneuAction Fraud for advice.

I have a dashcam that I use for work. Do I need to pay a fee?

If you have a dashcam that you use for work purposes on a vehicle that you use for work, then you are likely to need to register and pay a data protection fee to the ICO unless you are exempt. This is because the use of the dashcam in or on your vehicle for work purposes will not be considered as ‘domestic’ and therefore not exempt from data protection laws. You can use our hunan-asesiad cofrestru to check whether you are exempt from paying the data protection fee for the use of your dashcam on our website. If you operate a dashcam on or in your work vehicle you should select ‘Yes’ to the question about whether you operate CCTV.

I am the principal of a dental practice – do I need to pay a fee?

If the principal of a practice has responsibility and control of the patient records in the practice, they would be required to pay a data protection fee.

I am a medical/ dental practice manager – do I need to pay a fee?

In general, a self-employed practice manager is usually a data processor as they do not determine how the personal information is processed. They will usually act on instruction from the data controller, ie the principal of the practice, when processing personal information. If you are an employee you will be covered by your employer’s fee and you will not be required to pay your own.

My dental practice is a partnership – do all partners have to pay a fee separately?

If you're in a partnership and each partner is responsible for the processing and security of their own patient information, which they would take with them if they left the practice, then each partner would need to pay a separate fee.

I am a dental associate or dental hygienist – do I need to pay a fee?

It is not possible to give a definitive answer as there are a number of arrangements between dentists and dental hygienists, but there are a number of questions that might clarify whether a dental associate or dental hygienist is a data controller and needs to pay a fee:

  • Are you responsible for the control and security of patient records, and do you have other responsibilities associated with the data?
  • Do you have a patient list separately from the practice in which you treat patients that would follow you if you left?
  • Do you treat the same patient at different practices?
  • If a complaint was made by a patient, or data was lost, would you be legally responsible for dealing with the matter?

If you answer ‘yes’ to any of the above questions, you are likely to be a data controller and will need to pay the ICO a data protection fee.

Why have you used my details to send me information which isn’t about my registration?

The UK GDPR puts the Information Commissioner under a duty to:

"promote awareness of controllers and processors of their obligations under this Regulation."

Sending you information about how we can help you meet your obligations under the UK GDPR will help us meet ours.

If you prefer not to receive these messages, please email [email protected] with your registration reference (eg ZA123456), and your business’ name or your name if you are a sole trader and we’ll stop sending this information to you.  

We will still get in touch about other matters relating to our regulatory function, for example letting you know your registration renewal is due.